1.

В свят, в който личните данни са стока и представляват новооткрита „златна мина“ за бизнеса, при какви условия могат да се налагат административни глоби на администраторите или обработващите лични данни за нарушаване на правилата за защита на данните, установени в Регламент (ЕС) 2016/679 ( 2 )? По-конкретно, изисква ли се да е налице елемент „вина“, за да могат да им бъдат наложени такива глоби? Това е основният въпрос, повдигнат от Vilniaus apygardos administracinis teismas (Окръжен административен съд Вилнюс, Литва) по настоящото дело.

2.

Спорът, с който е сезирана тази юрисдикция и страни по който са Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Национален център по обществено здраве към Министерството на здравеопазването, Литва, наричан по-нататък „НЦОЗ“) и Valstybinė duomenų apsaugos inspekcija (Национален инспекторат за защита на данните, наричан по-нататък „Инспекторатът“), по същество се отнася до ролята на НЦОЗ в разработването и предоставянето на обществеността на мобилно приложение, чрез което през април и май 2020 г. се събират личните данни на лица, които са били в контакт със заразени с COVID‑19 пациенти.

3.

В този контекст настоящото дело предоставя на Съда възможност да внесе допълнителна яснота относно понятията „администратор“, „съвместни администратори“ и „обработване“, определени съответно в член 4, точка 7, член 26, параграф 1 и член 4, точка 2 от ОРЗД, както и за първи път да разгледа въпроса дали е възможно съгласно член 83 от този регламент да се наложи административна глоба на администратор, който не е извършил умишлено или по небрежност нарушение на правилата, съдържащи се в ОРЗД. Този въпрос налага Съдът да изясни дали тази разпоредба допуска налагане на глоби при липса на вина въз основа на обективна отговорност.

4.

Съображение 148 от ОРЗД гласи:

„За да се укрепи прилагането на правилата на настоящия регламент, […] при нарушение на регламента следва да се налагат санкции, включително административни наказания „глоба“ или „имуществена санкция“. При леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание. Следва обаче да се отдаде надлежно внимание на естеството, тежестта и продължителността на нарушението, умишления характер на нарушението, действията за смекчаване на последиците от претърпените вреди, степента на отговорност или евентуални предишни нарушения от подобен характер, начина, по който нарушението е станало известно на надзорния орган, спазването на мерките, наложени на администратора или на обработващия лични данни, придържането към кодекс на поведение и всякакви други утежняващи или смекчаващи фактори. Налагането на санкции, включително административни наказания „глоба“ или „имуществена санкция“, следва да подлежи на подходящи процедурни мерки за защита в съответствие с общите принципи на правото на Съюза и Хартата, включително ефективна съдебна защита и справедлив съдебен процес“.

5.

Съгласно съображение 150 от този регламент:

„С цел да се засилят и хармонизират административните наказания за нарушения на настоящия регламент, всеки надзорен орган следва да има правомощието да налага административни наказания „глоба“ или „имуществена санкция“. В настоящия регламент следва да се посочат нарушенията и максималният размер и критериите за определяне на съответните административни наказания „глоба“ или „имуществена санкция“, които следва да се определят от компетентния надзорен орган във всеки отделен случай, като се вземат предвид всички обстоятелства, свързани с конкретната ситуация, по-специално при надлежно отчитане на естеството, тежестта и продължителността на нарушението и на последиците от него, както и на мерките, предприети, за да се гарантира спазване на задълженията по настоящия регламент и за да се предотвратят или смекчат последиците от нарушението. […] Налагането на административно наказание „глоба“ или „имуществена санкция“ или отправянето на предупреждение не засяга упражняването на други правомощия на надзорните органи или прилагането на други санкции по настоящия регламент“.

6.

Член 4, точка 7 от ОРЗД определя понятието „администратор“ като „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни […]“.

7.

Член 26 от този регламент, озаглавен „Съвместни администратори“, в релевантната си част гласи:

„1.   Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. […].

[…]“.

8.

Член 83 от този регламент, озаглавен „Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“, гласи:

„1.   Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.

2.   В зависимост от обстоятелствата във всеки конкретен случай административните наказания „глоба“ или „имуществена санкция“ се налагат в допълнение към мерките, посочени в член 58, параграф 2, букви а)—з) и й), или вместо тях. Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

[…]

3.   Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

[…]“.

9.

Член 72, параграф 2 от Viešųjų pirkimų įstatymas (Закон за обществените поръчки) гласи:

„Възлагащият орган провежда процедура на договаряне без публикуване на обявление за поръчка, като следва посочените по-долу етапи:

10.

За справяне с положението, произтичащо от разпространението на COVID‑19, с решение от 24 март 2020 г. министърът на здравеопазването на Република Литва (наричан по-нататък „министърът на здравеопазването“) нарежда на директора на НЦОЗ да организира разработването и придобиването на мобилно приложение, а именно KARANTINAS. Това мобилно приложение е предназначено за събиране и наблюдение на личните данни на лица, които са били в контакт с пациенти, заразени с COVID‑19 ( 3 ).

11.

На 27 март 2020 г. лице, което твърди, че е представител на НЦОЗ, уведомява дружеството „IT sprendimai sėkmei“ UAB (наричано по-нататък „ITSS“), че е избрано за разработчик на KARANTINAS. Следва размяна на електронни писма във връзка с разработването на това мобилно приложение между ITSS и това лице, както и между ITSS и няколко служители, включително директора на НЦОЗ. На този етап се изготвя споразумение за поверителност, в което като администратори се посочват ITSS и НЦОЗ.

12.

В крайна сметка разработеното мобилно приложение е предоставено на разположение на потребителите за изтегляне от Google Play Store на 4 април 2020 г. и от Apple App Store на 6 април 2020 г. Във версията на KARANTINAS, предоставена на разположение за изтегляне от потребителите, отново се посочват като администратори както ITSS, така и НЦОЗ. Към същия момент мобилното приложение все още не е купено от НЦОЗ.

13.

С решение от 10 април 2020 г. министърът на здравеопазването нарежда на директора на НЦОЗ да организира придобиването на KARANTINAS чрез процедура на договаряне без публикуване на обявление за поръчка на основание член 72, параграф 2 от Закона за обществените поръчки.

14.

Тази процедура е открита, но НЦОЗ я прекратява, тъй като не е получил необходимите финансови средства. Следователно не е сключен никакъв договор за възлагане на обществена поръчка за покупка. KARANTINAS обаче продължава да бъде на разположение за изтегляне от потребителите.

15.

На 15 май 2020 г. НЦОЗ иска от ITSS да не използва в мобилното приложение никакви данни за НЦОЗ и да не създава връзки към НЦОЗ. На 18 май 2020 г. Инспекторатът започва проверка по отношение на ITSS и НЦОЗ за нарушения на разпоредбите на ОРЗД. На 26 май 2020 г. по искане на Инспектората работата на KARANTINAS е спряна. Според ITSS в периода от 4 април до 26 май 2020 г. чрез приложението лични данни са предоставили 3802 ползватели.

