1.

Za jakých podmínek lze uložit správcům a zpracovatelům správní pokuty za porušení pravidel ochrany údajů stanovených v nařízení (EU) 2016/679 ve světě, kde se osobní údaje staly trumfem a představují pro podniky nově nalezený zlatý důl ( 2 )? Konkrétně, je „zavinění“ požadovaným prvkem, který musí být splněn před tím, než jim mohou být takové pokuty uloženy? To je hlavní problém, který Vilniaus apygardos administracinis teismas (Krajský správní soud ve Vilniusu, Litva) vznáší v tomto případě.

2.

Spor projednávaný před tímto soudem mezi Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Národní středisko pro veřejné zdraví při Ministerstvu zdravotnictví, Litva, dále jen „NVSC“) a Valstybinė duomenų apsaugos inspekcija (Státní inspekce pro ochranu údajů, Litva; dále jen „inspekce“) se v podstatě týká úlohy, kterou NVSC hraje při vývoji a zveřejnění mobilní aplikace, která v dubnu a květnu 2020 shromažďovala osobní údaje osob, které byly v kontaktu s pacienty nakaženými covid-19.

3.

V této souvislosti poskytuje tato věc Soudnímu dvoru příležitost dodatečně objasnit pojmy „správce“, „společní správci“ a „zpracování“, které jsou definovány v čl. 4 odst. 7, čl. 26 odst. 1 a čl. 4 odst. 2. GDPR, a poprvé zvážit, zda je možné za použití článku 83 tohoto nařízení uložit správní pokutu správci, který se porušení pravidel obsažených v GDPR nedopustil úmyslně či z nedbalosti. Tato otázka vyžaduje, aby Soudní dvůr objasnil, zda toto ustanovení umožňuje ukládat pokuty bez zavinění na základě objektivní odpovědnosti.

4.

Bod 148 odůvodnění GDPR uvádí:

„S cílem posílit prosazování pravidel tohoto nařízení by za jakékoliv jeho porušení měly být uloženy sankce včetně správních pokut […]. V méně závažných případech porušení, nebo pokud by pokuta, která bude pravděpodobně uložena, představovala pro fyzickou osobu nepřiměřenou zátěž, může být namísto pokuty uloženo napomenutí. Náležitě by se však měla zohlednit povaha, závažnost a doba trvání porušení, úmyslný charakter porušení, kroky, které byly učiněny s cílem zmírnit způsobenou škodu, míra odpovědnosti nebo jakékoli relevantní předchozí porušení, způsob, jakým se dozorový úřad o daném porušení dozvěděl, dodržování opatření, která byla vůči správci nebo zpracovateli nařízena, dodržování kodexu chování nebo jakýkoli jiný přitěžující nebo polehčující faktor. Uložení sankcí včetně správních pokut by mělo podléhat vhodným procesním zárukám v souladu s obecnými zásadami právních předpisů Unie a Listiny, včetně účinné právní ochrany a spravedlivého procesu.“

5.

Bod 150 odůvodnění uvedeného nařízení uvádí:

„Aby byly posíleny a harmonizovány správní sankce za porušení tohoto nařízení, měl by každý dozorový úřad mít pravomoc uložit správní pokuty. V tomto nařízení by měly být uvedeny porušení a maximální hranice a kritéria pro stanovení souvisejících správních pokut, jež by měl v každém jednotlivém případě určit příslušný dozorový úřad při zohlednění všech příslušných okolností konkrétní situace s náležitým přihlédnutím zejména k povaze, závažnosti a době trvání tohoto porušení a k jeho důsledkům a opatřením přijatým v zájmu zajištění souladu s povinnostmi vyplývajícími z tohoto nařízení a v zájmu prevence či zmírnění důsledků tohoto porušení. […] Uložení správní pokuty nebo varování nemá vliv na uplatňování dalších pravomocí dozorových úřadů nebo dalších sankcí podle tohoto nařízení.“

6.

Článek 4 odst. 7 GDPR definuje správce jako „fyzick[ou] nebo právnick[ou] osob[u], orgán veřejné moci, agentur[u] nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů […]“.

7.

Článek 26 tohoto nařízení, nadepsaný „Společní správci“, v příslušné části uvádí:

„1.   Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, jsou společnými správci.

[…]“

8.

Článek 83 tohoto nařízení, nadepsaný „Obecné podmínky pro ukládání správních pokut“, stanoví:

„1.   Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.

2.   Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j). Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:

[…]

3.   Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

[…]“

9.

Článek 72 odst. 2 Viešųjų pirkimų įstatymas (zákon o zadávání veřejných zakázek) uvádí:

„Veřejný zadavatel provede jednací řízení bez uveřejnění oznámení o zahájení zadávacího řízení v těchto fázích:

10.

V reakci na situaci vyplývající z šíření covid-19 ministr zdravotnictví Litevské republiky (dále jen „ministr zdravotnictví“) rozhodnutím ze dne 24. března 2020 pověřil ředitele NVSC zorganizováním vývoje a pořízení mobilní aplikace, konkrétně KARANTINAS. Tato mobilní aplikace byla navržena tak, aby shromažďovala a monitorovala osobní údaje jednotlivců, kteří byli v kontaktu s pacienty infikovanými covid-19 ( 3 ).

11.

Dne 27. března 2020 osoba, která tvrdila, že je zmocněncem NVSC, informovala společnost „IT sprendimai sėkmei“ UAB, že byla vybrána jako vývojář KARANTINAS. Mezi ITSS a touto osobou a také mezi ITSS a řadou zaměstnanců a ředitelem NVSC došlo v souvislosti s vývojem mobilní aplikace k výměně e-mailů. V této fázi byla rovněž sepsána dohoda o mlčenlivosti, v níž jsou jako správci uvedeni ITSS i NVSC.

12.

Mobilní aplikace, která byla nakonec vyvinuta, byla veřejnosti zpřístupněna ke stažení z obchodu Google Play dne 4. dubna 2020 a z obchodu Apple App Store dne 6. dubna 2020. Verze KARANTINAS, která byla veřejnosti zpřístupněna ke stažení, opět zmiňovala ITSS i NVSC jako správce. V té době tato mobilní aplikace ještě nebyla ze strany NVSC zakoupena.

13.

Rozhodnutím ze dne 10. dubna 2020 uložil ministr zdravotnictví řediteli NVSC, aby přistoupil k pořízení KARANTINAS v jednacím řízení bez uveřejnění oznámení o zahájení zadávacího řízení podle § 72 odst. 2 zákona o veřejných zakázkách.

14.

Toto řízení bylo zahájeno, ale NVSC jej ukončilo poté, co nezískalo potřebné finanční prostředky. Na základě zadávacího řízení nebyla uzavřena žádná kupní smlouva. KARANTINAS byl však i nadále k dispozici veřejnosti ke stažení.

15.

Dne 15. května 2020 NVSC společnost ITSS požádalo, aby v mobilní aplikaci neuváděla žádné údaje o NVSC ani na něj nikterak neodkazovala. Dne 18. května 2020 zahájila inspekce šetření kvůli porušení pravidel stanovených GDPR týkající se ITSS i NVSC. Provoz aplikace KARANTINAS byl na žádost inspekce dne 26. května 2020 pozastaven. Podle ITSS poskytlo prostřednictvím aplikace v období od 4. dubna do 26. května 2020 osobní údaje 3802 uživatelů.

16.

