Ce document est extrait du site web EUR-Lex
Document 62023CJ0638
Judgment of the Court (Eighth Chamber) of 27 February 2025.#Amt der Tiroler Landesregierung v Datenschutzbehörde.#Request for a preliminary ruling from the Verwaltungsgerichtshof.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 4(7) – Concept of ‘controller’ – Direct designation of the controller by national law – Auxiliary administrative entity in the service of a regional government – Lack of legal personality – Lack of legal capacity of the entity’s own – Determination of the purposes and means of the processing.#Case C-638/23.
Rozsudek Soudního dvora (osmého senátu) ze dne 27. února 2025.
Amt der Tiroler Landesregierung v. Datenschutzbehörde a další.
Žádost o rozhodnutí o předběžné otázce podaná Verwaltungsgerichtshof.
Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 4 bod 7 – Pojem ‚správce‘ – Přímé určení správce vnitrostátním právem – Podpůrný správní útvar zřízený regionální vládou – Neexistence právní subjektivity – Neexistence vlastní právní způsobilosti – Určení účelů a způsobů zpracování.
Věc C-638/23.
Rozsudek Soudního dvora (osmého senátu) ze dne 27. února 2025.
Amt der Tiroler Landesregierung v. Datenschutzbehörde a další.
Žádost o rozhodnutí o předběžné otázce podaná Verwaltungsgerichtshof.
Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 4 bod 7 – Pojem ‚správce‘ – Přímé určení správce vnitrostátním právem – Podpůrný správní útvar zřízený regionální vládou – Neexistence právní subjektivity – Neexistence vlastní právní způsobilosti – Určení účelů a způsobů zpracování.
Věc C-638/23.
Recueil – Recueil général – Partie «Informations sur les décisions non publiées»
Identifiant ECLI: ECLI:EU:C:2025:127
ROZSUDEK SOUDNÍHO DVORA (osmého senátu)
27. února 2025 ( *1 )
„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 4 bod 7 – Pojem ‚správce‘ – Přímé určení správce vnitrostátním právem – Podpůrný správní útvar zřízený regionální vládou – Neexistence právní subjektivity – Neexistence vlastní právní způsobilosti – Určení účelů a způsobů zpracování“
Ve věci C‑638/23,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce podaná na základě článku 267 SFEU rozhodnutím Verwaltungsgerichtshof (Nejvyšší správní soud, Rakousko) ze dne 23. srpna 2023, došlým Soudnímu dvoru dne 24. října 2023, v řízení
Amt der Tiroler Landesregierung
proti
Datenschutzbehörde,
za účasti:
Bundesministerin für Justiz
a
CW,
SOUDNÍ DVŮR (osmý senát),
ve složení: N. Jääskinen, předseda devátého senátu vykonávající funkci předsedy osmého senátu, M. Gavalec (zpravodaj) a N. Piçarra, soudci,
generální advokát: M. Campos Sánchez-Bordona,
za soudní kancelář: A. Calot Escobar, vedoucí,
s přihlédnutím k písemné části řízení,
s ohledem na vyjádření, která předložili:
|
– |
za Datenschutzbehörde: M. Schmidl a E. Wagner, jako zmocněnci, |
|
– |
za Bundesministerin für Justiz: E. Riedl, jako zmocněnec, |
|
– |
za rakouskou vládu: A. Posch, J. Schmoll a C. Gabauer, jako zmocněnci, |
|
– |
za Evropskou komisi: A. Bouchagiar a M. Heller, jako zmocněnci, |
s přihlédnutím k rozhodnutí, přijatému po vyslechnutí generálního advokáta, rozhodnout věc bez stanoviska,
vydává tento
Rozsudek
|
1 |
Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 4 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“). |
|
2 |
