2020.11.26に下された最近の判決では¹ オーストリア連邦行政裁判所(BundesverwaltungsgerichtBVwG）は、オーストリアのデータ保護当局（DPA）がオーストリア郵政公社（APS）に課した1,800万ユーロの罰金を覆しました。この事件は、BVwGが別の判決で検討したのと同じ事実に基づいています。² 同裁判所は、住所や政治的主張などの顧客の個人情報をマーケティング目的で違法に処理し、第三者に販売したとして告発されていたAPS社に対するDPAの行政処分を支持しました。

今回の判決では、BVwGはAPSの行為の違法性を認めましたが、APSを代表して行動していた法人と自然人の両方が問題となっている責任を立証していないことを理由に、DPAの処罰を覆しました。

事実

本件の事実上の発端は、2019年1月のジャーナリズムプラットフォーム「Addendum」による報道に遡ります。³ APSは、個人の住所、性別、年齢、学歴、投資や寄付に関する嗜好などの情報に加え、約300万人の顧客の政治的傾向を把握するためのデータを収集していたと述べています。⁴

職権による調査の後、DPAは

• 社会人口学的要因を調査し、法的根拠なく個人の政治的嗜好に関する情報を処理する行為は、一般データ保護規則（Regulation (EU) 2016/679）（GDPR）第9条(1)に基づく個人データの特別なカテゴリーに該当するため、当事者による事前の明示的な承認が必要であると結論付けた（GDPR第9条(2)(a)、§151(4) ドイツ企業法GewO)となっています。

• 2週間以内にデータ処理を中止し、既に収集された情報を削除することを命令。

• APSは、政治的所属を個人データの特別なカテゴリーとして考慮することを誤って怠ったため、（2018.05.25以前に）適切なデータ保護影響評価を行っていなかったとした。

APSは控訴し、個人の政治的親和性に関する情報は、そのような情報が一般的な予測を行う匿名化された世論調査によって収集されたものであることから、個人情報には該当しないと主張しました。これらの確率計算は修正することができないため（GDPR16条）、マーケティング情報とみなされ、GewO§151(6)に基づいて分類されます。ただし、個人情報とみなされても、後者の特別なカテゴリーには該当しないことが付け加えられています。

最近では、11月にBVwGがDPAの決定を確認し、政党への親和性に関するデータを処理する行為は、GDPR第4条(1)に従って個人データとして適格であると判断した。得られた情報は、GDPR第9条に基づき差別から保護されるべき政治的信念を持つ、具体的に識別可能な個人に割り当てられる可能性があることから、特別なカテゴリーの個人データとして扱われ、事前の同意が必要であるとしています。この決定の一部は、現在、以下の裁判所に係属しています。 オーストリア最高行政裁判所（Verwaltungsgerichtshof, VwGH）。)

しかし、この記事で検討しているのは、同じケースの異なる法的側面に関するものです。

本件は、APSがGDPR第5条(1)、第6条(2)、第6条(4)、第9条、第14条、第30条、第35条および第36条に違反していると主張していることを中心に、上記の事実を説明しています。本件は、APSを代表して行動する自然人の側に責任能力があることを立証せずに罰金が科せられたという主張に基づいてAPSが提出した控訴に続くものです（GDPR第4条(7)）。

以下では、VwGHが出した以前の結論に照らして、DPAの罰金を覆したBVwGの最近の決定に焦点を当てる。同裁判所は、法人が責任を負うためには、疑われている事実上、違法で罪深い行為も自然人に帰すべきものでなければならない（VStG第44a条）とした。⁵

問題

GDPRは、私人による個別の不正行為を証明しなくても、法人に直接責任を負わせることを意図し、実際に規定しているため、BVwGは以下の点を考慮しなければなりませんでした。

1. 法人を代表して行動する自然人による非難すべき行為が示されていない場合に、DPAがGDPR第83条に従って法人に罰金を課す権利があったかどうか。

2. 国内の行政罰法の規則が適用されるか、あるいは検討中の問題がGDPRの規則に照らして検討されるかどうか。

決断

同裁判所は、GDPR第83条の規定に基づいて課されたDPAの罰金は、オーストリアの行政刑罰法の規定に該当するとした(VerwaltungsstrafgesetzVStG）や、オーストリアのデータ保護法（DatenschutzgesetzDSG）に準拠しています。)GDPR第83条(8)は次のように述べており、GDPRの違反により課される制裁金については、国内の手続規則が適用されます。監督機関による権限の行使は（中略）、効果的な司法救済および適正手続を含む、EUおよび加盟国の法律に従った適切な手続上の保護措置を受けなければならない」。⁶

さらに、DPAは、APSを代表して行動した自然人（APSを代表して支配権を行使したり、APSのために意思決定を行う個人）の側の過失を証明することを怠り、§44a、45 VStGおよび§30 DSGに従って行動することができなかったことを立証した。

コメント

APSに課された罰則はBVwGによって覆されたかもしれませんが、その決定はDPA側の形式的なミスに基づいています。そのため、この判決は別個に扱われるべきであり、政党への個人的な親和性に関するデータ処理の行為が責任を生じると結論づけたBVwGの以前の判決と対立するものではありません。

脚注

1 Docket Numberです。Docket Number W258 2217446-1/14E.経由で入手可能です。 https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&bfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=。
VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Docket Numberです。Docket Number W258 2217446-1/35E.経由で入手可能です。 https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=になります。
BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=。
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift.". 補遺2020年7月28日 www.addendum.org/datenhandel/parteiaffinitaet/ [10.12.2020年10月12日アクセス]。

4 詳細については、オーストリアの郵便事業会社のプレスリリース「Milestones and outlook for 2019 and 2020」（2019.10.29）、および欧州データ保護委員会のプレスリリース「Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG」（2019.10.23）を参照してください。 https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Docket Number R2019/04/0229.Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Art.83 GDPR - General Conditions for Imposing Administrative Fines". 一般データ保護規則（GDPR, 29 Mar. 2018, gdpr-info.eu/art-83-gdpr/ [accessed 14.12.2020].

この記事の内容は、一般的な目安を示すことを目的としています。あなたの具体的な状況については、専門家のアドバイスを求めるべきです。