Az osztrák legfelsőbb bíróság (Oberste Gerichtshof, OGH) egy 2021. április 15-én hozott ítéletében úgy ítélte meg, hogy az érintett politikai párthoz való kötődésére vonatkozó adatok feldolgozása a személyes adatok különleges kategóriájának minősül. Ez akkor is érvényes, ha az érintett adatok anonimizált közvélemény-kutatásokon és statisztikákon alapulnak.

Ezen túlmenően, az Art. 267. cikke alapján az EUMSZ 267. cikke értelmezésével kapcsolatos alapvető kérdéseket terjesztett elő. 82 GDPR értelmezésére vonatkozó kérdéseket az Európai Bírósághoz (EUB). Konkrétabban a GDPR megsértésén alapuló kártérítés megítélésének követelményeire és az említett kártérítésnek az Art. GDPR 82. CIKKE ALAPJÁN.

Tények

Az ügy alapjául szolgáló tények egy külön jogvitából erednek (6Ob35/21x).

• Az alperes címkiadóként ("Adresshändler") az osztrák kereskedelmi szabályozásról szóló törvény (Gewerbeordnung 1994, GewO) 151. §-a alapján személyes adatokat értékesített harmadik fél számára marketingcélokra;
• Az alperes által gyűjtött információk között szerepeltek az osztrák állampolgárok pártrokonságára vonatkozó adatok;
  Egy hozzáférési kérelmet követően (GDPR 15. cikk) a felperes megtudta, hogy az alperes feltételezte, hogy a felperes politikai hovatartozása az Osztrák Szabadságpárthoz (FPÖ) kötődik;
• Az alanyok affinitására vonatkozó információkat egy algoritmus segítségével nyerték, amely a szocio-demográfiai jellemzők alapján határozta meg a "célcsoport címeit";
• Az adatok feldolgozásához és tárolásához való hozzájárulás megadása nélkül a felperes kérte:
• Az alperesnek a feltételezett politikai nézeteire vonatkozó adatok feldolgozásának megakadályozására irányuló végzés;
• 1 000 euró kártérítés a neki tulajdonított pártrokonsági viszony miatt okozott nem vagyoni kárért, amelyet sértőnek, szégyenletesnek és hitelkárosítónak tartott.

Míg a polgári ügyekben eljáró bécsi tartományi bíróság (Landesgericht für Zivilsachen) helyt adott a jogsértés megszüntetésére irányuló kérelemnek, a kártérítési kérelmet elutasította, mivel nem érte el a megtérítendő nem vagyoni kárhoz szükséges küszöbértéket. A határozatot a felsőbb tartományi bíróság (Oberlandesgericht) megerősítette. A határozat ellen mindkét fél fellebbezett.

Jogi kérdések

Az OGH ítélete arra összpontosított, hogy 1) a párt politikai pártokhoz való kötődésére vonatkozó adatok személyes adatnak minősülnek-e (GDPR 4. cikk (1) bekezdés); 2) az említett adatok a személyes adatok különleges kategóriájának minősülnek-e (GDPR 9. cikk); 3) az alperesnek a jövőben tartózkodnia kell-e a felperes adatainak további kezelésétől; 4) az adatkezelés jogosítja-e a felperest kártérítésre (GDPR 82. cikk).

Az OGH részleges ítélete

• Személyes adatok (GDPR 4. cikk (1) bekezdés)
• Személyes adatnak minősül minden olyan információ, amely azonosított vagy azonosítható természetes személyekre ("érintettek") vonatkozik;
• Azonosítható természetes személynek kell lennie annak, aki közvetlenül vagy közvetve azonosítható egy azonosítóra való konkrét hivatkozással;
• Személyes adatnak tekintették a szubjektív és/vagy objektív értékeléssel nyert adatokat (azaz a nem személyes adatokat, pl. közvélemény-kutatásokat/statisztikákat), mivel ezek lehetővé tették a "politikai párt iránti affinitás" közvetlen hozzárendelését egy azonosított/azonosítható természetes személyhez;
• Az állítólagos rokonság érvényessége nem releváns;
• Az a tény, hogy az információ csupán az alanyok egy adott politikai párt iránti feltételezett érdeklődésének kifejezése volt, ugyancsak lényegtelen.¹

Személyes adatok különleges kategóriája (GDPR 9. cikk)

• A "politikai vélemény" kifejezést tágan kell értelmezni, hogy egységes és magas szintű védelmet biztosítson;
• Az egyes adattípusok feldolgozásából eredő súlyos megkülönböztetés kockázatát alá kell ásni;
• Az alanyok politikai preferenciáira vonatkozó adatok potenciális diszkriminációra adnak okot, és ezért úgy kell tekinteni, hogy azok a politikai vélemény körébe tartoznak az Art. 9 GDPR HATÁLYA ALÁ TARTOZIK.²

Jogorvoslat (GDPR 79. cikk)

• A hatékony bírósági jogorvoslathoz való jogot az Art. 79 GDPR 79. cikke alapján biztosított, ha az érintett jogait a személyes adatainak a GDPR rendelkezéseinek nem megfelelő feldolgozása következtében megsértették;
• Az érintett kifejezett hozzájárulásának hiányában a politikai párthoz való kötődésre vonatkozó adatok feldolgozása a 9. cikk (2) bekezdésének a) pontja alapján önmagában is jogellenesnek minősül;
• Az a tény, hogy a vonatkozó adatokat törölték/nem tették közzé, azaz belsőleg történtek, de külsőleg nem jelentek meg, lényegtelen, mivel nem szünteti meg annak veszélyét, hogy az említett adatok a jövőben (újra) létrejöhetnek;
• A felfüggesztő végzésnek helyt kell adni, ha fennáll a lehetősége annak, hogy a jövőben az adatokat újra létrehozzák.

Az EUB elé terjesztett kérdések

Az osztrák legfelsőbb bíróság az EUB előzetes döntéshozatal iránti kérelmét az EUMSZ 6. cikke alapján nyújtotta be. 267. cikkében szabályozott kártérítési igény értelmezéséről és alkalmazásáról. GDPR 82. CIKKÉBEN SZABÁLYOZOTT KÁRTÉRÍTÉSI IGÉNYT.

Az EUB-t különösen arra kérik, hogy tisztázza:

• A GDPR valamely rendelkezésének megsértésén túlmenően a kártérítési igény megköveteli-e, hogy az igénylő konkrét kárt szenvedett, vagy az említett jogsértés elegendő a díjra való jogosultsághoz;
• A nemzeti bíróságoknak figyelembe kell-e venniük az uniós jognak a hatékonyság és az egyenértékűség elvén túlmutató további követelményeit a kártérítés megítélése során;
• A nem vagyoni/nem vagyoni kártérítés küszöbértéke megköveteli-e, hogy a jogsértésnek bizonyos mértékű vagy súlyú következményei legyenek, amelyek túlmutatnak az említett jogsértés okozta haragon vagy bosszúságon.

Bár jellemzően tömeges keresetindítás útján, bármely személy, akit a GDPR valamely rendelkezésének megsértése miatt vagyoni vagy nem vagyoni kár ért, továbbra is jogosult a GDPR cikke szerinti jogi lépéseket tenni. 82 GDPR.

A vállalatoknak tanácsos az adatvesztésről szóló sajtójelentéseket szorosan nyomon követniük, és az adatvédelmi jogsértésekre utaló jeleket idejekorán azonosítaniuk, hogy lehetővé tegyék a meglévő adatvédelmi szabályozásokon belüli hiányosságok gyors felülvizsgálatát. Előnyös lenne továbbá biztosítani, hogy a dokumentációt és a belső folyamatokat összhangba hozzák a GDPR elveivel és végrehajtási követelményeivel. Ennek érdekében a korábbi határozatok felülvizsgálatát az Art. 82 GDPR hazai és uniós szinten egyaránt hasznos lesz. Nyilvánvaló, hogy az OGH előzetes döntéshozatalra előterjesztett kérdései alapján az EUB elé került egy olyan fontos alap, amely lehetővé teheti az adatvédelmi jog egységes értelmezését a kártérítéssel kapcsolatban.

Lábjegyzetek

1. Lásd még 6Ob127 / 20z (OGH); W258 2217446-1 (BVwG).

2. Lásd még W258 2217446-1 (BVwG).

E cikk tartalma általános útmutatást kíván nyújtani a témában. Az Ön konkrét körülményeivel kapcsolatban szakorvosi tanácsot kell kérni.