Kalbos

Austrija: Austrijos teismų praktikos raida: Duomenų privatumo pažeidimai ir BDAR

Leidiniai: gegužės 20, 2021

Grįžti į apžvalgą

Autoriai

Susiję ekspertų vadovai

Neseniai, 2020 11 26, priimtu sprendimu[1] Austrijos federalinis administracinis teismas (Bundesverwaltungsgericht, BVwG) panaikino 18 mln. eurų baudą, kurią Austrijos duomenų apsaugos institucija (DAI) skyrė Austrijos pašto tarnybai (APS). Byloje nagrinėjami tie patys faktai, kuriuos BVwG išnagrinėjo atskirame sprendime[2]. Jame Teismas paliko galioti DPA administracinę nuobaudą, skirtą APS, kuri buvo kaltinama neteisėtai tvarkiusi ir rinkodaros tikslais pardavinėjusi trečiosioms šalims klientų asmens duomenis, pavyzdžiui, privačius adresus ir numanomas politines pažiūras.

Šiame sprendime BVwG pripažino, kad APS veiksmai buvo neteisėti, tačiau panaikino DAI skirtą nuobaudą, nes nebuvo nustatyta, kad tiek juridiniai, tiek fiziniai asmenys, veikę APS vardu, buvo atsakingi už aptariamą kaltę.

Faktai

Faktinės bylos ištakos siekia 2019 m. sausio mėn. žurnalistikos platformos "Addendum" pranešimą[3], kuriame teigiama, kad be informacijos apie privačius adresus, lytį ir amžių, išsilavinimą, taip pat pageidavimus, susijusius su investicijomis ar aukomis, APS taip pat rinko duomenis apie maždaug 3 mln. klientų numanomas politines pažiūras[4].

Atlikusi ex officio tyrimą, DPA:

  • APS padarė išvadą, kad sociodemografinių veiksnių tyrimas ir informacijos apie asmens politines preferencijas tvarkymas be jokio teisinio pagrindo laikytinas specialios kategorijos asmens duomenimis pagal Bendrojo duomenų apsaugos reglamento (Reglamentas (ES) 2016/679) (BDAR) 9 straipsnio 1 dalį, todėl būtinas išankstinis aiškus suinteresuotos šalies sutikimas (BDAR 9 straipsnio 2 dalies a punktas; Gewerbeordnung (GewO) 151 straipsnio 4 dalis);
  • nurodė nutraukti duomenų tvarkymą ir ištrinti jau surinktą informaciją per dvi savaites;
  • Konstatavo, kad APS neatliko tinkamo poveikio duomenų apsaugai vertinimo (iki 2018 05 25), nes nepagrįstai politinės priklausomybės nelaikė specialia asmens duomenų kategorija.

APS pateikė atsakymą į apeliacinį skundą, kuriame teigė, kad informacija apie privataus asmens politinę priklausomybę nelaikytina asmens duomenimis, atsižvelgiant į tai, kad tokia informacija renkama atliekant anonimines apklausas, kuriomis pateikiamos bendros prognozės. Kadangi šių tikimybių skaičiavimų negalima ištaisyti (BDAR 16 straipsnis), jie laikomi rinkodaros informacija ir klasifikuojami pagal GewO 151 straipsnio 6 dalį. Vis dėlto buvo pridurta, kad net jei jie laikomi asmens duomenimis, jie neatitinka pastarosios specialios kategorijos.

Dar lapkričio mėnesį BVwG patvirtino DAI sprendimą ir nusprendė, kad duomenų apie priklausomybę politinei partijai tvarkymo veiksmai iš tiesų laikytini asmens duomenimis pagal BDAR 4 straipsnio 1 dalį. Atsižvelgiant į tai, kad gautą informaciją galima priskirti konkrečiai identifikuojamam privačiam asmeniui, kurio politiniai įsitikinimai turi būti saugomi nuo diskriminacijos pagal BDAR 9 straipsnį, ji laikytina specialios kategorijos asmens duomenimis, todėl reikalingas išankstinis sutikimas. Ši sprendimo dalis šiuo metu nagrinėjama Austrijos Aukščiausiajame administraciniame teisme (Verwaltungsgerichtshof, VwGH).

Tačiau šiame straipsnyje nagrinėjamas klausimas susijęs su kitu tos pačios bylos teisiniu aspektu.

Remiantis pirmiau išdėstytais faktais, byloje daugiausia dėmesio skiriama tariamam APS padarytam BDAR 5 straipsnio 1 dalies, 6 straipsnio 2 ir 4 dalių, 9, 14, 30, 35 ir 36 straipsnių pažeidimui. Ji nagrinėjama po APS pateikto apeliacinio skundo, grindžiamo argumentu, kad bauda paskirta nenustačius jos vardu veikiančių fizinių asmenų kaltės (BDAR 4 straipsnio 7 dalis).

Toliau daugiausia dėmesio bus skiriama naujausiam BVwG sprendimui panaikinti DAI skirtą baudą atsižvelgiant į ankstesnes VwGH išvadas. Jame Teismas nusprendė, kad tam, jog juridinis asmuo galėtų būti laikomas atsakingu, tariamas faktinis, neteisėtas ir kaltas elgesys taip pat turi būti priskiriamas fiziniam asmeniui (VStG 44a straipsnis)[5].

Problema

Kadangi pagal BDAR ketinama ir iš tiesų numatoma tiesioginė juridinių asmenų atsakomybė, nereikalaujant įrodyti individualių fizinio asmens neteisėtų veiksmų, BVwG turėjo apsvarstyti šiuos klausimus:

  1. Ar DAI turėjo teisę skirti baudą pagal BDAR 83 straipsnį juridiniam asmeniui, jei nebuvo įrodytas kaltas fizinio asmens, veikiančio juridinio asmens vardu, elgesys;

  2. ar taikytinos nacionalinės administracinių nuobaudų teisės normos, ar nagrinėjamas klausimas turi būti nagrinėjamas atsižvelgiant į BDAR taisykles.

Sprendimas

Teismas nusprendė, kad DPA bauda, paskirta remiantis BDAR 83 straipsnio nuostatomis, patenka į Austrijos administracinių nuobaudų įstatymo (Verwaltungsstrafgesetz, VStG) ir Austrijos duomenų apsaugos įstatymo (Datenschutzgesetz, DSG) taikymo sritį. Skiriant baudas dėl BDAR pažeidimo taikomos nacionalinės procesinės taisyklės, nes 83 straipsnio 8 dalyje nustatyta, kad "Priežiūros institucijai naudojantis savo įgaliojimais [...] taikomos tinkamos procedūrinės apsaugos priemonės pagal Sąjungos ir valstybės narės teisę, įskaitant veiksmingą teisminę gynybą ir tinkamą teisminį procesą"[6].

Be to, ji nustatė, kad DAI nesilaikė VStG 44a, 45 straipsnių ir DSG 30 straipsnio, nes neįrodė fizinių asmenų, kurie veikė APS vardu, pavyzdžiui, asmenų, atstovaujančių APS, vykdančių jos kontrolę ar priimančių sprendimus jos vardu, kaltės.

Komentaras

Nors BVwG panaikino APS paskirtą nuobaudą, jos sprendimas grindžiamas formalia DPA klaida. Todėl jis turi būti vertinamas atskirai ir neprieštarauja ankstesniam BVwG sprendimui, kuriame buvo padaryta išvada, kad atsakomybė kyla už veiksmus, susijusius su asmens priklausomybės politinei partijai duomenų tvarkymu.

Ištekliai

  1. Dokumento numeris: W258 2217446-1/14E. Prieiga per: https://www.ris.bka.gv.at/Dokument.wxe? ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
  2. Dokumento numeris: W258 2217446-1/35E. Prieiga per: https: //www.ris.bka.gv.at/Dokument.wxe? ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
  3. "Wenn Die Post Partei Ergreift." Papildymas, 2020 m. liepos 28 d., www.addendum.org/datenhandel/parteiaffinitaet/ [žiūrėta 2020 12 10].
  4. Daugiau informacijos rasite tiek Austrijos pašto tarnybos pranešime spaudai "2019 ir 2020 m. orientyrai ir perspektyvos" (2019 10 29), tiek Europos duomenų apsaugos valdybos pranešime spaudai "Austrijos duomenų apsaugos institucijos administracinė baudžiamoji byla prieš Österreichische Post AG" (2019 10 23), kurį galima rasti adresu: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
  5. Dokumento numeris R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
  6. "BDAR 83 straipsnis - Bendrosios administracinių baudų skyrimo sąlygos." Bendrasis duomenų apsaugos reglamentas (BDAR), 2018 m. kovo 29 d., gdpr-info.eu/art-83-gdpr/ [žiūrėta 2020 12 14].

Šio straipsnio turinys skirtas pateikti bendrąsias gaires apie nagrinėjamą temą. Dėl konkrečių jūsų aplinkybių reikėtų kreiptis į specialistus.

Grįžti į apžvalgą