This document is an excerpt from the EUR-Lex website
Document 62021CJ0683
Judgment of the Court (Grand Chamber) of 5 December 2023.#Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos v Valstybinė duomenų apsaugos inspekcija.#Request for a preliminary ruling from the Vilniaus apygardos administracinis teismas.#Reference for a preliminary ruling – Protection of personal data – Regulation (EU) 2016/679 – Article 4(2) and (7) – Concepts of ‘processing’ and ‘controller’ – Development of a mobile IT application – Article 26 – Joint control – Article 83 – Imposition of administrative fines – Conditions – Requirement that the infringement be intentional or negligent – Responsibility and liability of the controller for the processing of personal data carried out by a processor.#Case C-683/21.
Απόφαση του Δικαστηρίου (τμήμα μείζονος συνθέσεως) της 5ης Δεκεμβρίου 2023.
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos κατά Valstybinė duomenų apsaugos inspekcija.
Αίτηση του Vilniaus apygardos administracinis teismas για την έκδοση προδικαστικής αποφάσεως.
Προδικαστική παραπομπή – Προστασία των προσωπικών δεδομένων – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 4, σημεία 2 και 7 – Έννοιες της “επεξεργασίας” και του “υπευθύνου επεξεργασίας” – Ανάπτυξη εφαρμογής για συσκευές κινητής τηλεφωνίας – Άρθρο 26 – Από κοινού ευθύνη για την επεξεργασία – Άρθρο 83 – Επιβολή διοικητικών προστίμων – Προϋποθέσεις – Απαίτηση να έχει διαπραχθεί η παράβαση εκ προθέσεως ή εξ αμελείας – Ευθύνη του υπευθύνου επεξεργασίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από εκτελούντα την επεξεργασία.
Υπόθεση C-683/21.
Απόφαση του Δικαστηρίου (τμήμα μείζονος συνθέσεως) της 5ης Δεκεμβρίου 2023.
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos κατά Valstybinė duomenų apsaugos inspekcija.
Αίτηση του Vilniaus apygardos administracinis teismas για την έκδοση προδικαστικής αποφάσεως.
Προδικαστική παραπομπή – Προστασία των προσωπικών δεδομένων – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 4, σημεία 2 και 7 – Έννοιες της “επεξεργασίας” και του “υπευθύνου επεξεργασίας” – Ανάπτυξη εφαρμογής για συσκευές κινητής τηλεφωνίας – Άρθρο 26 – Από κοινού ευθύνη για την επεξεργασία – Άρθρο 83 – Επιβολή διοικητικών προστίμων – Προϋποθέσεις – Απαίτηση να έχει διαπραχθεί η παράβαση εκ προθέσεως ή εξ αμελείας – Ευθύνη του υπευθύνου επεξεργασίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από εκτελούντα την επεξεργασία.
Υπόθεση C-683/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:949
ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τμήμα μείζονος συνθέσεως)
της 5ης Δεκεμβρίου 2023 ( *1 )
«Προδικαστική παραπομπή – Προστασία των προσωπικών δεδομένων – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 4, σημεία 2 και 7 – Έννοιες της “επεξεργασίας” και του “υπευθύνου επεξεργασίας” – Ανάπτυξη εφαρμογής για συσκευές κινητής τηλεφωνίας – Άρθρο 26 – Από κοινού ευθύνη για την επεξεργασία – Άρθρο 83 – Επιβολή διοικητικών προστίμων – Προϋποθέσεις – Απαίτηση να έχει διαπραχθεί η παράβαση εκ προθέσεως ή εξ αμελείας – Ευθύνη του υπευθύνου επεξεργασίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από εκτελούντα την επεξεργασία»
Στην υπόθεση C‑683/21,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Vilniaus apygardos administracinis teismas (περιφερειακό διοικητικό πρωτοδικείο του Βίλνιους, Λιθουανία) με απόφαση της 22ας Οκτωβρίου 2021, η οποία περιήλθε στο Δικαστήριο στις 12 Νοεμβρίου 2021, στο πλαίσιο της δίκης
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
κατά
Valstybinė duomenų apsaugos inspekcija,
παρισταμένων των:
UAB «IT sprendimai sėkmei»,
Lietuvos Respublikos sveikatos apsaugos ministerija,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τμήμα μείζονος συνθέσεως),
συγκείμενο από τους K. Lenaerts, Πρόεδρο, L. Bay Larsen, Αντιπρόεδρο, A. Arabadjiev, Κ. Λυκούργο, E. Regan, T. von Danwitz, Z. Csehi, O. Spineanu‑Matei, προέδρους τμήματος, M. Ilešič, J.–C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (εισηγητή), N. Wahl και M. Gavalec, δικαστές,
γενικός εισαγγελέας: Ν. Αιμιλίου
γραμματέας: C. Strömholm, διοικητική υπάλληλος,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 17ης Ιανουαρίου 2023,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
|
– |
το Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, εκπροσωπούμενο από την G. Aleksienė, |
|
– |
η Valstybinė duomenų apsaugos inspekcija, εκπροσωπούμενη από τον R. Andrijauskas, |
|
– |
η Λιθουανική Κυβέρνηση, εκπροσωπούμενη από τη V. Kazlauskaitė‑Švenčionienė, |
|
– |
η Ολλανδική Κυβέρνηση, εκπροσωπούμενη από την C. S. Schillemans, |
|
– |
το Συμβούλιο της Ευρωπαϊκής Ένωσης, εκπροσωπούμενο από την R. Liudvinavičiūtė και τον K. Pleśniak, |
|
– |
η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους Α. Μπουχάγιαρ, H. Kranenborg και A. Steiblytė, |
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 4ης Μαΐου 2023,
εκδίδει την ακόλουθη
Απόφαση
|
1 |
Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 4, σημεία 2 και 7, του άρθρου 26, παράγραφος 1, και του άρθρου 83, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2021, L 74, σ. 35, στο εξής: ΓΚΠΔ). |
|
2 |
Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Εθνικού Κέντρου Δημόσιας Υγείας, το οποίο υπάγεται στο Υπουργείο Υγείας, Λιθουανία, στο εξής: NVSC) και της Valstybinė duomenų apsaugos inspekcija (Δημόσιας Επιθεώρησης Προστασίας Δεδομένων, Λιθουανία, στο εξής: VDAI) με αντικείμενο απόφαση με την οποία η δεύτερη επέβαλε στο NVSC διοικητικό πρόστιμο κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ λόγω παράβασης των άρθρων 5, 13, 24, 32 και 35 του κανονισμού αυτού. |
Το νομικό πλαίσιο
Το δίκαιο της Ένωσης
|
3 |
Οι αιτιολογικές σκέψεις 9, 10, 11, 13, 26, 74, 79, 129 και 148 του ΓΚΠΔ έχουν ως εξής:
[…]
[…]
[…]
[…]
[…]
[…]
|
|
4 |
Το άρθρο 4 του ΓΚΠΔ προβλέπει τα εξής: «Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
[…]
[…]
[…]». |
|
5 |
Το άρθρο 26 του ΓΚΠΔ, που επιγράφεται «Από κοινού υπεύθυνοι επεξεργασίας», ορίζει στην παράγραφο 1 τα εξής: «Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 και 14, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.» |
|
6 |
Το άρθρο 28 του ΓΚΠΔ, που επιγράφεται «Εκτελών την επεξεργασία», ορίζει στην παράγραφο 10 τα εξής: «Με την επιφύλαξη των άρθρων 82, 83 και 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.» |
|
7 |
Το άρθρο 58 του ΓΚΠΔ, που επιγράφεται «Εξουσίες», ορίζει στην παράγραφο 2 τα εξής: «Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:
[…]
[…]
[…]
[…]». |
|
8 |
Το άρθρο 83 του ΓΚΠΔ, το οποίο επιγράφεται «Γενικοί όροι επιβολής διοικητικών προστίμων», προβλέπει τα εξής: «1. Κάθε εποπτική αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική. 2. Τα διοικητικά πρόστιμα, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιβάλλονται επιπρόσθετα ή αντί των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 στοιχεία α) έως η) και στο άρθρο 58 παράγραφος 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:
3. Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει [εκ προθέσεως ή εξ αμελείας] αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση. 4. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 10000000 [ευρώ] ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο: α) οι υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 έως 39 και 42 και 43, […] 5. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20000000 [ευρώ] ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:
[…]
[…] 6. Η μη συμμόρφωση προς εντολή της εποπτικής αρχής όπως αναφέρεται στο άρθρο 58 παράγραφος 2 επισύρει, σύμφωνα με την παράγραφο 2 του παρόντος άρθρου, διοικητικά πρόστιμα έως 20000000 [ευρώ] ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. 7. Με την επιφύλαξη των διορθωτικών εξουσιών των εποπτικών αρχών σύμφωνα με το άρθρο 58 παράγραφος 2, κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος. 8. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες δικονομικές εγγυήσεις σύμφωνα με το δίκαιο της Ένωσης και το δίκαιο του κράτους μέλους, συμπεριλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας. […]» |
|
9 |
Το άρθρο 84 του ΓΚΠΔ, που επιγράφεται «Κυρώσεις», ορίζει στην παράγραφο 1 τα εξής: «Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του παρόντος κανονισμού, ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων δυνάμει του άρθρου 83, και λαμβάνουν όλα τα αναγκαία μέτρα για να διασφαλιστεί ότι εφαρμόζονται. Οι εν λόγω κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.» |
Το λιθουανικό δίκαιο
|
10 |
Το άρθρο 29, παράγραφος 3, του Viešųjų pirkimų įstatymas (νόμου περί δημοσίων συμβάσεων) απαριθμεί ορισμένες περιπτώσεις στις οποίες η αναθέτουσα αρχή είτε δικαιούται είτε υποχρεούται να ματαιώσει τη διαδικασία διαγωνισμού για τη σύναψη δημόσιας σύμβασης ή διαγωνισμού μελέτης, με δική της πρωτοβουλία και οποτεδήποτε πριν από τη σύναψη της δημόσιας σύμβασης (ή του προσυμφώνου) ή την επιλογή του αναδόχου. |
|
11 |
Το άρθρο 72, παράγραφος 2, του νόμου περί δημοσίων συμβάσεων προβλέπει τα στάδια των διαπραγματεύσεων που διεξάγει η αναθέτουσα αρχή στο πλαίσιο διαδικασίας με διαπραγμάτευση χωρίς προηγούμενη δημοσίευση. |
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
|
12 |
Στο πλαίσιο της πανδημίας που προκλήθηκε από τη νόσο COVID–19, ο Lietuvos Respublikos sveikatos apsaugos ministras (Υπουργός Υγείας της Δημοκρατίας της Λιθουανίας) ανέθεσε, με μια πρώτη απόφαση της 24ης Μαρτίου 2020, στον διευθυντή του NVSC να οργανώσει την άμεση απόκτηση συστήματος πληροφορικής για τη συλλογή και την παρακολούθηση των δεδομένων προσωπικού χαρακτήρα των προσώπων που είχαν εκτεθεί στον COVID–19, για σκοπούς επιδημιολογικής παρακολούθησης. |
|
13 |
Με μήνυμα ηλεκτρονικού ταχυδρομείου της 27ης Μαρτίου 2020, πρόσωπο το οποίο δήλωσε ότι εκπροσωπούσε το NVSC (στο εξής: A.S.) ενημέρωσε την εταιρία UAB «IT sprendimai sėkmei» (στο εξής: εταιρία ITSS) ότι το NVSC την είχε επιλέξει ως υπεύθυνη για τη δημιουργία μιας εφαρμογής για συσκευές κινητής τηλεφωνίας προς τον ως άνω σκοπό. Ο A.S. απέστειλε εν συνεχεία διάφορα μηνύματα ηλεκτρονικού ταχυδρομείου στην εταιρία ITSS σχετικά με διάφορες πτυχές της δημιουργίας της εφαρμογής, ενώ στον διευθυντή του NVSC γινόταν κοινοποίηση αντιγράφου των μηνυμάτων αυτών. |
|
14 |
Κατά τη διάρκεια των διαπραγματεύσεων μεταξύ της εταιρίας ITSS και του NVSC, εκτός από τον A.S., στην εταιρία αυτή απέστειλαν μηνύματα ηλεκτρονικού ταχυδρομείου και άλλοι υπάλληλοι του NVSC σχετικά με τη διατύπωση του κειμένου των ερωτήσεων της επίμαχης εφαρμογής για συσκευές κινητής τηλεφωνίας. |
|
15 |
Κατά τη δημιουργία της εν λόγω εφαρμογής, καταρτίστηκε πολιτική απορρήτου στην οποία η εταιρία ITSS και το NVSC ορίζονταν ως υπεύθυνοι επεξεργασίας. |
|
16 |
Η επίμαχη εφαρμογή για συσκευές κινητής τηλεφωνίας κατέστη διαθέσιμη προς τηλεφόρτωση από το κοινό από το ηλεκτρονικό κατάστημα Google Play Store στις 4 Απριλίου 2020 και από το ηλεκτρονικό κατάστημα Apple App Store, στις 6 Απριλίου 2020. Η εφαρμογή λειτουργούσε έως τις 26 Μαΐου 2020. |
|
17 |
Μεταξύ της 4ης Απριλίου 2020 και της 26ης Μαΐου 2020, 3802 πρόσωπα έκαναν χρήση της εφαρμογής, παρέχοντας τα δεδομένα που ζητήθηκαν από αυτή, όπως τον αριθμό ταυτότητας, τις γεωγραφικές συντεταγμένες (γεωγραφικό πλάτος και μήκος), τη χώρα, την πόλη, τον δήμο, τον ταχυδρομικό κώδικα, την οδό, τον αριθμό του κτιρίου, το ονοματεπώνυμο, τον προσωπικό κωδικό αριθμό, τον αριθμό τηλεφώνου και τη διεύθυνση. |
|
18 |