16.

С решение от 24 февруари 2021 г. Инспекторатът налага на НЦОЗ и на ITSS, в качеството им на съвместни администратори, административни имуществени санкции за нарушения на членове 5, 13, 24, 32 и 35 от ОРЗД ( 4 ).

17.

НЦОЗ обжалва това решение пред Vilniaus apygardos administracinis teismas (Окръжен административен съд Вилнюс). Тази юрисдикция иска по същество да се установи дали понятието „администратор“ по смисъла на член 4, точка 7 от ОРЗД трябва да се тълкува широко, така че да включва всяко физическо и юридическо лице или орган като НЦОЗ, което/който не е разработчик на мобилно приложение, но което/който с оглед на придобиването на такова мобилно приложение посредством процедура за възлагане на обществена поръчка е определил(о) „целите и средствата за обработването на лични данни“, или това понятие трябва да се тълкува по-стриктно, като се държи сметка за процедурата за възлагане на обществената поръчка и нейния резултат.

18.

По-конкретно, тя иска да се установи дали в това отношение е от значение обстоятелството, че процедурата за възлагане на обществена поръчка в крайна сметка е била прекратена и НЦОЗ никога не е придобивал KARANTINAS. Освен това тя иска да се установи доколко е релевантен за тази преценка фактът, че НЦОЗ не е дал официално съгласие или разрешение за предоставянето на мобилното приложение на разположение на потребителите.

19.

Запитващата юрисдикция също така поставя въпроса за отношенията между НЦОЗ и ITSS. В това отношение тя иска да се установи при какви обстоятелства този орган и това дружество трябва да се считат за „съвместни администратори“ по смисъла на член 4, точка 7 и член 26, параграф 1 от ОРЗД. При условията на евентуалност, ако НЦОЗ и ITSS не следва да се разглеждат като „съвместни администратори“, а (съответно) като„администратор“ и „обработващ лични данни“ ( 5 ) по смисъла на ОРЗД, тази юрисдикция иска да се установи кога действията на ITSS биха могли да ангажират отговорността на НЦОЗ. В това отношение тя иска да се установи дали член 83 от ОРЗД трябва да се тълкува в смисъл, че административно наказание „глоба“ или „имуществена санкция“ може да бъде наложено на администратор като НЦОЗ, който от своя страна не е нарушил този регламент умишлено или по небрежност.

20.

При тези обстоятелства Vilniaus apygardos administracinis teismas (Окръжен административен съд Вилнюс) решава да спре производството и да постави на Съда следните преюдициални въпроси:

21.

Преюдициалното запитване с дата 22 октомври 2021 г. е заведено в секретариата на Съда на 12 ноември 2021 г. Писмени становища представят НЦОЗ, Инспекторатът, литовското правителство и Европейската комисия.

22.

Литовското и нидерландското правителство, както и Комисията и Съветът са представени в съдебното заседание за изслушване на устните състезания, проведено на 17 януари 2023 г.

23.

По време на пандемията от COVID‑19 в много държави членки се предоставят на разположение за изтегляне от потребителите мобилни приложения, предназначени да „откриват и проследяват“ заразени с вируса лица и/или лица, които са били в контакт с тях. Такива мобилни приложения се разработват в опит да се реагира на извънредната ситуация, често с участието на няколко публични и частни субекта (като например министерства и други публични органи, както и частни дружества). От потребителите се изисква да качват личните си данни в тези мобилни приложения, по-специално данни за здравословното си състояние ( 6 ).

24.

Спорът в главното производство се отнася точно до такова мобилно приложение, а именно KARANTINAS, разработено от ITSS (частно дружество) по инициатива на НЦОЗ (публичен орган) след решение на министъра на здравеопазването. От преписката по делото, както и от предоставената в съдебното заседание информация не става ясно други публични органи на Литва евентуално да са участвали в разработването на приложението ( 7 ). Съществуват и известни съмнения дали НЦОЗ е дал съгласието си KARANTINAS да бъде предоставено на разположение на потребителите през периода, в който е извършена обработката на лични данни (април и май 2020 г.). Все пак в рамките на отправените до Съда въпроси Vilniaus apygardos administracinis teismas (Окръжен административен съд Вилнюс) определя като релевантни следните обстоятелства:

25.

В този контекст поставените на Съда въпроси се отнасят до тълкуването на различни разпоредби от ОРЗД. Първите три въпроса, както и петият въпрос налагат тълкуване на понятието „администратор“ по смисъла на член 4, точка 7 от този регламент и изискват изясняване на условията, при които два или повече субекта могат да се считат за „съвместни администратори“ съгласно тази разпоредба и член 26, параграф 1 от същия регламент. Най-напред ще анализирам тези въпроси заедно (част А), след което ще разгледам четвъртия въпрос, който се отнася до понятието „обработване“ по смисъла на член 4, точка 2 от ОРЗД и неговото прилагане в контекста на фазата на изпитване на мобилно приложение (част Б) ( 8 ). След това ще се спра обстойно на въпроса, който е в основата на настоящото дело, а именно шестия въпрос, който има хоризонтален характер, тъй като се отнася до условията, при които на администраторите на данни могат да бъдат наложени административни наказания „глоба“ или „имуществена санкция“ съгласно член 83 от ОРЗД (част В).

26.

С първите си три въпроса запитващата юрисдикция по същество иска да се установи дали с оглед на обстоятелствата, описани в точка 24 по-горе, субект като НЦОЗ трябва да се счита за „администратор“ по смисъла на член 4, точка 7 от ОРЗД. Освен това с петия си въпрос запитващата юрисдикция иска да се установи дали при такива обстоятелства два субекта като НЦОЗ и ITSS трябва да се считат за „съвместни администратори“ съгласно тази разпоредба и член 26, параграф 1 от посочения регламент, въпреки че не са постигнали формална договореност по отношение на целите и средствата на обработването и/или не изглежда да са съгласували по друг начин действията си.

27.

Припомням, че съгласно член 4, точка 7 от ОРЗД „администратор“ означава физическо или юридическо лице, което „сам[o] или съвместно с други определя целите и средствата за обработването на лични данни“. Казано накратко, не е необходимо самият администратор да обработва каквито и да било лични данни, но той трябва да определя „защо и как“ се извършват съответните операции по обработване ( 9 ). Съдът е приел, че за да отговаря на този критерий, дадено физическо или юридическо лице трябва действително да „влияе върху обработването на лични данни“ ( 10 ). Не е нужно обаче целите и средствата на обработката да се определят в съответствие с писмени указания или нареждания от страна на администратора ( 11 ). Всъщност член 4, точка 7 от ОРЗД изисква по-скоро фактически, отколкото формален анализ.

28.

