Neseniai priimtame sprendime, paskelbtame 2020 11 26,¹ Austrijos federalinis administracinis teismas (vok.Bundesverwaltungsgericht(BVwG) panaikino 18 mln. eurų baudą, kurią Austrijos duomenų apsaugos institucija (DAI) skyrė Austrijos pašto tarnybai (APS). Byloje nagrinėjami tie patys faktai, kuriuos BVwG nagrinėjo atskirame sprendime.² Teismas paliko galioti DAI administracinę nuobaudą, skirtą APS, kuri buvo kaltinama neteisėtai tvarkiusi ir pardavinėjusi klientų asmens duomenis, pavyzdžiui, privačius adresus ir numanomas politines pažiūras, trečiosioms šalims rinkodaros tikslais.

Šiame sprendime BVwG pripažino, kad APS veiksmai buvo neteisėti, tačiau panaikino DAI skirtą nuobaudą, nes nebuvo nustatyta, kad tiek juridiniai, tiek fiziniai asmenys, veikę APS vardu, buvo atsakingi už aptariamą kaltę.

Faktai

Faktinės bylos ištakos siekia 2019 m. sausio mėn. žurnalistikos platformos "Addendum" pranešimą,³ kuriame teigiama, kad be informacijos apie privačius adresus, lytį ir amžių, išsilavinimą, taip pat apie investavimo ar aukojimo pageidavimus, APS taip pat rinko duomenis apie maždaug 3 mln. klientų politines pažiūras.⁴

Atlikusi ex officio tyrimą, DPA:

• Padarė išvadą, kad sociodemografinių veiksnių tyrimas ir informacijos apie asmens politines preferencijas tvarkymas be jokio teisinio pagrindo laikytinas specialios kategorijos asmens duomenimis pagal Bendrojo duomenų apsaugos reglamento (Reglamentas (ES) 2016/679) (BDAR) 9 straipsnio 1 dalį, todėl būtinas išankstinis aiškus atitinkamos šalies sutikimas (BDAR 9 straipsnio 2 dalies a punktas; 151 straipsnio 4 dalis). Gewerbeordnung, GewO);

• Nurodė nutraukti duomenų tvarkymą ir per dvi savaites ištrinti jau surinktą informaciją;

• Konstatavo, kad APS neatliko tinkamo poveikio duomenų apsaugai vertinimo (iki 2018 05 25), nes nepagrįstai politinės priklausomybės nelaikė specialia asmens duomenų kategorija.

APS pateikė apeliacinį skundą, kuriame teigė, kad informacija apie privataus asmens politines pažiūras nelaikytina asmens duomenimis, nes tokia informacija renkama atliekant anonimines apklausas, kuriose pateikiamos bendros prognozės. Kadangi šių tikimybių skaičiavimų negalima ištaisyti (BDAR 16 straipsnis), jie laikomi rinkodaros informacija ir klasifikuojami pagal GewO 151 straipsnio 6 dalį. Vis dėlto buvo pridurta, kad net jei jie laikomi asmens duomenimis, jie neatitinka pastarosios specialios kategorijos.

Dar lapkričio mėnesį BVwG patvirtino DAI sprendimą ir nusprendė, kad duomenų apie priklausomybę politinei partijai tvarkymo veiksmai laikytini asmens duomenimis pagal BDAR 4 straipsnio 1 dalį. Atsižvelgiant į tai, kad gautą informaciją galima priskirti konkrečiai identifikuojamam privačiam asmeniui, kurio politiniai įsitikinimai turi būti saugomi nuo diskriminacijos pagal BDAR 9 straipsnį, ji laikytina specialios kategorijos asmens duomenimis, todėl reikalingas išankstinis sutikimas. Ši sprendimo dalis šiuo metu nagrinėjama Austrijos vyriausiasis administracinis teismas (Verwaltungsgerichtshof, VwGH).

Tačiau šiame straipsnyje nagrinėjamas klausimas susijęs su kitu tos pačios bylos teisiniu aspektu.

Remdamasi pirmiau išdėstytais faktais, byla grindžiama įtarimu, kad APS pažeidė BDAR 5 straipsnio 1 dalį, 6 straipsnio 2 ir 4 dalis, 9, 14, 30, 35 ir 36 straipsnius. Ji nagrinėjama po APS pateikto apeliacinio skundo, grindžiamo argumentu, kad bauda paskirta nenustačius jos vardu veikiančių fizinių asmenų kaltės (BDAR 4 straipsnio 7 dalis).

Toliau daugiausia dėmesio bus skiriama naujausiam BVwG sprendimui panaikinti DPA skirtą baudą, atsižvelgiant į ankstesnes VwGH išvadas. Jame Teismas nusprendė, kad tam, jog juridinis asmuo galėtų būti laikomas atsakingu, įtariamas faktinis, neteisėtas ir kaltas elgesys taip pat turi būti priskiriamas fiziniam asmeniui (VStG 44a straipsnis).⁵

Problema

Kadangi pagal BDAR ketinama ir iš tiesų numatoma tiesioginė juridinių asmenų atsakomybė, nereikalaujant įrodyti, kad privatus asmuo padarė individualų nusižengimą, BVwG turėjo atsižvelgti į tai, kas išdėstyta toliau:

1. Ar DAI turėjo teisę skirti baudą juridiniam asmeniui pagal BDAR 83 straipsnį, jei nebuvo įrodyta, kad fizinis asmuo, veikiantis juridinio asmens vardu, elgėsi kaltai;

2. Ar taikomos nacionalinės administracinių nuobaudų teisės normos, ar nagrinėjamas klausimas turi būti nagrinėjamas atsižvelgiant į BDAR taisykles.

Sprendimas

Teismas nusprendė, kad DPA bauda, paskirta remiantis BDAR 83 straipsnio nuostatomis, patenka į Austrijos administracinių nuobaudų įstatymo (Verwaltungsstrafgesetz, VStG), taip pat Austrijos duomenų apsaugos įstatymą (angl.Datenschutzgesetz, DSG). Nacionalinės procesinės taisyklės taikomos skiriant baudas dėl BDAR pažeidimo, nes 83 straipsnio 8 dalyje nustatyta: "Priežiūros institucijai naudojantis savo įgaliojimais [...] taikomos tinkamos procedūrinės apsaugos priemonės pagal Sąjungos ir valstybės narės teisę, įskaitant veiksmingą teisminę gynybą ir tinkamą teisminį procesą".⁶

Be to, ji nustatė, kad DAI nesilaikė VStG 44a, 45 straipsnių ir DSG 30 straipsnio, nes neįrodė APS vardu veikusių fizinių asmenų, pavyzdžiui, APS atstovaujančių, ją kontroliuojančių ar jos vardu sprendimus priimančių asmenų, kaltės.

Komentaras

Nors BVwG galėjo panaikinti APS skirtą nuobaudą, jos sprendimas grindžiamas formalia DAI klaida. Todėl jis turi būti vertinamas atskirai ir neprieštarauja ankstesniam BVwG sprendimui, kuriame buvo padaryta išvada, kad atsakomybė kyla už duomenų apie asmens priklausomybę politinei partijai tvarkymo veiksmus.

Pastabos

1 Dokumento numeris: W258 2217446-1/14E. Galima rasti per: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Dokumento numeris: W258 2217446-1/35E. Galima gauti per: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift". Priedas, 2020 m. liepos 28 d, www.addendum.org/datenhandel/parteiaffinitaet/ [žiūrėta 2020 12 10].

4 Daugiau informacijos rasite Austrijos pašto tarnybos pranešime spaudai "2019 ir 2020 m. gairės ir perspektyvos" (2019 10 29) ir Europos duomenų apsaugos valdybos pranešime spaudai "Austrijos duomenų apsaugos institucijos administracinė baudžiamoji byla prieš Österreichische Post AG" (2019 10 23), kurį galima rasti adresu: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Dokumento numeris R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "BDAR 83 straipsnis - bendrosios administracinių baudų skyrimo sąlygos". Bendrasis duomenų apsaugos reglamentas (BDAR), 2018 m. kovo 29 d., gdpr-info.eu/art-83-gdpr/ [žiūrėta 2020 12 14].

Šio straipsnio turinys yra skirtas bendram šios temos aiškinimui. Dėl konkrečių aplinkybių reikėtų kreiptis į specialistus.