1.

På hvilke betingelser kan dataansvarlige eller databehandlere, i en verden, hvor personoplysninger er blevet til et forhandlingsobjekt og udgør en nyopdaget guldgrube for virksomheder, pålægges administrative bøder for overtrædelser af de databeskyttelsesregler, der er fastsat i forordning (EU) 2016/679 ( 2 )? Kræves det nærmere bestemt, at et element af »skyld« er til stede, for at disse aktører kan pålægges sådanne bøder? Det er det centrale spørgsmål, som Vilniaus apygardos administracinis teismas (appeldomstolen i forvaltningsretlige sager i Vilnius, Litauen) har rejst i den foreliggende sag.

2.

Tvisten, der er indbragt for den nævnte ret, er opstået mellem Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Det nationale sundhedscenter under Sundhedsministeriet, herefter »NVSC«) og Valstybinė duomenų apsaugos inspekcija (det nationale datatilsyn, herefter »datatilsynet«) og omhandler, i det væsentlige, den rolle, som NVSC har haft i forbindelse med udviklingen og offentliggørelsen af en mobilapplikation, der i april og maj 2020 indsamlede personoplysninger om personer, der havde været i kontakt med covid-19-smittede.

3.

I denne forbindelse giver den foreliggende sag Domstolen lejlighed til at foretage en yderligere præcisering af begreberne »dataansvarlig«, »fælles dataansvarlige« og »behandling«, som er defineret henholdsvis i databeskyttelsesforordningens artikel 4, nr. 7), artikel 26, stk. 1, og artikel 4, nr. 2), og til for første gang at overveje, om det i henhold til denne forordnings artikel 83 er muligt at pålægge en dataansvarlig, der hverken forsætligt eller uagtsomt har overtrådt nogen af de regler, der er indeholdt i databeskyttelsesforordningen, en administrativ bøde. Dette spørgsmål kræver, at Domstolen præciserer, om det er muligt at pålægge bøder i henhold til denne bestemmelse, når der ikke foreligger nogen form for skyld, på grundlag af objektivt ansvar.

4.

I 148. betragtning til databeskyttelsesforordningen er følgende anført:

»For at styrke håndhævelsen af reglerne i denne forordning bør der pålægges sanktioner, herunder administrative bøder, for overtrædelse af denne forordning […] I tilfælde af en mindre overtrædelse, eller hvis den bøde, der kunne blive pålagt, ville udgøre en uforholdsmæssig stor byrde for en fysisk person, kan der udstedes en irettesættelse i stedet for en bøde. Der bør dog tages behørigt hensyn til overtrædelsens karakter, alvor og varighed, overtrædelsens eventuelle forsætlige karakter, foranstaltninger, der er truffet for at begrænse den forvoldte skade, graden af ansvar eller eventuelle relevante tidligere overtrædelser, måden, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen, overholdelse af foranstaltninger truffet over for den dataansvarlige eller databehandleren, overholdelse af en adfærdskodeks samt andre skærpende eller formildende faktorer. Pålæggelse af sanktioner, herunder administrative bøder, bør være omfattet af fornødne proceduremæssige garantier i overensstemmelse med de generelle principper i EU-retten og chartret, herunder effektiv retsbeskyttelse og en retfærdig procedure.«

5.

150. betragtning til denne forordning har følgende ordlyd:

»For at styrke og harmonisere de administrative sanktioner for overtrædelse af denne forordning bør hver tilsynsmyndighed have beføjelse til at pålægge administrative bøder. Denne forordning bør angive overtrædelser og maksimumsbeløb og kriterier for fastsættelse af de tilknyttede administrative bøder, der bør bestemmes af den kompetente tilsynsmyndighed i hvert enkelt tilfælde under hensyntagen til alle relevante omstændigheder i den specifikke situation og med behørig hensyntagen til karakteren, alvoren og varigheden af overtrædelsen og dens konsekvenser og de foranstaltninger, der er truffet for at sikre overholdelse af forpligtelserne i henhold til denne forordning og for at forebygge eller begrænse følgerne af overtrædelsen. […] Pålæggelse af en administrativ bøde eller udstedelse af en advarsel berører ikke anvendelsen af tilsynsmyndighedernes øvrige beføjelser eller andre sanktioner i henhold til denne forordning.«

6.

Databeskyttelsesforordningens artikel 4, nr. 7), definerer en »dataansvarlig« som »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger […]«.

7.

Denne forordnings artikel 26 med overskriften »Fælles dataansvarlige« fastsætter, for så vidt det er relevant for den foreliggende sag, følgende:

»1.   Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. […]

[…]«

8.

Denne forordnings artikel 83 med overskriften »Generelle betingelser for pålæggelse af administrative bøder« bestemmer:

»1.   Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.

2.   Afhængigt af omstændighederne i hver enkelt sag pålægges administrative bøder i tillæg til eller i stedet for foranstaltninger som omhandlet i artikel 58, stk. 2, litra a)-h) og j). Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:

[…]

3.   Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

[…]«

9.

Artikel 72, stk. 2, i Viešųjų pirkimų įstatymas (lov om offentlige udbud) bestemmer:

»Den ordregivende myndighed gennemfører et udbud med forhandling uden offentliggørelse af en udbudsbekendtgørelse i følgende faser:

10.

Med henblik på at håndtere den situation, som fulgte af spredningen af covid-19, pålagde Republikken Litauens sundhedsminister (herefter »sundhedsministeren«) ved afgørelse af 24. marts 2020 direktøren for NVSC at foranstalte udviklingen og erhvervelsen af en informationsplatform, nærmere bestemt KARANTINAS. Mobilapplikationen havde til formål at indsamle og monitorere personoplysninger om personer, som havde været i kontakt med covid-19-smittede ( 3 ).

11.

Den 27. marts 2020 underrettede en person, som hævdede at være repræsentant for NVSC, firmaet »IT sprendimai sėkmei« UAB (herefter »ITSS«) om, at ITSS var blevet valgt som udvikler af mobilapplikationen KARANTINAS. Der blev udvekslet e-mails mellem ITSS og den pågældende samt mellem ITSS og en række af NVSC’s ansatte og sidstnævntes direktør i forbindelse med udviklingen af mobilapplikationen. Der blev også udfærdiget en fortrolighedserklæring på dette tidspunkt, hvori både ITSS og NVSC blev udpeget som dataansvarlige.

12.

Den mobilapplikation, der i sidste ende blev udviklet, blev gjort offentligt tilgængelig for download i Google Play Store fra den 4. april 2020 og fra Apple App Store fra den 6. april 2020. Både ITSS og NVSC blev atter nævnt som dataansvarlige i den version af KARANTINAS, der blev gjort offentligt tilgængelig for download. På daværende tidspunkt havde NVSC endnu ikke erhvervet mobilapplikationen.

13.

Ved afgørelse af 10. april 2020 pålagde sundhedsministeren NVSC’s direktør at foranledige erhvervelsen af mobilapplikationen KARANTINAS i henhold til et udbud med forhandling uden offentliggørelse af en udbudsbekendtgørelse i overensstemmelse med artikel 72, stk. 2, i lov om offentlige udbud.

14.

Indkøbsprocessen blev indledt, men da NVSC ikke modtog den nødvendige finansiering, blev processen indstillet. Der blev således ikke indgået nogen offentlig kontrakt. KARANTINAS var imidlertid fortsat offentligt tilgængelig for download.

15.

Den 15. maj 2020 anmodede NVSC ITSS om ikke at anvende nogen detaljer om NVSC eller henvise til NVSC i mobilapplikationen. Den 18. maj 2020 indledte datatilsynet en undersøgelse af både ITSS og NVSC vedrørende en overtrædelse af de i databeskyttelsesforordningen fastlagte regler. Driften af KARANTINAS blev indstillet på datatilsynets anmodning den 26. maj 2020. Ifølge ITSS havde 3802 brugere afgivet personoplysninger gennem applikationen fra den 4. april til den 26. maj 2020.

16.