Във връзка с това Европейският комитет по защита на данните (ЕКЗД) счита, че е възможно също даден субект да бъде администратор на данни, независимо дали законът му предоставя конкретна компетентност или правомощия за администриране на данни. Всъщност способността за определяне на целите и средствата на обработването зависи преди всичко от упражняваното влияние, за което може да се направи извод от фактическите обстоятелства. Следователно субект, който действително е в състояние да определи целите и средствата на обработването, ще се счита за „администратор“, независимо дали формално е посочен като такъв (в закон, в договор или по друг начин) ( 12 ).

29.

След тези уточнения отбелязвам, че някои от обстоятелствата, описани от запитващата юрисдикция в първите три преюдициални въпроса, са от чисто формално естество, например фактът, че НЦОЗ юридически не притежава KARANTINAS, или че процедурата за придобиване на това мобилно приложение никога не е била завършена, или че НЦОЗ официално не е дал разрешение за пускането на приложението за широката общественост, нито е одобрил последната му версия. Според мен нито едно от тези обстоятелства само по себе си не може да бъде пречка да се установи, че в контекста на главното производство НЦОЗ е действал като „администратор“ по смисъла на член 4, точка 7 от ОРЗД. Всъщност те не са достатъчни, за да опровергаят извода, че НЦОЗ действително е бил в състояние да определи целите и средствата на извършената обработка на лични данни. От друга страна, струва ми се, че обстоятелството, че НЦОЗ е бил посочен като администратор в политиката на поверителност в предоставената на разположение за изтегляне от потребителите версия на KARANTINAS или че в тази версия на мобилното приложение има хипервръзки към този субект, е релевантно, но не и определящо, що се отнася до действително упражняваното от този субект влияние.

30.

За сметка на това доказателствата пред запитващата юрисдикция, които показват, че НЦОЗ е решил какъв вид лични данни следва да събира KARANTINAS и от кои субекти на данни, както и/или други съществени аспекти на обработването, според мен са достатъчни, за да се установи, че този субект е определил „средствата“ на обработването. Освен това според мен фактът, че KARANTINAS е било създадено за постигане на определената от НЦОЗ цел, а именно да се реагира на пандемията от COVID‑19, и че ITSS редовно е модифицирал работата му в съответствие с указанията на НЦОЗ, за да отговаря на определените от последния нужди, е достатъчен, за да се направи изводът, че НЦОЗ е определил „целите“ на това обработване.

31.

При това положение ми се струва, че за да определи дали субект като НЦОЗ може да се счита за „администратор“ по смисъла на член 4, точка 7 от ОРЗД, запитващата юрисдикция трябва също така да провери дали независимо от влиянието, упражнявано от НЦОЗ на етапа на разработване на KARANTINAS, решението да се предостави това мобилно приложение на разположение на потребителите и следователно да се пристъпи към обработването на лични данни, действително е било взето с (изричното или мълчаливо) съгласие на този субект (независимо че това съгласие не е било дадено официално или формално).

32.

Всъщност, както става ясно от определението на понятието „администратор“ в член 4, точка 7 от ОРЗД, упражняваното от администратора влияние трябва да е свързано със самото обработване на лични данни, а не просто с някоя от предварителните стъпки. Дадено физическо или юридическо лице или образувание не става „администратор“ само поради факта, че инициира разработването на мобилно приложение или определя неговите параметри (или тези на друг инструмент за събиране на данни). Неговите действия трябва действително да са свързани с обработването на лични данни и следователно то трябва да е дало изрично или мълчаливо съгласие съответният инструмент да се използва за извършване на такава обработка.

33.

Съдът подчертава това изискване в решение Fashion ID ( 13 ), в което изрично посочва, че отговорността на администратора е ограничена само за операцията или набора от операции по обработване на лични данни, чиито цели и средства той действително определя ( 14 ). Следователно определянето на целите и средствата трябва да е пряко свързано със съответната операция или набора от операции по обработване на лични данни.

34.

Според мен от тези констатации следва, че субект като НЦОЗ, който инициира разработването на мобилно приложение, може да се счита за „администратор“ по смисъла на член 4, точка 7 от ОРЗД само в случай че са налице достатъчно фактически, а не формални обстоятелства, позволяващи на националния съд да направи извода, че този субект е упражнил действително влияние върху „целите и средствата“ на това обработване и че действително е дал съгласие за разпространението на мобилното приложение сред потребителите, а следователно и за обработването на личните данни. Освен ако запитващата юрисдикция не установи друго при проверките, мисля, че НЦОЗ отговаря на тези изисквания.

35.

Петият въпрос се отнася до условията, които трябва да са налице, за да се считат два (или повече) субекта за съвместни администратори. Разбирам, че запитващата юрисдикция иска пояснения относно тълкуването на това понятие, тъй като допуска, че в разглеждания в главното производство случай НЦОЗ и ITSS биха могли да се считат за „съвместни администратори“ и като такива да носят солидарна отговорност за причинените вреди ( 15 ) и/или да бъдат солидарно санкционирани за нарушенията на правилата за защита на данните, извършени при предоставянето на KARANTINAS за изтегляне от потребителите. В това отношение отбелязвам, че както посочих в точка 16 по-горе, този субект и това дружество на практика са били признати от Инспектората за отговорни и са санкционирани съгласно член 83 от ОРЗД за нарушенията, извършени в качеството им на съвместни администратори.

36.

Съгласно член 26, параграф 1 от ОРЗД „съвместни администратори“ са налице, когато двама или повече администратори съвместно определят целите и средствата на обработването. Следователно всеки от съвместните администратори трябва самостоятелно да отговаря на критериите, изброени в определението за „администратор“ по член 4, точка 7 от този регламент ( 16 ). Освен това съвместните администратори трябва да имат определено отношение помежду си, щом като влиянието им върху обработването трябва да се упражнява съвместно.

37.

Съдът е посочил, че наличието на съвместно администриране не се изразява непременно в равна отговорност или участие на съответните различни лица или структури. Тъкмо обратното, съвместните администратори могат да участват на различни етапи от обработването и в различна степен, поради което размерът на отговорността на всеки от тях трябва да се преценява с оглед на всички релевантни обстоятелства за всеки отделен случай ( 17 ). Освен това съвместната отговорност на няколко субекта за една и съща обработка не изисква всеки от тях да има достъп до съответните лични данни ( 18 ). Важно е обаче те да участват съвместно в определянето на „целите и средствата“ на обработването.

38.

В това отношение отбелязвам, че както се посочва в Насоки 07/2020, такова съвместно участие може да съществува в различни форми. То може да е резултат от съвместно решение на два или повече субекта или може просто да произтича от унифициране на решенията на тези субекти. В последния случай от значение е само решенията да са взаимно допълващи се и да са необходими за извършването на обработването по такъв начин, че да имат осезаемо въздействие върху определянето на целите и средствата за обработването — което по същество означава, че обработването не би било възможно без участието на двете страни ( 19 ).

39.

В този контекст запитващата юрисдикция иска да се установи дали обстоятелството, че двама администратори (в случая НЦОЗ и ITSS) не са постигнали формална договореност относно целите и средствата на обработването и/или не изглежда да са съгласували по друг начин действията си, е пречка те да се считат за „съвместни администратори“.

