Avstrija: Razvoj avstrijske sodne prakse: Kršitve zasebnosti podatkov in GDPR

Avstrijsko zvezno upravno sodišče (Bundesverwaltungsgericht, BVwG) je v nedavni odločbi z dne 26.11.2020^[1] razveljavilo globo v višini 18 milijonov EUR, ki jo je avstrijski organ za varstvo podatkov (DPA) naložil avstrijski poštni službi (APS). Sodišče je potrdilo upravno kazen, ki jo je organ za varstvo podatkov izrekel družbi APS, ki je bila obtožena nezakonite obdelave in prodaje osebnih podatkov strank, kot so zasebni naslovi in domnevna politična pripadnost, tretjim osebam za namene trženja^.

V zadevni odločbi je BVwG priznalo nezakonitost ravnanja družbe APS, vendar je razveljavilo kazen organa za varstvo podatkov, ker ta ni ugotovil, da so bile za zadevno krivdo odgovorne tako pravne kot fizične osebe, ki so delovale v imenu družbe APS.

Dejstva

Dejanski začetki zadeve segajo v poročilo novinarske platforme Addendum iz januarja 2019,^[3] v katerem je bilo navedeno, da je družba APS poleg informacij o zasebnih naslovih, spolu in starosti, izobrazbi ter preferencah glede naložb ali donacij zbirala tudi podatke o domnevnih političnih nagnjenjih približno 3 milijonov strank^[4].

Po preiskavi po uradni dolžnosti je organ za varstvo podatkov:

• (člen 9(2)(a) Splošne uredbe o varstvu podatkov (Uredba (EU) 2016/679) (GDPR), zato je potrebna predhodna izrecna odobritev zadevne stranke (člen 9(2)(a) GDPR; člen 151(4) Gewerbeordnung, GewO);
• odredil prekinitev obdelave podatkov in izbris že zbranih informacij v roku dveh tednov;
• ugotovilo, da APS ni izvedla ustrezne ocene učinka v zvezi z varstvom podatkov (pred 25. 5. 2018), saj politične pripadnosti napačno ni obravnavala kot posebne kategorije osebnih podatkov.

APS se je odzvala s pritožbo, v kateri je trdila, da informacije o politični pripadnosti posameznika ne štejejo za osebne podatke, saj se takšne informacije zbirajo z anonimiziranimi anketami, ki zagotavljajo splošne napovedi. Ker teh izračunov verjetnosti ni mogoče popraviti (člen 16 GDPR), se štejejo za tržne informacije in razvrstitev v skladu s členom 151(6) GewO. Kljub temu je bilo dodano, da tudi če se štejejo za osebne podatke, se ne uvrščajo v posebno kategorijo slednjih.

Sodišče BVwG je že novembra potrdilo odločitev organa za varstvo podatkov in odločilo, da se ravnanje pri obdelavi podatkov o naklonjenosti politični stranki šteje za osebni podatek v skladu s členom 4(1) GDPR. Glede na to, da bi bilo mogoče pridobljene informacije pripisati posebej določljivemu posamezniku, katerega politično prepričanje je treba zaščititi pred diskriminacijo v skladu s členom 9 GDPR, jih je treba obravnavati kot posebno kategorijo osebnih podatkov, zato je zanje potrebna predhodna privolitev. Ta del odločbe je zdaj v postopku pred avstrijskim vrhovnim upravnim sodiščem (Verwaltungsgerichtshof, VwGH).

Vendar zadeva, obravnavana v tem članku, zadeva drug pravni vidik iste zadeve.

Na podlagi zgoraj opisanih dejstev se zadeva osredotoča na domnevno kršitev členov 5(1), 6(2), 6(4), 9, 14, 30, 35 in 36 SUVP s strani APS. Sledi pritožbi, ki jo je vložil APS na podlagi trditve, da je bila globa izrečena, ne da bi bila ugotovljena krivda fizičnih oseb, ki delujejo v njegovem imenu (člen 4(7) SUVP).

V nadaljevanju se bomo osredotočili na nedavno odločitev sodišča BVwG, da razveljavi globo, ki jo je izrekel organ za varstvo podatkov, glede na prejšnje ugotovitve sodišča VwGH. V njem je sodišče odločilo, da je treba domnevno dejansko, nezakonito in krivdno ravnanje pripisati tudi fizični osebi (člen 44a VStG), da bi bila pravna oseba odgovorna^[5].

Vprašanje

Ker GDPR namerava in dejansko določa neposredno odgovornost pravnih oseb, ne da bi bilo treba dokazovati posamezno nepravilno ravnanje fizične osebe, je moralo sodišče BVwG preučiti naslednje:

1. Ali je bil organ za varstvo podatkov v skladu s členom 83 SUVP upravičen naložiti globo pravni osebi, če ni bilo dokazano krivdno ravnanje fizične osebe, ki je delovala v imenu pravne osebe;

2. ali je treba uporabiti nacionalna pravila upravnega kazenskega prava ali pa je treba obravnavano vprašanje preučiti ob upoštevanju pravil GDPR.

Odločba

Sodišče je odločilo, da globa za DPA, naložena na podlagi določb člena 83 GDPR, spada pod določbe avstrijskega zakona o upravnem kaznovanju (Verwaltungsstrafgesetz, VStG) in avstrijskega zakona o varstvu podatkov (Datenschutzgesetz, DSG). Nacionalna postopkovna pravila se uporabljajo v okviru glob, izrečenih zaradi kršitve na podlagi SUVP, saj člen 83(8) določa "Za izvajanje pooblastil nadzornega organa [...] veljajo ustrezni postopkovni zaščitni ukrepi v skladu s pravom Unije in države članice, vključno z učinkovitim pravnim sredstvom in poštenim postopkom"^[6].

Poleg tega je ugotovilo, da organ za varstvo podatkov ni ravnal v skladu s členoma 44a in 45 VStG ter členom 30 DSG, ker ni dokazal krivde fizičnih oseb, ki so delovale v imenu APS, kot so posamezniki, ki zastopajo APS, izvajajo nadzor v njej ali sprejemajo odločitve v njenem imenu.

Komentar:

Čeprav je sodišče BVwG morda razveljavilo kazen, ki je bila naložena družbi APS, njegova odločitev temelji na formalni napaki organa za varstvo podatkov. Kot tako jo je treba obravnavati ločeno in ni v nasprotju s prejšnjo odločitvijo BVwG, v kateri je bilo ugotovljeno, da ravnanje pri obdelavi podatkov v zvezi z osebno pripadnostjo politični stranki povzroči odgovornost.

Viri

1. Številka dokumenta: W258 2217446-1/14E. Na voljo prek: https://www.ris.bka.gv.at/Dokument.wxe? ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Številka dokumenta: W258 2217446-1/35E. Na voljo prek: https: //www.ris.bka.gv.at/Dokument.wxe? ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Addendum, 28. julij 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [zajeto 10. 12. 2020].
4. Dodatne informacije so na voljo v sporočilih za javnost tako avstrijske pošte z naslovom "Mejniki in napovedi za leti 2019 in 2020" (29. 10. 2019) kot tudi Evropskega odbora za varstvo podatkov z naslovom "Upravno kazenski postopek avstrijskega organa za varstvo podatkov proti družbi Österreichische Post AG (23. 10. 2019), ki so na voljo prek: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Številka dokumenta R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Člen 83 Splošne uredbe o varstvu podatkov - Splošni pogoji za nalaganje upravnih glob." Splošna uredba o varstvu podatkov (GDPR), 29. 3. 2018, gdpr-info.eu/art-83-gdpr/ [dostop 14. 12. 2020].

Vsebina tega članka je namenjena zagotavljanju splošnega vodnika po obravnavani temi. O svojih posebnih okoliščinah morate poiskati strokovni nasvet.