Ved afgørelse af 24. februar 2021 pålagde datatilsynet NVSC og ITSS administrative bøder for overtrædelse af databeskyttelsesforordningens artikel 5, 13, 24, 32 og 35 ( 4 ) i deres egenskab af fælles dataansvarlige.

17.

NVSC har anlagt sag til prøvelse af denne afgørelse ved Vilniaus apygardos administracinis teismas (appeldomstolen i forvaltningsretlige sager i Vilnius). Den nævnte ret ønsker nærmere bestemt oplyst, om begrebet »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), skal fortolkes bredt, således at det omfatter enhver fysisk eller juridisk person som f.eks. NVSC, som ikke er udvikleren af en mobilapplikation, men som med henblik på erhvervelsen af en sådan mobilapplikation gennem en udbudsprocedure har afgjort, »til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger«, eller om dette begreb skal fortolkes strengere i betragtning af det offentlige udbud og resultatet heraf.

18.

Den forelæggende ret ønsker navnlig oplyst, om den omstændighed, at udbudsproceduren i sidste ende blev opgivet, og KARANTINAS aldrig blev erhvervet af NVSC, er relevant i denne forbindelse. Den forelæggende ret ønsker ligeledes oplyst, om den omstændighed, at NVSC ikke officielt godkendte eller gav samtykke til offentliggørelsen af mobilapplikationen, har betydning for denne vurdering.

19.

Den forelæggende ret har endvidere anmodet om en klarlæggelse af forholdet mellem NVSC og ITSS. Den ønsker i denne henseende oplyst, under hvilke omstændigheder den pågældende enhed og den pågældende virksomhed skal anses for at være »fælles dataansvarlige« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1. Såfremt NVSC og ITSS ikke skal anses for at være »fælles dataansvarlige«, men derimod »dataansvarlig« og »databehandler« ( 5 ) (henholdsvis) som omhandlet i databeskyttelsesforordningen, ønsker den forelæggende ret subsidiært oplyst, hvornår ITSS’ handlinger kan føre til, at NVSC ifalder ansvar. I denne forbindelse ønsker den oplyst, om databeskyttelsesforordningens artikel 83 skal fortolkes således, at det er muligt at pålægge en dataansvarlig såsom NVSC, der hverken forsætligt eller uagtsomt selv har overtrådt nogen af de regler, der er indeholdt i denne forordning, en administrativ bøde.

20.

På grundlag af disse betragtninger har Vilniaus apygardos administracinis teismas (appeldomstolen i forvaltningsretlige sager i Vilnius) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

21.

Anmodningen om præjudiciel afgørelse af 22. oktober 2021 er indgået til Domstolen den 12. november 2021. NVSC, datatilsynet, den litauiske regering samt Europa-Kommissionen har afgivet skriftlige indlæg.

22.

Den litauiske og den nederlandske regering samt Kommissionen og Rådet har deltaget i retsmødet den 17. januar 2023.

23.

Under covid-19-pandemien blev mobilapplikationer, der havde til formål at opspore og lokalisere personer, der var smittede med virussen, og/eller personer, der havde været i kontrakt med en smittet, gjort offentligt tilgængelige for download i mange medlemsstater. Disse mobilapplikationer blev udviklet med henblik på at håndtere situationens hastende karakter, ofte med deltagelse af flere offentlige og private enheder (f.eks. ministerier og andre offentlige enheder samt private virksomheder). Brugerne skulle uploade deres personoplysninger til mobilapplikationen, navnlig helbredsoplysninger ( 6 ).

24.

Hovedsagen vedrører netop sådan en mobilapplikation, nærmere bestemt KARANTINAS, som blev udviklet af ITSS (en privat virksomhed) på foranledning af NVSC (en offentlig myndighed) på grundlag af en afgørelse truffet af sundhedsministeriet. Det fremgår hverken af oplysningerne i sagsakterne eller de i retsmødet fremlagte oplysninger, om andre offentlige enheder i Litauen deltog i udviklingen af applikationen, og, i givet fald, hvilke ( 7 ). Der hersker også tvivl om, hvorvidt NVSC gav samtykke til offentliggørelsen af KARANTINAS i den periode, hvor behandlingen af personoplysninger fandt sted (april og maj 2020). I forbindelse med de for Domstolen forelagte spørgsmål har Vilniaus apygardos administracinis teismas (appeldomstolen i forvaltningsretlige sager i Vilnius) imidlertid identificeret følgende relevante omstændigheder.

25.

På denne baggrund vedrører de for Domstolen forelagte spørgsmål fortolkningen af flere bestemmelser i databeskyttelsesforordningen. De første tre samt det femte spørgsmål kræver en fortolkning af begrebet »dataansvarlig« som omhandlet i den nævnte forordnings artikel 4, nr. 7), samt en præcisering af betingelserne for, at to eller flere enheder kan anses for at være »fælles dataansvarlige« i henhold til den nævnte bestemmelse og den nævnte forordnings artikel 26, stk. 1. Jeg vil først behandle disse spørgsmål samlet (A), før jeg behandler det fjerde spørgsmål, som vedrører begrebet »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), og dets anvendelse i forbindelse med testning af en mobilapplikation (B) ( 8 ). Derefter vil jeg undersøge det centrale spørgsmål i den foreliggende sag, nemlig det sjette spørgsmål, som er tværgående, eftersom det vedrører betingelserne for, at dataansvarlige kan pålægges bøder i henhold til databeskyttelsesforordningens artikel 83 (C).

26.

Med de første tre spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om en enhed såsom NVSC, i lyset af de omstændigheder, der er anført i punkt 24, skal anses for at være »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7). Med det femte spørgsmål ønsker den forelæggende ret desuden en præcisering af, om to enheder såsom NVSC og ITSS under sådanne omstændigheder skal anses for at være »fælles dataansvarlige« i henhold til denne bestemmelse og samme forordnings artikel 26, stk. 1, selv om de ikke har fastlagt en formel ordning om formålene med og hjælpemidlerne til behandlingen og/eller tilsyneladende i øvrigt ikke har koordineret deres handlinger.

27.

Jeg minder om, at det fremgår af databeskyttelsesforordningens artikel 4, nr. 7), at en »dataansvarlig« er en person eller en enhed, der »alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger«. Kort sagt er det ikke nødvendigt, at en dataansvarlig selv behandler nogen af personoplysningerne, men den pågældende skal afgøre, hvorfor og hvordan de pågældende behandlingsaktiviteter foretages ( 9 ). Domstolen har anført, at for at dette krav er opfyldt, skal en person eller en enhed faktisk »[udøve] indflydelse på behandlingen af personoplysninger« ( 10 ). Det er imidlertid ikke nødvendigt, at fastlæggelsen af formålene med og hjælpemidlerne til behandlingen skal gennemføres ved skriftlige retningslinjer eller anvisninger fra den dataansvarlige ( 11 ). Databeskyttelsesforordningens artikel 4, nr. 7), kræver derimod en faktuel frem for en formel analyse.

28.

I denne forbindelse har Det Europæiske Databeskyttelsesråd (EDPB) foreslået, at det også er muligt at være dataansvarlig, uanset om en aktør er blevet tillagt en specifik kompetence eller beføjelse til at kontrollere data i henhold til lovgivningen. Beføjelsen til at fastlægge formålene med og hjælpemidlerne til behandlingen afhænger frem for alt af den indflydelse, der er udøvet, som kan udledes af de faktiske omstændigheder. En enhed, der faktisk er i stand til at bestemme formålene med og hjælpemidlerne til behandlingen, vil således blive anset for at være »dataansvarlig«, uanset om den formelt er blevet udpeget til denne rolle (ved lov, i henhold til en kontrakt eller på anden vis) ( 12 ).

29.

Efter disse præciseringer bør det nævnes, at flere af de omstændigheder, som den forelæggende ret har beskrevet i de første tre spørgsmål, er af rent formel art, f.eks. den omstændighed, at NVSC ikke formelt ejer KARANTINAS, eller at proceduren med henblik på erhvervelse af denne mobilapplikation aldrig blev gennemført, eller at NVSC ikke officielt gav samtykke til at give den brede offentlighed adgang til applikationen eller godkendte den sidste version af applikationen. Efter min opfattelse kan ingen af disse omstændigheder i sig selv være til hinder for, at det fastslås, at NVSC handlede som »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), i forbindelse med hovedsagen. Disse omstændigheder er nærmere bestemt ikke tilstrækkelige til at tilbagevise en konklusion, hvorefter NVSC faktisk var i stand til at fastlægge formålene med og hjælpemidlerne til den behandling af personoplysninger, der fandt sted. Jeg er ligeledes af den opfattelse, at den omstændighed, at NVSC blev nævnt som dataansvarlig i fortrolighedserklæringen vedrørende den version af KARANTINAS, som blev gjort offentligt tilgængelig for download, eller at links til denne enhed fremgik af denne version af mobilapplikationen, er relevant, men ikke afgørende med hensyn til den indflydelse, som denne enhed faktisk udøvede.

30.

Derimod er den forelæggende rets bevismateriale, hvoraf det fremgår, at NVSC bestemte de typer personoplysninger, der skulle indsamles af KARANTINAS, samt fra hvilke registrerede og/eller andre centrale aspekter af behandlingen, efter min opfattelse tilstrækkeligt til at fastslå, at denne enhed bestemte »hjælpemidlerne« til behandlingen. Jeg er endvidere af den opfattelse, at den omstændighed, at KARANTINAS blev udviklet med henblik på at opfylde det af NVSC fastlagte formål, nærmere bestemt at håndtere covid-19-pandemien, og at dens funktionsmåde regelmæssigt blev ændret af ITSS som svar på de af NVSC fastlagte behov i overensstemmelse med sidstnævntes instrukser, er tilstrækkeligt til, at det kan fastslås, at denne enhed har fastlagt »formålene« med denne behandling.

31.

Når dette er sagt, skal den forelæggende ret med henblik på at fastslå, om en enhed såsom NVSC kan anses for at være »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), efter min opfattelse også fastslå, om beslutningen om at offentliggøre KARANTINAS, uanset NVSC’s indflydelse i forbindelse med udviklingen af denne mobilapplikation, og derfor om at foretage behandling af personoplysninger, faktisk blev truffet med denne enheds (udtrykkelige eller stiltiende) samtykke (uanset at dette samtykke ikke blev givet officielt eller formelt).

32.

Som det fremgår af definitionen af begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), skal den indflydelse, som en dataansvarlig udøver, vedrøre selve behandlingen af personoplysninger, ikke blot et hvilket som helst forudgående trin. En fysisk eller en juridisk person eller enhed er ikke »dataansvarlig« blot som følge af den omstændighed, at den pågældende iværksætter udviklingen af en mobilapplikation eller fastlægger parametrene for denne applikation (eller for et andet redskab til dataindsamling). Den pågældendes handlinger skal faktisk være forbundet med behandlingen af personoplysninger, og den pågældende skal derfor udtrykkeligt eller stiltiende have givet samtykke til, at det pågældende redskab anvendes til at foretage en sådan behandling.

33.

Domstolen fremhævede dette krav i Fashion ID-dommen ( 13 ), hvori den udtrykkeligt fastslog, at den registeransvarliges ansvar begrænses til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilken eller hvilke denne operatør rent faktisk fastlægger til hvilke formål og på hvilken måde dette må finde sted ( 14 ). Heraf følger, at fastlæggelsen af formålene og hjælpemidlerne skal være direkte forbundet med den operation eller den række af operationer, der omfatter behandling af personoplysninger.

34.

På dette grundlag kan en enhed, såsom NVSC, der iværksætter udviklingen af en mobilapplikation, efter min opfattelse kun anses for at være »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), når der foreligger tilstrækkelige elementer af faktuel, snarere end af formel, art, på baggrund af hvilke de nationale retter kan fastslå, at den pågældende enhed udøvede faktisk indflydelse med hensyn til »formålene med og hjælpemidlerne til« denne behandling og faktisk gav samtykke til offentliggørelsen af mobilapplikationen og dermed til behandlingen af personoplysninger. Med forbehold af den forelæggende rets efterprøvelse heraf er jeg af den opfattelse, at NVSC opfylder disse betingelser.

35.

Det femte spørgsmål vedrører de betingelser, der skal være opfyldt for, at to (eller flere) enheder kan anses for at være fælles dataansvarlige. Det er min opfattelse, at den forelæggende ret ønsker en præcisering af fortolkningen af dette begreb, fordi den har en formodning om, at NVSC og ITSS i den i hovedsagen omhandlede situation kan anses for at være fælles »dataansvarlige« og dermed hæfte solidarisk for den skade, der er forvoldt ( 15 ), og/eller i fællesskab blive pålagt bøder for de overtrædelser af databeskyttelsesreglerne, der blev begået, da KARANTINAS blev gjort offentligt tilgængelig for download. Som jeg anførte i punkt 16, påpeger jeg i denne forbindelse, at datatilsynet fastslog, at den pågældende enhed og den pågældende virksomhed begge var ansvarlige, og pålagde begge en bøde i henhold til databeskyttelsesforordningens artikel 83 for de begåede overtrædelser, i deres egenskab af fælles dataansvarlige.

36.

I henhold til databeskyttelsesforordningens artikel 26, stk. 1, er der tale om »fælles dataansvarlige«, hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling. Hver enkelt fælles dataansvarlige skal derfor selvstændigt opfylde de kriterier, der er fastlagt i definitionen af »dataansvarlig« i denne forordnings artikel 4, nr. 7) ( 16 ). De fælles dataansvarlige skal desuden have et særligt forhold, eftersom deres indflydelse på behandlingen skal udøves i fællesskab.

37.

Domstolen har anført, at tilstedeværelsen af et fælles ansvar ikke nødvendigvis indebærer, at de forskellige operatører, som er omfattet af en behandling af personoplysninger, har samme ansvar. Fælles dataansvarlige kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i den enkelte sag ( 17 ). Derudover forudsætter et fælles ansvar for flere aktører for den samme behandling ikke, at hver af disse har adgang til de omhandlede personoplysninger ( 18 ). Det er imidlertid afgørende, at de i fællesskab deltager i fastlæggelsen af »formålene med og hjælpemidlerne til« behandlingen.

38.

I denne henseende erindrer jeg om, at en sådan fælles deltagelse kan antage flere forskellige former, således som det fremgår af retningslinjer 07/2020. Den kan antage form af en fælles beslutning, der træffes af to eller flere enheder, eller være resultatet af to eller flere enheders konvergerende beslutninger. I sidstnævnte tilfælde er det kun af betydning, at beslutningerne supplerer hinanden og er nødvendige for, at behandlingen kan finde sted på en sådan måde, at de har en mærkbar indvirkning på fastlæggelsen af formålene med og hjælpemidlerne til behandling – hvilket nærmere bestemt betyder, at behandlingen ikke ville være mulig uden begge parters deltagelse ( 19 ).

39.

På denne baggrund nærer den forelæggende ret tvivl om, hvorvidt den omstændighed, at to dataansvarlige (NVSC og ITSS i den foreliggende sag) ikke har fastlagt en formel ordning om formålene med og hjælpemidlerne til behandlingen og/eller tilsyneladende i øvrigt ikke har koordineret deres handlinger, er til hinder for, at de anses for at være fælles »dataansvarlige«.

40.

Den forelæggende rets tvivl i denne forbindelse skyldes efter min opfattelse den omstændighed, at fælles dataansvarlige i henhold til databeskyttelsesforordningens artikel 26, stk. 1, på en gennemsigtig måde skal fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til denne forordning ved hjælp af en ordning mellem dem. Desuden fremgår det af 79. betragtning til denne forordning, at der kræves en »klar fordeling af ansvarsområderne«, herunder når en dataansvarlig fastlægger formålene med og hjælpemidlerne til behandling sammen med andre dataansvarlige. Imidlertid finder disse forpligtelser og krav efter min opfattelse kun anvendelse på fælles dataansvarlige, når enheder kan anses for at have denne status. De udgør ikke en del af de kriterier, der skal opfyldes for, at de kan kvalificeres således.

41.

Som nævnt i punkt 36 afhænger et fælles ansvar kun af, at to objektive betingelser er opfyldt. For det første skal de enkelte fælles dataansvarlige opfylde de kriterier, der er opregnet i definitionen af »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7). Der foreligger ikke tilstrækkelige oplysninger i sagsakterne, hvorudfra det kan fastslås, om ITSS i den i hovedsagen omhandlede situation kan anses for at være »dataansvarlig« som omhandlet i denne bestemmelse. I betragtning af de konklusioner, jeg har draget i det foregående afsnit, og med forbehold af den forelæggende rets efterprøvelse heraf, er jeg imidlertid af den opfattelse, at i det mindste NVSC – hvis da ikke både denne enhed og ITSS – opfylder betingelserne for at blive anset for at være »dataansvarlig« som omhandlet i den nævnte bestemmelse. For det andet skal de dataansvarliges indflydelse på behandlingen udøves i fællesskab (dvs. at den skal udøves i overensstemmelse med de retlige kriterier og den retspraksis, som jeg har nævnt i punkt 37 og 38). I denne henseende har jeg forklaret, at en fælles deltagelse i behandlingen kan antage flere forskellige former og ikke nødvendigvis skal antage form af en fælles beslutning truffet af de involverede parter. Den materielle og funktionelle tilgang, der kræves med henblik på at fastslå, om en person eller enhed skal anses for at være »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), finder efter min opfattelse også anvendelse på fælles ansvar ( 20 ).

42.

På grund af disse elementer er jeg for det første af den opfattelse, at en manglende aftale, ordning eller endda fælles aftale mellem to eller flere dataansvarlige såsom NVSC og ITSS ikke i sig selv kan være til hinder for, at disse anses for at være »fælles dataansvarlige« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), sammenholdt med artikel 26, stk. 1. I denne forbindelse tilføjer jeg, at Det Europæiske Databeskyttelsesråd har foreslået, at selv om kontraktordninger kan være nyttige med henblik på en bedømmelse af det fælles ansvar, bør de altid kontrolleres på baggrund af de faktiske omstændigheder vedrørende forholdet mellem parterne ( 21 ).

43.

For det andet forekommer det mig, at den omstændighed alene, at NVSC og ITSS, ud over at de ikke har indgået en aftale, fastlagt en ordning eller truffet en fælles beslutning, tilsyneladende ikke har koordineret deres handlinger eller i øvrigt ikke har samarbejdet med hinanden, ikke betyder, at de ikke kan anses for at være »fælles dataansvarlige«. Selv hvis der foreligger en sådan koordinering eller et sådant samarbejde, er dette uden betydning for spørgsmålet, om forholdet mellem disse to enheder udgør et fælles ansvar eller ej. Det er let at forestille sig, at der kan foreligge et samarbejde eller koordinering mellem to eller flere enheder, uden at disse fungerer som fælles dataansvarlige. Det kan f.eks. forekomme, at to særskilte dataansvarlige koordinerer deres handlinger eller samarbejder med henblik på at overføre personoplysninger indbyrdes. Dette ville imidlertid ikke betyde, at de var »fælles dataansvarlige« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1 ( 22 ). Som jeg har forklaret i punkt 38, er det afgørende, at behandlingen ikke ville være mulig uden begge parters deltagelse, fordi begge har en mærkbar indvirkning på fastlæggelsen af formålene med og hjælpemidlerne til den pågældende behandling.

44.

På baggrund af det ovenstående opfylder en enhed såsom NVSC efter min opfattelse, med forbehold af den forelæggende rets efterprøvelse heraf, på den ene side betingelserne i databeskyttelsesforordningens artikel 4, nr. 7), for, at den kan anses for at være »dataansvarlig«. Spørgsmålet, om NVSC og ITSS kan anses for at være »fælles dataansvarlige« i overensstemmelse med de kriterier, jeg har opstillet i det foregående afsnit, eller kvalificeres som henholdsvis »dataansvarlig« og »databehandler«, afhænger på den anden side af arten af deres forhold, hvilket det tilkommer den forelæggende ret at vurdere.

45.

I denne forbindelse tilføjer jeg, at arten af forholdet mellem NVSC og ITSS (nærmere bestemt spørgsmålet, om de er »fælles dataansvarlige« eller henholdsvis »dataansvarlig« og »databehandler«) har betydning for det sjette spørgsmål. Jeg vil derfor vende tilbage til de konklusioner, jeg har draget med hensyn til det femte spørgsmål, i forbindelse med behandlingen af de spørgsmål, som det sjette spørgsmål giver anledning til.

46.

Med det fjerde spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om definitionen af »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), omfatter en situation, hvor personoplysninger anvendes til testning af en mobilapplikation ( 23 ). Ud fra anmodningen om præjudiciel afgørelse kan jeg forstå, at KARANTINAS blev testet, før applikationen blev gjort offentligt tilgængelig for download. Efter min opfattelse vedrører det fjerde spørgsmål således en situation, der er anderledes end den, der ligger til grund for de andre spørgsmål, som Domstolen er blevet forelagt, der alle vedrører behandlingen af personoplysninger efter gennemførelsen af testningen, da KARANTINAS blev gjort offentligt tilgængelig. Den forelæggende ret ønsker specifikt oplyst, om brugen af personoplysninger under testningen skal anses for »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), og om den som sådan kan medføre, at de involverede dataansvarlige og/eller databehandlere potentielt ifalder ansvar.

47.

Databeskyttelsesforordningens artikel 4, nr. 2), definerer »behandling« som »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for […]« ( 24 ).

48.

På baggrund af denne ordlyd (navnlig brugen af ordet »enhver« og af generelle begreber såsom »aktivitet« eller »række af aktiviteter«) er jeg af den opfattelse, at denne bestemmelse skal fortolkes bredt, således at den omfatter så mange situationer, hvor personoplysninger anvendes, som muligt. Den ikke-udtømmende liste over sådanne situationer, som fremgår af denne bestemmelse, bekræfter denne fortolkning, henset til den brede vifte af aktiviteter, der nævnes ( 25 ).

49.

Selv om det fremgår af ovenstående afsnit, at definitionen af »dataansvarlig« som omhandlet i denne forordnings artikel 4, nr. 7), er tæt forbundet med formålene med behandlingen af personoplysninger (grundene til, at personoplysninger indsamles), gør dette sig imidlertid ikke gældende for definitionen i denne forordnings artikel 4, nr. 2). Grundene til, at en aktivitet eller række af aktiviteter gennemføres, er i princippet uden betydning for spørgsmålet, om de skal betegnes som »behandling« som omhandlet i denne bestemmelse. Dette betyder efter min opfattelse, at spørgsmålet, om personoplysninger indsamles med henblik på at teste de IT-systemer, der er integreret i en mobilapplikation, eller med henblik på andre formål, ikke har betydning for spørgsmålet, om den pågældende aktivitet skal anses for at udgøre »behandling«.

50.

I denne forbindelse påpeger jeg desuden, at »brug« af personoplysninger (uden yderligere angivelser og derfor uanset formålet med brugen) er opregnet blandt de aktiviteter eller række af aktiviteter, der udgør »behandling« ( 26 ). Desuden indeholder databeskyttelsesforordningens artikel 4, nr. 2), ingen udtrykkelige undtagelser, fritagelser eller udelukkelser med hensyn til aktiviteter, der vedrører brug af personoplysninger til testning af IT-systemer. På denne baggrund er der intet til hinder for, at brugen af personoplysninger med henblik på at gennemføre en sådan testning anses for »behandling« som omhandlet i denne bestemmelse, tværtimod.

51.

