奥地利:提交给欧洲法院的初步问题--根据第82条对非实质性损害的赔偿。82 GDPR
作者: Sharon Schmidt
在2021年4月15日作出的一项最新判决中,奥地利最高法院(Oberste Gerichtshof,OGH)认为,处理有关主体对某一政党的亲和力的数据构成了一种特殊类别的个人数据。即使有关数据是基于匿名的民意调查和统计数据,这也适用。
此外,通过请求根据《欧盟条约》第267条作出初步裁决,OGH提出了与解释《欧盟条约》第26条有关的基本问题。267 TFEU,OGH向欧洲法院(CJEU)提交了与解释第82条有关的基本问题。欧洲法院(CJEU)收到了关于GDPR第82条的解释的基本问题。更具体地说,它要求澄清基于GDPR侵权行为的赔偿要求以及根据第82条对上述赔偿的评估。82GDPR。
事实
本案的基本事实起源于一个单独的法律纠纷(6Ob35/21x)。
- 被告根据《奥地利贸易管理法》(Gewerbeordnung 1994,GewO)第151条,作为地址发布者('Adresshändler')为第三方营销目的出售个人数据。
- 被告收集的信息包括关于奥地利国民的政党亲缘关系的细节。
在提出访问请求后(GDPR第15条),索赔人得知,被告推定索赔人的政治亲和力在于奥地利自由党(FPÖ)。 - 关于受试者的亲和力的信息是通过使用一种算法,根据社会人口特征定义 "目标群体地址 "而得出的。
- 在没有对数据的处理和储存表示同意的情况下,索赔人要求:
- 发出禁令,阻止被告处理有关其假定政治观点的数据。
- 赔偿1,000欧元,因为他被指定的党派亲缘关系造成了非物质损失,他认为这是对信用的侮辱、可耻和损害。
虽然维也纳地区民事法院(Landesgericht für Zivilsachen)支持禁令请求,但由于没有达到可赔偿非物质损失的门槛,损害赔偿被拒绝了。该决定得到了高等地区法院(Oberlandesgericht)的确认。双方都对该决定提出了上诉。
法律问题
OGH判决的重点是:1)有关政党亲和力的数据是否符合个人数据的条件(GDPR第4(1)条);2)所述数据是否构成特殊类别的个人数据(GDPR第9条);3)被告是否必须避免在未来继续处理申诉人的数据;4)数据的处理是否使申诉人有权获得赔偿(GDPR第82条)。
OGH的部分裁决
- 个人数据(GDPR第4(1)条
- 个人数据是指与已确定或可识别的自然人("数据主体")有关的任何信息。
- 可识别的自然人必须是可以直接或间接地通过特别参照一个标识符来识别的人。
- 个人数据被认为包括使用主观和/或客观评估获得的数据(即非个人数据,如民意调查/统计),因为它允许将 "对某一政党的亲和力 "直接分配给一个已识别/可识别的自然人。
- 因此,所谓的亲缘关系的有效性是不相关的。
- 该信息只是表达了当事人对某一特定政党的假设兴趣,这一事实同样不重要。1
特殊类别的个人数据(GDPR第9条
- 对 "政治观点 "一词应作广义解释,以保证统一和高水平的保护。
- 任何因处理特定类型的数据而导致的严重歧视风险都将被削弱。
- 关于主体的政治倾向的数据会引起潜在的歧视,因此必须被视为属于第9条规定的政治观点的范围。9 GDPR。2
补救措施(GDPR第79条
- 根据GDPR第79条,有效司法补救的权利得到保障。在数据主体的权利因不符合GDPR规定的个人数据处理而受到侵犯的情况下,GDPR第79条规定了有效的司法补救权利。
- 在当事人没有明确表示同意的情况下,根据第9(2)(a)条,处理与某一政党的亲缘关系的数据本身就被认为是非法的。
- 相关数据已被删除/未公布的事实,即发生在内部但未出现在外部的事实并不重要,因为这并不能消除上述数据在未来被(重新)创建的危险。
- 如果未来存在数据被重新创建的可能性,则应支持禁令。
提交给欧盟法院的问题
奥地利最高法院要求欧盟法院根据《欧盟条约》第267条作出初步裁决。267 TFEU关于第82条规定的损害赔偿要求的解释和应用。82 GDPR。
特别是,欧盟委员会被要求澄清。
- 除了违反GDPR条款外,损害赔偿要求是否要求索赔人遭受具体的损害,或者说上述违反行为是否足以获得赔偿资格。
- 国家法院在评估损害赔偿时,是否必须考虑欧盟法律的额外要求,而不是有效性和等同性原则。
- 非金钱/非物质损失的门槛是否要求侵权行为具有一定程度或分量的后果,超出了上述侵权行为造成的愤怒或烦扰的范围。
虽然通常是通过大规模的索赔,但任何因违反GDPR条款而遭受物质或非物质损失的人,都有权根据第82条提起法律诉讼。82 GDPR。
建议公司密切关注有关数据丢失的新闻报道,并及早发现违反数据保护的指标,以便在现有的数据保护法规中迅速修改不足之处。此外,确保文件和内部流程与GDPR的原则和实施要求保持一致也是有益的。为此,在国内和欧盟审查过去与GDPR第82条有关的决定。为此,审查国内和欧盟层面上与GDPR第82条有关的过去的决定将是有益的。显然,基于OGH向CJEU提交的初步问题,已经奠定了一个重要的基础,可以对数据保护法的损害进行统一解释。
脚注
1.另见6Ob127 / 20z(OGH);W258 2217446-1(BVwG)。
2.另见W258 2217446-1(BVwG)。
本文的内容旨在为该主题提供一般性指导。应就您的具体情况征求专家意见。