Με δεύτερη απόφαση της 10ης Απριλίου 2020, ο Υπουργός Υγείας της Δημοκρατίας της Λιθουανίας αποφάσισε να αναθέσει στον διευθυντή του NVSC την οργάνωση της απόκτησης της επίμαχης εφαρμογής για συσκευές κινητής τηλεφωνίας από την εταιρία ITSS και, προς τον σκοπό αυτό, εξετάστηκε το ενδεχόμενο εφαρμογής του άρθρου 72, παράγραφος 2, του νόμου περί δημοσίων συμβάσεων. Εντούτοις, στην εταιρία ITSS δεν ανατέθηκε καμία σύμβαση με αντικείμενο την επίσημη απόκτηση της εν λόγω εφαρμογής από το NVSC. |
|
19 |
Ειδικότερα, στις 15 Μαΐου 2020, το NVSC ζήτησε από την εταιρία ITSS να μην κάνει οποιαδήποτε μνεία του ιδίου στην επίμαχη εφαρμογή για συσκευές κινητής τηλεφωνίας. Επιπλέον, με έγγραφο της 4ης Ιουνίου 2020, το NVSC ενημέρωσε την εταιρία ITSS ότι, λόγω έλλειψης χρηματοδότησης για την απόκτηση της εφαρμογής, είχε ματαιώσει τη διαδικασία αγοράς κατ’ εφαρμογήν του άρθρου 29, παράγραφος 3, του νόμου περί δημοσίων συμβάσεων. |
|
20 |
Στο πλαίσιο έρευνας σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία κινήθηκε στις 18 Μαΐου 2020, η VDAI διαπίστωσε ότι, μέσω της επίμαχης εφαρμογής για συσκευές κινητής τηλεφωνίας, είχε γίνει συλλογή δεδομένων προσωπικού χαρακτήρα. Επιπλέον, διαπιστώθηκε ότι οι χρήστες που είχαν επιλέξει την εφαρμογή ως μέθοδο για την παρακολούθηση της υποχρεωτικής απομόνωσης λόγω της πανδημίας COVID‑19 είχαν απαντήσει σε ερωτήσεις που συνεπάγονταν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η παροχή των δεδομένων αυτών τα οποία αφορούσαν ιδίως την κατάσταση της υγείας του υποκείμενου των δεδομένων και την εκ μέρους του τήρηση των όρων της απομόνωσης είχε γίνει μέσω των απαντήσεων στις ερωτήσεις που είχαν τεθεί μέσω της εφαρμογής. |
|
21 |
Με απόφαση της 24ης Φεβρουαρίου 2021, η VDAI επέβαλε στο NVSC διοικητικό πρόστιμο 12000 ευρώ κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ, λόγω παραβάσεως εκ μέρους του των άρθρων 5, 13, 24, 32 και 35 του ΓΚΠΔ. Με την ίδια απόφαση, επιβλήθηκε επίσης διοικητικό πρόστιμο 3000 ευρώ στην εταιρία ITSS ως από κοινού υπεύθυνη της επεξεργασίας. |
|
22 |
Το NVSC προσέβαλε την ως άνω απόφαση ενώπιον του Vilniaus apygardos administracinis teismas (περιφερειακού διοικητικού πρωτοδικείου του Βίλνιους, Λιθουανία), ήτοι του αιτούντος δικαστηρίου, υποστηρίζοντας ότι ως μόνη υπεύθυνη της επεξεργασίας κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ πρέπει να θεωρηθεί η εταιρία ITSS. Από την πλευρά της, η εταιρία ITSS υποστηρίζει ότι ενήργησε με την ιδιότητα του εκτελούντος την επεξεργασία, κατά την έννοια του άρθρου 4, σημείο 8, του ΓΚΠΔ, κατ’ εντολή του NVSC το οποίο, κατά την άποψή της, είναι ο μόνος υπεύθυνος επεξεργασίας. |
|
23 |
Το αιτούν δικαστήριο επισημαίνει ότι η εταιρία ITSS δημιούργησε την επίμαχη εφαρμογή για συσκευές κινητής τηλεφωνίας και ότι το NVSC της έδωσε συμβουλές σχετικά με το περιεχόμενο των ερωτήσεων που θα γίνονταν μέσω της εν λόγω εφαρμογής. Εντούτοις, κατά το αιτούν δικαστήριο, μεταξύ του NVSC και της εταιρίας ITSS δεν υπάρχει δημόσια σύμβαση. Επιπλέον, το NVSC δεν συναίνεσε στη διάθεση της εν λόγω εφαρμογής μέσω των διαφόρων ηλεκτρονικών καταστημάτων ούτε την επέτρεψε. |
|
24 |
Το αιτούν δικαστήριο διευκρινίζει ότι η δημιουργία της επίμαχης εφαρμογής για συσκευές κινητής τηλεφωνίας εξυπηρετούσε την υλοποίηση του σκοπού που είχε θέσει το NVSC, ήτοι τη διαχείριση της πανδημίας της νόσου COVID‑19 μέσω της δημιουργίας εργαλείου πληροφορικής και ότι προς τον σκοπό αυτό προβλεπόταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα. Όσον αφορά τον ρόλο της εταιρίας ITSS, δεν προβλέφθηκε η επιδίωξη άλλων σκοπών από την εταιρία αυτή πλην της είσπραξης αμοιβής για το προϊόν πληροφορικής που δημιούργησε. |
|
25 |
Το αιτούν δικαστήριο παρατηρεί επίσης ότι, κατά την έρευνα της VDAI, διαπιστώθηκε ότι η λιθουανική εταιρία Juvare Lithuania, η οποία διαχειρίζεται το ηλεκτρονικό σύστημα παρακολούθησης και ελέγχου των μεταδοτικών νοσημάτων που παρουσιάζουν κίνδυνο εξάπλωσης, έπρεπε να λαμβάνει αντίγραφα των δεδομένων προσωπικού χαρακτήρα που συλλέγονταν μέσω της επίμαχης εφαρμογής για συσκευές κινητής τηλεφωνίας. Επιπλέον, στο στάδιο του δοκιμαστικού ελέγχου της εφαρμογής, χρησιμοποιήθηκαν εικονικά δεδομένα, με εξαίρεση τους αριθμούς τηλεφώνου των υπαλλήλων της εν λόγω εταιρίας. |
|
26 |
Κατόπιν των ανωτέρω, το Vilniaus apygardos administracinis teismas (περιφερειακό διοικητικό πρωτοδικείο του Βίλνιους) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
|
Επί των προδικαστικών ερωτημάτων
Επί του πρώτου, του δευτέρου και του τρίτου προδικαστικού ερωτήματος
|
27 |
Με το πρώτο, το δεύτερο και το τρίτο προδικαστικό ερώτημα, τα οποία πρέπει να εξεταστούν από κοινού, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν το άρθρο 4, σημείο 7, του ΓΚΠΔ έχει την έννοια ότι ως υπεύθυνος επεξεργασίας κατά τη διάταξη αυτή μπορεί να θεωρηθεί οντότητα που ανέθεσε σε επιχείρηση την ανάπτυξη εφαρμογής πληροφορικής για συσκευές κινητής τηλεφωνίας, στην περίπτωση που η οντότητα αυτή δεν προέβη η ίδια σε πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, δεν συμφώνησε ρητώς για την υλοποίηση των συγκεκριμένων πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα ή για τη διάθεση στο κοινό της εφαρμογής για συσκευές κινητής τηλεφωνίας και δεν απέκτησε την κυριότητα της. |
|
28 |
Το άρθρο 4, παράγραφος 7, του ΓΚΠΔ ορίζει ευρέως τον «υπεύθυνο επεξεργασίας» ως το φυσικό ή νομικό πρόσωπο, τη δημόσια αρχή, την υπηρεσία ή άλλο φορέα που, μόνα ή από κοινού με άλλα, «καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας» δεδομένων προσωπικού χαρακτήρα. |
|
29 |
Ο σκοπός του ευρέος αυτού ορισμού συνίσταται, σε συμφωνία με τον σκοπό του ΓΚΠΔ, στη διασφάλιση αποτελεσματικής προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων καθώς και, μεταξύ άλλων, η εξασφάλιση υψηλού επιπέδου προστασίας του δικαιώματος κάθε προσώπου στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν (πρβλ. αποφάσεις της 29ης Ιουλίου 2019, Fashion ID, C‑40/17, EU:C:2019:629, σκέψη 66, και της 28ης Απριλίου 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, σκέψη 73 και εκεί μνημονευόμενη νομολογία). |
