Hiljuti 26.11.2020 tehtud otsuses,¹ Austria föderaalne halduskohus (Bundesverwaltungsgericht, BVwG) tühistas 18 miljoni euro suuruse trahvi, mille Austria andmekaitseasutus (DPA) oli Austria Postiteenistusele (APS) määranud. Kohtuasja keskmes on samad asjaolud, mida BVwG käsitles eraldi otsuses.² Selles kinnitas kohus DPA halduskaristust APSi suhtes, mida süüdistati klientide isikuandmete, näiteks era-aadresside ja eeldatava poliitilise kuuluvuse, ebaseaduslikus töötlemises ja müümises kolmandatele isikutele turunduslikel eesmärkidel.

Kõnealuses otsuses tunnistas BVwG APSi käitumise õigusvastasust, kuid tühistas DPA karistuse, kuna ta ei tuvastanud, et nii juriidilised kui ka füüsilised isikud, kes tegutsesid APSi nimel, olid vastutavad kõnealuse süüteo eest.

Faktid

Asja faktiline päritolu ulatub tagasi ajakirjandusplatvormi Addendum 2019. aasta jaanuaris avaldatud aruandesse,³ märkides, et lisaks teabele isikliku aadressi, soo ja vanuse, hariduse ning investeeringute ja annetuste eelistuste kohta on APS kogunud andmeid ka umbes 3 miljoni kliendi tajutavate poliitiliste kalduvuste kohta.⁴

Pärast ex officio läbiviidud uurimist on DPA:

• jõudis järeldusele, et sotsiaal-demograafiliste tegurite uurimise ja üksikisiku poliitilisi eelistusi puudutava teabe töötlemise tegevus ilma õigusliku aluseta kvalifitseerub isikuandmete eriliigiks vastavalt isikuandmete kaitse üldmääruse (määrus (EL) 2016/679) (GDPR) artikli 9 lõikele 1, mistõttu on vaja asjaomase isiku eelnevat selgesõnalist nõusolekut (GDPR artikli 9 lõike 2 punkt a; § 151 lõige 4). Gewerbeordnung, GewO);

• Käskis lõpetada andmete töötlemise ja kustutada juba kogutud andmed kahe nädala jooksul;

• leidis, et APS ei viinud läbi piisavat andmekaitsealast mõjuhinnangut (enne 25.05.2018), kuna jättis ekslikult arvestamata poliitilise kuuluvuse kui isikuandmete eriliigi.

APS vastas apellatsioonkaebusele, väites, et teave eraisiku poliitilise kiindumuse kohta ei ole isikuandmed, kuna sellist teavet kogutakse anonüümsete küsitluste kaudu, mis annavad üldisi prognoose. Kuna neid tõenäosusarvutusi ei saa parandada (GDPR artikkel 16), loetakse neid turundusteabeks ja klassifitseeritakse vastavalt GewO § 151 lõikele 6. Siiski lisati, et isegi kui seda peetakse isikuandmeteks, ei kvalifitseeru see eriliigina viimasesse kategooriasse.

Alles novembris kinnitas BVwG andmekaitseinspektori otsust ja leidis, et erakonnaga seotud andmete töötlemist käsitatakse isikuandmete töötlemise puhul isikuandmete kaitse üldmääruse artikli 4 lõike 1 kohaselt. Arvestades, et saadud teavet võib seostada konkreetselt tuvastatava eraisikuga, kelle poliitilisi veendumusi tuleb vastavalt GDPRi artiklile 9 kaitsta diskrimineerimise eest, tuleb neid käsitleda kui eriliigilisi isikuandmeid, mis nõuavad seega eelnevat nõusolekut. See osa otsusest on praegu menetluses Euroopa Kohtus. Austria kõrgeim halduskohus (Verwaltungsgerichtshof, VwGH).

Käesolevas artiklis käsitletav küsimus puudutab siiski sama juhtumi teistsugust õiguslikku aspekti.

Tuginedes eespool kirjeldatud asjaoludele, keskendub kohtuasi APSi väidetavale isikuandmete kaitse määruse artikli 5 lõike 1, artikli 6 lõike 2, artikli 6 lõike 4, artiklite 9, 14, 30, 35 ja 36 rikkumisele. See tuleneb APSi esitatud apellatsioonkaebusest, mis põhineb väitel, et trahv määrati ilma tema nimel tegutsevate füüsiliste isikute süü tuvastamata (isikuandmete kaitse üldmääruse artikli 4 lõige 7).

Järgnevalt keskendutakse BVwG hiljutisele otsusele tühistada DPA trahv VwGH varasemate järelduste valguses. Seal leidis kohus, et väidetav faktiline, ebaseaduslik ja süüline käitumine peab olema ka füüsilisele isikule omistatav (VStG § 44a), et juriidilist isikut saaks vastutusele võtta.⁵

Probleem

Kuna üldises isikuandmete kaitse määruses on ette nähtud juriidiliste isikute otsene vastutus, ilma et oleks vaja tõendada eraisiku individuaalset rikkumist, pidi BVwG kaaluma järgmist:

1. Kas andmekaitseasutusel oli õigus määrata juriidilisele isikule trahv vastavalt isikuandmete kaitse üldmääruse artiklile 83, kui ei ole näidatud juriidilise isiku nimel tegutseva füüsilise isiku süüline käitumine;

2. Kas kohaldatakse siseriiklikke halduskaristusõiguse eeskirju või tuleb vaadeldavat küsimust uurida GDPRi eeskirjade valguses.

Otsus

Kohus leidis, et DPA trahv, mis määrati GDPR artikli 83 sätete alusel, kuulub Austria halduskaristusseaduse (Verwaltungsstrafgesetz, VStG), samuti Austria andmekaitseseaduse (Datenschutzgesetz, DSG). Siseriiklikud menetlusnormid on kohaldatavad GDPRi rikkumise tõttu määratud trahvide suhtes, kuna artikli 83 lõikes 8 on sätestatud: "Järelevalveasutuse volituste kasutamise suhtes [...] kohaldatakse asjakohaseid menetluslikke tagatisi kooskõlas liidu ja liikmesriigi õigusega, sealhulgas tõhusaid õiguskaitsevahendeid ja nõuetekohast menetlust".⁶

Lisaks tuvastas ta, et DPA ei olnud tegutsenud vastavalt VStG §-dele 44a ja 45 ning DSG § 30, kuna jättis tõendamata nende füüsiliste isikute süü, kes tegutsesid APSi nimel, nagu näiteks APSi esindavad, selles kontrollivad või selle nimel otsuseid langetavad isikud.

Kommentaar

Kuigi BVwG võis APSile määratud karistuse tühistada, põhineb selle otsus DPA formaalsel veal. Seega tuleb seda käsitleda eraldi ja see ei ole vastuolus BVwG varasema otsusega, milles jõuti järeldusele, et erakonnaga seotud isikuandmete töötlemise puhul tekib vastutus.

Joonealused märkused

1 Docket number: Docket number W258 2217446-1/14E. Kättesaadav läbi: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Dokumendi number: Docket number W258 2217446-1/35E. Kättesaadav läbi: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift." Lisa, 28. juuli 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [vaadatud 10.12.2020].

4 Täiendavat teavet leiate nii Austria postiteenistuse pressiteatest pealkirjaga "Milestones and outlook for 2019 and 2020" (29.10.2019) kui ka Euroopa Andmekaitsenõukogu pressiteatest pealkirjaga "Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG (23.10.2019), mis on kättesaadavad aadressil: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Docket number R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "GDPR artikkel 83 - haldustrahvide määramise üldtingimused". Üldine andmekaitsemäärus (GDPR), 29. märts 2018, gdpr-info.eu/art-83-gdpr/ [Kasutatud 14.12.2020].

Käesoleva artikli sisu on mõeldud üldiseks juhiseks. Teie konkreetsete asjaolude kohta tuleks küsida erialast nõu.