40.

Разбирам, че съмненията на запитващата юрисдикция в това отношение произтичат от факта, че съгласно член 26, параграф 1 от ОРЗД съвместните администратори трябва да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по този регламент посредством договореност помежду си. Освен това в съображение 79 от този регламент се посочва, че е необходимо „ясно определяне на отговорностите“, включително когато администраторът определя целите и средствата на обработването съвместно с други администратори. Според мен обаче тези задължения и изисквания се прилагат за съвместните администратори едва след като последните могат да се считат за такива. Те не са част от критериите, които трябва да са налице, за да се квалифицират като такива.

41.

Както посочих в точка 36 по-горе, съвместното администриране зависи само от наличието на две обективни условия. Първо, всеки съвместен администратор трябва да отговаря на критериите, изброени в определението за „администратор“ в член 4, точка 7 от ОРЗД. Преписката по делото не съдържа достатъчно данни, въз основа на които да се определи дали при обстоятелствата в главното производство ITSS трябва да се счита за „администратор“ по смисъла на тази разпоредба. Струва ми се обаче, предвид направените от мен констатации в предходния раздел и освен ако запитващата юрисдикция не установи друго при проверките, които трябва да направи, че поне НЦОЗ — ако не и както този субект, така и ITSS — отговаря на условията, за да се счита за „администратор“ по смисъла на същата разпоредба. Второ, влиянието на администраторите върху обработването трябва да се упражнява съвместно (което означава, че то трябва да се упражнява в съответствие с правните критерии и съдебната практика, които припомних в точки 37 и 38 по-горе). В това отношение поясних, че съвместното участие в обработването може да се прояви под различни форми и дори не е необходимо да произтича от съвместно решение на участващите страни. Самият същностен и функционален подход, необходим, за да се определи дали дадено лице или структура трябва да се счита за „администратор“ по смисъла на член 4, точка 7 от ОРЗД, според мен се прилага и за съвместното администриране ( 20 ).

42.

С оглед на тези обстоятелства считам, на първо място, че липсата на споразумение или договореност, или дори на съвместно решение между двама или повече администратори като НЦОЗ и ITSS сама по себе си не може да изключи възможността те да са „съвместни администратори“ по смисъла на член 4, точка 7 във връзка с член 26, параграф 1 от ОРЗД. В това отношение ще добавя, че според ЕКЗД договорните споразумения могат да бъдат полезни при оценката за съвместно администриране, но въпреки това трябва винаги да се проверяват с оглед на фактическите обстоятелства в отношението между страните ( 21 ).

43.

На второ място, струва ми се, че самият факт, че НЦОЗ и ITSS, освен че не са постигнали споразумение, договореност или съвместно решение, не изглежда да са съгласували действията си или да са сътрудничили по друг начин помежду си, не означава, че те не могат да се считат за „съвместни администратори“. Дори да съществува такава съгласуваност или сътрудничество, тя/то е без значение за отговора на въпроса дали отношението между тези две образувания е отношение на съвместно администриране. Действително, лесно е да си представим, че между две или повече образувания може да съществува сътрудничество или съгласуваност, без те изобщо да са съвместни администратори. Например двама отделни администратори биха могли да съгласуват действията си или да си сътрудничат с намерението да предават лични данни помежду си. Това обаче не ги превръща в „съвместни администратори“ по смисъла на член 4, точка 7 и член 26, параграф 1 от ОРЗД ( 22 ). От значение е, както обясних в точка 38 от настоящото заключение, че обработването не би било възможно без участието на двете страни, защото и двете имат осезаемо въздействие върху определянето на целите и средствата за това обработване.

44.

С оглед на гореизложеното ми се струва, от една страна, че освен ако запитващата юрисдикция не установи друго при проверките, които следва да извърши, образувание като НЦОЗ отговаря на условията, изброени в член 4, точка 7 от ОРЗД, за да се счита за „администратор“ по смисъла на тази разпоредба. От друга страна, въпросът дали НЦОЗ и ITSS могат да се считат за „съвместни администратори“ в съответствие с критериите, които изложих в предходния раздел, или се квалифицират съответно като „администратор“ и „обработващ лични данни“, зависи от естеството на отношението им, което следва да се прецени от запитващата юрисдикция.

45.

Във връзка с това ще добавя, че естеството на отношението между НЦОЗ и ITSS (а именно дали те са „съвместни администратори“, или съответно „администратор“ и „обработващ лични данни“) е от значение за шестия въпрос. Ето защо ще се върна към изводите, които направих по петия въпрос, когато разглеждам проблемите, поставени с шестия въпрос.

46.

С четвъртия си въпрос запитващата юрисдикция по същество иска да се установи дали определението за „обработване“ в член 4, точка 2 от ОРЗД обхваща случай, в който лични данни се използват във фазата на изпитване на мобилно приложение ( 23 ). От акта за преюдициално запитване разбирам, че KARANTINAS е преминало фаза на изпитване, преди да бъде предоставено на разположение за изтегляне от потребителите. Ето защо според мен четвъртият въпрос се отнася до случай, различен от случая в основата на останалите отправени до Съда въпроси, които се отнасят до обработването на лични данни след преминаването на фазата на изпитване, когато до KARANTINAS е бил предоставен публичен достъп. По-конкретно, запитващата юрисдикция иска да се установи дали използването на лични данни във фазата на изпитване може да се квалифицира като „обработване“ по смисъла на член 4, точка 2 от ОРЗД и като такова евентуално да доведе до ангажиране на отговорността на съответните администратори и/или обработващи лични данни.

47.

Съгласно член 4, точка 2 от ОРЗД „обработване“ означава „всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства […]“ ( 24 ).

48.

От тази формулировка (по-конкретно, от използването на думата „всяка“ и на общи понятия като „операция“ и „съвкупност от операции“) разбирам, че тази разпоредба трябва да се тълкува в широк смисъл, така че да обхваща възможно най-много случаи, в които се използват лични данни. Неизчерпателният списък на такива хипотези в тази разпоредба потвърждава това тълкуване, като се има предвид многообразието на операциите, които са включени в нея ( 25 ).

49.

Освен това, макар от горния раздел да следва, че определението за „администратор“ по смисъла на член 4, точка 7 от този регламент е тясно свързано с целите на обработването на лични данни (причините „защо“ се събират личните данни), това не се отнася за определението, съдържащо се в член 4, точка 2 от посочения регламент. Сами по себе си причините, поради които се извършва операция или съвкупност от операции, по принцип са без значение за отговора на въпроса дали те трябва да се квалифицират като „обработване“ по смисъла на тази разпоредба. От това според мен следва, че въпросът дали личните данни се събират с цел изпитване на ИТ системите, вградени в мобилно приложение, или за друга цел, е ирелевантен за отговора на въпроса дали разглежданата операция може да се квалифицира като „обработване“.

50.

В това отношение отбелязвам още, че „употребата“ на лични данни (без друго уточнение и следователно независимо от целта на използването) е сред изброените операции и съвкупности от операции, които представляват „обработване“ ( 26 ). Освен това член 4, точка 2 от ОРЗД не предвижда никакво изрично изключение, дерогация или изключване на операциите, свързани с употребата на лични данни за изпитването на ИТ системи. Следователно няма пречка използването на лични данни за целите на провеждането на такова изпитване да се счита за „обработване“ по смисъла на тази разпоредба, дори напротив.

51.

С оглед на тези обстоятелства считам, че определението за „обработване“, предвидено в член 4, точка 2 от ОРЗД, обхваща и случая, в който лични данни са използвани във фазата на изпитване на мобилно приложение.

52.

Заключението ми в това отношение не се променя само поради обстоятелството, че личните данни, предоставени за целите на изпитването на вградени в мобилно приложение ИТ системи, може да са били подложени на псевдонимизация ( 27 ). Единственото обстоятелство, при което ОРЗД няма да се прилага, е, ако предоставените на мобилното приложение данни се състоят единствено от анонимна информация, която „не е свързана с идентифицирано или подлежащо на идентифициране физическо лице“, или от лични данни, които „са анонимизирани по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран“. Отбелязвам обаче, че от представената в преписката по делото информация не изглежда в главното производство използваните във фазата на изпитване данни да съдържат такива анонимизирани данни ( 28 ).

53.

С оглед на гореизложеното считам, че определението за „обработване“, предвидено в член 4, точка 2 от ОРЗД, обхваща случаите, в които лични данни се използват във фазата на изпитване на мобилно приложение, освен ако тези данни са анонимизирани по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран. Дали личните данни се събират с цел изпитване на вградените в мобилно приложение ИТ системи, или с различна цел, само по себе си е без значение за отговора на въпроса дали разглежданата операция може да се квалифицира като „обработване“ ( 29 ).

54.

След тези уточнения ще разгледам основния въпрос по настоящото дело, който се отнася до условията, при които на администратор или обработващ лични данни може да бъде наложено административно наказание „глоба“ или „имуществена санкция“ съгласно член 83 от ОРЗД.

55.

До приемането на ОРЗД санкциите за нарушаване на правилата за защита на данните са оставени до голяма степен на преценката на държавите членки в съответствие с тяхната автономия по отношение на процеса и на средствата за правна защита ( 30 ). Следователно въведените с член 83 от този регламент административни наказания са относителна „новост“ в правото на Съюза в областта на защитата на данните. Работната група по член 29 ги описва като „основен елемент в новия режим на правоприлагане“ ( 31 ). Въпреки че тази разпоредба все още не е тълкувана от Съда, тя вече е прилагана от надзорните органи в някои случаи за налагане на тежки имуществени санкции на администраторите или обработващите лични данни ( 32 ).

56.

Член 83 от ОРЗД предвижда двустепенна система от санкции в зависимост от конкретния вид разпоредба, която е нарушена. Докато наказанията от първата група, определени в член 83, параграф 4 от този регламент, се прилагат в случаите, в които администратор или обработващ лични данни нарушава общите си задължения, както и някои специфични задължения, тези от втората група се налагат, както се посочва в член 83, параграф 5 от ОРЗД, за по-тежки нарушения, като по-специално нарушения на основните принципи за обработване на лични данни, нарушения на правата на субектите на данни и на правилата относно предаването на лични данни на получател в трета държава или международна организация.

57.

И за двете групи, след като установят нарушение на конкретна разпоредба от ОРЗД, компетентните национални органи трябва да извършат двойна преценка. Първо, те трябва да вземат решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“, и второ, когато са взели такова решение, трябва да определят размера на това наказание. Тези преценки трябва да се извършват във всеки конкретен случай с оглед на множество елементи, изброени в член 83, параграф 2 от ОРЗД. Един от тези елементи е „дали нарушението е извършено умишлено или по небрежност“ (член 83, параграф 2, буква б) от него).

58.

С шестия си въпрос запитващата юрисдикция иска по същество да се установи дали може да бъде наложено административно наказание „глоба“ или „имуществена санкция“ на администратор, когато същият не е действал умишлено или по небрежност в нарушение на правилата за защита на данните и незаконосъобразното обработване на лични данни не е извършено от самия администратор, а от обработващ лични данни. Връщайки се към изводите, които направих по петия въпрос по-горе, ми се струва, че шестият въпрос е поставен, в случай че в главното производство се окаже, че НЦОЗ и ITSS не могат да се считат за „съвместни администратори“ по смисъла на член 4, точка 7 във връзка с член 26, параграф 1 от ОРЗД и трябва да се разглеждат съответно като „администратор“ и„обработващ лични данни“. В този конкретен контекст запитващата юрисдикция иска да се изяснят условията, при които на НЦОЗ може да бъде наложена глоба или имуществена санкция съгласно член 83 от ОРЗД.

59.

При това положение отбелязвам, че в шестия въпрос се посочва само член 83, параграф 1 от ОРЗД като релевантна разпоредба. Според мен обаче повдигнатите с този въпрос проблеми изискват член 83 от Регламента да се разгледа в своята цялост, и по-специално, както обясних в точка 57 по-горе, да се вземе предвид член 83, параграф 2, буква б) от него, тъй като тази разпоредба се отнася до това „дали нарушението е извършено умишлено или по небрежност“. Затова ще приема, че с шестия преюдициален въпрос се иска тълкуване на член 83 от ОРЗД в неговата цялост, а не само на член 83, параграф 1 от този регламент.

60.

Според мен този въпрос се състои от две части. Първо, от Съда се иска да определи дали член 83 от ОРЗД позволява по принцип да се налагат административни наказания „глоба“ или „имуществена санкция“ на администраторите или обработващите лични данни при липсата на mens rea (субективен елемент — вина). По същество запитващата юрисдикция иска да се установи дали на НЦОЗ може да бъде наложена глоба или имуществена санкция само поради това че е нарушил задълженията си като администратор (обективна отговорност), или трябва да е налице и елемент на вина при извършването на съответното нарушение или нарушения. Второ, иска се пояснение дали фактът, че незаконосъобразното обработване на лични данни не е извършено от самия администратор, а от обработващ лични данни, по някакъв начин засяга възможността надзорните органи да наложат глоба или имуществена санкция на администратора.

61.

Ще разгледам последователно всеки от тези два аспекта.

62.

Член 83 от ОРЗД изисква всички административни наказания „глоба“ или „имуществена санкция“, наложени за нарушения на правилата за защита на данните, да бъдат „ефективни, пропорционални и възпиращи“. Това става ясно от параграф 1 на тази разпоредба. В този параграф обаче не се посочва дали тези наказания могат да се налагат само при установена вина, т.е. дали „вината“ е предпоставка за налагането на всяко административно наказание.

63.

