奧地利:歐洲法院受理的初步問題 - 根據 GDPR 第 82 條賠償非重大損害。82 GDPR

刊物: June 27, 2021

Back to overview

作者

相關專家指南

奧地利最高法院 (Oberste Gerichtshof, OGH) 在 2021 年 4 月 15 日做出的一項最新判決中裁定,處理當事人與政黨親疏有別的資料構成特殊類別的個人資料。即使相關資料是基於匿名的民意調查和統計,這一點也適用。

此外,根據 Art.267 TFEU,OGH 向歐洲法院提交了有關 GDPR 第 82 條解釋的基本問題。82 GDPR 的基本問題提交給歐洲法院 (CJEU)。更明確地說,它尋求澄清根據 GDPR 違反判給損害賠償的要求,以及根據第 82 GDPR 條評估上述賠償。82 GDPR。

事實

本案的基本事實源自於另一項法律爭議 (6Ob35/21x)。

  • 被告根據《奧地利貿易規範法》(Gewerbeordnung 1994, GewO) 第 151 條,以地址發行人 ('Adresshändler')身分,出售個人資料供第三方行銷之用;
  • 被告收集的資訊包括奧地利國民的親屬關係;
    在提出存取請求 (Art. 15 GDPR) 之後,原告得知被告假設原告的政治親屬為奧地利自由黨 (FPÖ);
  • 有關當事人親屬關係的資訊是透過使用演算法,根據社會人口特徵界定「目標群組地址」而得出;
  • 在未就資料處理和儲存給予同意的情況下,原告要求
  • 禁止被告處理其假定政治觀點的資料;
  • 賠償 1,000 歐元,以彌補他因被指派的黨派親屬關係而造成的非實質損失,他認為此舉具有侮辱性、可恥性且有損信用。

雖然維也納民事區域法院 (Landesgericht für Zivilsachen) 維護禁制令請求,但拒絕賠償,理由是未達到可賠償非實質損害的必要門檻。區域高等法院 (Oberlandesgericht) 確認了該判決。雙方均對該判決提出上訴。

法律問題

OGH 判決的重點為:1)有關政黨親屬的資料是否符合個人資料的資格(GDPR 第 4(1)條);2)上述資料是否構成特殊類別的個人資料(GDPR 第 9 條);3)被告是否必須避免在未來繼續處理原告的資料;4)資料處理是否使原告有權獲得賠償(GDPR 第 82 條)。

OGH 的部分裁決

  • 個人資料 (GDPR 第 4(1) 條)
  • 個人資料是指與已識別或可識別的自然人(「資料當事人」)有關的任何資訊;
  • 可識別的自然人必須是可直接或間接透過特定參考識別符被識別的自然人;
  • 個人資料被認為包括使用主觀及/或客觀評估(即非個人資料,如民意調查/統計)獲得的資 料,因為它允許將「對某政黨的親密度」直接指派給一個已識別/可識別的自然人;
  • 在此,所指稱的親疏有別無關緊要;
  • 資訊只是表達對特定政黨的假定興趣,這一點同樣無關重要。

 

特殊類別個人資料 (GDPR 第 9 條)

  • 政治意見」一詞應作廣義解釋,以保證統一且高度的保護;
  • 任何因處理特殊種類資料而導致嚴重歧視的風險都應受到削弱;
  • 有關當事人的政治偏好的資料會造成潛在歧視,因此必須依據 GDPR 第 9 條被視為屬於政治意見的範圍。9 GDPR。

 

補救 (GDPR 第 79 條)

  • 根據 GDPR 第 79 條,獲得有效司法補救的權利受到保障。當資料當事人的權利因其個人資料處理不符合 GDPR 規定而受到侵害時,可根據 GDPR 第 79 條獲得有效的司法補救;
  • 根據第 9(2)(a)條,在當事人沒有給予明確同意的情況下,處理與政黨親疏有別的資料本身就被視為違法;
  • 相關資料已被刪除/沒有發表,即在內部發生但沒有對外公佈,這並不重要,因為這 並不能消除該資料在將來被(重新)創建的危險;
  • 如果存在資料在未來被重新創造的可能性,則應支持禁制令。

 

提交至 CJEU 的問題

奧地利最高法院請求歐洲聯盟 (CJEU) 依據《歐洲聯盟條約》(Art. 267 TFEU) 做出初步裁決。267 TFEU 就 Art.82 GDPR。

特別請求 CJEU 澄清

  • 除了違反 GDPR 條款之外,損害賠償請求是否要求原告遭受特定的損害,或上述違反是否足以符合判給的資格;
  • 國家法院在評估損害賠償時,是否必須考慮歐盟法律中除有效性和等同性原則之外的其他要求;
  • 非金錢/非物質損害賠償的門檻是否要求侵權行為所造成的後果必須達到一定的程度或重量,而不僅限於該侵權行為所造成的憤怒或煩惱。

雖然通常是透過大規模索賠進行,但任何人若因違反 GDPR 條款而遭受實質或非實質損害,仍有權根據 GDPR 第 82 條提起法律訴訟。82 GDPR。

我們建議企業密切注意有關資料遺失的新聞報導,並及早識別違反資料保護的跡象,以便迅速修正現有資料保護法規中的不足之處。此外,確保文件和內部流程符合 GDPR 原則和實施要求也是有益的。為此,檢視過去與 GDPR 第 82 條相關的決定,無論是在國內或歐盟。82 GDPR 在國內和歐盟層級的相關決定將有所幫助。很明顯,根據 OGH 向 CJEU 轉介的初步問題,已經奠定了一個重要的基礎,可以對損害賠償的資料保護法進行統一解釋。

資源

  1. 另請參閱 6Ob127 / 20z (OGH);W258 2217446-1 (BVwG)。
  2. 另請參閱 W258 2217446-1 (BVwG)。

本文內容旨在提供相關主題的一般指南。應就您的具體情況尋求專家建議。

Back to overview