Ausztria: Az osztrák ítélkezési gyakorlat fejlődése: Adatvédelmi jogsértések és a GDPR

Az osztrák szövetségi közigazgatási bíróság (Bundesverwaltungsgericht, BVwG) egy nemrégiben, 2020.11.26-án hozott határozatában^[1 ] hatályon kívül helyezte az osztrák adatvédelmi hatóság által az Osztrák Postával (APS) szemben kiszabott 18 millió eurós bírságot. Az ügy középpontjában ugyanazok a tények állnak, amelyeket a BVwG egy külön határozatban vizsgált.^[2] Ebben a bíróság helybenhagyta a DPA által az APS ellen kiszabott közigazgatási bírságot, amelyet azzal vádoltak, hogy jogellenesen dolgozta fel és adta el az ügyfelek személyes adatait - például a magánlakcímeket és a feltételezett politikai hovatartozást - harmadik feleknek marketingcélokra.

A BVwG a szóban forgó határozatban elismerte az APS magatartásának jogellenes jellegét, ugyanakkor hatályon kívül helyezte az adatvédelmi hatóság büntetését, mivel az elmulasztotta annak megállapítását, hogy az APS nevében eljáró jogi és természetes személyek egyaránt felelősek voltak a szóban forgó vétkességért.

Tények

Az ügy ténybeli eredete az Addendum újságíró platform 2019. januári jelentésére vezethető vissza,^[3] amely szerint az APS a magánlakcímekre, a nemre és életkorra, az iskolai végzettségre, valamint a befektetésekkel vagy adományokkal kapcsolatos preferenciákra vonatkozó adatokon kívül kb. 3 millió ügyfél vélt politikai beállítottságára vonatkozó adatokat is gyűjtött^[4].

Egy hivatalból indított vizsgálatot követően a DPA:

• Arra a következtetésre jutott, hogy a szociodemográfiai tényezőkről való lekérdezés és az egyén politikai preferenciáira vonatkozó információk jogalap nélküli feldolgozása az általános adatvédelmi rendelet ((EU) 2016/679 rendelet) (GDPR) 9. cikkének (1) bekezdése értelmében a személyes adatok különleges kategóriájának minősül, így az érintett előzetes kifejezett jóváhagyása szükséges (GDPR 9. cikk (2) bekezdés a) pont; Gewerbeordnung, GewO 151. § (4) bekezdés);
• elrendelte az adatkezelés megszüntetését és a már összegyűjtött információk törlését két héten belül;
• Megállapította, hogy az APS nem végzett megfelelő adatvédelmi hatásvizsgálatot (2018.05.25. előtt), mivel tévesen nem vette figyelembe a politikai hovatartozást mint a személyes adatok különleges kategóriáját.

Az APS fellebbezés útján válaszolt, azzal érvelve, hogy a magánszemély politikai hovatartozására vonatkozó információk nem minősülnek személyes adatnak, mivel az ilyen információkat általános előrejelzéseket nyújtó anonimizált közvélemény-kutatások révén gyűjtik. Mivel ezek a valószínűségi számítások nem helyesbíthetők (GDPR 16. cikk), marketinginformációnak és a GewO 151. § (6) bekezdése szerinti besorolásnak minősülnek. Ugyanakkor hozzátették, hogy még ha személyes adatnak is tekintik, akkor sem minősül különleges kategóriának az utóbbi.

A BVwG még novemberben megerősítette az adatvédelmi hatóság döntését, és megállapította, hogy a politikai párthoz való affinitásra vonatkozó adatok feldolgozásának magatartása a GDPR 4. cikkének (1) bekezdése alapján személyes adatnak minősül. Tekintettel arra, hogy a megszerzett információ egy konkrétan azonosítható magánszemélyhez rendelhető, akinek politikai meggyőződését a GDPR 9. cikke alapján védeni kell a megkülönböztetéssel szemben, az a személyes adatok különleges kategóriájaként kezelendő, így előzetes hozzájárulást igényel. A határozatnak ez a része jelenleg az osztrák legfelsőbb közigazgatási bíróság (Verwaltungsgerichtshof, VwGH) előtt van folyamatban.

A jelen cikkben tárgyalt ügy azonban ugyanennek az ügynek egy másik jogi aspektusát érinti.

A fent vázolt tényállás alapján az ügy középpontjában az áll, hogy az APS állítólag megsértette a GDPR 5. cikkének (1) bekezdését, 6. cikkének (2) bekezdését, 6. cikkének (4) bekezdését, 9., 14., 30., 35. és 36. cikkét. Az ügy az APS által benyújtott fellebbezést követi, amely arra az érvre alapult, hogy a bírságot a nevében eljáró természetes személyek vétkességének megállapítása nélkül szabták ki (a GDPR 4. cikkének (7) bekezdése).

A következőkben a BVwG közelmúltbeli határozatára összpontosítunk, amely a VwGH korábbi következtetéseinek fényében hatályon kívül helyezte az adatvédelmi hatóság bírságának kiszabását. Ott a Bíróság megállapította, hogy az állítólagos ténybeli, jogellenes és vétkes magatartásnak természetes személynek is felróhatónak kell lennie (VStG 44a. §) ahhoz, hogy egy jogi személyt felelősségre lehessen vonni^[5].

A kérdés

Mivel az általános adatvédelmi rendelet a jogi személyek közvetlen felelősségét kívánja, és valóban előírja is, anélkül, hogy a magánszemélyek egyéni jogellenes magatartását bizonyítani kellene, a BVwG-nek a következőket kellett mérlegelnie:

1. Jogosult volt-e az adatvédelmi hatóság a GDPR 83. cikke alapján bírságot kiszabni jogi személyre, amennyiben nem bizonyított a jogi személy nevében eljáró természetes személy vétkes magatartása;

2. A nemzeti közigazgatási büntetőjogi szabályok találnak-e alkalmazásra, vagy a vizsgált kérdést a GDPR szabályainak fényében kell-e vizsgálni.

Határozat

A Bíróság megállapította, hogy a GDPR 83. cikkének rendelkezései alapján kiszabott adatvédelmi bírság az osztrák közigazgatási büntető törvény (Verwaltungsstrafgesetz, VStG), valamint az osztrák adatvédelmi törvény (Datenschutzgesetz, DSG) rendelkezései alá tartozik. A GDPR szerinti jogsértés miatt kiszabott pénzbírságokkal összefüggésben a nemzeti eljárási szabályok alkalmazandók, mivel a 83. cikk (8) bekezdése kimondja: "A felügyeleti hatóság hatáskörének gyakorlására [...] az uniós és a tagállami joggal összhangban megfelelő eljárási biztosítékok vonatkoznak, beleértve a hatékony jogorvoslatot és a megfelelő eljárást."^[6].

Megállapította továbbá, hogy az adatvédelmi hatóság nem járt el a VStG 44a. és 45. §-ainak, valamint a DSG 30. §-ának megfelelően, mivel elmulasztotta bizonyítani az APS nevében eljáró természetes személyek, például az APS-t képviselő, abban ellenőrzést gyakorló vagy nevében döntéseket hozó személyek vétkességét.

Megjegyzés:

Bár az APS-re kiszabott büntetést a BVwG megsemmisíthette, döntése az adatvédelmi hatóság részéről elkövetett alaki hibán alapul. Mint ilyen, külön kezelendő, és nem áll ellentétben a BVwG korábbi ítéletével, amelyben megállapította, hogy a politikai párttal való személyes rokonságra vonatkozó adatok kezelésének magatartása felelősséget von maga után.

Források

1. Docket Number: Docket Number W258 2217446-1/14E. Elérhető a következő címen: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Docket Number: Docket Number W258 2217446-1/35E. Elérhető a következő címen: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Kiegészítés, 2020. július 28., www.addendum.org/datenhandel/parteiaffinitaet/ [elérés: 2020.12.10.].
4. További információkért lásd mind az osztrák posta "Mérföldkövek és kilátások 2019-re és 2020-ra" című sajtóközleményét (2019.10.29.), mind az Európai Adatvédelmi Testület "Az osztrák adatvédelmi hatóság közigazgatási büntetőeljárása az Österreichische Post AG ellen" című sajtóközleményét (2019.10.23.), elérhető a következő címen: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. R2019/04/0229 iktatószám. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "GDPR 83. cikk - A közigazgatási bírságok kiszabásának általános feltételei." Általános adatvédelmi rendelet (GDPR), 2018. március 29., gdpr-info.eu/art-83-gdpr/ [elérés: 2020.12.14.].

A cikk tartalma általános útmutatást kíván nyújtani a témában. Az Ön konkrét körülményeivel kapcsolatban szakorvosi tanácsot kell kérni.