På denne baggrund er jeg af den opfattelse, at definitionen af »behandling« i databeskyttelsesforordningens artikel 4, nr. 2), omfatter en situation, hvor personoplysninger anvendes til testning af en mobilapplikation.

52.

Min konklusion i denne forbindelse berøres ikke af den omstændighed alene, at de personoplysninger, der gives med henblik på at teste IT-systemer, der er integreret i en mobilapplikation, har været genstand for pseudonymisering ( 27 ). Den eneste situation, hvor databeskyttelsesforordningen ikke ville finde anvendelse, er, hvis de oplysninger, der er indtastet i mobilapplikationen, kun består af anonyme oplysninger, der »ikke vedrører en identificeret eller identificerbar fysisk person, eller […] personoplysninger«, eller af personoplysninger, som er »gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres«. Det bør imidlertid nævnes, at de oplysninger, der anvendes til testningen i det i hovedsagen omhandlede tilfælde, ud fra oplysningerne i sagsakterne ikke forekommer at have bestået af sådanne anonymiserede oplysninger ( 28 ).

53.

I lyset af det ovenstående er jeg af den opfattelse, at definitionen af »behandling« i databeskyttelsesforordningens artikel 4, nr. 2), omfatter en situation, hvor personoplysninger anvendes til testning af en mobilapplikation, medmindre sådanne oplysninger er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Spørgsmålet, om personoplysninger indsamles med henblik på at teste de IT-systemer, der er integreret i en mobilapplikation, eller med henblik på andre formål, har ingen betydning for spørgsmålet, om den pågældende aktivitet skal anses for at udgøre »behandling« ( 29 ).

54.

Efter disse præciseringer vil jeg nu behandle det centrale spørgsmål i den foreliggende sag, som omhandler betingelserne for, at en dataansvarlig eller en databehandler kan blive pålagt en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83.

55.

Før vedtagelsen af databeskyttelsesforordningen var sanktionerne for overtrædelser af databeskyttelsesreglerne i vid udstrækning overladt til medlemsstaternes skøn i kraft af deres processuelle autonomi og autonomi med hensyn til retsmidler ( 30 ). Administrative bøder, som blev indført ved den nævnte forordnings artikel 83, er således en relativ ny »udvikling« i EU’s databeskyttelseslovgivning. Artikel 29-Gruppen har beskrevet dem som et »centralt element i det nye håndhævelsessystem« ( 31 ). Selv om denne bestemmelse endnu ikke er blevet fortolket af Domstolen, er den allerede blevet anvendt af tilsynsmyndigheder, undertiden til at pålægge dataansvarlige eller databehandlere store bøder ( 32 ).

56.

Databeskyttelsesforordningens artikel 83 indfører en sanktionsordning med to niveauer afhængig af den specifikke type bestemmelse, der er blevet overtrådt. Mens det første niveau, der er defineret i denne forordnings artikel 83, stk. 4, finder anvendelse på situationer, hvor en dataansvarlig eller databehandler overtræder de generelle forpligtelser, som de er underlagt, samt visse specifikke forpligtelser, er det andet niveau, således som det fremgår af databeskyttelsesforordningens artikel 83, stk. 5, forbeholdt mere alvorlige overtrædelser, f.eks. overtrædelser af bl.a. de grundlæggende principper for behandling, de registreredes rettigheder og reglerne om overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation.

57.

Det gælder for begge niveauer, at de kompetente nationale myndigheder skal foretage to bedømmelser, efter at de har fastslået, at en bestemt bestemmelse i databeskyttelsesforordningen er blevet overtrådt. Først skal de beslutte, om der skal pålægges en bøde, og derefter, i bekræftende fald, skal de fastsætte denne bødes størrelse. Disse bedømmelser skal foretages i hver enkelt sag i betragtning af forskellige faktorer, der er opregnet i databeskyttelsesforordningens artikel 83, stk. 2. Disse faktorer omfatter spørgsmålet om, »hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt« [denne forordnings artikel 83, stk. 2, litra b)].

58.

Den forelæggende ret ønsker med sit sjette spørgsmål nærmere bestemt oplyst, om en dataansvarlig kan pålægges en administrativ bøde, når den dataansvarlige ikke har handlet forsætligt eller uagtsomt i forbindelse med overtrædelsen af databeskyttelsesreglerne, og når den ulovlige behandling af personoplysninger ikke blev foretaget af den dataansvarlige selv, men af en databehandler. Idet jeg vender tilbage til de konklusioner, jeg har draget ovenfor med hensyn til det femte spørgsmål, er det sjette spørgsmål efter min opfattelse blevet stillet i det tilfælde, at NVSC og ITSS i hovedsagen ikke kan anses for at være »fælles dataansvarlige« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), sammenholdt med samme forordnings artikel 26, stk. 1, og skal anses for at være henholdsvis »dataansvarlig« og »databehandler«. Inden for denne specifikke ramme ønsker den forelæggende ret en klarlæggelse af betingelserne for, at NVSC kan blive pålagt en bøde i henhold til databeskyttelsesforordningens artikel 83.

59.

Når dette er sagt, skal det nævnes, at det sjette spørgsmål kun nævner databeskyttelsesforordningens artikel 83, stk. 1, som relevant bestemmelse. De forhold, der gøres opmærksom på i dette spørgsmål, kræver efter min opfattelse imidlertid, at denne forordnings artikel 83 tages i betragtning som helhed, og at der navnlig, således som jeg har forklaret i punkt 57, tages hensyn til artikel 83, stk. 2, litra b), eftersom denne bestemmelse omhandler spørgsmålet om, »hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt«. Jeg vil derfor behandle det sjette spørgsmål således, at der dermed ønskes en fortolkning af databeskyttelsesforordningens artikel 83 som helhed, og ikke blot dens artikel 83, stk. 1.

60.

Dette spørgsmål består efter min opfattelse af to dele. For det første kræver det, at Domstolen afgør, om databeskyttelsesforordningens artikel 83 tillader, at dataansvarlige eller databehandlere generelt pålægges administrative bøder, når der ikke foreligger mens rea (et mentalt element – skyld). Den forelæggende ret ønsker nærmere bestemt oplyst, om NVSC kan pålægges en bøde alene på det grundlag, at denne aktør overtrådte de forpligtelser, som den var pålagt som følge af, at den er dataansvarlig (objektivt ansvar), eller om der kræves et element af skyld i forbindelse med begåelsen af den/de pågældende overtrædelse(r). Det kræver for det andet en klarlæggelse af, om den omstændighed, at den ulovlige behandling af personoplysninger ikke blev foretaget af den dataansvarlige selv, men derimod af en databehandler, på nogen måde påvirker tilsynsmyndighedernes mulighed for at pålægge den dataansvarlige en bøde.

61.

Jeg vil behandle disse to aspekter hver for sig.

62.

I henhold til databeskyttelsesforordningens artikel 83 skal enhver administrativ bøde, der pålægges for overtrædelse af databeskyttelsesreglerne, være »effektiv, [stå] i rimeligt forhold til overtrædelsen og [have] afskrækkende virkning«. Dette fremgår af denne bestemmelses stk. 1. Det fremgår imidlertid ikke af dette stykke, om det kun er muligt at pålægge en sådan bøde, hvis der også fastslås skyld, dvs. om »skyld« er en forudsætning for, at der kan pålægges en hvilken som helst administrativ bøde.

63.

Denne bestemmelses stk. 2, litra b), nævner derimod spørgsmålet om, »hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt«, blandt de forhold ( 33 ), som tilsynsmyndighederne skal tage »behørigt hensyn« til i hver enkelt sag. I henhold til denne forordnings artikel 83, stk. 2, litra k), skal disse forhold anses for »skærpende eller formildende faktorer« og er ikke udtømmende.

64.

I denne forbindelse kan databeskyttelsesforordningens artikel 83 efter min opfattelse forstås på to måder.

65.