Tato žádost byla předložena v rámci sporu mezi Amt der Tiroler Landesregierung (Úřad vlády spolkové země Tyrolsko, Rakousko) (dále jen „Úřad“) a Datenschutzbehörde (Orgán pro ochranu osobních údajů, Rakousko) ve věci údajně protiprávního zpracování osobních údajů fyzické osoby Úřadem. |
Právní rámec
Unijní právo
|
3 |
Body 1, 7, 10, 45 a 74 odůvodnění GDPR znějí takto:
[…]
[…]
[…]
[…]
|
|
4 |
Článek 1 uvedeného nařízení, nadepsaný „Předmět a cíle“, v odstavci 2 stanoví: „Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.“ |
|
5 |
Jeho článek 4, nadepsaný „Definice“, zní následovně: „Pro účely tohoto nařízení se rozumí: […]
[…]
[…]“ |
|
6 |
Článek 5 téhož nařízení, nadepsaný „Zásady zpracování osobních údajů“, uvádí: „1. Osobní údaje musí být:
2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“ |
|
7 |
Článek 6 GDPR, nadepsaný „Zákonnost zpracování“, v odstavcích 1 a 3 stanoví: „1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: […]
[…]
[…] 3. Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:
Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. […]“ |
Rakouské právo
Tyrolské zemské nařízení z roku 1989
|
8 |
Ustanovení § 56 Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) [zemský zákon o tyrolském zřízení (tyrolské zemské nařízení z roku 1989)] ze dne 21. září 1988 ve znění použitelném na spor v původním řízení (dále jen „tyrolské zemské nařízení z roku 1989“), nadepsané „Landeshauptmann“ (zemský hejtman) (dále jen „hejtman“), v odstavci 1 stanoví: „[…] hejtman je představitelem Tyrolska.“ |
|
9 |
Ustanovení § 58 tyrolského zemského nařízení z roku 1989, nadepsaného „Úřad […]“, v odstavci 1 uvádí: „[…] hejtman, zemská vláda a její jednotliví členové se při vyřizování své agendy obracejí na Úřad […] hejtman je vedoucím Úřadu […]“ |
TDVG
|
10 |
Ustanovení § 2 Tiroler Datenverarbeitungsgesetz (tyrolský zákon o zpracování osobních údajů, dále jen „TDVG“), zní takto: „1. Za správce ve smyslu čl. 4 bodu 7 [GDPR] se považuje:
[…] 3. Pokud je zpracování prováděno nebo uloženo spolkovou zemí Tyrolsko, považuje se za správce vždy Úřad […] s výjimkou případů, kdy
|
Spor v původním řízení a předběžná otázka
|
11 |
V rámci opatření určených k boji proti pandemii covidu-19 rozeslal Úřad, podpůrný správní útvar hejtmana a vlády Tyrolska, všem zletilým osobám s bydlištěm v této spolkové zemi, k nimž k tomu dosud nedošlo, „výzvu k očkování“ proti tomuto viru. Za účelem určení adresátů těchto dopisů pověřil Úřad dvě soukromé společnosti, které provedly porovnání údajů uvedených v ústředním registru očkování s registrem pacientů, v němž bylo uvedeno jejich bydliště. |
|
12 |
Dne 21. prosince 2021 CW, jeden z těchto adresátů, podal z důvodu protiprávního zpracování svých osobních údajů k Orgánu pro ochranu osobních údajů stížnost na Úřad. Před tímto orgánem Úřad uvedl, že má postavení „správce“ a že byl původcem dopisu zaslaného CW. |
|
13 |
Rozhodnutím ze dne 22. srpna 2022 uvedený orgán konstatoval, že Úřad porušil právo CW na ochranu osobních údajů, jelikož za účelem zaslání „výzvy k očkování“ nahlédl do údajů dotyčného uvedených v registru očkování, ačkoli neměl na přístup do tohoto registru ani do registru pacientů právo. Ke zpracování osobních údajů tedy došlo protiprávně. |
|
14 |
