Rakúsko: Vývoj rakúskej judikatúry: Porušenie ochrany osobných údajov a GDPR

V nedávnom rozhodnutí z 26.11.2020^[1] rakúsky Spolkový správny súd (Bundesverwaltungsgericht, BVwG) zrušil pokutu vo výške 18 miliónov EUR, ktorú rakúsky úrad na ochranu údajov (DPA) uložil Rakúskej pošte (APS). Prípad sa sústreďuje na rovnaké skutočnosti, ktoré BVwG posudzoval v samostatnom rozhodnutí^[2]. Súd v ňom potvrdil správnu sankciu uloženú DPA spoločnosti APS, ktorá bola obvinená z nezákonného spracovania a predaja osobných údajov zákazníkov, ako sú súkromné adresy a predpokladaná politická príslušnosť, tretím stranám na marketingové účely.

V predmetnom rozhodnutí BVwG uznal protiprávnosť konania APS, avšak zrušil sankciu uloženú DPA na základe toho, že nebolo preukázané, že za predmetné zavinenie boli zodpovedné tak právnické, ako aj fyzické osoby konajúce v mene APS.

Skutočnosti

Skutkové korene prípadu siahajú do správy novinárskej platformy Addendum z januára 2019^[3], v ktorej sa uvádza, že okrem informácií o súkromných adresách, pohlaví a veku, vzdelaní, ako aj preferenciách týkajúcich sa investícií alebo darov APS zhromažďovala aj údaje o predpokladaných politických náklonnostiach približne 3 miliónov zákazníkov^[4].

Na základe vyšetrovania z úradnej moci sa agentúra DPA:

• dospel k záveru, že konanie spočívajúce v zisťovaní sociodemografických faktorov a spracúvaní informácií týkajúcich sa politických preferencií jednotlivca bez akéhokoľvek právneho základu sa kvalifikuje ako osobitná kategória osobných údajov podľa článku 9 ods. 1 všeobecného nariadenia o ochrane údajov (nariadenie (EÚ) 2016/679) (GDPR), a preto si vyžaduje predchádzajúci výslovný súhlas dotknutej strany (článok 9 ods. 2 písm. a) GDPR; § 151 ods. 4 Gewerbeordnung, GewO);
• nariadil ukončenie spracúvania údajov a vymazanie už zhromaždených informácií v lehote dvoch týždňov;
• rozhodol, že APS nevykonala primerané posúdenie vplyvu na ochranu údajov (pred 25. 5. 2018), keďže nesprávne nezohľadnila politickú príslušnosť ako osobitnú kategóriu osobných údajov.

APS reagovala odvolaním, v ktorom tvrdila, že informácie o politickej príslušnosti súkromnej osoby sa nepovažujú za osobné údaje vzhľadom na to, že takéto informácie sa získavajú prostredníctvom anonymizovaných prieskumov, ktoré prinášajú všeobecné prognózy. Keďže tieto výpočty pravdepodobnosti nemožno opraviť (článok 16 GDPR), považujú sa za marketingové informácie a klasifikáciu podľa § 151 ods. 6 GewO. Napriek tomu bolo dodané, že aj keď sa považujú za osobné údaje, nekvalifikujú sa ako osobitná kategória tie.

Ešte v novembri BVwG potvrdil rozhodnutie DPA a rozhodol, že konanie pri spracúvaní údajov o príbuzenskom vzťahu k politickej strane sa kvalifikuje ako osobný údaj podľa článku 4 ods. 1 GDPR. Vzhľadom na to, že získané informácie by sa mohli priradiť konkrétne identifikovateľnej súkromnej osobe, ktorej politické presvedčenie má byť chránené pred diskrimináciou podľa článku 9 GDPR, treba ich považovať za osobitnú kategóriu osobných údajov, a preto sa vyžaduje predchádzajúci súhlas. O tejto časti rozhodnutia sa teraz rokuje na rakúskom Najvyššom správnom súde (Verwaltungsgerichtshof, VwGH).

Vec posudzovaná v tomto článku sa však týka iného právneho aspektu tej istej veci.

Na základe vyššie uvedených skutočností sa vec sústreďuje na údajné porušenie článku 5 ods. 1, článku 6 ods. 2, článku 6 ods. 4, článkov 9, 14, 30, 35 a 36 všeobecného nariadenia o ochrane údajov zo strany APS. Vyplýva z odvolania, ktoré APS podala na základe tvrdenia, že pokuta bola udelená bez toho, aby bolo preukázané zavinenie fyzických osôb konajúcich v jej mene (článok 4 ods. 7 GDPR).

V nasledujúcom texte sa zameriame na nedávne rozhodnutie BVwG o zrušení pokuty uloženej DPA vo svetle predchádzajúcich záverov VwGH. V ňom Súdny dvor rozhodol, že na to, aby bola právnická osoba zodpovedná, musí byť údajné faktické, protiprávne a zavinené konanie pripísateľné aj fyzickej osobe (§ 44a VStG)^[5].

Problém

Keďže zámerom nariadenia GDPR je a skutočne stanovuje priamu zodpovednosť právnických osôb bez toho, aby sa muselo preukazovať individuálne protiprávne konanie fyzickej osoby, BVwG musel zvážiť nasledujúce skutočnosti:

1. či bol orgán pre ochranu údajov oprávnený uložiť právnickej osobe pokutu podľa článku 83 GDPR, ak nebolo preukázané zavinené konanie fyzickej osoby konajúcej v mene právnickej osoby;

2. či sa majú uplatniť vnútroštátne predpisy správneho práva trestného alebo či sa má posudzovaná otázka skúmať s ohľadom na predpisy GDPR.

Rozhodnutie

Súdny dvor rozhodol, že pokuta DPA uložená na základe ustanovení článku 83 GDPR patrí pod ustanovenia rakúskeho zákona o správnom trestaní (Verwaltungsstrafgesetz, VStG), ako aj rakúskeho zákona o ochrane údajov (Datenschutzgesetz, DSG). V súvislosti s pokutami uloženými z dôvodu porušenia podľa GDPR sa uplatňujú vnútroštátne procesné pravidlá, keďže v článku 83 ods. 8 sa uvádza "Výkon právomocí dozorného orgánu [...] podlieha primeraným procesným zárukám v súlade s právom Únie a členských štátov vrátane účinných opravných prostriedkov a riadneho súdneho konania"^[6].

Ďalej konštatoval, že DPA nepostupoval v súlade s § 44a, 45 VStG, ako aj § 30 DSG, keďže opomenul preukázať zavinenie fyzických osôb, ktoré konali v mene APS, ako napríklad osôb, ktoré ju zastupujú, vykonávajú v nej kontrolu alebo v jej mene prijímajú rozhodnutia.

Komentár

Aj keď BVwG mohol zrušiť sankciu uloženú APS, jeho rozhodnutie je založené na formálnom pochybení zo strany DPA. Ako také sa má posudzovať samostatne a nie je v rozpore s predchádzajúcim rozhodnutím BVwG, v ktorom sa dospelo k záveru, že konanie pri spracúvaní údajov týkajúcich sa osobnej príslušnosti k politickej strane zakladá zodpovednosť.

Zdroje

1. Číslo spisu: W258 2217446-1/14E. Dostupné na: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Číslo spisu: W258 2217446-1/35E. Dostupné na: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Dodatok, 28. júla 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [prístup 10. 12. 2020].
4. Ďalšie informácie nájdete v tlačových správach rakúskej pošty s názvom "Míľniky a výhľad na roky 2019 a 2020" (29. 10. 2019), ako aj Európskeho výboru pre ochranu údajov s názvom "Správne trestné konanie rakúskeho orgánu na ochranu údajov proti spoločnosti Österreichische Post AG (23. 10. 2019), dostupné prostredníctvom: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Číslo spisu R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Článok 83 GDPR - Všeobecné podmienky ukladania správnych pokút." Všeobecné nariadenie o ochrane údajov (GDPR), 29. 3. 2018, gdpr-info.eu/art-83-gdpr/ [prístup 14. 12. 2020].

Cieľom obsahu tohto článku je poskytnúť všeobecnú informáciu o predmetnej problematike. Ohľadom vašich konkrétnych okolností by ste mali požiadať o odborné poradenstvo.