В недавнем решении, вынесенном 26.11.2020 г,¹ Федеральный административный суд Австрии (Bundesverwaltungsgericht, BVwG) отменил штраф в размере 18 миллионов евро, наложенный на Австрийскую почтовую службу (APS) австрийским органом по защите данных (DPA). В основе дела лежат те же факты, которые были рассмотрены BVwG в отдельном решении.² В нем суд поддержал административное наказание, наложенное DPA на компанию APS, которая была обвинена в незаконной обработке и продаже персональных данных клиентов, таких как частные адреса и предполагаемые политические приверженности, третьим лицам в маркетинговых целях.

В рассматриваемом решении BVwG признала противоправный характер поведения APS, но отменила наказание, назначенное DPA, на основании того, что не было установлено, что как юридические, так и физические лица, действующие от имени APS, несли ответственность за рассматриваемую вину.

Факты

Фактические истоки этого дела восходят к докладу журналистской платформы Addendum в январе 2019 года,³ заявив, что помимо информации о частных адресах, поле и возрасте, образовании, а также предпочтениях в отношении инвестиций или пожертвований, APS также собрала данные о предполагаемых политических пристрастиях около 3 миллионов клиентов.⁴

После расследования, проведенного по должности, DPA:

• Пришел к выводу, что проведение опроса социально-демографических факторов и обработка информации о политических предпочтениях человека без какого-либо законного основания квалифицируется как специальная категория персональных данных в соответствии со статьей 9(1) Общего регламента о защите данных (Регламент (ЕС) 2016/679) (GDPR), что требует предварительного однозначного одобрения заинтересованной стороны (статья 9(2)(a) GDPR; § 151(4)). Gewerbeordnung, GewO);

• Приказал прекратить обработку данных и удалить уже собранную информацию в двухнедельный срок;

• Постановил, что APS не провела адекватную оценку воздействия на защиту данных (до 25.05.2018), поскольку ошибочно не рассматривала политическую принадлежность как особую категорию персональных данных.

APS ответила апелляцией, утверждая, что информация о политической принадлежности частного лица не является персональными данными, поскольку такая информация собирается посредством анонимизированных опросов, дающих общие прогнозы. Поскольку эти вероятностные расчеты не могут быть исправлены (Статья 16 GDPR), они считаются маркетинговой информацией и классифицируются в соответствии с §151(6) GewO. Тем не менее, было добавлено, что даже если рассматривать их как персональные данные, они не относятся к специальной категории последних.

Не далее как в ноябре BVwG подтвердил решение DPA и постановил, что обработка данных о принадлежности к политической партии действительно квалифицируется как персональные данные в соответствии со Статьей 4(1) GDPR. Учитывая, что полученная информация может быть отнесена к конкретно идентифицируемому частному лицу, чьи политические убеждения должны быть защищены от дискриминации в соответствии со Статьей 9 GDPR, она должна рассматриваться как особая категория персональных данных, что требует предварительного согласия. Эта часть решения в настоящее время находится на рассмотрении в Верховный административный суд Австрии (Verwaltungsgerichtshof, VwGH).

Однако вопрос, рассматриваемый в данной статье, касается другого правового аспекта того же дела.

Основываясь на вышеизложенных фактах, дело касается предполагаемого нарушения APS статей 5(1), 6(2), 6(4), 9, 14, 30, 35 и 36 GDPR. Оно следует за апелляцией, поданной APS на основании аргумента о том, что штраф был выписан без установления вины физических лиц, действующих от его имени (Статья 4(7) GDPR).

Далее речь пойдет о недавнем решении BVwG отменить штраф DPA в свете предыдущих выводов, сделанных VwGH. Суд постановил, что для привлечения юридического лица к ответственности предполагаемое фактическое, незаконное и виновное поведение должно быть приписано физическому лицу (§ 44a VStG).⁵

Проблема

Поскольку GDPR предполагает и действительно предусматривает прямую ответственность юридических лиц без необходимости доказывать индивидуальные правонарушения со стороны частного лица, BVwG должен был рассмотреть следующее:

1. Имел ли право DPA наложить штраф в соответствии со статьей 83 GDPR на юридическое лицо в отсутствие доказательств виновного поведения физического лица, действующего от имени юридического лица;

2. Находят ли применение национальные нормы административно-уголовного права или рассматриваемый вопрос должен рассматриваться в свете норм GDPR.

Решение

Суд постановил, что штраф DPA, наложенный на основании положений статьи 83 GDPR, подпадает под положения австрийского Закона об административных наказаниях (Verwaltungsstrafgesetz, VStG), а также австрийский Закон о защите данных (Datenschutzgesetz, DSG). Национальные процессуальные нормы применимы в контексте штрафов, налагаемых в связи с нарушением GDPR, поскольку Статья 83(8) гласит: "Осуществление надзорным органом своих полномочий [...] подлежит соответствующим процессуальным гарантиям в соответствии с законодательством Союза и государства-члена, включая эффективные средства судебной защиты и надлежащую процедуру".⁶

Далее было установлено, что DPA не выполнил требования §§ 44a, 45 VStG, а также § 30 DSG, не доказав вину физических лиц, которые действовали от имени APS, таких как лица, представляющие, осуществляющие контроль или принимающие решения от имени последнего.

Комментарий

Хотя штраф, наложенный на APS, возможно, был отменен BVwG, его решение основано на формальной ошибке со стороны DPA. Как таковое, оно должно рассматриваться отдельно и не противоречит предыдущему решению BVwG, в котором был сделан вывод, что обработка данных, касающихся личной принадлежности к политической партии, влечет за собой ответственность.

Сноски

1 Docket Number: Docket Number W258 2217446-1/14E. Доступно через: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Номер док-та: Docket Number W258 2217446-1/35E. Доступно через: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift". Дополнение28 июля 2020 года, www.addendum.org/datenhandel/parteiaffinitaet/ [доступ 10.12.2020].

4 Для получения дополнительной информации см. пресс-релизы австрийской почтовой службы "Вехи и перспективы на 2019 и 2020 годы" (29.10.2019), а также Европейского совета по защите данных "Административное уголовное разбирательство австрийского органа по защите данных против Österreichische Post AG (23.10.2019), доступные через: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Docket Number R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Ст. 83 GDPR - Общие условия для наложения административных штрафов". Общее положение о защите данных (GDPR), 29 марта 2018, gdpr-info.eu/art-83-gdpr/ [accessed 14.12.2020].

Содержание данной статьи призвано дать общее представление о предмете. Следует обратиться за советом к специалисту относительно ваших конкретных обстоятельств.