Úřad podal proti tomuto rozhodnutí žalobu k Bundesverwaltungsgericht (Spolkový správní soud, Rakousko). Ten rozhodl, že na základě použitelného vnitrostátního práva má Úřad postavení správce, ale nemá právo nahlížet do registru očkování za účelem zaslání takové výzvy, jako byla výzva určená CW. Vzhledem k tomu, že žalobu Úřadu zamítl, podal tento proti rozsudku opravný prostředek „Revision“ k Verwaltungsgerichtshof (Nejvyšší správní soud, Rakousko), který je předkládajícím soudem. |
|
15 |
Posledně uvedený soud má za to, že k tomu, aby mohl ve věci, která mu byla předložena, rozhodnout, je třeba určit, zda má Úřad v kontextu této věci postavení „správce“ ve smyslu čl. 4 bodu 7 GDPR. |
|
16 |
V tomto ohledu předkládající soud zdůrazňuje skutečnost, že Úřad pouze předložil hejtmanovi návrh na zaslání „výzvy k očkování“, který hejtman jako jeho předseda a zástupce spolkové země Tyrolsko v souladu s § 58 a § 56 odst. 1 tyrolského zemského nařízení z roku 1989 schválil. Úřad se tak omezil na to, že hejtmanovi sdělil, jaký bude účel zamýšleného zpracování osobních údajů, tedy zvýšení míry proočkovanosti, a dále prostředky, které budou použity při tomto zpracovávání, tedy zaslání takové „výzvy k očkování“ za použití údajů z ústředního registru očkování a registru pacientů. |
|
17 |
Podle předkládajícího soudu pouze hejtman s ohledem na toto své schválení rozhodl o účelu i o prostředcích zpracování osobních údajů, takže Úřad nemůže být považován za „správce“ ve smyslu čl. 4 bodu 7 první věty GDPR. |
|
18 |
Uvedený soud se nicméně zabývá tím, zda Úřad mohl být za takového správce platně určen ustanovením vnitrostátního práva, a sice § 2 odst. 1 písm. a) TDVG. |
|
19 |
Úřad totiž není právnickou osobou ani orgánem pověřeným zpracováním osobních údajů, který uskutečnil zaslání „výzvy k očkování“ CW. Úřad do tohoto zpracování zasáhl pouze jako podpůrný správní útvar zřízený orgánem veřejné moci. Postrádá právní osobnost a vlastní právní způsobilost. Je tedy třeba určit, zda Úřad může být za těchto okolností považován za „agenturu nebo jiný subjekt“ ve smyslu čl. 4 bodu 7 první věty GDPR, který může být vnitrostátním právem určen v souladu s čl. 4 bodem 7 druhou větou tohoto nařízení za správce. |
|
20 |
Mimoto uvedený soud připomíná, že podle čl. 4 bodu 7 druhé věty GDPR může být správce přímo určen pouze tehdy, jsou-li vnitrostátním právem určeny účely a prostředky dotčeného zpracování osobních údajů. Ustanovení § 2 odst. 1 písm. a) TDVG přitom sice určuje Úřad za správce, neuvádí však konkrétně, jaké druhy zpracování osobních údajů může Úřad provádět, účely, pro které by mělo k těmto zpracováním docházet, ani prostředky, které by za tímto účelem mohl použít. |
|
21 |
Předkládající soud dodává, že z čl. 6 odst. 1 písm. c) a e) GDPR vyplývá, že zpracování osobních údajů je zákonné, pokud je nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo úkolu ve veřejném zájmu či při výkonu veřejné moci, kterou je správce nadán. Z těchto podmínek zákonnosti a z cíle zajistit účinnou a rozsáhlou ochranu subjektů údajů, který čl. 4 bod 7 GDPR sleduje, vyplývá, že členské státy mohou za správce určit pouze osobu nebo entitu, které jsou schopny určit účely a prostředky zpracování osobních údajů, nebo se na tomto určení přinejmenším podílet. |
|
22 |
Za těchto podmínek se Verwaltungsgerichtshof (Nejvyšší správní soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžnou otázku: „Musí být čl. 4 bod 7 [GDPR] vykládán v tom smyslu, že brání použití ustanovení vnitrostátního práva (jako je v projednávané věci § 2 odst. 1 [TDVG]), kterým je sice určen správce ve smyslu čl. 4 bodu 7 druhé věty GDPR , ale ten
|
K předběžné otázce
|
23 |
Podstatou otázky předkládajícího soudu je, zda čl. 4 bod 7 GDPR musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která za správce určuje podpůrný správní útvar postrádající právní osobnost, jakož i vlastní právní způsobilost, aniž specificky upřesňuje konkrétní operace zpracování osobních údajů, za které je tento útvar odpovědný, a účel těchto zpracování. Uvedený soud se rovněž táže, zda čl. 4 bod 7 GDPR musí být vykládán v tom smyslu, že entita určená vnitrostátním právem za správce v souladu s tímto ustanovením musí k tomu, aby byla jakožto správce povinna reagovat na žádosti, které jí předkládají subjekty údajů na základě práv, která jim plynou z GDPR, skutečně rozhodovat o účelech a prostředcích zpracování osobních údajů. |
|
24 |
Úvodem je třeba připomenout, že podle čl. 4 bodu 7 GDPR pojem „správce“ zahrnuje fyzické nebo právnické osoby, orgány veřejné moci, agentury nebo jiné subjekty, které samy nebo společně s jinými určují účely a prostředky zpracování osobních údajů. Z uvedeného ustanovení rovněž plyne, že jsou-li účely a prostředky tohoto zpracování určeny zejména právem členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení. |
|
25 |
Z judikatury Soudního dvora plyne, že cílem uvedeného ustanovení je prostřednictvím široké definice pojmu „správce“ zajistit účinnou a úplnou ochranu subjektů údajů (v tomto smyslu viz rozsudky ze dne 5. prosince 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, bod 29, a ze dne 5. prosince 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, bod 40). |
|
26 |
Cíl sledovaný GDPR spočívá, jak vyplývá z jeho článku 1, jakož i z bodů 1 a 10 jeho odůvodnění, především v zajištění vysoké úrovně ochrany základních práv a svobod fyzických osob, zejména jejich práva na soukromí v souvislosti se zpracováním osobních údajů, zakotveného v čl. 8 odst. 1 Listiny základních práv a svobod a v čl. 16 odst. 1 SFEU (rozsudek ze dne 7. března 2024, IAB Europe, C‑604/22, EU:C:2024:214, bod 53 a citovaná judikatura). |
|
27 |
Vzhledem ke znění čl. 4 bodu 7 GDPR ve spojení s tímto cílem je pro určení toho, zda je třeba osobu nebo entitu považovat za „správce“ ve smyslu tohoto ustanovení, třeba zkoumat, zda tato osoba nebo entita samy nebo společně s jinými určují účely a prostředky zpracování, nebo zda jsou tyto účely a prostředky určeny vnitrostátním právem. Pokud je takové určení provedeno vnitrostátním právem, je třeba ověřit, zda toto právo určuje správce nebo stanoví zvláštní kritéria pro jeho určení [rozsudek ze dne 11. ledna 2024, État belge (Údaje zpracovávané v úředním věstníku),C‑231/22, EU:C:2024:7, bod 29]. |
|
28 |
S ohledem na širokou definici pojmu „správce“ ve smyslu čl. 4 bodu 7 GDPR může být určení účelů a prostředků zpracování a případně určení tohoto správce vnitrostátním právem nejen explicitní, ale i implicitní. V posledně uvedeném případě se nicméně vyžaduje, aby toto určení dostatečně jasně vyplývalo z úlohy, poslání a pravomocí svěřených dotyčné osobě nebo dotyčné entitě [rozsudek ze dne 11. ledna 2024, État belge (Údaje zpracovávané v úředním věstníku),C‑231/22, EU:C:2024:7, bod 30]. |
|
29 |
