W ostatniej decyzji wydanej w dniu 26.11.2020 r,¹ austriacki Federalny Sąd Administracyjny (Bundesverwaltungsgericht(BVwG) uchylił grzywnę w wysokości 18 mln EUR nałożoną na Austrian Postal Service (APS) przez austriacki organ ochrony danych (DPA). Sprawa dotyczy tych samych faktów, które BVwG rozpatrywał w odrębnej decyzji.² Sąd utrzymał w mocy karę administracyjną nałożoną przez organ ochrony danych na APS, której zarzucono niezgodne z prawem przetwarzanie i sprzedaż osobom trzecim w celach marketingowych danych osobowych klientów, takich jak adresy prywatne i deklarowane sympatie polityczne.

W przedmiotowej decyzji BVwG uznał bezprawny charakter zachowania APS, jednak uchylił karę nałożoną przez organ ochrony danych, opierając się na braku ustalenia, że zarówno osoby prawne, jak i fizyczne, działające w imieniu APS, były odpowiedzialne za przedmiotowe zawinienie.

Fakty

Geneza merytoryczna sprawy sięga raportu platformy dziennikarskiej Addendum ze stycznia 2019 roku,³ stwierdzając, że oprócz informacji o adresach prywatnych, płci i wieku, wykształceniu, a także preferencjach dotyczących inwestycji lub darowizn, APS gromadził również dane o postrzeganych sympatiach politycznych około 3 milionów klientów.⁴

Po przeprowadzeniu dochodzenia z urzędu, organ ochrony danych:

• Stwierdził, że postępowanie polegające na dociekaniu czynników socjodemograficznych i przetwarzaniu informacji dotyczących preferencji politycznych osoby fizycznej bez żadnej podstawy prawnej, kwalifikuje się jako szczególna kategoria danych osobowych zgodnie z art. 9 ust. 1 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) (GDPR), wymagając tym samym uprzedniej wyraźnej zgody zainteresowanego (art. 9 ust. 2 lit. a) GDPR; § 151 ust. 4 Gewerbeordnung, GewO);

• Nakazał zaprzestanie przetwarzania danych i usunięcie zgromadzonych już informacji w terminie dwóch tygodni;

• Uznał, że APS nie przeprowadził odpowiedniej oceny skutków dla ochrony danych (przed 25.05.2018 r.), ponieważ niesłusznie nie uznał przynależności politycznej za szczególną kategorię danych osobowych.

APS odpowiedziała w drodze odwołania, argumentując, że informacje na temat sympatii politycznych osoby prywatnej nie kwalifikują się jako dane osobowe, ponieważ takie informacje są gromadzone za pomocą anonimowych sondaży dostarczających ogólnych prognoz. Ponieważ te obliczenia prawdopodobieństwa nie mogą być skorygowane (art. 16 GDPR), są one uważane za informacje marketingowe i klasyfikowane zgodnie z § 151 ust. 6 GewO. Dodano jednak, że nawet jeśli uznaje się je za dane osobowe, nie kwalifikują się one do kategorii specjalnej.

Jeszcze w listopadzie BVwG potwierdził decyzję organu ochrony danych i uznał, że przetwarzanie danych dotyczących sympatii do partii politycznej kwalifikuje się jako dane osobowe zgodnie z art. 4 ust. 1 GDPR. Biorąc pod uwagę, że uzyskane informacje można przypisać do konkretnej, możliwej do zidentyfikowania osoby prywatnej, której przekonania polityczne należy chronić przed dyskryminacją zgodnie z art. 9 GDPR, należy je traktować jako szczególną kategorię danych osobowych, a zatem wymagają one uprzedniej zgody. Ta część decyzji jest obecnie rozpatrywana przez Austriacki Najwyższy Sąd Administracyjny (Verwaltungsgerichtshof, VwGH).

Kwestia rozpatrywana w niniejszym artykule dotyczy jednak innego aspektu prawnego tej samej sprawy.

Opierając się na faktach przedstawionych powyżej, sprawa dotyczy domniemanego naruszenia przez APS art. 5 ust. 1, art. 6 ust. 2, art. 6 ust. 4, art. 9, 14, 30, 35 i 36 GDPR. Jest ona następstwem odwołania złożonego przez APS w oparciu o argument, że grzywna została nałożona bez stwierdzenia zawinienia ze strony osób fizycznych działających w jego imieniu (art. 4 ust. 7 GDPR).

Poniżej skoncentrujemy się na niedawnej decyzji BVwG o uchyleniu grzywny nałożonej przez DPA w świetle wcześniejszych wniosków wyciągniętych przez VwGH. Sąd uznał tam, że aby osoba prawna mogła zostać pociągnięta do odpowiedzialności, domniemane faktyczne, bezprawne i zawinione zachowanie musi być również przypisane osobie fizycznej (§ 44a VStG).⁵

Kwestia

Ponieważ GDPR ma na celu i faktycznie przewiduje bezpośrednią odpowiedzialność osób prawnych bez konieczności udowodnienia indywidualnego wykroczenia osoby prywatnej, BVwG musiał rozważyć następujące kwestie:

1. Czy organ ochrony danych był uprawniony do nałożenia grzywny na podstawie art. 83 GDPR na osobę prawną w przypadku braku wykazania zawinionego zachowania osoby fizycznej działającej w imieniu osoby prawnej;

2. Czy zastosowanie mają przepisy krajowego prawa karnego administracyjnego, czy też rozpatrywaną kwestię należy zbadać w świetle przepisów GDPR.

Decyzja

Trybunał orzekł, że grzywna nałożona na podstawie przepisów art. 83 GDPR wchodzi w zakres przepisów austriackiej ustawy o karach administracyjnych (Verwaltungsstrafgesetz(VStG), jak również austriackiej ustawy o ochronie danych (DatenschutzgesetzDSG). Krajowe przepisy proceduralne mają zastosowanie w kontekście grzywien nakładanych w związku z naruszeniem na mocy GDPR, ponieważ art. 83 ust. 8 stanowi: "Wykonywanie przez organ nadzorczy swoich uprawnień [...] podlega odpowiednim gwarancjom proceduralnym zgodnie z prawem Unii i prawem państwa członkowskiego, w tym skutecznym sądowym środkom ochrony prawnej i należytemu postępowaniu.⁶

Ustalił on ponadto, że organ ochrony danych nie działał zgodnie z §§ 44a, 45 VStG oraz § 30 DSG poprzez zaniedbanie udowodnienia zawinienia po stronie osób fizycznych, które działały w imieniu APS, takich jak osoby reprezentujące, sprawujące kontrolę lub podejmujące decyzje w imieniu tej ostatniej.

Komentarz

Chociaż BVwG mógł uchylić karę nałożoną na APS, jego decyzja opiera się na błędzie formalnym popełnionym przez organ ochrony danych. W związku z tym należy ją traktować odrębnie i nie stoi ona w sprzeczności z wcześniejszym orzeczeniem BVwG, w którym stwierdzono, że postępowanie polegające na przetwarzaniu danych dotyczących sympatii osobistej do partii politycznej powoduje powstanie odpowiedzialności.

Przypisy

1 Docket Number: Docket Number W258 2217446-1/14E. Dostępne za pośrednictwem: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Docket Number: Docket Number W258 2217446-1/35E. Dostępne za pośrednictwem: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift". Uzupełnienie, 28 lipca 2020 r, www.addendum.org/datenhandel/parteiaffinitaet/ [dostęp 10.12.2020].

4 Więcej informacji można znaleźć w komunikatach prasowych zarówno austriackiej poczty zatytułowanych "Kamienie milowe i perspektywy na lata 2019 i 2020" (29.10.2019), jak i Europejskiej Rady Ochrony Danych zatytułowanych "Administracyjne postępowanie karne austriackiego organu ochrony danych przeciwko Österreichische Post AG (23.10.2019), dostępnych za pośrednictwem: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Docket Number R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Art. 83 GDPR - Ogólne warunki nakładania kar administracyjnych." Ogólne rozporządzenie o ochronie danych (GDPR), 29 Mar. 2018, gdpr-info.eu/art-83-gdpr/ [dostęp 14.12.2020].

Treść tego artykułu ma na celu dostarczenie ogólnego przewodnika na ten temat. Należy zwrócić się o poradę specjalistyczną dotyczącą konkretnych okoliczności.