Den österrikiska federala domstolen Bundesverwaltungsgericht (BVwG) slår fast att eftersom dataskyddsförordningen (GDPR) inte är tillämplig på juridiska personer kan ett företag inte åberopa GDPR:s bestämmelser för att lämna in ett klagomål.
Av beslutet framgår att ett företag lämnat in ett klagomål mot den personuppgiftsansvarige som olagligen behandlat personuppgifter om företagets anställda och aktieägare. Datenschutzbehörde (DSB) avslog klagomålet med motiveringen att företaget väntat mer än ett år från det att det fick kännedom om den olagliga behandlingen innan det lämnade in klagomålet. Därför hade företagets rätt att lämna in ett klagomål löpt ut.
Företaget överklagade beslutet till BVwG. Enligt företaget bröt DSB mot artikel 77 GDPR genom att vägra att pröva ärendet i sak. DSB hävdade att en juridisk person inte omfattas av det personliga tillämpningsområdet för GDPR i enlighet med artikel 1.1 och 1.2 GDPR. Därför var tillämpligheten av artikel 77 GDPR relevant i det aktuella fallet.
BVwG klargjorde att endast registrerade i den mening som avses i artikel 4.1 GDPR har rätt att lämna in ett klagomål till den behöriga tillsynsmyndigheten i enlighet med artikel 77 GDPR. Juridiska personer ingår inte i kategorin registrerade, eftersom GDPR endast nämner en identifierad eller identifierbar fysisk person.
Eftersom en juridisk person inte omfattas av skyddet i GDPR, utan (eventuellt) endast av nationell dataskyddslagstiftning, kan den nationella lagstiftaren fastställa tidsbegränsningar för utövandet av rätten att lämna in ett klagomål. Detta var fallet med österrikisk lag, som gör det möjligt för dataskyddsmyndigheten att avvisa ett klagomål om det lämnas in efter ett år sedan de relevanta omständigheterna blivit kända för den berörda juridiska personen.
Mot denna bakgrund bekräftade BVwG DSB:s beslut att avvisa klagomålet, som lämnats in efter det att tidsfristen enligt den nationella lagstiftningen redan hade löpt ut.