Rozsudek Soudního dvora (velkého senátu) ze dne 5. prosince 2023 (žádost o rozhodnutí o předběžné otázce, kterou podal Vilniaus apygardos administracinis teismas – Litva) – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos v. Valstybinė duomenų apsaugos inspekcija

(Věc C-683/21 (1), Nacionalinis visuomenės sveikatos centras)

(„Řízení o předběžné otázce - Ochrana osobních údajů - Nařízení (EU) 2016/679 - Článek 4 body 2 a 7 - Pojmy ‚zpracování‘ a ‚správce‘ - Vývoj mobilní IT aplikace - Článek 26 - Společná odpovědnost za zpracování - Článek 83 - Ukládání správních pokut - Podmínky - Požadavek, podle něhož musí k porušení dojít úmyslně nebo z nedbalosti - Odpovědnost správce za zpracování osobních údajů prováděné zpracovatelem“)

(C/2024/914)

Jednací jazyk: litevština.

Předkládající soud

Vilniaus apygardos administracinis teismas

Účastníci původního řízení

Žalobce: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Žalovaná: Valstybinė duomenų apsaugos inspekcija

Za účasti: UAB „IT sprendimai sėkmei“, Lietuvos Respublikos sveikatos apsaugos ministerija

Výrok

Článek 4 bod 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

musí být vykládán v tom smyslu, že

za správce ve smyslu tohoto ustanovení lze považovat subjekt, který pověřil určitý podnik vývojem mobilní IT aplikace a v této souvislosti se podílel na určení účelů a prostředků zpracování osobních údajů prováděného prostřednictvím této aplikace, i když tento subjekt sám neprováděl operace zpracování takových údajů, neudělil výslovně souhlas s provedením konkrétních operací takového zpracování nebo se zpřístupněním uvedené mobilní aplikace veřejnosti a tuto mobilní aplikaci nenabyl, ledaže před tímto zpřístupněním veřejnosti uvedený subjekt výslovně nesouhlasil s daným zpřístupněním a z toho vyplývajícím zpracováním osobních údajů.

Článek 4 bod 7 a čl. 26 odst. 1 nařízení 2016/679

musí být vykládány v tom smyslu, že

předpokladem pro kvalifikaci dvou subjektů jako společných správců není existence dohody mezi těmito subjekty o určení účelů a prostředků zpracování předmětných osobních údajů ani existence dohody stanovící podmínky společné odpovědnosti za zpracování.

Článek 4 bod 2 nařízení 2016/679

musí být vykládán v tom smyslu, že

„zpracováním“ ve smyslu tohoto ustanovení je i používání osobních údajů k počítačovému testování mobilní aplikace, ledaže takové údaje byly anonymizovány tak, že subjekt těchto údajů není nebo již přestal být identifikovatelným, nebo se jedná o fiktivní údaje, které se netýkají existující fyzické osoby.

Článek 83 nařízení 2016/679

musí být vykládán v tom smyslu, že

správní pokutu lze na základě tohoto ustanovení uložit pouze tehdy, je-li prokázáno, že se správce dopustil porušení uvedeného v odstavcích 4 až 6 tohoto článku úmyslně nebo z nedbalosti, a

dále v tom smyslu, že takovou pokutu lze správci uložit v souvislosti s operacemi zpracování osobních údajů, které pro něj provedl zpracovatel, ledaže tento zpracovatel v rámci těchto operací provedl zpracování pro vlastní účely nebo zpracoval tyto údaje způsobem neslučitelným s rámcem nebo postupy zpracování, jak byly stanoveny správcem, nebo takovým způsobem, že nelze mít důvodně za to, že by s ním tento správce souhlasil.

(1) Úř. věst. C 84, 21.2.2022.