–

Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos, atstovaujamo G. Aleksienės,

–

Valstybinės duomenų apsaugos inspekcijos, atstovaujamos R. Andrijausko,

–

Lietuvos vyriausybės, atstovaujamos V. Kazlauskaitės-Švenčionienės,

–

Nyderlandų vyriausybės, atstovaujamos C. S. Schillemans,

–

Europos Sąjungos Tarybos, atstovaujamos R. Liudvinavičiūtės ir K. Pleśniak,

–

Europos Komisijos, atstovaujamos A. Bouchagiar, H. Kranenborg ir A. Steiblytės,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas; toliau – BDAR) (OL L 119, 2016, p. 1) 4 straipsnio 2 bei 7 punktų, 26 straipsnio 1 dalies ir 83 straipsnio 1 dalies išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos (toliau – NVSC) ir Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) ginčą dėl pastarosios sprendimo pagal BDAR 83 straipsnį skirti NVSC administracinę baudą už šio reglamento 5, 13, 24, 32 ir 35 straipsnių pažeidimą.

3

BDAR 9, 10, 11, 13, 26, 74, 79, 129 ir 148 konstatuojamosiose dalyse nurodyta:

<...>

<...>

<...>

<...>

<...>

<...>

4

Šio reglamento 4 straipsnyje nustatyta:

„Šiame reglamente:

<...>

<...>

<...>“

5

Minėto reglamento 26 straipsnio „Bendri duomenų valdytojai“ 1 dalyje nustatyta:

„Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie tarpusavio susitarimu skaidriu būdu nustato savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir jų atitinkamomis pareigomis pateikti 13 ir 14 straipsniuose nurodytą informaciją, vykdymą, išskyrus atvejus, kai atitinkama duomenų valdytojų atsakomybė yra nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas.“

6

To paties reglamento 28 straipsnio „Duomenų tvarkytojas“ 10 dalyje numatyta:

„Nedarant poveikio 82, 83 ir 84 straipsniams, jei duomenų tvarkytojas nustatydamas duomenų tvarkymo tikslus ir priemones pažeidžia šį reglamentą, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.“

7

BDAR 58 straipsnio „Įgaliojimai“ 2 dalyje nustatyta:

„Kiekviena priežiūros institucija turi visus šiuos įgaliojimus imtis taisomųjų veiksmų:

<...>

<...>

<...>

<...>“

8

Šio reglamento 83 straipsnis „Bendrosios administracinių baudų skyrimo sąlygos“ suformuluotas taip:

„1.   Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

2.   Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

3.   Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą.

4.   Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 10000000 [eurų] arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a) duomenų valdytojo ir duomenų tvarkytojo prievoles [pagal] 8, 11, 25–39 ir 42 bei 43 straipsnius;

<...>

5.   Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 20000000 [eurų] arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

<...>

<...>

6.   Jei nesilaikoma 58 straipsnio 2 dalyje nurodyto priežiūros institucijos nurodymo, pagal šio straipsnio 2 dalį skiriamos administracinės baudos iki 20000000 [eurų] arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

7.   Nedarant poveikio priežiūros institucijų įgaliojimams imtis taisomųjų veiksmų pagal 58 straipsnio 2 dalį, kiekviena valstybė narė gali nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijoms ir įstaigoms, įsisteigusioms toje valstybėje narėje.

8.   Priežiūros institucijos naudojimuisi įgaliojimais pagal šį straipsnį taikomos atitinkamos procedūrinės garantijos laikantis Sąjungos teisės aktų ir valstybės narės teisės aktų, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą.

<...>“

9

To paties reglamento 84 straipsnio „Sankcijos“ 1 dalyje nustatyta:

„Valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos. Tokios sankcijos yra veiksmingos, proporcingos ir atgrasomos.“

10

Viešųjų pirkimų įstatymo 29 straipsnio 3 dalyje nurodytos tam tikros aplinkybės, kurioms esant perkančioji organizacija turi teisę arba pareigą savo iniciatyva ir bet kuriuo metu iki viešojo pirkimo sutarties (arba preliminarios sutarties) sudarymo arba projekto konkurso laimėtojo nustatymo nutraukti jos pradėtas viešojo pirkimo ar projekto konkurso procedūras.

11

Viešųjų pirkimų įstatymo 72 straipsnio 2 dalyje numatyti perkančiosios organizacijos vykdomo viešojo pirkimo neskelbiamų derybų būdu etapai.

12

Atsižvelgdamas į COVID‑19 viruso sukeltą pandemiją, Lietuvos Respublikos sveikatos apsaugos ministras pirmuoju 2020 m. kovo 24 d. sprendimu pavedė NVSC direktoriui nedelsiant įsigyti informacinę sistemą, skirtą su šio viruso nešiotojais sąlytį turėjusių asmenų duomenims registruoti ir stebėti epidemiologinės priežiūros tikslais.