Rozhodnutím ze dne 24. února 2021 uložila inspekce NVSC a ITSS jako společným správcům správní pokuty za porušení článků 5, 13, 24, 32 a 35 GDPR ( 4 ).

17.

Toto rozhodnutí bylo ze strany NVSC napadeno u Vilniaus apygardos administracinis teismas (Krajský správní soud ve Vilniusu). Podstatou otázky předkládajícího soudu je, zda pojem „správce“ ve smyslu čl. 4 odst. 7 GDPR musí být vykládán široce, aby zahrnoval jakoukoli fyzickou nebo právnickou osobu nebo orgán, jako je NVSC, který není vývojářem mobilní aplikace, ale který za účelem získání takové mobilní aplikace prostřednictvím výběrového řízení určil „účely a prostředky zpracování osobních údajů“, nebo zda by tento pojem měl být vykládán striktněji s přihlédnutím k zadávacímu řízení a jeho výsledku.

18.

Zejména si klade otázku, zda je v tomto ohledu relevantní skutečnost, že zadávací řízení bylo nakonec zrušeno a NVSC aplikaci KARANTINAS nikdy nezískalo. Klade si rovněž otázku, zda má na toto posouzení vliv skutečnost, že NVSC ke zpřístupnění této mobilní aplikace veřejnosti nedalo oficiálně souhlas nebo jej nepovolilo.

19.

Dále se ptá na vztah mezi NVSC a ITSS. V tomto ohledu si klade otázku, za jakých okolností je tento subjekt a tuto společnost třeba považovat za „společné správce“ ve smyslu čl. 4 odst. 7 a čl. 26 odst. 1 GDPR. Alternativně, pokud by NVSC a ITSS neměly být ve smyslu GDPR považováni za „společné správce“, ale za „správce“ a (respektive) „zpracovatele“ ( 5 ), soud se táže, kdy by jednání ITSS mohlo vést k odpovědnosti NVSC. V tomto ohledu klade otázku, zda je třeba článek 83 GDPR vykládat tak, že správci, jako je NVSC, který se sám úmyslně nebo z nedbalosti nedopustil žádného porušení tohoto nařízení, může být uložena správní pokuta.

20.

Za těchto okolností se Vilniaus apygardos administracinis teismas (Krajský správní soud ve Vilniusu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

21.

Žádost o rozhodnutí o předběžné otázce ze dne 22. října 2021 byla zapsána do rejstříku Soudního dvora dne 12. listopadu 2021. Písemná vyjádření předložily NVSC, inspekce, litevská vláda a Evropská komise.

22.

Na jednání, které se konalo dne 17. ledna 2023, byla zastoupena litevská a nizozemská vláda spolu s Komisí a Radou.

23.

Během pandemie covid-19 byly v mnoha členských státech veřejnosti zpřístupněny ke stažení mobilní aplikace určené ke „sledování“ osob infikovaných virem nebo těch, kteří byli v kontaktu s někým, kdo byl virem infikován. Takové mobilní aplikace byly vyvinuty ve snaze reagovat na nouzovou situaci, často za účasti několika veřejných a soukromých subjektů (jako jsou ministerstva a další veřejné subjekty i soukromé společnosti). Uživatelé byli povinni do těchto mobilních aplikací nahrávat své osobní údaje, zejména údaje týkající se jejich zdravotního stavu ( 6 ).

24.

Spor v původním řízení se týká právě takové mobilní aplikace, konkrétně KARANTINAS, kterou vyvinula ITSS (soukromá společnost) z podnětu NVSC (orgánu veřejné moci) na základě rozhodnutí ministra zdravotnictví. Z informací ve spisu ani z informací poskytnutých na jednání není jasné, které další litevské veřejné subjekty, pokud vůbec nějaké, byly do vývoje žádosti aplikace zapojeny ( 7 ). Existují také určité pochybnosti, zda NVSC souhlasilo se zpřístupněním KARANTINAS veřejnosti během období, ve kterém zpracování osobních údajů probíhalo (duben a květen 2020). V otázkách předložených Soudnímu dvoru však Vilniaus apygardos administracinis teismas (Krajský správní soud ve Vilniusu) označil za relevantní následující okolnosti.

25.

Na základě tohoto skutkového stavu se otázky položené Soudnímu dvoru týkají výkladu různých ustanovení GDPR. První tři otázky, jakož i pátá otázka, požadují výklad pojmu „správce“ ve smyslu čl. 4 odst. 7 uvedeného nařízení a požadují objasnění okolností, za nichž lze dva nebo více subjektů považovat za „společné správce“ podle tohoto ustanovení a čl. 26 odst. 1 téhož nařízení. Nejprve tyto otázky analyzuji společně (A), než přejdu ke čtvrté otázce, která se týká pojmu „zpracování“ ve smyslu čl. 4 odst. 2 GDPR a jeho použití v kontextu fáze testování mobilní aplikace (B) ( 8 ). Poté se zaměřím na skutečnost, která je podstatou tohoto případu, konkrétně na šestou otázku, která má průřezový charakter, protože se týká podmínek, za nichž mohou být v souladu s článkem 83 GDPR uloženy správní pokuty správcům (C).

26.

Podstatou prvních tří otázek předkládajícího soudu je, zda s ohledem na okolnosti uvedené v bodě 24 výše musí být subjekt, jako je NVSC, považován za „správce“ ve smyslu čl. 4 odst. 7 GDPR. Kromě toho předkládající soud prostřednictvím páté otázky žádá o objasnění, zda za takových okolností musí být dva subjekty, jako je NVSC a ITSS, v souladu s tímto ustanovením ve spojení s čl. 26 odst. 1 tohoto nařízení považovány za „společné správce“, ačkoliv nedospěly k žádné formální dohodě o účelech a prostředcích zpracování a nejeví se, že by jinak koordinovaly své jednání.

27.

Připomínám, že čl. 4 odst. 7 GDPR definuje „správce“ jako osobu nebo subjekt, který „sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů“. Zjednodušeně řečeno, správce nemusí sám žádné osobní údaje zpracovávat, ale ve vztahu k příslušným operacím zpracování musí určit „proč a jak“ ( 9 ). Soudní dvůr uvedl, že ke splnění tohoto kritéria musí osoba nebo subjekt skutečně „[vykonávat] […] vliv na zpracování osobních údajů“ ( 10 ). Není však nutné, aby určení účelů a prostředků zpracování probíhalo v souladu s písemnými příkazy nebo pokyny správce ( 11 ). Článek 4 odst. 7 GDPR totiž vyžaduje spíše věcnou než formální analýzu.

28.

V souvislosti s tím Evropský sbor pro ochranu osobních údajů (EDPB) uvedl, že správcem je rovněž možné být bez ohledu na konkrétní kompetence nebo pravomoci ke kontrole údajů přiznané zákonem. Schopnost určit účely a prostředky zpracování totiž závisí především na uplatněném vlivu, který lze odvodit ze skutkových okolností. Subjekt, který je ve skutečnosti schopen určovat účely a prostředky zpracování, bude tedy považován za „správce“ bez ohledu na to, zda byl takto formálně jmenován (zákonem nebo smlouvou či jinak) ( 12 ).

29.

V návaznosti na tato upřesnění poznamenávám, že některé z okolností popsaných předkládajícím soudem v prvních třech otázkách jsou čistě formální povahy: například skutečnost, že NVCS není právně vlastníkem aplikace KARANTINAS nebo že akvizice mobilní aplikace nebyla nikdy dokončena nebo že NVSC oficiálně nepovolilo vydání aplikace pro širokou veřejnost nebo neschválilo poslední verzi aplikace. Podle mého názoru žádná z těchto okolností nemůže sama o sobě bránit zjištění, že NVSC v rámci původního řízení jednalo jako „správce“ ve smyslu čl. 4 odst. 7 GDPR. Nepostačují k vyvrácení závěru, že NVSC ve skutečnosti bylo schopno určit účely a prostředky zpracování osobních údajů, ke kterému došlo. Podobně se mi jeví, že skutečnost, že NVSC bylo v politice ochrany důvěrných údajů verze aplikace KARANTINAS, která byla zpřístupněna veřejnosti ke stažení, uvedeno jako správce nebo že v této verzi mobilní aplikace byly zahrnuty odkazy na tento subjekt, je z hlediska vlivu skutečně vykonávaného tímto subjektem relevantní, ale nikoliv průkazná.

30.

Naproti tomu důkazy předložené předkládajícímu soudu, které prokazují, že NVSC rozhodlo o tom, jaký typ osobních údajů a od kterých subjektů údajů má aplikace KARANTINAS shromažďovat, nebo o jiných klíčových aspektech zpracování, jsou podle mého názoru dostatečné k prokázání toho, že tento subjekt určil „prostředky“ zpracování. Dále se domnívám, že skutečnost, že aplikace KARANTINAS byla vytvořena za účelem splnění cíle definovaného NVSC, tedy zajištění reakce na pandemii covid-19, a že její fungování bylo ze strany ITSS pravidelně upravováno tak, aby v souladu s pokyny poskytnutými NVSC odpovídalo potřebám stanoveným tímto subjektem, stačí k závěru, že tento subjekt určil „účely“ tohoto zpracování.

31.

S ohledem na to se mi jeví, že za účelem určení, zda subjekt, jako je NVSC, lze považovat za „správce“ ve smyslu čl. 4 odst. 7 GDPR, musí předkládající soud rovněž určit, zda bez ohledu na vliv vykonávaný ze strany NVSC ve fázi vývoje aplikace KARANTINAS bylo rozhodnutí tuto mobilní aplikaci zpřístupnit veřejnosti a tedy zpracovávat osobní údaje skutečně přijato s (výslovným nebo předpokládaným) souhlasem tohoto subjektu (bez ohledu na to, že tento souhlas nebyl formálně udělen).

32.

Jak objasňuje definice pojmu „správce“ v čl. 4 odst. 7 GDPR, vliv vykonávaný správcem se musí týkat samotného zpracování osobních údajů, nikoli jakéhokoli předchozího kroku. Fyzická či právnická osoba či subjekt se nestává „správcem“ pouhou skutečností, že iniciuje vývoj mobilní aplikace nebo definuje parametry této aplikace (nebo jiného nástroje pro sběr dat). Její jednání musí skutečně souviset se zpracováním osobních údajů, a proto musí s tím, že se příslušný nástroj k takovému zpracování použije, dát výslovný nebo implicitní souhlas.

33.

Soud na tomto požadavku setrval v rozsudku ve věci Fashion ID ( 13 ), v němž výslovně uvedl, že odpovědnost správce je omezena na operaci nebo soubor operací zpracování osobních údajů, u nichž skutečně určil účely a prostředky ( 14 ). Z toho vyplývá, že určení účelů nebo prostředků přímo souvisí s příslušnou operací nebo souborem operací zpracování osobních údajů.

34.

Podle mého názoru z těchto zjištění vyplývá, že subjekt, jako je NVSC, který iniciuje vývoj mobilní aplikace, může být za „správce“ ve smyslu čl. 4 odst. 7 GDPR považován pouze za situace, kdy existuje dostatek prvků faktické spíše než formální povahy, z nichž mohou vnitrostátní soudy vyvodit závěr, že takový subjekt skutečně ovlivňoval „účely a prostředky“ tohoto zpracování a skutečně souhlasil se zpřístupněním mobilní aplikace veřejnosti a následně i zpracováním osobních údajů. S výhradou ověření, které musí provést předkládající soud, se domnívám, že NVSC splňuje tyto požadavky.

35.

Pátá otázka se týká podmínek, které musí být splněny, aby bylo možné dva (nebo více) subjektů považovat za společné správce. Rozumím tomu tak, že předkládající soud žádá o objasnění výkladu tohoto pojmu, protože má podezření, že v situaci dotčené v původním řízení by bylo možno NVSC a ITSS považovat za „společné správce“ a jako takovým by jim mohla být přičtena společná a nerozdílná odpovědnost za způsobenou škodu ( 15 ) nebo za porušení pravidel ochrany údajů, ke kterým došlo, když byla aplikace KARANTINAS veřejnosti zpřístupněna ke stažení, je společně pokutovat. V tomto ohledu podotýkám, jak jsem uvedl v bodě 16 výše, že tento subjekt a tato společnost byly ve skutečnosti inspekcí oba shledány odpovědnými a byly jim uloženy pokuty podle článku 83 GDPR za porušení, kterých se dopustily jako společní správci.

36.

Podle čl. 26 odst. 1 GDPR se o „společné správce“ jedná, pokud dva nebo více správců společně stanoví účely a prostředky zpracování. Každý společný správce tedy musí nezávisle splňovat kritéria uvedená v definici „správce“ uvedené v čl. 4 odst. 7 uvedeného nařízení ( 16 ). Kromě toho musí mít společní správci mezi sebou určitý vztah, protože jejich vliv na zpracování musí být vykonáván společně.

37.

Soudní dvůr uvedl, že existence společné kontroly nutně neznamená stejnou míru odpovědnosti nebo účasti různých zúčastněných osob nebo subjektů. Naopak společní správci mohou být zapojeni v různých fázích zpracování, takže míru odpovědnosti každého z nich je třeba hodnotit s přihlédnutím ke všem relevantním okolnostem každého případu ( 17 ). Společná odpovědnost několika subjektů za totéž zpracování navíc nepředpokládá, že bude mít každý z nich přístup k dotčeným osobním údajům ( 18 ). Důležité však je, že se společně podílejí na stanovení „účelů a prostředků“ zpracování.

38.

V tomto ohledu podotýkám, že jak uvádí pokyny 07/2020, takový společný výkon může existovat v různých formách. Může být výsledkem společného rozhodnutí přijatého dvěma nebo více subjekty nebo může být pouze výsledkem konvergujících rozhodnutí těchto subjektů. V případech, kde tomu tak je, záleží pouze na tom, aby se rozhodnutí vzájemně doplňovala a byla nezbytná k tomu, aby zpracování probíhalo takovým způsobem, že mají hmatatelný dopad na určení účelů a prostředků zpracování – tedy v podstatě že zpracování by nebylo možné bez účasti obou stran ( 19 ).

39.

V této souvislosti se předkládající soud táže, zda skutečnost, že dva správci (v projednávané věci, NVSC a ITSC) nedospěli k žádné formální dohodě, pokud jde o účely a prostředky zpracování, nebo se nezdá, že by jinak koordinovali své jednání, brání tomu, aby byli považováni za „společné správce“.

40.

Chápu, že pochybnosti předkládajícího soudu v tomto ohledu vyplývají ze skutečnosti, že podle čl. 26 odst. 1 GDPR musí společní správci transparentně vymezit své podíly na odpovědnosti za plnění povinností podle tohoto nařízení, a to prostřednictvím ujednání mezi nimi. Mimoto bod 79 odůvodnění tohoto nařízení uvádí, že je vyžadováno, „aby bylo jasně určeno, kdo má plnit jednotlivé povinnosti,“ a to včetně případů, kdy správce určuje účely a prostředky zpracování společně s jinými správci. Podle mého názoru se však tyto povinnosti a požadavky na společné správce vztahují pouze tehdy, kdyži je možné za takové považovat. Nejsou součástí kritérií, která musí být splněna, aby mohli být jako takoví kvalifikováni.

41.

Jak jsem uvedl v bodě 36 výše, společná správa závisí na splnění pouze dvou objektivních podmínek. Zaprvé musí každý společný správce splňovat kritéria uvedená v definici „správce“ v čl. 4 odst. 7 GDPR. Ve spise není dostatek informací, z nichž by bylo možné určit, zda v situaci v původním řízení musí být společnost ITSS považována za „správce“ ve smyslu tohoto ustanovení. Ve světle zjištění, která jsem učinil v předchozí části a s výhradou ověření ze strany předkládajícího soudu, se mi však jeví, že přinejmenším NVSC, pokud ne tento subjekt společně s ITSS, splňuje podmínky, aby byl považován za „správce“ ve smyslu tohoto ustanovení. Zadruhé musí být vliv správců na zpracování vykonáván společně (to znamená, že musí být vykonáván v souladu s právními kritérii a judikaturou, které jsem připomněl v bodech 37 a 38 výše). V tomto ohledu jsem vysvětlil, že společný výkon zpracování může existovat v různých formách a nemusí ani vycházet ze společného rozhodnutí zúčastněných stran. Věcný a funkční přístup, který se uplatní při stanovení, zda má být fyzická nebo právnická osoba považována za „správce“ ve smyslu čl. 4 odst. 7 GDPR, se podle mého názoru vztahuje také na společnou správu ( 20 ).

42.

S ohledem na tyto prvky se zaprvé domnívám, že neexistence jakékoli dohody nebo ujednání, nebo dokonce společného rozhodnutí mezi dvěma nebo více správci, jako jsou NVSC a ITSS, nemůže sama o sobě vyloučit zjištění, že jsou „společnými správci“ ve smyslu čl. 4 odst. 7 GDPR ve spojení s čl. 26 odst. 1 GDPR. V tomto ohledu dodávám, že EDPB uvedl, že ačkoli mohou být smluvní ujednání při posuzování společné kontroly užitečná, měla by být vždy posouzena s ohledem na faktické okolnosti vztahu mezi stranami ( 21 ).

43.

Zadruhé dle mého názoru to, že NVSC a ITSS, vedle skutečnosti, že neuzavřely dohodu, ujednání nebo společné rozhodnutí, své kroky patrně vzájemně nekoordinovaly ani jinak nespolupracovaly, neznamená, že je nelze považovat za „společné správce“. I kdyby taková koordinace nebo spolupráce existovala, je to z hlediska otázky, zda vztah mezi těmito dvěma subjekty je vztahem společné správy či nikoli, nepodstatné. Lze si totiž snadno představit, že by spolupráce nebo koordinace mohla existovat mezi dvěma nebo více subjekty, aniž by byly vůbec společnými správci. Například dva samostatní správci by mohli koordinovat činnost nebo vzájemně spolupracovat s úmyslem předávat si mezi sebou osobní údaje. Tím by se však nestali „společnými správci“ ve smyslu čl. 4 odst. 7 a čl. 26 odst. 1 GDPR ( 22 ). Relevantní je skutečnost, jak jsem vysvětlil v bodě 38 výše, že zpracování by nebylo možné bez účasti obou stran, jelikož obě mají hmatatelný dopad na určení účelů a prostředků zpracování.

44.

S ohledem na výše uvedené mám na jednu stranu za to, že s výhradou ověření, které má provést předkládající soud, subjekt, jako je NVSC, splňuje podmínky uvedené v čl. 4 odst. 7 GDPR, aby mohl být považován za „správce“. Na druhou stranu, zda NVSC a ITSS mohou být považováni za „společné správce“, v souladu s kritérii, která jsem nastínil v předchozí části, nebo kvalifikováni jako „správce“ a „zpracovatel“, závisí na povaze jejich vztahu, což přísluší posoudit předkládajícímu soudu.

45.

V tomto ohledu dodávám, že povaha vztahu mezi NVSC a ITSS (konkrétně to, zda se jedná o „společné správce“, respektive „správce“ a „zpracovatele“) je pro šestou otázku relevantní. Při diskusi otázek vznesených v šesté otázce se tedy vrátím ke zjištěním, která jsem učinil v souvislosti s otázkou pátou.

46.

Podstatou čtvrté otázky předkládajícího soudu je, zda se definice „zpracování“ uvedená v čl. 4 odst. 2 GDPR vztahuje na situaci, kdy jsou osobní údaje používány během fáze testování mobilní aplikace ( 23 ). Ze žádosti o rozhodnutí o předběžné otázce vyvozuji, že aplikace KARANTINAS před tím, než byla veřejnosti zpřístupněna ke stažení, prošla testovací fází. Jak tomu rozumím, čtvrtá otázka se týká situace, která se liší od situace, která je jádrem ostatních otázek předložených Soudnímu dvoru, které se všechny týkají zpracování osobních údajů po skončení zkušební fáze, kdy byla aplikace KARANTINAS zpřístupněna veřejnosti. Předkládající soud si konkrétně klade otázku, zda je použití osobních údajů během této testovací fáze kvalifikováno jako „zpracování“ ve smyslu čl. 4 odst. 2 GDPR a jako takové může zakládat potenciální odpovědnost správců nebo zúčastněných zpracovatelů.

47.

Článek 4 odst. 2 GDPR definuje „zpracování“ jako „jakoukoli operaci nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů […]“ ( 24 ).

48.

Z tohoto znění (zejména z použití slova „jakákoli“ a obecných pojmů jako „operace“ nebo „soubor operací“) jsem vyrozuměl, že toto ustanovení má mít široký význam, aby pokrylo co největší množinu možných situací, ve kterých jsou osobní údaje používány. Demonstrativní výčet takových situací, který je v tomto ustanovení uveden, tento výklad s ohledem na rozmanitost operací, které jsou v něm obsaženy, potvrzuje ( 25 ).

49.

Navíc zatímco z výše uvedeného oddílu vyplývá, že definice „správce“ ve smyslu čl. 4 odst. 7 uvedeného nařízení úzce souvisí s účely zpracování osobních údajů (důvody „proč“ jsou osobní údaje shromažďovány), v případě definice uvedené v čl. 4 odst. 2 uvedeného nařízení to neplatí. Důvody, pro které jsou operace nebo soubory operací prováděny, jsou z hlediska toho, zda musí být kvalifikovány jako „zpracování“ ve smyslu tohoto ustanovení, jako takové v zásadě irelevantní. Z toho podle mého názoru vyplývá, že to, zda jsou osobní údaje shromažďovány pro účely testování IT systémů tvořících součást mobilní aplikace nebo pro jiný účel, nemá na to, zda je dotčená operace kvalifikována jako „zpracování“, žádný vliv.

50.

V tomto ohledu dále podotýkám, že „použití“ osobních údajů (bez jakéhokoli dalšího upřesnění, a tedy bez ohledu na účel použití) je uvedeno mezi operacemi nebo soubory operací, které představují „zpracování“ ( 26 ). Článek 4 odst. 2 GDPR kromě toho neobsahuje žádnou výslovnou výjimku, odchylku nebo výluku týkající se operací souvisejících s použitím osobních údajů pro testování IT systémů. Z toho vyplývá, že nic nebrání tomu, aby použití osobních údajů za účelem provedení takového testování bylo považováno za „zpracování“ ve smyslu tohoto ustanovení, spíše naopak.

51.

S ohledem na tyto skutečnosti mám za to, že definice „zpracování“ uvedená v čl. 4 odst. 2 GDPR se vztahuje na situaci, kdy jsou osobní údaje používány během fáze testování mobilní aplikace.

52.

Pouhá skutečnost, že osobní údaje poskytnuté pro účely testování IT systémů tvořících součást mobilní aplikace mohly projít pseudonymizací, nemá na můj závěr v tomto ohledu vliv ( 27 ). GDPR by se neuplatnilo jedině, pokud by informace dodané do mobilní aplikace byly tvořeny pouze anonymními informacemi, které se „netýkají identifikované či identifikovatelné fyzické osoby ani osobních údajů“, nebo osobními údaji anonymizovan[ými] tak, že subjekt údajů není nebo již přestal být identifikovatelným“. Poznamenávám však, že ve věci v původním řízení se na základě informací poskytnutých ve spisu nejeví, že by údaje použité při fázi testování sestávaly z takto anonymizovaných údajů ( 28 ).

53.

S ohledem na výše uvedené se domnívám, že definice „zpracování“ uvedená v čl. 4 odst. 2 GDPR pokrývá situaci, kdy jsou osobní údaje používány během testovací fáze mobilní aplikace, pokud tyto údaje nebyly anonymizovány takovým způsobem, že subjekt údajů již není nebo již nadále nebude identifikovatelný. To, zda jsou osobní údaje shromažďovány za účelem testování IT systémů tvořících součást mobilní aplikace nebo pro jiný účel, nemá žádný vliv na otázku, zda je daná operace kvalifikována jako „zpracování“ ( 29 ).

54.

V návaznosti na tato upřesnění se nyní vrátím k hlavní otázce v projednávané věci, která se týká podmínek, za nichž lze správci nebo zpracovateli uložit správní pokutu podle článku 83 GDPR.

55.

Před přijetím GDPR byly sankce za porušení pravidel ochrany osobních údajů do značné míry ponechány na uvážení členských států v souladu s jejich procesní a nápravnou autonomií ( 30 ). Správní pokuty, které byly zavedeny článkem 83 uvedeného nařízení, jsou tedy v unijním právu na ochranu údajů relativně novým „vývojem“. Pracovní skupina zřízená podle článku 29 je popsala jako „ústřední prvek nového režimu vymáhání“ ( 31 ). Ačkoli toto ustanovení ještě Soudní dvůr nevyložil, dozorové úřady jej již použily, někdy k uložení vysokých pokut správcům nebo zpracovatelům ( 32 ).

56.

Článek 83 GDPR v závislosti na konkrétním typu porušení stanoví dvoustupňový systém sankcí. Zatímco první stupeň, definovaný v čl. 83 odst. 4 uvedeného nařízení, se vztahuje na situace, kdy správce nebo zpracovatel poruší obecné povinnosti, které se na ně vztahují, jakož i určité konkrétní povinnosti, druhý stupeň je vyhrazen, jak naznačuje čl. 83 odst. 5 GDPR, pro závažnější porušení, jako je mimo jiné porušení základních zásad zpracování, práv subjektů údajů a pravidel týkajících se předávání osobních údajů příjemci do třetí země nebo mezinárodní organizaci.

57.

U obou úrovní musí příslušné vnitrostátní orgány poté, co zjistí porušení určitého ustanovení GDPR, provést dvě posouzení. Zaprvé musí určit, zda má být uložena pokuta, a zadruhé, pokud tak rozhodly, musí stanovit výši pokuty. Tato posouzení musí být provedena v každém jednotlivém případě s ohledem na různé faktory uvedené v čl. 83 odst. 2 GDPR. Mezi tyto faktory patří posouzení toho, „zda k porušení došlo úmyslně nebo z nedbalosti“ [čl. 83 odst. 2 písm. b) tohoto nařízení].

58.

Podstatou šesté otázky předkládajícího soudu je, zda lze správci uložit správní pokutu, pokud správce pravidla ochrany osobních údajů neporušil úmyslně nebo z nedbalosti a k protiprávnímu zpracování osobních údajů došlo nikoli samotným správcem, ale zpracovatelem. Vrátím-li se ke zjištěním, která jsem učinil výše ohledně páté otázky, mám za to, že šestá otázka je položena pro případ, že by v původním řízení nebylo možno NVSC a ITSS považovat za „společné správce“ ve smyslu čl. 4 odst. 7 GDPR ve spojení s čl. 26 odst. 1 uvedeného nařízení a bylo by třeba je považovat za „správce“ a „zpracovatele“. V tomto konkrétním rámci by předkládající soud rád objasnil okolnosti, za kterých může být NVSC uložena pokuta podle článku 83 GDPR.

59.

Podotýkám, že šestá otázka jako relevantní ustanovení zmiňuje pouze čl. 83 odst. 1 GDPR. Podle mého názoru však aspekty vznesené touto otázkou vyžadují uvážení článku 83 uvedeného nařízení jako celku, přičemž zejména, jak jsem vysvětlil v bodě 57 výše, je třeba vzít v úvahu čl. 83 odst. 2 písm. b) uvedeného nařízení, jelikož toto ustanovení rozlišuje, „zda k porušení došlo úmyslně nebo z nedbalosti“. K šesté otázce tedy přistoupím tak, že budu zkoumat výklad článku 83 GDPR jako celku, nikoli pouze čl. 83 odst. 1 daného nařízení.

60.

Podle mého názoru má tato otázka dvě části. Zaprvé vyžaduje, aby Soudní dvůr určil, zda článek 83 GDPR obecně umožňuje ukládat správní pokuty správcům nebo zpracovatelům v případě neexistence jakékoli mens rea (morální aspekt – zavinění). Podstatou otázky předkládajícího soudu je, zda by NVSC mohla být uložena pokuta pouze na základě toho, že nesplnilo povinnosti, které mu byly uloženy z titulu správce (objektivní odpovědnost), nebo zda je při spáchání příslušného porušení vyžadován prvek zavinění. Zadruhé vyžaduje objasnění toho, zda skutečnost, že nezákonné zpracování osobních údajů neprovedl samotný správce, ale zpracovatel, má nějaký vliv na schopnost dozorových orgánů uložit pokutu správci.

61.

Tyto dva aspekty rozeberu postupně.

62.

Článek 83 GDPR vyžaduje, aby každá správní pokuta uložená za porušení pravidel ochrany osobních údajů byla „účinná, přiměřená a odrazující“. To objasňuje odstavec 1 tohoto ustanovení. Tento odstavec však neuvádí, zda lze takovou pokutu uložit pouze tehdy, je-li prokázáno rovněž zavinění, to znamená, zda „zavinění“ je předpokladem pro uložení jakékoli pokuty.

63.

Odstavec 2 písm. b) tohoto ustanovení naproti tomu to, „zda k porušení došlo úmyslně nebo z nedbalosti,“ uvádí mezi okolnostmi ( 33 ), které musí dozorové úřady v každém jednotlivém případě „řádně zohlednit“. Podle čl. 83 odst. 2 písm. k) uvedeného nařízení je třeba tyto aspekty chápat jako „přitěžující nebo polehčující okolnosti“ a nejedná se o taxativní výčet.

64.

V tomto kontextu jsou podle mého názoru možné dva způsoby, jak článek 83 GDPR chápat.

65.

Na jednu stranu by se dalo uvažovat o tom, že ačkoli rozhodnutí o uložení pokuty a její výši musí být učiněno s ohledem na míru zavinění (takže např. by měla být v zásadě uložena vyšší pokuta, pokud porušení bylo důsledkem úmyslného jednání, a naopak nedbalostní jednání by mělo vést k uložení nižší pokuty), nic nebrání tomu, aby byla pokuta uložena i bez zavinění, pokud lze mít za to, že zpracovatel nebo správce je za porušení odpovědný. Tento výklad je podpořen zněním čl. 83 odst. 2 písm. b) a k) v tom smyslu, že uvedení různých typů zavinění (úmyslné nebo nedbalostní jednání) jako „polehčujících nebo přitěžujících [okolností]“ by mohla tato ustanovení obecně implikovat, že zavinění není pro uložení pokuty podmínkou.

66.

Na druhou stranu by se také dalo tvrdit, jak v projednávaném případě činí Komise, že před uložením pokuty musí být jako minimální požadavek prokázána nedbalost osoby nebo subjektu, který se porušení dopustil. Tento přístup může podpořit i odlišný, opatrnější výklad čl. 83 odst. 2 písm. b) a k) GDPR, a sice že tato ustanovení vyžadují, aby dozorové úřady rozlišovaly mezi polehčující okolností (nedbalostí) a přitěžující okolností (úmyslem), ale nenaznačují, že by pokuta mohla být uložena v případě úplné absence zavinění.

67.

Komise se k tomuto výkladu výslovně přiklonila ve svém původním návrhu ( 34 ), který vedl k přijetí GDPR, v němž systém pokut navrhla upravit jako třístupňový. Komise pro každou úroveň navrhla, aby pokuty mohly být ukládány pouze „každému, kdo [se] úmyslně či z nedbalosti“ ( 35 ) dopustil jednoho nebo více údajných porušení. Komise tak zavinění jako předpoklad pro uložení takové pokuty jasně předpokládala ( 36 ).

68.

Přestože oba přístupy lze podle mého názoru na základě textového výkladu čl. 83 odst. 2 GDPR obhájit, neboť každý z nich odpovídá chápání toho, „zda k porušení došlo úmyslně nebo z nedbalosti“, jako „přitěžující“, respektive „polehčující“ okolnosti, jsem toho názoru, že pouze druhý přístup náležitě odráží záměr unijního normotvůrce. K tomuto závěru mne vede několik důvodů.

69.

Nejprve podotýkám, že několik okolností uvedených v čl. 83 odst. 2 GDPR je formulováno způsobem, z něhož lze vyvodit, že tyto okolnosti nemusí platit ve všech případech, ale pouze v některých. Konkrétně ustanovení čl. 83 odst. 2 písm. c), e) a k) začínají [v anglickém znění] slovem „jakékoli“ („kroky podniknuté správcem či zpracovatelem ke zmírnění škod […]“; „veškerá relevantní předchozí porušení […]“; „jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu […]“), čímž naznačují, že ačkoli dozorové úřady musí vždy vzít v úvahu, zda bylo přijato nějaké zmírňující opatření, zda došlo k předchozímu porušení nebo zda existuje jiná relevantní přitěžující nebo polehčující okolnost, pokud existují takové okolnosti nebo jsou prokázány, může ve skutečnosti nastat situace, kdy tytéž okolnosti zkrátka neexistují a příslušný orgán pro ochranu osobních údajů přesto může rozhodnout o uložení pokuty (nebo naopak o jejím neuložení). V podobném duchu podotýkám, že čl. 83 odst. 2 písm. i) GDPR je rovněž formulován nesystematicky, neboť vyžaduje zvážení, zda správce nebo zpracovatel dodržel opatření uvedená v čl. 58 odst. 2 tohoto nařízení, ale pouze„v případě, že vůči danému správci nebo zpracovateli byla […] dříve nařízena“.

70.

Naproti tomu čl. 83 odst. 2 písm. b) zmiňuje, „zda k porušení došlo úmyslně nebo z nedbalosti“ ( 37 ). Mám tedy za to, že se jedná o jednu z okolností, které musí být přítomny ve všech případech, a obrazně řečeno jejichž příslušná kolonka musí být ve všech případech před uložením pokuty „zaškrtnuta“, podobně jako v případě „povah[y], závažnost[i] a délk[y] trvání porušení […]“ (čl. 83 odst. 2 písm. a)), „kategori[í] osobních údajů dotčen[ých] daným porušením […]“ (čl. 83 odst. 2 písm. g)) a „způsob[u], jakým se dozorový úřad dozvěděl o porušení […]“ (čl. 83 odst. 2 písm. h)). Tyto další okolnosti musí být podle mého názoru rovněž „přítomné“ ve všech případech: například „povaha, závažnost a délka trvání porušení“ se mohou v jednotlivých případech značně lišit (a mohou tedy být považovány za důvod „pro“ nebo „proti“ uložení pokuty). Ve všech případech však bude existovat jistá povaha, určitá závažnost a určitá doba trvání porušení. Podle mého názoru to představuje první indicii, že správní pokuty byly v článku 83 GDPR zavedeny tak, že je lze ukládat pouze v situacích, kdy údajné porušení bylo buď úmyslné, nebo nedbalostní ( 38 ).

71.

Zadruhé podotýkám, že ačkoli čl. 83 odst. 2 GDPR výslovně nestanoví, že by k porušení muselo dojít „úmyslně nebo z nedbalosti“, nelze totéž říci o odstavci 3 tohoto ustanovení, který obsahuje obecné pravidlo vylučující sčítání správních pokut. Tento odstavec zmiňuje pouze situaci, kdy k relevantnímu protiprávnímu jednání došlo „úmyslně či z nedbalosti“.

72.

Z mého pohledu logicky vyplývá, že čl. 83 odst. 2 GDPR je třeba vykládat tak, že pokutu lze uložit pouze v případě, že k údajnému porušení došlo úmyslně nebo z nedbalosti. Pokud by totiž byl rozsah čl. 83 odst. 2 a 3 nařízení GDPR odlišný, bylo by možné ukládat souhrnné pokuty za méně závažná porušení (tedy za ta, která byla spáchána bez zavinění), jelikož by se na ně nevztahovalo druhé ustanovení (čl. 83 odst. 3), ačkoli by stále mohla vést k uložení pokuty na základě prvního z těchto ustanovení (čl. 83 odst. 2). Totéž by však nebylo možné v případě porušení spáchaných z nedbalosti nebo úmyslně, protože všechna tato porušení by podléhala zákazu sčítání obsaženému v čl. 83 odst. 3 uvedeného nařízení. Takový výsledek by byl zjevně v rozporu se základním principem sankčního režimu zavedeného nařízením GDPR, podle kterého by závažná porušení měla být v zásadě sankcionována přísněji než ta méně závažná, a nikoli naopak.

73.

Zatřetí podotýkám, že pokuty uložené podle článku 83 GDPR mohou vést k přísnému trestu. První stupeň, na který se vztahuje čl. 83 odst. 4 uvedeného nařízení, může totiž vést k uložení pokuty až do výše 10000000 eur, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. Druhý stupeň stanoví pokuty až do výše 20000000 eur, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok (opět podle toho, která hodnota je vyšší).

74.

Mám tedy za to, že pokuty uložené při použití článku 83 GDPR sledují alespoň v některých situacích represivní cíl ( 39 ) a vykazují vysoký stupeň přísnosti, takže mohou mít trestní povahu ( 40 ), a tudíž spadají do působnosti článku 49 Listiny základních práv Evropské unie (dále jen „Listina“) ( 41 ).

75.

Ve světle těchto skutečností, a zejména trestní povahy pokut uložených podle článku 83 GDPR, je možné tvrdit, že připustit ukládání takových pokuty bez zavinění by bylo neslučitelné s požadavkem stanoveným v odstavci 1 tohoto ustanovení, podle kterého musí být pokuty ve všech případech nejen „účinné“ a „odrazující“, ale také „přiměřené“. Jinými slovy, bylo by nepřiměřené uložit pokuty v případech, kdy se neprokáže ani nedbalost. Podle mého názoru je však tento argument obtížně uplatnitelný vzhledem k tomu, že Soudní dvůr již konstatoval, že systém trestů nebo sankcí založených na objektivní odpovědnosti, byť trestněprávní povahy, není sám o sobě nepřiměřený ve vztahu ke sledovaným cílům, pokud může vést dotyčné osoby k dodržování ustanovení nařízení a pokud cíle, o něž je usilováno, sledují obecný zájem, který může odůvodnit zavedení takového systému ( 42 ). Evropský soud pro lidská práva (ESLP) navíc ve vztahu k článku 7 Evropské úmluvy o lidských právech (EÚLP) (který odpovídá článku 49 Listiny) ( 43 ) rozhodl, že ačkoli trest podle tohoto ustanovení obecně vyžaduje existenci morální vazby, jejímž prostřednictvím lze v jednání osoby, která se trestného činu fyzicky dopustila, odhalit prvek odpovědnosti, tento požadavek nevylučuje existenci určitých forem objektivní odpovědnosti ( 44 ).

76.

Z této judikatury jsem však vyrozuměl, že k uložení trestněprávního trestu je zpravidla vyžadován mens rea, a objektivní odpovědnost tudíž představuje jakousi „výjimku“ z tohoto obecného pravidla v rozsahu, v jakém musí být odůvodněna s ohledem na cíle sledované nařízením.

77.

Pokud jde o GDPR jako celek, jeví se mi, že unijní normotvůrce o správních pokutách uvažoval jako pouze o jednom z nástrojů, které tento nástroj k zajištění účinného dodržování stanoví. Pokuty musí být totiž ukládány „vedle či namísto“ ostatních opatření uvedených v čl. 58 odst. 2 uvedeného nařízení, který dozorovým úřadům svěřuje řadu nápravných pravomocí (jako je pravomoc upozorňovat, napomínat nebo nařizovat) ( 45 ). Dále v situacích, kdy není uložena správní pokuta podle článku 83 GDPR, mají dozorové úřady možnost uložit jiné sankce podle článku 84 uvedeného nařízení ( 46 ).

78.

Podle mého názoru tato ustanovení objasňují, že unijní normotvůrce při přijímání tohoto nařízení nezamýšlel, aby každé porušení pravidel ochrany údajů bylo postižitelné správní pokutou. Mělo spíše zajistit flexibilní a diferencovaný systém trestů a sankcí. To potvrzuje bod 148 odůvodnění GDPR, který stanoví, že dozorové úřady mohou „v méně závažných případech porušení nebo pokud by pokuta, která bude pravděpodobně uložena, představovala pro fyzickou osobu nepřiměřenou zátěž“ namísto pokuty uložit napomenutí. V tomto kontextu je omezení použití článku 83 GDPR na situace, kdy je jako minimální požadavek stanovena nedbalost, podle mého názoru v souladu s těmito cíli a zastřešující logikou těchto jednotlivých ustanovení, podle nichž uložení správních pokut by mělo být vyhrazeno pro určitý druh porušení

79.

Rovněž mám za to, že když unijní normotvůrce projevil záměr do GDPR zavést objektivní nebo předpokládanou odpovědnost, učinil tak s použitím konkrétní formulace, která v článku 83 tohoto nařízení použita není. Například v případě občanskoprávní odpovědnosti (tedy odpovědnosti správců a zpracovatelů vůči subjektům údajů), na kterou se vztahuje článek 82 GDPR, unijní normotvůrce uvedl, že správci a zpracovatelé mají přísnou povinnost nahradit újmu, kterou způsobili subjektům údajů, ledaže prokáží, že nenesou žádným způsobem odpovědnost za událost, která vedla ke vzniku újmy ( 47 ). Článek 83 tohoto nařízení neobsahuje naproti tomu formulaci podobnou článku 84 GDPR. To podle mého názoru potvrzuje, že unijní normotvůrce neměl pro toto ustanovení v úmyslu zavést systém pokut založený na objektivní nebo předpokládané odpovědnosti.

80.

Začtvrté, a to je možná nejdůležitější, mám za to, že v praxi je hranice pro porušení GDPR z nedbalosti ve smyslu čl. 83 odst. 2 písm. b) uvedeného nařízení v každém případě tak nízká, že je obtížné představit si situace, kdy pokutu nebude možné uložit pouze z důvodu, že by nebyl naplněn tento prvek. Domnívám se tedy, že pouhá skutečnost, že úmysl nebo nedbalost musí být prokázána před tím, než může být uložena pokuta na základě článku 83 tohoto nařízení, neohrožuje cíl legislativního normotvůrce, kterým je zajistit účinné prosazování právních předpisů na ochranu osobních údajů, spíše naopak.

81.

V této souvislosti někteří autoři uvádí, že má-li správce nebo zpracovatel pouhé pochybnosti o zákonnosti prováděného zpracování a nepodnikne-li pouze žádná opatření, jedná se již o úmyslné přijetí potenciálního porušení GDPR, a tedy o hrubou nedbalost ( 48 ). Pracovní skupina zřízená podle článku 29 dále uvedla, že nedbalostní porušení se v mnoha ohledech rovná „neúmyslnému“ porušení, protože podle jejího názoru takové porušení může existovat, pokud nebylo zamýšleno způsobit porušení a správce nebo zpracovatel nesplnil povinnost řádné péče ( 49 ). Zejména uvedla, že i okolnost prostého „selhání lidského faktoru“ ( 50 ) může naznačovat nedbalost.

82.

Napadají mě dva závěry. Zaprvé, hranice mezi zcela neúmyslným a nezaviněným porušením a nedbalostí je ve skutečnosti velmi tenká. Domnívám se, že dozorové úřady budou mít zřídkakdy potíže s nalezením dostatečných indicií, že k údajnému porušení došlo přinejmenším z nedbalosti. V tomto ohledu poznamenávám, že literatura uvádí, že „vzhledem k četným akcím na zvyšování povědomí […] k zajištění souladu s GDPR je těžké si představit […] porušení GDPR, ke kterému by nedošlo přinejmenším z nedbalosti“ ( 51 ). Zcela souhlasím a připomínám, že cílem GDPR je konkrétně zajistit, aby správci a zpracovatelé byli obeznámeni s pravidly ochrany údajů, což podle mého názoru ještě více komplikuje úvahy o tom, že by k porušení mohlo dojít zcela bez zavinění (tj. ani z nedbalosti) ( 52 ).

83.

Zadruhé, tento výsledek se jeví být zcela v souladu s primárním cílem GDPR, kterým je zajistit jednotnou a vysokou úroveň ochrany fyzických osob v Evropské unii ( 53 ). Pokuty mají skutečně odrazující účinek ( 54 ). Díky pobídce k dodržování GDPR, kterou pro správce a zpracovatele vytvářejí, přispívají k celkovému posílení ochrany subjektů údajů a jsou tak klíčovým prvkem při zajištění dodržování jejich práv ( 55 ). Podle mého názoru z toho vyplývá, že ačkoliv od „zavinění“ upustit nelze, míra zavinění požadovaná pro uplatnění článku 83 tohoto nařízení je dostatečně nízká, aby byla zajištěna odpovídající úroveň ochrany subjektů údajů.

84.

Kromě toho bych zdůraznil, že přístup, který navrhuji Soudnímu dvoru přijmout, rovněž potvrzuje soulad systému pokut zavedeného tímto ustanovením s tím, který je stanoven pro porušení práva hospodářské soutěže v čl. 23 odst. 1 nařízení (ES) č. 1/2003 ( 56 ), který se rovněž použije pouze tehdy, je-li prokázán úmysl nebo nedbalost. Skutečnost, že tento systém pokut inspiroval znění článku 83 GDRP, potvrzuje bod 150 odůvodnění tohoto nařízení, který uvádí, že „[p]ro účely uložení správních pokut podniku by měl být podnik chápán ve smyslu článků 101 a 102 Smlouvy o fungování EU“, a další podobnosti mezi těmito dvěma systémy pokut, jako je skutečnost, že výše pokut může být v případě podniků v obou systémech založena na jejich obratu. Rovněž podotýkám, že několik okolností uvedených v čl. 83 odst. 2 GDPR odráží ty, které jsou relevantní pro stanovení výše pokuty za porušení práva hospodářské soutěže ( 57 ).

85.

Poté, co jsem nastínil důvody, proč se domnívám, že před uložením pokuty správci nebo zpracovateli podle čl. 83 odst. 2 GDPR musí být zjištěno zavinění, zbývá říci pár slov k argumentaci Rady a litevské vlády. Podle těchto účastníků řízení je rozhodnutí, zda je zavinění před uložením správní pokuty vyžadováno či nikoli, na členských státech.

86.

S tímto tvrzením jednoduše nesouhlasím.

87.

Je zřejmé, že jedním z hlavních cílů GDPR, a zejména jeho článku 83, je dosáhnout v celé Evropské unii vyšší úrovně harmonizace, zejména pokud jde o ukládání pokut ( 58 ). Zastávám proto názor, že na rozdíl od tvrzení Rady a litevské vlády, unijní normotvůrce nezamýšlel dát členským státům volnost při rozhodování o tom, zda je požadováno zavinění.

88.

Je pravda, že vnitrostátní právní předpisy mohou stanovit další procesní požadavky, které mají dozorové úřady při ukládání pokut dodržovat (ve vztahu k aspektům, jako je oznamování pokut a lhůt pro podání námitek, odvolání, nucený výkon a platby) ( 59 ). To je zřejmé z čl. 83 odst. 8 GDPR, který stanoví, že na výkon pravomoci ukládat pokuty dozorovým úřadem „se vztahují vhodné procesní záruky“, které stanoví vnitrostátní právo, za předpokladu, že je zaručeno dodržování unijního práva (a zejména právo na účinnou soudní ochranu a spravedlivý proces).

89.

Tento prostor pro uvážení se však nemůže rozšířit na hmotněprávní požadavky, které se vztahují na uložení pokuty, jako je míra zavinění. Podle mého názoru tento závěr přímo vyplývá z několika bodů odůvodnění uvedeného nařízení ( 60 ), které naznačují, že unijní normotvůrce zamýšlel systémem správních pokut zavedených článkem 83 GDPR dosáhnout konzistentních výsledků na celém území Evropské unie.

90.

Pro úplnost dodávám, že jelikož pokuty mají na hospodářskou soutěž mezi podniky a na trh významný dopad, je podle mého názoru zásadní, aby byl článek 83 GDPR uplatňován konzistentním způsobem, jinak by skutečně k narušení hospodářské soutěže mezi podniky mohl přispět ( 61 ).

91.

Podstatou druhé částí šesté otázky předkládajícího soudu je, zda může být správci uložena pokuta podle článku 83 GDPR v situaci, kdy protiprávní zpracování osobních údajů neprováděl sám správce, ale zpracovatel (v tomto případě ITSS).

92.

Mám za to, že na tuto otázku je třeba odpovědět kladně.

93.

V tomto ohledu připomínám, jak jsem uvedl v bodě 27 výše, že správce sám nemusí žádné osobní údaje zpracovávat, pokud sám určuje, „proč a jak“ jsou příslušné operace zpracování uplatněny. Dále poznamenávám, že čl. 4 bod 8 GDPR definuje „zpracovatele“ jako „fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt, který zpracovává osobní údaje pro správce“ ( 62 ).

94.

Tyto definice podle mého názoru potvrzují, že v souvislosti s použitím GDPR může správce nést odpovědnost, a může mu být tedy podle článku 83 tohoto nařízení uložena pokuta v situaci, kdy jsou osobní údaje zpracovávány protiprávně a kdy protiprávní zpracování neprovádí sám správce, ale zpracovatel. Tato možnost existuje, pokud takový zpracovatel může jménem správce osobní údaje zpracovávat.

95.

Tak tomu bude, pokud zpracovatel jedná v rámci pověření, které mu správce udělil, a zpracovává údaje v souladu se zákonnými pokyny, které od správce obdržel ( 63 ). Pokud však zpracovatel rámec tohoto pověření překročí a použije údaje, které získal jako zpracovatel, pro vlastní účely a je zřejmé, že strany nejsou „společnými správci“ ve smyslu čl. 4 odst. 7 a čl. 21 odst. 6 GDPR, pak podle mého názoru nemůže být pokuta podle článku 83 tohoto nařízení správci v souvislosti s nezákonným zpracováním, ke kterému došlo, uložena ( 64 ).

96.

Z toho vyplývá, že v případě, jako je věc v původním řízení, může být na základě článku 83 GDPR uložena pokuta NVSC, přestože osobní údaje byly nezákonně zpracovávány pouze ze strany ITSS a NVSC se zpracování neúčastnilo. Tato možnost se uplatní, pokud lze mít za to, že tato společnost zpracovávala osobní údaje jménem NVSC, což neplatí v případě, že ITSS jednala mimo zákonné pokyny ze strany NVSC nebo v rozporu s nimi a použila osobní údaje pro vlastní účely, a pokud je zřejmé, že NVSC a ITSS nejednají jako společní správci.

97.

S ohledem na výše uvedené navrhuji, aby Soudní dvůr na předběžné otázky položené Vilniaus apygardos administracinis teismas (Krajský správní soud ve Vilniusu, Litva) odpověděl následovně: