A BÍRÓSÁG ÍTÉLETE (nagytanács)

2023. december 5. ( *1 )

„Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – A 4. cikk 2. és 7. pontja – Az »adatkezelés« és az »adatkezelő« fogalma – Mobiltelefonos informatikai alkalmazás fejlesztése – 26. cikk – Közös adatkezelés – 83. cikk – Közigazgatási bírságok kiszabása – Feltételek – A jogsértés szándékos vagy gondatlan jellegére vonatkozó követelmény – Az adatkezelőnek az adatfeldolgozó által végzett személyesadat‑kezelésért fennálló felelőssége”

A C‑683/21. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Vilniaus apygardos administracinis teismas (vilniusi megyei közigazgatási bíróság, Litvánia) a Bírósághoz 2021. november 12‑én érkezett, 2021. október 22‑i határozatával terjesztett elő

a Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

és

a Valstybinė duomenų apsaugos inspekcija

között,

az UAB „IT sprendimai sėkmei”,

a Lietuvos Respublikos sveikatos apsaugos ministerija

részvételével folyamatban lévő eljárásban,

A BÍRÓSÁG (nagytanács),

tagjai: K. Lenaerts elnök, L. Bay Larsen elnökhelyettes, A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Csehi Z., O. Spineanu‑Matei tanácselnökök, M. Ilešič, J.‑C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (előadó), N. Wahl és M. Gavalec bírák,

főtanácsnok: N. Emiliou,

hivatalvezető: C. Strömholm tanácsos,

tekintettel az írásbeli szakaszra és a 2023. január 17‑i tárgyalásra,

figyelembe véve a következők által előterjesztett írásbeli észrevételeket:

–	a Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos képviseletében G. Aleksienė,

–	a Valstybinė duomenų apsaugos inspekcija képviseletében R. Andrijauskas,

–	a litván kormány képviseletében V. Kazlauskaitė‑Švenčionienė, meghatalmazotti minőségben,

–	a holland kormány képviseletében C. S. Schillemans, meghatalmazotti minőségben,

–	az Európai Unió Tanácsa képviseletében R. Liudvinavičiūtė és K. Pleśniak, meghatalmazotti minőségben,

–	az Európai Bizottság képviseletében A. Bouchagiar, H. Kranenborg és A. Steiblytė, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2023. május 4‑i tárgyaláson történt meghallgatását követően,

meghozta következő

Ítéletet

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 1. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 4. cikke 2. és 7. pontjának, 26. cikke (1) bekezdésének, valamint 83. cikke (1) bekezdésének értelmezésére vonatkozik.

Ezt a kérelmet a Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (az egészségügyi minisztérium felügyelete alatt álló nemzeti közegészségügyi központ, Litvánia; a továbbiakban: NVSC) és a Valstybinė duomenų apsaugos inspekcija (állami adatvédelmi felügyelet, Litvánia; a továbbiakban: VDAI) között, egy olyan határozat tárgyában folyamatban lévő jogvita keretében terjesztették elő, amelyben ez utóbbi az általános adatvédelmi rendelet 83. cikke alapján, a rendelet 5., 13., 24., 32. és 35. cikkének megsértése miatt közigazgatási bírságot szabott ki az NVSC‑re.

Jogi háttér

Az uniós jog

Az általános adatvédelmi rendelet (9), (10), (11), (13), (26), (74), (79), (129) és (148) preambulumbekezdése a következőket mondja ki:

„(9)

[…] Az a tény, hogy a személyes adatok kezelése tekintetében a természetes személyek jogai és szabadságai egyes tagállamokban eltérő szintű védelmet élveznek, különösen, ami személyes adatok védelméhez való jogot illeti, a személyes adatok [Európai] Unióban történő szabad áramlásának útjában állhat. Ebből eredően ezek az eltérések a gazdasági tevékenységek uniós szinten való folytatásának akadályát képezhetik, torzíthatják a versenyt, és hátráltathatják a hatóságokat az uniós jog szerinti feladataik ellátásában. […]

(10)

A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]

(11)

Ahhoz, hogy a személyes adatok az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges, ugyanakkor pedig az egyes tagállamokban a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatáskört is biztosítani szükséges, és a jogsértőkre azonos szankciókat kell alkalmazni.

[…]

(13)

A természetes személyek egységes, uniós‑szintű védelmének biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére – beleértve a mikro‑, kis‑ és középvállalkozásokat is –, továbbá rendelettel kell biztosítani a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti hatóságai közötti hatékony együttműködést. […]

[…]

(26)

Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. […] Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

[…]

(74)

A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelőt kötelezni kell különösen arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek e rendeletnek megfelelnek, és az alkalmazott intézkedések hatékonysága is az e rendelet által előírt szintű. Ezeket az intézkedéseket az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni.

[…]

(79)

Az érintettek jogainak és szabadságainak védelme csakúgy, mint az adatkezelők és az adatfeldolgozók hatásköre és felelőssége megköveteli az e rendelet szerinti hatáskörök egyértelmű felosztását, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatkezelés céljait és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatkezelési műveletet.

[…]

(129)

E rendelet végrehajtásának biztosítása és az Unió egész területén történő következetes alkalmazásának nyomon követése érdekében a felügyeleti hatóságoknak minden tagállamban ugyanazokkal a feladatokkal és hatékony hatáskörökkel kell rendelkezniük, ideértve a vizsgálati hatásköröket, a korrekciós és a szankciók kiszabására vonatkozó hatáskört is. A felügyeleti hatóságok hatásköreiket az uniós és a tagállami jogban foglalt megfelelő eljárási garanciáknak megfelelően, pártatlanul, tisztességesen és észszerű határidőn belül gyakorolják. Különösen, az e rendeletnek való megfelelés biztosítása érdekében minden egyes intézkedésnek megfelelőnek, szükségesnek és arányosnak kell lennie, és azok kapcsán figyelembe kell venni az adott eset körülményeit, tiszteletben kell tartani azt, hogy minden személynek joga van ahhoz, hogy az őt esetleg hátrányosan érintő egyedi intézkedés meghozatala előtt meghallgassák, továbbá kerülni kell, hogy az intézkedés az érintett személynek felesleges költségeket és túlzott kényelmetlenséget okozzon. A helyiségekbe való belépést illetően a vizsgálati hatáskört a vonatkozó tagállami eljárásjogban foglalt különös követelményekkel összhangban kell gyakorolni, ilyen például az előzetes bírósági engedély beszerzésének követelménye. A felügyeleti hatóság minden jogilag kötelező erejű intézkedést írásban hozza meg, az intézkedésnek világosnak és egyértelműnek kell lennie, fel kell tüntetni rajta az intézkedést hozó felügyeleti hatóságot, az intézkedés meghozatalának dátumát, a felügyeleti hatóság vezetőjének vagy a hatóság általa felhatalmazott tagjának azt az aláírásával kell ellátnia, az intézkedést indokolni kell és hivatkozni kell benne a hatékony jogorvoslathoz való jogra. Ez nem zárja ki további tagállami eljárásjogi követelmények megállapítását. Az említett jogilag kötelező erejű döntés elfogadása azzal jár, hogy az az adott döntést elfogadó felügyeleti hatóság szerinti tagállamban bírósági felülvizsgálat alá vethető.

[…]

(148)

Az e rendelet által előírt szabályok betartatásának erősítése érdekében e rendelet bármely megsértése esetén a felügyeleti hatóság által e rendelet alapján előírt megfelelő intézkedéseken felül vagy azok helyett szankciókat – ideértve a közigazgatási bírságokat is – kell kiszabni. E rendelet kisebb megsértése esetén, illetve ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható. Kellő figyelmet kell azonban fordítani a jogsértés természetére, súlyosságára, időtartamára, szándékos jellegére és arra, hogy tettek‑e intézkedéseket az elszenvedett kár mértékének csökkentésére, továbbá a felelősség mértékére, a korábban e téren elkövetett jogsértésekre, arra, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, valamint arra, hogy az adatkezelő vagy adatfeldolgozó betartja‑e a vele szemben elrendelt intézkedéseket és hogy alkalmaz‑e valamely magatartási kódexet, valamint minden egyéb súlyosbító vagy enyhítő körülményre. Az adminisztratív bírságokat is beleértve a szankciók kiszabására megfelelő eljárási biztosítékoknak kell vonatkozniuk, az uniós jog általános elveivel és az Európai Unió Alapjogi Chartájával összhangban, ideértve a hatékony bírói jogvédelmet és a megfelelő eljárást.”

E rendelet 4. cikke értelmében:

„E rendelet alkalmazásában:

»személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

»adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]

»álnevesítés«: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

[…]

»adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

8.	»adatfeldolgozó«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

[…]”

Az említett rendelet „Közös adatkezelők” című 26. cikkének bekezdése a következőket írja elő:

„Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.”

Ugyanezen rendelet „Az adatfeldolgozó” című 28. cikkének (10) bekezdése a következőképpen rendelkezik:

„A 82., 83. és a 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.”

Az általános adatvédelmi rendelet „Hatáskörök” című 58. cikkének (2) bekezdése a következőképpen rendelkezik:

„A felügyeleti hatóság korrekciós hatáskörében eljárva:

a)	figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik e rendelet rendelkezéseit;

b)	elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit;

[…]

d)	utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel;

[…]

f)	átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;

[…]

i)	a 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően az e bekezdésben említett intézkedéseken túlmenően vagy azok helyett;

[…]”

E rendeletnek „A közigazgatási bírságok kiszabására vonatkozó általános feltételek” című 83. cikkének szövege a következő:

„(1) Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2) A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a)	a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)	a jogsértés szándékos vagy gondatlan jellege;

c)	az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

d)	az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

e)	az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

f)	a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

g)	a jogsértés által érintett személyes adatok kategóriái;

h)	az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette‑e be a jogsértést, és ha igen, milyen részletességgel;

i)	ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;

j)	az, hogy az adatkezelő vagy az adatfeldolgozó tartotta‑e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint

k)	az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

(3) Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

(4) Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10000000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%‑át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:

a) az adatkezelő és az adatfeldolgozó tekintetében a 8., a 11., a 25–39., a 42. és a 43. cikkben meghatározott kötelezettségek;

[…]

(5) Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20000000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%‑át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően;

b)	az érintettek jogai a 12–22. cikknek megfelelően;

[…]

d)	a IX. fejezet alapján elfogadott tagállami jog szerinti kötelezettségek;

[…]

(6) A felügyeleti hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása – az e cikk (2) bekezdésével összhangban – legfeljebb 20000000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%‑át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.

(7) A felügyeleti hatóságok 58. cikk (2) bekezdése szerinti korrekciós hatáskörének sérelme nélkül, minden egyes tagállam megállapíthatja az arra vonatkozó szabályokat, hogy az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható‑e közigazgatási bírság, és ha igen, milyen mértékű.

(8) A felügyeleti hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák – ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást – biztosításával gyakorolja.

[…]”

Az említett rendelet 84. cikkének (1) bekezdése a következőképpen rendelkezik:

„A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó további szankciókra vonatkozó szabályokat, különösen azon jogsértések tekintetében, amelyek nem tartoznak a 83. cikkben meghatározott, közigazgatási bírságokkal sújtható jogsértések közé, és meghoznak minden szükséges intézkedést ezek végrehajtására. A szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.”

A litván jog

A Viešųjų pirkimų įstatymas (közbeszerzési törvény) 29. cikkének (3) bekezdése szerint bizonyos körülmények felmerülése esetén az ajánlatkérő a közbeszerzési szerződés (vagy az előzetes szerződés) megkötését, illetve a sikeres pályázó meghatározását megelőzően jogosult vagy köteles visszavonni az általa kezdeményezett közbeszerzési vagy tervpályázati eljárást.

11	A közbeszerzési törvény 72. cikkének (2) bekezdése meghatározza a tárgyalások azon szakaszait, amelyeket az ajánlatkérő a hirdetmény közzététele nélküli tárgyalásos közbeszerzési eljárás keretében folytat le.

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

A Covid19‑világjárvánnyal összefüggésben a Lietuvos Respublikos sveikatos apsaugos ministras (a Litván Köztársaság egészségügyi minisztere) 2020. március 24‑i első határozatával megbízta az NVSC igazgatóját, hogy a járványügyi helyzet nyomon követése érdekében szervezze meg a vírusnak kitett személyek adatainak nyilvántartására és nyomon követésére irányuló informatikai rendszer azonnali beszerzését.

2020. március 27‑i elektronikus levelében az NVSC egyik képviselőjeként bemutatkozó személy (a továbbiakban: A. S.) tájékoztatta az UAB „IT sprendimai sėkmei” nevű társaságot (a továbbiakban: ITSS társaság), hogy az NVSC kiválasztotta az erre irányuló mobilalkalmazás létrehozására. A. S. ezt követően elektronikus leveleket küldött az ITSS társaságnak az alkalmazás létrehozásának különböző vonatkozásaival kapcsolatban, az elektronikus levelek másolatát pedig megküldte az NVSC igazgatójának.

14	Az ITSS társaság és az NVSC közötti tárgyalások során A. S. mellett az NVSC más alkalmazottai is elektronikus leveleket küldtek a társaságnak a szóban forgó mobilalkalmazásban feltett kérdések megfogalmazásával kapcsolatban.

15	A mobilalkalmazás létrehozásakor adatvédelmi politikát dolgoztak ki, amelyben az ITSS társaságot és az NVSC‑t jelölték ki adatkezelőnek.

16	Az ITSS társaságot és az NVSC‑t feltüntető, szóban forgó mobilalkalmazás a Google Play Store online áruházban 2020. április 4‑től, az Apple App store online áruházban pedig 2020. április 6‑tól volt elérhető. A mobilalkalmazás 2020. május 26‑ig működött.

2020. április 4. és 2020. május 26. között az alkalmazást 3802 személy használta és adta meg az alkalmazásban kért adatokat, például a személyazonosító számot, a földrajzi koordinátákat (szélességi és hosszúsági fok), az ország, a város és a település nevét, az irányítószámot, az utcanevet, a házszámot, a vezetéknevet, az utónevet, a személyi kódot, a telefonszámot és a címet.

2020. április 10‑i második határozatával a Litván Köztársaság egészségügyi minisztere úgy határozott, hogy az NVSC igazgatóját bízza meg a szóban forgó mobilalkalmazás ITSS vállalattól történő beszerzésének megszervezésével, és e célból a közbeszerzési törvény 72. cikkének (2) bekezdését kívánta alkalmazni. A nevezett társaságnak azonban nem ítéltek oda a mobilalkalmazás NVSC általi hivatalos beszerzésére irányuló közbeszerzési szerződést.

2020. május 15‑én az NVSC azt kérte a társaságtól, hogy a szóban forgó mobilalkalmazásban semmilyen módon ne tüntesse fel őt. Az NVSC ezenkívül 2020. június 4‑i levelében arról tájékoztatta az említett társaságot, hogy a közbeszerzési törvény 29. cikkének (3) bekezdése alapján – a mobilalkalmazás beszerzéséhez szükséges pénzügyi forrás hiányában – megszüntette a közbeszerzési eljárást.

A személyes adatok kezelésével kapcsolatban 2020. május 18‑án indított vizsgálat keretében a VDAI megállapította, hogy a szóban forgó mobilalkalmazás segítségével személyes adatokat gyűjtöttek. Továbbá megállapítást nyert, hogy azok a felhasználók, akik ezt az alkalmazást választották a Covid19‑világjárvány miatt kötelezővé tett izoláció nyomonkövetési módszereként, személyes adatok kezelésével járó kérdésekre válaszoltak. Ezeket az adatokat az említett alkalmazás útján feltett kérdésekre adott válaszokban adták meg, és azok többek között az érintett személy egészségi állapotára és az izoláció feltételeinek általa történő tiszteletben tartására vonatkoztak.

2021. február 24‑i határozatával a VDAI az általános adatvédelmi rendelet 83. cikke alapján 12000 euró összegű közigazgatási bírságot szabott ki az NVSC‑re a rendelet 5., 13., 24., 32. és 35. cikkének megsértése miatt. Ez a határozat 3000 euró összegű közigazgatási bírságot is kiszabott az ITSS társasággal mint közös adatkezelővel szemben.

Az NVSC ezt a határozatot megtámadta a kérdést előterjesztő bíróság, a Vilniaus apygardos administracinis teismas (vilniusi megyei közigazgatási bíróság, Litvánia) előtt, arra hivatkozva, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében az ITSS társaságot kell egyedüli adatkezelőnek tekinteni. Az ITSS társaság a maga részéről azt állítja, hogy az általános adatvédelmi rendelet 4. cikkének 8. pontja értelmében vett adatfeldolgozóként járt el az NVSC utasítására, amely véleménye szerint az egyedüli adatkezelő.

A kérdést előterjesztő bíróság megjegyzi, hogy az ITSS társaság hozta létre a szóban forgó mobilalkalmazást, az NVSC pedig tanácsokkal látta el a társaságot az alkalmazásban feltett kérdések tartalmával kapcsolatban. Az NVSC és az ITSS társaság között azonban nincs közbeszerzési szerződés. Az NVSC továbbá nem járult hozzá a mobilalkalmazás különböző online áruházakon keresztül történő rendelkezésre bocsátásához, és nem is engedélyezte azt.

E bíróság megállapítja, hogy a szóban forgó mobilalkalmazás létrehozása az NVSC által meghatározott cél megvalósítására, nevezetesen a Covid19‑világjárvány informatikai eszköz létrehozása révén történő kezelésére irányult, és hogy e célból személyes adatok kezelését tervezték. Az ITSS társaság szerepét illetően megállapítja, hogy nem rendelkeztek arról, hogy ez a társaság más célokat is követne azonkívül, hogy részesülni kíván a létrehozott informatikai termékért való díjazásban.

Az említett bíróság azt is megjegyzi, hogy a VDAI vizsgálata során megállapítást nyert, hogy a litván Juvare Lithuania társaságnak, amely a fertőző betegségek nyomon követésére és ellenőrzésére szolgáló, a terjedésveszélyt jelző informatikai rendszert működteti, meg kellett kapnia a szóban forgó mobilalkalmazás által gyűjtött személyes adatok másolatait. A mobilalkalmazás teszteléséhez továbbá az említett társaság alkalmazottainak telefonszámai kivételével fiktív adatokat használtak.

Ilyen körülmények között a Vilniaus apygardos administracinis teismas (vilniusi megyei közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)

Értelmezhető‑e úgy az »adatkezelőnek« az általános adatvédelmi rendelet 4. cikkének 7. pontjában meghatározott fogalma, hogy adatkezelőnek kell tekinteni azt a személy is, aki közbeszerzés keretében adatgyűjtő eszközt (mobilalkalmazást) tervez beszerezni, függetlenül attól, hogy nem kötöttek közbeszerzési szerződést, és hogy a létrehozott terméket (mobilalkalmazást) – amelynek beszerzésére közbeszerzési eljárást vettek igénybe – nem ruházták át?

Értelmezhető‑e úgy az »adatkezelőnek« az általános adatvédelmi rendelet 4. cikkének 7. pontjában meghatározott fogalma, hogy adatkezelőnek kell tekinteni azt az ajánlatkérő szervet is, amely nem szerezte meg a létrehozott informatikai termék feletti tulajdonjogot, és azt nem vette birtokba, de a létrehozott alkalmazás végleges változata linket vagy interfészt tartalmaz a szóban forgó közjogi jogalanyhoz, és/vagy a szóban forgó közjogi jogalany által hivatalosan nem jóváhagyott és nem elismert titoktartási szabályzat e közjogi jogalanyt adatkezelőként jelöli meg?

Értelmezhető‑e úgy az »adatkezelőnek« az általános adatvédelmi rendelet 4. cikkének 7. pontjában meghatározott fogalma, hogy adatkezelőnek kell tekinteni azt a személyt is, aki nem végzett az általános adatvédelmi rendelet 4. cikkének 2. pontjában meghatározott tényleges adatkezelési műveletet, és/vagy nem adott egyértelmű engedélyt/hozzájárulást ilyen művelet elvégzéséhez? Jelentőséggel bír‑e az »adatkezelő« fogalmának értelmezése szempontjából az, hogy a személyes adatok kezeléséhez használt informatikai terméket az ajánlatkérő által megfogalmazott megbízással összhangban állították elő?

Amennyiben a tényleges adatkezelési műveletek meghatározása jelentőséggel bír az »adatkezelő« fogalmának értelmezése szempontjából, úgy kell‑e értelmezni a személyes adatok »kezelésének« az általános adatvédelmi rendelet 4. cikkének 2. pontja szerinti fogalmát, hogy az kiterjed azokra a helyzetekre is, amelyekben személyes adatok másolatait használták fel informatikai rendszerek mobilalkalmazás beszerzése során történő teszteléséhez?

Kizárólag úgy értelmezhető‑e az általános adatvédelmi rendelet 4. cikke 7. pontjának és 26. cikke (1) bekezdésének megfelelő közös adatkezelés, hogy az az adatkezelés céljának és eszközeinek meghatározását illetően szándékosan összehangolt cselekvéseket foglal magában, vagy e fogalom úgy is értelmezhető, hogy az olyan helyzetekre is kiterjed, amelyekben nincs egyértelmű »megállapodás« az adatkezelés céljaira és eszközeire nézve, és/vagy a jogalanyok cselekményei nincsenek összehangolva egymással? Jogilag relevanciával bírnak‑e a közös adatkezelés fogalmának értelmezése szempontjából a személyesadat‑kezelési eszköz (informatikai alkalmazás) létrehozásának ahhoz a szakaszához kapcsolódó körülmények, amelyben személyes adatokat kezeltek, valamint az alkalmazás létrehozásának célja? A közös adatkezelők »megállapodása« kizárólag a közös adatkezelésre irányadó feltételek egyértelmű meghatározásaként érthető?

Úgy kell‑e értelmezni az általános adatvédelmi rendelet 83. cikkének (1) bekezdésében szereplő rendelkezést, amely szerint a »közigazgatási bírságok […] hatékonyak, arányosak és visszatartó erejűek legyenek«, hogy az kiterjed az »adatkezelő« felelősségével kapcsolatos esetekre is akkor, amikor valamely informatikai termék létrehozása során a fejlesztő is végez személyesadat‑feldolgozási műveleteket, továbbá hogy minden esetben automatikusan maguk után vonják‑e az adatkezelő felelősségét az adatfeldolgozó által szabálytalanul végzett személyesadat‑feldolgozási műveletek? Úgy kell‑e értelmezni ezt a rendelkezést, hogy az az adatkezelő objektív felelősségének eseteire is vonatkozik?”

A előzetes döntéshozatalra előterjesztett kérdésekről

Az első, a második és a harmadik kérdésről

Az előterjesztő bíróság együttesen vizsgálandó első, második és harmadik kérdése lényegében arra irányul, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontját úgy kell‑e értelmezni, hogy e rendelkezés értelmében akkor is adatkezelőnek tekinthető az a jogalany, amely egy vállalkozást mobiltelefonos informatikai alkalmazás fejlesztésével bízott meg, ha ő maga nem végzett személyesadat‑kezelési műveletet, nem járult hozzá kifejezetten az ilyen adatkezelésre irányuló konkrét műveletek elvégzéséhez vagy a mobilalkalmazás nyilvánosság számára történő hozzáférhetővé tételéhez, és nem szerezte meg az említett mobilalkalmazás tulajdonjogát.

Az általános adatvédelmi rendelet 4. cikkének 7. pontja tágan határozza meg az „adatkezelő” fogalmát, így az kiterjed azon természetes vagy jogi személyre, hatóságra, intézményre vagy bármely más szervre, amely önállóan vagy másokkal együtt meghatározza „a személyes adatok kezelésének céljait és eszközeit”.

E tág meghatározás célja – az általános adatvédelmi rendelet céljával összhangban – a természetes személyek alapvető jogai és szabadságai hatékony védelmének, valamint többek között a bármely személyt megillető, a rá vonatkozó személyes adatok védelméhez való jog magas szintű védelmének biztosítása (lásd ebben az értelemben: 2019. július 29‑iFashion ID ítélet, C‑40/17, EU:C:2019:629, 66. pont; 2022. április 28‑iMeta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 73. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

A Bíróság korábban már megállapította, hogy az a természetes vagy jogi személy, aki vagy amely a személyes adatok kezelésére saját célból befolyást gyakorol, és emiatt részt vesz az adatkezelés céljainak és eszközeinek meghatározásában, adatkezelőnek minősíthető. E tekintetben nem szükséges, hogy az adatkezelés céljait és eszközeit az adatkezelő írásbeli iránymutatásokban vagy utasításokban határozza meg (lásd ebben az értelemben: C‑25/17. sz. ügy, Jehovan todistajat, EU:C:2018:551, 67. és 68. pont), és hogy hivatalosan adatkezelőnek legyen kijelölve.

Ennélfogva annak megállapítása érdekében, hogy egy, az NVSC‑hez hasonló jogalany az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett adatkezelőnek tekinthető‑e, meg kell vizsgálni, hogy saját célból ténylegesen befolyást gyakorolt‑e ezen adatkezelés céljainak és eszközeinek meghatározására.

A jelen ügyben – a kérdést előterjesztő bíróság által elvégzendő vizsgálatok szükségességét fenntartva – a Bíróság rendelkezésére álló iratokból kitűnik, hogy a szóban forgó mobilalkalmazás létrehozását az NVSC rendelte meg, és az – a Covid19‑vírushordozókkal kapcsolatban álló személyek adatainak rögzítésére és nyomon követésére szolgáló informatikai eszköz segítségével – az NVSC által kitűzött cél megvalósítására, vagyis a Covid19‑világjárvány kezelésére irányult. Az NVSC e célból előírta a szóban forgó mobilalkalmazás felhasználói személyes adatainak kezelését. Az előzetes döntéshozatalra utaló határozatból továbbá az is kitűnik, hogy a mobilalkalmazás paramétereit – például a feltett kérdéseket és a kérdések megfogalmazását – az NVSC igényeihez szabták, és az NVSC aktív szerepet játszott azok meghatározásában.

33	E körülmények között főszabály szerint úgy kell tekinteni, hogy az NVSC ténylegesen részt vett az adatkezelés céljainak és eszközeinek meghatározásában.

Ezzel szemben pusztán az, hogy a szóban forgó mobilalkalmazás adatvédelmi szabályzatában az NVSC‑t adatkezelőként tüntették fel, és hogy a mobilalkalmazásban erre a jogalanyra mutató linkek szerepelnek, csak akkor tekinthető relevánsnak, ha bizonyítást nyer, hogy az NVSC kifejezetten vagy hallgatólagosan hozzájárult ennek feltüntetéséhez, illetve ezekhez a linkekhez.

Ezenkívül a kérdést előterjesztő bíróság által az előzetes döntéshozatalra előterjesztett első három kérdés kifejtése során említett körülmények – hogy maga az NVSC nem kezelt személyes adatokat, hogy az NVSC és az ITSS társaság között nem volt szerződés, hogy az NVSC nem szerezte meg a szóban forgó mobilalkalmazás tulajdonjogát, illetve hogy az NVSC nem adott engedélyt a mobilalkalmazás online webáruházakban való terjesztésére – nem zárják ki, hogy az NVSC az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett adatkezelőnek minősüljön.

Az általános adatvédelmi rendelet (74) preambulumbekezdésével összefüggésben értelmezett ezen rendelkezésből ugyanis az következik, hogy amennyiben a jogalany megfelel az említett 4. cikk 7. pontjában előírt feltételnek, nemcsak az általa, hanem a nevében végzett bármely személyesadat‑kezelésért is felelős.

E tekintetben mindazonáltal pontosítani kell, hogy az NVSC nem tekinthető a szóban forgó mobilalkalmazás nyilvánosság számára történő hozzáférhetővé tételéből nyert személyes adatok kezelőjének, ha a hozzáférhetővé tételt azt megelőzően kifejezetten ellenezte, aminek vizsgálata a kérdést előterjesztő bíróság feladata. Ilyen esetben ugyanis nem állapítható meg, hogy a szóban forgó adatkezelést az NVSC nevében végezték.

A fenti indokokra tekintettel az első, a második és a harmadik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontját úgy kell értelmezni, hogy az a jogalany, amely egy vállalkozást mobiltelefonos informatikai alkalmazás fejlesztésével bízott meg, és amely ezzel összefüggésben részt vett a mobilalkalmazással történő személyesadat-kezelés céljainak és eszközeinek meghatározásában, e rendelkezés értelmében akkor is adatkezelőnek tekinthető, ha ő maga nem végzett adatkezelési műveletet, nem járult hozzá kifejezetten az ilyen adatkezelésre irányuló konkrét műveletek elvégzéséhez vagy az említett mobilalkalmazás nyilvánosság számára történő hozzáférhetővé tételéhez, és nem szerezte meg a mobilalkalmazás tulajdonjogát, kivéve ha a mobilalkalmazás nyilvánosság számára történő hozzáférhetővé tételét megelőzően kifejezetten ellenezte a nyilvánosság számára történő hozzáférhetővé tételt és az abból nyert személyes adatok kezelését.

Az ötödik kérdésről

Az előterjesztő bíróság másodikként vizsgálandó ötödik kérdése lényegében arra irányul, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontját és 26. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy két jogalany közös adatkezelőnek való minősítése azt feltételezi, hogy a jogalanyok között megállapodás áll fenn a szóban forgó személyes adatok kezelésének céljait és eszközeit illetően, vagy hogy létezik olyan megállapodás, amely meghatározza a közös adatkezelésre irányadó feltételeket.

40	Az általános adatvédelmi rendelet 26. cikkének (1) bekezdése szerint „közös adatkezelőkről” akkor van szó, ha két vagy több adatkezelő közösen határozza meg az adatkezelés céljait és eszközeit.

Amint azt a Bíróság megállapította, ahhoz, hogy egy természetes vagy jogi személy közös adatkezelőnek minősüljön, önállóan meg kell felelnie az „adatkezelő” fogalmának az általános adatvédelmi rendelet 4. cikkének 7. pontjában szereplő meghatározásának (lásd ebben az értelemben: 2019. július 29‑iFashion ID ítélet, C‑40/17, EU:C:2019:629, 74. pont).

A közös felelősség fennállása azonban nem feltétlenül jelenti a személyesadat‑kezeléssel érintett különböző gazdasági szereplők azonos mértékű felelősségét. Éppen ellenkezőleg, mivel ezek a gazdasági szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, adatkezelői felelősségük mértékét az ügy valamennyi releváns körülményének figyelembevételével kell értékelni (2018. június 5‑iWirtschaftsakademie Schleswig‑Holstein ítélet, C‑210/16, EU:C:2018:388, 43. pont). Egyébiránt annak, hogy ugyanazon adatkezelés tekintetében több szereplő együttes felelősséget viseljen, nem előfeltétele, hogy mindegyik adatkezelő hozzáférjen az érintett személyes adatokhoz (2018. július 10‑iJehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 69. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Amint arra a főtanácsnok az indítványának 38. pontjában rámutatott, az adatkezelés céljainak és eszközeinek meghatározásában való részvétel különböző formákban nyilvánulhat meg: következhet két vagy több jogalany által hozott közös döntésből, vagy e jogalanyok egybehangzó döntéseiből. Márpedig ez utóbbi esetben az említett határozatoknak ki kell egészíteniük egymást, oly módon, hogy mindegyiküknek konkrét hatása legyen az adatkezelés céljainak és eszközeinek meghatározására.

44	Ezzel szemben nem követelhető meg, hogy az adatkezelők között alakszerű megállapodás jöjjön létre az adatkezelés céljait és eszközeit illetően.

Kétségtelen, hogy az általános adatvédelmi rendelet (79) preambulumbekezdésével összefüggésben értelmezett 26. cikkének (1) bekezdése értelmében a közös adatkezelőknek a közöttük létrejött megállapodás révén átlátható módon kell meghatározniuk a rendelet követelményeinek való megfelelés biztosítására vonatkozó kötelezettségeiket. Az ilyen megállapodás fennállása azonban nem az előfeltétele annak, hogy két vagy több jogalany közös adatkezelőnek minősüljön, hanem olyan kötelezettség, amelyet a 26. cikk (1) bekezdése az ilyennek minősített közös adatkezelők számára az általános adatvédelmi rendelet rájuk vonatkozó követelményeinek való megfelelés biztosítása érdekében ír elő. Ez a minősítés így tehát pusztán abból ered, hogy több jogalany vett részt az adatkezelés céljainak és eszközeinek meghatározásában.

A fenti indokokra tekintettel az ötödik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontját és 26. cikkének (1) bekezdését úgy kell értelmezni, hogy két jogalany közös adatkezelőnek való minősítése nem feltételezi sem azt, hogy a jogalanyok között megállapodás áll fenn a szóban forgó személyes adatok kezelésének céljait és eszközeit illetően, sem pedig azt, hogy létezik olyan megállapodás, amely meghatározza a közös adatkezelésre irányadó feltételeket.

A negyedik kérdésről

Az előterjesztő bíróság negyedik kérdése lényegében arra irányul, hogy az általános adatvédelmi rendelet 4. cikkének 2. pontját úgy kell‑e értelmezni, hogy az e rendelkezés értelmében vett „adatkezelésnek” minősül a személyes adatoknak egy mobilalkalmazás informatikai tesztelése céljából történő felhasználása.

A jelen ügyben, amint az a jelen ítélet 25. pontjából kitűnik, a fertőző betegségek nyomon követésére és ellenőrzésére szolgáló, a terjedésveszélyt jelző informatikai rendszert működtető litván társaságnak meg kellett kapnia a szóban forgó mobilalkalmazás által gyűjtött személyes adatok másolatait. Informatikai tesztelésekhez az említett társaság alkalmazottainak telefonszámai kivételével fiktív adatokat használtak.

E tekintetben először is az általános adatvédelmi rendelet 4. cikkének 2. pontja úgy határozza meg az „adatkezelés” fogalmát, mint amely „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége”. Ezen nem kimerítő, az „így” szóval bevezetett felsorolásban a rendelkezés az adatkezelésre példaként említi a személyes adatok hozzáférhetővé tételét és felhasználását.

E rendelkezés szövegéből, különösen a „bármely művelet” kifejezésből kitűnik, hogy az uniós jogalkotó az „adatkezelés” fogalmának tág értelmet kívánt tulajdonítani (lásd ebben az értelemben: 2022. február 24‑iValsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 35. pont), és hogy azok az okok, amelyek miatt valamely műveletet vagy műveletek összességét végzik, nem vehetők figyelembe annak meghatározása során, hogy ez a művelet vagy műveletek összessége az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett „adatkezelésnek” minősül‑e.

51	Ennélfogva az a kérdés, hogy a személyes adatokat informatikai tesztelésekhez vagy más célokra használják‑e fel, nem befolyásolja a szóban forgó műveletnek az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett „adatkezelésnek” való minősítését.

52	Másodszor ugyanakkor pontosítani kell, hogy kizárólag a „személyes adatokra” vonatkozó adatkezelés minősül az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett „adatkezelésnek”.

A 2016/679 rendelet 4. cikkének 1. pontja e tekintetben pontosítja, hogy „személyes adatnak” tekinthető az „azonosított vagy azonosítható természetes személyre vonatkozó bármely információ”, és hogy „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.

Márpedig önmagában a kérdést előterjesztő bíróság által a negyedik kérdésében hivatkozott azon körülmény alapján, miszerint „személyes adatok másolatairól” van szó, még nem zárható ki, hogy ezeket a másolatokat az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett személyes adatoknak lehessen minősíteni, feltéve hogy a másolatok azonosított vagy azonosítható természetes személyre vonatkozó információkat tartalmaznak.

55	Meg kell azonban állapítani, hogy a fiktív adatok, mivel nem azonosított vagy azonosítható természetes személyre, hanem valójában nem létező személyre vonatkoznak, nem minősülnek az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett személyes adatoknak.

56	Ugyanez vonatkozik az informatikai teszteléshez használt, anonim vagy anonimizált adatokra is.

Az általános adatvédelmi rendelet (26) preambulumbekezdéséből, valamint magából a „személyes adat” fogalmának az e rendelet 4. cikkének 1. pontjában szereplő meghatározásából ugyanis az következik, hogy nem tartoznak e fogalom alá az „anonim információk”, azaz az „olyan információk […], amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak,”, sem pedig az „olyan személyes adatok […], amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható”.

Az általános adatvédelmi rendelet 4. cikkének az e rendelet (26) preambulumbekezdésével összefüggésben értelmezett 5. pontjából azonban az következik, hogy a csupán álnevesített személyes adatokat, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatoknak kell tekinteni, amelyekre az adatvédelemre vonatkozó elvek alkalmazandók.

A fenti indokokra tekintettel a negyedik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 4. cikkének 2. pontját úgy kell értelmezni, hogy az e rendelkezés értelmében vett „adatkezelésnek” minősül a személyes adatoknak egy mobilalkalmazás informatikai tesztelése céljából történő felhasználása, kivéve ha az ilyen adatokat olyan módon anonimizálták, amelynek következtében az érintett nem vagy többé nem azonosítható, illetve ha nem létező természetes személyre vonatkozó, fiktív adatokról van szó.

A hatodik kérdésről

Hatodik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 83. cikkét úgy kell‑e értelmezni, hogy egyrészt e rendelkezés alapján csak akkor szabható ki közigazgatási bírság, ha megállapítást nyer, hogy az adatkezelő szándékosan vagy gondatlanságból a 83. cikk (4)–(6) bekezdésében említett jogsértést követett el, másrészt pedig közigazgatási bírság szabható ki az adatkezelővel szemben az adatfeldolgozó által az adatkezelő nevében végzett adatkezelési műveletekre tekintettel.

Ami először is azt a kérdést illeti, hogy az általános adatvédelmi rendelet 83. cikke alapján csak akkor szabható‑e ki közigazgatási bírság, ha megállapítást nyer, hogy az adatkezelő szándékosan vagy gondatlanságból a 83. cikk (4)–(6) bekezdésében említett jogsértést követett el, a 83. cikk (1) bekezdéséből kitűnik, hogy a közigazgatási bírságoknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. Az általános adatvédelmi rendelet 83. cikke azt azonban nem mondja ki kifejezetten, hogy e jogsértések csak akkor szankcionálhatók közigazgatási bírsággal, ha azokat szándékosan vagy legalábbis gondatlanságból követték el.

A litván kormány és az Európai Unió Tanácsa ebből azt a következtetést vonja le, hogy az uniós jogalkotó bizonyos mérlegelési mozgásteret kívánt hagyni a tagállamoknak az általános adatvédelmi rendelet 83. cikkének végrehajtása során, lehetővé téve számukra, hogy e rendelkezés alapján a közigazgatási bírság kiszabását adott esetben annak megállapítása nélkül írják elő, hogy az általános adatvédelmi rendelet közigazgatási bírsággal szankcionált megsértését szándékosan vagy gondatlanságból követték el.

63	Az általános adatvédelmi rendelet 83. cikkének ilyen értelmezése nem fogadható el.

E tekintetben emlékeztetni kell arra, hogy az EUMSZ 288. cikk értelmében a rendeletekben foglalt rendelkezéseknek a nemzeti jogrendszerekben általában azonnali hatályuk van, és a nemzeti hatóságoknak nem szükséges végrehajtási intézkedéseket hozniuk. Mindazonáltal a rendeletek egyes rendelkezéseinek végrehajtása érdekében szükség lehet végrehajtási intézkedések elfogadására a tagállamok részéről (lásd ebben az értelemben: 2022. április 28‑iMeta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 58. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Ez a helyzet többek között az általános adatvédelmi rendelet esetében, amelynek bizonyos rendelkezései lehetőséget adnak a tagállamok számára, hogy további, szigorúbb vagy eltérő nemzeti szabályokat írjanak elő, ezáltal mérlegelési mozgásteret hagynak a tagállamok számára e rendelkezések végrehajtásának módját illetően (2022. április 28‑iMeta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 57. pont).

Hasonlóképpen, mivel az általános adatvédelmi rendelet nem tartalmaz konkrét eljárási szabályokat, az egyes tagállamok belső jogrendjére tartozik – az egyenértékűség és a hatékonyság elvének tiszteletben tartása mellett – az azon keresetekre vonatkozó részletes szabályok meghatározása, amelyek a jogalanyoknak az e rendeletben foglalt rendelkezésekből eredő jogai védelmének biztosítását szolgálják (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 53. és 54. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Ugyanakkor az általános adatvédelmi rendelet 83. cikke (1)–(6) bekezdésének szövegéből nem lehet arra következtetni, hogy az uniós jogalkotó mérlegelési mozgásteret kívánt volna hagyni a tagállamok számára azon anyagi jogi feltételeket illetően, amelyeket a felügyeleti hatóságnak tiszteletben kell tartania, amikor úgy dönt, hogy az e cikk (4)–(6) bekezdésében említett jogsértés miatt közigazgatási bírságot szab ki az adatkezelővel szemben.

Kétségtelen, hogy egyrészt az általános adatvédelmi rendelet 83. cikkének (7) bekezdése előírja, hogy minden egyes tagállam megállapíthatja az arra vonatkozó szabályokat, hogy az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható‑e közigazgatási bírság, és ha igen, milyen mértékű. Másrészt a rendelet (129) preambulumbekezdésével összefüggésben értelmezett 83. cikkének (8) bekezdéséből kitűnik, hogy a felügyeleti hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák – ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást – biztosításával gyakorolja.

Mindazonáltal az a tény, hogy az említett rendelet ily módon lehetővé teszi a tagállamok számára, hogy kivételeket írjanak elő az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervek tekintetében, valamint hogy követelményeket írhatnak elő a felügyelő hatóságok által a bírság kiszabása érdekében követendő eljárásra vonatkozóan, nem jelenti azt, hogy a tagállamok az ilyen eljárási jellegű kivételeken és követelményeken túlmenően olyan anyagi jogi feltételeket is előírhatnak, amelyeket az adatkezelő felelősségének megállapítása és az említett 83. cikk szerinti közigazgatási bírság kiszabása során tiszteletben kell tartani. Ezenkívül az a tény, hogy az uniós jogalkotó gondot fordított arra, hogy ezt a lehetőséget kifejezetten előírja, arra viszont nem, hogy ilyen anyagi jogi feltételeket írjon elő, megerősíti, hogy e tekintetben nem hagyott mérlegelési mozgásteret a tagállamok számára.

Ezt a megállapítást az általános adatvédelmi rendelet 83. és 84. cikkének együttes értelmezése is alátámasztja. A rendelet 84. cikkének (1) bekezdése ugyanis elismeri, hogy a tagállamok továbbra is hatáskörrel rendelkeznek arra, hogy megállapítsák az e rendelet megsértése esetén alkalmazandó „további szankciókra vonatkozó szabályokat, különösen azon jogsértések tekintetében, amelyek nem tartoznak a 83. cikkben meghatározott, közigazgatási bírságokkal sújtható jogsértések közé”. E rendelkezések együttes értelmezéséből tehát az következik, hogy az ilyen közigazgatási bírságok kiszabását lehetővé tevő anyagi jogi feltételek meghatározása nem tartozik ebbe a hatáskörbe. Ezek a feltételek tehát kizárólag az uniós jog hatálya alá tartoznak.

Az említett feltételeket illetően meg kell állapítani, hogy az általános adatvédelmi rendelet 83. cikkének (2) bekezdése felsorolja azokat a tényezőket, amelyekre tekintettel a felügyeleti hatóság közigazgatási bírságot szab ki az adatkezelőre. E rendelkezés b) pontjában e tényezők között szerepel „a jogsértés szándékos vagy gondatlan jellege”. Az említett rendelkezésben felsorolt tényezők egyike sem utal azonban arra, hogy az adatkezelő vétkes magatartása hiányában megállapítható lenne az adatkezelő felelőssége.

Ezenkívül az általános adatvédelmi rendelet 83. cikkének (2) bekezdését ugyanezen cikk (3) bekezdésével összefüggésben kell értelmezni, amely a rendelet halmazatban történő megsértésének következményeiről rendelkezik, és amelynek értelmében „ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget”.

Így az általános adatvédelmi rendelet 83. cikke (2) bekezdésének szövegéből az következik, hogy kizárólag a rendeletben foglalt rendelkezések adatkezelő általi vétkes – azaz szándékosan vagy gondatlanságból történő – megsértése eredményezheti e cikk alapján az adatkezelővel szembeni közigazgatási bírság kiszabását.

74	Az általános adatvédelmi rendelet általános rendszere és célja is alátámasztja ezt az értelmezést.

75	Egyrészt az uniós jogalkotó olyan szankciórendszert írt elő, amely lehetővé teszi a felügyeleti hatóságok számára, hogy az adott eset körülményeitől függően a leginkább megfelelő szankciókat szabják ki.

Az általános adatvédelmi rendeletnek a felügyeleti hatóságok hatásköreit meghatározó 58. cikke ugyanis (2) bekezdésének i) pontjában előírja, hogy a felügyeleti hatóságok az 58. cikk (2) bekezdésben említett korrekciós intézkedéseken – így például a figyelmeztetéseken, elmarasztalásokon vagy utasításokon – „túlmenően vagy azok helyett” a 83. cikknek megfelelően közigazgatási bírságot szabhatnak ki. Hasonlóképpen, az említett rendelet (148) preambulumbekezdése szerint kisebb jogsértés esetén, illetve ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a felügyeleti hatóságok eltekinthetnek a közigazgatási bírság kiszabásától, és ehelyett megrovást alkalmazhatnak.

Másrészt az általános adatvédelmi rendelet (10) preambulumbekezdése szerint a rendeletben foglalt rendelkezéseknek többek között az a célja, hogy biztosítsa a természetes személyek következetes és magas szintű védelmét a személyes adatok Unión belüli kezelését illetően, és e célból biztosítsa a szabadságok és alapvető jogok védelmére vonatkozó szabályok következetes és egységes alkalmazását a személyes adatok Unió egészén belüli kezelését illetően. Az általános adatvédelmi rendelet (11) és (129) preambulumbekezdése továbbá a rendelet következetes alkalmazásának biztosítása érdekében annak szükségességét hangsúlyozza, hogy a felügyeleti hatóságok a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatáskörökkel rendelkezzenek, és a rendelet megsértése esetén azonos szankciókat alkalmazzanak.

Az adott ügy sajátos körülményeivel indokolható esetben az általános adatvédelmi rendelet 83. cikke alapján közigazgatási bírság kiszabását lehetővé tevő szankciórendszer megléte az adatkezelők és az adatfeldolgozók számára ösztönzést jelent a rendeletnek való megfelelésre. A közigazgatási bírságok visszatartó hatásuk révén elősegítik az egyének személyes adatok kezelése vonatkozásában való védelmének megerősítését, és ezért kulcsfontosságú szerepet játszanak az egyének jogai tiszteletben tartásának biztosításában, összhangban a rendelet azon céljával, hogy magas szintű védelmet biztosítson az egyének személyes adatainak kezelése vonatkozásában.

Az uniós jogalkotó azonban az ilyen magas szintű védelem biztosításához nem tartotta szükségesnek, hogy akár vétkesség hiányában is előírja a közigazgatási bírság kiszabásának lehetőségét. Figyelemmel arra, hogy az általános adatvédelmi rendelet egyenértékű és egységes védelmi szintet céloz meg, és azt ezért az Unió egész területén következetesen kell alkalmazni, e céllal ellentétes lenne, ha lehetővé tennék a tagállamok számára, hogy az említett rendelet 83. cikke alapján ilyen bírságkiszabási rendszert írjanak elő. Az ilyen választási lehetőség megadása ezenkívül torzíthatná a gazdasági szereplők közötti versenyt az Unión belül, ami ellentétes lenne az uniós jogalkotó által többek között az említett rendelet (9) és (13) preambulumbekezdésében megfogalmazott célokkal.

Következésképpen meg kell állapítani, hogy az általános adatvédelmi rendelet 83. cikke nem teszi lehetővé, hogy a (4)–(6) bekezdésében említett jogsértés miatt közigazgatási bírság kiszabását annak megállapítása nélkül írják elő, hogy a jogsértést az adatkezelő szándékosan vagy gondatlanságból követte el, és ennélfogva az ilyen bírság kiszabásának feltétele a jogsértő vétkessége.

E tekintetben azon kérdést illetően, hogy a jogsértést szándékosan vagy gondatlanságból követték‑e el, és ezért az általános adatvédelmi rendelet 83. cikke alapján közigazgatási bírsággal sújtható‑e, pontosítani kell továbbá, hogy az adatkezelő szankcionálható az általános adatvédelmi rendelet hatálya alá tartozó magatartás miatt, amennyiben tudatában kellett lennie magatartása jogsértő jellegének, akár tisztában volt azzal, akár nem, hogy megsérti az általános adatvédelmi rendeletben foglalt rendelkezéseket (lásd analógia útján: 2013. június 18‑iSchenker & Co. és társai ítélet, C‑681/11, EU:C:2013:404, 37. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2021. március 25‑iLundbeck kontra Bizottság ítélet, C‑591/16 P, EU:C:2021:243, 156. pont; 2021. március 25‑iArrow Group és Arrow Generics kontra Bizottság ítélet, C‑601/16 P, EU:C:2021:244, 97. pont).

Amennyiben az adatkezelő jogi személy, azt is meg kell állapítani, hogy az általános adatvédelmi rendelet 83. cikkének alkalmazása nem feltételezi az adott jogi személy irányító testületének részvételét, vagy erről való tudomását (lásd analógia útján: 1983. június 7‑iMusique Diffusion française és társai kontra Bizottság ítélet, 100/80–103/80, EU:C:1983:158, 97. pont; 2017. február 16‑iTudapetrol Mineralölerzeugnisse Nils Hansen kontra Bizottság ítélet, C‑94/15 P, EU:C:2017:124, 28. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Másodszor, ami azt a kérdést illeti, hogy az általános adatvédelmi rendelet 83. cikke alapján ki lehet‑e szabni az adatkezelővel szemben közigazgatási bírságot az adatfeldolgozó által végzett adatkezelési műveletek miatt, emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 4. cikkének 8. pontjában szereplő fogalommeghatározás szerint adatfeldolgozónak minősül „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel”.

Mivel – amint az a jelen ítélet 35. pontjában megállapításra került – az adatkezelő nemcsak az általa, hanem a nevében végzett bármely személyesadat‑kezelésért is felelős, vele szemben az általános adatvédelmi rendelet 83. cikke alapján közigazgatási bírságot lehet kiszabni olyan esetben, amikor a személyes adatokat jogellenesen kezelték, és a jogellenes adatkezelést nem maga az adatkezelő, hanem egy általa megbízott, az említett adatkezelést az ő nevében végző adatfeldolgozó végezte.

Az adatkezelőnek az adatfeldolgozó magatartásáért való felelőssége azonban nem terjedhet ki azokra a helyzetekre, amikor az adatfeldolgozó saját célból kezelt személyes adatokat, vagy amikor az adatfeldolgozó ezeket az adatokat az adatkezelő által meghatározott adatkezelési környezettel, illetve szabályokkal összeegyeztethetetlen vagy oly módon kezelte, hogy észszerűen nem állapítható meg, hogy az adatkezelő hozzájárult volna ehhez. Az általános adatvédelmi rendelet 28. cikke (10) bekezdésének megfelelően ugyanis ilyen esetben az adatfeldolgozót az ilyen adatkezelés tekintetében adatkezelőnek kell tekinteni.

A fenti megfontolásokra tekintettel a hatodik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 83. cikkét úgy kell értelmezni, hogy egyrészt e rendelkezés alapján csak akkor szabható ki közigazgatási bírság, ha megállapítást nyer, hogy az adatkezelő a 83. cikk (4)–(6) bekezdésében említett jogsértést szándékosan vagy gondatlanságból követte el, másrészt pedig közigazgatási bírság szabható ki az adatkezelővel szemben az adatfeldolgozó által az adatkezelő nevében végzett adatkezelési műveletekre tekintettel, kivéve, ha e műveletekkel összefüggésben az adatfeldolgozó saját célból kezelt személyes adatokat, vagy ezeket az adatokat az adatkezelő által meghatározott adatkezelési környezettel, illetve szabályokkal összeegyeztethetetlen vagy oly módon kezelte, hogy észszerűen nem állapítható meg, hogy az adatkezelő hozzájárult volna ehhez.

A költségekről

Mivel ez az eljárás az alapügyben részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 4. cikkének 7. pontját

a következőképpen kell értelmezni:

az a jogalany, amely egy vállalkozást mobiltelefonos informatikai alkalmazás fejlesztésével bízott meg, és amely ezzel összefüggésben részt vett a mobilalkalmazással történő személyesadat-kezelés céljainak és eszközeinek meghatározásában, e rendelkezés értelmében akkor is adatkezelőnek tekinthető, ha ő maga nem végzett adatkezelési műveletet, nem járult hozzá kifejezetten az ilyen adatkezelésre irányuló konkrét műveletek elvégzéséhez vagy az említett mobilalkalmazás nyilvánosság számára történő hozzáférhetővé tételéhez, és nem szerezte meg a mobilalkalmazás tulajdonjogát, kivéve ha a mobilalkalmazás nyilvánosság számára történő hozzáférhetővé tételét megelőzően kifejezetten ellenezte a nyilvánosság számára történő hozzáférhetővé tételt és az abból nyert személyes adatok kezelését.

A 2016/679 rendelet 4. cikkének 7. pontját és 26. cikkének (1) bekezdését

a következőképpen kell értelmezni:

két jogalany közös adatkezelőnek való minősítése nem feltételezi sem azt, hogy a jogalanyok között megállapodás áll fenn a szóban forgó személyes adatok kezelésének céljait és eszközeit illetően, sem pedig azt, hogy létezik olyan megállapodás, amely meghatározza a közös adatkezelésre irányadó feltételeket.

A 2016/679 rendelet 4. cikkének 2. pontját

a következőképpen kell értelmezni:

az e rendelkezés értelmében vett „adatkezelésnek” minősül a személyes adatoknak egy mobilalkalmazás informatikai tesztelése céljából történő felhasználása, kivéve ha az ilyen adatokat olyan módon anonimizálták, amelynek következtében az érintett nem vagy többé nem azonosítható, illetve ha nem létező természetes személyre vonatkozó, fiktív adatokról van szó.

A 2016/679 rendelet 83. cikkét

a következőképpen kell értelmezni:

egyrészt e rendelkezés alapján csak akkor szabható ki közigazgatási bírság, ha megállapítást nyer, hogy az adatkezelő a 83. cikk (4)–(6) bekezdésében említett jogsértést szándékosan vagy gondatlanságból követte el,

másrészt közigazgatási bírság szabható ki az adatkezelővel szemben az adatfeldolgozó által az adatkezelő nevében végzett adatkezelési műveletekre tekintettel, kivéve, ha e műveletekkel összefüggésben az adatfeldolgozó saját célból kezelt személyes adatokat, vagy ezeket az adatokat az adatkezelő által meghatározott adatkezelési környezettel, illetve szabályokkal összeegyeztethetetlen vagy oly módon kezelte, hogy észszerűen nem állapítható meg, hogy az adatkezelő hozzájárult volna ehhez.

Aláírások

( *1 ) Az eljárás nyelve: litván.