От друга страна, сред елементите ( 33 ), които съгласно параграф 2, буква б) от същата разпоредба „надлежно се разглеждат“ от надзорните органи във всеки конкретен случай, е „дали нарушението е извършено умишлено или по небрежност“. Съгласно член 83, параграф 2, буква к) от посочения регламент тези елементи следва да се разглеждат като „утежняващи или смекчаващи фактори“ и изброяването им не е изчерпателно.

64.

В този контекст член 83 от ОРЗД според мен може да се разбира по два начина.

65.

От една страна, би могло да се приеме, че макар да е необходимо решението, с което се налага глоба или имуществена санкция и се определя нейният размер, да се вземе, като се отчита надлежно степента на вина (така че например, ако нарушението е резултат от умишлено поведение, по принцип трябва да се наложи по-висока глоба, и обратно, при небрежно поведение размерът на глобата следва да е по-нисък), няма пречка да се наложи глоба или имуществена санкция и при липса на вина, ако обработващият лични данни или администраторът може да се счита за отговорен за нарушението. Този прочит се подкрепя от тълкуване на член 83, параграф 2, букви б) и к), съгласно което посочването на различни видове вина (умисъл или небрежност) като „утежняващи или смекчаващи фактори“ в тези разпоредби би могло да означава, че наличието на вина по принцип не е предпоставка за налагането на глоба или имуществена санкция.

66.

От друга страна, би могло също да се твърди, както прави Комисията в настоящия случай, че за да може да се наложи глоба или имуществена санкция, като минимално изискване трябва да е налице небрежност на лицето или образуванието, извършило нарушението. Този подход се подкрепя от различен, по-внимателен прочит на член 83, параграф 2, букви б) и к) от ОРЗД, а именно че тези разпоредби задължават надзорните органи да правят разграничение между смекчаващо обстоятелство (небрежност) и утежняващо обстоятелство (умисъл), но не предвиждат възможност за налагане на глоба или имуществена санкция при пълна липса на вина.

67.

Комисията изрично избира това тълкуване в първоначалното си предложение, довело до приемането на ОРЗД ( 34 ), в което предлага организирането на глобите в тристепенна система. За всяка степен Комисията предвижда, че глоби могат да се налагат само „на всеки, който умишлено или по небрежност“ ( 35 ) е извършил едно или повече от твърдените нарушения. Следователно Комисията ясно е предвидила наличието на вина като предпоставка за налагането на такава глоба ( 36 ).

68.

Макар да смятам, че и двата подхода могат да бъдат подкрепени въз основа на граматическо тълкуване на член 83, параграф 2 от ОРЗД, тъй като всеки от тях съответства на разбиране на израза „нарушението е извършено умишлено или по небрежност“ като „утежняващ“ или „смекчаващ“ фактор, според мен само вторият подход отразява правилно намерението на законодателя на Съюза. Няколко са причините, които ме водят до това заключение.

69.

Първо, отбелязвам, че няколко от факторите, изброени в член 83, параграф 2 от ОРЗД, имат специфична формулировка, от която може да се заключи, че тези фактори могат да не се прилагат във всички, а само в някои случаи. По-специално, букви в), д) и к) от член 83, параграф 2 започват с дума, означаваща „всякакви“ [в английския текст „any“] („действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите […]“; „евентуални свързани предишни нарушения […]“; „всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая […]“), което предполага, че макар надзорните органи да са длъжни винаги да отчитат наличието на действия за смекчаване на последиците, предишни нарушения или други релевантни утежняващи или смекчаващи фактори, когато такива елементи съществуват или са доказани, на практика са възможни случаи, в които такива елементи просто липсват, но въпреки това компетентният орган по защита на данните все пак може да реши да наложи глоба (или обратно, да не наложи глоба). В този ред на мисли отбелязвам, че формулировката на член 83, параграф 2, буква и) от ОРЗД също не е последователна, тъй като изисква да се провери дали администраторът или обработващият лични данни е спазил мерките, посочени в член 58, параграф 2 от посочения регламент, но само„когато на засегнатия администратор или обработващ лични данни преди са налагани [такива] мерки […]“.

70.

За разлика от това в член 83, параграф 2, буква б) се посочва „дали нарушението е извършено умишлено или по небрежност“ ( 37 ). Затова ми се струва, че вината е един от елементите, които трябва да са налице и образно казано, чието квадратче трябва да бъде „отметнато“ във всички случаи, за да може да се наложи глоба, подобно на „естеството, тежестта и продължителността на нарушението […]“ (член 83, параграф 2, буква а), „категориите [засегнати] лични данни […]“ (член 83, параграф 2, буква ж) и „начина, по който нарушението е станало известно […]“ (член 83, параграф 2, буква з). Според мен тези други фактори също трябва да са винаги „налице“: например „естеството, тежестта и продължителността на нарушението“ във всеки отделен случай може да се различава в голяма степен (и съответно може да се разглежда като основание „за“ или като основание „против“ налагането на глоба). Във всички случаи обаче ще е налице нарушение от някакво естество, с някаква тежест и някаква продължителност, които да се вземат предвид. Според мен това е първият признак, че административните наказания „глоба“ или „имуществена санкция“ са въведени в член 83 от ОРЗД по такъв начин, че да се налагат само в случаи, в които твърдяното нарушение е извършено умишлено или по небрежност ( 38 ).

71.

Второ, отбелязвам, че макар в член 83, параграф 2 от ОРЗД да не се посочва изрично, че нарушението трябва да е извършено „умишлено или по небрежност“, това не важи за параграф 3 от същата разпоредба, който съдържа общо правило, изключващо кумулирането на административни глоби или имуществени санкции. В този параграф се споменава само случаят, в който съответното нарушение или нарушения са извършени „умишлено или по небрежност“.

72.

Според мен от това логично следва, че член 83, параграф 2 от ОРЗД трябва да се тълкува в смисъл, че глоба или имуществена санкция може да бъде наложена само ако твърдяното нарушение е извършено умишлено или по небрежност. Всъщност, ако обхватът на член 83, параграфи 2 и 3 от ОРЗД беше различен, би било възможно кумулирането на глоби или имуществени санкции за по-леки нарушения (т.е. тези, които са извършени безвиновно), тъй като, макар да могат да доведат до налагане на глоба съгласно първата от тези разпоредби (член 83, параграф 2), те не попадат в обхвата на втората (член 83, параграф 3). Това обаче не би било възможно за нарушения, извършени умишлено или по небрежност, тъй като за всички тези нарушения се прилага правилото за недопускане на кумулиране, предвидено в член 83, параграф 3 от този регламент. Подобен резултат би бил в явно противоречие с основния принцип на въведения с ОРЗД санкционен режим, съгласно който тежките нарушения по принцип следва да бъдат санкционирани по-строго от по-леките, а не обратно.

73.

