奧地利：奧地利判例法的發展：資料隱私侵犯與 GDPR

奧地利聯邦行政法院 (Bundesverwaltungsgericht, BVwG) 於 2020 年 11 月 26 日做出最新判決，^[1]推翻奧地利資料保護局 (DPA) 對奧地利郵政服務公司 (Austrian Postal Service, APS) 罰款 1,800 萬歐元的決定。在該案中，法院維持 DPA 對 APS 的行政處罰，APS 被指控非法處理並出售客戶的個人資料，例如私人地址和假定的政治忠誠，給第三方用於行銷目的。

在當前的判決中，BVwG 承認 APS 行為的非法性質，但推翻了 DPA 的處罰，原因是其遺漏了證明代表 APS 行事的法人和自然人都對有關罪行負責。

事實

此案的事實起源可追溯至新聞平台Addendum於2019年1月的一份報告，^[3]報告指出，除了私人地址、性別和年齡、教育程度以及投資或捐款偏好等資訊外，APS還收集了約300萬名客戶的政治傾向資料。

在進行當然調查後，DPA

• 根據《一般資料保護條例》(Regulation (EU) 2016/679)(GDPR)第 9(1)條，在沒有任何法律依據的情況下，調查社會人口因素和處理個人政治偏好相關資訊的行為屬於特殊類別的個人資料，因此必須事先獲得當事人的明確批准（GDPR 第 9(2)(a)條；Gewerbeordnung, GewO 第 151(4)條）；
• 命令終止資料處理，並在兩週內刪除已收集的資訊；
• 裁定 APS 沒有進行足夠的資料保護影響評估（在 2018 年 5 月 25 日之前），因為它錯誤地沒有將政治聯繫視為特殊類別的個人資料。

APS 以上訴方式回應，辯稱個人政治親疏關係的資訊不屬於個人資料，因為這些資訊是透過提供一般預測的匿名民意調查收集。由於這些概率計算無法修正 (GDPR 第 16 條)，根據 GewO 第 151(6)條，它們被視為行銷資訊和分類。然而，有人補充說，即使被視為個人資料，也不符合後者的特殊類別。

就在最近的 11 月，BVwG 確認了 DPA 的決定，並認為根據 GDPR 第 4(1) 條，處理與政黨親疏有別的資料的行為符合個人資料的資格。鑑於所取得的資訊可被指派給特定可辨識的個人，而依據 GDPR 第 9 條，其政治信念應受到保護而不受歧視，因此該資訊應被視為特殊類別的個人資料，因此需要事先取得同意。這部分的判決目前尚待奧地利最高行政法院 (Verwaltungsgerichtshof, VwGH) 判決。

然而，本文所考慮的事項涉及同一案件的不同法律層面。

根據上述事實，本案的核心是 APS 涉嫌違反 GDPR 第 5(1)、6(2)、6(4)、9、14、30、35 和 36 條。在此之前，APS 曾提出上訴，理由是罰款是在未確定代表其行事的自然人有罪的情況下（GDPR 第 4(7)條）發出的。

以下將針對 BVwG 最近根據 VwGH 先前的結論推翻 DPA 罰款的決定。在該案中，法院認為所指控的事實、違法和應受譴責的行為也必須歸因於自然人（VStG 第 44a 條），法人才須負上責任^[5]。

問題

由於 GDPR 擬且確實規定了法人的直接責任，而無需證明私人的個別不當行為，因此 BVwG 必須考慮下列事項：

1. DPA 是否有權依據 GDPR 第 83 條對法人處以罰款，而無需證明代表法人實體行事的自然人有應受處罰的行為；

2. 國家行政刑法規則是否適用，或考慮中的問題是否應根據 GDPR 規則進行審查。

判決

法院認為，依據 GDPR 第 83 條規定所施加的 DPA 罰款，屬於奧地利行政處分法 (Verwaltungsstrafgesetz, VStG) 以及奧地利資料保護法 (Datenschutzgesetz, DSG) 的規定範圍。由於 GDPR 第 83(8)條規定，國家程序規則適用於因違反 GDPR 而處罰的情況：監督機關行使其權力^[...]時，應依據聯盟及會員國法律，遵守適當的程序保障，包括有效的司法補救及適當的程序。

它進一步確定，DPA 未有依照 §§ 44a、45 VStG 以及 §§ 30 DSG 行事，因為它忽略了證明代表 APS 行事的自然人的罪責，例如代表後者的個人、在後者內部行使控制權或代表後者做決定的個人。

意見

雖然 BVwG 可能已推翻對 APS 的處罰，但其決定是基於 DPA 在形式上的錯誤。BVwG 在較早前的裁決中認為，處理個人對政黨的親疏關係資料的行為會引致法律責任。

資源

1. 備案編號：Docket Number W258 2217446-1/14E。可透過：https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. 備查文件號碼：Docket Number W258 2217446-1/35E。可透過：https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00。
3. "Wenn Die Post Partei Ergreift." 增補，2020 年 7 月 28 日，www.addendum.org/datenhandel/parteiaffinitaet/[於 2020 年 12 月 10 日存取]。
4. 如需更多資訊，請參閱奧地利郵政發佈的新聞稿「Milestones and outlook for 2019 and 2020」(29.10.2019)，以及歐洲資料保護委員會發佈的新聞稿「Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG」(23.10.2019)，網址為：https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr。
5. 備案編號 R2019/04/0229。Available via:https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Art. 83 GDPR - General Conditions for Imposing Administrative Fines." General Data Protection Regulation (GDPR), 29 Mar. 2018,gdpr-info.eu/art-83-gdpr/[accessed 14.12.2020].

本文內容旨在提供相關主題的一般指南。應就您的具體情況尋求專家建議。