|
30 |
Το Δικαστήριο έχει κρίνει ότι κάθε φυσικό ή νομικό πρόσωπο το οποίο επηρεάζει, για τους δικούς του σκοπούς, την επεξεργασία δεδομένων προσωπικού χαρακτήρα και μετέχει κατ’ αυτόν τον τρόπο στον καθορισμό των στόχων και του τρόπου της επεξεργασίας μπορεί να θεωρηθεί ότι είναι υπεύθυνος της επεξεργασίας αυτής. Ως προς το ζήτημα αυτό, δεν είναι απαραίτητο ο καθορισμός των στόχων και του τρόπου της επεξεργασίας να γίνεται με γραπτές κατευθυντήριες γραμμές ή εντολές εκ μέρους του υπευθύνου επεξεργασίας (πρβλ. απόφαση της 10ης Ιουλίου 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, σκέψεις 67 και 68), ούτε αυτός να έχει οριστεί επισήμως ως τέτοιος. |
|
31 |
Ως εκ τούτου, προκειμένου να διαπιστωθεί αν οντότητα όπως το NVSC μπορεί να θεωρηθεί ως υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ, πρέπει να εξεταστεί αν επηρέασε πράγματι, για δικούς της σκοπούς, τον καθορισμό των στόχων και του τρόπου της συγκεκριμένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα. |
|
32 |
Εν προκειμένω, με την επιφύλαξη του ελέγχου που οφείλει να διενεργήσει το αιτούν δικαστήριο, από την ενώπιον του Δικαστηρίου δικογραφία προκύπτει ότι το NVSC παρήγγειλε τη δημιουργία της επίμαχης εφαρμογής για συσκευές κινητής τηλεφωνίας η οποία εξυπηρετούσε τον σκοπό που το ίδιο όρισε, ήτοι τη διαχείριση της πανδημίας της νόσου COVID‑19 μέσω εργαλείου πληροφορικής για την καταγραφή και την παρακολούθηση των προσώπων που είχαν εκτεθεί στη νόσο COVID‑19. Προς τον σκοπό αυτό, το NVSC προέβλεψε την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των χρηστών της εφαρμογής για συσκευές κινητής τηλεφωνίας. Επιπλέον, από την απόφαση περί παραπομπής προκύπτει ότι οι παράμετροι της εφαρμογής, όπως οι ερωτήσεις της εφαρμογής και η διατύπωσή τους, προσαρμόστηκαν στις ανάγκες του NVSC και ότι αυτό είχε ενεργό ρόλο στη διαμόρφωσή τους. |
|
33 |
Υπό τις συνθήκες αυτές, πρέπει κατ’ αρχήν να γίνει δεκτό ότι το NVSC είχε πράγματι συμμετοχή στον καθορισμό των στόχων και του τρόπου της επεξεργασίας. |
|
34 |
Αντιθέτως, το γεγονός και μόνο ότι στην πολιτική απορρήτου της επίμαχης εφαρμογής για συσκευές κινητής τηλεφωνίας γινόταν μνεία του NVSC ως υπευθύνου επεξεργασίας και η εφαρμογή αυτή περιείχε συνδέσμους προς την οντότητα αυτή μπορεί να θεωρηθεί κρίσιμο μόνο εφόσον αποδειχθεί ότι το NVSC συγκατατέθηκε ρητώς ή σιωπηρώς στην εν λόγω μνεία ή στην ύπαρξη των συνδέσμων αυτών. |
|
35 |
Επιπλέον, ο χαρακτηρισμός του NVSC ως «υπευθύνου επεξεργασίας» κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ δεν αποκλείεται από τις περιστάσεις στις οποίες αναφέρεται το αιτούν δικαστήριο στο πλαίσιο του σκεπτικού του σχετικά με τα τρία πρώτα προδικαστικά ερωτήματα, ήτοι ότι το NVSC δεν προέβη το ίδιο σε επεξεργασία δεδομένων προσωπικού χαρακτήρα, ότι δεν υπήρχε σύμβαση μεταξύ του NVSC και της εταιρίας ITSS, ότι το NVSC δεν απέκτησε την κυριότητα της επίμαχης εφαρμογής για συσκευές κινητής τηλεφωνίας ή ακόμη ότι δεν ενέκρινε τη διάθεση της εφαρμογής αυτής μέσω ηλεκτρονικών καταστημάτων. |
|
36 |
Πράγματι, όπως προκύπτει από τη διάταξη αυτή, ερμηνευόμενη υπό το πρίσμα της αιτιολογικής σκέψης 74 του ΓΚΠΔ, μια οντότητα, εφόσον πληροί την προϋπόθεση του άρθρου 4, σημείο 7, του ΓΚΠΔ, ευθύνεται όχι μόνο για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από την ίδια, αλλά επίσης και για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται για λογαριασμό της. |
|
37 |
Ως προς το ζήτημα αυτό, επιβάλλεται η διευκρίνιση ότι το NVSC δεν θα μπορεί να θεωρηθεί ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, λόγω της διάθεσης της επίμαχης εφαρμογής για συσκευές κινητής τηλεφωνίας στο κοινό, αν πριν από τη διάθεση στο κοινό εναντιώθηκε ρητώς σε αυτή, όπερ εναπόκειται στο αιτούν δικαστήριο να εξακριβώσει. Πράγματι, σε μια τέτοια περίπτωση, δεν θα μπορεί να γίνει δεκτό ότι η επίμαχη επεξεργασία έγινε για λογαριασμό του NVSC. |
|
38 |
Λαμβανομένων υπόψη των προεκτεθέντων, στο πρώτο, στο δεύτερο και στο τρίτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 4, σημείο 7, του ΓΚΠΔ έχει την έννοια ότι ως υπεύθυνος επεξεργασίας κατά τη διάταξη αυτή μπορεί να θεωρηθεί οντότητα η οποία ανέθεσε σε επιχείρηση την ανάπτυξη εφαρμογής πληροφορικής για συσκευές κινητής τηλεφωνίας και η οποία, στο πλαίσιο αυτό, είχε συμμετοχή στον καθορισμό των στόχων και του τρόπου της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται μέσω της εφαρμογής αυτής, ακόμη και αν δεν προέβη η ίδια σε πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, δεν συμφώνησε ρητώς για την υλοποίηση των συγκεκριμένων πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα ή για τη διάθεση στο κοινό της εφαρμογής για συσκευές κινητής τηλεφωνίας και δεν απέκτησε την κυριότητα της εφαρμογής, εκτός εάν, πριν από τη διάθεση της εφαρμογής αυτής στο κοινό, εναντιώθηκε ρητώς στην εν λόγω διάθεση και στη συνακόλουθη επεξεργασία δεδομένων προσωπικού χαρακτήρα. |
Επί του πέμπτου προδικαστικού ερωτήματος
|
39 |
Με το πέμπτο προδικαστικό ερώτημα, το οποίο πρέπει να εξεταστεί δεύτερο κατά σειρά, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν το άρθρο 4, σημείο 7, και το άρθρο 26, παράγραφος 1, του ΓΚΠΔ έχουν την έννοια ότι ο χαρακτηρισμός δύο οντοτήτων ως από κοινού υπευθύνων επεξεργασίας προϋποθέτει την ύπαρξη συμφωνίας μεταξύ τους για τον καθορισμό των σκοπών και των μέσων της επίμαχης επεξεργασίας δεδομένων προσωπικού χαρακτήρα ή την ύπαρξη συμφωνίας η οποία να καθορίζει τους όρους που διέπουν την από κοινού ευθύνη για την επεξεργασία. |
|
40 |
Κατά το άρθρο 26, παράγραφος 1, του ΓΚΠΔ, υπάρχουν «από κοινού υπεύθυνοι επεξεργασίας» όταν δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας. |
|
41 |