Položenou otázku je třeba zkoumat právě s ohledem na tyto úvodní poznámky. Za tímto účelem je třeba zaprvé určit, jakým způsobem může vnitrostátní zákonodárce za správce ve smyslu čl. 4 bodu 7 druhé věty GDPR platně určit podpůrný správní útvar zřízený orgány veřejné moci, pokud tento útvar postrádá právní osobnost a vlastní právní způsobilost. |
|
30 |
V tomto ohledu je třeba prvně uvést, že Soudní dvůr již rozhodl, že z jasného znění uvedeného ustanovení vyplývá, že správcem může být nejen fyzická nebo právnická osoba, ale i orgán veřejné moci, agentura nebo jiný subjekt, přičemž takovéto entity nemusí mít nutně právní osobnost podle vnitrostátního práva [v tomto smyslu viz rozsudek ze dne 11. ledna 2024, État belge (Údaje zpracovávané v úředním věstníku),C‑231/22, EU:C:2024:7, bod 36]. |
|
31 |
Nelze vyloučit, že určitá entita může být považována za „správce“ ve smyslu uvedeného ustanovení, aniž má právní osobnost. |
|
32 |
A dále co se týče toho, zda kvalifikace entity jako „správce“ vyžaduje její vlastní právní způsobilost, nebo pro tyto účely stačí jen, aby měla daná entita v rámci ochrany osobních údajů určitou možnost rozhodovat a jednat, je třeba připomenout, že z bodu 74 odůvodnění GDPR vyplývá, že unijní normotvůrce si přál, aby odpovědnost správce byla stejná bez ohledu na způsob zpracování osobních údajů, které provádí ať už on sám, nebo prostřednictvím třetí osoby, ale pro sebe. Uvedený normotvůrce rovněž hodlal zajistit, aby byl správce povinen zavést vhodná a účinná opatření a byl schopen doložit soulad činnosti zpracování s uvedeným nařízením, včetně účinnosti dotčených opatření, přičemž tato opatření musí zohledňovat povahu, rozsah, kontext a účely zpracování a rizika z něj plynoucí pro práva a svobody fyzických osob. |
|
33 |
Na základě této logiky čl. 5 odst. 2 GDPR zakotvuje zásadu odpovědnosti, podle níž správce odpovídá za dodržení zásad zpracování osobních údajů uvedených v odstavci 1 téhož článku, a stanoví, že uvedený správce musí být schopen doložit, že jsou tyto zásady dodrženy. |
|
34 |
S ohledem na zákonné povinnosti, kterým správce uvedený v čl. 4 bodě 7 GDPR podléhá, musí být tento správce za podmínek stanovených právní úpravou jeho členského státu schopen věcně i právně dostát těmto povinnostem, aniž by v tomto ohledu záleželo na tom, zda je dotčená entita nadána právní osobností a vlastní právní způsobilostí. |
|
35 |
V projednávané věci předkládajícímu soudu přísluší, aby ověřil, zda je Úřad podle rakouského práva oprávněn nést odpovědnost a povinnosti, které GDPR ukládá správci, zejména s ohledem na okolnost, která nebyla před vnitrostátními soudy, kterým byl spor v původním řízení předložen, zpochybněna, že Úřad může proti rozhodnutí orgánu pro ochranu údajů podat žalobu stejně jako že proti němu může být k uvedenému orgánu podána stížnost. Předkládající soud bude moci rovněž zohlednit skutečnost, že Úřad pověřil dvě soukromé společnosti zpracováním osobních údajů obsažených v ústředním registru očkování av registru pacientů s bydlištěm v Tyrolsku. |
|
36 |
Zadruhé se předkládající soud zabývá tím, zda vnitrostátní zákonodárce může určit takový útvar za správce podle čl. 4 bodu 7 druhé věty GDPR, aniž konkrétně upřesní zpracování osobních údajů, které může tato entita případně provádět, její účel a specifické prostředky, které může pro účely tohoto zpracování použít. |
|
37 |