Selv om en afgørelse om at pålægge en bøde og om dens størrelse skal træffes under behørig hensyntagen til graden af skyld (således at der f.eks. i princippet bør pålægges en større bøde, hvis overtrædelsen er et resultat af en forsætlig handling, og en uagtsom adfærd bør omvendt føre til en mindre bøde), kunne det på den ene side siges, at der intet er til hinder for, at der også pålægges en bøde, når der ikke foreligger nogen form for skyld, så længe databehandleren eller den dataansvarlige kan anses for at være ansvarlig for overtrædelsen. Denne fortolkning understøttes af en læsning af artikel 83, stk. 2, litra b) og k), hvorefter disse bestemmelser, idet de nævner forskellige former for skyld (forsæt eller uagtsomhed) som »skærpende eller formildende faktorer«, kunne antyde, at skyld generelt ikke er en forudsætning for pålæggelse af en bøde.

66.

På den anden side kunne det også anføres, således som Kommissionen har gjort i den foreliggende sag, at der som et minimumskrav skal fastslås uagtsomhed hos den person eller enhed, der begik overtrædelsen, før der kan pålægges en bøde. Denne tilgang understøttes af en anden, mere forsigtig, fortolkning af databeskyttelsesforordningens artikel 83, stk. 2, litra b) og k), hvorefter disse bestemmelser nærmere bestemt kræver, at tilsynsmyndighederne sondrer mellem en formildende (uagtsomhed) og en skærpende faktor (forsæt), men ikke angiver, at der kan pålægges en bøde, når der slet ikke foreligger skyld.

67.

Kommissionen valgte udtrykkeligt denne fortolkning i sit oprindelige forslag, der førte til vedtagelsen af databeskyttelsesforordningen ( 34 ), hvori den foreslog, at bødeordningen blev indført som en ordning med tre niveauer. Med hensyn til hvert niveau foreslog Kommissionen, at kun personer, der »forsætligt eller uagtsomt« ( 35 ) begik en eller flere af de angivelige overtrædelser, kunne blive pålagt bøder. Kommissionen anså således tydeligvis skyld som en forudsætning for at pålægge en sådan bøde ( 36 ).

68.

Selv om begge tilgange efter min opfattelse kan forsvares på grundlag af en ordlydsfortolkning af databeskyttelsesforordningens artikel 83, stk. 2, eftersom de begge bygger på en forståelse af formuleringen, »hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt« som en »skærpende« eller »formildende« faktor, er jeg af den opfattelse, at kun sidstnævnte tilgang korrekt afspejler EU-lovgivers hensigt. Der er flere grunde til, at jeg er nået frem til den konklusion.

69.

For det første påpeger jeg, at flere af de faktorer, der er opregnet i databeskyttelsesforordningens artikel 83, stk. 2, er angivet med en specifik ordlyd, hvoraf det kan udledes, at sådanne faktorer ikke nødvendigvis finder anvendelse i alle tilfælde, men kun i nogle: Navnlig artikel 83, stk. 2, litra c), e) og k), begynder med ordet »eventuelle« eller »andre« (»eventuelle foranstaltninger, der er truffet af den dataansvarlige eller databehandleren for at begrænse den skade […]«, »[…] eventuelle relevante tidligere overtrædelser«; »om der er andre skærpende eller formildende faktorer ved sagens omstændigheder«) og indikerer således, at selv om tilsynsmyndighederne altid skal tage hensyn til, om der er afbødende faktorer, tidligere overtrædelser eller andre relevante skærpende eller formildende faktorer, når sådanne faktorer er til stede eller er godtgjort, kan der reelt være situationer, hvor de samme faktorer ganske enkelt ikke er til stede, og den kompetente databeskyttelsesmyndighed kan alligevel vælge at pålægge en bøde (eller omvendt, ikke at pålægge en bøde). I samme retning erindrer jeg om, at databeskyttelsesforordningens artikel 83, stk. 2, litra i), også er formuleret på en ikke-systematisk måde, idet denne bestemmelse kræver, at der tages hensyn til, om den dataansvarlige eller databehandleren har overholdt de foranstaltninger, der er nævnt i denne forordnings artikel 58, stk. 2, men kun, »hvis der tidligere over for den pågældende dataansvarlige eller databehandler er blevet truffet sådanne foranstaltninger«.

70.

Derimod nævner artikel 83, stk. 2, litra b), spørgsmålet om, »hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt« ( 37 ). Dermed synes dette at udgøre en af de faktorer, der skal være til stede, og som der, i overført betydning, skal være sat »kryds« ved i alle tilfælde, inden der kan pålægges en bøde, i lighed med »overtrædelsens karakter, alvor og varighed […]« [artikel 83, stk. 2, litra a)], »de kategorier af personoplysninger, der er berørt […]« [artikel 83, stk. 2, litra g)], og »den måde, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen […]« [artikel 83, stk. 2, litra h)]. Disse andre faktorer skal efter min opfattelse også være »til stede« i alle tilfælde: f.eks. »overtrædelsens karakter, alvor og varighed« kan variere betydeligt fra den ene sag til den anden (og kan tilsvarende anses for enten en grund, der taler »for«, eller en grund, der taler »imod«, at der pålægges en bøde). I alle tilfælde vil der imidlertid skulle tages hensyn til karakteren, en vis alvor og en vis varighed af overtrædelsen. Dette udgør efter min opfattelse de første indicier for, at administrative bøder blev indført ved databeskyttelsesforordningens artikel 83, således at de kun kan pålægges i situationer, hvor den angivelige overtrædelse blev begået enten forsætligt eller uagtsomt ( 38 ).

71.

For det andet skal det nævnes, at selv om databeskyttelsesforordningens artikel 83, stk. 2, ikke udtrykkeligt nævner, at overtrædelsen skal være begået »forsætligt eller uagtsomt«, kan det samme ikke siges med hensyn til samme artikels stk. 3, der indeholder en generel regel, der forbyder kumulation af administrative bøder. Denne bestemmelse nævner kun en situation, hvor de(n) relevante overtrædelse(r) er begået »forsætligt eller uagtsomt«.

72.

Efter min opfattelse er den logiske konsekvens af dette, at databeskyttelsesforordningens artikel 83, stk. 2, skal fortolkes således, at der kun kan pålægges en bøde, hvis den angivelige overtrædelse er begået forsætligt eller uagtsomt. Hvis anvendelsesområderne for stk. 2 og 3 i databeskyttelsesforordningens artikel 83 var forskellige, ville det være muligt at pålægge kumulative bøder for mindre grove overtrædelser (dvs. overtrædelser begået uden nogen form for skyld), eftersom disse, selv om de stadig ville kunne føre til, at der blev pålagt en bøde i henhold til den første af disse bestemmelser (artikel 83, stk. 2), ikke ville være omfattet af den anden (artikel 83, stk. 3). Det samme ville imidlertid ikke være muligt for overtrædelser begået forsætligt eller uagtsomt, eftersom disse alle ville være omfattet af reglen om forbud mod kumulation i denne forordnings artikel 83, stk. 3. Et sådant resultat ville tydeligvis være i strid med det grundlæggende princip bag den sanktionsordning, som er indført ved databeskyttelsesforordningen, hvorefter alvorlige overtrædelser i princippet skal udløse strengere sanktioner end mindre grove overtrædelser, ikke omvendt.

73.

For det tredje skal det nævnes, at bøder, der pålægges i henhold til databeskyttelsesforordningens artikel 83, kan medføre en alvorlig straf. Det første niveau, der er omfattet af denne forordnings artikel 83, stk. 4, kan medføre pålæggelse af bøder på op til 10000000 EUR, eller hvis det drejer sig om en virksomhed, på op til 2% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere. Det andet niveau kan medføre pålæggelse af bøder på op til 20000000 EUR, eller hvis det drejer sig om en virksomhed, på op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår (igen, såfremt dette beløb er højere).

74.

