Austria: Rozwój austriackiego orzecznictwa: Naruszenia prywatności danych i RODO

W niedawnej decyzji wydanej w dniu 26.11.2020 r.^[1] austriacki Federalny Sąd Administracyjny (Bundesverwaltungsgericht, BVwG) uchylił grzywnę w wysokości 18 mln EUR nałożoną na austriacką pocztę (APS) przez austriacki organ ochrony danych (DPA). Sprawa koncentruje się na tych samych faktach, które zostały rozpatrzone przez BVwG w odrębnej decyzji^[2]. Sąd utrzymał w mocy karę administracyjną nałożoną przez DPA na APS, która została oskarżona o niezgodne z prawem przetwarzanie i sprzedaż danych osobowych klientów, takich jak prywatne adresy i domniemane sympatie polityczne, stronom trzecim w celach marketingowych.

W przedmiotowej decyzji BVwG uznało bezprawny charakter postępowania APS, jednak uchyliło karę nałożoną przez organ ochrony danych, opierając się na braku ustalenia, że zarówno osoby prawne, jak i fizyczne, działające w imieniu APS, były odpowiedzialne za przedmiotowe zawinienie.

Fakty

Faktyczne początki sprawy sięgają raportu platformy dziennikarskiej Addendum ze stycznia 2019 r.^[3], w którym stwierdzono, że oprócz informacji o adresach prywatnych, płci i wieku, wykształceniu, a także preferencjach dotyczących inwestycji lub darowizn, APS gromadził również dane o postrzeganych poglądach politycznych około 3 milionów klientów^[4].

Po przeprowadzeniu dochodzenia z urzędu, organ ochrony danych

• Stwierdził, że postępowanie polegające na badaniu czynników socjodemograficznych i przetwarzaniu informacji dotyczących preferencji politycznych danej osoby bez żadnej podstawy prawnej kwalifikuje się jako szczególna kategoria danych osobowych zgodnie z art. 9 ust. 1 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) (RODO), a zatem wymaga uprzedniej wyraźnej zgody zainteresowanej strony (art. 9 ust. 2 lit. a) RODO; § 151 ust. 4 Gewerbeordnung, GewO);
• nakazał zakończenie przetwarzania danych i usunięcie już zgromadzonych informacji w terminie dwóch tygodni;
• Stwierdzono, że APS nie przeprowadziła odpowiedniej oceny skutków dla ochrony danych (przed 25.05.2018 r.), ponieważ niesłusznie nie uznała przynależności politycznej za szczególną kategorię danych osobowych.

APS odpowiedziała w drodze odwołania, argumentując, że informacje o sympatiach politycznych osoby prywatnej nie kwalifikują się jako dane osobowe, ponieważ takie informacje są gromadzone za pomocą anonimowych sondaży dostarczających ogólnych prognoz. Ponieważ tych obliczeń prawdopodobieństwa nie można skorygować (art. 16 RODO), uznaje się je za informacje marketingowe i klasyfikuje zgodnie z §151(6) RODO. Dodano jednak, że nawet jeśli są one uważane za dane osobowe, nie kwalifikują się jako specjalna kategoria tych ostatnich.

Jeszcze w listopadzie BVwG potwierdził decyzję organu ochrony danych i orzekł, że przetwarzanie danych dotyczących sympatii do partii politycznej kwalifikuje się jako dane osobowe zgodnie z art. 4 ust. 1 RODO. Biorąc pod uwagę, że uzyskane informacje można przypisać konkretnej, możliwej do zidentyfikowania osobie prywatnej, której przekonania polityczne mają być chronione przed dyskryminacją zgodnie z art. 9 RODO, należy je traktować jako szczególną kategorię danych osobowych, a zatem wymagającą uprzedniej zgody. Ta część decyzji jest obecnie rozpatrywana przez austriacki Naczelny Sąd Administracyjny (Verwaltungsgerichtshof, VwGH).

Kwestia rozważana w niniejszym artykule dotyczy jednak innego aspektu prawnego tej samej sprawy.

