I en ny dom av den 15 april 2021 ansåg Österrikes högsta domstol (Oberste Gerichtshof, OGH) att behandlingen av uppgifter om den registrerades sympati för ett politiskt parti utgör en särskild kategori av personuppgifter. Detta gäller även om uppgifterna i fråga baseras på anonymiserade opinionsundersökningar och statistik.

Dessutom kan kommissionen genom en begäran om förhandsavgörande enligt artikel. 267 FEUF, har OGH ställt grundläggande frågor om tolkningen av artikel 267 FEUF. 82 GDPR till Europadomstolen (CJEU). Mer specifikt begärde den ett klargörande om kraven för att bevilja skadestånd på grund av överträdelser av GDPR och bedömningen av nämnda ersättning enligt art. 82 GDPR.

Fakta

De fakta som ligger till grund för detta ärende har sitt ursprung i en separat rättstvist (6Ob35/21x).

• Svaranden sålde personuppgifter för marknadsföringsändamål till tredje part i egenskap av adressförmedlare ("Adresshändler") enligt § 151 i den österrikiska lagen om handelsreglering (Gewerbeordnung 1994, GewO);
• Den information som svaranden samlade in innehöll uppgifter om österrikiska medborgares partitillhörighet;
  Efter en begäran om tillgång till uppgifter (artikel 15 i GDPR) fick käranden veta att svaranden hade antagit att kärandens politiska tillhörighet till det österrikiska frihetspartiet (FPÖ);
• Informationen om personens affinitet har tagits fram med hjälp av en algoritm för att definiera "målgruppsadresser" utifrån sociodemografiska egenskaper;
• Utan att samtycke har getts till behandling och lagring av uppgifter begärde käranden:
• Ett föreläggande att hindra svaranden från att behandla uppgifter om hans förmodade politiska åsikter;
• Ett skadestånd på 1 000 euro för den ideella skada som orsakats av den partitillhörighet som tilldelats honom och som han ansåg vara förolämpande, skamlig och kreditskadlig.

Begäran om föreläggande bifölls av Wiens regionala domstol för civilrättsliga frågor (Landesgericht für Zivilsachen), men skadestånd nekades på grund av att det inte uppnåddes den nödvändiga tröskeln för ersättningsbar immateriell skada. Beslutet bekräftades av Oberlandesgericht. Beslutet överklagades av båda parter.

Rättsliga frågor

OGH:s dom fokuserade på 1) huruvida uppgifter om partiets affinitet med politiska partier är personuppgifter (artikel 4.1 i GDPR), 2) huruvida dessa uppgifter utgör en särskild kategori av personuppgifter (artikel 9 i GDPR), 3) huruvida svaranden måste avstå från att fortsätta att behandla sökandens uppgifter i framtiden och 4) huruvida behandlingen av uppgifter ger sökanden rätt till ersättning (artikel 82 i GDPR).

Delvis avgörande av OGH

• Personuppgifter (artikel 4.1 i GDPR)
• Med personuppgifter avses all information om identifierade eller identifierbara fysiska personer (registrerade);
• En identifierbar fysisk person måste vara en person som kan identifieras direkt eller indirekt genom särskild hänvisning till en identifierare;
• Personuppgifter ansågs innefatta uppgifter som erhållits med hjälp av subjektiva och/eller objektiva bedömningar (dvs. icke-personliga uppgifter, t.ex. undersökningar/statistik), eftersom de gjorde det möjligt att direkt koppla "affinitet med ett politiskt parti" till en identifierad/identifierbar fysisk person;
• Giltigheten av det påstådda släktskapet är härvid irrelevant;
• Det faktum att informationen endast var ett uttryck för personernas förmodade intresse för ett visst politiskt parti är likaså oväsentligt.¹

Särskild kategori av personuppgifter (artikel 9 i GDPR)

• Begreppet "politisk åsikt" ska tolkas brett för att garantera en enhetlig och hög skyddsnivå;
• Varje risk för allvarlig diskriminering till följd av behandling av vissa typer av uppgifter ska undergrävas;
• Uppgifter om personers politiska preferenser ger upphov till potentiell diskriminering och måste därför anses falla inom ramen för politiska åsikter i enlighet med artikel . 9 GDPR.²

Rättsmedel (artikel 79 i GDPR)

• Rätten till ett effektivt rättsmedel garanteras i artikel. 79 GDPR om den registrerades rättigheter har kränkts till följd av att hans eller hennes personuppgifter har behandlats i strid med GDPR-bestämmelserna;
• I avsaknad av ett uttryckligt samtycke från den berörda personen anses behandlingen av uppgifter om affinitet med ett politiskt parti i sig vara olaglig enligt 9.2 a;
• Det faktum att de relevanta uppgifterna har raderats/inte publicerats, dvs. att det sker internt men inte syns externt, är oväsentligt eftersom det inte undanröjer risken för att uppgifterna (åter)skapas i framtiden;
• Ett föreläggande ska upprätthållas om det finns en möjlighet att uppgifter återskapas i framtiden.

Frågor som hänskjutits till EU-domstolen

Österrikes högsta domstol begärde ett förhandsavgörande från EU-domstolen enligt artikel 1.1 i EG-fördraget. 267 FEUF om tolkningen och tillämpningen av det skadeståndskrav som regleras i artikel 267 FEUF. 82 GDPR.

I synnerhet ombeds EU-domstolen att klargöra följande:

• Huruvida ett skadeståndskrav, utöver överträdelsen av en bestämmelse i dataskyddsförordningen, kräver att käranden har lidit specifika skador eller om denna överträdelse är tillräcklig för att kvalificera sig för skadestånd;
• Huruvida ytterligare krav i EU-rätten, utöver principerna om effektivitet och likvärdighet, måste beaktas av nationella domstolar vid bedömningen av skadestånd;
• Om tröskelvärdet för ideellt skadestånd kräver att intrånget har konsekvenser av en viss grad eller vikt som sträcker sig längre än till ilska eller irritation orsakad av intrånget.

Även om det vanligtvis sker genom massanspråk har alla personer som har lidit materiell eller immateriell skada till följd av en överträdelse av en bestämmelse i dataskyddsförordningen rätt att väcka talan enligt artikel. 82 GDPR.

Företagen gör klokt i att noga övervaka pressrapporter om dataförluster och identifiera indikatorer på brott mot dataskyddet i ett tidigt skede för att snabbt kunna åtgärda bristerna i de befintliga dataskyddsbestämmelserna. Vidare skulle det vara fördelaktigt att se till att dokumentationen och de interna processerna anpassas till GDPR:s principer och genomförandekrav. I detta syfte bör en översyn av tidigare beslut som rör artikel 2.2 i GDPR göras. 82 GDPR på både nationell nivå och EU-nivå. Det är uppenbart att det utifrån OGH:s hänskjutande av preliminära frågor till EU-domstolen har lagts en viktig grund som kan möjliggöra en enhetlig tolkning av dataskyddslagstiftningen om skadestånd.

Fotnoter

1. Se även 6Ob127 / 20z (OGH); W258 2217446-1 (BVwG).

2. Se även W258 2217446-1 (BVwG).

Innehållet i denna artikel är avsett att ge en allmän vägledning i ämnet. Specialister bör rådfrågas om dina specifika omständigheter.