Austria: Evoluții în jurisprudența austriacă: Încălcarea confidențialității datelor și GDPR

Într-o decizie recentă, pronunțată la 26.11.2020,^[1] Curtea Administrativă Federală din Austria (Bundesverwaltungsgericht, BVwG) a anulat o amendă de 18 milioane EUR care fusese aplicată Serviciului poștal austriac (APS) de către autoritatea austriacă pentru protecția datelor (DPA). Cauza se axează pe aceleași fapte examinate de BVwG într-o decizie separată^[2]. În această decizie, Curtea a confirmat sancțiunea administrativă aplicată de DPA împotriva APS, care fusese acuzat de prelucrarea și vânzarea ilegală către terți, în scopuri de marketing, a datelor cu caracter personal ale clienților, cum ar fi adresele private și apartenența politică presupusă.

În decizia în cauză, BVwG a recunoscut natura ilegală a comportamentului APS, însă a anulat sancțiunea aplicată de DPA, pe baza omisiunii acesteia de a stabili că atât persoanele juridice, cât și cele fizice, care acționau în numele APS, au fost responsabile de vinovăția în cauză.

Faptele

Originile faptice ale cauzei datează dintr-un raport al platformei jurnalistice Addendum din ianuarie 2019^[3], în care se afirmă că, pe lângă informațiile privind adresele private, sexul și vârsta, educația, precum și preferințele privind investițiile sau donațiile, APS a colectat, de asemenea, date privind înclinațiile politice percepute ale aproximativ 3 milioane de clienți^[4].

În urma unei investigații din oficiu, DPA

• a concluzionat că anchetarea factorilor sociodemografici și prelucrarea informațiilor privind preferințele politice ale unei persoane fără niciun temei juridic se califică drept o categorie specială de date cu caracter personal în conformitate cu articolul 9 alineatul (1) din Regulamentul general privind protecția datelor [Regulamentul (UE) 2016/679] (GDPR), necesitând astfel aprobarea explicită prealabilă a părții vizate [articolul 9 alineatul (2) litera (a) din GDPR; § 151 alineatul (4) din Gewerbeordnung, GewO];
• a dispus încetarea prelucrării datelor și ștergerea informațiilor deja colectate într-un termen de două săptămâni;
• A considerat că APS nu a efectuat o evaluare adecvată a impactului asupra protecției datelor (înainte de 25.5.2018), deoarece nu a considerat în mod greșit afilierea politică drept o categorie specială de date cu caracter personal.

APS a răspuns prin intermediul recursului, argumentând că informațiile privind afinitatea politică a unei persoane fizice nu se califică drept date cu caracter personal, având în vedere că astfel de informații sunt colectate prin sondaje anonimizate care furnizează proiecții generale. Deoarece aceste calcule de probabilitate nu pot fi rectificate (articolul 16 din GDPR), ele sunt considerate informații de marketing și clasificare în conformitate cu §151(6) din GewO. Cu toate acestea, s-a adăugat că, chiar dacă sunt considerate date cu caracter personal, acestea din urmă nu se califică drept o categorie specială.

Încă din noiembrie, BVwG a confirmat decizia APD și a considerat că desfășurarea prelucrării datelor privind afinitatea pentru un partid politic se califică drept date cu caracter personal în conformitate cu articolul 4 alineatul (1) din RGPD. Având în vedere că informațiile obținute ar putea fi atribuite unei persoane fizice identificabile în mod specific, ale cărei convingeri politice trebuie protejate împotriva discriminării în conformitate cu articolul 9 din RGPD, acestea trebuie tratate ca o categorie specială de date cu caracter personal, necesitând astfel consimțământul prealabil. Această parte a deciziei este în prezent pendinte în fața Curții Supreme Administrative din Austria (Verwaltungsgerichtshof, VwGH).

Cu toate acestea, subiectul analizat în acest articol se referă la un aspect juridic diferit al aceluiași caz.