13

2020 m. kovo 27 d. elektroniniu laišku asmuo, prisistatęs NVSC atstovu (toliau – A.S.), informavo bendrovę UAB „IT sprendimai sėkmei“ (toliau – bendrovė ITSS), kad NVSC ją atrinko kaip mobiliosios programėlės kūrėją. Vėliau A.S. siuntė bendrovei ITSS elektroninius laiškus dėl įvairių šios mobiliosios programėlės kūrimo aspektų, o šių elektroninių laiškų kopija būdavo persiunčiama NVSC direktoriui.

14

Vykstant deryboms tarp bendrovės ITSS ir NVSC, be A.S., kiti NVSC darbuotojai taip pat siuntė šiai bendrovei elektroninius laiškus dėl aptariamoje mobiliojoje programėlėje užduotinų klausimų formuluočių.

15

Kuriant šią mobiliąją programėlę buvo parengta privatumo politika, kurioje bendrovė ITSS ir NVSC buvo nurodyti kaip duomenų valdytojai.

16

Aptariamą mobiliąją programėlę, kurioje paminėta bendrovė ITSS ir NVSC, nuo 2020 m. balandžio 4 d. buvo galima atsisiųsti iš internetinės parduotuvės Google Play Store, o nuo 2020 m. balandžio 6 d. – iš Apple App Store. Ji veikė iki 2020 m. gegužės 26 d.

17

Nuo 2020 m. balandžio 4 d. iki 2020 m. gegužės 26 d.3802 asmenys pasinaudojo šia programėle ir pateikė joje prašomus savo asmens duomenis, kaip antai: ID numerį, koordinates (platumos ir ilgumos), šalį, miestą, savivaldybę, pašto kodą, gatvės pavadinimą, namo numerį, vardą, pavardę, asmens kodą, telefono numerį ir adresą.

18

Antruoju 2020 m. balandžio 10 d. sprendimu Lietuvos Respublikos sveikatos apsaugos ministras nusprendė pavesti NVSC direktoriui organizuoti nagrinėjamos mobiliosios programėlės įsigijimą iš bendrovės ITSS, ir šiuo tikslu buvo numatyta remtis Viešųjų pirkimų įstatymo 72 straipsnio 2 dalimi. Tačiau NVSC su šia bendrove nesudarė jokios viešojo pirkimo sutarties dėl oficialaus šios programėlės įsigijimo.

19

2020 m. gegužės 15 d. NVSC paprašė nurodytos bendrovės visiškai jo neminėti aptariamoje mobiliojoje programėlėje. Be to, 2020 m. birželio 4 d. raštu NVSC informavo tą bendrovę, kad dėl finansavimo šiai programėlei įsigyti trūkumo jos įsigijimo procedūra nutraukta pagal Viešųjų pirkimų įstatymo 29 straipsnio 3 dalį.

20

2020 m. gegužės 18 d. pradėjusi tyrimą dėl asmens duomenų tvarkymo, VDAI nustatė, kad naudojant aptariamą mobiliąją programėlę buvo renkami asmens duomenys. Be to, buvo nustatyta, kad naudotojai, pasirinkę šią programėlę kaip COVID‑19 pandemijos nulemtos priverstinės izoliacijos stebėsenos metodą, atsakinėjo į klausimus, susijusius su asmens duomenų tvarkymu. Šie duomenys buvo teikiami atsakant į minėtoje programėlėje užduodamus klausimus apie, be kita ko, atitinkamo asmens sveikatos būklę ir jo izoliacijos sąlygų laikymąsi.

21

2021 m. vasario 24 d. sprendimu VDAI skyrė NVSC 12000 eurų administracinę baudą pagal BDAR 83 straipsnį dėl šio reglamento 5, 13, 24, 32 ir 35 straipsnių pažeidimo. Šiuo sprendimu bendrovei ITSS, kaip bendrai duomenų valdytojai, taip pat buvo skirta 3000 eurų administracinė bauda.

22

NVSC apskundė šį sprendimą Vilniaus apygardos administraciniam teismui – prašymą priimti prejudicinį sprendimą pateikusiam teismui – ir teigė, kad bendrovė ITSS turi būti pripažinta vienintele duomenų valdytoja, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą. Savo ruožtu bendrovė ITSS teigia, kad veikė kaip duomenų tvarkytoja, kaip tai suprantama pagal BDAR 4 straipsnio 8 punktą, ir vykdė NVSC, kuris, kaip ji mano, yra vienintelis duomenų valdytojas, nurodymus.

23

Prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad bendrovė ITSS sukūrė nagrinėjamą mobiliąją programėlę ir kad NVSC ją konsultavo dėl naudojant šią programėlę užduotinų klausimų turinio. Tačiau NVSC ir bendrovė ITSS nebuvo sudariusios viešojo pirkimo sutarties. Be to, NVSC nesutiko ir nedavė leidimo padaryti šią programėlę viešai prieinamą įvairiose internetinėse parduotuvėse.

24

Nacionalinis teismas patikslina, kad kuriant nagrinėjamą mobiliąją programėlę buvo siekiama įgyvendinti NVSC nustatytą tikslą, t. y. sukurti informacinės technologijos įrankį COVID‑19 pandemijai suvaldyti, ir kad šiuo tikslu buvo numatyta tvarkyti asmens duomenis. Kalbant apie bendrovės ITSS vaidmenį pažymėtina, jog nebuvo numatyta, kad ši bendrovė siektų kitų tikslų, nei gauti atlygį už sukurtą informacinių technologijų produktą.

25

Tas teismas taip pat pažymi, kad per VDAI tyrimą buvo nustatyta, jog Lietuvos bendrovė „Juvare Lithuania“, tvarkanti Užkrečiamųjų ligų, galinčių išplisti ir kelti grėsmę, stebėsenos ir kontrolės informacinę sistemą, turėjo gauti asmens duomenų, surinktų naudojant nagrinėjamą mobiliąją programėlę, kopijas. Be to, testuojant šią programėlę buvo panaudoti netikri duomenys, išskyrus šios bendrovės darbuotojų telefonų numerius.

26

Šiomis aplinkybėmis Vilniaus apygardos administracinis teismas nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

27

Pirmuoju–trečiuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 7 punktas turi būti aiškinamas taip, kad subjektas, pavedęs įmonei sukurti mobiliąją IT programėlę, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal šią nuostatą, nors jis pats netvarkė asmens duomenų, nedavė aiškaus sutikimo atlikti konkrečių tokio tvarkymo veiksmų arba padaryti šią mobiliąją programėlę viešai prieinamą ir neįsigijo šios mobiliosios programėlės.

28

BDAR 4 straipsnio 7 punkte sąvoka „duomenų valdytojas“ apibrėžta plačiai – kaip fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais „nustato asmens duomenų tvarkymo tikslus ir priemones“.

29

Šios plačios apibrėžties tikslas, atitinkantis BDAR tikslą, yra užtikrinti veiksmingą fizinių asmenų pagrindinių laisvių ir teisių apsaugą ir, be kita ko, aukštą kiekvieno asmens teisės į savo asmens duomenų apsaugą apsaugos lygį (šiuo klausimu žr. 2019 m. liepos 29 d. Sprendimo Fashion ID, C‑40/17, EU:C:2019:629, 66 punktą ir 2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 73 punktą ir jame nurodytą jurisprudenciją).

30

Teisingumo Teismas jau yra nusprendęs, kad bet kuris fizinis ar juridinis asmuo, kuris siekdamas savo tikslų daro įtaką asmens duomenų tvarkymui ir dėl to dalyvauja nustatant tokio tvarkymo tikslus ir būdus, gali būti laikomas duomenų valdytoju. Šiuo požiūriu nebūtina, kad duomenų tvarkymo tikslai ir priemonės būtų nustatyti duomenų valdytojo raštu pateiktose gairėse ar nurodymuose (šiuo klausimu žr. 2018 m. liepos 10 d. Sprendimo Jehovan todistajat, C‑25/17, EU:C:2018:551, 67 ir 68 punktus) arba kad duomenų valdytojas būtų oficialiai paskirtas.

31

Taigi siekiant nustatyti, ar toks subjektas, kaip NVSC, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, reikia išnagrinėti, ar jis, siekdamas savo tikslų, iš tikrųjų darė įtaką šio tvarkymo tikslų ir priemonių nustatymui.

32

Nagrinėjamu atveju su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, iš Teisingumo Teismo turimos bylos medžiagos matyti, kad sukurti nagrinėjamą mobiliąją programėlę užsakė NVSC siekdamas įgyvendinti jam nustatytą užduotį suvaldyti COVID‑19 pandemiją naudojant IT įrankį asmenų, turėjusių kontaktą su COVID‑19 viruso nešiotojais, duomenims registruoti ir stebėti. Šiuo tikslu NVSC numatė, kad bus tvarkomi nagrinėjamos mobiliosios programėlės naudotojų asmens duomenys. Be to, iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad šios programėlės parametrai, kaip antai joje užduodami klausimai ir jų formuluotės, buvo pritaikyti prie NVSC poreikių ir kad jam teko aktyvus vaidmuo juos nustatant.

33

Šiomis aplinkybėmis iš esmės reikia pripažinti, kad NVSC iš tikrųjų dalyvavo nustatant duomenų tvarkymo tikslus ir priemones.

34

Tačiau vien tai, kad aptariamos mobiliosios programėlės privatumo politikoje NVSC buvo nurodytas kaip duomenų valdytojas ir kad į šią programėlę buvo įtrauktos sąsajos su šiuo subjektu, galėtų būti laikoma reikšminga aplinkybe tik tuo atveju, jei būtų įrodyta, kad NVSC tiesiogiai ar numanomai pritarė šiai nuorodai ar šioms sąsajoms.

35

Kita vertus, aplinkybės, kurias prašymą priimti prejudicinį sprendimą pateikęs teismas nurodė grįsdamas savo pirmuosius tris prejudicinius klausimus, t. y. kad pats NVSC netvarkė asmens duomenų, kad NVSC ir bendrovė ITSS nebuvo sudarę sutarties, kad NVSC neįsigijo nagrinėjamos mobiliosios programėlės ar kad nebuvo gautas NVSC leidimas platinti šią programėlę internetinėse parduotuvėse, nereiškia, kad jis negali būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą.

