EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CN0683

C-683/21. sz. ügy: A Vilniaus apygardos administracinis teismas (Litvánia) által 2021. november 12-én benyújtott előzetes döntéshozatal iránti kérelem – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos kontra Valstybinė duomenų apsaugos inspekcija

HL C 84., 2022.2.21, p. 26–27 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
HL C 84., 2022.2.21, p. 9–9 (GA)

2022.2.21.   

HU

Az Európai Unió Hivatalos Lapja

C 84/26


A Vilniaus apygardos administracinis teismas (Litvánia) által 2021. november 12-én benyújtott előzetes döntéshozatal iránti kérelem – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos kontra Valstybinė duomenų apsaugos inspekcija

(C-683/21. sz. ügy)

(2022/C 84/34)

Az eljárás nyelve: litván

A kérdést előterjesztő bíróság

Vilniaus apygardos administracinis teismas

Az alapeljárás felei

Felperes: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Alperes: Valstybinė duomenų apsaugos inspekcija

Az előzetes döntéshozatalra előterjesztett kérdések

1)

Értelmezhető-e úgy az „adatkezelő” GDPR (1) 4. cikkének 7. pontjában meghatározott fogalma, hogy adatkezelőnek kell tekinteni azt a személy is, aki közbeszerzés keretében adatgyűjtő eszközt (mobilalkalmazást) tervez beszerezni, függetlenül attól, hogy nem kötöttek közbeszerzési szerződést, és hogy a létrehozott terméket (mobilalkalmazást) – amelynek beszerzésére közbeszerzési eljárást vettek igénybe – nem ruházták át?

2)

Értelmezhető-e úgy az „adatkezelő” GDPR 4. cikkének 7. pontjában meghatározott fogalma, hogy adatkezelőnek kell tekinteni azt az ajánlatkérő szervet is, amely nem szerezte meg a létrehozott informatikai termék feletti tulajdonjogot, és nem vette azt birtokába, de a létrehozott alkalmazás végleges változata linket vagy interfészt tartalmaz a szóban forgó közjogi jogalanyhoz, és/vagy a szóban forgó közjogi jogalany által hivatalosan nem jóváhagyott és nem elismert titoktartási szabályzat e közjogi jogalanyt adatkezelőként jelöli meg?

3)

Értelmezhető-e úgy az „adatkezelő” GDPR 4. cikkének 7. pontjában meghatározott fogalma, hogy adatkezelőnek kell tekinteni azt a személyt is, aki nem végzett a GDPR 4. cikkének 2. pontjában meghatározott tényleges adatkezelési műveletet, és/vagy nem adott egyértelmű engedélyt/hozzájárulást ilyen művelet elvégzéséhez? Jelentőséggel bír-e az „adatkezelő” fogalmának értelmezése szempontjából az, hogy a személyes adatok kezeléséhez használt informatikai terméket az ajánlatkérő által megfogalmazott megbízással összhangban állították elő?

4)

Amennyiben a tényleges adatkezelési műveletek meghatározása jelentőséggel bír az „adatkezelő” fogalmának értelmezése szempontjából, úgy kell-e értelmezni a személyes adatok „kezelésének” a GDPR 4. cikkének 2. pontja szerinti fogalmát, hogy az kiterjed azokra a helyzetekre is, amelyekben személyes adatok másolatait használták fel informatikai rendszerek mobilalkalmazás beszerzése során történő teszteléséhez?

5)

Kizárólag úgy értelmezhető-e a GDPR 4. cikke 7. pontjának és 26. cikke (1) bekezdésének megfelelő közös adatkezelés, hogy az az adatkezelés céljának és eszközeinek meghatározását illetően szándékosan összehangolt cselekvéseket foglal magában, vagy e fogalom úgy is értelmezhető, hogy az olyan helyzetekre is kiterjed, amelyekben nincs egyértelmű „megállapodás” az adatkezelés céljaira és eszközeire nézve, és/vagy a jogalanyok cselekményei nincsenek összehangolva egymással? Jogilag relevanciával bírnak-e a közös adatkezelés fogalmának értelmezése szempontjából a személyesadat-kezelési eszköz (informatikai alkalmazás) létrehozásának ahhoz a szakaszához kapcsolódó körülmények, amelyben személyes adatokat kezeltek, valamint az alkalmazás létrehozásának célja? Érthető-e a közös adatkezelők „megállapodása” kizárólag a közös adatkezelésre irányadó feltételek egyértelmű meghatározásaként?

6)

Úgy kell-e értelmezni a GDPR 83. cikkének (1) bekezdésében szereplő rendelkezést, amely szerint a „közigazgatási bírságok […] hatékonyak, arányosak és visszatartó erejűek legyenek”, hogy az kiterjed az „adatkezelő” felelősségével kapcsolatos esetekre is akkor, amikor valamely informatikai termék létrehozása során a fejlesztő is végez személyesadat-feldolgozási műveleteket, továbbá hogy minden esetben automatikusan maguk után vonják-e az adatkezelő felelősségét az adatfeldolgozó által szabálytalanul végzett személyesadat-feldolgozási műveletek? Úgy kell-e értelmezni ezt a rendelkezést, hogy az az adatkezelő objektív felelősségének eseteire is vonatkozik?


(1)  A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.).


Top