Pornind de la faptele descrise mai sus, cauza se axează pe presupusa încălcare de către APS a articolului 5 alineatul (1), a articolului 6 alineatele (2) și (4), a articolelor 9, 14, 30, 35 și 36 din RGPD. Aceasta urmează unei căi de atac introduse de APS pe baza argumentului că amenda a fost emisă fără stabilirea vinovăției din partea persoanelor fizice care acționează în numele său [articolul 4 alineatul (7) din RGPD].

În cele ce urmează, ne vom concentra asupra deciziei recente a BVwG de a anula amenda aplicată de APD în lumina concluziilor anterioare ale VwGH. Acolo, Curtea a susținut că presupusul comportament faptic, ilegal și culpabil trebuie, de asemenea, să poată fi atribuit unei persoane fizice (secțiunea 44a VStG) pentru ca o persoană juridică să poată fi trasă la răspundere^[5].

Problema

Întrucât GDPR intenționează și prevede într-adevăr răspunderea directă a persoanelor juridice fără a fi necesară dovedirea unei fapte ilicite individuale săvârșite de o persoană fizică, BVwG a trebuit să analizeze următoarele:

1. Dacă APD a fost îndreptățită să impună o amendă în temeiul articolului 83 din RGPD unei persoane juridice în absența demonstrării unui comportament culpabil din partea unei persoane fizice care acționează în numele unei persoane juridice;

2. dacă se aplică normele naționale de drept administrativ penal sau dacă problema în cauză trebuie examinată în lumina normelor GDPR.

Decizia

Curtea a statuat că amenda DPA, aplicată în temeiul dispozițiilor articolului 83 din RGPD, intră sub incidența dispozițiilor Legii penale administrative austriece (Verwaltungsstrafgesetz, VStG), precum și a Legii austriece privind protecția datelor (Datenschutzgesetz, DSG). Normele procedurale naționale sunt aplicabile în contextul amenzilor impuse ca urmare a unei încălcări în temeiul RGPD, deoarece articolul 83 alineatul (8) prevede "Exercitarea de către autoritatea de supraveghere a competențelor sale [...] face obiectul unor garanții procedurale adecvate, în conformitate cu dreptul Uniunii și al statelor membre, inclusiv o cale de atac judiciară efectivă și un proces echitabil."^[6]

De asemenea, s-a stabilit că APD nu a acționat în conformitate cu §§ 44a, 45 VStG, precum și cu § 30 DSG, prin faptul că a omis să dovedească vinovăția persoanelor fizice care au acționat în numele APS, cum ar fi persoanele care reprezintă, exercită controlul sau iau decizii în numele acesteia din urmă.

Observații

Deși sancțiunea impusă APS ar fi putut fi anulată de BVwG, decizia sa se bazează pe o eroare de formă din partea DPA. Ca atare, aceasta trebuie tratată separat și nu contravine hotărârii anterioare a BVwG, în care s-a concluzionat că prelucrarea datelor privind afinitatea personală pentru un partid politic atrage răspunderea.

Resurse

1. Numărul dosarului: Docket Number W258 2217446-1/14E. Disponibil prin: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Numărul dosarului: Docket Number W258 2217446-1/35E. Disponibil prin: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Addendum, 28 iulie 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [accesat la 10.12.2020].
4. Pentru informații suplimentare, vă rugăm să consultați atât comunicatele de presă ale serviciului poștal austriac intitulat "Milestones and outlook for 2019 and 2020" (29.10.2019), cât și cel al Comitetului european pentru protecția datelor intitulat "Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG" (23.10.2019), disponibile la adresa: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Numărul dosarului R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Art. 83 GDPR - General Conditions for Imposing Administrative Fines." Regulamentul general privind protecția datelor (GDPR), 29 mar. 2018, gdpr-info.eu/art-83-gdpr/ [accesat la 14.12.2020].

Conținutul acestui articol este menit să ofere un ghid general cu privire la subiect. Trebuie solicitată consiliere de specialitate cu privire la circumstanțele dumneavoastră specifice.