36

Iš tiesų iš šios nuostatos, siejamos su BDAR 74 konstatuojamąja dalimi, matyti, kad jeigu subjektas atitinka minėto 4 straipsnio 7 punkte nustatytą sąlygą, jis yra atsakingas ne tik už bet kokį savo paties atliekamą asmens duomenų tvarkymą, bet ir už tvarkymą, atliekamą jo vardu.

37

Vis dėlto šiuo klausimu svarbu pažymėti, kad NVSC negali būti laikomas asmens duomenų valdytojų dėl nagrinėjamos mobiliosios programėlės padarymo viešai prieinamos, jeigu prieš tokį padarymą prieinamos jis aiškiai išreiškė nepritarimą tam, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas. Iš tiesų tokiu atveju nebūtų galima teigti, kad nagrinėjamas duomenų tvarkymas buvo atliktas NVSC vardu.

38

Atsižvelgiant į tai, kas išdėstyta, į pirmąjį–trečiąjį klausimus reikia atsakyti: BDAR 4 straipsnio 7 punktas turi būti aiškinamas taip, kad subjektas, pavedęs įmonei sukurti mobiliąją IT programėlę ir prisidėjęs nustatant šia programėle atliekamo asmens duomenų tvarkymo tikslus ir priemones, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal šią nuostatą, net jei jis pats neatliko tokių duomenų tvarkymo veiksmų, nedavė aiškaus sutikimo atlikti konkrečių tokio tvarkymo veiksmų arba padaryti šią mobiliąją programėlę viešai prieinamą ir jos neįsigijo, nebent prieš padarant šią programėlę viešai prieinamą šis subjektas aiškiai išreiškė nepritarimą tokiam veiksmui ir jo nulemtam asmens duomenų tvarkymui.

39

Penktuoju klausimu, kurį reikia nagrinėti antrą, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 7 punktas ir 26 straipsnio 1 dalis turi būti aiškinami taip, kad norint du subjektus pripažinti bendrais duomenų valdytojais reikia, kad jie būtų sudarę susitarimą dėl atitinkamų asmens duomenų tvarkymo tikslų ir priemonių nustatymo arba susitarimu nustatę bendro duomenų valdymo sąlygas.

40

Pagal BDAR 26 straipsnio 1 dalį „bendri duomenų valdytojai“ yra tada, kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones.

41

Teisingumo Teismas yra nusprendęs, jog tam, kad galėtų būti laikomas bendru duomenų valdytoju, fizinis ar juridinis asmuo turi savarankiškai atitikti BDAR 4 straipsnio 7 punkte pateiktą sąvokos „duomenų valdytojas“ apibrėžtį (šiuo klausimu žr. 2019 m. liepos 29 d. Sprendimo Fashion ID, C‑40/17, EU:C:2019:629, 74 punktą).

42

Vis dėlto bendras duomenų valdymas nebūtinai reiškia lygiavertę tvarkant asmens duomenis dalyvaujančių skirtingų subjektų atsakomybę. Atvirkščiai, šie subjektai gali dalyvauti skirtinguose tokio tvarkymo etapuose ir skirtingu mastu, todėl kiekvieno jų atsakomybės lygis turi būti įvertintas atsižvelgiant į visas reikšmingas konkretaus atvejo aplinkybes (šiuo klausimu žr. 2018 m. birželio 5 d. Sprendimo Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 43 punktą). Be to, tam, kad keli asmenys būtų bendrai atsakingi už tą patį tvarkymą, nereikalaujama, kad kiekvienas jų turėtų prieigą prie atitinkamų asmens duomenų (2018 m. liepos 10 d. Sprendimo Jehovan todistajat, C‑25/17, EU:C:2018:551, 69 punktas ir jame nurodyta jurisprudencija).

43

Kaip pažymėjo generalinis advokatas išvados 38 punkte, dalyvavimas nustatant duomenų tvarkymo tikslus ir priemones gali būti įvairių formų ir jį gali lemti ir bendras dviejų ar daugiau subjektų sprendimas, ir sutampantys tokių subjektų sprendimai. Pastaruoju atveju minėti sprendimai turi papildyti vienas kitą, kad kiekvienas jų turėtų konkretų poveikį nustatant duomenų tvarkymo tikslus ir priemones.

44

Vis dėlto neturėtų būti reikalaujama, kad šie duomenų valdytojai būtų sudarę oficialų susitarimą dėl duomenų tvarkymo tikslų ir priemonių.

45

Žinoma, pagal BDAR 26 straipsnio 1 dalį, siejamą su jo 79 konstatuojamąja dalimi, bendri duomenų valdytojai turi tarpusavio susitarimu skaidriai nustatyti savo atitinkamą atsakomybę už šiame reglamente nustatytų prievolių laikymąsi. Vis dėlto tokio susitarimo buvimas yra ne išankstinė sąlyga tam, kad du ar daugiau subjektų būtų laikomi bendrais duomenų valdytojais, o pareiga, pagal 26 straipsnio 1 dalį nustatyta bendrais duomenų valdytojais jau pripažintiems subjektams, kad jie laikytųsi jiems nustatytų BDAR reikalavimų. Taigi šį pripažinimą lemia jau vien kelių subjektų dalyvavimas nustatant duomenų tvarkymo tikslus ir priemones.

46

Atsižvelgiant į tai, kas išdėstyta, į penktąjį klausimą reikia atsakyti: BDAR 4 straipsnio 7 punktas ir 26 straipsnio 1 dalis turi būti aiškinami taip, kad norint du subjektus pripažinti bendrais duomenų valdytojais nereikia, kad jie būtų sudarę susitarimą dėl nagrinėjamų asmens duomenų tvarkymo tikslų ir priemonių nustatymo arba susitarimu nustatę bendro duomenų valdymo sąlygas.

47

Ketvirtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 2 punktas turi būti aiškinamas taip, kad asmens duomenų naudojimas testuojant mobiliąją IT programėlę yra „duomenų tvarkymas“, kaip tai suprantama pagal šią nuostatą.

48

Nagrinėjamu atveju, kaip matyti iš šio sprendimo 25 punkto, Lietuvos bendrovė, tvarkanti Užkrečiamųjų ligų, galinčių išplisti ir kelti grėsmę, stebėsenos ir kontrolės informacinę sistemą, turėjo gauti asmens duomenų, surinktų naudojant nagrinėjamą mobiliąją programėlę, kopijas. Testuojant šią programėlę buvo naudoti netikri duomenys, išskyrus šios bendrovės darbuotojų telefonų numerius.

49

Šiuo klausimu pažymėtina, pirma, kad BDAR 4 straipsnio 2 punkte „duomenų tvarkymas“ apibrėžtas kaip „bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka“. Šioje nuostatoje pateiktame nebaigtiniame sąraše, kuris pradedamas žodžiais „kaip antai“, kaip asmens duomenų tvarkymo pavyzdžiai minimi asmens duomenų rinkimas, galimybės jais naudotis sudarymas ir jų naudojimas.

50

Taigi iš šios nuostatos formuluotės, visų pirma žodžių junginio „bet kokia <...> operacija“, matyti, kad Sąjungos teisės aktų leidėjas siekė suteikti sąvokai „duomenų tvarkymas“ plačią taikymo aprėptį (šiuo klausimu žr. 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 35 punktą), o norint nustatyti, ar operacija ar operacijų seka yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, neturėtų būti atsižvelgta į šios operacijos ar operacijų sekos atlikimo priežastis.

51

Taigi klausimas, ar asmens duomenys naudojami testuojant IT programėlę, ar kitam tikslui, neturi įtakos atitinkamos operacijos pripažinimui „duomenų tvarkymu“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą.

52

Antra, vis dėlto reikia patikslinti, kad tik „asmens duomenų“ tvarkymas yra „tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą.

53

Šiuo klausimu BDAR 4 straipsnio 1 punkte nurodyta, kad „asmens duomenys“ – tai „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“, t. y. apie „fizinį asmenį, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius“.

54

Prašymą priimti prejudicinį sprendimą pateikusio teismo ketvirtajame klausime nurodyta aplinkybė, kad kalbama apie „asmens duomenų kopijas“, savaime nereiškia, kad šios kopijos negali būti pripažintos asmens duomenimis, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą, jeigu tokiose kopijose iš tikrųjų yra informacijos apie fizinį asmenį, kurio tapatybė yra arba gali būti nustatyta.

55

Vis dėlto reikia konstatuoti, jog netikri duomenys susiję ne su fiziniu asmeniu, kurio tapatybė yra arba gali būti nustatyta, o su nesamu asmeniu, nėra asmens duomenys, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą.

56

Tas pats pasakytina apie testuojant IT programėlę naudotus anoniminius ar nuasmenintus duomenis.

57

Iš BDAR 26 konstatuojamosios dalies ir pačios sąvokos „asmens duomenys“ apibrėžties, pateiktos šio reglamento 4 straipsnio 1 punkte, matyti, kad į šią sąvoką nepatenka nei „anoniminė informacija, t. y. informacija, nesusijusi su fiziniu asmeniu, kurio tapatybė yra arba gali būti nustatyta“, nei „asmens duomenys, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta“.

58

Atvirkščiai, iš BDAR 4 straipsnio 5 punkto, siejamo su šio reglamento 26 konstatuojamąja dalimi, matyti, kad asmens duomenys, kuriems tik suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turi būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta, ir jai taikomi duomenų apsaugos principai.

59

Atsižvelgiant į tai, kas išdėstyta, į ketvirtąjį klausimą reikia atsakyti: BDAR 4 straipsnio 2 punktas turi būti aiškinamas taip, kad asmens duomenų naudojimas testuojant mobiliąją IT programėlę yra „duomenų tvarkymas“, kaip tai suprantama pagal šią nuostatą, nebent tokie duomenys nuasmeninti taip, kad jų subjekto tapatybė negali arba nebegali būti nustatyta, arba tai yra netikri duomenys, nesusiję su jokiu esamu fiziniu asmeniu.

60

Šeštuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 83 straipsnis turi būti aiškinamas taip, kad, pirma, administracinė bauda pagal šią nuostatą gali būti skirta tik tuo atveju, kai nustatoma, kad duomenų valdytojas tyčia ar dėl aplaidumo padarė šio straipsnio 4–6 dalyse nurodytą pažeidimą, ir, antra, tokia bauda gali būti skirta duomenų valdytojui už duomenų tvarkymo veiksmus, kuriuos jo vardu atliko duomenų tvarkytojas.

61

Pirma, dėl klausimo, ar administracinė bauda pagal BDAR 83 straipsnį gali būti skirta tik nustačius, kad duomenų valdytojas arba duomenų tvarkytojas tyčia ar dėl aplaidumo padarė šio straipsnio 4–6 dalyse nurodytus pažeidimus, iš minėto straipsnio 1 dalies matyti, kad šios baudos turi būti veiksmingos, proporcingos ir atgrasomos. Tačiau BDAR 83 straipsnyje aiškiai nenurodyta, kad bauda už tokį pažeidimą gali būti skirta tik jeigu jis padarytas tyčia ar bent jau dėl aplaidumo.

62

Tuo remdamosi Lietuvos vyriausybė ir Europos Sąjungos Taryba daro išvadą, kad Sąjungos teisės aktų leidėjas ketino palikti valstybėms narėms tam tikrą diskreciją įgyvendinant BDAR 83 straipsnį ir leisti joms prireikus numatyti administracinių baudų skyrimą pagal šią nuostatą net neįrodžius, kad BDAR pažeidimas, už kurį skiriama ši bauda, buvo padarytas tyčia ar dėl aplaidumo.

63

Negalima pritarti tokiam BDAR 83 straipsnio aiškinimui.

64

Šiuo klausimu reikia priminti, kad pagal SESV 288 straipsnį reglamentų nuostatos paprastai veikia tiesiogiai nacionalinės teisės sistemose, todėl nacionalinės valdžios institucijoms nereikia imtis įgyvendinimo priemonių. Vis dėlto kai kurioms reglamentų nuostatoms įgyvendinti gali būti būtina, kad valstybės narės priimtų jų įgyvendinimo priemones (šiuo klausimu žr. 2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 58 punktą ir jame nurodytą jurisprudenciją).

65

Tai pasakytina apie BDAR, kurio tam tikromis nuostatomis valstybėms narėms atveriama galimybė numatyti papildomas griežtesnes ar leidžiančias nukrypti nacionalinės teisės normas ir suteikiama diskrecija dėl galimo šių nuostatų įgyvendinimo būdo (2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 57 punktas).

66

Be to, BDAR nesant konkrečių procesinės teisės nuostatų, kiekvienos valstybės narės teisės sistemoje turi būti nustatyta ieškinių, skirtų iš šio reglamento nuostatų kylančių asmenų teisių apsaugai užtikrinti, pareiškimo tvarka su sąlyga, kad laikomasi lygiavertiškumo ir veiksmingumo principų (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 53 ir 54 punktus ir juose nurodytą jurisprudenciją).

67

Vis dėlto BDAR 83 straipsnio 1–6 dalių formuluotėje nėra nieko, kas leistų manyti, kad Sąjungos teisės aktų leidėjas ketino palikti valstybėms narėms diskreciją dėl materialinių sąlygų, kurių turi laikytis priežiūros institucija, kai ji nusprendžia skirti duomenų valdytojui administracinę baudą už šio straipsnio 4–6 dalyse nurodytą pažeidimą.

68

Žinoma, viena vertus, BDAR 83 straipsnio 7 dalyje numatyta, kad kiekviena valstybė narė gali įtvirtinti taisykles, nustatančias, ar ir kokiu mastu administracinės baudos gali būti skiriamos jos teritorijoje įsteigtoms valdžios institucijoms ir įstaigoms. Kita vertus, iš šio reglamento 83 straipsnio 8 dalies, siejamos su jo 129 konstatuojamąja dalimi, matyti, kad priežiūros institucijai naudojantis šiame straipsnyje suteiktais įgaliojimais taikomos atitinkamos procedūrinės garantijos laikantis Sąjungos ir valstybių narių teisės, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą.

69

Vis dėlto tai, kad nurodytame reglamente valstybėms narėms suteikta galimybė numatyti išimtis jų teritorijoje įsteigtoms valdžios institucijoms ir įstaigoms, taip pat procedūrinius reikalavimus, kurių turi laikytis priežiūros institucijos, kad galėtų skirti administracinę baudą, visai nereiškia, kad šioms valstybėms suteikta teisė, be šių išimčių ir procedūrinių reikalavimų, taip pat numatyti materialines sąlygas, kurios turi būti įvykdytos, kad duomenų valdytojas būtų patrauktas atsakomybėn ir jam būtų skirta administracinė bauda pagal minėtą 83 straipsnį. Be to, tai, kad Sąjungos teisės aktų leidėjas aiškiai numatė pirmąją galimybę, bet ne galimybę numatyti tokias materialines sąlygas, patvirtina, kad šiuo klausimu jis nepaliko valstybėms narėms diskrecijos.

70

Šią išvadą taip pat patvirtina kartu aiškinami BDAR 83 ir 84 straipsniai. Iš tiesų šio reglamento 84 straipsnio 1 dalyje pripažįstama, kad valstybės narės išlaiko kompetenciją nustatyti taisykles dėl „kitų sankcijų“, taikomų už šio reglamento pažeidimus, „visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį“. Taigi iš taip kartu aiškinamų šių nuostatų matyti, kad ši kompetencija neapima tokias administracines baudas leidžiančių skirti materialinių sąlygų nustatymo. Taigi šios sąlygos gali būti nustatomos tik pagal Sąjungos teisę.

71

Dėl minėtų sąlygų reikia pažymėti, kad BDAR 83 straipsnio 2 dalyje išvardyti veiksniai, į kuriuos atsižvelgdama priežiūros institucija skiria duomenų valdytojui administracinę baudą. Tarp šių veiksnių šios nuostatos b punkte nurodyta: „tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo“. Tačiau nė vienas iš minėtoje nuostatoje išvardytų veiksnių nepatvirtina galimybės patraukti duomenų valdytoją atsakomybėn nesant jo kaltės.

72

Be to, BDAR 83 straipsnio 2 dalį reikia aiškinti kartu su šio straipsnio 3 dalimi, kurios tikslas numatyti kelių šio reglamento pažeidimų padarymo pasekmes ir pagal kurią, „jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją arba susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą“.

73

Taigi iš BDAR 83 straipsnio 2 dalies formuluotės matyti, kad administracinė bauda pagal šį straipsnį duomenų valdytojui gali būti skirta tik esant jo kaltei, t. y. tyčiai ar aplaidumui, padarius šio reglamento nuostatų pažeidimus.

74

BDAR bendra sistema ir tikslas patvirtina šį aiškinimą.

75

Pirma, Sąjungos teisės aktų leidėjas numatė sankcijų sistemą, leidžiančią priežiūros institucijoms skirti tinkamiausias sankcijas atsižvelgiant į kiekvieno atvejo aplinkybes.

76

BDAR 58 straipsnio, kuriame nustatyti priežiūros institucijų įgaliojimai, 2 dalies i punkte numatyta, kad šios institucijos gali skirti administracines baudas pagal šio reglamento 83 straipsnį „kartu su“ kitomis šio 58 straipsnio 2 dalyje išvardytomis taisomosiomis priemonėmis, kaip antai: įspėjimais, papeikimais ar nurodymais, arba „vietoj jų“. Be to, minėto reglamento 148 konstatuojamojoje dalyje nurodyta, kad jeigu pažeidimas nedidelis arba jeigu administracinė bauda, kuri gali būti skirta, sudarytų neproporcingą naštą fiziniam asmeniui, priežiūros institucijoms leidžiama neskirti administracinės baudos ir vietoj jos pareikšti papeikimą.

77

Antra, visų pirma iš BDAR 10 konstatuojamosios dalies matyti, kad jo nuostatomis, be kita ko, siekiama Sąjungoje užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą tvarkant asmens duomenis ir tuo tikslu užtikrinti nuoseklų ir vienodą taisyklių, kuriomis reglamentuojama šių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymą visoje Sąjungoje. Be to, BDAR 11 ir 129 konstatuojamosiose dalyse pabrėžiama, kad, siekiant nuoseklaus šio reglamento taikymo, priežiūros institucijoms būtina suteikti lygiaverčius įgaliojimus stebėti ir užtikrinti asmens duomenų apsaugos taisyklių laikymąsi ir jos turi galėti taikyti lygiavertes sankcijas už šio reglamento pažeidimus.

78

Sankcijų sistema, leidžianti skirti administracinę baudą pagal BDAR 83 straipsnį, kai to reikia atsižvelgiant į konkrečias kiekvieno atvejo aplinkybes, skatina duomenų valdytojus ir duomenų tvarkytojus laikytis šio reglamento. Dėl atgrasomojo poveikio administracinės baudos prisideda prie fizinių asmenų apsaugos tvarkant asmens duomenis stiprinimo, todėl yra esminis elementas užtikrinant šių asmenų teisių paisymą, atsižvelgiant į šio reglamento tikslą užtikrinti tokiems asmenims aukšto lygio apsaugą tvarkant asmens duomenis.

79

Vis dėlto Sąjungos teisės aktų leidėjas nemanė, kad tokiam aukštam apsaugos lygiui užtikrinti būtina numatyti administracinių baudų skyrimą nesant kaltės. Atsižvelgiant į tai, kad BDAR siekiama lygiavertės ir vienodos apsaugos ir kad šiuo tikslu jis turi būti nuosekliai taikomas visoje Sąjungoje, šiam tikslui prieštarautų leidimas valstybėms narėms numatyti tokią baudų skyrimo pagal šio reglamento 83 straipsnį sistemą. Be to, tokia pasirinkimo laisvė galėtų iškraipyti konkurenciją tarp ūkio subjektų Sąjungoje, o tai prieštarautų Sąjungos teisės aktų leidėjo, be kita ko, minėto reglamento 9 ir 13 konstatuojamosiose dalyse nurodytiems tikslams.

80

Vadinasi, reikia konstatuoti, kad pagal BDAR 83 straipsnį neleidžiama skirti administracinės baudos už jo 4–6 dalyse nurodytą pažeidimą, jeigu neįrodyta, kad duomenų valdytojas šį pažeidimą padarė tyčia ar dėl aplaidumo, todėl pažeidimo padarymas esant kaltei yra tokios baudos skyrimo sąlyga.

81

Šiuo požiūriu dėl klausimo, ar pažeidimas padarytas tyčia ar dėl aplaidumo ir dėl to už jį gali būti skirta administracinė bauda pagal BDAR 83 straipsnį, taip pat svarbu pažymėti, kad duomenų valdytojas gali būti nubaustas už elgesį, patenkantį į BDAR taikymo sritį, jeigu negalėjo nežinoti apie savo veiksmų neteisėtumą, nesvarbu, ar jis suvokė, kad pažeidžia BDAR nuostatas (pagal analogiją žr. 2013 m. birželio 18 d. Sprendimo Schenker & Co. ir kt., C‑681/11, EU:C:2013:404, 37 punktą ir jame nurodytą jurisprudenciją, taip pat 2021 m. kovo 25 d. Sprendimo Lundbeck / Komisija, C‑591/16 P, EU:C:2021:243, 156 punktą ir 2021 m. kovo 25 d. Sprendimo Arrow Group ir Arrow Generics / Komisija, C‑601/16 P, EU:C:2021:244, 97 punktą).

82

Jeigu duomenų valdytojas yra juridinis asmuo, dar reikėtų pažymėti, kad norint taikyti BDAR 83 straipsnį nereikalaujama to juridinio asmens valdymo organo veiksmų ar net žinojimo (pagal analogiją žr. 1983 m. birželio 7 d. Sprendimo Musique Diffusion française ir kt. / Komisija, 100/80–103/80, EU:C:1983:158, 97 punktą, taip pat 2017 m. vasario 16 d. Sprendimo Tudapetrol Mineralölerzeugnisse Nils Hansen / Komisija, C‑94/15 P, EU:C:2017:124, 28 punktą ir jame nurodytą jurisprudenciją).

83

Antra, dėl klausimo, ar administracinė bauda pagal BDAR 83 straipsnį gali būti skirta duomenų valdytojui už duomenų tvarkytojo atliktus duomenų tvarkymo veiksmus, reikia priminti, kad pagal BDAR 4 straipsnio 8 punkte pateiktą apibrėžtį duomenų tvarkytojas yra „fizinis ar juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris duomenų valdytojo vardu tvarko asmens duomenis“.

84

Kadangi, kaip nurodyta šio sprendimo 36 punkte, duomenų valdytojas yra atsakingas ne tik už bet kokį asmens duomenų tvarkymą, kurį atlieka jis pats, bet ir už jo vardu atliekamą duomenų tvarkymą, šiam duomenų valdytojui gali būti skirta administracinė bauda pagal BDAR 83 straipsnį tuo atveju, jei asmens duomenys tvarkomi neteisėtai, ir taip juos tvarko ne šis valdytojas, o jo prašymu ir jo vardu veikiantis duomenų tvarkytojas.

85

Tačiau duomenų valdytojo atsakomybė už duomenų tvarkytojo veiksmus negali apimti atvejų, kai duomenų tvarkytojas tvarko asmens duomenis savo tikslais arba tokiu būdu, kuris nesuderinamas su duomenų valdytojo nustatyta duomenų tvarkymo sistema ar tvarka, arba taip, kad negalima pagrįstai manyti, jog duomenų valdytojas tam pritarė. Iš tiesų pagal BDAR 28 straipsnio 10 dalį tokiu atveju duomenų tvarkytojas turi būti laikomas duomenų valdytoju, kiek tai susiję su tokiu duomenų tvarkymu.

86

Atsižvelgiant į tai, kas išdėstyta, į šeštąjį klausimą reikia atsakyti: BDAR 83 straipsnis turi būti aiškinamas taip, kad, pirma, administracinė bauda pagal šią nuostatą gali būti skirta tik jeigu nustatoma, kad duomenų valdytojas padarė šio 83 straipsnio 4–6 dalyse nurodytus pažeidimus tyčia ar dėl aplaidumo, ir, antra, tokia bauda gali būti skirta duomenų valdytojui už asmens duomenų tvarkymo veiksmus, kuriuos jo vardu atlieka duomenų tvarkytojas, išskyrus atvejus, kai atlikdamas tokius veiksmus duomenų tvarkytojas tvarko duomenis savo tikslais arba tokiu būdu, kuris nesuderinamas su duomenų valdytojo nustatyta duomenų tvarkymo sistema ar tvarka, arba taip, kad negalima pagrįstai manyti, jog duomenų valdytojas tam pritarė.

87

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia: