1.

Σε έναν κόσμο όπου τα δεδομένα προσωπικού χαρακτήρα έχουν γίνει εμπόρευμα προς διαπραγμάτευση και συνιστούν ένα νέο χρυσωρυχείο για τις επιχειρήσεις, υπό ποιες προϋποθέσεις μπορούν να επιβληθούν διοικητικά πρόστιμα σε υπεύθυνους επεξεργασίας ή σε εκτελούντες την υπηρεσία στην περίπτωση παράβασης των κανόνων προστασίας των δεδομένων που θεσπίζονται στον κανονισμό (ΕΕ) 2016/679 ( 2 ); Ειδικότερα, απαιτείται η συνδρομή υπαιτιότητας για να τους επιβληθούν τα εν λόγω πρόστιμα; Αυτό είναι το κεντρικό ζήτημα που εγείρει το Vilniaus apygardos administracinis teismas (περιφερειακό διοικητικό δικαστήριο του Βίλνιους, Λιθουανία) στην υπό κρίση υπόθεση.

2.

Η διαφορά της οποίας έχει επιληφθεί το εν λόγω δικαστήριο μεταξύ του Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Εθνικού Κέντρου Δημόσιας Υγείας, το οποίο υπάγεται στο Υπουργείο Υγείας, Λιθουανία· στο εξής: NVSC) και της Valstybinė duomenų apsaugos inspekcija (Δημόσιας Επιθεώρησης Προστασίας Δεδομένων, Λιθουανία· στο εξής: Επιθεώρηση) αφορά, κατ’ ουσίαν, τον ρόλο που διαδραμάτισε το NVSC στην ανάπτυξη και στη διάθεση στο κοινό μιας εφαρμογής για συσκευές κινητής τηλεφωνίας η οποία, τον Απρίλιο και τον Μάιο του 2020, συνέλεξε τα δεδομένα προσωπικού χαρακτήρα των προσώπων που είχαν έλθει σε επαφή με νοσούντες από COVID-19.

3.

Στο πλαίσιο αυτό, η υπό κρίση υπόθεση δίνει στο Δικαστήριο την ευκαιρία να παράσχει περαιτέρω διευκρινίσεις σχετικά με τις έννοιες του «υπευθύνου επεξεργασίας», των «από κοινού υπευθύνων επεξεργασίας» και της «επεξεργασίας», όπως ορίζονται αντιστοίχως στο άρθρο 4, παράγραφος 7, στο άρθρο 26, παράγραφος 1, και στο άρθρο 4, παράγραφος 2, του ΓΚΠΔ, και να εξετάσει, για πρώτη φορά, αν είναι δυνατή, κατ’ εφαρμογήν του άρθρου 83 του εν λόγω κανονισμού, η επιβολή διοικητικού προστίμου σε υπεύθυνο επεξεργασίας ο οποίος δεν παρέβη εκ προθέσεως ή εξ αμελείας τους κανόνες που περιέχονται στον ΓΚΠΔ. Με το ερώτημα αυτό, το Δικαστήριο καλείται να διευκρινίσει αν η ως άνω διάταξη επιτρέπει την επιβολή προστίμων χωρίς οποιαδήποτε υπαιτιότητα, βάσει αντικειμενικής ευθύνης.

4.

Η αιτιολογική σκέψη 148 του ΓΚΠΔ έχει ως εξής:

«Προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος κανονισμού […]. Σε περίπτωση παράβασης ελάσσονος σημασίας ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο, θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου. Θα πρέπει ωστόσο να λαμβάνονται δεόντως υπόψη η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εσκεμμένος χαρακτήρας της παράβασης, οι δράσεις που αναλήφθηκαν για τον μετριασμό της ζημίας, ο βαθμός της ευθύνης ή τυχόν άλλες σχετικές προηγούμενες παραβάσεις, ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, η συμμόρφωση με τα μέτρα κατά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, η τήρηση κώδικα δεοντολογίας και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο. Η επιβολή κυρώσεων, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να υπόκειται σε κατάλληλες δικονομικές εγγυήσεις σύμφωνα με τις γενικές αρχές του ενωσιακού δικαίου και του Χάρτη, συμπεριλαμβανομένης της πραγματικής δικαστικής προστασίας και της ορθής διαδικασίας.»

5.

Κατά την αιτιολογική σκέψη 150 του εν λόγω κανονισμού:

«Για την ενίσχυση και την εναρμόνιση των διοικητικών ποινών κατά παραβάσεων του παρόντος κανονισμού, κάθε εποπτική αρχή θα πρέπει να έχει την εξουσία να επιβάλλει διοικητικά πρόστιμα. Ο παρών κανονισμός θα πρέπει να υποδεικνύει τις παραβιάσεις, και το ανώτατο όριο και τα κριτήρια για τον καθορισμό των σχετικών διοικητικών προστίμων, τα οποία θα πρέπει να καθορίζονται από την αρμόδια εποπτική αρχή σε κάθε μεμονωμένη περίπτωση, αφού ληφθούν υπόψη όλες οι συναφείς περιστάσεις της συγκεκριμένης κατάστασης, με τη δέουσα προσοχή ειδικότερα στη φύση, τη βαρύτητα και τη διάρκεια της παράβασης και στις συνέπειές της και τα μέτρα που λαμβάνονται για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό και για την πρόληψη ή τον μετριασμό των συνεπειών της παράβασης.[…] Η επιβολή διοικητικού προστίμου ή η προειδοποίηση δεν θίγει την εφαρμογή των λοιπών εξουσιών των εποπτικών αρχών ή άλλων κυρώσεων δυνάμει του παρόντος κανονισμού.»

6.

Το άρθρο 4, παράγραφος 7, του ΓΚΠΔ ορίζει τον «υπεύθυνο επεξεργασίας» ως «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα […]».

7.

Το άρθρο 26 του εν λόγω κανονισμού επιγράφεται «Από κοινού υπεύθυνοι επεξεργασίας» και ορίζει στο σχετικό μέρος του τα εξής:

«1.   Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. […]

[…]»

8.

Το άρθρο 83 του εν λόγω κανονισμού επιγράφεται «Γενικοί όροι επιβολής διοικητικών προστίμων» και ορίζει τα εξής:

«1.   Κάθε εποπτική αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.

2.   Τα διοικητικά πρόστιμα, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιβάλλονται επιπρόσθετα ή αντί των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 στοιχεία α) έως η) και στο άρθρο 58 παράγραφος 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

[…]

3.   Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει [εκ προθέσεως ή εξ αμελείας] αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

[…]»

9.

Το άρθρο 72, παράγραφος 2, του Viešųjų pirkimų įstatymas (νόμου περί δημοσίων συμβάσεων) ορίζει τα εξής:

«Η αναθέτουσα αρχή εφαρμόζει διαδικασία με διαπραγμάτευση χωρίς τη δημοσίευση σχετικής προκηρύξεως ακολουθώντας τα εξής στάδια:

10.

Για την αντιμετώπιση της κατάστασης που προέκυψε από την εξάπλωση της νόσου COVID-19, ο Υπουργός Υγείας της Δημοκρατίας της Λιθουανίας (στο εξής: Υπουργός Υγείας) ανέθεσε, με απόφαση της 24ης Μαρτίου 2020, στον διευθυντή του NVSC να οργανώσει την ανάπτυξη και την απόκτηση μιας εφαρμογής για συσκευές κινητής τηλεφωνίας, ήτοι την εφαρμογή KARANTINAS. Η εν λόγω εφαρμογή για συσκευές κινητής τηλεφωνίας αποσκοπούσε στη συλλογή και την παρακολούθηση των δεδομένων προσωπικού χαρακτήρα προσώπων που είχαν έλθει σε επαφή με νοσούντες από COVID-19 ( 3 ).

11.

Στις 27 Μαρτίου 2020, πρόσωπο το οποίο ισχυρίστηκε ότι εκπροσωπούσε το NVSC, ενημέρωσε την εταιρία «IT sprendimai sėkmei» UAB (στο εξής: ITSS) ότι η εν λόγω εταιρία είχε επιλεγεί ως υπεύθυνη για την ανάπτυξη της εφαρμογής KARANTINAS. Ακολούθησε ανταλλαγή μηνυμάτων ηλεκτρονικού ταχυδρομείου μεταξύ της ITSS και ως άνω προσώπου καθώς και μεταξύ της ITSS και διαφόρων υπαλλήλων και του διευθυντή του NVSC σχετικά με την ανάπτυξη της εν λόγω εφαρμογής. Στο στάδιο αυτό καταρτίστηκε επίσης σύμβαση εμπιστευτικότητας, στην οποία αναφέρονταν ως υπεύθυνοι επεξεργασίας τόσο η εταιρία ITSS όσο και το NVSC.

12.

Η εφαρμογή για συσκευές κινητής τηλεφωνίας που τελικά αναπτύχθηκε κατέστη διαθέσιμη προς τηλεφόρτωση από το κοινό από το ηλεκτρονικό κατάστημα Google Play Store στις 4 Απριλίου 2020 και από την πλατφόρμα πωλήσεων Apple App Store, στις 6 Απριλίου 2020. Τόσο η ITSS όσο και το NVSC αναφέρονταν ως υπεύθυνοι επεξεργασίας και στην έκδοση της εφαρμογής KARANTINAS η οποία τέθηκε στη διάθεση του κοινού προς τηλεφόρτωση. Την εποχή εκείνη, το NVSC δεν είχε ακόμη αγοράσει την εν λόγω εφαρμογή για συσκευές κινητής τηλεφωνίας.

13.

Με απόφαση της 10ης Απριλίου 2020, ο Υπουργός Υγείας ανέθεσε στον διευθυντή του NVSC να προβεί στην απόκτηση της εφαρμογής KARANTINAS μέσω διαδικασίας με διαπραγμάτευση χωρίς δημοσίευση σχετικής προκηρύξεως, κατ’ εφαρμογήν του άρθρου 72, παράγραφος 2, του νόμου περί δημοσίων συμβάσεων.

14.

Η εν λόγω διαδικασία κινήθηκε, ωστόσο το NVSC έθεσε τέλος στη διεξαγωγή της λόγω μη εξασφαλίσεως της αναγκαίας χρηματοδότησης. Ως εκ τούτου, δεν έλαβε χώρα δημόσια σύμβαση αγοράς. Εντούτοις, η εφαρμογή KARANTINAS εξακολούθησε να είναι διαθέσιμη προς τηλεφόρτωση από το κοινό.

15.

Στις 15 Μαΐου 2020, το NVSC ζήτησε από την ITSS να μη χρησιμοποιεί στην εφαρμογή κανένα στοιχείο του NVSC ή άλλους υπερσυνδέσμους προς το NVSC. Στις 18 Μαΐου 2020, η Επιθεώρηση κίνησε έρευνα όσον αφορά τόσο την ITSS όσο και το NVSC για παράβαση των διατάξεων του ΓΚΠΔ. Οι λειτουργίες της εφαρμογής KARANTINAS ανεστάλησαν κατόπιν αιτήματος της Επιθεώρησης στις 26 Μαΐου 2020. Σύμφωνα με την ITSS, 3802 χρήστες είχαν διαβιβάσει τα προσωπικά τους δεδομένα μέσω της εφαρμογής από τις 4 Απριλίου έως τις 26 Μαΐου 2020.

16.

Με απόφαση της 24ης Φεβρουαρίου 2021, η Επιθεώρηση επέβαλε διοικητικά πρόστιμα στο NVSC και στην ITSS, υπό την ιδιότητά τους ως από κοινού υπευθύνων επεξεργασίας, για παράβαση των άρθρων 5, 13, 24, 32 και 35 του ΓΚΠΔ ( 4 ).

17.

Το NVSC προσέβαλε την ως άνω απόφαση ενώπιον του Vilniaus apygardos administracinis teismas (περιφερειακού διοικητικού πρωτοδικείου του Βίλνιους). Το εν λόγω δικαστήριο διερωτάται, κατ’ ουσίαν, αν η έννοια του «υπευθύνου επεξεργασίας», κατά την έννοια του άρθρου 4, παράγραφος 7, του ΓΚΠΔ, πρέπει να τυγχάνει ευρείας ερμηνείας ώστε να καταλαμβάνει κάθε φυσικό ή νομικό πρόσωπο ή φορέα όπως το NVSC το οποίο δεν είναι ο υπεύθυνος ανάπτυξης μιας εφαρμογής για συσκευές κινητής τηλεφωνίας, αλλά το οποίο, προκειμένου να αποκτήσει μια τέτοια εφαρμογή κινητής τηλεφωνίας μέσω δημόσιου διαγωνισμού, καθόρισε «τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα», ή αν η εν λόγω έννοια πρέπει να τυγχάνει στενότερης ερμηνείας, στην οποία να λαμβάνεται υπόψη η διαδικασία σύναψης δημόσιας σύμβασης και το αποτέλεσμά της.

18.

Ειδικότερα, διερωτάται αν ασκεί συναφώς επιρροή το γεγονός ότι η διαδικασία του διαγωνισμού εγκαταλείφθηκε εν τέλει και ότι το NVSC ουδέποτε απέκτησε την εφαρμογή KARANTINAS. Διερωτάται επίσης αν το γεγονός ότι το NVSC δεν συναίνεσε ούτε επέτρεψε επισήμως τη διάθεση της εν λόγω εφαρμογής για συσκευές κινητής τηλεφωνίας στο κοινό ασκεί επιρροή στην εν λόγω εκτίμηση.

19.

Περαιτέρω, το ως άνω δικαστήριο διερευνά τη σχέση μεταξύ του NVSC και της ITSS. Συναφώς, διερωτάται υπό ποιες περιστάσεις η εν λόγω οντότητα και η εν λόγω εταιρία θα έπρεπε να θεωρηθούν «από κοινού υπεύθυνοι επεξεργασίας», κατά την έννοια του άρθρου 4, παράγραφος 7, και του άρθρου 26, παράγραφος 1, του ΓΚΠΔ. Επικουρικώς, εάν το NVSC και η ITSS δεν θεωρηθούν «από κοινού υπεύθυνοι επεξεργασίας», αλλά «υπεύθυνος επεξεργασίας» και «εκτελών την επεξεργασία» ( 5 ) (αντιστοίχως) κατά την έννοια του ΓΚΠΔ, ερωτά πότε οι ενέργειες της ITSS θα μπορούσαν να θεμελιώσουν ευθύνη του NVSC. Στο πλαίσιο αυτό, διερωτάται αν το άρθρο 83 του ΓΚΠΔ έχει την έννοια ότι μπορεί να επιβληθεί διοικητικό πρόστιμο σε υπεύθυνο επεξεργασίας όπως το NVSC ο οποίος δεν έχει ο ίδιος παραβεί τον εν λόγω κανονισμό εκ προθέσεως ή εξ αμελείας.

20.

Κατόπιν των ανωτέρω, το Vilniaus apygardos administracinis teismas (περιφερειακό διοικητικό πρωτοδικείο του Βίλνιους) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

21.

Η αίτηση προδικαστικής αποφάσεως, με ημερομηνία 22 Οκτωβρίου 2021, πρωτοκολλήθηκε στη Γραμματεία του Δικαστηρίου στις 12 Νοεμβρίου 2021. Γραπτές παρατηρήσεις κατέθεσαν το NVSC, η Επιθεώρηση, η Λιθουανική Κυβέρνηση και η Ευρωπαϊκή Επιτροπή.

22.

Η Λιθουανική και η Ολλανδική Κυβέρνηση, καθώς και η Επιτροπή και το Συμβούλιο, εκπροσωπήθηκαν κατά την επ’ ακροατηρίου συζήτηση της 17ης Ιανουαρίου 2023.

23.

Κατά τη διάρκεια της πανδημίας COVID-19, οι εφαρμογές για συσκευές κινητής τηλεφωνίας που σχεδιάστηκαν για τον «εντοπισμό και την ιχνηλάτηση» των προσώπων που προσβλήθηκαν από τον ιό και/ή εκείνων που είχαν έρθει σε επαφή κάποιο πρόσωπο που προσβλήθηκε από τον ιό τέθηκαν στη διάθεση του κοινού προς τηλεφόρτωση σε πολλά κράτη μέλη. Οι εν λόγω εφαρμογές για συσκευές κινητής τηλεφωνίας αναπτύχθηκαν με σκοπό την αντιμετώπιση του επείγοντος χαρακτήρα της καταστάσεως, συχνά με τη συμμετοχή διαφόρων δημόσιων και ιδιωτικών φορέων (όπως υπουργείων και άλλων δημόσιων φορέων, καθώς και ιδιωτικών επιχειρήσεων). Οι χρήστες ήταν υποχρεωμένοι να αναφορτώνουν τα προσωπικά τους δεδομένα στις εφαρμογές για συσκευές κινητής τηλεφωνίας, ιδίως δε δεδομένα που αφορούσαν την υγεία τους ( 6 ).

24.

Η διαφορά της κύριας δίκης αφορά ακριβώς μια τέτοια εφαρμογή για συσκευές κινητής τηλεφωνίας, ήτοι την KARANTINAS, η οποία αναπτύχθηκε από την ITSS (ιδιωτική εταιρία), με πρωτοβουλία του NVSC (δημόσιας αρχής) κατόπιν αποφάσεως του Υπουργού Υγείας. Από τα στοιχεία της δικογραφίας αλλά και από τα προσκομισθέντα κατά την επ’ ακροατηρίου συζήτηση στοιχεία δεν προκύπτει σαφώς ποιοι άλλοι λιθουανικοί δημόσιοι φορείς είχαν, ενδεχομένως, συμμετάσχει στην ανάπτυξη της εν λόγω εφαρμογής ( 7 ). Αμφιβολίες επίσης υφίστανται όσον αφορά το αν το NVSC συναίνεσε να τεθεί η εφαρμογή KARANTINAS στη διάθεση του κοινού κατά την περίοδο κατά την οποία πραγματοποιήθηκε η επεξεργασία δεδομένων προσωπικού χαρακτήρα (Απρίλιος και Μάιος 2020). Εντούτοις, στα προδικαστικά ερωτήματα που υπέβαλε στο Δικαστήριο, το Vilniaus apygardos administracinis teismas (περιφερειακό διοικητικό πρωτοδικείο του Βίλνιους) έκρινε κρίσιμες τις ακόλουθες περιστάσεις.

25.

Στο πλαίσιο αυτό, τα προδικαστικά ερωτήματα που υποβλήθηκαν στο Δικαστήριο αφορούν την ερμηνεία διαφόρων διατάξεων του ΓΚΠΔ. Για τα τρία πρώτα προδικαστικά ερωτήματα καθώς και για το πέμπτο προδικαστικό ερώτημα απαιτείται η ερμηνεία της έννοιας του «υπευθύνου επεξεργασίας», κατά την έννοια του άρθρου 4, παράγραφος 7, του εν λόγω κανονισμού, καθώς και διευκρίνιση των προϋποθέσεων υπό τις οποίες δύο ή περισσότερες οντότητες μπορούν να θεωρηθούν ως «από κοινού υπεύθυνοι επεξεργασίας», δυνάμει της διατάξεως αυτής και του άρθρου 26, παράγραφος 1, του εν λόγω κανονισμού. Θα ξεκινήσω με την ανάλυση των εν λόγω προδικαστικών ερωτημάτων από κοινού (υπό Α) και θα συνεχίσω με την εξέταση του τέταρτου προδικαστικού ερωτήματος, το οποίο αφορά την έννοια της «επεξεργασίας», κατά την έννοια του άρθρου 4, παράγραφος 2, του ΓΚΠΔ, και της εφαρμογής της στο στάδιο πραγματοποίησης δοκιμών σε εφαρμογή για συσκευές κινητής τηλεφωνίας (υπό Β) ( 8 ). Εν συνεχεία, θα αναλύσω το ζήτημα που βρίσκεται στο επίκεντρο της υπό κρίση υποθέσεως, ήτοι το έκτο προδικαστικό ερώτημα, το οποίο έχει χαρακτήρα γενικότερου ενδιαφέροντος, δεδομένου ότι αφορά τις προϋποθέσεις υπό τις οποίες μπορούν να επιβληθούν διοικητικά πρόστιμα στους υπευθύνους επεξεργασίας, κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ (υπό Γ).

26.

Με τα τρία πρώτα προδικαστικά ερωτήματα, το αιτούν δικαστήριο διερωτάται, κατ’ ουσίαν, αν, λαμβανομένων υπόψη των περιστάσεων που εκτίθενται λεπτομερώς στο σημείο 24 των παρουσών προτάσεων, οντότητα όπως το NVSC πρέπει να θεωρηθεί «υπεύθυνος επεξεργασίας», κατά την έννοια του άρθρου 4, παράγραφος 7, του ΓΚΠΔ. Περαιτέρω, με το πέμπτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν, υπό τις εν λόγω περιστάσεις, δύο οντότητες όπως το NVSC και η ITSS πρέπει να θεωρηθούν ως «από κοινού υπεύθυνοι επεξεργασίας», σύμφωνα με την ως άνω διάταξη και με το άρθρο 26 παράγραφος 1, του εν λόγω κανονισμού, μολονότι δεν υφίσταται μεταξύ τους τυπική συμφωνία σχετικά με τους σκοπούς και τα μέσα της επεξεργασίας και/ή δεν φαίνεται να έχουν συντονίσει με άλλον τρόπο τις ενέργειές τους.

27.

Υπενθυμίζω ότι, κατά το άρθρο 4, παράγραφος 7, του ΓΚΠΔ, ως «υπεύθυνος επεξεργασίας» ορίζεται το φυσικό πρόσωπο ή η οντότητα που «μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα». Με άλλα λόγια, ο υπεύθυνος επεξεργασίας δεν είναι απαραίτητο να επεξεργάζεται ο ίδιος οποιαδήποτε δεδομένα προσωπικού χαρακτήρα, αλλά πρέπει να καθορίζει «το γιατί και το πώς» των οικείων πράξεων επεξεργασίας ( 9 ). Το Δικαστήριο έκρινε ότι, για να πληρούται το κριτήριο αυτό, ένα πρόσωπο ή μια οντότητα πρέπει πράγματι να «επηρεάζει […] την επεξεργασία δεδομένων προσωπικού χαρακτήρα» ( 10 ). Ωστόσο, δεν είναι απαραίτητο ο καθορισμός των στόχων και του τρόπου της επεξεργασίας να γίνεται με γραπτές κατευθυντήριες γραμμές ή εντολές εκ μέρους του υπευθύνου επεξεργασίας ( 11 ). Πράγματι, δυνάμει του άρθρου 4, παράγραφος 7, του ΓΚΠΔ απαιτείται η πραγματοποίηση ανάλυσης των πραγματικών περιστατικών και όχι του τύπου.

28.

Στο πλαίσιο αυτό, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) έχει επισημάνει ότι είναι επίσης δυνατόν να είναι κανείς υπεύθυνος επεξεργασίας ανεξάρτητα από την ανάθεση από τον νόμο ειδικής αρμοδιότητας ή εξουσίας ελέγχου των δεδομένων. Πράγματι, η ικανότητα καθορισμού των σκοπών και του τρόπου της επεξεργασίας εξαρτάται, πρωτίστως, από την ασκούμενη επιρροή, η οποία μπορεί να συναχθεί από τις πραγματικές περιστάσεις. Ως εκ τούτου, οντότητα η οποία είναι πράγματι σε θέση να καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας θα θεωρείται «υπεύθυνος επεξεργασίας», ανεξάρτητα από το αν έχει οριστεί επισήμως ως τέτοιος (από τον νόμο ή σε σύμβαση ή με άλλο τρόπο) ( 12 ).

29.

Κατόπιν των ως άνω διευκρινίσεων, επισημαίνω ότι πολλές από τις περιστάσεις που περιγράφει το αιτούν δικαστήριο στα τρία πρώτα προδικαστικά ερωτήματα είναι αμιγώς τυπικής φύσεως· επί παραδείγματι, το γεγονός ότι το NVSC δεν διαθέτει από νομικής απόψεως την κυριότητα της εφαρμογής KARANTINAS ή ότι η διαδικασία για την απόκτηση της εν λόγω εφαρμογής για συσκευές κινητής τηλεφωνίας δεν ολοκληρώθηκε ποτέ, ή ότι η NVSC δεν επέτρεψε επισήμως τη διάθεση της εφαρμογής στο ευρύ κοινό ούτε ενέκρινε την τελευταία εκδοχή της εφαρμογής. Κατά τη γνώμη μου, καμία από εν λόγω περιστάσεις δεν είναι ικανή, αφ’ εαυτής, να αναιρέσει τη διαπίστωση ότι το NVSC ενέργησε ως «υπεύθυνος επεξεργασίας», κατά την έννοια του άρθρου 4, παράγραφος 7, του ΓΚΠΔ, στο πλαίσιο της υποθέσεως της κύριας δίκης. Πράγματι, οι ως άνω περιστάσεις δεν αρκούν για την αντίκρουση του συμπεράσματος ότι το NVSC ήταν πράγματι σε θέση να καθορίσει τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που πραγματοποιήθηκε. Εξάλλου, κατ’ εμέ, το γεγονός ότι το NVSC μνημονευόταν ως υπεύθυνος επεξεργασίας στην πολιτική απορρήτου της έκδοσης της εφαρμογής KARANTINAS η οποία τέθηκε στη διάθεση του κοινού προς τηλεφόρτωση ή ότι στην εν λόγω έκδοση της εφαρμογής για συσκευές κινητής τηλεφωνίας υπήρχαν υπερσύνδεσμοι προς την εν λόγω οντότητα, ασκεί μεν επιρροή, αλλά δεν είναι καθοριστικής σημασίας όσον αφορά την επίδραση που πράγματι ασκείται από την ως άνω οντότητα.

30.

Αντιθέτως, τα αποδεικτικά στοιχεία που προσκομίστηκαν στο αιτούν δικαστήριο, από τα οποία προκύπτει ότι το NVSC αποφάσισε ποιο είδος προσωπικών δεδομένων έπρεπε να συλλέγεται από την εφαρμογή KARANTINAS και από ποια υποκείμενα των δεδομένων και/ή άλλες ουσιώδεις πτυχές της επεξεργασίας, κατά τη γνώμη μου, επαρκούν για να αποδειχθεί ότι η εν λόγω οντότητα καθόριζε τον «τρόπο» της επεξεργασίας. Επιπλέον, φρονώ ότι το γεγονός ότι η εφαρμογή KARANTINAS δημιουργήθηκε για την επίτευξη του σκοπού που έθεσε το NVSC, ήτοι για την αντιμετώπιση της πανδημίας COVID‑19, και ότι η λειτουργία της τροποποιούνταν ανά τακτά χρονικά διαστήματα από την ITSS ώστε να ανταποκρίνεται στις ανάγκες που καθορίζονταν από το NVSC, σύμφωνα με τις εντολές που παρέσχε η εν λόγω οντότητα, αρκεί για να συναχθεί το συμπέρασμα ότι η εν λόγω οντότητα προσδιόριζε τους «σκοπούς» της οικείας επεξεργασίας.

31.

Τούτου λεχθέντος, φρονώ ότι, προκειμένου να διαπιστωθεί αν οντότητα όπως το NVSC μπορεί να θεωρηθεί «υπεύθυνος επεξεργασίας» κατά την έννοια του άρθρου 4, παράγραφος 7, του ΓΚΠΔ, το αιτούν δικαστήριο πρέπει επίσης να εξακριβώσει αν, παρά την επιρροή που ασκήθηκε από το NVSC κατά το στάδιο της ανάπτυξης της εφαρμογής KARANTINAS, η απόφαση να τεθεί η εν λόγω εφαρμογή για συσκευές κινητής τηλεφωνίας στη διάθεση του κοινού και, ως εκ τούτου, να πραγματοποιηθεί η επεξεργασία των δεδομένων προσωπικού χαρακτήρα ελήφθη πράγματι με τη (ρητή ή σιωπηρή) συγκατάθεση της εν λόγω οντότητας (ανεξαρτήτως του γεγονότος ότι η εν λόγω συγκατάθεση δεν δόθηκε επισήμως ή τυπικά).

32.

Πράγματι, όπως προκύπτει σαφώς από τον ορισμό της έννοιας του «υπευθύνου επεξεργασίας» στο άρθρο 4, παράγραφος 7, του ΓΚΠΔ, η επιρροή που ασκεί ο υπεύθυνος επεξεργασίας πρέπει να αφορά την ίδια την επεξεργασία δεδομένων προσωπικού χαρακτήρα και όχι απλώς οποιοδήποτε προηγούμενο στάδιο. Ένα φυσικό ή νομικό πρόσωπο ή οντότητα δεν καθίσταται «υπεύθυνος επεξεργασίας» απλώς και μόνον επειδή κινεί την ανάπτυξη ή καθορίζει τις παραμέτρους μιας εφαρμογής για συσκευές κινητής τηλεφωνίας (ή άλλου εργαλείου συλλογής δεδομένων). Οι ενέργειές του πρέπει πράγματι να συνδέονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και, ως εκ τούτου, πρέπει να έχει συναινέσει ρητά ή σιωπηρά στη χρήση του οικείου εργαλείου για την εν λόγω επεξεργασία.

33.

Το Δικαστήριο επέμεινε στην εν λόγω απαίτηση με την απόφαση Fashion ID ( 13 ), με την οποία επισήμανε ρητώς ότι η ευθύνη του υπευθύνου επεξεργασίας περιορίζεται μόνο στην πράξη ή στη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες αυτός έχει πράγματι καθορίσει τους σκοπούς και τον τρόπο της επεξεργασίας ( 14 ). Ως εκ τούτου, ο προσδιορισμός του σκοπού και των μέσων της επεξεργασίας πρέπει να συνδέεται άμεσα με την πράξη ή τη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

34.

Κατά τη γνώμη μου, από τις ανωτέρω διαπιστώσεις προκύπτει ότι οντότητα, όπως το NVSC, η οποία εκκινεί την ανάπτυξη εφαρμογής για συσκευές κινητής τηλεφωνίας, μπορεί να θεωρηθεί ως «υπεύθυνος επεξεργασίας», κατά την έννοια του άρθρου 4, παράγραφος 7, του ΓΚΠΔ, μόνο στην περίπτωση που υφίστανται επαρκή πραγματικά, και όχι τυπικά, στοιχεία τα οποία παρέχουν στα εθνικά δικαστήρια τη δυνατότητα να συναγάγουν ότι η εν λόγω οντότητα άσκησε πραγματική επιρροή όσον αφορά τους «σκοπούς και τον τρόπο» της εν λόγω επεξεργασίας όσο και έδωσε πράγματι τη συγκατάθεσή της για τη θέση της εφαρμογής για συσκευές κινητής τηλεφωνίας στη διάθεση του κοινού και, κατά συνέπεια, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί το αιτούν δικαστήριο, φρονώ ότι το NVSC πληροί τις ως άνω προϋποθέσεις.

35.

Το πέμπτο προδικαστικό ερώτημα αφορά τις προϋποθέσεις που πρέπει να πληρούνται προκειμένου δύο (ή περισσότερες) οντότητες να θεωρούνται από κοινού υπεύθυνοι επεξεργασίας. Αντιλαμβάνομαι ότι το αιτούν δικαστήριο διερωτάται ως προς την ερμηνεία της εν λόγω έννοιας διότι υποψιάζεται ότι, εν προκειμένω, το NVSC και η ITSS θα μπορούσαν θα μπορούσαν να θεωρηθούν ως «από κοινού υπεύθυνοι επεξεργασίας» και, ως εκ τούτου, να είναι αλληλεγγύως υπεύθυνοι για τις προκληθείσες ζημίες ( 15 ) και/ή να τους επιβληθούν από κοινού πρόστιμα για τις παραβάσεις των κανόνων προστασίας των δεδομένων που διαπράχθηκαν όταν η εφαρμογή KARANTINAS τέθηκε στη διάθεση του κοινού προς τηλεφόρτωση. Σημειώνω, συναφώς, ότι, όπως επισήμανα στο σημείο 16 των παρουσών προτάσεων, η εν λόγω οντότητα και η εν λόγω εταιρία, πράγματι, κρίθηκαν αμφότερες υπεύθυνες και τους επιβλήθηκε πρόστιμο από την Επιθεώρηση κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ για τις παραβάσεις που διέπραξαν, υπό την ιδιότητά τους ως από κοινού υπευθύνων επεξεργασίας.

36.

Κατά το άρθρο 26, παράγραφος 1, του ΓΚΠΔ, υπάρχουν «από κοινού υπεύθυνοι επεξεργασίας» όταν δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας. Επομένως, έκαστος υπεύθυνος επεξεργασίας πρέπει να πληροί αυτοτελώς τα κριτήρια που διαλαμβάνονται στον ορισμό του «υπευθύνου επεξεργασίας» του άρθρου 4, παράγραφος 7, του εν λόγω κανονισμού ( 16 ). Επιπλέον, οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να συνδέονται με ορισμένη σχέση, δεδομένου ότι η επιρροή τους στην επεξεργασία πρέπει να ασκείται από κοινού.

37.

Το Δικαστήριο επισήμανε ότι η ύπαρξη από κοινού ελέγχου δεν συνεπάγεται κατ’ ανάγκη ισοδύναμη ευθύνη ή συμμετοχή των διάφορων εμπλεκόμενων προσώπων ή οντοτήτων. Αντιθέτως, οι από κοινού υπεύθυνοι επεξεργασίας ενδέχεται να εμπλέκονται σε διαφορετικά στάδια της επεξεργασίας, με αποτέλεσμα το επίπεδο ευθύνης εκάστου εξ αυτών να πρέπει να εκτιμάται λαμβανομένων υπόψη όλων των κρίσιμων στην εκάστοτε περίπτωση περιστάσεων ( 17 ). Επιπλέον, η από κοινού ευθύνη διαφόρων φορέων για μία και την αυτή επεξεργασία δεν απαιτεί να έχει έκαστος των εν λόγω φορέων πρόσβαση στα σχετικά δεδομένα προσωπικού χαρακτήρα ( 18 ). Ωστόσο, αυτό που έχει σημασία είναι οι φορείς να συμμετέχουν από κοινού στον καθορισμό των «σκοπών και των μέσων» της επεξεργασίας.

38.

Συναφώς, επισημαίνω ότι, όπως διαλαμβάνεται στις κατευθυντήριες γραμμές 07/2020, η εν λόγω από κοινού συμμετοχή μπορεί να υφίσταται υπό διάφορες μορφές. Μπορεί να προκύπτει από κοινή απόφαση δύο ή περισσότερων οντοτήτων ή απλώς από συγκλίνουσες αποφάσεις των εν λόγω οντοτήτων. Στη δεύτερη περίπτωση, σημασία έχει μόνον οι αποφάσεις να αλληλοσυμπληρώνονται και να είναι αναγκαίες για την πραγματοποίηση της επεξεργασίας κατά τρόπον ώστε να έχουν σημαντικό αντίκτυπο στον καθορισμό των σκοπών και των μέσων της επεξεργασίας –γεγονός που σημαίνει, κατ’ ουσίαν, ότι η επεξεργασία δεν θα ήταν δυνατή χωρίς τη συμμετοχή αμφοτέρων των μερών ( 19 ).

39.

Στο πλαίσιο αυτό, το αιτούν δικαστήριο διερωτάται αν το γεγονός ότι μεταξύ δύο υπευθύνων επεξεργασίας (εν προκειμένω, του NVSC και της ITSS) δεν υφίσταται τυπική συμφωνία επί των σκοπών και των μέσων της επεξεργασίας και/ή φαίνεται να έχουν συντονίσει τις ενέργειές τους με διαφορετικό τρόπο εμποδίζει τον χαρακτηρισμό τους ως «από κοινού υπευθύνων επεξεργασίας».

40.

Αντιλαμβάνομαι ότι οι αμφιβολίες του αιτούντος δικαστηρίου συναφώς απορρέουν από το γεγονός ότι, δυνάμει του άρθρου 26, παράγραφος 1, του ΓΚΠΔ, οι από κοινού υπεύθυνοι επεξεργασίας πρέπει, με διαφανή τρόπο, να καθορίζουν τις αντίστοιχες ευθύνες τους όσον αφορά τη συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον εν λόγω κανονισμό, μέσω συμφωνίας μεταξύ τους. Επιπλέον, η αιτιολογική σκέψη 79 του εν λόγω κανονισμού αναφέρει ότι απαιτείται «σαφής κατανομή των αρμοδιοτήτων», μεταξύ άλλων όταν ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας από κοινού με άλλα πρόσωπα. Ωστόσο, κατά τη γνώμη μου, οι εν λόγω υποχρεώσεις και απαιτήσεις ισχύουν για τους από κοινού υπευθύνους επεξεργασίας μόνον εφόσον μπορούν να θεωρηθούν ως από κοινού υπεύθυνοι επεξεργασίας. Δεν συγκαταλέγονται στα κριτήρια που πρέπει να πληρούνται προκειμένου να μπορούν να χαρακτηριστούν ως τέτοιοι.

41.

Όπως επισήμανα στο σημείο 36 των παρουσών προτάσεων, η από κοινού ευθύνη εξαρτάται από τη συνδρομή δύο μόνον αντικειμενικών προϋποθέσεων. Πρώτον, έκαστος από κοινού υπεύθυνος επεξεργασίας πρέπει να πληροί τα κριτήρια που διαλαμβάνονται στον ορισμό του «υπευθύνου επεξεργασίας» του άρθρου 4, παράγραφος 7, του ΓΚΠΔ. Η δικογραφία δεν περιέχει επαρκή στοιχεία από τα οποία να προκύπτει αν, στην περίπτωση της υπόθεσης της κύριας δίκης, η ITSS πρέπει να θεωρηθεί ως «υπεύθυνος της επεξεργασίας», κατά την έννοια της εν λόγω διατάξεως. Εντούτοις, λαμβανομένων υπόψη των διαπιστώσεων που διατύπωσα στην προηγούμενη ενότητα και υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί το αιτούν δικαστήριο, φρονώ ότι, τουλάχιστον, το NVSC –αν όχι τόσο η εν λόγω οντότητα όσο και η ITSS– πληροί τις προϋποθέσεις για να θεωρηθεί «υπεύθυνος επεξεργασίας», κατά την έννοια της ως άνω διατάξεως. Δεύτερον, η επιρροή που ασκούν οι υπεύθυνοι επεξεργασίας στην επεξεργασία πρέπει να ασκείται από κοινού (πράγμα που σημαίνει ότι πρέπει να ασκείται σύμφωνα με τα νομικά κριτήρια και τη νομολογία που υπενθύμισα στα σημεία 37 και 38 των παρουσών προτάσεων). Συναφώς, εξήγησα ότι η από κοινού συμμετοχή στην επεξεργασία μπορεί να υφίσταται υπό διάφορες μορφές και δεν πρέπει καν να απορρέει από κοινή απόφαση των εμπλεκομένων μερών. Ως εκ τούτου, η ουσιαστική και λειτουργική προσέγγιση που απαιτείται για να καθοριστεί αν ένα πρόσωπο ή μια οντότητα πρέπει να θεωρηθεί «υπεύθυνος επεξεργασίας», κατά την έννοια του άρθρου 4, παράγραφος 7, του ΓΚΠΔ, τυγχάνει, κατά τη γνώμη μου, εφαρμογής και στην από κοινού ευθύνη ( 20 ).

42.

Λαμβανομένων υπόψη των ως άνω στοιχείων, φρονώ, πρώτον, ότι η έλλειψη οποιασδήποτε συμβάσεως ή συμφωνίας ή ακόμη και κοινής αποφάσεως μεταξύ δύο ή περισσοτέρων υπευθύνων επεξεργασίας, όπως το NVSC και η ITSS, δεν μπορεί, αφ’ εαυτής, να αποκλείσει τη διαπίστωση ότι πρόκειται για «από κοινού υπευθύνους επεξεργασίας» κατά την έννοια του άρθρου 4, παράγραφος 7, του ΓΚΠΔ σε συνδυασμό με το άρθρο 26, παράγραφος 1, του ΓΚΠΔ. Συναφώς, προσθέτω ότι το ΕΣΠΔ έχει επισημάνει ότι, μολονότι οι υφιστάμενες συμφωνίες ενδέχεται να είναι χρήσιμες για την εκτίμηση της από κοινού ευθύνης, θα πρέπει πάντοτε να επαληθεύονται υπό το πρίσμα των πραγματικών περιστάσεων της σχέσεως που υφίσταται μεταξύ των μερών ( 21 ).

43.

Δεύτερον, φρονώ επίσης ότι το γεγονός και μόνον ότι το NVSC και η ITSS δεν φαίνεται, πέραν του γεγονότος ότι δεν υφίσταται μεταξύ τους σύμβαση, συμφωνία ή κοινή απόφαση, να έχουν συντονίσει τις ενέργειές τους ή να έχουν συνεργαστεί με άλλον τρόπο δεν σημαίνει ότι δεν μπορούν να θεωρηθούν ως «από κοινού υπεύθυνοι επεξεργασίας». Ακόμη και αν υφίσταται τέτοιος συντονισμός ή συνεργασία, αυτό είναι αδιάφορο για το ζήτημα αν η σχέση μεταξύ των δύο αυτών οντοτήτων αποτελεί ή όχι σχέση κοινής ευθύνης. Πράγματι, μπορεί εύκολα να υποτεθεί ότι μπορεί να υπάρξει συνεργασία ή συντονισμός μεταξύ δύο ή περισσοτέρων οντοτήτων, χωρίς αυτές να είναι από κοινού υπεύθυνοι επεξεργασίας. Επί παραδείγματι, δύο χωριστοί υπεύθυνοι επεξεργασίας θα μπορούσαν να συντονίσουν τις δράσεις τους ή να συνεργαστούν μεταξύ τους με σκοπό τη διαβίβαση δεδομένων προσωπικού χαρακτήρα μεταξύ τους. Ωστόσο, τούτο δεν θα τις καθιστούσε «από κοινού υπευθύνους επεξεργασίας» κατά την έννοια του άρθρου 4, παράγραφος 7, και του άρθρου 26, παράγραφος 1, του ΓΚΠΔ ( 22 ). Εκείνο που έχει σημασία, όπως διευκρίνισα στο σημείο 38 των παρουσών προτάσεων, είναι ότι η επεξεργασία δεν θα ήταν δυνατή χωρίς την παρουσία αμφοτέρων των μερών διότι αμφότερα έχουν σημαντική επίδραση στον καθορισμό των σκοπών και των μέσων της εν λόγω επεξεργασίας.

44.

Λαμβανομένων υπόψη των προεκτεθέντων, φρονώ ότι, αφενός, υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί το αιτούν δικαστήριο, οντότητα όπως το NVSC πληροί τις προϋποθέσεις που διαλαμβάνονται στο άρθρο 4, παράγραφος 7, του ΓΚΠΔ για να θεωρηθεί «υπεύθυνος επεξεργασίας». Αφετέρου, το κατά πόσον μπορούν το NVSC και η ITSS να θεωρηθούν «από κοινού υπεύθυνοι επεξεργασίας», σύμφωνα με τα κριτήρια που εξέθεσα στην προηγούμενη ενότητα, ή να χαρακτηρισθούν ως «υπεύθυνος επεξεργασίας» και «εκτελών την επεξεργασία» αντιστοίχως, εξαρτάται από τη φύση της σχέσης τους, γεγονός το οποίο εναπόκειται στο αιτούν δικαστήριο να εκτιμήσει.

45.

Συναφώς, προσθέτω ότι η φύση της σχέσεως του NVSC και της ITSS (ήτοι, το κατά πόσον πρόκειται για «από κοινού υπευθύνους επεξεργασίας» ή για «υπεύθυνο επεξεργασίας» και «εκτελούντα την επεξεργασία», αντιστοίχως) ασκεί επιρροή για το έκτο προδικαστικό ερώτημα. Επομένως, θα επανέλθω στις διαπιστώσεις στις οποίες κατέληξα σχετικά με το πέμπτο προδικαστικό ερώτημα, όταν θα εξετάσω τα ζητήματα που εγείρονται με το έκτο προδικαστικό ερώτημα.

46.

Με το τέταρτο προδικαστικό ερώτημα, το αιτούν δικαστήριο διερωτάται, κατ’ ουσίαν, αν ο ορισμός της «επεξεργασίας» που προβλέπεται στο άρθρο 4, παράγραφος 2, του ΓΚΠΔ καταλαμβάνει την περίπτωση κατά την οποία δεδομένα προσωπικού χαρακτήρα χρησιμοποιούνται κατά το στάδιο πραγματοποίησης δοκιμών σε εφαρμογή για συσκευές κινητής τηλεφωνίας ( 23 ). Από την αίτηση προδικαστικής αποφάσεως συνάγεται ότι η εφαρμογή KARANTINAS πριν να τεθεί στη διάθεσή του κοινού προς τηλεφόρτωση διήλθε στάδιο πραγματοποίησης δοκιμών. Επομένως, εξ όσων αντιλαμβάνομαι, το τέταρτο προδικαστικό ερώτημα αφορά μία κατάσταση διαφορετική από αυτή που βρίσκεται στην καρδιά των υπόλοιπων προδικαστικών ερωτημάτων που υποβλήθηκαν στο Δικαστήριο, τα οποία στο σύνολό τους αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μετά τη διεξαγωγή του σταδίου πραγματοποίησης δοκιμών, όταν η εφαρμογή KARANTINAS τέθηκε στη διάθεση του κοινού. Ειδικότερα, το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν η χρήση δεδομένων προσωπικού χαρακτήρα κατά το εν λόγω στάδιο πραγματοποίησης δοκιμών μπορεί να χαρακτηριστεί ως «επεξεργασία» κατά την έννοια του άρθρου 4, παράγραφος 2, του ΓΚΠΔ και, ως εκ τούτου, να συνεπάγεται ενδεχόμενη ευθύνη των εμπλεκομένων υπευθύνων επεξεργασίας και/ή εκτελούντων την επεξεργασία.

47.

Το άρθρο 4, παράγραφος 2, του ΓΚΠΔ ορίζει την «επεξεργασία» ως «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα […]» ( 24 ).

48.

Από την εν λόγω διατύπωση αντιλαμβάνομαι (ιδίως από τη χρήση του όρου «κάθε» και των γενικών όρων όπως «πράξη» ή «σειρά πράξεων») ότι η διάταξη αυτή πρέπει να γίνεται αντιληπτή ως έχουσα ευρεία έννοια, ώστε να καταλαμβάνει όσο το δυνατόν περισσότερες περιπτώσεις στις οποίες χρησιμοποιούνται δεδομένα προσωπικού χαρακτήρα. Ο μη εξαντλητικός κατάλογος τέτοιων περιπτώσεων, ο οποίος περιλαμβάνεται στην εν λόγω διάταξη, επιβεβαιώνει αυτή την ερμηνεία, λαμβανομένης υπόψη της ποικιλίας των πράξεων που διαλαμβάνονται σε αυτήν ( 25 ).

49.

Περαιτέρω, ενώ από την προηγούμενη ενότητα προκύπτει ότι ο ορισμός του «υπευθύνου επεξεργασίας», κατά την έννοια του άρθρου 4, παράγραφος 7, του εν λόγω κανονισμού, συνδέεται στενά με τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (τους λόγους «για τους οποίους» συλλέγονται τα δεδομένα προσωπικού χαρακτήρα), τούτο δεν ισχύει για τον ορισμό του άρθρου 4, παράγραφος 2, του εν λόγω κανονισμού. Ως εκ τούτου, οι λόγοι για τους οποίους πραγματοποιείται μια πράξη ή μια σειρά πράξεων δεν ασκούν, κατ’ αρχήν, επιρροή στο ζήτημα αν αυτές πρέπει να χαρακτηριστούν ως «επεξεργασία», κατά την έννοια της εν λόγω διατάξεως. Επομένως, κατά τη γνώμη μου, το ζήτημα αν συλλέγονται δεδομένα προσωπικού χαρακτήρα με σκοπό την πραγματοποίηση δοκιμών των συστημάτων πληροφορικής που είναι ενσωματωμένα σε εφαρμογή για συσκευές κινητής τηλεφωνίας ή για άλλον σκοπό δεν ασκεί επιρροή στο ζήτημα αν η επίμαχη πράξη μπορεί να χαρακτηριστεί ως «επεξεργασία».

50.

Συναφώς, επισημαίνω περαιτέρω ότι η «χρήση» δεδομένων προσωπικού χαρακτήρα (χωρίς άλλη αναφορά και, ως εκ τούτου, ανεξαρτήτως του σκοπού της χρήσεως) περιλαμβάνεται στις πράξεις ή στις σειρές πράξεων που συνιστούν «επεξεργασία» ( 26 ). Επιπλέον, το άρθρο 4, παράγραφος 2, του ΓΚΠΔ δεν προβλέπει καμία ρητή εξαίρεση, παρέκκλιση ή αποκλεισμό για πράξεις που αφορούν τη χρήση δεδομένων προσωπικού χαρακτήρα για την πραγματοποίηση δοκιμών συστημάτων πληροφορικής. Επομένως, τίποτα δεν εμποδίζει να θεωρηθεί η χρήση δεδομένων προσωπικού χαρακτήρα για τη διενέργεια των εν λόγω δοκιμών ως «επεξεργασία» κατά την έννοια της διατάξεως αυτής· κάθε άλλο, μάλιστα.

51.

Λαμβανομένων υπόψη των ως άνω στοιχείων, εκτιμώ ότι ο ορισμός της «επεξεργασίας» που διαλαμβάνεται στο άρθρο 4, παράγραφος 2, του ΓΚΠΔ καταλαμβάνει την περίπτωση στην οποία τα δεδομένα προσωπικού χαρακτήρα χρησιμοποιούνται κατά το στάδιο πραγματοποίησης δοκιμών σε εφαρμογή για συσκευές κινητής τηλεφωνίας.

52.

Το ως άνω συμπέρασμά μου δεν αναιρείται από το γεγονός και μόνον ότι τα δεδομένα προσωπικού χαρακτήρα που παρέχονται για την πραγματοποίηση δοκιμών των συστημάτων πληροφορικής που είναι ενσωματωμένα σε εφαρμογή για συσκευές κινητής τηλεφωνίας έχουν ενδεχομένως υποβληθεί σε ψευδωνυμοποίηση ( 27 ). Η μόνη περίσταση υπό την οποία ο ΓΚΠΔ δεν τυγχάνει εφαρμογής είναι αν οι πληροφορίες που εισάγονται στην εφαρμογή για συσκευές κινητής τηλεφωνίας συνίστανται μόνο σε ανώνυμες πληροφορίες οι οποίες «δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα» ή σε δεδομένα προσωπικού χαρακτήρα που έχουν «καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί». Επισημαίνω, ωστόσο, ότι, στην υπόθεση της κύριας δίκης, τα δεδομένα που χρησιμοποιήθηκαν για το στάδιο πραγματοποίησης δοκιμών δεν φαίνεται, βάσει των πληροφοριών προκύπτουν από τη δικογραφία, να συνίστανται σε τέτοια ανωνυμοποιημένα δεδομένα ( 28 ).

53.

Λαμβανομένων υπόψη των προεκτεθέντων, φρονώ ότι ο ορισμός της «επεξεργασίας» που διαλαμβάνεται στο άρθρο 4, παράγραφος 2, του ΓΚΠΔ καταλαμβάνει την περίπτωση κατά την οποία δεδομένα προσωπικού χαρακτήρα χρησιμοποιούνται κατά το στάδιο πραγματοποίησης δοκιμών σε εφαρμογή για συσκευές κινητής τηλεφωνίας, εκτός αν τα δεδομένα αυτά έχουν καταστεί ανώνυμα κατά τρόπο ώστε το υποκείμενο των δεδομένων να μην είναι πλέον ταυτοποιήσιμο. Το ζήτημα αν συλλέγονται δεδομένα προσωπικού χαρακτήρα με σκοπό την πραγματοποίηση δοκιμών των συστημάτων πληροφορικής που είναι ενσωματωμένα σε εφαρμογή για συσκευές κινητής τηλεφωνίας ή για άλλο σκοπό δεν επηρεάζει το ζήτημα αν η επίμαχη πράξη μπορεί να χαρακτηριστεί ως «επεξεργασία» ( 29 ).

54.

Κατόπιν των ως άνω διευκρινίσεων, θα εξετάσω τώρα το βασικό ζήτημα της υπό κρίση υποθέσεως, το οποίο αφορά τις προϋποθέσεις υπό τις οποίες μπορεί να επιβληθεί διοικητικό πρόστιμο σε υπεύθυνο επεξεργασίας ή σε εκτελούντα την επεξεργασία, κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ.

55.

Πριν από την έκδοση του ΓΚΠΔ, οι κυρώσεις για παραβάσεις των κανόνων προστασίας των δεδομένων επαφίεντο σε μεγάλο βαθμό στη διακριτική ευχέρεια των κρατών μελών, δυνάμει της διαδικαστικής και διορθωτικής αυτονομίας τους ( 30 ). Τα διοικητικά πρόστιμα, τα οποία εισήχθησαν με το άρθρο 83 του εν λόγω κανονισμού, συνιστούν, ως εκ τούτου, μια σχετικά νέα «εξέλιξη» του δικαίου της Ένωσης για την προστασία των δεδομένων. Η ομάδα εργασίας του άρθρου 29 τα περιέγραψε ως «κεντρικό στοιχείο του νέου συστήματος επιβολής» ( 31 ). Μολονότι η εν λόγω διάταξη δεν έχει ακόμη τύχει ερμηνείας από το Δικαστήριο, εντούτοις έχει ήδη εφαρμοστεί από τις εποπτικές αρχές, ενίοτε για την επιβολή βαρέων προστίμων στους υπευθύνους επεξεργασίας ή στους εκτελούντες την επεξεργασία ( 32 ).

56.

Το άρθρο 83 του ΓΚΠΔ εισάγει σύστημα κυρώσεων δύο επιπέδων, ανάλογα με το συγκεκριμένο είδος της διάταξης που παραβιάσθηκε. Ενώ το πρώτο επίπεδο, το οποίο προβλέπεται στο άρθρο 83, παράγραφος 4, του εν λόγω κανονισμού, εφαρμόζεται σε περιπτώσεις στις οποίες ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παραβαίνει τις γενικές υποχρεώσεις του, καθώς και ορισμένες ειδικές υποχρεώσεις, το δεύτερο επίπεδο περιορίζεται, όπως ορίζει το άρθρο 83, παράγραφος 5, του ΓΚΠΔ, σε σοβαρότερες παραβάσεις, όπως παραβιάσεις, μεταξύ άλλων, των βασικών αρχών για την επεξεργασία, των δικαιωμάτων των υποκειμένων των δεδομένων και των κανόνων σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.

57.

Για αμφότερα τα επίπεδα, οι αρμόδιες εθνικές αρχές πρέπει, αφού διαπιστώσουν παράβαση συγκεκριμένης διάταξης του ΓΚΠΔ, να διενεργήσουν δύο αξιολογήσεις. Πρώτον, πρέπει να αποφασίσουν αν πρέπει να επιβληθεί πρόστιμο και, δεύτερον, σε περίπτωση που αποφασίσουν ότι πρέπει να επιβληθεί, πρέπει να καθορίσουν το ποσό του εν λόγω προστίμου. Οι εν λόγω εκτιμήσεις πρέπει να πραγματοποιούνται σε κάθε μεμονωμένη περίπτωση, υπό το πρίσμα διαφόρων παραγόντων που διαλαμβάνονται στο άρθρο 83, παράγραφος 2, του ΓΚΠΔ. Στους εν λόγω παράγοντες συγκαταλέγεται «ο δόλος ή η αμέλεια που προκάλεσε την παράβαση» (άρθρο 83, παράγραφος 2, στοιχείο βʹ, του κανονισμού).

58.

Με το έκτο προδικαστικό ερώτημά του, το αιτούν δικαστήριο διερωτάται, κατ’ ουσίαν, αν μπορεί να επιβληθεί διοικητικό πρόστιμο σε υπεύθυνο επεξεργασίας όταν αυτός δεν ενήργησε εκ προθέσεως ή εξ αμελείας κατά την παράβαση των κανόνων περί προστασίας των δεδομένων και όταν η παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν πραγματοποιήθηκε από τον ίδιο τον υπεύθυνο επεξεργασίας, αλλά από εκτελούντα την επεξεργασία. Επανερχόμενος στις διαπιστώσεις στις οποίες κατέληξα ανωτέρω σχετικά με το πέμπτο προδικαστικό ερώτημα, φρονώ ότι το έκτο προδικαστικό ερώτημα υποβάλλεται για την περίπτωση κατά την οποία, στην υπόθεση της κύριας δίκης, το NVSC και η ITSS δεν θα μπορούσαν να θεωρηθούν «από κοινού υπεύθυνοι επεξεργασίας», κατά την έννοια του άρθρου 4, παράγραφος 7, του ΓΚΠΔ, σε συνδυασμό με το άρθρο 26, παράγραφος 1, του εν λόγω κανονισμού και θα έπρεπε να θεωρηθούν ως «υπεύθυνος επεξεργασίας» και «εκτελών την επεξεργασία», αντιστοίχως. Στο συγκεκριμένο αυτό πλαίσιο, το αιτούν δικαστήριο ζητεί να διευκρινιστούν οι προϋποθέσεις υπό τις οποίες μπορεί να επιβληθεί πρόστιμο στο NVSC, κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ.

59.

Τούτου λεχθέντος, επισημαίνω ότι το έκτο προδικαστικό ερώτημα μνημονεύει μόνον το άρθρο 83, παράγραφος 1, του ΓΚΠΔ ως την κρίσιμη διάταξη. Εντούτοις, κατά την άποψή μου, τα ζητήματα που εγείρει το εν λόγω προδικαστικό ερώτημα απαιτούν συνολική εξέταση του άρθρου 83 του εν λόγω κανονισμού και, ειδικότερα, όπως διευκρίνισα στο σημείο 57 των παρουσών προτάσεων, να ληφθεί υπόψη το άρθρο 83, παράγραφος 2, στοιχείο βʹ, του ως άνω κανονισμού, δεδομένου ότι η διάταξη αυτή αναφέρεται στον «δόλο ή αμέλεια που προκάλεσε την παράβαση». Ως εκ τούτου, θα εξετάσω το έκτο προδικαστικό ερώτημα προκειμένου να διερευνήσω την ερμηνεία του άρθρου 83 του ΓΚΠΔ συνολικά και όχι μόνον ως του άρθρου 83, παράγραφος 1, του εν λόγω κανονισμού.

60.

Κατά τη γνώμη μου, το εν λόγω ερώτημα περιλαμβάνει δύο σκέλη. Αφενός, ζητεί από το Δικαστήριο να κρίνει αν το άρθρο 83 του ΓΚΠΔ επιτρέπει εν γένει την επιβολή διοικητικών προστίμων στους υπευθύνους επεξεργασίας ή στους εκτελούντες την επεξεργασία ελλείψει οποιουδήποτε mens rea (υποκειμενικού στοιχείου–υπαιτιότητας). Κατ’ ουσίαν, το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν μπορούσε να επιβληθεί πρόστιμο στο NVSC για τον λόγο και μόνον ότι παρέβη τις υποχρεώσεις που υπείχε ως υπεύθυνος επεξεργασίας (αντικειμενική ευθύνη), ή αν απαιτείται κάποιο στοιχείο υπαιτιότητας στη διάπραξη της ή των οικείων παραβάσεων. Αφετέρου, ζητεί διευκρινίσεις ως προς το αν το γεγονός ότι η παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν πραγματοποιήθηκε από τον ίδιο τον υπεύθυνο επεξεργασίας αλλά από εκτελούντα την επεξεργασία επηρεάζει καθ’ οιονδήποτε τρόπο τη δυνατότητα των εποπτικών αρχών να επιβάλουν πρόστιμο στον υπεύθυνο επεξεργασίας.

61.

Θα εξετάσω καθεμία από τις δύο αυτές πτυχές διαδοχικά.

62.

Το άρθρο 83 του ΓΚΠΔ απαιτεί κάθε διοικητικό πρόστιμο που επιβάλλεται σε περίπτωση παράβασης των κανόνων προστασίας των δεδομένων να είναι «αποτελεσματικό, αναλογικό και αποτρεπτικό». Τούτο προκύπτει από την παράγραφο 1 της εν λόγω διατάξεως. Εντούτοις, στην εν λόγω παράγραφο δεν διευκρινίζεται αν το εν λόγω πρόστιμο μπορεί να επιβληθεί μόνον εφόσον διαπιστώνεται και υπαιτιότητα, ήτοι αν η υπαιτιότητα αποτελεί προϋπόθεση για την επιβολή διοικητικού προστίμου.

63.

Αντιθέτως, η παράγραφος 2 της ως άνω διατάξεως συγκαταλέγει τον «δόλο ή [την] αμέλεια που προκάλεσε την παράβαση» στα στοιχεία ( 33 ) τα οποία οι εποπτικές αρχές οφείλουν να λαμβάνουν «δεόντως υπόψη» σε κάθε μεμονωμένη περίπτωση. Κατά το άρθρο 83, παράγραφος 2, στοιχείο ιαʹ, του εν λόγω κανονισμού, τα στοιχεία αυτά πρέπει να νοούνται ως «επιβαρυντικ[ά] ή ελαφρυντικ[ά] [στοιχεία]», η δε αναφορά τους δεν είναι εξαντλητική.

64.

Στο πλαίσιο αυτό, φρονώ ότι το άρθρο 83 του ΓΚΠΔ είναι δυνατόν να γίνει αντιληπτό υπό δύο τρόπους.

65.

Αφενός, θα μπορούσε θεωρηθεί ότι, μολονότι η απόφαση επιβολής προστίμου και το ύψος του πρέπει να καθορίζεται αφού ληφθεί δεόντως υπόψη ο βαθμός της υπαιτιότητας (έτσι ώστε, επί παραδείγματι, να πρέπει, κατ’ αρχήν, να επιβάλλεται υψηλότερο πρόστιμο εάν η παράβαση ήταν αποτέλεσμα εσκεμμένης συμπεριφοράς ενώ, αντιθέτως, η αμελής συμπεριφορά να επισύρει χαμηλότερο πρόστιμο), τίποτα δεν εμποδίζει την επιβολή προστίμου και χωρίς τη συνδρομή οποιασδήποτε υπαιτιότητας, εφόσον ο εκτελών την επεξεργασία ή ο υπεύθυνος επεξεργασίας των δεδομένων μπορεί να θεωρηθεί υπεύθυνος για την παράβαση. Η θέση αυτή επιρρωννύεται από μια ερμηνεία του άρθρου 83, παράγραφος 2, στοιχεία βʹ και ιαʹ, υπό την έννοια ότι η αναφορά διαφόρων ειδών υπαιτιότητας (με δόλο ή με αμέλεια) ως «επιβαρυντικών ή ελαφρυντικών στοιχείων» θα μπορούσε να σημαίνει ότι η υπαιτιότητα, γενικά, δεν αποτελεί προϋπόθεση για την επιβολή προστίμου.

66.

Αφετέρου, θα μπορούσε επίσης να υποστηριχθεί, όπως υποστηρίζει η Επιτροπή εν προκειμένω, ότι για να καταστεί δυνατή η επιβολή προστίμου πρέπει να διαπιστώνεται, κατ’ ελάχιστον, η αμέλεια του προσώπου ή της οντότητας που διέπραξε την παράβαση. Η εν λόγω προσέγγιση στηρίζεται σε μια διαφορετική, πιο προσεκτική ερμηνεία του άρθρου 83, παράγραφος 2, στοιχεία βʹ και ιαʹ, του ΓΚΠΔ, ήτοι ότι οι διατάξεις αυτές επιβάλλουν μεν στις εποπτικές αρχές την υποχρέωση να πραγματοποιούν διάκριση μεταξύ ενός ελαφρυντικού στοιχείου (της αμέλειας) και ενός επιβαρυντικού στοιχείου (του δόλου), αλλά δεν υποδηλώνουν ότι θα μπορούσε να επιβληθεί πρόστιμο σε περίπτωση παντελούς απουσίας υπαιτιότητας.

67.

Η Επιτροπή πρόκρινε ρητώς την ως άνω ερμηνεία στην αρχική της πρόταση η οποία οδήγησε στη θέσπιση του ΓΚΠΔ ( 34 ), με την οποία πρότεινε να οργανωθεί το σύστημα των προστίμων ως σύστημα τριών επιπέδων. Για έκαστο επίπεδο, η Επιτροπή πρότεινε να μπορούν να επιβληθούν πρόστιμα μόνον σε «οποιονδήποτε που από δόλο ή από αμέλεια» ( 35 ) διέπραξε μία ή περισσότερες από τις προβαλλόμενες παραβάσεις. Ως εκ τούτου, η υπαιτιότητα υποδείχθηκε σαφώς από την Επιτροπή ως προϋπόθεση για την επιβολή τέτοιου προστίμου ( 36 ).

68.

Μολονότι αμφότερες οι προσεγγίσεις μπορούν, κατά τη γνώμη μου, να υποστηριχθούν βάσει γραμματικής ερμηνείας του άρθρου 83, παράγραφος 2, του ΓΚΠΔ, καθώς καθεμία από αυτές αντιστοιχεί στην αντίληψη του «δόλου ή της αμέλειας που προκάλεσε την παράβαση» ως «επιβαρυντικό» ή «ελαφρυντικό» στοιχείο, φρονώ ότι μόνον η δεύτερη προσέγγιση αντανακλά πραγματικά την πρόθεση του νομοθέτη της Ένωσης. Πολλοί είναι οι λόγοι που με οδηγούν σε αυτό το συμπέρασμα.

69.

Πρώτον, επισημαίνω ότι πολλά από τα στοιχεία που διαλαμβάνονται στο άρθρο 83, παράγραφος 2, του ΓΚΠΔ περιέχουν συγκεκριμένη διατύπωση από την οποία μπορεί να συναχθεί ότι τα εν λόγω στοιχεία δεν μπορούν να εφαρμόζονται σε όλες τις περιπτώσεις, αλλά μόνο σε κάποιες από αυτές. Ειδικότερα, τα στοιχεία γʹ, εʹ και ιαʹ, του άρθρου 83, παράγραφος 2, ξεκινούν όλα με κάποια από τις συνώνυμες λέξεις «οποιεσδήποτε», «τυχόν» και «κάθε» («οποιεσδήποτε ενέργειες στις οποίες προέβη ο εκτελών την επεξεργασία ή ο υπεύθυνος επεξεργασίας για να μετριάσει τη ζημία […]»· «τυχόν σχετικές προηγούμενες παραβάσεις […]»· «κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης […]»), γεγονός που υποδηλώνει ότι, μολονότι οι εποπτικές αρχές πρέπει πάντοτε να εξετάζουν κατά πόσον υφίστανται οποιεσδήποτε ενέργειες για να μετριαστεί η ζημία, τυχόν προηγούμενες παραβάσεις ή κάθε άλλο σχετικό επιβαρυντικό ή ελαφρυντικό στοιχείο που πρέπει να ληφθούν υπόψη, μπορεί πράγματι να υπάρχουν περιπτώσεις στις οποίες τα εν λόγω στοιχεία απλώς απουσιάζουν, αλλά η αρμόδια για την προστασία των δεδομένων αρχή μπορεί και πάλι να αποφασίσει να επιβάλει πρόστιμο (ή, αντιθέτως, να μην επιβάλει). Στο ίδιο πνεύμα, σημειώνω ότι το άρθρο 83, παράγραφος 2, στοιχείο θʹ, του ΓΚΠΔ είναι επίσης διατυπωμένο κατά τρόπο μη συστηματικό, καθώς απαιτεί να εξετάζεται κατά πόσον ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει συμμορφωθεί με τα μέτρα που αναφέρονται στο άρθρο 58, παράγραφος 2, του εν λόγω κανονισμού, αλλά μόνον«σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των [εν λόγω] μέτρων […] κατά του […] υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία».

70.

Αντιθέτως, το άρθρο 83, παράγραφος 2, στοιχείο βʹ, αναφέρει «[τον δόλο] ή [την] αμέλεια που προκάλεσε την παράβαση» ( 37 ). Ως εκ τούτου, φρονώ ότι τα εν λόγω στοιχεία συγκαταλέγονται στα στοιχεία που πρέπει να συντρέχουν και, για να το εκφράσω με πιο γλαφυρό τρόπο, που το τετραγωνίδιο που αντιστοιχεί σε αυτά πρέπει να είναι οπωσδήποτε «τσεκαρισμένο» για να επιβληθεί πρόστιμο, όπως «η φύση, η βαρύτητα και η διάρκεια της παράβασης […]» (άρθρο 83, παράγραφος 2, στοιχείο αʹ), «οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση […]» (άρθρο 83, παράγραφος 2, στοιχείο ζʹ) και «ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση […]» (άρθρο 83, παράγραφος 2, στοιχείο ηʹ). Τα ως άνω άλλα στοιχεία πρέπει επίσης, κατά τη γνώμη μου, να «συντρέχουν» σε όλες τις περιπτώσεις: επί παραδείγματι, «η φύση, η βαρύτητα και η διάρκεια της παράβασης» μπορεί να διαφέρουν σημαντικά από υπόθεση σε υπόθεση (και, ως εκ τούτου, μπορούν να θεωρηθούν είτε ως λόγος «υπέρ» είτε ως λόγος «κατά» της επιβολής προστίμου). Όμως, σε όλες τις περιπτώσεις, θα υφίσταται η φύση, κάποια βαρύτητα και κάποια διάρκεια της παραβάσεως για να ληφθεί υπόψη. Τούτο, κατά τη γνώμη μου, συνιστά μια πρώτη ένδειξη περί του ότι τα διοικητικά πρόστιμα εισήχθησαν στο άρθρο 83 του ΓΚΠΔ για να επιβάλλονται μόνο σε περιπτώσεις στις οποίες η προβαλλόμενη παράβαση διαπράχθηκε είτε με δόλο είτε με αμέλεια ( 38 ).

71.

Δεύτερον, επισημαίνω ότι, μολονότι το άρθρο 83, παράγραφος 2, του ΓΚΠΔ δεν ορίζει ρητώς ότι η παράβαση πρέπει να έχει διαπραχθεί «εκ προθέσεως ή εξ αμελείας», δεν ισχύει το ίδιο για την παράγραφο 3 της εν λόγω διατάξεως, η οποία περιέχει γενικό κανόνα που απαγορεύει τη σώρευση διοικητικών προστίμων. Η εν λόγω παράγραφος αναφέρει μόνον την περίπτωση κατά την οποία η οικεία παράβαση ή οι σχετικές παραβάσεις διαπράχθηκαν «εκ προθέσεως ή εξ αμελείας».

72.

Κατά τη γνώμη μου, προκύπτει λογικά ότι το άρθρο 83, παράγραφος 2, του ΓΚΠΔ έχει την έννοια ότι μπορεί να επιβληθεί πρόστιμο μόνον αν η προβαλλόμενη παράβαση διαπράχθηκε με δόλο ή με αμέλεια. Πράγματι, αν το πεδίο εφαρμογής των παραγράφων 2 και 3 του άρθρου 83 του ΓΚΠΔ ήταν διαφορετικό, τότε θα ήταν δυνατή η επιβολή σωρευτικών προστίμων για λιγότερο σοβαρές παραβάσεις (ήτοι, για παραβάσεις που διαπράχθηκαν χωρίς οποιαδήποτε υπαιτιότητα), δεδομένου ότι, μολονότι θα μπορούσαν να οδηγήσουν στην επιβολή προστίμου κατ’ εφαρμογήν της πρώτης από τις εν λόγω διατάξεις (του άρθρου 83, παράγραφος 2), δεν θα ενέπιπταν στη δεύτερη από τις εν λόγω διατάξεις (το άρθρο 83, παράγραφος 3). Ωστόσο, δεν ισχύει το ίδιο για τις παραβάσεις που διαπράττονται εξ αμελείας ή εκ προθέσεως, δεδομένου ότι όλες αυτές οι παραβάσεις θα υπάγονταν στον κανόνα της μη σωρεύσεως του άρθρου 83, παράγραφος 3, του εν λόγω κανονισμού. Το εν λόγω αποτέλεσμα θα αντέβαινε προδήλως στη βασική αρχή του συστήματος κυρώσεων που θεσπίζει ο ΓΚΠΔ, κατά την οποία οι σοβαρές παραβάσεις θα πρέπει, κατ’ αρχήν, να τιμωρούνται αυστηρότερα από ό,τι οι λιγότερο σοβαρές, και όχι το αντίστροφο.

73.

Τρίτον, επισημαίνω ότι τα πρόστιμα που επιβάλλονται κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ μπορούν να επισύρουν αυστηρές κυρώσεις. Πράγματι, το πρώτο επίπεδο, το οποίο προβλέπεται στο άρθρο 83, παράγραφος 4, του εν λόγω κανονισμού, καθιστά δυνατή την επιβολή προστίμων ύψους έως 10000000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Το δεύτερο επίπεδο προβλέπει πρόστιμα έως 20000000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (και πάλι, ανάλογα με το ποιο είναι υψηλότερο).

74.

Επομένως, φρονώ ότι τα πρόστιμα που επιβάλλονται κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ επιδιώκουν κατασταλτικό σκοπό, τουλάχιστον σε ορισμένες περιπτώσεις ( 39 ), και ενέχουν αυξημένο βαθμό αυστηρότητας καθόσον ενδέχεται να έχουν ποινικό χαρακτήρα ( 40 ) και, ως εκ τούτου, να εμπίπτουν στο πεδίο εφαρμογής του άρθρου 49 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης) ( 41 ).

75.

Υπό το πρίσμα των στοιχείων αυτών και, ειδικότερα, του ποινικού χαρακτήρα των προστίμων που επιβάλλονται κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ, θα μπορούσε να υποστηριχθεί ότι θα ήταν ασυμβίβαστο με την απαίτηση της παράγραφος 1 της εν λόγω διάταξης να είναι τα πρόστιμα, σε όλες τις περιπτώσεις, όχι μόνον «αποτελεσματικά» και «αποτρεπτικά», αλλά επιπλέον και «αναλογικά», προκειμένου να επιτρέπεται η επιβολή τέτοιων προστίμων σε περιπτώσεις που δεν υφίσταται υπαιτιότητα. Με άλλα λόγια, θα ήταν δυσανάλογη η επιβολή προστίμων σε περιπτώσεις στις οποίες δεν διαπιστώνεται ούτε καν αμέλεια. Ωστόσο, κατά τη γνώμη μου, δύσκολα θα μπορούσε να υποστηριχθεί κάτι τέτοιο, δεδομένου ότι το Δικαστήριο έχει ήδη διαπιστώσει ότι ένα σύστημα ποινών ή κυρώσεων που βασίζεται στην αντικειμενική ευθύνη, έστω και ποινικού χαρακτήρα, δεν είναι, αυτό καθεαυτό, δυσανάλογο προς τους επιδιωκόμενους σκοπούς, όταν το σύστημα αυτό είναι ικανό να ενθαρρύνει τα πρόσωπα τα οποία αφορά να τηρούν τις διατάξεις κανονισμού και όταν οι επιδιωκόμενοι σκοποί είναι γενικού ενδιαφέροντος ικανού να δικαιολογήσει τη θέσπιση ενός τέτοιου συστήματος ( 42 ). Επιπλέον, το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (στο εξής: ΕΔΔΑ) έχει κρίνει, όσον αφορά το άρθρο 7 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου (στο εξής: ΕΣΔΑ) (το οποίο αντιστοιχεί στο άρθρο 49 του Χάρτη) ( 43 ), ότι, μολονότι η επιβολή ποινής βάσει της εν λόγω διατάξεως απαιτεί γενικώς την ύπαρξη νοητικού συνδέσμου που να καθιστά δυνατό τον εντοπισμό ενός στοιχείου ευθύνης στη συμπεριφορά του φυσικού αυτουργού της παραβάσεως, η απαίτηση αυτή δεν αποκλείει την ύπαρξη ορισμένων μορφών αντικειμενικής ευθύνης ( 44 ).

76.

Τούτου λεχθέντος, από την ως άνω νομολογία αντιλαμβάνομαι ότι κατά κανόνα, για την επιβολή ποινικής κύρωσης απαιτείται η συνδρομή mens rea και ότι, επομένως, η αντικειμενική ευθύνη συνιστά κάποιο είδος «εξαίρεσης» από τον εν λόγω γενικό κανόνα, στον βαθμό που πρέπει να δικαιολογείται υπό το πρίσμα των σκοπών που επιδιώκει ο κανονισμός.

77.

Λαμβανομένου υπόψη του ΓΚΠΔ συνολικά, φρονώ ότι ο νομοθέτης της Ένωσης προέβλεψε τα διοικητικά πρόστιμα ως ένα μόνον από τα εργαλεία που παρέχονται με την εν λόγω νομοθετική πράξη για τη διασφάλιση της αποτελεσματικής συμμόρφωσης. Συγκεκριμένα, πρέπει να επιβάλλονται πρόστιμα «επιπλέον ή αντί» των άλλων μέτρων που αναφέρονται στο άρθρο 58, παράγραφος 2, του εν λόγω κανονισμού, το οποίο απονέμει στις εποπτικές αρχές ένα φάσμα διορθωτικών εξουσιών (όπως η εξουσία να απευθύνουν προειδοποιήσεις, επιπλήξεις ή να δίνουν εντολές) ( 45 ). Επιπλέον, στις περιπτώσεις κατά τις οποίες δεν επιβάλλεται διοικητικό πρόστιμο σύμφωνα με το άρθρο 83 του ΓΚΠΔ, οι εποπτικές αρχές έχουν τη δυνατότητα να επιβάλουν άλλες κυρώσεις δυνάμει του άρθρου 84 του εν λόγω κανονισμού ( 46 ).

78.

Κατά την άποψή μου, με τις ως άνω διατάξεις διευκρινίζεται ότι, κατά την έκδοση του κανονισμού, ο νομοθέτης της Ένωσης δεν είχε την πρόθεση να επιβάλλεται διοικητικό πρόστιμο σε κάθε παράβαση των κανόνων περί προστασίας των δεδομένων. Αντιθέτως, θέλησε να προβλέψει ένα ευέλικτο και προσαρμοσμένο σε εκάστη περίπτωση σύστημα ποινών και κυρώσεων. Τούτο επιβεβαιώνεται από την αιτιολογική σκέψη 148 του ΓΚΠΔ, η οποία διαλαμβάνει ότι οι εποπτικές αρχές μπορούν να μην επιβάλουν διοικητικό πρόστιμο, αλλά να επιβάλουν επίπληξη σε περίπτωση «παράβασης ελάσσονος σημασίας ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο». Στο πλαίσιο αυτό, ο περιορισμός της εφαρμογής του άρθρου 83 του ΓΚΠΔ στις περιπτώσεις στις οποίες έχει διαπιστωθεί, κατ’ ελάχιστον, αμέλεια ευθυγραμμίζεται, κατ’ εμέ, με τους σκοπούς αυτούς και με την εν γένει λογική που διαπνέει τις διάφορες ως άνω διατάξεις, σύμφωνα με την οποία η επιβολή διοικητικών προστίμων θα πρέπει να αντιστοιχεί σε συγκεκριμένα είδη παραβάσεων.

79.

Επίσης, φρονώ ότι, όποτε ο νομοθέτης της Ένωσης εκδήλωσε τη βούλησή του να εισαγάγει την αντικειμενική ή τεκμαιρόμενη ευθύνη στον ΓΚΠΔ, το έπραξε χρησιμοποιώντας ειδική διατύπωση η οποία ωστόσο δεν απαντά στο άρθρο 83 του εν λόγω κανονισμού. Επί παραδείγματι, όσον αφορά την αστική ευθύνη (ήτοι, την ευθύνη των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία έναντι των υποκειμένων των δεδομένων), η οποία διέπεται από το άρθρο 82 του ΓΚΠΔ, ο νομοθέτης της Ένωσης επισήμανε ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία υπέχουν αυστηρή υποχρέωση να αποκαθιστούν τη ζημία που προκαλούν στα υποκείμενα των δεδομένων, εκτός εάν μπορέσουν να αποδείξουν ότι δεν φέρουν καμία ευθύνη για τα πραγματικά περιστατικά που προκάλεσαν τη ζημία ( 47 ). Αντιθέτως, το άρθρο 83 του εν λόγω κανονισμού δεν περιέχει διατύπωση αντίστοιχη προς το άρθρο 84 του ΓΚΠΔ. Το γεγονός αυτό κατά τη γνώμη μου επιβεβαιώνει ότι ο νομοθέτης της Ένωσης δεν είχε την πρόθεση να θεσπιστεί με την εν λόγω διάταξη σύστημα προστίμων στηριζόμενο στην αντικειμενική ή τεκμαιρόμενη ευθύνη.

80.

Τέταρτον, και ίσως σημαντικότερο, φρονώ ότι, στην πράξη, το όριο για να διαπιστωθεί παράβαση εξ αμελείας του ΓΚΠΔ, κατά την έννοια του άρθρου 83 παράγραφος 2, στοιχείο βʹ, του εν λόγω κανονισμού, είναι, εν πάση περιπτώσει, τόσο χαμηλό ώστε είναι δύσκολο να υπάρξουν περιπτώσεις στις οποίες θα είναι αδύνατη η επιβολή προστίμου για τον λόγο και μόνον ότι δεν θα συντρέχει το στοιχείο αυτό. Ως εκ τούτου, φρονώ ότι το γεγονός και μόνον ότι για να επιβληθεί πρόστιμο πρέπει πρώτα να έχει διαπιστωθεί δόλος ή αμέλεια κατ’ εφαρμογήν του άρθρου 83 του εν λόγω κανονισμού δεν θέτει σε κίνδυνο τον σκοπό του νομοθέτη της Ένωσης για την εγγύηση της αποτελεσματικής επιβολής των κανόνων της προστασίας των δεδομένων που αυτός περιέχει, κάθε άλλο μάλιστα.

81.

Συναφώς έχει υποστηριχθεί ότι απλώς η μη ανάληψη δράσης σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει απλές αμφιβολίες σχετικά με τη νομιμότητα της διενεργηθείσας επεξεργασίας συνιστά ήδη συνειδητή αποδοχή ενδεχόμενης παράβασης του ΓΚΠΔ και, ως εκ τούτου, βαριά αμέλεια ( 48 ). Επιπλέον, η ομάδα εργασίας του άρθρου 29 επισήμανε ότι η εξ αμελείας παράβαση, από πολλές απόψεις, ισοδυναμεί με «ακούσια» παράβαση, δεδομένου ότι, κατ’ αυτήν, τέτοιου είδους παράβαση μπορεί να υφίσταται όταν δεν υπάρχει δόλος στην πρόκληση της παράβασης και όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παραβιάζει απλώς το καθήκον επιμέλειας ( 49 ). Ειδικότερα, η ως άνω ομάδα επισήμανε ότι ακόμη και ένα «ανθρώπινο σφάλμα» ( 50 ), έστω και προφανές και απλό, μπορεί να αποτελεί ένδειξη αμέλειας.

82.

Καταλήγω σε δύο συμπεράσματα. Πρώτον, η διαχωριστική γραμμή μεταξύ μιας πλήρως ακούσιας και ανυπαίτιας παράβασης και μιας παράβασης εξ αμελείας είναι, πράγματι, πολύ λεπτή. Φρονώ ότι οι εποπτικές αρχές σπανίως θα αντιμετωπίσουν δυσκολία να βρουν επαρκή στοιχεία από τα οποία να προκύπτει ότι η προβαλλόμενη παράβαση τελέστηκε τουλάχιστον εξ αμελείας. Συναφώς, επισημαίνω ότι, στους κόλπους της θεωρίας, έχει διατυπωθεί η θέση ότι «δεδομένων των ήδη πολυάριθμων δράσεων ευαισθητοποίησης […] για τη εξασφάλιση της συμμόρφωσης με τον ΓΚΠΔ […], δύσκολα μπορεί να φανταστεί κανείς […] κάποια παράβαση του ΓΚΠΔ δίχως τη συνδρομή τουλάχιστον αμέλειας» ( 51 ). Συντάσσομαι πλήρως με την ανωτέρω θέση και υπενθυμίζω ότι ο ΓΚΠΔ αποσκοπεί ειδικά στο να διασφαλιστεί ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία έχουν πλήρη γνώση των κανόνων προστασίας των δεδομένων, γεγονός που καθιστά ακόμη δυσχερέστερο, κατά τη γνώμη μου, το να θεωρηθεί ότι θα μπορούσε να σημειωθεί παράβαση χωρίς καμία υπαιτιότητα (ούτε καν εξ αμελείας) ( 52 ).

83.

Δεύτερον, το εν λόγω αποτέλεσμα συνάδει απολύτως με τον πρωταρχικό σκοπό του ΓΚΠΔ, ο οποίος συνίσταται στη διασφάλιση ενός διαρκούς και υψηλού επιπέδου προστασίας των φυσικών προσώπων εντός της Ευρωπαϊκής Ένωσης ( 53 ). Πράγματι, τα πρόστιμα έχουν αποτρεπτικό αποτέλεσμα ( 54 ). Χάρη στο κίνητρο που δημιουργούν για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία να συμμορφώνονται με τον GDRP, συμβάλλουν συνολικά στην ενίσχυση της προστασίας των υποκειμένων των δεδομένων και, ως εκ τούτου, αποτελούν βασικό στοιχείο για τη διασφάλιση του σεβασμού των δικαιωμάτων των εν λόγω προσώπων ( 55 ). Επομένως, φρονώ ότι, μολονότι είναι αναγκαίο να συντρέχει το στοιχείο της «υπαιτιότητας», ο βαθμός της υπαιτιότητας που απαιτείται για την ενεργοποίηση του άρθρου 83 του ως άνω κανονισμού είναι αρκετά χαμηλός ώστε να διασφαλίζεται κατάλληλο επίπεδο προστασίας των υποκειμένων των δεδομένων.

84.

Επιπλέον, υπογραμμίζω ότι η προσέγγιση που προτείνω να υιοθετήσει το Δικαστήριο επιβεβαιώνει επίσης την ευθυγράμμιση του συστήματος προστίμων που θεσπίζει η εν λόγω διάταξη με εκείνο που προβλέπεται στο άρθρο 23, παράγραφος 1, του κανονισμού (ΕΚ) 1/2003 ( 56 ), για τις παραβάσεις του δικαίου του ανταγωνισμού, το οποίο τυγχάνει επίσης εφαρμογής αν διαπιστωθεί δόλος ή αμέλεια. Το γεγονός ότι το ως άνω άλλο σύστημα προστίμων αποτέλεσε την πηγή έμπνευσης για το γράμμα του άρθρου 83 του ΓΚΠΔ επιβεβαιώνεται από την αιτιολογική σκέψη 150 του εν λόγω κανονισμού, η οποία διαλαμβάνει ότι, «[σ]ε περίπτωση που τα διοικητικά πρόστιμα επιβάλλονται σε επιχείρηση, μια επιχείρηση θα πρέπει να νοείται επιχείρηση σύμφωνα με τα άρθρα 101 και 102 ΣΛΕΕ για τους σκοπούς αυτούς», καθώς και από άλλα σημεία στα οποία τα δύο αυτά συστήματα προστίμων παρουσιάζουν ομοιότητα, όπως το γεγονός ότι το ύψος των προστίμων μπορεί, όσον αφορά τις επιχειρήσεις, να στηρίζεται σε αμφότερα συστήματα στον κύκλο εργασιών τους. Επισημαίνω επίσης ότι πολλά από τα στοιχεία που διαλαμβάνονται που απαριθμούνται στο άρθρο 83, παράγραφος 2, του ΓΚΠΔ αντικατοπτρίζουν εκείνα που είναι κρίσιμα για τον καθορισμό του ύψους προστίμου για παραβιάσεις του δικαίου του ανταγωνισμού ( 57 ).

85.

Αφού εξέθεσα τους λόγους για τους οποίους εκτιμώ ότι για να επιβληθεί πρόστιμο σε υπεύθυνο επεξεργασίας ή σε εκτελούντα την επεξεργασία κατ’ εφαρμογήν του άρθρου 83, παράγραφος 2, του ΓΚΠΔ είναι αναγκαία η διαπίστωση υπαιτιότητας, θα διατυπώσω ορισμένες συνοπτικές παρατηρήσεις σχετικά με τη συλλογιστική του Συμβουλίου και της Λιθουανικής Κυβερνήσεως. Κατά τους εν λόγω μετέχοντες στη διαδικασία, εναπόκειται στα κράτη μέλη να αποφασίζουν αν απαιτείται ή όχι υπαιτιότητα για την επιβολή διοικητικού προστίμου.

86.

Προσωπικά, δεν συμμερίζομαι την ως άνω θέση.

87.

Είναι, κατά τη γνώμη μου, προφανές ότι ένας από τους βασικούς σκοπούς του ΓΚΠΔ και, ειδικότερα, του άρθρου 83 του εν λόγω κανονισμού είναι η επίτευξη υψηλότερου επιπέδου εναρμονίσεως σε ολόκληρη την Ευρωπαϊκή Ένωση όσον αφορά, ειδικότερα, την επιβολή προστίμων ( 58 ). Στο πλαίσιο αυτό, φρονώ ότι, αντιθέτως προς όσα υποστήριξαν το Συμβούλιο και η Λιθουανική Κυβέρνηση, ο νομοθέτης της Ένωσης δεν θέλησε να διαθέτουν τα κράτη μέλη διακριτική ευχέρεια ως προς το αν απαιτείται ή όχι υπαιτιότητα.

88.

Είναι αληθές ότι η εθνική νομοθεσία μπορεί να προβλέπει πρόσθετες απαιτήσεις όσον αφορά τη διαδικασία που πρέπει να ακολουθούν οι εποπτικές αρχές για την επιβολή προστίμου (όσον αφορά ζητήματα όπως η γνωστοποίηση του προστίμου και οι προθεσμίες υποβολής παρατηρήσεων, προσφυγής, εκτέλεσης και πληρωμής) ( 59 ). Τούτο προκύπτει σαφώς από το άρθρο 83, παράγραφος 8, του ΓΚΠΔ, το οποίο ορίζει ότι η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών σχετικά με την επιβολή προστίμων «υπόκειται στις δέουσες δικονομικές εγγυήσεις» οι οποίες πρέπει να προβλέπονται από το εθνικό δίκαιο, εφόσον διασφαλίζεται ο σεβασμός του δικαίου της Ένωσης (ιδίως δε, του δικαιώματος άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας).

89.

Εντούτοις, η εν λόγω διακριτική ευχέρεια δεν πρέπει να εκτείνεται στις ουσιαστικές προϋποθέσεις που ισχύουν για την επιβολή προστίμου, όπως είναι ο βαθμός υπαιτιότητας. Κατά την άποψή μου, το συμπέρασμα αυτό απορρέει ευθέως από πλείονες αιτιολογικές σκέψεις του εν λόγω κανονισμού ( 60 ), από τις οποίες προκύπτει ότι το σύστημα διοικητικών προστίμων που καθιερώνεται στο άρθρο 83 του ΓΚΠΔ σχεδιάστηκε από τον νομοθέτη της Ένωσης με σκοπό την επίτευξη συνεκτικών αποτελεσμάτων στο έδαφος της Ευρωπαϊκής Ένωσης.

90.

Χάριν πληρότητας, προσθέτω ότι, δεδομένου ότι τα πρόστιμα επηρεάζουν σε μεγάλο βαθμό τον ανταγωνισμό μεταξύ επιχειρήσεων και έχουν σημαντικό αντίκτυπο στην αγορά, είναι, κατά τη γνώμη μου, σημαντικό το άρθρο 83 του ΓΚΠΔ να εφαρμόζεται με συνέπεια, διαφορετικά, θα μπορούσε πράγματι να συμβάλει στην πρόκληση στρεβλώσεων του ανταγωνισμού μεταξύ των επιχειρήσεων ( 61 ).

91.

Με το δεύτερο σκέλος του έκτου προδικαστικού ερωτήματος, το αιτούν δικαστήριο διερωτάται, κατ’ ουσίαν, αν μπορεί να επιβληθεί πρόστιμο στον υπεύθυνο επεξεργασίας κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ, σε περίπτωση που η παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν πραγματοποιήθηκε από τον ίδιο τον υπεύθυνο επεξεργασίας, αλλά από εκτελούντα την επεξεργασία (εν προκειμένω, την ITSS).

92.

Στο ερώτημα αυτό πρέπει, κατά τη γνώμη μου, να δοθεί καταφατική απάντηση.

93.

Συναφώς, υπενθυμίζω ότι, όπως επισήμανα στο σημείο 27 των παρουσών προτάσεων, δεν χρειάζεται ο υπεύθυνος επεξεργασίας να επεξεργάζεται ο ίδιος τα δεδομένα προσωπικού χαρακτήρα, από τη στιγμή που καθορίζει «το γιατί και το πώς» των οικείων πράξεων επεξεργασίας. Επισημαίνω, επιπλέον, ότι κατά τον ορισμό του άρθρου 4, παράγραφος 8, του ΓΚΠΔ ως «εκτελών την επεξεργασία» νοείται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας».

94.

Οι ως άνω ορισμοί επιβεβαιώνουν, κατά τη γνώμη μου, ότι, στο πλαίσιο της εφαρμογής του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας μπορεί να θεωρηθεί υπεύθυνος και ως εκ τούτου να του επιβληθεί πρόστιμο, κατ’ εφαρμογήν του άρθρου 83 του εν λόγω κανονισμού, σε περίπτωση που δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο παράνομο και που η παράνομη επεξεργασία δεν διενεργήθηκε από τον ίδιο τον υπεύθυνο επεξεργασίας, αλλά από εκτελούντα την επεξεργασία. Η δυνατότητα αυτή εξακολουθεί να υφίσταται εφόσον ο εν λόγω εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας ( 62 ).

95.

Τούτο ισχύει εφόσον ο εκτελών την επεξεργασία ενεργεί στο πλαίσιο της εντολής που του έχει ανατεθεί από τον υπεύθυνο επεξεργασίας και επεξεργάζεται τα δεδομένα σύμφωνα με τις νόμιμες εντολές που λαμβάνει από τον τελευταίο ( 63 ). Ωστόσο, αν ο εκτελών την επεξεργασία υπερβεί το πλαίσιο της εντολής και χρησιμοποιήσει τα δεδομένα που έλαβε ως εκτελών την επεξεργασία για δικούς του σκοπούς και είναι σαφές ότι τα μέρη δεν είναι «από κοινού υπεύθυνοι επεξεργασίας» κατά την έννοια του άρθρου 4, παράγραφος 7, και του άρθρου 26, παράγραφος 1, του ΓΚΠΔ, τότε δεν μπορεί, κατά τη γνώμη μου, να επιβληθεί στον υπεύθυνο επεξεργασίας πρόστιμο, κατ’ εφαρμογήν του άρθρου 83 του εν λόγω κανονισμού, για την πραγματοποιηθείσα παράνομη επεξεργασία ( 64 ).

96.

Επομένως, σε περίπτωση όπως αυτή της κύριας δίκης, μπορεί να επιβληθεί πρόστιμο, κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ, στο NVSC, έστω και αν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα πραγματοποιήθηκε παρανόμως μόνον από την ITSS και το NVSC δεν συμμετείχε στην επεξεργασία. Η δυνατότητα αυτή ισχύει εφόσον μπορεί να θεωρηθεί ότι η εν λόγω εταιρία επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα για λογαριασμό του NVSC, πράγμα το οποίο δεν θα συμβαίνει αν η ITSS ενήργησε εκτός του πλαισίου των νόμιμων οδηγιών του NVSC ή αντιθέτως προς αυτές και χρησιμοποίησε δεδομένα προσωπικού χαρακτήρα για δικούς της σκοπούς και είναι σαφές ότι το NVSC και η ITSS δεν ενήργησαν ως από κοινού υπεύθυνοι επεξεργασίας.

97.

Λαμβανομένων υπόψη των προεκτεθέντων, προτείνω στο Δικαστήριο να απαντήσει στα προδικαστικά ερωτήματα του Vilniaus apygardos administracinis teismas (περιφερειακού διοικητικού πρωτοδικείου του Βίλνιους, Λιθουανία) ως εξής: