2021年4月15日に下された最近の判決において、オーストリア最高裁（Oberste Gerichtshof, OGH）は、対象者の政党への親和性に関するデータの処理は、特別なカテゴリーの個人データを構成するとした。これは、当該データが匿名化された世論調査や統計に基づくものであっても適用される。

さらに、TFEU第267条に基づく予備判決の要求により、OGHは、同条の解釈に関する基本的な疑問を提出した。また、OGHは、TFEU267条に基づく予備判決の要請により、GDPR82条の解釈に関する基本的な質問を欧州司法裁判所（CJEU）に提出しました。GDPR第82条の解釈に関する基本的な質問を欧州司法裁判所（CJEU）に提出しました。具体的には、GDPR第82条に基づき、GDPR違反に基づく損害賠償を行うための要件と、当該賠償金の評価について明確化を求めました。GDPR第82条

事実

この事件の背景にある事実は、別の法的紛争（6Ob35/21x）に端を発しています。

• 被告は、オーストリア貿易規制法（Gewerbeordnung 1994, GewO）§151に基づき、アドレスパブリッシャー（「Adresshändler」）として、第三者のマーケティング目的で個人データを販売した。
• 被告が収集した情報には、オーストリア人の政党の相性に関する情報も含まれていました。
  アクセスリクエスト（GDPR第15条）の後、原告は、被告が原告の政治的親和性をオーストリア自由党（FPÖ）と推定していたことを知った。
• 対象者の親和性に関する情報は、社会人口学的特性に応じて「ターゲットグループのアドレス」を定義するアルゴリズムを使用して導き出されました。
• データの処理および保存に関して同意がなされないまま、原告は要求した。
• 被告が推定される政治的見解に関するデータを処理することを阻止するための差し止め命令。
• 侮辱的、恥ずかしい、信用を損なうと判断された、自分に割り当てられた政党の親和性の結果として生じた非物質的な損害に対して1,000ユーロの補償。

ウィーン地方裁判所（Landesgericht für Zivilsachen）は、差止請求を支持しましたが、損害賠償については、補償可能な非物質的損害の必要基準を満たさないという理由で否定されました。この決定は、高等地方裁判所（Oberlandesgericht）でも確認されました。この決定は両当事者によって上訴されました。

法的問題

OGHの判決では、1）政党との親和性に関するデータが個人データに該当するかどうか（GDPR4条1項）、2）当該データが特別なカテゴリーの個人データに該当するかどうか（GDPR9条）、3）被告が今後、原告のデータ処理を継続して行わないようにしなければならないかどうか、4）データ処理が原告に賠償の権利を与えるかどうか（GDPR82条）が焦点となった。

OGHによるパーシャル・ルーリング

• 個人情報（GDPR第4条(1)
• 個人データとは、識別された、または識別可能な自然人（「データ対象者」）に関連するあらゆる情報を指します。
• 識別可能な自然人とは、識別子を特定的に参照することにより、直接的または間接的に識別できるものでなければなりません。
• 個人情報には、主観的および客観的な評価を用いて得られたデータ（世論調査や統計などの非個人情報）も含まれ、「政党への親和性」を特定・識別可能な自然人に直接割り当てることができるとされました。
• 疑惑の親和性の有効性はここでは関係ありません。
• その情報が、特定の政党に対する被験者の想定される関心を表現したものに過ぎないという事実も、同様に重要ではない。¹

特別なカテゴリーの個人データ（GDPR第9条

• 政治的意見」という言葉は、統一された高いレベルの保護を保証するために、広く解釈されるべきものです。
• 特定の種類のデータを処理した結果、深刻な差別を受ける可能性がある場合は、そのリスクを軽減する必要があります。
• 対象者の政治的嗜好に関するデータは、潜在的な差別を引き起こすため、GDPR第9条に基づく政治的意見の範囲に含まれるとみなされなければなりません。GDPR第9条²

救済措置（Art.79 GDPR

• 有効な司法的救済を受ける権利は、GDPR第79条で保証されています。GDPRの規定に反してデータ対象者の個人データが処理された結果、データ対象者の権利が侵害された場合、GDPR第79条に基づき、有効な司法救済の権利が保証されます。
• 対象者が明示的に同意していない場合、政党への親和性に関するデータの処理は、それ自体が9(2)(a)に基づいて違法とみなされます。
• 関連するデータが削除された/公開されなかったという事実、すなわち内部で行われたが外部に出なかったという事実は、将来的に当該データが（再）作成される危険性を排除するものではないため、重要ではありません。
• 将来的にデータが再作成される可能性がある場合、差止命令は支持されるべきである。

CJEUに照会された質問

オーストリア最高裁判所は、TFEU第267条に規定された損害賠償請求の解釈と適用について、CJEUに予備判決を求めた。GDPR第82条に規定されている損害賠償請求の解釈と適用について、TFEU第267条に基づいてCJEUに予備判決を求めました。GDPR第82条に規定されている損害賠償請求の解釈と適用について、TFEU第267条に基づきCJEUに予備判決を求めました。

特に、CJEUは明確にすることを求められています。

• 損害賠償請求において、GDPRの規定違反に加えて、原告が具体的な損害を被ったことが必要なのか、それとも当該違反だけで十分なのか。
• 損害賠償の評価において、実効性と同等性の原則を超えて、EU法の追加的な要件を国内裁判所が考慮しなければならないかどうか。
• 非懲罰的／非物質的損害賠償の閾値は、侵害が、当該侵害によって生じた怒りや迷惑にとどまらず、一定の程度または重みのある結果をもたらすことを必要とするかどうか。

一般的には大量の請求が行われますが、GDPRの規定が侵害された結果、物質的または非物質的な損害を被った人は、GDPR第82条に基づいて法的措置を取る権利を保持しています。GDPR第82条

企業は、データ損失に関する報道を注意深く監視し、データ保護違反の兆候を早期に特定して、既存のデータ保護規則の不足部分を迅速に修正することをお勧めします。さらに、文書や内部プロセスをGDPRの原則や実施要件に沿ったものにすることが有益です。この目的のために、国内およびEUの両方でGDPR第82条に関連する過去の決定を検討しました。そのためには、国内およびEUレベルでのGDPR第82条に関連する過去の判決を検討することが有効です。OGHによる予備的質問のCJEUへの付託に基づき、損害賠償に関するデータ保護法の統一的な解釈を可能にする重要な基礎が築かれたことは明らかである。

脚注

1.6Ob127 / 20z (OGH); W258 2217446-1 (BVwG)もご参照ください。

2.W258 2217446-1 (BVwG)もご参照ください。

この記事の内容は、一般的な目安を示すことを目的としています。あなたの具体的な状況については、専門家のアドバイスを求めるべきです。