V nedávnom rozhodnutí vydanom 26.11.2020,¹ rakúsky Spolkový správny súd (Bundesverwaltungsgericht(BVwG) zrušil pokutu vo výške 18 miliónov EUR, ktorú rakúsky úrad na ochranu údajov (DPA) uložil Rakúskej pošte (APS). Prípad sa zameriava na rovnaké skutočnosti, ktoré BVwG posudzoval v samostatnom rozhodnutí.² Súdny dvor v ňom potvrdil správnu sankciu uloženú orgánom na ochranu údajov spoločnosti APS, ktorá bola obvinená z nezákonného spracovania a predaja osobných údajov zákazníkov, ako sú súkromné adresy a predpokladaná politická príslušnosť, tretím stranám na marketingové účely.

V predmetnom rozhodnutí BVwG uznal protiprávny charakter konania spoločnosti APS, avšak zrušil sankciu DPA na základe toho, že nepreukázal, že právnické aj fyzické osoby konajúce v mene spoločnosti APS boli zodpovedné za predmetné zavinenie.

Fakty

Skutkový pôvod prípadu sa datuje do správy novinárskej platformy Addendum z januára 2019,³ v ktorom sa uvádza, že okrem informácií o súkromných adresách, pohlaví a veku, vzdelaní, ako aj preferenciách týkajúcich sa investícií alebo darov, APS zhromaždila aj údaje o vnímaných politických preferenciách približne 3 miliónov zákazníkov.⁴

Po vyšetrovaní z úradnej moci agentúra DPA:

• Dospel k záveru, že konanie spočívajúce v zisťovaní sociodemografických faktorov a spracúvaní informácií týkajúcich sa politických preferencií jednotlivca bez právneho základu sa kvalifikuje ako osobitná kategória osobných údajov podľa článku 9 ods. 1 všeobecného nariadenia o ochrane údajov (nariadenie (EÚ) 2016/679) (GDPR), a preto si vyžaduje predchádzajúci výslovný súhlas dotknutej strany [článok 9 ods. 2 písm. a) GDPR; § 151 ods. 4 Gewerbeordnung, GewO);

• nariadil ukončenie spracovania údajov a vymazanie už zhromaždených informácií v lehote dvoch týždňov;

• Rozhodol, že APS nevykonala primerané posúdenie vplyvu na ochranu údajov (pred 25.5.2018), keďže nesprávne nezohľadnila politickú príslušnosť ako osobitnú kategóriu osobných údajov.

APS reagovala odvolaním, v ktorom tvrdila, že informácie o politickej náklonnosti súkromnej osoby sa nepovažujú za osobné údaje, keďže takéto informácie sa získavajú prostredníctvom anonymizovaných prieskumov verejnej mienky, ktoré poskytujú všeobecné prognózy. Keďže tieto výpočty pravdepodobnosti nemožno opraviť (článok 16 GDPR), považujú sa za marketingové informácie a klasifikáciu podľa § 151 ods. 6 GewO. Napriek tomu bolo dodané, že aj keď sa považujú za osobné údaje, nekvalifikujú sa ako osobitná kategória tie.

Ešte v novembri BVwG potvrdil rozhodnutie DPA a rozhodol, že spracovanie údajov o príbuzenskom vzťahu k politickej strane sa považuje za osobný údaj podľa článku 4 ods. 1 GDPR. Vzhľadom na to, že získané informácie možno priradiť konkrétne identifikovateľnej súkromnej osobe, ktorej politické presvedčenie má byť chránené pred diskrimináciou podľa článku 9 GDPR, treba ich považovať za osobitnú kategóriu osobných údajov, a preto sa vyžaduje predchádzajúci súhlas. Táto časť rozhodnutia je teraz predmetom konania pred Rakúsky najvyšší správny súd (Verwaltungsgerichtshof, VwGH).

Vec posudzovaná v tomto článku sa však týka iného právneho aspektu toho istého prípadu.

