Byla C‑683/21

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

prieš

Valstybinę duomenų apsaugos inspekciją

(Vilniaus apygardos administracinio teismo prašymas priimti prejudicinį sprendimą)

2023 m. gruodžio 5 d. Teisingumo Teismo (didžioji kolegija) sprendimas

„Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – 4 straipsnio 2 ir 7 punktai – Sąvokos „duomenų tvarkymas“ ir „duomenų valdytojas“ – Mobiliosios IT programėlės kūrimas – 26 straipsnis – Bendras duomenų valdymas – 83 straipsnis – Administracinių baudų skyrimas – Sąlygos – Reikalavimas, kad pažeidimas būtų padarytas tyčia ar dėl aplaidumo – Duomenų valdytojo atsakomybė už duomenų tvarkytojo atliekamą asmens duomenų tvarkymą“

1. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Sąvoka „duomenų valdytojas“ – Subjektas, pavedęs įmonei sukurti mobiliąją IT programėlę, tačiau pats neatlikęs duomenų tvarkymo veiksmų, nedavęs aiškaus sutikimo atlikti tokius veiksmus arba padaryti šią programėlę viešai prieinamą ir jos neįsigijęs – Įtraukimas – Sąlyga – Faktinis dalyvavimas nustatant duomenų tvarkymo tikslus ir priemones – Išimtis

   (Europos Parlamento ir Tarybos reglamento 2016/679 74 konstatuojamoji dalis ir 4 straipsnio 7 punktas)

   (žr. 30–38 punktus ir rezoliucinės dalies 1 punktą)

2. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Bendras duomenų valdymas – Sąlyga – Bendras duomenų tvarkymo tikslų ir priemonių nustatymas – Reikalavimas, kad bendri duomenų valdytojai būtų sudarę susitarimą dėl duomenų tvarkymo tikslų ir priemonių nustatymo arba susitarimu nustatę bendro duomenų valdymo sąlygas – Nebuvimas

   (Europos Parlamento ir Tarybos reglamento 2016/679 79 konstatuojamoji dalis, 4 straipsnio 7 punktas ir 26 straipsnio 1 dalis)

   (žr. 41–46 punktus ir rezoliucinės dalies 2 punktą)

3. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Sąvoka „duomenų tvarkymas“ – Asmens duomenų naudojimas testuojant mobiliąją IT programėlę – Įtraukimas – Sąlyga – Į asmens duomenis nukreiptas tvarkymas – Nuasmenintų ar netikrų duomenų tvarkymas – Neįtraukimas – Asmens duomenų, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, tvarkymas – Įtraukimas

   (Europos Parlamento ir Tarybos reglamento 2016/679 26 konstatuojamoji dalis, 4 straipsnio 1, 2 ir 5 punktai)

   (žr. 50–59 punktus ir rezoliucinės dalies 3 punktą)

4. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Administracinių baudų skyrimas – Sąlygos – Diskrecijos nustatyti materialines sąlygas, kurių reikia laikytis skiriant duomenų valdytojui administracinę baudą, nesuteikimas valstybėms narėms – Reikalavimas, kad pažeidimas būtų padarytas tyčia ar dėl aplaidumo

   (SESV 288 straipsnis; Europos Parlamento ir Tarybos reglamento 2016/679 10, 129 ir 148 konstatuojamosios dalys, 58, 83 ir 84 straipsniai)

   (žr. 64–82, 86 punktus ir rezoliucinės dalies 4 punktą)

5. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Administracinių baudų skyrimas – Galimybė skirti duomenų valdytojui baudą už duomenų tvarkytojo atliekamą asmens duomenų tvarkymą – Išimtys

   (Europos Parlamento ir Tarybos reglamento 2016/679 4 straipsnio 8 punktas, 28 straipsnio 10 dalis ir 83 straipsnis)

   (žr. 83–86 punktus ir rezoliucinės dalies 4 punktą)

Santrauka

2020 m., siekdamos geriau valdyti COVID‑19 pandemiją, Lietuvos valdžios institucijos nusprendė organizuoti mobiliosios IT programos įsigijimą. Ši programėlė turėjo padėti siekti epidemiologinės priežiūros tikslų, leisdama registruoti ir stebėti sąlytį su COVID‑19 viruso nešiotojais turėjusių asmenų duomenis.

Šiuo tikslu Lietuvos nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (toliau – NVSC), atsakingas už šį įsigijimą, kreipėsi į bendrovę UAB „IT sprendimai sėkmei“ (toliau – bendrovė ITSS) ir pavedė jai sukurti tokią mobiliąją programėlę. Vėliau NVSC darbuotojai šiai bendrovei siuntė elektroninius laiškus dėl, be kita ko, šioje programėlėje pateiktinų klausimų.

2020 m. balandžio ir gegužės mėn. bendrovės ITSS sukurta mobilioji programėlė buvo padaryta viešai prieinama. 3802 asmenys ja pasinaudojo ir pateikė įvairius joje prašytus savo duomenis. Vis dėlto dėl finansavimo trūkumo NVSC nesudarė su bendrove ITSS viešojo pirkimo sutarties dėl mobiliosios programėlės oficialaus įsigijimo ir nutraukė su tuo susijusią pirkimo procedūrą.

Tuo metu nacionalinė priežiūros institucija pradėjo tyrimą dėl asmens duomenų, gautų naudojant šią programėlę, tvarkymo. Užbaigus tyrimą priimtu šios institucijos sprendimu administracinės baudos buvo skirtos ir NVSC, ir bendrovei ITSS, kuri pripažinta bendra duomenų valdytoja.

NVSC apskundė šį sprendimą Vilniaus apygardos administraciniam teismui. Abejodamas dėl kelių BDAR ( 1 ) nuostatų aiškinimo, šis teismas kreipėsi į Teisingumo Teismą su prašymu priimti prejudicinį sprendimą.

Savo sprendime Teisingumo Teismas (didžioji kolegija) išaiškino sąvokas „duomenų valdytojas“, „bendri duomenų valdytojai“ ir „duomenų tvarkymas“ ( 2 ) ir išdėstė poziciją dėl galimybės skirti administracinę baudą duomenų valdytojui ( 3 ), kai BDAR nuostatų pažeidimas, už kurį numatytos sankcijos, nebuvo padarytas tyčia ar dėl aplaidumo.

Teisingumo Teismo vertinimas

Visų pirma, Teisingumo Teismas pažymėjo, kad subjektas, pavedęs įmonei sukurti mobiliąją IT programėlę ir prisidėjęs nustatant šia programėle atliekamo asmens duomenų tvarkymo tikslus ir priemones, gali būti laikomas duomenų valdytoju ( 4 ). Šios išvados nepaneigia, aplinkybė, kad šis subjektas pats neatliko tokių duomenų tvarkymo veiksmų, nedavė aiškaus sutikimo atlikti konkrečius tokio tvarkymo veiksmus arba padaryti šią mobiliąją programėlę viešai prieinamą ir jos neįsigijo, nebent prieš padarant šią programėlę viešai prieinamą šis subjektas aiškiai išreiškė nepritarimą tokiam veiksmui ir jo nulemtam asmens duomenų tvarkymui.

Antra, Teisingumo Teismas nurodė, kad norint du subjektus pripažinti bendrais duomenų valdytojais nereikia, kad jie būtų sudarę susitarimą dėl asmens duomenų tvarkymo tikslų ir priemonių nustatymo arba susitarimu nustatę bendro duomenų valdymo sąlygas. Žinoma, pagal BDAR ( 5 ) bendri duomenų valdytojai turi tarpusavio susitarimu skaidriai nustatyti savo atitinkamą atsakomybę už šiame reglamente nustatytų prievolių laikymąsi. Vis dėlto tokio susitarimo buvimas yra ne išankstinė sąlyga tam, kad du ar daugiau subjektų būtų laikomi bendrais duomenų valdytojais, o pareiga, pagal BDAR nustatyta bendrais duomenų valdytojais jau pripažintiems subjektams, kad jie laikytųsi jiems nustatytų šio reglamento reikalavimų. Taigi šį pripažinimą lemia jau vien kelių subjektų dalyvavimas nustatant duomenų tvarkymo tikslus ir priemones.

Kiek tai susiję su atitinkamų subjektų bendru duomenų tvarkymo tikslų ir priemonių nustatymu, Teisingumo Teismas patikslino, kad jų dalyvavimas atliekant šį nustatymą gali būti įvairių formų ir jį gali lemti ir bendras jų sprendimas, ir sutampantys sprendimai. Pastaruoju atveju šie sprendimai turi papildyti vienas kitą, kad kiekvienas jų turėtų konkretų poveikį nustatant duomenų tvarkymo tikslus ir priemones.

Trečia, Teisingumo Teismas nurodė, kad asmens duomenų naudojimas testuojant mobiliąją IT programėlę yra duomenų tvarkymas ( 6 ). Tačiau taip nėra, jeigu tokie duomenys nuasmeninti taip, kad jų subjekto tapatybė negali arba nebegali būti nustatyta, arba tai yra netikri duomenys, nesusiję su jokiu esamu fiziniu asmeniu.

Iš tiesų, klausimas, ar asmens duomenys naudojami testuojant IT programėlę, ar kitam tikslui, neturi įtakos atitinkamos operacijos pripažinimui „duomenų tvarkymu“. Be to, tik „asmens duomenų“ tvarkymas yra „tvarkymas“, kaip tai suprantama pagal BDAR. Netikri ar anoniminiai duomenys nėra asmens duomenys.

Galiausiai, ketvirta, Teisingumo Teismas konstatavo, kad pagal BDAR 83 straipsnį administracinė bauda duomenų valdytojui gali būti skirta tik nustačius, kad jis tyčia ar dėl aplaidumo pažeidė šiame reglamente nustatytas taisykles ( 7 ).

Šiuo klausimu Teisingumo Teismas pažymėjo, kad Sąjungos teisės aktų leidėjas nepaliko valstybėms narėms diskrecijos dėl materialinių sąlygų, kurių turi laikytis priežiūros institucija, kai ji nusprendžia skirti duomenų valdytojui administracinę baudą pagal šią nuostatą. Tai, kad BDAR valstybėms narėms suteikta galimybė numatyti išimtis jų teritorijoje įsteigtoms valdžios institucijoms ir įstaigoms ( 8 ), taip pat procedūrinius reikalavimus, kurių turi laikytis priežiūros institucijos, kad galėtų skirti administracinę baudą ( 9 ), visai nereiškia, kad šioms valstybėms suteikta teisė taip pat numatyti materialines sąlygas.

Dėl šių sąlygų Teisingumo Teismas pažymėjo, kad tarp BDAR išvardytų veiksnių, į kuriuos atsižvelgdama priežiūros institucija skiria duomenų valdytojui administracinę baudą, yra aplinkybė, „ar pažeidimas padarytas tyčia, ar dėl aplaidumo“ ( 10 ). Tačiau nė vienas iš šių veiksnių nepatvirtina galimybės patraukti duomenų valdytoją atsakomybėn nesant jo kaltės. Taigi administracinė bauda pagal BDAR 83 straipsnį duomenų valdytojui gali būti skirta tik esant jo kaltei, t. y. tyčiai ar aplaidumui, padarius šio reglamento nuostatų pažeidimus.

Teisingumo Teismas pridūrė, kad tokį aiškinimą patvirtina BDAR bendra sistema ir tikslas. Šiomis aplinkybėmis jis patikslino, kad BDAR nustatyta sankcijų sistema, leidžianti skirti administracinę baudą, kai to reikia atsižvelgiant į konkrečias kiekvieno atvejo aplinkybes, skatina duomenų valdytojus ir duomenų tvarkytojus laikytis šio reglamento ir kad dėl atgrasomojo poveikio administracinės baudos prisideda prie suinteresuotųjų fizinių asmenų apsaugos. Vis dėlto Sąjungos teisės aktų leidėjas nemanė esant būtina numatyti administracinių baudų skyrimą nesant kaltės. Atsižvelgiant į tai, kad BDAR siekiama lygiavertės ir vienodos apsaugos ir kad šiuo tikslu jis turi būti nuosekliai taikomas visoje Sąjungoje, šiam tikslui prieštarautų leidimas valstybėms narėms numatyti tokią baudų skyrimo sistemą.

Be to, Teisingumo Teismas padarė išvadą, kad tokia bauda gali būti skirta duomenų valdytojui už asmens duomenų tvarkymo veiksmus, kuriuos jo vardu atlieka duomenų tvarkytojas, išskyrus atvejus, kai atlikdamas tokius veiksmus duomenų tvarkytojas tvarko duomenis savo tikslais arba tokiu būdu, kuris nesuderinamas su duomenų valdytojo nustatyta duomenų tvarkymo sistema ar tvarka, arba taip, kad negalima pagrįstai manyti, jog duomenų valdytojas tam pritarė. Tokiu atveju pats duomenų tvarkytojas turi būti laikomas atsakingu už tokį duomenų tvarkymą.

( 1 ) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR).

( 2 ) Jos apibrėžtos atitinkamai BDAR 4 straipsnio 7 punkte, 26 straipsnio 1 dalyje ir 4 straipsnio 2 punkte.

( 3 ) Pagal RGPD 83 straipsnį.

( 4 ) Kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą.

( 5 ) BDAR 26 straipsnio 1 dalis, siejama su jo 79 konstatuojamąja dalimi.

( 6 ) Kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą.

( 7 ) 83 straipsnio 4–6 dalyse numatyti pažeidimai

( 8 ) Pagal BDAR 83 straipsnio 7 dalį, kurioje numatyta, kad „<...> kiekviena valstybė narė gali nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijoms ir įstaigoms, įsisteigusioms toje valstybėje narėje“.

( 9 ) Pagal BDAR 83 straipsnio 8 dalį, siejamą su jo 129 konstatuojamąja dalimi.

( 10 ) BDAR 83 straipsnio 2 dalies b punktas.