Jak bylo připomenuto v bodě 28 tohoto rozsudku, pokud vnitrostátní právo určí za správce takovouto entitu, může být stanovení účelů a prostředků zpracování tímto právem implicitní za podmínky, že toto stanovení vyplývá s dostatečnou jistotou z úlohy, poslání a pravomocí jí svěřených. Tato podmínka je splněna, pokud podstata tohoto účelu a prostředků vyplývá z ustanovení vnitrostátního práva upravujících činnost uvedené entity. |
|
38 |
Přímé určení určité entity za správce vnitrostátním zákonodárcem přispívá k cíli právní jistoty, který GDPR sleduje, jak vyplývá z bodu 7 jeho odůvodnění, tím, že umožňuje fyzickým osobám, jejichž osobní údaje podléhají zpracování, snadno určit entitu pověřenou zajištěním dodržování práv, která jim přiznává toto nařízení. |
|
39 |
Platnost takového určení je však podmíněna tím, že vnitrostátní právní úprava stanoví rozsah zpracování osobních údajů, za které je určená entita odpovědná, aniž je přitom nutné, aby zákonodárce taxativně vyjmenoval všechny kroky zpracování, pro které je uvedená entita takto určena. Jak uvádí bod 45 odůvodnění daného nařízení, „jeden právní předpis jakožto základ pro více operací zpracování údajů založených na právní povinnosti, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, může být dostačující“. |
|
40 |
Z toho plyne, že vnitrostátní právní úprava, která určuje určitou entitu za správce, aniž výslovně vyjmenovává všechny konkrétní operace zpracování osobních údajů, za které je odpovědná, a účel těchto operací, je slučitelná s čl. 4 bodem 7 GDPR, pokud výslovně nebo alespoň implicitně určuje rozsah zpracování osobních údajů, za které je tato entita odpovědná. |
|
41 |
V projednávaném případě přísluší předkládajícímu soudu, aby ověřil jednak, zda je zpracování osobních údajů, které Úřad provedl za účelem přípravy a zaslání „výzev k očkování“ dotčených ve věci v původním řízení, slučitelné s účely, které musí splňovat operace zpracování osobních údajů, u nichž byl Úřad určen za správce, tak jak tyto účely vyplývají přinejmenším implicitně ze souboru ustanovení vnitrostátního práva upravujících jeho činnost, a jednak prostředky, které může za tímto účelem použít. Pouhá okolnost, že tato vnitrostátní ustanovení případně neupřesňují konkrétně operace zpracování, které je Úřad oprávněn provádět, nemůže vyloučit kvalifikaci takové entity, jako je Úřad, za správce ve smyslu čl. 4 bodu 7 GDPR. |
|
42 |
Zatřetí se předkládající soud zabývá tím, zda entita určená vnitrostátní právní úpravou za správce podle čl. 4 bodu 7 druhé věty GDPR musí k tomu, aby byla v tomto postavení povinna reagovat na žádosti, které jí předkládají subjekty údajů na základě práv, která jim plynou z GDPR, rovněž sama nebo společně s jinými příslušnými orgány rozhodovat o účelech a prostředcích zpracování osobních údajů, ve vztahu k nimž byla určena za správce. |
|
43 |
V tomto ohledu stačí poznamenat, že právě pro účely prokázání postavení určité entity jako správce ve smyslu čl. 4 bodu 7 první věty GDPR je třeba zkoumat, zda tato entita pro vlastní účely skutečně ovlivnila určení účelů a prostředků tohoto zpracování (v tomto smyslu viz rozsudek ze dne 5. prosince 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, body 30 a 31). |
|
44 |
Naproti tomu pro prokázání postavení určité entity jako správce ve smyslu čl. 4 bodu 7 druhé věty GDPR není nutné, jak vyplývá z jasného znění tohoto ustanovení, aby tato entita ovlivňovala určení účelů a prostředků tohoto zpracování. |
|
45 |
Taková entita, která je určena vnitrostátním právem za správce, tedy k tomu, aby musela jakožto správce reagovat na žádosti, které jí subjekty údajů předkládají na základě práv, která pro ně vyplývají z GDPR, nemusí sama rozhodovat o účelech a prostředcích zpracování osobních údajů. |
|
46 |
V tomto ohledu již Soudní dvůr rozhodl, že platnost přímého určení není dotčena okolností, že podle vnitrostátního práva entita určená za správce nevykonává žádnou kontrolu nad osobními údaji, které musí zpracovávat [v tomto smyslu viz rozsudek ze dne 11. ledna 2024, État belge (Údaje zpracovávané v úředním věstníku), C‑231/22, EU:C:2024:7, body 37 a 38]. |
|
47 |
Takový výklad je v souladu s cílem právní jistoty, který GDPR sleduje. Jak zdůraznila Komise v písemném vyjádření, tento cíl by byl ohrožen, pokud by subjekty údajů musely k tomu, aby mohly mít za to, že toto určení bylo vnitrostátním zákonodárcem provedeno platně, ověřovat, že entita určená za správce jejich osobních údajů má pravomoc sama určovat účely a prostředky takového zpracování. |
|
48 |
Je třeba ještě dodat, že skutečnost, že k tomu, aby taková určená entita musela jakožto správce reagovat na žádosti, které jí subjekty údajů předkládají na základě práv, která pro ně vyplývají z GDPR, není nezbytné, aby byla rovněž oprávněna sama rozhodovat o účelech a prostředcích zpracování osobních údajů, nikterak nezbavuje tyto subjekty možnosti obracet se s těmito žádostmi na jinou entitu, kterou považují za správce nebo spolusprávce svých osobních údajů na základě vlivu, který měla tato jiná entita na určení účelů a prostředků dotčeného zpracování. |
|
49 |
S ohledem na výše uvedené důvody je třeba na položenou otázku odpovědět tak, že čl. 4 bod 7 GDPR musí být vykládán v tom smyslu, že nebrání vnitrostátní právní úpravě, která za správce určuje podpůrný správní útvar postrádající právní osobnost i vlastní právní způsobilost, aniž specificky upřesňuje konkrétní operace zpracování osobních údajů, za které je tato entita odpovědná, a účel těchto zpracování, pokud je taková entita schopna plnit v souladu s touto vnitrostátní právní úpravou povinnosti správce vůči subjektům údajů v oblasti ochrany osobních údajů a pokud uvedená vnitrostátní právní úprava výslovně nebo alespoň implicitně určuje rozsah zpracování takových údajů, za které je tato entita odpovědná. |
K nákladům řízení
|
50 |
Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují. |
|
Z těchto důvodů Soudní dvůr (osmý senát) rozhodl takto: |
|
Článek 4 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) |
|
musí být vykládán v tom smyslu, že |
|
nebrání vnitrostátní právní úpravě, která za správce určuje podpůrný správní útvar postrádající právní osobnost i vlastní právní způsobilost, aniž specificky upřesňuje konkrétní operace zpracování osobních údajů, za které je tato entita odpovědná, a účel těchto zpracování, pokud je taková entita schopna plnit v souladu s touto vnitrostátní právní úpravou povinnosti správce vůči subjektům údajů v oblasti ochrany osobních údajů a pokud uvedená vnitrostátní právní úprava výslovně nebo alespoň implicitně určuje rozsah zpracování takových údajů, za které je tato entita odpovědná. |
|
Podpisy |
( *1 ) – Jednací jazyk: němčina.