Opierając się na faktach przedstawionych powyżej, sprawa koncentruje się na domniemanym naruszeniu przez APS art. 5 ust. 1, art. 6 ust. 2, art. 6 ust. 4, art. 9, 14, 30, 35 i 36 RODO. Jest ona następstwem odwołania złożonego przez APS w oparciu o argument, że grzywna została nałożona bez ustalenia winy osób fizycznych działających w jej imieniu (art. 4 ust. 7 RODO).

Poniżej skupimy się na niedawnej decyzji BVwG o uchyleniu grzywny nałożonej przez organ ochrony danych w świetle wcześniejszych wniosków wyciągniętych przez VwGH. Trybunał orzekł tam, że domniemane faktyczne, niezgodne z prawem i zawinione zachowanie musi być również przypisane osobie fizycznej (art. 44a VStG), aby osoba prawna mogła zostać pociągnięta do odpowiedzialności^[5].

Kwestia

Ponieważ RODO ma na celu i faktycznie przewiduje bezpośrednią odpowiedzialność osób prawnych bez konieczności udowodnienia indywidualnego wykroczenia przez osobę prywatną, BVwG musiał rozważyć następujące kwestie:

1. Czy organ ochrony danych był uprawniony do nałożenia grzywny zgodnie z art. 83 RODO na osobę prawną w przypadku braku wykazania zawinionego zachowania osoby fizycznej działającej w imieniu osoby prawnej;

2. czy krajowe przepisy prawa karnego administracyjnego znajdują zastosowanie, czy też rozpatrywaną kwestię należy rozpatrywać w świetle przepisów RODO.

Decyzja

Trybunał orzekł, że grzywna nałożona przez organ ochrony danych na podstawie przepisów art. 83 RODO podlega przepisom austriackiej ustawy o karach administracyjnych (Verwaltungsstrafgesetz, VStG) oraz austriackiej ustawy o ochronie danych (Datenschutzgesetz, DSG). Krajowe przepisy proceduralne mają zastosowanie w kontekście grzywien nakładanych z powodu naruszenia na mocy RODO, ponieważ art. 83 ust. 8 stanowi: "Wykonywanie przez organ nadzorczy jego uprawnień [...] podlega odpowiednim zabezpieczeniom proceduralnym zgodnie z prawem Unii i prawem państwa członkowskiego, w tym skutecznym sądowym środkom ochrony prawnej i rzetelnemu procesowi"^[6].

Ponadto ustalono, że organ ochrony danych nie działał zgodnie z §§ 44a, 45 VStG, a także § 30 DSG, zaniedbując udowodnienie winy osób fizycznych, które działały w imieniu APS, takich jak osoby reprezentujące, sprawujące kontrolę lub podejmujące decyzje w imieniu tego ostatniego.

Komentarz

Chociaż kara nałożona na APS mogła zostać uchylona przez BVwG, jego decyzja opiera się na błędzie formalnym po stronie organu ochrony danych. W związku z tym należy ją traktować odrębnie i nie stoi ona w sprzeczności z wcześniejszym orzeczeniem BVwG, w którym stwierdzono, że przetwarzanie danych osobowych dotyczących sympatii do partii politycznej rodzi odpowiedzialność.

Zasoby

1. Numer sprawy: Docket Number W258 2217446-1/14E. Dostępne pod adresem: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Numer sprawy: Docket Number W258 2217446-1/35E. Dostępne przez: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Addendum, 28 lipca 2020 r., www.addendum.org/datenhandel/parteiaffinitaet/ [dostęp 10.12.2020].
4. Więcej informacji można znaleźć w komunikatach prasowych austriackiej poczty zatytułowanych "Kamienie milowe i perspektywy na lata 2019 i 2020" (29.10.2019) oraz Europejskiej Rady Ochrony Danych zatytułowanych "Administracyjne postępowanie karne austriackiego organu ochrony danych przeciwko Österreichische Post AG" (23.10.2019), dostępnych pod adresem: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Numer sprawy R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Art. 83 RODO - Ogólne warunki nakładania grzywien administracyjnych", Ogólne rozporządzenie o ochronie danych (RODO), 29 marca 2018 r., gdpr-info.eu/art-83-gdpr/ [dostęp 14.12.2020].

Treść niniejszego artykułu ma na celu zapewnienie ogólnego przewodnika po temacie. W konkretnych okolicznościach należy zasięgnąć porady specjalisty.