V nedavni odločbi, izdani 26.11.2020,¹ avstrijsko zvezno upravno sodišče (Bundesverwaltungsgericht(BVwG) razveljavilo globo v višini 18 milijonov EUR, ki jo je avstrijski organ za varstvo podatkov (DPA) naložil avstrijski poštni službi (APS). Zadeva temelji na istih dejstvih, ki jih je sodišče BVwG obravnavalo v ločeni odločbi.² Sodišče je potrdilo upravno kazen, ki jo je organ za varstvo podatkov izrekel družbi APS, ki je bila obtožena nezakonite obdelave in prodaje osebnih podatkov strank, kot so zasebni naslovi in domnevna politična pripadnost, tretjim osebam za namene trženja.

V obravnavani odločbi je sodišče BVwG priznalo nezakonitost ravnanja družbe APS, vendar je razveljavilo kazen organa za varstvo podatkov, ker ni ugotovilo, da so bile za zadevno krivdo odgovorne tako pravne kot fizične osebe, ki so delovale v imenu družbe APS.

Dejstva

Dejanski izvor primera sega v poročilo novinarske platforme Addendum iz januarja 2019,³ v katerem navaja, da je APS poleg informacij o zasebnih naslovih, spolu in starosti, izobrazbi ter preferencah glede naložb ali donacij zbirala tudi podatke o domnevnih političnih nagnjenjih približno 3 milijonov strank.⁴

Po preiskavi po uradni dolžnosti je organ za zaščito podatkov:

• ugotovil, da se poizvedovanje o sociodemografskih dejavnikih in obdelava informacij o političnih preferencah posameznika brez pravne podlage štejeta za posebno kategorijo osebnih podatkov v skladu s členom 9(1) Splošne uredbe o varstvu podatkov (Uredba (EU) 2016/679) (GDPR), zato je potrebna predhodna izrecna odobritev zadevne stranke (člen 9(2)(a) GDPR; člen 151(4)) Gewerbeordnung, GewO);

• Odredil je prekinitev obdelave podatkov in izbris že zbranih informacij v roku dveh tednov;

• Ugotovilo je, da APS ni izvedla ustrezne ocene učinka v zvezi z varstvom podatkov (pred 25. 5. 2018), ker politične pripadnosti neupravičeno ni obravnavala kot posebne kategorije osebnih podatkov.

APS se je odzvala s pritožbo, v kateri je trdila, da informacije o politični naklonjenosti posameznika ne štejejo za osebne podatke, saj se takšne informacije zbirajo z anonimiziranimi anketami, ki zagotavljajo splošne napovedi. Ker teh izračunov verjetnosti ni mogoče popraviti (člen 16 GDPR), se štejejo za tržne informacije in razvrstitev v skladu s členom 151(6) GewO. Kljub temu je bilo dodano, da tudi če se štejejo za osebne podatke, se ne uvrščajo v posebno kategorijo slednjih.

Novembra je sodišče BVwG potrdilo odločitev organa za varstvo podatkov in odločilo, da se obdelava podatkov o pripadnosti politični stranki šteje za osebni podatek v skladu s členom 4(1) SUVP. Glede na to, da bi bilo mogoče pridobljene podatke pripisati posebej določljivemu posamezniku, katerega politično prepričanje je treba zaščititi pred diskriminacijo v skladu s členom 9 GDPR, jih je treba obravnavati kot posebno kategorijo osebnih podatkov, zato je zanje potrebna predhodna privolitev. Ta del odločbe je zdaj v postopku pred Sodiščem Avstrijsko vrhovno upravno sodišče (Verwaltungsgerichtshof, VwGH).

V tem članku obravnavana zadeva pa se nanaša na drugačen pravni vidik istega primera.

Na podlagi zgoraj opisanih dejstev se zadeva osredotoča na domnevno kršitev členov 5(1), 6(2), 6(4), 9, 14, 30, 35 in 36 SUVP s strani APS. Sledi pritožbi, ki jo je vložila agencija APS na podlagi trditve, da je bila globa izrečena, ne da bi bila ugotovljena krivda fizičnih oseb, ki delujejo v njenem imenu (člen 4(7) SUVP).

V nadaljevanju se bomo osredotočili na nedavno odločitev sodišča BVwG, da razveljavi globo, ki jo je naložila agencija DPA, glede na prejšnje ugotovitve sodišča VwGH. V njej je sodišče odločilo, da je treba domnevno dejansko, nezakonito in krivdno ravnanje pripisati tudi fizični osebi (člen 44a VStG), da bi bila pravna oseba odgovorna.⁵

Vprašanje

Ker GDPR predvideva in dejansko določa neposredno odgovornost pravnih oseb, ne da bi bilo treba dokazati posamezno kršitev zasebnika, je moralo sodišče BVwG upoštevati naslednje:

1. Ali je bil organ za varstvo podatkov upravičen naložiti globo v skladu s členom 83 SUVP pravni osebi, če ni bilo dokazano krivdno ravnanje fizične osebe, ki je delovala v imenu pravne osebe;

2. Ali se uporabljajo nacionalna pravila upravnega kazenskega prava ali pa je treba obravnavano vprašanje preučiti ob upoštevanju pravil GDPR.

Odločitev

Sodišče je menilo, da globa za DPA, naložena na podlagi določb člena 83 GDPR, spada pod določbe avstrijskega zakona o upravnih kaznih (Verwaltungsstrafgesetz(VStG) in avstrijski zakon o varstvu podatkov (Datenschutzgesetz, DSG). Nacionalna postopkovna pravila se uporabljajo v zvezi z globami, naloženimi zaradi kršitve na podlagi SUVP, saj člen 83(8) določa "Za izvajanje pooblastil nadzornega organa [...] veljajo ustrezni postopkovni zaščitni ukrepi v skladu s pravom Unije in države članice, vključno z učinkovitim pravnim sredstvom in poštenim postopkom.⁶

Poleg tega je ugotovilo, da organ za varstvo podatkov ni ravnal v skladu s členoma 44a in 45 VStG ter členom 30 DSG, ker ni dokazal krivde fizičnih oseb, ki so delovale v imenu družbe APS, kot so posamezniki, ki jo zastopajo, izvajajo nadzor ali sprejemajo odločitve v njenem imenu.

Komentar:

Čeprav je sodišče BVwG morda razveljavilo kazen, ki je bila naložena organu APS, njegova odločitev temelji na formalni napaki organa za varstvo podatkov. Kot tako jo je treba obravnavati ločeno in ni v nasprotju s prejšnjo odločitvijo sodišča BVwG, v kateri je bilo ugotovljeno, da ravnanje pri obdelavi podatkov v zvezi z osebno pripadnostjo politični stranki povzroča odgovornost.

Opombe pod črto

1 Številka dokumenta: W258 2217446-1/14E. Na voljo prek: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Številka dokumenta: W258 2217446-1/35E. Na voljo prek: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift." Dodatek, 28. julij 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [zajeto 10.12.2020].

4 Dodatne informacije so na voljo v sporočilih za javnost avstrijske pošte z naslovom "Mejniki in napovedi za leti 2019 in 2020" (29. 10. 2019) ter Evropskega odbora za varstvo podatkov z naslovom "Upravno kazenski postopek avstrijskega organa za varstvo podatkov proti družbi Österreichische Post AG" (23. 10. 2019), ki so na voljo prek https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Številka dokumenta R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Člen 83 SUVP - Splošni pogoji za izrekanje upravnih glob." Splošna uredba o varstvu podatkov (GDPR), 29. marec 2018, gdpr-info.eu/art-83-gdpr/ [zajeto 14.12.2020].

Vsebina tega članka je namenjena splošnemu vodenju po tej temi. O svojih posebnih okoliščinah se morate posvetovati s strokovnjakom.