Det er således min opfattelse, at bøder, der pålægges i henhold til databeskyttelsesforordningens artikel 83, forfølger et repressivt formål, i det mindste i nogle situationer ( 39 ), og er særdeles strenge, således at de kan anses for at have en strafferetlig karakter ( 40 ) og dermed for at være omfattet af anvendelsesområdet for artikel 49 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) ( 41 ).

75.

I betragtning af disse elementer og navnlig af den strafferetlige karakter af de bøder, der pålægges i henhold til databeskyttelsesforordningens artikel 83, kunne det være fristende at anføre, at det ville være uforeneligt med kravet i denne bestemmelses stk. 1, hvorefter bøder i alle sager ikke kun skal være »effektiv[e]« og »[have] afskrækkende virkning«, men også »[stå] i rimeligt forhold til overtrædelsen«, at tillade, at sådanne bøder kan pålægges, når der ikke foreligger skyld. Det ville med andre ord være uforholdsmæssigt at pålægge bøder i sager, hvor der ikke engang kan fastslås uagtsomhed. Efter min opfattelse er det imidlertid svært at fremsætte dette argument, eftersom Domstolen allerede har fastslået, at indførelsen af en objektiv ansvarsordning, selv en, der har en strafferetlig karakter, ikke står i misforhold til de formål, der søges opnået, når ordningen kan tilskynde de omhandlede personer til at overholde bestemmelserne i en forordning, og når de forfulgte formål har en almen interesse, som kan begrunde indførelsen af en sådan ordning ( 42 ). Den Europæiske Menneskerettighedsdomstol (herefter »Menneskerettighedsdomstolen«) har i forbindelse med Den Europæiske Menneskerettighedskonventions (EMRK) artikel 7 (som svarer til chartrets artikel 49 ( 43 )) endvidere fastslået, at selv om sanktioner i henhold til denne bestemmelse generelt kræver, at der foreligger en mental forbindelse, hvorigennem der kan fastslås element af ansvar i adfærden hos den person, der fysisk har begået overtrædelsen, udelukker dette krav ikke, at der findes visse former for objektivt ansvar ( 44 ).

76.

Når dette er sagt, er det på baggrund af retspraksis min opfattelse, at mens rea som hovedregel er påkrævet for, at der kan pålægges en strafferetlig sanktion, og at objektivt ansvar udgør en form for »undtagelse« fra denne hovedregel, for så vidt som det skal være begrundet i betragtning af de formål, der forfølges med forordningen.

77.

I betragtning af databeskyttelsesforordningen som helhed forekommer det mig, at EU-lovgiver anså administrative bøder som blot et af de redskaber, der er indført ved denne retsakt med henblik på at sikre en effektiv overholdelse af den. Bøder skal nærmere bestemt pålægges »i tillæg til eller i stedet for« de andre foranstaltninger, der er opregnet i denne forordnings artikel 58, stk. 2, som tillægger tilsynsmyndighederne en række korrigerende beføjelser (f.eks. til at udstede advarsler, udtale kritik eller give påbud) ( 45 ). I situationer, hvor der ikke pålægges administrative bøder i henhold til databeskyttelsesforordningens artikel 83, har tilsynsmyndighederne mulighed for at pålægge andre sanktioner i henhold til denne forordnings artikel 84 ( 46 ).

78.

Disse bestemmelser tydeliggør efter min opfattelse, at EU-lovgiver ved vedtagelsen af denne forordning ikke tilsigtede, at alle overtrædelser af databeskyttelsesreglerne skulle straffes med en administrativ bøde. EU-lovgiver ønskede snarere at indføre en fleksibel og differentieret ordning med straffe og sanktioner. Dette bekræftes af 148. betragtning til databeskyttelsesforordningen, hvorefter tilsynsmyndighederne kan undlade at pålægge en administrativ bøde og i stedet udstede en irettesættelse i tilfælde af »en mindre overtrædelse, eller hvis den bøde, der kunne blive pålagt, ville udgøre en uforholdsmæssig stor byrde for en fysisk person«. I denne forbindelse er en begrænsning af anvendelsen af databeskyttelsesforordningens artikel 83 til situationer, hvor der som et mindstekrav fastslås uagtsomhed, efter min opfattelse i overensstemmelse med disse formål og den overordnede logik med disse forskellige bestemmelser, hvorefter pålæggelse af administrative bøder bør forbeholdes bestemte former for overtrædelser.

79.

I de tilfælde, hvor EU-lovgiver har givet udtryk for sin hensigt om at indføre et objektivt eller formodet ansvar i databeskyttelsesforordningen, har den efter min opfattelse gjort dette ved at anvende en særlig ordlyd, som ikke fremgår af denne forordnings artikel 83. I forbindelse med civilretligt ansvar (dvs. dataansvarliges og databehandleres ansvar over for registrerede), som er omfattet af databeskyttelsesforordningens artikel 82, har EU-lovgiver f.eks. anført, at dataansvarlige og databehandlere er strengt forpligtede til at yde erstatning for skader, som de forvolder registrerede, medmindre det bevises, at de pågældende ikke er skyld i den begivenhed, der medførte skaden ( 47 ). Denne forordnings artikel 83 indeholder imidlertid ikke en tilsvarende ordlyd som databeskyttelsesforordningens artikel 84. Dette bekræfter efter min opfattelse, at EU-lovgiver ikke ønskede, at denne bestemmelse skulle indføre en bødeordning på grundlag af objektivt eller formodet ansvar.

80.

For det fjerde og måske vigtigst er jeg af den opfattelse, at tærsklen i praksis for en uagtsom overtrædelse af databeskyttelsesforordningen i henhold til denne forordnings artikel 83, stk. 2, litra b), under alle omstændigheder er så lav, at det er vanskeligt at forestille sig situationer, hvor det vil være umuligt at pålægge en bøde alene af den grund, at denne betingelse ikke er opfyldt. Jeg er således af den opfattelse, at alene den omstændighed, at der skal fastslås forsæt eller uagtsomhed, inden der kan pålægges en bøde i henhold til denne forordnings artikel 83, ikke bringer EU-lovgivers mål om at sikre en effektiv håndhævelse af de deri fastlagte databeskyttelsesregler i fare, tværtimod.

81.

I denne henseende har nogen gjort gældende, at den blotte mangel på handling i en situation, hvor den dataansvarlige eller databehandleren blot nærer tvivl om lovligheden af den foretagne behandling, udgør en forsætlig accept af en potentiel overtrædelse af databeskyttelsesforordningen og dermed grov uagtsomhed ( 48 ). Artikel 29-Gruppen har endvidere foreslået, at en uagtsom overtrædelse på mange måder svarer til en »utilsigtet« overtrædelse, eftersom en sådan overtrædelse efter Artikel 29-Gruppens opfattelse kan forekomme, når der ikke var nogen hensigt om at forårsage overtrædelsen, og den dataansvarlige/databehandleren blot tilsidesatte sin omsorgspligt ( 49 ). Nævnte gruppe har navnlig udtalt, at selv »menneskelige fejl« ( 50 ) i det hele taget kan være tegn på uagtsomhed.

82.

På denne baggrund kan der drages to konklusioner. For det første er grænsen mellem en utilsigtet overtrædelse uden skyld og en uagtsom overtrædelse i praksis meget hårfin. Jeg er af den opfattelse, at tilsynsmyndighederne sjældent vil have svært ved at finde tilstrækkelige forhold, der peger på, at den angivelige overtrædelse blev begået i det mindste uagtsomt. I denne forbindelse bør det nævnes, at det er blevet fastslået i retslitteraturen, at »det som følge af de nu adskillige opmærksomhedsskabende tiltag […], der har til formål at sikre overholdelse af databeskyttelsesforordningen […], er svært at forestille sig […] overtrædelser af databeskyttelsesforordningen, hvor der ikke som minimum er tale om uagtsomhed« ( 51 ). Jeg er helt enig og minder om, at databeskyttelsesforordningen specifikt har til formål at sikre, at dataansvarlige og databehandlere har kendskab til databeskyttelsesreglerne, og dermed er det efter min opfattelse endnu mere vanskeligt at argumentere for, at en overtrædelse kan finde sted uden nogen som helst form for skyld (end ikke uagtsomhed) ( 52 ).

83.

Dette resultat synes for det andet at være helt i overensstemmelse med det primære formål med databeskyttelsesforordningen, som er at sikre et ensartet og højt niveau for beskyttelse af fysiske personer i Den Europæiske Union ( 53 ). Bøder har netop en afskrækkende virkning ( 54 ). Takket være de incitamenter, de giver dataansvarlige og databehandlere til at overholde databeskyttelsesforordningen, bidrager de overordnet set til en styrket beskyttelse af registrerede og er derfor et centralt element med henblik på at sikre, at disse rettigheder overholdes ( 55 ). Heraf følger efter min opfattelse, at selv om der ikke kan ses bort fra »skyld«, er den grad af skyld, der kræves for, at denne forordnings artikel 83 finder anvendelse, tilstrækkelig lav, således at der sikres et passende beskyttelsesniveau for registrerede.

84.

Jeg vil endvidere fremhæve, at den tilgang, som jeg foreslår Domstolen at anvende, også vil bekræfte, at den bødeordning, der er indført ved denne bestemmelse, er i overensstemmelse med den ordning, der er indført ved artikel 23, stk. 1, i forordning (EF) nr. 1/2003 ( 56 ) for overtrædelser af konkurrenceretten, som også kun finder anvendelse, hvis der fastslås forsæt eller uagtsomhed. Den omstændighed, at ordlyden af databeskyttelsesforordningens artikel 83 var inspireret af denne anden bødeordning, bekræftes af 150. betragtning til denne forordning, hvoraf det fremgår, at »[n]år en virksomhed pålægges administrative bøder, forstås en virksomhed i denne forbindelse som en virksomhed som omhandlet i artikel 101 [TEUF] og 102 [TEUF]«, og af andre ligheder mellem disse to bødeordninger som f.eks. den omstændighed, at bødernes størrelse med hensyn til virksomheder inden for begge ordninger kan være baseret på deres omsætning. Jeg påpeger også, at flere af de faktorer, der er opregnet i databeskyttelsesforordningens artikel 83, stk. 2, er relevante med henblik på fastsættelsen af bøder for overtrædelser af konkurrenceretten ( 57 ).

85.

Idet jeg har anført grundene til, at der efter min opfattelse skal fastslås skyld, før en dataansvarlig eller en databehandler kan blive pålagt en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83, stk. 2, bør jeg knytte et par kommentarer til de argumenter, som Rådet og den litauiske regering har fremført. Ifølge disse parter tilkommer det medlemsstaterne at afgøre, hvorvidt der kræves skyld, før der kan pålægges en administrativ bøde.

86.

Jeg er ganske enkelt ikke enig i denne opfattelse.

87.

Det er for mig at se klart, at et af de centrale formål med databeskyttelsesforordningen, og navnlig med dens artikel 83, er at opnå en større grad af harmonisering i Unionen, specifikt med hensyn til pålæggelse af bøder ( 58 ). På denne baggrund er jeg af den opfattelse, at EU-lovgiver, i modsætning til det af Rådet og af den litauiske regering anførte, ikke ønskede, at medlemsstaterne skulle have en skønsmargen til at bestemme, om der kræves skyld eller ej.

88.

Det er korrekt, at der kan fastsættes yderligere krav vedrørende den procedure, som tilsynsmyndighederne skal følge, når de pålægger en bøde, i den nationale lovgivning (med hensyn til aspekter som f.eks. underretning om bøden og fristerne for at fremsætte bemærkninger, klager, håndhævelse og betaling) ( 59 ). Dette fremgår af databeskyttelsesforordningens artikel 83, stk. 8, hvorefter tilsynsmyndighedens udøvelse af bødeudstedelsesbeføjelser skal være »underlagt fornødne proceduremæssige garantier«, der skal fastsættes i den nationale ret, forudsat at EU-retten (og navnlig retten til effektive retsmidler og retfærdig procedure) overholdes.

89.

Denne skønsmargen kan imidlertid ikke omfatte de materielle krav, der gælder for pålæggelsen af en bøde, som f.eks. graden af skyld. Denne konklusion følger efter min opfattelse direkte af flere betragtninger til den nævnte forordning ( 60 ), hvoraf det fremgår, at EU-lovgiver med den ordning for administrative bøder, som databeskyttelsesforordningens artikel 83 indførte, havde til formål at skabe ensartede resultater på hele Den Europæiske Unions område.

90.

Eftersom bøder har en stor indflydelse på konkurrencen mellem virksomheder og en betydelig indvirkning på markedet, tilføjer jeg for fuldstændighedens skyld, at det efter min opfattelse er afgørende, at databeskyttelsesforordningens artikel 83 anvendes på en ensartet måde, eftersom denne bestemmelse i modsat fald kan bidrage til at skabe fordrejning af konkurrencen mellem virksomheder ( 61 ).

91.

Den forelæggende ret ønsker med den anden del af det sjette spørgsmål nærmere bestemt oplyst, om en dataansvarlig kan pålægges en bøde i henhold til databeskyttelsesforordningens artikel 83, når den ulovlige behandling ikke blev foretaget af den dataansvarlige selv, men derimod af en databehandler (af ITSS i den foreliggende sag).

92.

Dette spørgsmål skal efter min opfattelse besvares bekræftende.

93.

Som jeg har anført i punkt 27, minder jeg i denne forbindelse om, at det ikke er nødvendigt, at en dataansvarlig selv behandler nogen af personoplysningerne, så længe den dataansvarlige selv afgør, hvorfor og hvordan de pågældende behandlingsaktiviteter foretages. Jeg erindrer endvidere om, at databeskyttelsesforordningens artikel 4, nr. 8), definerer en »databehandler« som »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne« ( 62 ).

94.

Disse definitioner bekræfter efter min opfattelse, at en dataansvarlig, inden for rammerne af anvendelsen af databeskyttelsesforordningen, kan ifalde ansvar og derfor kan pålægges en bøde i henhold til denne forordnings artikel 83 i en situation, hvor personoplysninger behandles ulovligt, og hvor denne ulovlige behandling ikke blev foretaget af den dataansvarlige selv, men derimod af en databehandler. Denne mulighed foreligger, så længe en databehandler behandler personoplysninger på vegne af den dataansvarlige.

95.

Dette er tilfældet, så længe databehandleren handler inden for rammerne af den beføjelse, som den dataansvarlige har givet den, og behandler oplysninger i overensstemmelse med de lovlige instrukser, som den har modtaget fra den dataansvarlige ( 63 ). Hvis databehandleren derimod går ud over rammerne for denne beføjelse og bruger oplysninger, som den har modtaget som databehandler, til egne formål, og det står klart, at parterne ikke er »fælles dataansvarlige« i henhold til databeskyttelsesforordningens artikel 4, nr. 7), og artikel 21, stk. 6, kan den dataansvarlige efter min opfattelse ikke pålægges en bøde i henhold til denne forordnings artikel 83 i forbindelse med den ulovlige behandling, der er blevet foretaget ( 64 ).

96.

Heraf følger, at NVSC kan pålægges en bøde i henhold til databeskyttelsesforordningens artikel 83 i en sag som den i hovedsagen omhandlede, selv om personoplysningerne kun blev behandlet ulovligt af ITSS, og NVSC ikke deltog i behandlingen. Denne mulighed foreligger, så længe ITSS kan anses for at have behandlet personoplysninger på NVSC’s vegne, hvilket ikke er tilfældet, hvis ITSS undlod at følge eller handlede i strid med NVSC’s lovlige instrukser og brugte personoplysninger til egne formål, og det står klart, at NVSC og ITSS ikke fungerede som fælles dataansvarlige.

97.

På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer de af Vilniaus apygardos administracinis teismas (appeldomstolen i forvaltningsretlige sager i Vilnius, Litauen) forelagte præjudicielle spørgsmål på følgende måde: