Австрия: События в австрийском прецедентном праве: Нарушения конфиденциальности данных и GDPR

В своем недавнем решении от 26.11.2020^[1] Федеральный административный суд Австрии (Bundesverwaltungsgericht, BVwG) отменил штраф в размере 18 миллионов евро, наложенный на Австрийскую почтовую службу (APS) австрийским органом по защите данных (DPA). Дело касается тех же фактов, которые рассматривались BVwG в отдельном решении.^[2] В нем суд поддержал административное наказание, наложенное DPA на APS, которая обвинялась в незаконной обработке и продаже персональных данных клиентов, таких как частные адреса и предполагаемые политические приверженности, третьим лицам в маркетинговых целях.

В своем решении BVwG признал противоправный характер действий APS, но отменил наказание DPA, поскольку не установил, что ответственность за совершение правонарушения несли как юридические, так и физические лица, действовавшие от имени APS.

Факты

Фактические истоки дела восходят к сообщению журналистской платформы Addendum, опубликованному в январе 2019 года^[3], в котором говорилось, что помимо информации о частных адресах, поле и возрасте, образовании, а также предпочтениях в отношении инвестиций или пожертвований, APS также собирала данные о предполагаемых политических пристрастиях около 3 миллионов клиентов^[4].

По итогам служебного расследования DPA:

• Пришло к выводу, что проведение опроса социально-демографических факторов и обработка информации о политических предпочтениях человека без каких-либо законных оснований квалифицируется как особая категория персональных данных в соответствии со статьей 9(1) Общего регламента по защите данных (Регламент (ЕС) 2016/679) (GDPR), что требует предварительного однозначного согласия заинтересованной стороны (статья 9(2)(a) GDPR; § 151(4) Gewerbeordnung, GewO);
• предписал прекратить обработку данных и удалить уже собранную информацию в двухнедельный срок;
• Постановил, что APS не провела надлежащую оценку воздействия на защиту данных (до 25.05.2018), поскольку ошибочно не рассматривала политическую принадлежность как особую категорию персональных данных.

В ответ на это APS подало апелляцию, утверждая, что информация о политической принадлежности частного лица не относится к персональным данным, поскольку такая информация собирается в ходе анонимных опросов, дающих общие прогнозы. Поскольку эти вероятностные расчеты не могут быть исправлены (статья 16 GDPR), они считаются маркетинговой информацией и классифицируются в соответствии с §151(6) GewO. При этом было добавлено, что даже если их рассматривать как персональные данные, они не относятся к специальной категории последних.

Не далее как в ноябре BVwG подтвердил решение DPA и постановил, что обработка данных о принадлежности к политической партии действительно квалифицируется как персональные данные в соответствии со статьей 4(1) GDPR. Учитывая, что полученная информация может быть отнесена к конкретному идентифицируемому частному лицу, чьи политические убеждения должны быть защищены от дискриминации в соответствии со статьей 9 GDPR, она должна рассматриваться как особая категория персональных данных, требующая предварительного согласия. Эта часть решения в настоящее время находится на рассмотрении в Высшем административном суде Австрии (Verwaltungsgerichtshof, VwGH).

Однако вопрос, рассматриваемый в данной статье, касается другого правового аспекта того же дела.

Исходя из вышеизложенных фактов, дело касается предполагаемого нарушения APS статей 5(1), 6(2), 6(4), 9, 14, 30, 35 и 36 GDPR. Оно следует за апелляцией, поданной APS на основании аргумента о том, что штраф был выписан без установления вины физических лиц, действующих от его имени (Статья 4(7) GDPR).

Далее речь пойдет о недавнем решении BVwG отменить штраф DPA в свете предыдущих выводов, сделанных VwGH. Суд постановил, что для привлечения юридического лица к ответственности предполагаемое фактическое, незаконное и виновное поведение должно быть также приписано физическому лицу (§ 44a VStG)^[5].

Проблема

Поскольку GDPR предполагает и действительно предусматривает прямую ответственность юридических лиц без необходимости доказывать индивидуальные правонарушения со стороны частного лица, BVwG должен был рассмотреть следующее:

1. Имел ли DPA право наложить штраф в соответствии со статьей 83 GDPR на юридическое лицо в отсутствие доказательств виновного поведения физического лица, действующего от имени юридического лица;

2. Подлежат ли применению национальные нормы административного уголовного права или же рассматриваемый вопрос должен рассматриваться в свете норм GDPR.

Решение

Суд постановил, что штраф DPA, наложенный на основании положений статьи 83 GDPR, подпадает под положения австрийского Закона об административных наказаниях (Verwaltungsstrafgesetz, VStG), а также австрийского Закона о защите данных (Datenschutzgesetz, DSG). Национальные процессуальные нормы применимы в контексте штрафов, наложенных за нарушение GDPR, поскольку статья 83(8) гласит: "Осуществление контролирующим органом своих полномочий [...] должно быть подчинено соответствующим процедурным гарантиям в соответствии с законодательством Союза и государства-члена, включая эффективные средства судебной защиты и надлежащую процедуру"^[6].

Далее было установлено, что DPA не действовал в соответствии с §§ 44a, 45 VStG, а также § 30 DSG, поскольку не доказал вину физических лиц, действовавших от имени APS, таких как лица, представляющие, осуществляющие контроль или принимающие решения от имени последнего.

Комментарий

Хотя штраф, наложенный на APS, может быть отменен BVwG, его решение основано на формальной ошибке DPA. Как таковое, оно должно рассматриваться отдельно и не противоречит предыдущему решению BVwG, в котором был сделан вывод о том, что обработка данных, касающихся личной принадлежности к политической партии, влечет за собой ответственность.

Ресурсы

1. Номер досье: Docket Number W258 2217446-1/14E. Доступно через: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Номер досье: Docket Number W258 2217446-1/35E. Доступно по адресу: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Addendum, 28 July 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [accessed 10.12.2020].
4. Дополнительную информацию см. в пресс-релизах австрийской почтовой службы "Вехи и перспективы на 2019 и 2020 годы" (29.10.2019), а также Европейского совета по защите данных "Административное уголовное разбирательство австрийского органа по защите данных против Österreichische Post AG (23.10.2019), доступных по адресу: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Docket Number R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Ст. 83 GDPR - Общие условия наложения административных штрафов". Общий регламент по защите данных (GDPR), 29 марта 2018 г., gdpr-info.eu/art-83-gdpr/ [accessed 14.12.2020].

Содержание данной статьи призвано дать общее представление о предмете. По поводу ваших конкретных обстоятельств следует обращаться за консультацией к специалистам.