Na základe uvedených skutočností sa vec zameriava na údajné porušenie článku 5 ods. 1, článku 6 ods. 2, článku 6 ods. 4, článkov 9, 14, 30, 35 a 36 všeobecného nariadenia o ochrane údajov zo strany APS. Vyplýva z odvolania, ktoré APS podala na základe tvrdenia, že pokuta bola udelená bez toho, aby bolo preukázané zavinenie fyzických osôb konajúcich v jej mene (článok 4 ods. 7 GDPR).

V nasledujúcom texte sa zameriame na nedávne rozhodnutie BVwG o zrušení pokuty DPA vzhľadom na predchádzajúce závery VwGH. V ňom Súdny dvor rozhodol, že na to, aby bola právnická osoba zodpovedná, musí byť údajné skutkové, protiprávne a zavinené konanie pripísateľné aj fyzickej osobe (§ 44a VStG).⁵

Problém

Keďže GDPR má v úmysle zaviesť priamu zodpovednosť právnických osôb bez toho, aby sa muselo preukazovať individuálne protiprávne konanie súkromnej osoby, BVwG musel zvážiť nasledujúce skutočnosti:

1. Či bol orgán na ochranu údajov oprávnený uložiť právnickej osobe pokutu podľa článku 83 GDPR, ak nebolo preukázané zavinené konanie fyzickej osoby konajúcej v mene právnickej osoby;

2. Či sa uplatnia vnútroštátne pravidlá správneho trestného práva alebo či sa posudzovaná otázka má skúmať z hľadiska pravidiel GDPR.

Rozhodnutie

Súdny dvor rozhodol, že pokuta DPA uložená na základe ustanovení článku 83 GDPR spadá pod ustanovenia rakúskeho zákona o správnom trestaní (Verwaltungsstrafgesetz, VStG), ako aj rakúsky zákon o ochrane údajov (Datenschutzgesetz, DSG). V súvislosti s pokutami uloženými z dôvodu porušenia podľa GDPR sa uplatňujú vnútroštátne procesné pravidlá, keďže v článku 83 ods. 8 sa uvádza: "Výkon právomocí dozorného orgánu [...] podlieha primeraným procesným zárukám v súlade s právom Únie a členských štátov vrátane účinných opravných prostriedkov a riadneho súdneho konania.⁶

Ďalej zistil, že úrad pre ochranu údajov nepostupoval v súlade s § 44a, 45 VStG, ako aj s § 30 DSG, keďže nepreukázal zavinenie fyzických osôb, ktoré konali v mene APS, ako napríklad osôb, ktoré ju zastupujú, vykonávajú v nej kontrolu alebo v jej mene prijímajú rozhodnutia.

Komentár

Hoci BVwG mohol zrušiť sankciu uloženú APS, jeho rozhodnutie sa zakladá na formálnej chybe zo strany DPA. Ako také sa má posudzovať samostatne a nie je v rozpore s predchádzajúcim rozhodnutím BVwG, v ktorom sa dospelo k záveru, že konanie pri spracúvaní údajov týkajúcich sa osobnej príslušnosti k politickej strane zakladá zodpovednosť.

Poznámky pod čiarou

1 Číslo spisu: W258 2217446-1/14E. Dostupné prostredníctvom: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Číslo spisu: W258 2217446-1/35E. K dispozícii prostredníctvom: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift." Dodatok, 28. júla 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [prístup 10.12.2020].

4 Ďalšie informácie nájdete v tlačových správach rakúskej pošty s názvom "Míľniky a výhľad na roky 2019 a 2020" (29. 10. 2019), ako aj Európskeho výboru pre ochranu údajov s názvom "Správne trestné konanie rakúskeho orgánu na ochranu údajov proti spoločnosti Österreichische Post AG (23. 10. 2019), ktoré sú k dispozícii prostredníctvom https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Číslo spisu R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Článok 83 GDPR - Všeobecné podmienky ukladania správnych pokút". Všeobecné nariadenie o ochrane údajov (GDPR), 29. 3. 2018, gdpr-info.eu/art-83-gdpr/ [prístup 14. 12. 2020].

Obsah tohto článku má poskytnúť všeobecnú orientáciu v danej problematike. Je potrebné vyhľadať odborné poradenstvo o vašich konkrétnych okolnostiach.