Όπως έχει κρίνει το Δικαστήριο, για να μπορεί να θεωρηθεί ένα φυσικό ή νομικό πρόσωπο ως από κοινού υπεύθυνος επεξεργασίας, πρέπει ως εκ τούτου να εμπίπτει αυτοτελώς στον ορισμό του «υπεύθυνου επεξεργασίας» κατά το άρθρο 4, σημείο 7, του ΓΚΠΔ (πρβλ. απόφαση της 29ης Ιουλίου 2019, Fashion ID, C‑40/17, EU:C:2019:629, σκέψη 74). |
|
42 |
Πάντως, η ύπαρξη από κοινού ευθύνης δεν συνεπάγεται κατ’ ανάγκη ότι η ευθύνη την οποία υπέχουν οι διάφοροι φορείς που εμπλέκονται σε μια επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι ισοδύναμη. Αντιθέτως, οι εν λόγω φορείς ενδέχεται να εμπλέκονται σε διαφορετικά στάδια της επεξεργασίας των δεδομένων και σε διαφορετικό βαθμό, με αποτέλεσμα το επίπεδο ευθύνης καθενός από αυτούς να πρέπει να εκτιμάται λαμβανομένων υπόψη όλων των κρίσιμων περιστάσεων της συγκεκριμένης περιπτώσεως (απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, σκέψη 43). Επίσης, η από κοινού ευθύνη διαφόρων φορέων για μία και την αυτή επεξεργασία, βάσει της διάταξης αυτής, δεν απαιτεί να έχουν όλοι οι εν λόγω φορείς πρόσβαση στα σχετικά δεδομένα προσωπικού χαρακτήρα (απόφαση της 10ης Ιουλίου 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, σκέψη 69 και εκεί μνημονευόμενη νομολογία). |
|
43 |
Όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 38 των προτάσεών του, η συμμετοχή στον καθορισμό των σκοπών και των μέσων της επεξεργασίας μπορεί να λάβει διάφορες μορφές, δεδομένου ότι μπορεί να προκύπτει τόσο από κοινή απόφαση των δύο οντοτήτων όσο και απλώς από συγκλίνουσες αποφάσεις τους. Στη δεύτερη περίπτωση, οι αποφάσεις αυτές πρέπει να αλληλοσυμπληρώνονται, ώστε να έχουν συγκεκριμένο αντίκτυπο στον καθορισμό των σκοπών και των μέσων της επεξεργασίας. |
|
44 |
Αντιθέτως, δεν απαιτείται να υφίσταται μεταξύ των υπευθύνων επεξεργασίας τυπική συμφωνία όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας. |
|
45 |
Βεβαίως, δυνάμει του άρθρου 26, παράγραφος 1, του ΓΚΠΔ, ερμηνευόμενο σε συνδυασμό με την αιτιολογική σκέψη 79 του ΓΚΠΔ, οι από κοινού υπεύθυνοι επεξεργασίας πρέπει, με διαφανή τρόπο, να καθορίζουν τις αντίστοιχες ευθύνες τους όσον αφορά τη συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον εν λόγω κανονισμό, μέσω συμφωνίας μεταξύ τους. Εντούτοις, η ύπαρξη τέτοιας συμφωνίας δεν αποτελεί προαπαιτούμενο για τον χαρακτηρισμό δύο ή περισσότερων οντοτήτων ως από κοινού υπευθύνων επεξεργασίας, αλλά υποχρέωση την οποία το άρθρο 26, παράγραφος 1, επιβάλλει στους από κοινού υπευθύνους επεξεργασίας, εφόσον χαρακτηριστούν ως τέτοιοι, προκειμένου να διασφαλιστεί η τήρηση των απαιτήσεων του ΓΚΠΔ που τους βαρύνουν. Συνεπώς, ο ως άνω χαρακτηρισμός προκύπτει από το γεγονός και μόνο ότι περισσότερες από μία οντότητες συμμετείχαν στον καθορισμό των σκοπών και των μέσων της επεξεργασίας. |
|
46 |
Κατόπιν των προεκτεθέντων, στο πέμπτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 4, σημείο 7, και το άρθρο 26, παράγραφος 1, του ΓΚΠΔ έχουν την έννοια ότι ο χαρακτηρισμός δύο οντοτήτων ως από κοινού υπευθύνων επεξεργασίας δεν προϋποθέτει την ύπαρξη συμφωνίας μεταξύ τους για τον καθορισμό των σκοπών και των μέσων της επίμαχης επεξεργασίας δεδομένων προσωπικού χαρακτήρα ούτε την ύπαρξη συμφωνίας η οποία να καθορίζει τους όρους που διέπουν την από κοινού ευθύνη για την επεξεργασία. |
Επί του τετάρτου προδικαστικού ερωτήματος
|
47 |
Με το τέταρτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν το άρθρο 4, σημείο 2, του ΓΚΠΔ έχει την έννοια ότι συνιστά «επεξεργασία», κατά τη διάταξη αυτή, η χρήση δεδομένων προσωπικού χαρακτήρα για τον δοκιμαστικό έλεγχο εφαρμογής πληροφορικής για συσκευές κινητής τηλεφωνίας. |
|
48 |
Όπως προκύπτει από τη σκέψη 25 της παρούσας απόφασης, η λιθουανική εταιρία η οποία διαχειρίζεται το ηλεκτρονικό σύστημα παρακολούθησης και ελέγχου των μεταδοτικών νοσημάτων που παρουσιάζουν κίνδυνο εξάπλωσης έπρεπε να λαμβάνει αντίγραφα των δεδομένων προσωπικού χαρακτήρα που συλλέγονταν μέσω της επίμαχης εφαρμογής για συσκευές κινητής τηλεφωνίας. Επιπλέον, στο στάδιο του δοκιμαστικού ελέγχου της εφαρμογής, χρησιμοποιήθηκαν εικονικά δεδομένα, με εξαίρεση τους αριθμούς τηλεφώνου των υπαλλήλων της εν λόγω εταιρίας. |
|
49 |
Ως προς το ζήτημα αυτό, πρώτον, το άρθρο 4, παράγραφος 2, του ΓΚΠΔ ορίζει την «επεξεργασία» ως «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα». Στο πλαίσιο μιας ενδεικτικής απαρίθμησης που εισάγεται με τη λέξη «όπως», η διάταξη μνημονεύει ως παραδείγματα επεξεργασίας τη συλλογή, τη διάθεση και τη χρήση δεδομένων προσωπικού χαρακτήρα. |
|
50 |
Από το γράμμα της ως άνω διατάξεως, και ιδίως από την έκφραση «κάθε πράξη», προκύπτει ότι ο νομοθέτης της Ένωσης θέλησε να προσδώσει ευρύ περιεχόμενο στην έννοια της «επεξεργασίας» [πρβλ. απόφαση της 24ης Φεβρουαρίου 2022, Valsts ieņēmumu dienests (Επεξεργασία των δεδομένων προσωπικού χαρακτήρα για φορολογικούς σκοπούς),C‑175/20, EU:C:2022:124, σκέψη 35] και ότι οι λόγοι για τους οποίους διενεργείται η πράξη ή η σειρά πράξεων δεν μπορούν να λαμβάνονται υπόψη για να διαπιστωθεί αν η συγκεκριμένη πράξη ή σειρά πράξεων αποτελεί «επεξεργασία» κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ. |
|
51 |
Ως εκ τούτου, το αν δεδομένα προσωπικού χαρακτήρα χρησιμοποιήθηκαν για τον δοκιμαστικό έλεγχο εφαρμογής πληροφορικής ή για άλλο σκοπό δεν ασκεί επιρροή στον χαρακτηρισμό της επίμαχης πράξης ως «επεξεργασίας», κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ. |
|
52 |
Δεύτερον, πρέπει ωστόσο να διευκρινιστεί ότι μόνον η επεξεργασία που αφορά «δεδομένα προσωπικού χαρακτήρα» συνιστά «επεξεργασία», κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ. |
|
53 |
Το άρθρο 4, σημείο 1, του ΓΚΠΔ ορίζει ως «δεδομένα προσωπικού χαρακτήρα»«κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο», δηλαδή «φυσικό πρόσωπο […] του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου». |
|
54 |
Πλην όμως, το γεγονός, στο οποίο αναφέρεται το αιτούν δικαστήριο στο τέταρτο προδικαστικό ερώτημα, ότι πρόκειται για «αντίγραφα δεδομένων προσωπικού χαρακτήρα» δεν είναι ικανό αφ’ εαυτού να αποκλείσει τον χαρακτηρισμό των αντιγράφων αυτών ως δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ, εφόσον τα αντίγραφα αυτά περιέχουν πράγματι πληροφορίες που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. |
|
55 |
Διαπιστώνεται εντούτοις ότι τα εικονικά δεδομένα, εφόσον δεν αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, αλλά ανύπαρκτο στην πραγματικότητα πρόσωπο, δεν αποτελούν δεδομένα προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ. |
|
56 |
Το αυτό ισχύει και όσον αφορά τα ανώνυμα ή ανωνυμοποιημένα δεδομένα που χρησιμοποιούνται για τον δοκιμαστικό έλεγχο εφαρμογής πληροφορικής. |
|
57 |
Πράγματι, όπως προκύπτει από την αιτιολογική σκέψη 26 του ΓΚΠΔ, καθώς και από τον ίδιο τον ορισμό της έννοιας των «δεδομένων προσωπικού χαρακτήρα» στο άρθρο 4, σημείο 1, του ΓΚΠΔ, δεν εμπίπτουν στην έννοια αυτή οι «ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο», ούτε τα «δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί». |
|
58 |
Αντιθέτως, από το άρθρο 4, σημείο 5, του ΓΚΠΔ, σε συνδυασμό με την αιτιολογική σκέψη 26 του ΓΚΠΔ, προκύπτει ότι τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε ψευδωνυμοποίηση και τα οποία θα μπορούσαν να αποδοθούν σε φυσικό πρόσωπο διά της χρήσεως συμπληρωματικών πληροφοριών θα πρέπει να θεωρούνται πληροφορίες που αφορούν ταυτοποιήσιμο φυσικό πρόσωπο επί των οποίων εφαρμόζονται οι αρχές περί προστασίας των δεδομένων. |
|
59 |
Λαμβανομένων υπόψη των προεκτεθέντων, στο τέταρτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 4, σημείο 2, του ΓΚΠΔ έχει την έννοια ότι συνιστά «επεξεργασία», κατά τη διάταξη αυτή, η χρήση δεδομένων προσωπικού χαρακτήρα για τον δοκιμαστικό έλεγχο εφαρμογής πληροφορικής για συσκευές κινητής τηλεφωνίας, εκτός εάν τα δεδομένα αυτά έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί ή εάν πρόκειται για εικονικά δεδομένα που δεν αφορούν υπαρκτό φυσικό πρόσωπο. |
Επί του έκτου προδικαστικού ερωτήματος
|
60 |
Με το έκτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 83 του ΓΚΠΔ έχει την έννοια ότι, αφενός, μπορεί να επιβληθεί διοικητικό πρόστιμο κατ’ εφαρμογήν της διάταξης αυτής μόνον εάν αποδεικνύεται ότι ο υπεύθυνος επεξεργασίας διέπραξε εκ προθέσεως ή εξ αμελείας παράβαση για την οποία γίνεται λόγος στις παραγράφους 4 έως 6 του άρθρου αυτού και ότι, αφετέρου, μπορεί να επιβληθεί διοικητικό πρόστιμο σε υπεύθυνο επεξεργασίας όσον αφορά πράξεις επεξεργασίας που πραγματοποίησε για λογαριασμό του ένας εκτελών την επεξεργασία. |
|
61 |
Όσον αφορά, κατά πρώτον, το ζήτημα αν διοικητικό πρόστιμο κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ μπορεί να επιβληθεί μόνον εφόσον αποδεικνύεται ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διέπραξε εκ προθέσεως ή εξ αμελείας παράβαση για την οποία γίνεται λόγος στις παραγράφους 4 έως 6 του άρθρου αυτού, από την παράγραφο 1 του άρθρου 83 προκύπτει ότι τα διοικητικά πρόστιμα πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Αντιθέτως, το άρθρο 83 του ΓΚΠΔ δεν διευκρινίζει ρητώς ότι οι παραβάσεις μπορούν να επισύρουν τέτοιο πρόστιμο μόνον εφόσον διαπράχθηκαν εκ προθέσεως ή, τουλάχιστον, εξ αμελείας. |
|
62 |
Η Λιθουανική Κυβέρνηση και το Συμβούλιο της Ευρωπαϊκής Ένωσης συνάγουν από τα ανωτέρω ότι πρόθεση του νομοθέτη της Ένωσης ήταν να αφήσει στα κράτη μέλη ορισμένο περιθώριο εκτιμήσεως κατά τη θέση του άρθρου 83 του ΓΚΠΔ σε εφαρμογή, παρέχοντάς τους τη δυνατότητα να προβλέπουν ότι διοικητικά πρόστιμα κατ’ εφαρμογήν της διάταξης αυτής επιβάλλονται, ενδεχομένως, και χωρίς να αποδεικνύεται ότι η παράβαση του ΓΚΠΔ που τιμωρείται με το πρόστιμο διαπράχθηκε εκ προθέσεως ή εξ αμελείας. |
|
63 |
Τέτοια ερμηνεία του άρθρου 83 του ΓΚΠΔ δεν μπορεί να γίνει δεκτή. |
|
64 |
Ως προς το ζήτημα αυτό, επιβάλλεται η υπόμνηση ότι, δυνάμει του άρθρου 288 ΣΛΕΕ, οι διατάξεις των κανονισμών έχουν, εν γένει, άμεσο αποτέλεσμα στις εθνικές έννομες τάξεις, χωρίς να απαιτείται από τις εθνικές αρχές να λαμβάνουν μέτρα εφαρμογής. Εντούτοις, για την εφαρμογή ορισμένων από τις διατάξεις αυτές ενδέχεται να απαιτείται η λήψη μέτρων εφαρμογής από τα κράτη μέλη (πρβλ. απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, σκέψη 58 και εκεί μνημονευόμενη νομολογία). |
|
65 |
Αυτό ισχύει μεταξύ άλλων για τον ΓΚΠΔ του οποίου ορισμένες διατάξεις παρέχουν στα κράτη μέλη τη δυνατότητα να θεσπίζουν πρόσθετους εθνικούς κανόνες, αυστηρότερους ή εισάγοντες παρεκκλίσεις, και καταλείπουν σε αυτά περιθώριο εκτιμήσεως ως προς τον τρόπο με τον οποίο οι εν λόγω διατάξεις μπορούν να τίθενται σε εφαρμογή (απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, σκέψη 57). |
|
66 |
Ομοίως, ελλείψει ειδικών διαδικαστικών κανόνων στον ΓΚΠΔ, εναπόκειται στην έννομη τάξη κάθε κράτους μέλους να καθορίσει, με την επιφύλαξη της τήρησης των αρχών της ισοδυναμίας και της αποτελεσματικότητας, τους λεπτομερείς κανόνες ασκήσεως των ενδίκων βοηθημάτων που αποσκοπούν στη διασφάλιση των δικαιωμάτων που οι πολίτες αντλούν από τις διατάξεις του ΓΚΠΔ [πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα),C‑300/21, EU:C:2023:370, σκέψεις 53 και 54 και εκεί μνημονευόμενη νομολογία]. |
|
67 |
Εντούτοις, ουδόλως μπορεί να συναχθεί από το γράμμα του άρθρου 83, παράγραφοι 1 έως 6, του ΓΚΠΔ ότι πρόθεση του νομοθέτη της Ένωσης ήταν να αφήσει στα κράτη μέλη περιθώριο εκτιμήσεως όσον αφορά τις ουσιαστικές προϋποθέσεις που πρέπει να τηρούν οι εποπτικές αρχές όταν αποφασίζουν την επιβολή διοικητικού προστίμου σε υπεύθυνο επεξεργασίας λόγω παράβασης για την οποία γίνεται λόγος στις παραγράφους 4 έως 6 του άρθρου αυτού. |
|
68 |
Βεβαίως, αφενός, το άρθρο 83, παράγραφος 7, του ΓΚΠΔ προβλέπει ότι κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος. Αφετέρου, από το άρθρο 83, παράγραφος 8, του ΓΚΠΔ, ερμηνευόμενο υπό το πρίσμα της αιτιολογικής σκέψης 129 του ΓΚΠΔ, προκύπτει ότι η άσκηση από την εποπτική αρχή των εξουσιών που της απονέμει το άρθρο αυτό υπόκειται στις δέουσες διαδικαστικές εγγυήσεις σύμφωνα με το δίκαιο της Ένωσης και με το δίκαιο των κρατών μελών, στις οποίες περιλαμβάνονται οι εγγυήσεις της άσκησης αποτελεσματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας. |
|
69 |
Εντούτοις, το γεγονός ότι ο εν λόγω κανονισμός παρέχει έτσι στα κράτη μέλη τη δυνατότητα να προβλέπουν εξαιρέσεις όσον αφορά δημόσιες αρχές και φορείς που έχουν συσταθεί σε αυτά, καθώς και απαιτήσεις σχετικές με τη διαδικασία που πρέπει να ακολουθούν οι εποπτικές αρχές κατά την επιβολή διοικητικού προστίμου, ουδόλως σημαίνει ότι τα κράτη μέλη μπορούν επίσης να προβλέπουν, πέραν των εν λόγω εξαιρέσεων και διαδικαστικών απαιτήσεων, και ουσιαστικές προϋποθέσεις οι οποίες πρέπει να συντρέχουν για τη στοιχειοθέτηση της ευθύνης του υπευθύνου επεξεργασίας και την επιβολή σε αυτόν διοικητικού προστίμου κατ’ εφαρμογήν του άρθρου 83. Πέραν τούτου, το γεγονός ότι ο νομοθέτης της Ένωσης φρόντισε να προβλέψει ρητώς τη δυνατότητα αυτή, αλλά όχι τη δυνατότητα να προβλεφθούν τέτοιες πρόσθετες ουσιαστικές προϋποθέσεις, επιβεβαιώνει ότι δεν κατέλιπε συναφώς στα κράτη μέλη περιθώριο εκτιμήσεως. |
|
70 |
Η ανωτέρω διαπίστωση επιβεβαιώνεται επίσης από τη συνδυασμένη ερμηνεία των άρθρων 83 και 84 του ΓΚΠΔ. Πράγματι, κατά το άρθρο 84, παράγραφος 1, του ΓΚΠΔ, τα κράτη μέλη διατηρούν την αρμοδιότητα για τον καθορισμό του καθεστώτος που αφορά «τις άλλες κυρώσεις που επιβάλλονται» για παραβάσεις του κανονισμού αυτού, «ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων δυνάμει του άρθρου 83». Συνεπώς, από τη συνδυασμένη ερμηνεία των ανωτέρω διατάξεων προκύπτει ότι δεν εμπίπτει στην αρμοδιότητα αυτή ο καθορισμός των ουσιαστικών προϋποθέσεων για την επιβολή των εν λόγω διοικητικών προστίμων. Επομένως, οι προϋποθέσεις αυτές ρυθμίζονται αποκλειστικώς από το δίκαιο της Ένωσης. |
|
71 |
Όσον αφορά τις εν λόγω προϋποθέσεις, επισημαίνεται ότι το άρθρο 83, παράγραφος 2, του ΓΚΠΔ απαριθμεί τα στοιχεία βάσει των οποίων η εποπτική αρχή επιβάλλει διοικητικό πρόστιμο στον υπεύθυνο επεξεργασίας. Μεταξύ των στοιχείων αυτών αναφέρεται, στο στοιχείο βʹ της διάταξης, «ο δόλος ή η αμέλεια που προκάλεσε την παράβαση». Αντιθέτως, σε κανένα από τα στοιχεία που απαριθμούνται στη διάταξη αυτή δεν γίνεται λόγος για οποιαδήποτε δυνατότητα στοιχειοθέτησης ευθύνης του υπευθύνου επεξεργασίας αν δεν συντρέχει υπαίτια συμπεριφορά εκ μέρους του. |
|
72 |
Επιπλέον, το άρθρο 83, παράγραφος 2, του ΓΚΠΔ πρέπει να ερμηνευθεί σε συνδυασμό με την παράγραφο 3 του ίδιου άρθρου, στην οποία προβλέπονται οι συνέπειες της σώρευσης παραβάσεων του ΓΚΠΔ και κατά την οποία, «[σ]ε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει [εκ προθέσεως ή εξ αμελείας] αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση». |
|
73 |
Επομένως, από το γράμμα του άρθρου 83, παράγραφος 2, του ΓΚΠΔ προκύπτει ότι μόνον οι υπαίτιες, δηλαδή οι εκ προθέσεως ή εξ αμελείας, παραβάσεις των διατάξεων του ΓΚΠΔ εκ μέρους του υπευθύνου επεξεργασίας μπορούν να οδηγήσουν στην επιβολή σε βάρος του διοικητικού προστίμου κατ’ εφαρμογήν του εν λόγω άρθρου. |
|
74 |
Η γενική οικονομία και ο σκοπός του ΓΚΠΔ επιρρωννύουν την ερμηνεία αυτή. |
|
75 |
Αφενός, ο νομοθέτης της Ένωσης προέβλεψε σύστημα κυρώσεων το οποίο παρέχει στις εποπτικές αρχές τη δυνατότητα να επιβάλλουν τις πλέον κατάλληλες κυρώσεις ανάλογα με τις περιστάσεις κάθε περίπτωσης. |
|
76 |
Πράγματι, το άρθρο 58 του ΓΚΠΔ, το οποίο καθορίζει τις εξουσίες των εποπτικών αρχών, προβλέπει στην παράγραφο 2, στοιχείο θʹ, ότι οι εν λόγω αρχές μπορούν να επιβάλλουν διοικητικά πρόστιμα, κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ, «επιπλέον ή αντί» των άλλων διορθωτικών μέτρων τα οποία απαριθμούνται στο εν λόγω άρθρο 58, παράγραφος 2, όπως προειδοποιήσεις, επιπλήξεις ή εντολές. Ομοίως, στην αιτιολογική σκέψη 148 του ΓΚΠΔ αναφέρεται, μεταξύ άλλων, ότι οι εποπτικές αρχές μπορούν, σε περίπτωση παράβασης ελάσσονος σημασίας ή αν το διοικητικό πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση για φυσικό πρόσωπο, να μην επιβάλλουν διοικητικό πρόστιμο και να επιβάλλουν, αντ’ αυτού, επίπληξη. |
|
77 |
Αφετέρου, από την αιτιολογική σκέψη 10 του ΓΚΠΔ προκύπτει, ειδικότερα, ότι οι διατάξεις του ΓΚΠΔ αποσκοπούν, μεταξύ άλλων, στη διασφάλιση συνεκτικού και υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και, προς τούτο, στη διασφάλιση συνεκτικής και ομοιόμορφης εφαρμογής των κανόνων για την προστασία των ελευθεριών και των θεμελιωδών δικαιωμάτων των προσώπων αυτών έναντι της επεξεργασίας τέτοιων δεδομένων σε ολόκληρη την Ένωση. Εξάλλου, στις αιτιολογικές σκέψεις 11 και 129 του ΓΚΠΔ υπογραμμίζεται η ανάγκη να διασφαλίζεται, προκειμένου να επιτευχθεί η συνεκτική εφαρμογή του κανονισμού αυτού, ότι οι εποπτικές αρχές διαθέτουν ισοδύναμες εξουσίες εποπτείας και ελέγχου της συμμόρφωσης προς τους κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα και ότι μπορούν να επιβάλλουν ισοδύναμες κυρώσεις σε περίπτωση παραβάσεων του κανονισμού. |
|
78 |
Η ύπαρξη συστήματος κυρώσεων βάσει του οποίου επιβάλλεται διοικητικό πρόστιμο κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ, όταν τούτο δικαιολογείται από τις ειδικές περιστάσεις κάθε συγκεκριμένης περίπτωσης, δημιουργεί κίνητρο ώστε οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία να συμμορφώνονται με τον κανονισμό. Με το αποτρεπτικό τους αποτέλεσμα, τα διοικητικά πρόστιμα συμβάλλουν στην ενίσχυση της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και συνιστούν, ως εκ τούτου, βασικό στοιχείο για τη διασφάλιση του σεβασμού των δικαιωμάτων τους σύμφωνα με τον σκοπό του κανονισμού, ο οποίος συνίσταται στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. |
|
79 |
Εντούτοις, ο νομοθέτης της Ένωσης δεν έκρινε αναγκαίο, για τη διασφάλιση ενός τέτοιου υψηλού επιπέδου προστασίας, να προβλέψει την επιβολή διοικητικών προστίμων σε περίπτωση μη συνδρομής υπαιτιότητας. Λαμβανομένου υπόψη ότι ο ΓΚΠΔ αποσκοπεί σε ισοδύναμο και ομοιογενές επίπεδο προστασίας και ότι, προς τούτο, πρέπει να εφαρμόζεται με συνέπεια σε ολόκληρη την Ένωση, θα ήταν αντίθετο προς τον σκοπό αυτόν να επιτρέπεται στα κράτη μέλη να προβλέπουν τέτοιο καθεστώς για την επιβολή προστίμου κατ’ εφαρμογήν του άρθρου 83 του κανονισμού. Μια τέτοια ελευθερία επιλογής θα μπορούσε, επιπλέον, να στρεβλώσει τον ανταγωνισμό μεταξύ των οικονομικών παραγόντων εντός της Ένωσης, πράγμα το οποίο θα αντέβαινε στους σκοπούς που διατύπωσε ο νομοθέτης της Ένωσης, μεταξύ άλλων, στις αιτιολογικές σκέψεις 9 και 13 του ΓΚΠΔ. |
|
80 |
Κατά συνέπεια, διαπιστώνεται, πρώτον, ότι το άρθρο 83 του ΓΚΠΔ δεν επιτρέπει να επιβάλλεται διοικητικό πρόστιμο για παράβαση για την οποία γίνεται λόγος στις παραγράφους 4 έως 6 του άρθρου αυτού, χωρίς να αποδεικνύεται ότι η παράβαση αυτή διαπράχθηκε εκ προθέσεως ή εξ αμελείας από τον υπεύθυνο επεξεργασίας καθώς και, δεύτερον, ότι η υπαίτια παράβαση συνιστά, ως εκ τούτου, προϋπόθεση για την επιβολή τέτοιου προστίμου. |
|
81 |
Συναφώς, όσον αφορά το ζήτημα αν μια παράβαση διαπράχθηκε εκ προθέσεως ή εξ αμελείας και μπορεί, για τον λόγο αυτόν, να επισύρει διοικητικό πρόστιμο βάσει του άρθρου 83 του ΓΚΠΔ, πρέπει επιπλέον να διευκρινιστεί ότι ο υπεύθυνος επεξεργασίας μπορεί να τιμωρηθεί για συμπεριφορά που εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ, εφόσον δεν μπορούσε να αγνοεί ότι η συμπεριφορά του συνιστά παράβαση, ανεξαρτήτως του αν είχε επίγνωση ότι παρέβαινε τις διατάξεις του ΓΚΠΔ (βλ., κατ’ αναλογίαν, αποφάσεις της 18ης Ιουνίου 2013, Schenker & Co. κ.λπ., C‑681/11, EU:C:2013:404, σκέψη 37 και εκεί μνημονευόμενη νομολογία, της 25ης Μαρτίου 2021, Lundbeck κατά Επιτροπής, C‑591/16 P, EU:C:2021:243, σκέψη 156, και Arrow Group και Arrow Generics κατά Επιτροπής, C‑601/16 P, EU:C:2021:244, σκέψη 97). |
|
82 |
Όταν ο υπεύθυνος επεξεργασίας είναι νομικό πρόσωπο, η εφαρμογή του άρθρου 83 του ΓΚΠΔ δεν προϋποθέτει ενέργεια ή έστω γνώση εκ μέρους του οργάνου διαχείρισης του εν λόγω νομικού προσώπου (βλ., κατ’ αναλογίαν, αποφάσεις της 7ης Ιουνίου 1983, Musique Diffusion française κ.λπ. κατά Επιτροπής,100/80 έως 103/80, EU:C:1983:158, σκέψη 97, και της 16ης Φεβρουαρίου 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen κατά Επιτροπής, C‑94/15 P, EU:C:2017:124, σκέψη 28 και εκεί μνημονευόμενη νομολογία). |
|
83 |
Όσον αφορά, κατά δεύτερον, το ζήτημα αν μπορεί να επιβληθεί διοικητικό πρόστιμο, κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ, σε υπεύθυνο επεξεργασίας όσον αφορά πράξεις επεξεργασίας που πραγματοποίησε για λογαριασμό του ένας εκτελών την επεξεργασία, επιβάλλεται η υπόμνηση ότι, κατά τον ορισμό του άρθρου 4, σημείο 8, του ΓΚΠΔ, ως εκτελών την επεξεργασία νοείται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας». |
|
84 |
Δεδομένου ότι, όπως επισημάνθηκε στη σκέψη 36 της παρούσας απόφασης, ο υπεύθυνος επεξεργασίας ευθύνεται όχι μόνο για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον ίδιο, αλλά επίσης και για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται για λογαριασμό του, είναι δυνατή η επιβολή διοικητικού προστίμου, κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ, στον υπεύθυνο επεξεργασίας στην περίπτωση παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα η οποία γίνεται όχι από τον υπεύθυνο επεξεργασίας, αλλά από εκτελούντα την επεξεργασία στον οποίο ο υπεύθυνος επεξεργασίας ανέθεσε την πραγματοποίηση της επεξεργασίας για λογαριασμό του. |
|
85 |
Εντούτοις, η ευθύνη του υπευθύνου της επεξεργασίας για τη συμπεριφορά του εκτελούντος την επεξεργασία δεν μπορεί να καλύπτει περιπτώσεις στις οποίες ο εκτελών την επεξεργασία πραγματοποίησε την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για τους δικούς του σκοπούς ή στις οποίες πραγματοποίησε την επεξεργασία είτε κατά τρόπο μη συμβατό προς το πλαίσιο ή τις λεπτομέρειες της επεξεργασίας που είχε καθορίσει ο υπεύθυνος της επεξεργασίας είτε κατά τρόπο ως προς τον οποίο δεν θα μπορούσε εύλογα να θεωρηθεί ότι θα είχε συγκατατεθεί ο υπεύθυνος της επεξεργασίας. Πράγματι, κατά το άρθρο 28, παράγραφος 10, του ΓΚΠΔ, ο εκτελών την επεξεργασία θεωρείται, σε μια τέτοια περίπτωση, ως υπεύθυνος για τη συγκεκριμένη επεξεργασία. |
|
86 |
Κατόπιν των ανωτέρω σκέψεων, στο έκτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 83 του ΓΚΠΔ έχει την έννοια ότι, αφενός, μπορεί να επιβληθεί διοικητικό πρόστιμο κατ’ εφαρμογήν της διάταξης αυτής μόνον εάν αποδεικνύεται ότι ο υπεύθυνος επεξεργασίας διέπραξε εκ προθέσεως ή εξ αμελείας παράβαση για την οποία γίνεται λόγος στις παραγράφους 4 έως 6 του άρθρου αυτού και ότι, αφετέρου, μπορεί να επιβληθεί διοικητικό πρόστιμο σε υπεύθυνο επεξεργασίας όσον αφορά πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που πραγματοποίησε για λογαριασμό του ένας εκτελών την επεξεργασία, εκτός εάν, στο πλαίσιο των πράξεων αυτών, ο εκτελών την επεξεργασία πραγματοποίησε επεξεργασία για τους δικούς του σκοπούς ή επεξεργάστηκε τα δεδομένα είτε κατά τρόπο μη συμβατό προς το πλαίσιο ή τις λεπτομέρειες της επεξεργασίας που είχε καθορίσει ο υπεύθυνος της επεξεργασίας είτε κατά τρόπο ως προς τον οποίο δεν θα μπορούσε εύλογα να θεωρηθεί ότι θα είχε συγκατατεθεί ο υπεύθυνος της επεξεργασίας. |
Επί των δικαστικών εξόδων
|
87 |
Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται. |
|
Για τους λόγους αυτούς, το Δικαστήριο (τμήμα μείζονος συνθέσεως) αποφαίνεται: |
|
|
|
|
|
(υπογραφές) |
( *1 ) Γλώσσα διαδικασίας: η λιθουανική.