Общие принципы | Законы о защите данных
Национальное законодательство
Общие законы о защите информации
Общий регламент о защите данных (ЕС) (2016/679) («GDPR»).
В Австрии был опубликован национальный Закон об адаптации к защите данных («Datenschutz-Anpassungsgesetz») 2018 от 31 июля 2017 года. Данный национальный закон способствует применению GDPR. После дополнительных изменений в марте 2018 года он вступил в силу 25 мая 2018 года и теперь именуется как Закон о защите данных («Datenschutzgesetz»).
Вступление в силу
GDPR действует с 25 мая 2018 года.
Текущий национальный Закон о защите данных начал действовать также с 25 мая 2018 года.
Национальный надзорный орган
Информация о компетентном национальном надзорном органе
Австрийский орган по защите данных («Орган по защите данных»)
Barichgasse 40 — 42
1030 Vienna
Austria
Австрийский орган по защите данных будет представлять Австрию в Европейском совете по защите данных. Руководитель Австрийского органа по защите данных является комиссаром Европейского совета по защите данных.
Схема уведомления или регистрации и временные рамки
Не существует обязательства уведомлять регуляторов о какой-либо обработке в рамках GDPR. Тем не менее, контроллеры и обработчики должны вести учет своей обработки и предоставлять его своему надзорному органу по запросу (с учетом ограниченных исключений).
Прежний режим в Австрии по одобрению международной передачи данных и регистрации был отменен после вступления в силу GDPR.
Исключения для уведомления
Не применимо.
Сфера применения
Какова территориальная сфера применения?
GDPR применяется к обработке персональных данных в контексте деятельности контроллера или обработчика в ЕС.
Он также содержит явные экстерриториальные положения и будет применяться к контроллерам или обработчикам, базирующимся за пределами ЕС, которые: (i) предлагают товары или услуги лицам в ЕС; или (ii) отслеживают лиц в пределах ЕС. Контроллеры и обработчики, попадающие под эти положения, должны будут назначить представителя в ЕС, с учетом определенных ограниченных исключений.
Европейский совет по защите данных выпустил Руководящие принципы по территориальной сфере применения GDPR (3/2018).
Существует ли концепция контроллера и обработчика?
Да. GDPR содержит концепцию контроллера, который определяет цель и способы обработки, и обработчика, который просто обрабатывает персональные данные от имени контроллера.
Европейский совет по защите данных выпустил Руководящие принципы по концепциям контроллера и обработчика в GDPR (7/2020).
Как контроллеры, так и обработчики подчиняются правилам GDPR, но обязательства, возложенные на обработчиков, более ограничены.
Подчиняются ли как ручные, так и электронные записи законодательству о защите данных?
Да. GDPR применяется как к электронным записям, так и к структурированным бумажным записям.
Существуют ли какие-либо национальные отступления?
GDPR не применяется к деятельности по правопорядку, которая вместо этого подпадает под действие Директивы о правоохранительных органах. GDPR также не применяется к областям права, находящимся за пределами сферы права Союза, таким как национальная безопасность, и не применяется к чисто личной или домашней деятельности.
Директива о правоохранительных органах была реализована в национальном Законе о защите данных. Помимо GDPR, австрийский правовой ландшафт предусматривает дополнительные отраслевые специфические правила защиты данных, например, в страховом, здравоохранительном или телекоммуникационном секторе. Однако специфического закона о защите данных сотрудников не существует.
Персональные данные
Что такое персональные данные?
Персональные данные — это информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
Это широкий термин, который включает обширный спектр информации. GDPR прямо указывает, что он включает онлайн идентификаторы, такие как файлы cookie.
Является ли информация о юридических лицах персональными данными?
Нет. Однако информация о индивидуальных предпринимателях и партнерствах, вероятно, является персональными данными.
Внедрение GDPR было предназначено для изменения позиции в австрийском праве. Старый национальный Закон о защите данных 2000 защищал персональные данные физических лиц и юридических лиц, в то время как согласно GDPR и теперь действующему национальному Закону о защите данных должны защищаться только данные физических лиц.
Однако из-за некоторой неточности в составлении национального Закона о защите данных возникают вопросы о том, защищает ли он по-прежнему юридические лица. Были решения регулятора (например, 2020-0.191240; 2023-0.072.284), которые предполагали, что юридические лица также должны пользоваться защитой данных в рамках национального Закона о защите данных (реализованного в рамках GDPR). Это было подтверждено Федеральным административным судом, который постановил, что юридические лица имеют основное право на конфиденциальность своих данных и, в принципе, право на информацию, исправление и удаление. Однако он отказал юридическим лицам в праве жаловаться в Австрийский орган по защите данных.
Каковы правила обработки персональных данных?
Вся обработка персональных данных должна соответствовать всем шести общим принципам качества данных. Персональные данные должны: (i) обрабатываться справедливо, законно и прозрачно; (ii) собираться для конкретных, явных и законных целей и не обрабатываться способом, несовместимым с этими целями; (iii) быть адекватными, уместными и не чрезмерными; (iv) быть точными и, при необходимости, актуальными; (v) храниться в идентифицируемой форме не дольше необходимого; и (vi) храниться в безопасности.
Обработка персональных данных также должна удовлетворять по крайней мере одному условию для обработки персональных данных. Эти условия заключаются в том, что обработка: (a) осуществляется с согласия субъекта данных; (b) необходима для выполнения контракта с субъектом данных; (c) необходима для соблюдения правовых обязательств; (d) необходима для защиты жизненно важных интересов субъекта данных; (e) необходима для общественного интереса или при осуществлении официальных полномочий; или (f) необходима для законных интересов контроллера или третьей стороны, за исключением случаев, когда это превосходится интересами или основными правами и свободами субъекта данных.
Эти правила почти идентичны основным требованиям для обработки персональных данных в старой Директиве о защите данных. Европейский совет по защите данных выпустил Руководящие принципы по выполнению контракта условия обработки для онлайн-сервисов (2/2019).
Существуют ли какие-либо формальности для получения согласия на обработку персональных данных?
Требования к согласию в рамках GDPR строгие.
Чтобы быть действительным, согласие должно быть выражено ясным и простым языком и, при получении в письменном виде, отделено от других вопросов. Согласие должно основываться на утвердительном действии, поэтому предварительно отмеченные флажки неприемлемы. Согласие может быть недействительным, если: (i) существует какой-либо ущерб для субъекта данных за отказ; (ii) существует дисбаланс власти; (iii) согласие для нескольких целей объединено; или (iv) согласие является условием заключения контракта. Наконец, согласие может быть отозвано в любое время.
На практике следует полагаться на другие условия обработки, где это возможно. Согласие будет подходящим условием обработки только в том случае, если у человека есть подлинный выбор в этом вопросе, например, получать ли маркетинговые материалы.
Европейский совет по защите данных выпустил Руководящие принципы по согласию (5/2020).
Согласно австрийской судебной практике, формулировка согласия должна явно ссылаться на право отзыва согласия.
Существуют ли какие-либо особые правила при обработке персональных данных детей?
Согласие ребенка в отношении онлайн-сервисов будет действительным только при условии разрешения родителя. Ребенком считается лицо младше 16 лет, хотя государства-члены могут снизить этот возраст до 13 лет.
В Австрии возраст, с которого ребенок может дать действительное согласие, снижен до 14 лет национальным Законом о защите данных.
Существуют ли какие-либо особые правила при обработке персональных данных сотрудников?
GDPR позволяет государствам-членам реализовывать более специфические национальные правила, регулирующие обработку персональных данных сотрудников. Также может быть возможно обрабатывать специальные категории персональных данных там, где это необходимо для правового обязательства в области трудового права.
Некоторые отрасли, такие как банки, имеют право по закону обрабатывать о судимости своих сотрудников или соискателей, когда они претендуют на ключевые позиции. В одном из своих проектов национальный Закон о защите данных в общем объявил положения Австрийского кодекса трудовой конституции («Arbeitsverfassungsgesetz») как специфические положения для обработки трудовых данных согласно статье 88 GDPR, но эти изменения не были приняты. На данный момент обработка персональных данных сотрудников следует общей схеме обработки GDPR.
Национальный Закон о защите данных также прямо требует включения пунктов о конфиденциальности данных в трудовые контракты, чтобы обеспечить конфиденциальность персональных данных, с которыми работают сотрудники, во время и после их трудоустройства.
Наконец, во время кризиса COVID-19 значительные части австрийского трудового права были пересмотрены для адаптации к пандемии. Некоторые из этих пересмотров влекут за собой обработку персональных (медицинских) данных, таких как требование закона для сотрудников предъявить сертификат риска COVID-19 работодателю (как один пример). Однако соответствующие правила защиты данных отсутствуют почти во всех этих случаях, так что множество пересмотров, вызванных COVID-19, требуют явной интерпретации в рамках GDPR, когда речь идет об обработке данных сотрудников.
Чувствительные персональные данные
Что такое чувствительные персональные данные?
Данные специальной категории — это персональные данные, состоящие из расовой или этнической принадлежности, политических взглядов, религиозных или философских убеждений, или членства в профсоюзе, генетических данных, биометрических данных, данных, касающихся здоровья, или данных, касающихся половой жизни или сексуальной ориентации физического лица. Решение по OT (C-184/20) может предполагать, что это должно толковаться широко, включая публикацию информации, которая косвенно раскрывает эти характеристики.
Включение генетических и биометрических данных является новым и расширением типов чувствительных персональных данных в Директиве о защите данных.
Информация об уголовных правонарушениях рассматривается отдельно и подлежит еще более строгому контролю.
Существуют ли дополнительные правила для обработки чувствительных персональных данных?
Данные специальной категории могут обрабатываться только при соблюдении условия для обработки данных специальной категории. Условие возникает там, где обработка: (a) осуществляется с явного согласия субъекта данных; (b) необходима для правового обязательства в области трудового права, социального обеспечения и социальной защиты; (c) необходима для защиты жизненно важных интересов субъекта данных или другого лица, где субъект данных не может дать согласие; (d) осуществляется некоммерческим органом и относится к членам этого органа или лицам, имеющим регулярный контакт; (e) относится к данным, обнародованным субъектом данных; (f) необходима для правовых претензий; (g) по причинам существенного общественного интереса согласно праву ЕС или государства-члена; (h) необходима по причинам здравоохранения; (i) необходима по причинам общественного здоровья; или (j) необходима для архивных, научных или исторических исследовательских целей или статистических целей и основана на праве ЕС или государства-члена.
Помимо GDPR, австрийское право обычно предусматривает отраслевые специфические правила обработки чувствительных персональных данных. Например, страховые компании должны соблюдать требования GDPR, а также национальные страховые правовые нормы при обработке медицинских данных своих страхователей. Национальные правила защиты данных применяются и к другим отраслям, как это происходит, например, с поставщиками телекоммуникаций или с фармацевтическими компаниями или организациями здравоохранения при обработке данных пациентов или медицинских данных.
Существуют ли дополнительные правила для обработки информации об уголовных правонарушениях?
Возможно обрабатывать персональные данные, относящиеся к уголовным приговорам или правонарушениям, только если: (a) это осуществляется под контролем официальных властей; или (b) когда обработка разрешена правом ЕС или государства-члена, предоставляющим соответствующие гарантии для прав и свобод субъектов данных.
При обработке информации об уголовных правонарушениях должны соблюдаться как требования GDPR, так и национальные ограничения. Национальный Закон о защите данных позволяет обработку таких данных при наличии законного основания для такой обработки. Например, некоторые отрасли, такие как банковские учреждения, имеют право по закону обрабатывать информацию о судимости своих сотрудников или соискателей, когда они претендуют на ключевые позиции. Национальный Закон о защите данных также позволяет такую обработку, если она отвечает балансу законных интересов. Даже когда баланс законных интересов благоприятствует такой обработке, должны существовать соответствующие гарантии для защиты интересов субъекта данных.
Существуют ли какие-либо формальности для получения согласия на обработку чувствительных персональных данных?
Согласие на обработку конфиденциальных персональных данных должно быть явным. Общие ограничения на согласие, изложенные выше, также будут применяться. Это предполагает определенную степень формальности, такую как отметка в поле, содержащем явные слова “Я согласен”. Маловероятно, что явное согласие может быть получено через поведение.
Сотрудники по защите данных
Когда должен быть назначен сотрудник по защите данных?
Как контроллеры, так и обработчики должны назначить сотрудника по защите данных, если: (i) они являются государственным органом; (ii) их основная деятельность состоит в регулярном и систематическом мониторинге субъектов данных в большом масштабе; или (iii) их основная деятельность состоит в обработке персональных данных специальной категории в большом масштабе (включая обработку информации об уголовных правонарушениях).
Сотрудники по защите данных также должны быть назначены там, где это требуется национальным законодательством. Однако Австрия пока не ввела дополнительные обязательные обязательства по назначению сотрудников по защите данных.
Каковы обязанности сотрудника по защите данных?
Сотрудник по защите данных должен участвовать во всех вопросах защиты данных и не может быть уволен или наказан за выполнение своей роли. Сотрудник по защите данных должен отчитываться непосредственно на самом высоком уровне управления. Подробности о сотруднике по защите данных должны быть переданы соответствующему надзорному органу.
Рабочая группа по статье 29 выпустила Руководящие принципы по сотрудникам по защите данных (WP243).
Ответственность и оценки влияния на конфиденциальность
Существует ли общее обязательство ответственности?
GDPR добавляет новое общее обязательство ответственности, согласно которому вы должны не только соблюдать эти новые правила, но и быть способными продемонстрировать их соблюдение. Это означает обеспечение подходящих политик, поддерживаемых аудитом и обучением.
Являются ли оценки влияния на конфиденциальность обязательными?
Оценка влияния на конфиденциальность должна проводиться там, где осуществляется обработка «высокого риска». Это включает: (a) систематическое и обширное профилирование, которое производит правовые эффекты или значительно влияет на лиц; (b) обработка в большом масштабе либо специальных категорий персональных данных, либо персональных данных, относящихся к уголовным приговорам и правонарушениям; и (c) систематический мониторинг общедоступной области в большом масштабе (например, видеонаблюдение). В ситуациях, когда оценка указывает, что риск не может быть смягчен, контроллер должен консультироваться с соответствующим надзорным органом.
Рабочая группа по статье 29 впоследствии выпустила Руководящие принципы по оценкам влияния на защиту данных (WP 248). Она предлагает девять критериев для рассмотрения при определении необходимости проведения оценки влияния на конфиденциальность, и что оценка должна быть сделана, если соблюдены два или более из этих критериев. Это значительно шире критериев, изложенных в параграфе выше.
В Австрии Орган по защите данных имеет полномочия составлять список обработки «высокого риска». Орган по защите данных выпустил черный список деятельности по обработке данных, требующей оценки влияния на защиту данных («DPIA»). Однако этот черный список в основном ограничен отражением критериев, уже упомянутых в статье 35 GDPR, и не содержит список конкретных деятельностей по обработке, а скорее два набора критериев, согласно которым сам контроллер должен проверить и оценить, подлежат ли его конкретные операции по обработке данных DPIA или нет. Однако Орган по защите данных также выпустил и белый список деятельности по обработке данных, освобожденных от требования оценки влияния на конфиденциальность GDPR.
Права субъектов данных
Уведомления о конфиденциальности
Контроллер должен предоставить субъектам данных уведомление о конфиденциальности, излагающее, как будут обрабатываться персональные данные физического лица. Уведомление о конфиденциальности должно содержать улучшенную информацию о прозрачности.
Рабочая группа по статье 29 выпустила Руководящие принципы по прозрачности (WP260).
В Австрии принимается точка зрения, что язык таких уведомлений о конфиденциальности должен соответствовать языку субъектов данных. Учитывая, что Австрия является немецкоговорящей нацией, поэтому общепринято мнение, что политики конфиденциальности должны быть на немецком языке и, если они также обращаются к международной аудитории, должны дополнительно быть доступны на английском языке.
Права доступа к информации
Субъекты данных будут иметь право получить доступ к копиям своих персональных данных, сделав письменный запрос контроллеру. Первоначальный запрос бесплатен, хотя может взиматься плата за последующие запросы. Контроллеры могут отказать в запросе, если он явно необоснован или чрезмерен. Право на получение копии персональных данных не должно отрицательно влиять на права и свободы других. Ответ должен быть предоставлен в течение месяца, хотя срок может быть продлён на два месяца, если запрос сложен.
Европейский совет по защите данных выпустил Руководящие принципы по правам доступа (1/2022).
Права на портируемость данных
Субъекты данных также будут иметь право на портируемость данных там, где условием для обработки персональных данных является согласие или выполнение контракта. Это дает лицам право получить любые персональные данные, которые они «предоставили» контроллеру в машиночитаемом формате. Лица также могут попросить передать данные напрямую от одного контроллера другому. Нет права взимать плату за эту услугу.
Рабочая группа по статье 29 выпустила Руководящие принципы по портируемости данных (WP242).
Право быть забытым
Субъект данных может попросить об удалении своих данных при определенных обстоятельствах. Однако эти обстоятельства относительно ограничены, например, где обработка основана на согласии, это согласие отозвано и нет других оснований для обработки. Даже там, где право возникает, существует ряд исключений, например, где существует правовое обязательство сохранить данные.
Европейский совет по защите данных выпустил Руководящие принципы по критериям Права быть забытым в делах поисковых систем в рамках GDPR (часть 1) (5/2019).
Возражение против прямого маркетинга
Субъект данных может возражать против обработки своих персональных данных в целях прямого маркетинга в любое время. Это включает профилирование в той степени, в которой оно связано с прямым маркетингом.
Другие права
GDPR содержит ряд других прав, включая право на исправление неточных данных. Также существует право возражать против обработки, осуществляемой при выполнении общественной задачи или в рамках условия законных интересов.
Наконец, существует контроль над автоматизированным принятием решений, которые имеют правовые последствия или иным образом значительно влияют на субъект данных. Рабочая группа по статье 29 выпустила Руководящие принципы по автоматизированному принятию решений и профилированию (WP251).
Безопасность
Требования безопасности для защиты персональных данных
GDPR содержит общее обязательство по реализации соответствующих технических и организационных мер для защиты персональных данных.
Кроме того, контроллеры и обработчики должны обеспечить, где это уместно: (i) псевдонимизацию и шифрование персональных данных; (ii) способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость своих информационных технологических систем; (iii) способность восстановить доступность и доступ к персональным данным своевременно в случае физического или технического инцидента; и (iv) процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер для обеспечения безопасности обработки.
Специфические правила, регулирующие обработку сторонними агентами (обработчиками)
Контроллер должен обеспечить, чтобы любой обработчик, которого он инструктирует, обеспечил адекватную безопасность персональных данных и иначе соответствовал требованиям GDPR.
Контроллер должен иметь письменные контракты со своим обработчиком, содержащие улучшенные пункты обработчика.
Законы об уведомлении о нарушении
Об утечке персональных данных должно быть уведомлено соответствующему надзорному органу, если только оно приведет к риску для субъектов данных. Уведомление должно, где это возможно, быть сделано в течение 72 часов. Если нарушение персональных данных представляет высокий риск для субъектов данных, то субъекты данных также должны быть уведомлены.
Специфические законы об уведомлении о нарушении применяются к сектору электронных коммуникаций в рамках национальных законов, реализующих Директиву о конфиденциальности и электронных коммуникациях, и к операторам основных услуг и поставщикам цифровых услуг в рамках национальных законов, реализующих Директиву о сетевых и информационных системах.
Европейский совет по защите данных выпустил Руководящие принципы по уведомлению о нарушении персональных данных (9/2022) и Примеры относительно уведомления о нарушении персональных данных (1/2021).
Австрийский регулятор также предоставил примеры относительно уведомления о нарушении персональных данных.
Более того, контроллеры в определенных секторах могут быть обязаны информировать отраслевых регуляторов о любом нарушении. Например, поставщики телекоммуникаций обязаны уведомить телекоммуникационного регулятора в случае нарушения данных, связанных с телекоммуникациями.
Передача персональных данных в третьи страны
Ограничения на переводы в третьи страны
GDPR содержит ограничение на трансграничные потоки данных. Это ограничение не применяется, если передача осуществляется в страну из белого списка.
Переводы могут быть сделаны: (i) в соответствии с набором стандартных контрактных пунктов; (ii) в соответствии с обязательными корпоративными правилами; (iii) импортеру, который подписался на одобренный код или получил одобренную сертификацию; или (iv) где иначе одобрено соответствующим надзорным органом. Однако после решения по делу Schrems II (C-311/18) любая передача, сделанная на этой основе, должна подлежать оценке влияния передачи законов соответствующей третьей страны и дополнена дополнительными защитами, где это необходимо.
Европейский совет по защите данных выпустил Рекомендацию по европейским основным гарантиям для мер наблюдения (2/2020) и Рекомендацию по мерам, которые дополняют инструменты передачи (1/2020), чтобы помочь провести эту оценку влияния передачи. Европейская комиссия также выпустила FAQ по новым стандартным контрактным пунктам.
Переводы также возможны, если применяется индивидуальное отступление. Эти отступления позволяют передачу, если она: (i) сделана с явного согласия субъекта данных; (ii) необходима для выполнения контракта с или в интересах субъекта данных; (iii) необходима или юридически требуется по важным основаниям общественного интереса или для правовых претензий; (iv) необходима для защиты жизненно важных интересов субъекта данных; (v) сделана из общественного реестра; или (vi) сделана в рамках так называемого исключения незначительной передачи.
Европейский совет по защите данных выпустил Руководящие принципы по отступлениям, применимым к международным передачам (2/2018). Наконец, Европейский совет по защите данных выпустил Руководящие принципы по взаимодействию между статьей 3 и международными передачами (2/2018), чтобы помочь идентифицировать, когда происходит передача.
В недавнем решении австрийский регулятор заключил, что передача данных, собираемых Google Analytics, от австрийского оператора веб-сайта к Google LLC нарушила принципы передачи данных GDPR, поскольку эти передачи не поддерживались достаточными гарантиями (DSB D155.027). Поскольку это решение было подтверждено Федеральным административным судом, оно показывает, что австрийские власти и суды придерживаются довольно жесткого взгляда на действительность дополнительных гарантий помимо стандартных контрактных пунктов, когда речь идет о международных передачах данных. На основе решения Европейской комиссии об адекватности конфиденциальности данных при передаче между ЕС-США Министерство торговли США опубликовало список американских компаний, которые самостоятельно обязались соблюдать принципы конфиденциальности данных при передаче между ЕС-США. Список также включает Google LLC. Однако австрийская некоммерческая организация «noyb» объявила о своем намерении бороться с решением Европейской комиссии об адекватности.
Уведомление и одобрение национального регулятора (включая уведомление об использовании стандартных контрактных пунктов)
В общем, нет необходимости в предварительном одобрении надзорного органа. Однако это зависит от обоснования для передачи.
Например, не будет обязательства получить одобрение для использования стандартных контрактных пунктов (хотя возможно, что некоторые надзорные органы могут захотеть быть уведомлены об их использовании). Напротив, будет необходимо получить одобрение при ссылке на обязательные корпоративные правила, и надзорный орган должен быть информирован о передачах, сделанных с использованием исключения незначительных передач.
Использование обязательных корпоративных правил
GDPR помещает обязательные корпоративные правила на статутную основу. Будет возможно получить разрешение от одного надзорного органа (при условии одобрения через механизм согласованности), который покроет передачи из любого места в ЕС.
В Австрии обязательные корпоративные правила пока не пользуются значительной актуальностью. Скорее, международные передачи данных обычно основаны на стандартных контрактных пунктах. Предполагается, что ситуация не изменится после вступления в силу GDPR, по крайней мере в среднесрочной перспективе.
Ответственность
Штрафы
GDPR предназначен для того, чтобы сделать защиту данных проблемой для совета директоров. Он вводит режим санкций антимонопольного типа со штрафами до 4% от годового мирового оборота или €20 млн, в зависимости от того, что больше. Эти штрафы применяются к нарушениям многих положений GDPR, включая неспособность соблюдать шесть общих принципов качества данных или осуществление обработки без удовлетворения условия для обработки персональных данных.
Ограниченное количество нарушений попадает в нижний уровень и поэтому подлежат штрафам до 2% от годового мирового оборота или €10 млн, в зависимости от того, что больше. Неуведомление о нарушении персональных данных или неспособность заключить адекватный контракт с обработчиком попадают в этот нижний уровень.
Штрафы могут быть наложены только при намеренном или небрежном нарушении GDPR, см. дело Deutsche Wohnen (C-807/21), в ходе которого компания оспаривала штраф за хранение устаревших личных данных арендаторов без возможности их удаления и без проверки на законность хранения.
EDPB опубликовал Руководящие принципы по расчету административных штрафов (04/2022).
Тюремное заключение
В Австрии национальный Закон о защите данных продолжает те же уголовные санкции, которые действовали в рамках старого национального Закона о защите данных 2000. Вкратце, закон наказывает за неправильное использование персональных данных, если нарушитель либо стремится получить денежную выгоду от такого неправильного использования, либо намеренно намеревается причинить вред затронутому субъекту данных. Такое неправомерное поведение может привести к уголовным срокам вплоть до одного года. Однако пока мы не знаем о реальных случаях уголовной ответственности, фактически имевшей место согласно этому положению.
Дополнительно, национальный Закон о защите данных предусматривает административные штрафы до €50,000. Например, нарушения правил видеонаблюдения закона или правил о секретности данных (которые оба не регулируются GDPR, но регулируются национальным Законом о защите данных) могут подлежать таким санкциям.
Компенсация
Субъекты данных имеют право на компенсацию в отношении материального и нематериального ущерба. Компенсация полагается в более серьезных случаях, чем просто нарушение GDPR, и должен существовать фактический материальный или нематериальный ущерб, однако нет минимального порога серьезности до того, как компенсация станет доступной, см. дело Österreichische Post (C-300/21), где решением Европейского суда справедливости (ECJ) от 4 мая 2023 года установлены принципы права на компенсацию за нарушения правил защиты персональных данных (GDPR).
Другие полномочия
Регуляторы имеют ряд других полномочий и санкций в своем распоряжении. В частности, исследовательские полномочия, такие как способность требовать информацию от контроллеров и обработчиков и проводить аудиты. У них также будут корректирующие полномочия, позволяющие им выдавать предупреждения или выговоры, принуждать к правам личности и выдавать временный или постоянный запрет на обработку.
Практика
Самые значительные штрафы, выданные австрийским DPA, изложены ниже.
Австрийская почта была оштрафована на €18 млн в октябре 2019 года за создание и продажу прогнозов в получении рекламы для более чем трех миллионов австрийцев. Австрийская почта также стремилась рассчитать вероятность того, от какой политической партии они могут иметь интересы в получении рекламы. Австрийская почта подала апелляцию на этот штраф на основании того, что такой сбор прогнозов не является использованием персональных данных. В результате этот штраф был отменен Австрийским федеральным административным судом в декабре 2020 года.
Австрийская почта была отдельно оштрафована на €9,5 млн в сентябре 2021 года. Она не разрешала использовать электронную почту как вариант контакта для клиентов, делающих запросы, связанные с защитой данных. Было сочтено неприемлемым, что единственными вариантами контакта были обычная бумажная почта, веб-форма контакта и служба поддержки клиентов. Австрийская почта подала апелляцию.
Продовольственный ритейлер REWE International AG был оштрафован на €8 млн в январе 2022 года. Компания якобы собирала данные в маркетинговых целях через свою программу лояльности и награды клиентов «Jö Bonus Club» без получения согласия пользователей.
Поставщик программы лояльности клиентов PAYBACK был оштрафован на €1,2 млн за якобы незаконные профилирующие действия. Компания подала апелляцию на это решение.
Банк был оштрафован на €4 млн за незаконное использование данных клиентов. Дальнейшей информации нет, но нет указаний на то, что банк подал апелляцию.
Также были штрафы за незаконную работу видеонаблюдения. Орган по защите данных оштрафовал футбольного тренера на €11,000 в июле 2019 года за тайную съемку игроков во время душа. Это происходило в течение многих лет. Более того, Орган по защите данных наложил штраф в €25,000 в августе 2022 года за тайную съемку субъектов данных в общественном туалете.
Другие принудительные действия: С более чем 100 решениями в рамках GDPR Австрийский орган по защите данных предпринял довольно живую программу принуждения. Однако большинство этих решений были корректирующими мерами (такими как приказы об удалении) и не включали штрафы. Также в результате подхода двойного пути GDPR множество претензий, связанных с GDPR, также находятся на рассмотрении в австрийских судах.
Последний отчет Органа по защите данных был опубликован в марте 2023 года. Согласно этому отчету, который охватывал 2022 год, Орган по защите данных рассмотрел примерно 7,000 жалоб от субъектов данных и более 190 официальных производств. Также он показывает 122 уголовных и административных производства и 818 уведомлений о нарушении данных.
Нет статистических данных о уголовных преследованиях за злоупотребление данными, поскольку национальный Закон о защите данных, который предусматривает уголовное наказание до одного года тюрьмы, является только вспомогательным положением и поэтому применяется только в том случае, если не применяются другие санкции более серьезного характера (согласно другим положениям Уголовного кодекса). Поэтому преследование за злоупотребление данными будет обычно отягчающим обстоятельством в рамках преследования за другие преступления (мошенничество, «киберпреступления» и, для государственного сектора, злоупотребление властью).
Электронная конфиденциальность | Маркетинг и cookie-файлы
Национальное законодательство
Законы об электронной конфиденциальности
Чтобы соответствовать Европейскому кодексу электронных коммуникаций, TKG 2003 был заменен национальным Законом о телекоммуникациях 2021 года («Telekommunikationsgesetz 2021», «TKG»). Однако секция 174 бывшего TKG 2003, которая реализовывала статью 13 Директивы о конфиденциальности и электронных коммуникациях, была перенесена в секцию TKG 2021, но осталась неизменной. TKG 2021 вступил в силу в ноябре 2021 года.
Cookie-файлы
Условия использования cookie-файлов
Несмотря на то, что закон был пересмотрен, в настоящее время TKG не затрагивает прямо условия использования cookie-файлов и не разъясняет прямо, может ли использование настроек браузера квалифицироваться как согласие на использование cookie-файлов. Вместо этого он ссылается на обязательство поставщиков телекоммуникационных или электронных коммерческих услуг предоставить пользователю всеобъемлющую информацию о сборе и обработке его персональных данных. TKG также ясно дает понять, что данные пользователя должны собираться только при его согласии. Это, однако, не вводит новую концепцию, а скорее подтверждает существующий правовой статус. На практике все больше и больше компаний обратились к проактивному получению согласия пользователей, например, путем реализации баннеров с уведомлениями о cookie-файлах на своих веб-сайтах, не в последнюю очередь в свете решения Европейского суд (CJEU) по делу Planet 49 (C-673/17).
Регуляторное руководство по использованию cookie-файлов
Не применимо.
Маркетинг по электронной почте
Условия прямого маркетинга по электронной почте для индивидуальных подписчиков
Разрешается отправлять незапрашиваемые прямые маркетинговые электронные письма только в том случае, если получатель дал свое предварительное согласие.
Условия прямого маркетинга по электронной почте для корпоративных подписчиков
Поскольку этот принцип согласия применяется и к корпоративным отношениям, разрешается отправлять незапрашиваемые прямые маркетинговые электронные письма корпоративному подписчику только в том случае, если он дал свое предварительное согласие.
Исключения и другие вопросы
В рамках уже существующих клиентских отношений разрешается отправлять электронные письма клиентам в целях прямого маркетинга, если применяется исключение для аналогичных продуктов и услуг. В этом отношении важно отметить, что получатель может возражать против прямых маркетинговых электронных писем через регистрацию в общественном списке отказа, который был установлен согласно Закону об электронной коммерции и который управляется RTR. Поскольку подписчики имеют право отозвать свое согласие в любое время, секция 174 TKG также запрещает прямые маркетинговые электронные письма, если личность отправителя замаскирована или скрыта, или если в электронных письмах не предоставлен адрес отказа. Отправитель также должен включить информацию об электронной коммерции.
Маркетинг по телефону
Условия прямого маркетинга по телефону для индивидуальных подписчиков (исключая автоматические вызовы)
Не разрешается делать прямые звонки в маркетинговых целях индивидуальным подписчикам без их предварительного согласия. Также не разрешается делать звонки для получения одобрения подписчика на последующие прямые маркетинговые звонки.
Условия прямого маркетинга по телефону для корпоративных подписчиков (исключая автоматические вызовы)
Поскольку этот принцип согласия применяется и к корпоративным отношениям, также не разрешается делать прямые звонки в маркетинговых целях корпоративным подписчикам без их предварительного согласия. Опять же, также не разрешается делать звонки для получения одобрения подписчика на последующие прямые маркетинговые звонки.
Исключения и другие вопросы
Согласие корпоративных подписчиков может предполагаться, если их контактный адрес, телефон и факс опубликованы на их веб-сайте. Однако пока не было разъясняющих актов по этому вопросу. Дополнительно, секция 151 Австрийского закона о торговле разрешает адресным и маркетинговым предприятиям в определенных пределах связываться с подписчиками для своих деловых целей.
Подписчики могут отозвать свое согласие в любое время. Чтобы облегчить отзыв согласия подписчиками, звонящие должны предоставить подписчикам информацию о личностях звонящих и их контактных данных.
|
Хотите узнать больше? Нужна юридическая помощь? Звоните и пишите нам, не откладывая! Телефон: +7-495-201-68-31 Электронная почта: inbox@shewzov.ru |