На трето място, отбелязвам, че налагането на административни санкции по член 83 от ОРЗД може да доведе до тежки наказания. Всъщност при първата група наказания, посочени в член 83, параграф 4 от този регламент, може да се стигне до налагане на глоби или имуществени санкции в размер до 10000000 евро, а в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока. Втората група предвижда глоби или имуществени санкции в размер до 20000000 евро, а в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година (отново която от двете суми е по-висока).

74.

Следователно ми се струва, че глобите и имуществените санкции, налагани по силата на член 83 от ОРЗД, поне в някои случаи преследват репресивна цел ( 39 ) и имат висока степен на тежест, поради което могат да имат наказателноправен характер ( 40 ) и следователно да попадат в приложното поле на член 49 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“) ( 41 ).

75.

С оглед на тези съображения, и по-специално на наказателноправния характер на глобите или имуществените санкции, налагани съгласно член 83 от ОРЗД, може да бъде примамливо да се твърди, че би било несъвместимо с изискването на параграф 1 от тази разпоредба, че глобите или имуществените санкции във всички случаи трябва да бъдат не само „ефективни“ и „възпиращи“, но и „пропорционални“, за да се допусне налагането на такива глоби при липса на вина. С други думи, би било непропорционално да се налагат глоби или имуществени санкции в случаи, в които не е установена дори небрежност. Според мен обаче този довод трудно може да се възприеме, тъй като Съдът вече е постановил, че режим на наказания или санкции, основан на обективна отговорност, дори когато е с наказателноправен характер, сам по себе си не е непропорционален по отношение на преследваните цели, когато този режим може да подтикне съответните лица към спазване на разпоредбите на регламент и когато преследваните цели са от общ интерес, който може да обоснове въвеждането на подобен режим ( 42 ). Освен това Европейският съд по правата на човека (ЕСПЧ) приема във връзка с член 7 от Европейската конвенция за защита на правата на човека (ЕКПЧ) (който съответства на член 49 от Хартата) ( 43 ), че макар съгласно тази разпоредба наказанието по принцип да изисква наличието на субективна връзка, чрез която да може да се открие елемент на вина в поведението на фактическия извършител на нарушението, това изискване не изключва съществуването на някои форми на обективна отговорност ( 44 ).

76.

При това положение от тази съдебна практика следва, че по принцип за налагането на наказателноправна санкция се изисква mens rea и поради това обективната отговорност представлява своеобразно „изключение“ от това общо правило, доколкото трябва да бъде обоснована с оглед на целите, преследвани от Регламента.

77.

Разглеждайки ОРЗД в неговата цялост, ми се струва, че административните наказания „глоба“ или „имуществена санкция“ са били замислени от законодателя на Съюза като само един от предвидените в този акт инструменти за гарантиране на ефективното му спазване. Всъщност глобите или имуществените санкции трябва да се налагат „в допълнение към […] или вместо“ другите мерки, изброени в член 58, параграф 2 от посочения регламент, който предоставя на надзорните органи редица корективни правомощия (като правомощието да отправят предупреждения, официални предупреждения или разпореждания) ( 45 ). Освен това в случаите, когато не е наложено административно наказание „глоба“ или „имуществена санкция“ съгласно член 83 от ОРЗД, надзорните органи имат възможност да налагат други санкции съгласно член 84 от този регламент ( 46 ).

78.

Според мен от тези разпоредби става ясно, че при приемането на този регламент намерението на законодателя на Съюза не е било всяко нарушение на правилата за защита на данните да се наказва с административно наказание „глоба“ или „имуществена санкция“. Той по-скоро е имал за цел да предвиди гъвкав и диференциран режим от наказания и санкции. Това се потвърждава от съображение 148 от ОРЗД, което предвижда, че вместо административна глоба надзорните органи могат да отсъдят порицание при „леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице“. В този контекст ограничаването на прилагането на член 83 от ОРЗД само до случаите, в които като минимално изискване е установено наличие на небрежност, според мен съответства на тези цели и на общата логика на тези различни разпоредби, съгласно които налагането на административни наказания „глоба“ или „имуществена санкция“ следва да бъде запазено за определени видове нарушения.

79.

Струва ми се също така, че когато законодателят на Съюза е изразил волята си да въведе обективна или презумптивна отговорност в ОРЗД, той го е направил, използвайки специфични изрази, които липсват в член 83 от този регламент. Например по отношение на гражданската отговорност (т.е. отговорността на администраторите и обработващите лични данни спрямо субектите на данни), която попада в обхвата на член 82 от ОРЗД, законодателят на Съюза е посочил, че администраторите и обработващите лични данни са строго обвързани със задължение да обезщетят субектите на данни за причинените вреди, освен ако могат да докажат, че по никакъв начин не са отговорни за събитията, причинили вредата ( 47 ). За разлика от това член 83 от Регламента не съдържа текст, сходен с този на член 84 от ОРЗД. Според мен това потвърждава, че с тази разпоредба законодателят на Съюза не е възнамерявал да въведе санкционен режим, основан на обективна или презумптивна отговорност.

80.

Четвърто и вероятно най-важно, смятам, че на практика прагът за нарушение на ОРЗД по небрежност по смисъла на член 83, параграф 2, буква б) от този регламент при всички положения е толкова нисък, че е трудно да се предвидят положения, при които ще е невъзможно да се наложи глоба само поради това, че този елемент не е налице. Поради това считам, че самият факт, че трябва да се установи умисъл или небрежност, преди да може да се наложи глоба съгласно член 83 от посочения регламент, не застрашава целта на законодателя на Съюза да се гарантира ефективното изпълнение на правилата за защита на данните, които се съдържат в него, дори напротив.

81.

В това отношение някои твърдят, че самата липса на каквито и да било действия в хипотеза, в която администраторът или обработващият лични данни има само съмнения относно законосъобразността на извършваното обработване, вече представлява съзнателно приемане на евентуално нарушение на ОРЗД и следователно е пример за груба небрежност ( 48 ). Освен това работната група по член 29 твърди, че нарушение по небрежност в много отношения е равнозначно на „неумишлено“ нарушение, тъй като според нея такова нарушение може да съществува, когато не е било налице намерение да се извърши нарушението, и администраторът или обработващият лични данни само не е положил дължимата грижа ( 49 ). По-конкретно, тя посочва, че дори обикновена и незначителна „човешка грешка“ ( 50 ) може да бъде индикация за небрежност.

82.

Според мен се налагат два извода. Първо, разграничителната линия между напълно неумишлено невиновно нарушение и нарушение по небрежност в действителност е много фина. Убеден съм, че надзорните органи рядко ще срещат затруднения да открият достатъчно елементи, които да насочват към извода, че твърдяното нарушение е извършено поне по небрежност. В това отношение отбелязвам, че според доктрината „предвид многобройните действия за повишаване на осведомеността […], за да се гарантира спазването на ОРЗД, е трудно да си представим […] нарушения на ОРЗД, без да е налице поне небрежност“ ( 51 ). Напълно съм съгласен с това и припомням, че ОРЗД има за цел по-специално да гарантира, че администраторите и обработващите лични данни са запознати с правилата за защита на данните, което според мен прави още по-трудно да се приеме, че нарушение може да настъпи без никаква вина (дори не по небрежност) ( 52 ).

83.

Второ, този извод изглежда в пълно съответствие с основната цел на ОРЗД, а именно да се гарантира последователно и високо равнище на защита на физическите лица в Европейския съюз ( 53 ). Всъщност глобите имат възпиращ ефект ( 54 ). Благодарение на това, че насърчават администраторите и обработващите лични данни да спазват ОРЗД, те допринасят като цяло за по-добрата защита на субектите на данни и следователно са ключов фактор за гарантиране на зачитането на техните права ( 55 ). Според мен от това следва, че макар, от една страна, да не може да се изключи наличието на „вина“, степента на вина, която се изисква, за да се прилага член 83 от този регламент, е достатъчно ниска, за да се осигури подходящо равнище на защита на засегнатите субекти.

84.

В допълнение подчертавам, че този подход, който предлагам Съдът да възприеме, потвърждава и привеждането в съответствие на въведения с тази разпоредба санкционен режим с предвидения в член 23, параграф 1 от Регламент (ЕО) № 1/2003 ( 56 ) за нарушения на правото в областта на конкуренцията, който също се прилага само ако са установени умисъл или небрежност. Фактът, че този друг санкционен режим е вдъхновил текста на член 83 от ОРЗД, се потвърждава от съображение 150 от ОРЗД, което гласи, че „[к]огато имуществената санкция се налага на предприятие, понятието „предприятие“ следва да се разбира като предприятие в съответствие с членове 101 и 102 от ДФЕС за тези цели“, както и от други сходства между тези два санкционни режима, като например факта, че за предприятията и при двата режима размерът на глобите или имуществените санкции може да се основава на техния оборот. Отбелязвам също, че няколко от факторите, изброени в член 83, параграф 2 от ОРЗД, отразяват факторите, които са от значение за определянето на размера на глоба за нарушение на правото в областта на конкуренцията ( 57 ).

85.

След като изложих причините, поради които считам, че трябва да бъде установена вина, преди да бъде наложена глоба на администратор или обработващ лични данни в приложение на член 83, параграф 2 от ОРЗД, остава да разгледам накратко доводите, изложени от Съвета и правителството на Литва. Според тези страни държавите членки са тези, които трябва да решат дали е необходимо да се установи вина, преди да може да се наложи административно наказание „глоба“ или „имуществена санкция“.

86.

Аз от своя страна просто не споделям това разбиране.

87.

Струва ми се очевидно, че една от основните цели на ОРЗД, и по-специално на член 83 от него, е постигането на по-високо равнище на хармонизация в целия Европейски съюз, що се отнася по-специално до налагането на глоби ( 58 ). Затова считам, че противно на твърденията на Съвета и литовското правителство, волята на законодателя на Съюза не е била държавите членки да разполагат със свобода на преценка по въпроса дали е необходима вина.

88.

Вярно е, че в националното законодателство могат да бъдат предвидени допълнителни изисквания относно процедурата, която трябва да съблюдават надзорните органи при налагане на глоба (по отношение на въпроси като уведомяването за глобата, срокове за представяне на коментари, обжалване, принудително изпълнение и плащане) ( 59 ). Това ясно следва от член 83, параграф 8 от ОРЗД, който гласи, че упражняването от надзорния орган на правомощията му да налага глоби, „зависи от съответните процедурни гаранции“, които следва да са предвидени в националното право, стига да е гарантирано спазването на правото на Съюза (и по-специално с правото на ефективна съдебна защита и справедлив съдебен процес).

89.

Това право на преценка обаче не може да се разпростира върху материалноправните изисквания, които се прилагат за налагането на глоба, като например степента на вината. Според мен този извод произтича пряко от няколко съображения от този регламент ( 60 ), които показват, че въведената с член 83 от ОРЗД система на административни санкции е замислена от законодателя на Съюза, за да се постигнат съгласувани резултати в целия Европейски съюз.

90.

За изчерпателност ще допълня, че тъй като глобите влияят силно на конкуренцията между предприятията и имат сериозно отражение върху пазара, според мен е от съществено значение член 83 от ОРЗД да се прилага последователно, тъй като в противен случай тази разпоредба всъщност може да помогне за възникване на нарушения на конкуренцията между предприятията ( 61 ).

91.

С втората част от шестия въпрос запитващата юрисдикция иска по същество да се установи дали на администратор може да бъде наложена глоба съгласно член 83 от ОРЗД, в случай че незаконосъобразното обработване на лични данни не е извършено от самия администратор, а от обработващ лични данни (в случая ITSS).

92.

Според мен на този въпрос трябва да се отговори утвърдително.

93.

В това отношение припомням, че както посочих в точка 27 по-горе, не е необходимо самият администратор да обработва лични данни, стига да определи „защо и как“ се извършват съответните операции по обработване. Освен това отбелязвам, че съгласно определението в член 4, точка 8 от ОРЗД „обработващ лични данни“ е „физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“ ( 62 ).

94.

Според мен тези определения потвърждават, че в контекста на прилагането на ОРЗД администраторът може да бъде подведен под отговорност и следователно да му бъде наложена глоба съгласно член 83 от този регламент в случаите, когато личните данни се обработват незаконосъобразно и това незаконосъобразно обработване не е извършено от самия администратор, а от обработващ лични данни. Тази възможност продължава да съществува, докато обработващият лични данни обработва лични данни от името на администратора.

95.

Това ще е така, докато обработващият лични данни действа в рамките на предоставения му от администратора мандат и обработва данните в съответствие със законосъобразните указания, получени от администратора ( 63 ). Ако обаче обработващият лични данни излезе извън рамките на това възлагане и използва данните, получени в качеството му на обработващ лични данни, за свои собствени цели, като при това е ясно, че страните не са „съвместни администратори“ по смисъла на член 4, точка 7 и член 21, параграф 6 от ОРЗД, според мен на администратора не може да бъде наложена глоба съгласно член 83 от Регламента заради извършеното незаконосъобразно обработване ( 64 ).

96.

Следователно в случай като разглеждания в главното производство на НЦОЗ може да бъде наложена глоба в приложение на член 83 от ОРЗД, въпреки че личните данни са били обработвани незаконосъобразно само от ITSS и НЦОЗ не е участвал в обработването. Тази възможност е налице, докато може да се счита, че това дружество е обработвало лични данни от името на НЦОЗ, което няма да е така, ако ITSS е действало извън пределите на законосъобразните указания на НЦОЗ или в противоречие с тях и е използвало лични данни за свои собствени цели, и е ясно, че НЦОЗ и ITSS не са действали като съвместни администратори.

97.

С оглед на гореизложените съображения предлагам на Съда да отговори на поставените от Vilniaus apygardos administracinis teismas (Окръжен административен съд Вилнюс, Литва) преюдициални въпроси, както следва: