This document is an excerpt from the EUR-Lex website
Document 62021CC0683
Opinion of Advocate General Emiliou delivered on 4 May 2023.#Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos v Valstybinė duomenų apsaugos inspekcija.#Request for a preliminary ruling from the Vilniaus apygardos administracinis teismas.#Reference for a preliminary ruling – Protection of personal data – Regulation (EU) 2016/679 – Article 4(2) and (7) – Concepts of ‘processing’ and ‘controller’ – Development of a mobile IT application – Article 26 – Joint control – Article 83 – Imposition of administrative fines – Conditions – Requirement that the infringement be intentional or negligent – Responsibility and liability of the controller for the processing of personal data carried out by a processor.#Case C-683/21.
Generalinio advokato N. Emiliou išvada, pateikta 2023 m. gegužės 4 d.
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos prieš Valstybinę duomenų apsaugos inspekciją.
Vilniaus apygardos administracinio teismo prašymas priimti prejudicinį sprendimą.
Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – 4 straipsnio 2 ir 7 punktai – Sąvokos „duomenų tvarkymas“ ir „duomenų valdytojas“ – Mobiliosios IT programėlės kūrimas – 26 straipsnis – Bendras duomenų valdymas – 83 straipsnis – Administracinių baudų skyrimas – Sąlygos – Reikalavimas, kad pažeidimas būtų padarytas tyčia ar dėl aplaidumo – Duomenų valdytojo atsakomybė už duomenų tvarkytojo atliekamą asmens duomenų tvarkymą.
Byla C-683/21.
Generalinio advokato N. Emiliou išvada, pateikta 2023 m. gegužės 4 d.
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos prieš Valstybinę duomenų apsaugos inspekciją.
Vilniaus apygardos administracinio teismo prašymas priimti prejudicinį sprendimą.
Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – 4 straipsnio 2 ir 7 punktai – Sąvokos „duomenų tvarkymas“ ir „duomenų valdytojas“ – Mobiliosios IT programėlės kūrimas – 26 straipsnis – Bendras duomenų valdymas – 83 straipsnis – Administracinių baudų skyrimas – Sąlygos – Reikalavimas, kad pažeidimas būtų padarytas tyčia ar dėl aplaidumo – Duomenų valdytojo atsakomybė už duomenų tvarkytojo atliekamą asmens duomenų tvarkymą.
Byla C-683/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:376
NICHOLAS EMILIOU IŠVADA,
pateikta 2023 m. gegužės 4 d. ( 1 )
Byla C‑683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
prieš
Valstybinę duomenų apsaugos inspekciją,
dalyvaujant:
UAB „IT sprendimai sėkmei“,
Lietuvos Respublikos sveikatos apsaugos ministerijai
(Vilniaus apygardos administracinio teismo (Lietuva) pateiktas prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – 4 straipsnio 7 punktas – Sąvoka „duomenų valdytojas“ – Mobiliosios programėlės kūrimas siaučiant COVID‑19 pandemijai – Viešosios valdžios institucijos, atsakingos už mobiliosios programėlės įsigijimo konkurso procedūros organizavimą, atsakomybė – 4 straipsnio 2 dalis – Sąvoka „duomenų tvarkymas“ – Asmens duomenų naudojimas mobiliosios programėlės testavimo etapu – 26 straipsnio 1 dalis – Bendras valdymas – 83 straipsnis – Administracinių baudų skyrimas – Sąlygos – Būtinybė, kad pažeidimas būtų padarytas tyčia arba dėl aplaidumo – Duomenų valdytojo atsakomybė už duomenų tvarkytojo atliktą asmens duomenų tvarkymą“
I. Įžanga
1. |
Kokiomis sąlygomis pasaulyje, kuriame asmens duomenys tapo derybų priemone ir naujai atrasta įmonių aukso kasykla, duomenų valdytojams ar tvarkytojams gali būti skiriamos administracinės baudos už Reglamente (ES) 2016/679 ( 2 ) nustatytų duomenų apsaugos taisyklių pažeidimą? Konkrečiau kalbant, ar būtina šių subjektų kaltė, kad jiems būtų galima skirti tokias baudas? Tai yra esminis klausimas, kurį šioje byloje iškėlė Vilniaus apygardos administracinis teismas (Lietuva). |
2. |
Minėto teismo nagrinėjamas ginčas tarp Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos (Lietuva) (toliau – NVSC) ir Valstybinės duomenų apsaugos inspekcijos (Lietuva) (toliau – inspekcija) iš esmės susijęs su NVSC vaidmeniu kuriant ir padarant viešai prieinamą mobiliąją programėlę, kurią naudojant 2020 m. balandžio ir gegužės mėn. buvo renkami asmenų, kontaktavusių su COVID‑19 užsikrėtusiais pacientais, asmens duomenys. |
3. |
Tokiomis aplinkybėmis ši byla suteikia Teisingumo Teismui galimybę pateikti papildomų paaiškinimų dėl sąvokų „duomenų valdytojas“, „bendri duomenų valdytojai“ ir „duomenų tvarkymas“, apibrėžtų atitinkamai BDAR 4 straipsnio 7 punkte, 26 straipsnio 1 dalyje ir 4 straipsnio 2 punkte, ir pirmą kartą išnagrinėti, ar pagal šio reglamento 83 straipsnį galima skirti administracinę baudą duomenų valdytojui, kuris nei tyčia, nei dėl aplaidumo nepažeidė BDAR nustatytų taisyklių. Šiuo klausimu Teisingumo Teismo prašoma patikslinti, ar pagal šią nuostatą leidžiama skirti baudas nesant jokios kaltės, remiantis objektyviąja („griežtąja“) atsakomybe. |
II. Teisinis pagrindas
A. Sąjungos teisė
4. |
BDAR 148 konstatuojamojoje dalyje nurodyta: „siekiant užtikrinti, kad šio reglamento taisyklės būtų geriau įgyvendinamos, už šio reglamento pažeidimus <…> turėtų būti skiriamos sankcijos, įskaitant administracines baudas. Nedidelio pažeidimo atveju arba jeigu bauda, kuri gali būti skirta, sudarytų neproporcingą naštą fiziniam asmeniui, vietoj baudos gali būti pareikštas papeikimas. Vis dėlto reikėtų tinkamai atsižvelgti į pažeidimo pobūdį, sunkumą ir trukmę, tai, ar pažeidimas buvo tyčinis, veiksmus, kurių imtasi patirtai žalai sumažinti, atsakomybės mastą arba į bet kokius svarbius ankstesnius pažeidimus, tai, kaip apie pažeidimą sužinojo priežiūros institucija, ar buvo laikomasi tam duomenų valdytojui arba duomenų tvarkytojui taikytų priemonių, ar buvo laikomasi elgesio kodekso, ir visus kitus sunkinančius ar švelninančius veiksnius. Sankcijos, įskaitant administracines baudas, turėtų būti skiriamos atsižvelgiant į atitinkamas procedūrines apsaugos priemones ir laikantis Sąjungos teisės ir Chartijos bendrųjų principų, įskaitant veiksmingą teisminę apsaugą ir tinkamą procesą“. |
5. |
Šio reglamento 150 konstatuojamojoje dalyje nurodyta: „siekiant sugriežtinti ir suvienodinti administracines sankcijas už šio reglamento pažeidimus, kiekvienai priežiūros institucijai turėtų būti suteikti įgaliojimai skirti administracines baudas. Šiame reglamente turėtų būti nurodyti pažeidimai ir nustatyti didžiausi susijusių administracinių baudų dydžiai ir tų baudų nustatymo kriterijai; baudas kiekvienu konkrečiu atveju turėtų nustatyti kompetentinga priežiūros institucija, atsižvelgdama į visas reikšmingas konkrečios situacijos aplinkybes ir deramai atsižvelgdama visų pirma į pažeidimo pobūdį, sunkumą, trukmę ir pasekmes, taip pat į priemones, kurių imtasi siekiant, kad būtų laikomasi šiame reglamente nustatytų prievolių, ir siekiant užkirsti kelią pažeidimo pasekmėms arba jas sumažinti. <…> Skiriant administracinę baudą ar teikiant įspėjimą nedaromas poveikis priežiūros institucijų kitų įgaliojimų ar kitų sankcijų pagal šį reglamentą taikymui.“ |
6. |
BDAR 4 straipsnio 7 punkte sąvoka „duomenų valdytojas“ apibrėžiama kaip „fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones <…>“. |
7. |
Šio reglamento 26 straipsnio „Bendri duomenų valdytojai“ šiai bylai reikšmingoje dalyje nurodyta: „1. Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai <…> <…>“ |
8. |
Šio reglamento 83 straipsnyje „Bendrosios administracinių baudų skyrimo sąlygos“ numatyta: 1. Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos. 2. Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:
<…>
3. Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą. <…>“ |
B. Lietuvos teisė
9. |
Viešųjų pirkimų įstatymo 72 straipsnio 2 dalyje nurodyta: „Perkančioji organizacija neskelbiamas derybas vykdo šiais etapais:
|
III. Faktinės aplinkybės, procesas nacionaliniame teisme ir prejudiciniai klausimai
10. |
Siekdamas reaguoti į padėtį, susidariusią dėl COVID‑19 protrūkio, Lietuvos Respublikos sveikatos ministras (toliau – sveikatos ministras) 2020 m. kovo 24 d. sprendimu pavedė NVSC direktoriui organizuoti mobiliosios programėlės KARANTINAS kūrimą ir įsigijimą. Ši mobilioji programėlė buvo skirta asmenų, kontaktavusių su COVID‑19 užsikrėtusiais pacientais, asmens duomenims rinkti ir stebėti ( 3 ). |
11. |
2020 m. kovo 27 d. asmuo, prisistatęs NVSC atstovu, informavo bendrovę UAB „IT sprendimai sėkmei“ (toliau – ITSS), kad ji buvo atrinkta kaip programėlės KARANTINAS. ITSS ir šis asmuo, taip pat ITSS ir keli NVSC darbuotojai bei NVSC direktorius elektroniniu paštu susirašinėjo laiškais dėl šios mobiliosios programėlės kūrimo. Tuo etapu taip pat buvo sudarytas konfidencialumo susitarimas, kuriame ITSS ir NVSC buvo nurodyti kaip duomenų valdytojai. |
12. |
Galiausiai sukurta mobilioji programėlė 2020 m. balandžio 4 d. buvo padaryta viešai prieinama atsisiųsti iš Google Play Store, o 2020 m. balandžio 6 d. – iš Apple App Store. Tiek ITSS, tiek NVSC vėl buvo paminėti kaip duomenų valdytojai programėlės KARANTINAS versijoje, kuri buvo padaryta viešai prieinama atsisiųsti. Tuo metu NVSC dar nebuvo įsigijęs šios mobiliosios programėlės. |
13. |
2020 m. balandžio 10 d. sprendimu sveikatos apsaugos ministras pavedė NVSC direktoriui tęsti programėlės KARANTINAS įsigijimą neskelbiamų derybų būdu, taikant Viešųjų pirkimų įstatymo 72 straipsnio 2 dalį. |
14. |
Ši procedūra buvo pradėta, tačiau negavęs reikiamo finansavimo NVSC ją nutraukė. Taigi viešojo pirkimo sutartis nebuvo sudaryta. Vis dėlto programėlė KARANTINAS ir toliau buvo viešai prieinama parsisiųsti. |
15. |
2020 m. gegužės 15 d. NVSC paprašė ITSS mobiliojoje programėlėje nenaudoti jokių NVSC duomenų ir nenurodyti jokių sąsajų su NVSC. 2020 m. gegužės 18 d. inspekcija pradėjo tyrimą dėl ITSS ir NVSC dėl BDAR nustatytų taisyklių pažeidimo. Inspekcijos prašymu 2020 m. gegužės 26 d. programėlės KARANTINAS veikimas buvo sustabdytas. Kaip teigia ITSS, nuo 2020 m. balandžio 4 d. iki gegužės 26 d. savo asmens duomenis per šią programėlę pateikė 3802 naudotojai. |
16. |
2021 m. vasario 24 d. sprendimu inspekcija skyrė administracines baudas NVSC ir ITSS, kaip bendriems duomenų valdytojams, už BDAR 5, 13, 24, 32 ir 35 straipsnių pažeidimus ( 4 ). |
17. |
Tokį sprendimą NVSC apskundė Vilniaus apygardos administraciniam teismui. Šiam teismui iš esmės kyla klausimas, ar sąvoka „duomenų valdytojas“, kaip ji suprantama pagal BDAR 4 straipsnio 7 punktą, turi būti aiškinama plačiai, kaip apimanti bet kurį fizinį ar juridinį asmenį ar bet kurią įstaigą, kaip antai NVSC, kuris nėra mobiliosios programėlės kūrėjas, tačiau kuris, siekdamas įsigyti tokią mobiliąją programėlę konkurso būdu, nustatė „asmens duomenų tvarkymo tikslus ir priemones“, ar šią sąvoką reikia aiškinti siauriau, atsižvelgiant į viešojo pirkimo procedūrą ir jos rezultatą. |
18. |
Konkrečiai kalbant, prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar šiuo atveju reikšminga tai, kad galiausiai konkurso procedūra buvo nutraukta ir NVSC niekada neįsigijo programėlės KARANTINAS. Jis taip pat klausia, ar tai, kad NVSC oficialiai nedavė sutikimo ar leidimo padaryti šią mobiliąją programėlę viešai prieinamą, turi kokios nors įtakos šiam vertinimui. |
19. |
Be to, minėtas teismas kelia klausimą dėl NVSC ir ITSS santykių. Šiuo tikslu jam kyla klausimas, kokiomis aplinkybėmis toks subjektas ir tokia bendrovė turėtų būti laikomi „bendrais duomenų valdytojais“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą ir 26 straipsnio 1 dalį. Taip pat, jeigu NVSC ir ITSS turėtų būti laikomi ne „bendrais duomenų valdytojais“, o „duomenų valdytoju“ ir „duomenų tvarkytoju“ ( 5 ) (atitinkamai), kaip tai suprantama pagal BDAR, jis nori sužinoti, kada už ITSS veiksmus NVSC gali kilti atsakomybė. Šiuo tikslu prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar BDAR 83 straipsnis turi būti aiškinamas taip, kad administracinė bauda gali būti skirta duomenų valdytojui, kaip antai NVSC, kuris pats tyčia ar dėl aplaidumo nepadarė jokio šio reglamento pažeidimo. |
20. |
Atsižvelgdamas į šias aplinkybes, Vilniaus apygardos administracinis teismas nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
|
21. |
2021 m. spalio 22 d. prašymą priimti prejudicinį sprendimą Teisingumo Teismas gavo 2021 m. lapkričio 12 d. Rašytines pastabas pateikė NVSC, inspekcija, Lietuvos vyriausybė ir Europos Komisija. |
22. |
Lietuvos ir Nyderlandų vyriausybėms, taip pat Komisijai ir Tarybai buvo atstovaujama 2023 m. sausio 17 d. įvykusiame teismo posėdyje. |
IV. Analizė
23. |
Per COVID‑19 pandemiją daugelyje valstybių narių visuomenei buvo sudarytos galimybės atsisiųsti mobiliąsias programėles, skirtas virusu užsikrėtusiems asmenims ir (arba) su jais kontaktavusiems asmenims „nustatyti ir atsekti“. Šios mobiliosios programėlės buvo sukurtos siekiant reaguoti į situacijos neatidėliotinumą, neretai dalyvaujant keliems viešiesiems ir privatiesiems subjektams (pvz., ministerijoms ir kitiems viešiesiems subjektams, taip pat privačioms įmonėms). Tose mobiliosiose programėlėse buvo reikalaujama, kad naudotojai įkeltų savo asmens duomenis, visų pirma duomenis apie savo sveikatą ( 6 ). |
24. |
Pagrindinė byla susijusi būtent su tokia mobiliąja programėle, t. y. programėle KARANTINAS, kurią ITSS (privati bendrovė) sukūrė NVSC (valdžios institucija) iniciatyva po to, kai buvo priimtas sveikatos apsaugos ministro sprendimas. Nei iš bylos medžiagos, nei iš per teismo posėdį pateiktos informacijos nėra aišku, kokie kiti Lietuvos viešieji subjektai dalyvavo (jei apskritai dalyvavo) kuriant mobiliąją programėlę ( 7 ). Taip pat kyla tam tikrų abejonių, ar NVSC davė sutikimą, kad programėlė KARANTINAS būtų viešai prieinama asmens duomenų tvarkymo laikotarpiu (2020 m. balandžio ir gegužės mėn.). Vis dėlto Teisingumo Teismui pateiktuose klausimuose Vilniaus apygardos administracinis teismas nustatė, kad svarbios yra šios aplinkybės:
|
25. |
Šiomis aplinkybėmis Teisingumo Teismui pateikti klausimai susiję su įvairių BDAR nuostatų išaiškinimu. Pirmaisiais trimis klausimais, taip pat penktuoju klausimu prašoma išaiškinti sąvoką „duomenų valdytojas“, kaip ji suprantama pagal to reglamento 4 straipsnio 7 punktą, ir paaiškinti, kokiomis aplinkybėmis du ar daugiau subjektų gali būti laikomi „bendrais duomenų valdytojais“ pagal tą nuostatą ir to paties reglamento 26 straipsnio 1 dalį. Pirmiausia šiuos klausimus nagrinėsiu kartu (A), o paskui pereisiu prie ketvirtojo klausimo, susijusio su sąvoka „duomenų tvarkymas“, kaip ji suprantama pagal BDAR 4 straipsnio 2 dalį, ir jos taikymu mobiliosios programėlės testavimo etapu (B) ( 8 ). Tada gilinsiuosi į šios bylos esmę, t. y. į šeštąjį klausimą, kuris yra universalaus pobūdžio, nes susijęs su sąlygomis, kuriomis duomenų valdytojams pagal BDAR 83 straipsnį gali būti skiriamos administracinės baudos (C). |
A. Dėl sąvokos „duomenų valdytojas“ ir bendro valdymo situacijų (1–3 ir 5 klausimai)
26. |
Pirmaisiais trimis klausimais prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar, atsižvelgiant į šios išvados 24 punkte nurodytas aplinkybes, toks subjektas, kaip NVSC, turi būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą. Be to, penktuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas prašo paaiškinti, ar tokiomis aplinkybėmis du subjektai, kaip antai NVSC ir ITSS, turi būti laikomi „bendrais duomenų valdytojais“ pagal šią nuostatą ir šio reglamento 26 straipsnio 1 dalį, nors jie nėra sudarę jokio formalaus susitarimo dėl duomenų tvarkymo tikslų ir priemonių ir (arba) neatrodo, kad jie būtų kaip nors kitaip derinę savo veiksmus. |
1. Kas yra duomenų valdytojas? (1–3 klausimai)
27. |
Primenu, kad pagal BDAR 4 straipsnio 7 punktą „duomenų valdytojas“ apibrėžiamas kaip asmuo ar subjektas, kuris „vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones“. Kitaip tariant, duomenų valdytojas neturi pats tvarkyti jokių asmens duomenų, bet turi nustatyti, „kodėl ir kaip“ turi būti atliekamos atitinkamos duomenų tvarkymo operacijos ( 9 ). Teisingumo Teismas yra nurodęs, jog tam, kad atitiktų šį kriterijų, asmuo arba subjektas turi iš tikrųjų „daryti įtaką asmens duomenų tvarkymui“ ( 10 ). Vis dėlto nebūtina, kad duomenų tvarkymo tikslai ir priemonės būtų nustatomi laikantis duomenų valdytojo rašytinių nurodymų ar pavedimų ( 11 ). Iš tikrųjų pagal BDAR 4 straipsnio 7 punktą reikalaujama atlikti veikiau faktinę, o ne formalią analizę. |
28. |
Atsižvelgdama į tai, Europos duomenų apsaugos valdyba (EDAV) pasiūlė, kad duomenų valdytoju taip pat galima būti neatsižvelgiant į tai, ar pagal teisės aktus yra suteikta konkreti kompetencija ar įgaliojimai valdyti duomenis. Iš tikrųjų galimybė nustatyti duomenų tvarkymo tikslus ir priemones visų pirma priklauso nuo daromos įtakos, apie kurią galima spręsti iš faktinių aplinkybių. Taigi subjektas, kuris iš tikrųjų gali nustatyti duomenų tvarkymo tikslus ir priemones, bus laikomas „duomenų valdytoju“, neatsižvelgiant į tai, ar jis buvo oficialiai paskirtas duomenų valdytoju (pagal teisės aktus, sutartį ar kitu būdu) ( 12 ). |
29. |
Pateikęs šiuos paaiškinimus, norėčiau pažymėti, kad kelios aplinkybės, kurias prašymą priimti prejudicinį sprendimą pateikęs teismas nurodė pirmuosiuose trijuose klausimuose, yra visiškai formalaus pobūdžio, pavyzdžiui, tai, kad programėlė KARANTINAS teisiškai nepriklauso NVSC, kad šios mobiliosios programėlės įsigijimo procedūra niekada nebuvo užbaigta ar kad NVSC oficialiai neleido šios programėlės išleisti plačiajai visuomenei ir nepatvirtino naujausios šios programėlės versijos. Mano nuomone, nė viena iš šių aplinkybių savaime negali paneigti, kad pagrindinėje byloje NVSC veikė kaip „duomenų valdytojas“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą. Iš tikrųjų tokių aplinkybių nepakanka, kad būtų paneigta išvada, jog NVSC faktiškai galėjo nustatyti atlikto asmens duomenų tvarkymo tikslus ir priemones. Man taip pat atrodo, jog tai, kad NVSC buvo paminėtas kaip duomenų valdytojas programėlės KARANTINAS versijos, kuri buvo viešai prieinama parsisiųsti, konfidencialumo politikoje, ar tai, kad į šią mobiliosios programėlės versiją buvo įtrauktos nuorodos į NVSC, yra reikšminga, bet ne lemiama sprendžiant dėl šio subjekto faktiškai daromos įtakos. |
30. |
Vis dėlto prašymą priimti prejudicinį sprendimą pateikusio teismo turimų įrodymų, rodančių, kad NVSC sprendė, kokios rūšies asmens duomenis turėtų rinkti programėlė KARANTINAS, iš kurių duomenų subjektų ir (arba) kitus esminius duomenų tvarkymo aspektus, mano nuomone, pakanka nustatyti, kad būtent šis subjektas nustatė duomenų tvarkymo „priemones“. Be to, manau, kad to, jog programėlė KARANTINAS buvo sukurta NVSC nustatytam tikslui, t. y. reaguoti į COVID‑19 pandemiją, įgyvendinti ir kad ITSS reguliariai keitė jos veikimą, reaguodama į NVSC nustatytus poreikius pagal šio subjekto nurodymus, pakanka išvadai, kad šis subjektas nustatė šio duomenų tvarkymo „tikslus“. |
31. |
Atsižvelgiant į tai, man atrodo, kad siekdamas nustatyti, ar toks subjektas, kaip NVSC, gali būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat turi patikrinti, ar, nepaisant NVSC įtakos programėlės KARANTINAS kūrimo etapu, sprendimas padaryti šią mobiliąją programėlę viešai prieinamą, taigi ir tvarkyti asmens duomenis, iš tikrųjų buvo priimtas gavus (aiškų ar numanomą) šio subjekto sutikimą (neatsižvelgiant į tai, kad šis sutikimas nebuvo oficialiai duotas). |
32. |
Iš tikrųjų, kaip aiškiai matyti iš BDAR 4 straipsnio 7 punkte pateiktos sąvokos „duomenų valdytojas“ apibrėžties, duomenų valdytojo daroma įtaka turi būti susijusi su pačiu asmens duomenų tvarkymu, o ne vien su kokiu nors pradiniu etapu. Fizinis ar juridinis asmuo arba subjektas netampa „duomenų valdytoju“ vien dėl to, kad inicijuoja mobiliosios programėlės kūrimą arba nustato šios programėlės (arba kitos duomenų rinkimo priemonės) parametrus. Jo veiksmai iš tikrųjų turi būti susiję su asmens duomenų tvarkymu, todėl jis turi būti aiškiai ar numanomai sutikęs, kad atitinkama priemonė būtų naudojama tokiam tvarkymui atlikti. |
33. |
Teisingumo Teismas primygtinai pabrėžė tokį reikalavimą Sprendime Fashion ID ( 13 ), jame jis aiškiai nurodė, kad atsakomybė duomenų valdytojui tenka tik už tą asmens duomenų tvarkymo operaciją arba operacijas, kurių tikslus ir priemones jis iš tikrųjų nustatė ( 14 ). Vadinasi tikslų ir priemonių nustatymas turi būti tiesiogiai susijęs su atitinkamu veiksmu ar veiksmų kompleksu, apimančiu asmens duomenų tvarkymą. |
34. |
Mano nuomone, iš tokių išvadų matyti, kad toks subjektas, kaip NVSC, kuris inicijuoja mobiliosios programėlės kūrimą, gali būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, tik tuo atveju, kai yra pakankamai faktinių, o ne formalių duomenų, iš kurių nacionaliniai teismai gali daryti išvadą, kad toks subjektas darė faktinę įtaką tokio duomenų tvarkymo „tikslams ir priemonėms“ ir kad jis faktiškai sutiko, jog mobilioji programėlė būtų viešai paskelbta, taigi ir su tuo, kad būtų tvarkomi asmens duomenys. Tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas, tačiau manau, kad NVSC atitinka šiuos reikalavimus. |
2. Kada du subjektai gali būti laikomi bendrais duomenų valdytojais? (5 klausimas)
35. |
Penktasis klausimas susijęs su sąlygomis, kurios turi būti įvykdytos, kad du (ar daugiau) subjektų būtų laikomi bendrais duomenų valdytojais. Suprantu, kad prašymą priimti prejudicinį sprendimą pateikęs teismas siekia patikslinti šios sąvokos aiškinimą, nes įtaria, kad pagrindinėje byloje nagrinėjamoje situacijoje NVSC ir ITSS galėtų būti laikomi „bendrais duomenų valdytojais“ ir todėl galėtų būti solidariai atsakingi už padarytą žalą ( 15 ) ir (arba) solidariai nubausti už duomenų apsaugos taisyklių pažeidimus, padarytus, kai programėlė KARANTINAS buvo padaryta viešai prieinama parsisiųsti. Šiuo klausimu norėčiau atkreipti dėmesį į tai, kad, kaip jau nurodžiau šios išvados 16 punkte, inspekcija ir minėtą subjektą, ir minėtą bendrovę pripažino atsakingais už pažeidimus, padarytus jų kaip bendrų duomenų valdytojų, ir pagal BDAR 83 straipsnį jiems skyrė baudas. |
36. |
Pagal BDAR 26 straipsnio 1 dalį „bendri duomenų valdytojai“ yra tada, kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones. Taigi kiekvienas bendras duomenų valdytojas turi savarankiškai atitikti to reglamento 4 straipsnio 7 punkte pateiktoje „duomenų valdytojo“ sąvokos apibrėžtyje išvardytus kriterijus ( 16 ). Be to, bendrus duomenų valdytojus turi sieti tam tikras tarpusavio ryšys, nes jų įtaka duomenų tvarkymui turi būti daroma kartu. |
37. |
Teisingumo Teismas yra nurodęs, kad bendro valdymo buvimas nebūtinai reiškia vienodą įvairių dalyvaujančių asmenų arba subjektų atsakomybę ar dalyvavimą. Priešingai, bendri duomenų valdytojai gali dalyvauti skirtinguose duomenų tvarkymo etapuose, todėl kiekvieno iš jų atsakomybės lygis turi būti vertinamas atsižvelgiant į visas kiekvienu atveju reikšmingas aplinkybes ( 17 ). Be to, kai keli subjektai atsakingi už tą patį duomenų tvarkymą, tai nereiškia, kad kiekvienas iš jų turi turėti galimybę susipažinti su atitinkamais asmens duomenimis ( 18 ). Vis dėlto svarbu, kad subjektai kartu dalyvautų nustatant duomenų tvarkymo „tikslus ir priemones“. |
38. |
Šiuo klausimu reikėtų pažymėti, kad, kaip nurodyta Gairėse Nr. 07/2020, subjektai gali dalyvauti kartu įvairiomis formomis. Taip gali būti dėl dviejų ar daugiau subjektų bendro sprendimo arba tiesiog dėl sutampančių šių subjektų sprendimų. Pastaruoju atveju svarbu tik tai, kad sprendimai papildytų vienas kitą ir kad jie būtų būtini duomenų tvarkymui taip, kad jie turėtų konkretų poveikį nustatant duomenų tvarkymo tikslus ir būdus, o tai iš esmės reiškia, kad duomenų tvarkymas nebūtų įmanomas be abiejų šalių dalyvavimo ( 19 ). |
39. |
Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas klausia, ar tai, kad du duomenų valdytojai (šiuo atveju – NVSC ir ITSS) nesudarė jokio formalaus susitarimo dėl duomenų tvarkymo tikslų ir priemonių ir (arba) neatrodo, jog jie būtų kitaip derinę savo veiksmus, neleidžia jų laikyti „bendrais duomenų valdytojais“. |
40. |
Suprantu, kad prašymą priimti prejudicinį sprendimą pateikusio teismo abejonės šiuo klausimu kyla dėl to, kad pagal BDAR 26 straipsnio 1 dalį bendri duomenų valdytojai turi skaidriai nustatyti savo atitinkamą atsakomybę už šiame reglamente nustatytų prievolių laikymąsi, susitardami tarpusavyje. Be to, BDAR 79 konstatuojamojoje dalyje nurodyta, kad reikia„aiškiai paskirstyti atsakomybę“, įskaitant atvejus, kai duomenų valdytojas kartu su kitais nustato duomenų tvarkymo tikslus ir priemones. Vis dėlto, mano nuomone, šios pareigos ir reikalavimai bendriems duomenų valdytojams taikomi tik tada, kai nustatoma, kad jie gali būti laikomi tokiais duomenų valdytojais. Jie nepriskiriami kriterijams, kuriuos reikia įvykdyti, kad juos būtų galima laikyti tokiais. |
41. |
Kaip jau nurodžiau šios išvados 36 punkte, bendras duomenų tvarkymas priklauso tik nuo dviejų objektyvių sąlygų įvykdymo. Pirma, kiekvienas bendras duomenų valdytojas turi atitikti kriterijus, išvardytus BDAR 4 straipsnio 7 punkte pateiktoje duomenų valdytojo sąvokos apibrėžtyje. Bylos medžiagoje nėra pakankamai informacijos, iš kurios būtų galima nustatyti, ar pagrindinėje byloje nagrinėjamoje situacijoje ITSS turi būti laikoma „duomenų valdytoja“, kaip tai suprantama pagal šią nuostatą. Vis dėlto man atrodo, kad, atsižvelgiant į pirmesnėje šios išvados dalyje padarytas išvadas ir su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, bent NVSC, jei ne NVSC ir ITSS kartu, atitinka sąlygas, kad būtų laikomas „duomenų valdytoju“, kaip tai suprantama pagal tą pačią nuostatą. Antra, duomenų valdytojų įtaka duomenų tvarkymui turi būti daroma kartu (tai reiškia, kad ji turi būti daroma laikantis teisinių kriterijų ir jurisprudencijos, kuriuos priminiau šios išvados 37 ir 38 punktuose). Šiuo klausimu paaiškinau, kad bendras dalyvavimas tvarkant duomenis gali vykti įvairiomis formomis ir netgi neturi būti bendro dalyvaujančių šalių sprendimo rezultatas. Taigi, mano nuomone, esminis ir funkcinis požiūris, kurio reikia laikytis siekiant nustatyti, ar asmuo arba subjektas turi būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, taip pat taikomas bendram duomenų valdymui ( 20 ). |
42. |
Atsižvelgdamas į šias aplinkybes, laikausi nuomonės, pirma, kad vien dviejų ar daugiau duomenų valdytojų, kaip antai NVSC ir ITSS, tarpusavio susitarimo ar bendro sprendimo nebuvimas negali savaime reikšti, kad jie nėra „bendri duomenų valdytojai“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, siejamą su jo 26 straipsnio 1 dalimi. Šiuo klausimu norėčiau pridurti, jog EDAV yra nurodžiusi, kad nors susitarimai galėtų būti naudingi vertinant bendrą duomenų valdymą, jie visada turėtų būti tikrinami atsižvelgiant į šalių tarpusavio santykių faktines aplinkybes ( 21 ). |
43. |
Antra, man atrodo, jog vien tai, kad NVSC ir ITSS, be to, kad jie nesusitarė tarpusavyje, nepriėmė jokio susitarimo ar bendro sprendimo, regis, nederino savo veiksmų ar kitaip nebendradarbiavo tarpusavyje, nereiškia, kad jų negalima laikyti „bendrais duomenų valdytojais“. Net jei tokio derinimo ar bendradarbiavimo esama, tai neturi reikšmės klausimui, ar šių dviejų subjektų tarpusavio santykiai yra bendro duomenų valdymo santykiai, ar ne. Galima nesunkiai įsivaizduoti, kad bendradarbiavimas ar derinimas gali vykti tarp dviejų ar daugiau subjektų, jiems visai nebūnant bendrais duomenų valdytojais. Pavyzdžiui, du atskiri duomenų valdytojai galėjo derinti savo veiksmus arba bendradarbiauti tarpusavyje ketindami perduoti asmens duomenis vienas kitam. Tačiau dėl to jie netaptų „bendrais duomenų valdytojais“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą ir 26 straipsnio 1 dalį ( 22 ). Kaip jau paaiškinau šios išvados 38 punkte, svarbu tai, kad duomenų tvarkymas nebūtų įmanomas nedalyvaujant abiem šalims, nes abi jos turi realią įtaką šio duomenų tvarkymo tikslų ir priemonių nustatymui. |
3. Išvada dėl sąvokos „duomenų valdytojas“ ir bendro duomenų valdymo situacijų aiškinimo
44. |
Atsižvelgdamas į tai, kas išdėstyta, manau, kad, pirma, toks subjektas, kaip NVSC, atitinka BDAR 4 straipsnio 7 punkte išvardytas sąlygas, kad būtų laikomas „duomenų valdytoju“, tačiau tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas. Antra, ar NVSC ir ITSS gali būti laikomi „bendrais duomenų valdytojais“ pagal pirmesniame skirsnyje mano nurodytus kriterijus, arba ar jie gali būti atitinkamai laikomi „duomenų valdytoju“ ir „duomenų tvarkytoju“, priklauso nuo jų santykių pobūdžio, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas. |
45. |
Šiuo klausimu norėčiau pridurti, kad NVSC ir ITSS santykių pobūdis (t. y. ar jie yra „bendri duomenų valdytojai“, ar atitinkamai „duomenų valdytojas“ ir „duomenų tvarkytojas“) yra svarbus šeštajam klausimui. Taigi nagrinėdamas šeštajame klausime iškeltas problemas sugrįšiu prie išvadų, kurias padariau dėl šeštojo klausimo. |
B. Dėl sąvokos „duomenų tvarkymas“ (4 klausimas)
46. |
Ketvirtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 2 dalyje pateikta „duomenų tvarkymo“ sąvokos apibrėžtis apima atvejį, kai asmens duomenys naudojami mobiliosios programėlės testavimo etapu ( 23 ). Iš prašymo priimti prejudicinį sprendimą suprantu, kad programėlė KARANTINAS, prieš padarant ją viešai prieinamą atsisiųsti, buvo testuojama. Taigi, mano supratimu, ketvirtasis klausimas susijęs su situacija, kuri skiriasi nuo nagrinėjamosios kituose Teisingumo Teismui pateiktuose klausimuose, kurie visi susiję su asmens duomenų tvarkymu pasibaigus testavimo etapui, kai programėlė KARANTINAS buvo padaryta viešai prieinama. Konkrečiai prašymą priimti prejudicinį sprendimą pateikęs teismas nori sužinoti, ar asmens duomenų naudojimas šiuo testavimo etapu laikytinas „duomenų tvarkymu“, kaip tai suprantama pagal BDAR 4 straipsnio 2 dalį, ir ar dėl to gali kilti atsakomybė dalyvaujantiems duomenų valdytojams ir (arba) duomenų tvarkytojams. |
47. |
BDAR 4 straipsnio 2 punkte „duomenų tvarkymas“ apibrėžiamas kaip „bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka <…>“ ( 24 ). |
48. |
Iš šios formuluotės (visų pirma vartojamų žodžių „bet kokia“ ir bendrinių terminų, kaip antai žodžio „operacija“ arba „operacijų seka“) suprantu, kad ši nuostata turi būti aiškinama plačiai, kad apimtų kuo daugiau atvejų, kai yra naudojami asmens duomenys. Šioje nuostatoje numatytas nebaigtinis tokių situacijų sąrašas, atsižvelgiant į joje nurodytų operacijų įvairovę, patvirtina tokį aiškinimą ( 25 ). |
49. |
Be to, nors iš pirmesnės šios išvados dalies matyti, kad duomenų valdytojo sąvoka, kaip ji suprantama pagal minėto reglamento 4 straipsnio 7 punktą, glaudžiai susijusi su asmens duomenų tvarkymo tikslais (priežastimis, „dėl kurių“ renkami asmens duomenys), tačiau taip nėra kalbant apie šio reglamento 4 straipsnio 2 punkte pateiktą sąvoką. Taigi priežastys, dėl kurių atliekama operacija ar operacijų seka, iš esmės nėra svarbios sprendžiant klausimą, ar jos turi būti laikomos „duomenų tvarkymu“, kaip tai suprantama pagal šią nuostatą. Mano nuomone, tai reiškia, kad tai, ar asmens duomenys renkami siekiant išbandyti mobiliojoje programėlėje įdiegtas IT sistemas, ar kitu tikslu, neturi jokios įtakos klausimui, ar aptariama operacija laikytina „duomenų tvarkymu“. |
50. |
Šiuo klausimu taip pat norėčiau pažymėti, kad asmens duomenų „naudojimas“ (be jokios kitos nuorodos, taigi neatsižvelgiant į naudojimo tikslą) yra viena iš operacijų ar operacijų sekų, laikomų „duomenų tvarkymu“ ( 26 ). Be to, BDAR 4 straipsnio 2 dalyje nenumatyta jokios aiškios išimties, nukrypti leidžiančios nuostatos ar netaikymo operacijoms, susijusioms su asmens duomenų naudojimu testuojant IT sistemas. Vadinasi, niekas nedraudžia asmens duomenų naudojimo siekiant atlikti tokį testavimą laikyti „duomenų tvarkymu“, kaip tai suprantama pagal šią nuostatą, – yra netgi priešingai. |
51. |
Atsižvelgdamas į šias aplinkybes manau, kad BDAR 4 straipsnio 2 punkte pateikta sąvokos „duomenų tvarkymas“ apibrėžtis apima atvejį, kai asmens duomenys naudojami mobiliosios programėlės testavimo etapu. |
52. |
Mano išvadai šiuo klausimu neturi įtakos vien ta aplinkybė, kad asmens duomenys, pateikti siekiant išbandyti mobiliojoje programėlėje įdiegtas IT sistemas, galėjo būti pseudonimizuoti ( 27 ). Vienintelis atvejis, kai BDAR nebūtų taikomas, būtų, jei į mobiliąją programėlę perduodama informacija būtų nuasmeninta ir „[nebūtų] susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta“, arba šią informaciją sudarytų asmens duomenis, „kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta“. Vis dėlto norėčiau atkreipti dėmesį į tai, kad pagrindinėje byloje, remiantis byloje pateikta informacija, atrodo, jog testavimo etapu naudoti duomenys nebuvo sudaryti iš tokių nuasmenintų duomenų ( 28 ). |
53. |
Atsižvelgdamas į tai, kas išdėstyta, manau, kad BDAR 4 straipsnio 2 punkte pateikta sąvokos „duomenų tvarkymas“ apibrėžtis apima atvejį, kai asmens duomenys naudojami mobiliosios programėlės testavimo etapu, nebentkai šių duomenų anonimiškumas yra toks, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Tai, ar asmens duomenys renkami siekiant išbandyti mobiliojoje programėlėje įdiegtas IT sistemas, ar kitokiu tikslu, savo ruožtu neturi jokios įtakos klausimui, ar nagrinėjama operacija laikytina „duomenų tvarkymu“ ( 29 ). |
54. |
Pateikęs šiuos paaiškinimus, dabar pereisiu prie esminio šios bylos klausimo, susijusio su sąlygomis, kuriomis duomenų valdytojui arba duomenų tvarkytojui gali būti skiriama administracinė bauda pagal BDAR 83 straipsnį. |
C. Dėl administracinių baudų, skiriamų pagal BDAR 83 straipsnį (6 klausimas)
55. |
Prieš priimant BDAR, sankcijos už duomenų apsaugos taisyklių pažeidimus iš esmės buvo paliktos valstybių narių nuožiūrai, remiantis jų procesine ir teisių gynimo priemonių autonomija ( 30 ). Taigi BDAR 83 straipsnyje numatytos administracinės baudos yra palyginti naujas „pokytis“ Sąjungos teisėje duomenų apsaugos srityje. 29 straipsnio darbo grupė jas apibūdino kaip „pagrindinį naujos vykdymo užtikrinimo tvarkos elementą“ ( 31 ). Nors Teisingumo Teismas dar nėra išaiškinęs šios nuostatos, priežiūros institucijos ją jau taikė, kartais skirdamos dideles baudas duomenų valdytojams arba duomenų tvarkytojams ( 32 ). |
56. |
BDAR 83 straipsnyje numatyta dviejų pakopų sankcijų sistema, nelygu konkreti pažeistos nuostatos rūšis. Pirmosios pakopos sistema, apibrėžta to reglamento 83 straipsnio 4 dalyje, taikoma tais atvejais, kai duomenų valdytojas arba duomenų tvarkytojas pažeidžia jam taikomas bendrąsias pareigas ir tam tikras specialiąsias pareigas, o antrosios pakopos sistema, apibūdinta BDAR 83 straipsnio 5 dalyje, skirta sunkesniems pažeidimams, pavyzdžiui, pagrindinių duomenų tvarkymo principų, duomenų subjektų teisių ir taisyklių, susijusių su asmens duomenų perdavimu duomenų gavėjui trečiojoje šalyje arba tarptautinei organizacijai, pažeidimams. |
57. |
Abiejų pakopų atveju kompetentingos nacionalinės institucijos, nustačiusios, kad buvo pažeista konkreti BDAR nuostata, turi atlikti du vertinimus. Pirma, jos turi nustatyti, ar reikėtų skirti baudą, ir, antra, tai nustačiusios, jos turi nustatyti tokios baudos dydį. Šie vertinimai turi būti atliekami kiekvienu konkrečiu atveju, atsižvelgiant į įvairius veiksnius, išvardytus BDAR 83 straipsnio 2 dalyje. Tarp šių veiksnių yra tai, „ar pažeidimas padarytas tyčia, ar dėl aplaidumo“ (BDAR 83 straipsnio 2 dalies b punktas). |
58. |
Šeštuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar administracinė bauda gali būti skirta duomenų valdytojui, jei šis, pažeisdamas duomenų apsaugos taisykles, veikė ne tyčia ar dėl aplaidumo ir jei neteisėtą asmens duomenų tvarkymą atliko ne pats duomenų valdytojas, o duomenų tvarkytojas. Grįžtant prie išvadų, kurias pateikiau dėl penktojo klausimo, man atrodo, kad šeštasis klausimas pateiktas tuo atveju, jeigu pagrindinėje byloje NVSC ir ITSS negalėtų būti laikomi „bendrais duomenų valdytojais“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, siejamą su šio reglamento 26 straipsnio 1 dalimi, ir turėtų būti atitinkamai laikomi „duomenų valdytoju“ ir „duomenų tvarkytoju“. Šiame konkrečiame kontekste prašymą priimti prejudicinį sprendimą pateikęs teismas norėtų, kad būtų patikslintos aplinkybės, kuriomis NVSC gali būti skiriama bauda pagal BDAR 83 straipsnį. |
59. |
Atsižvelgdamas į tai, atkreipiu dėmesį, kad šeštajame klausime kaip bylai reikšminga nuostata minima tik BDAR 83 straipsnio 1 dalis. Vis dėlto, mano nuomone, dėl šiuo klausimu keliamų problemų reikia nagrinėti visą šio reglamento 83 straipsnį ir ypač, kaip paaiškinau šios išvados 57 punkte, atsižvelgti į jo 83 straipsnio 2 dalies b punktą, nes šioje nuostatoje nurodoma: „ar pažeidimas padarytas tyčia, ar dėl aplaidumo“. Taigi darysiu prielaidą, kad šeštuoju klausimu prašoma išaiškinti visą BDAR 83 straipsnį, o ne tik jo 1 dalį. |
60. |
Mano nuomone, šį klausimą sudaro dvi dalys. Pirma, juo Teisingumo Teismo prašoma nustatyti, ar pagal BDAR 83 straipsnį apskritai leidžiama skirti administracines baudas duomenų valdytojams arba duomenų tvarkytojams, jeigu nėra mens rea (subjektyvusis požymis – kaltė). Iš esmės prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar NVSC galėtų būti skirta bauda vien dėl to, kad jis pažeidė jam, kaip duomenų valdytojui, nustatytas pareigas (objektyvioji („griežtoji“) atsakomybė), ar vis dėlto reikalaujama kaltės darant atitinkamą (‑us) pažeidimą (‑us). Antra, jis prašo paaiškinti, ar tai, kad neteisėtą asmens duomenų tvarkymą atliko ne pats duomenų valdytojas, o duomenų tvarkytojas, turi kokios nors įtakos priežiūros institucijų galimybei skirti baudą duomenų valdytojui. |
61. |
Kiekvieną iš šių dviejų aspektų nagrinėsiu iš eilės. |
1. Pirmasis aspektas: poreikis nustatyti kaltę
62. |
BDAR 83 straipsnyje reikalaujama, kad visos administracinės baudos už duomenų apsaugos taisyklių pažeidimą būtų „veiksmingos, proporcingos ir atgrasomos“. Tai aiškiai nurodyta šios nuostatos 1 dalyje. Vis dėlto joje nenurodyta, ar tokia bauda gali būti skirta tik tuo atveju, jei yra įrodyta ir kaltė, t. y. ar „kaltė“ yra būtina norint skirti bet kokią administracinę nuobaudą. |
63. |
Kita vertus, tos pačios nuostatos 2 dalies b punkte kaip vienas iš veiksnių ( 33 ), į kuriuos priežiūros institucijos turi „deramai“ atsižvelgti kiekvienu konkrečiu atveju, nurodyta „tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo“. Pagal šio reglamento 83 straipsnio 2 dalies k punktą šie veiksniai turi būti suprantami kaip „sunkinantys ar švelninantys“ ir jų sąrašas nėra išsamus. |
64. |
Šiomis aplinkybėmis manau, kad BDAR 83 straipsnį galima suprasti dviem būdais. |
65. |
Viena vertus, būtų galima manyti, kad nors sprendimas skirti baudą ir jos dydis turi būti nustatomi tinkamai atsižvelgiant į atitinkamą kaltės laipsnį (t. y., pavyzdžiui, didesnė bauda iš esmės turėtų būti skiriama, jei pažeidimas padarytas tyčia, ir, atvirkščiai, esant aplaidžiam elgesiui turėtų būti skirta mažesnė bauda), niekas nedraudžia skirti baudos ir nesant jokios kaltės, jeigu duomenų tvarkytojas arba duomenų valdytojas gali būti laikomas atsakingu už pažeidimą. Tokį aiškinimą patvirtina BDAR 83 straipsnio 2 dalies b ir k punktų analizė, pagal kurią įvairių kaltės rūšių (tyčios ar aplaidumo) nurodymas kaip „sunkinančių arba švelninančių veiksnių“ galėtų reikšti, kad kaltė apskritai nėra būtina baudos skyrimo sąlyga. |
66. |
Kita vertus, taip pat būtų galima teigti, kaip Komisija daro šioje byloje, kad prieš skiriant baudą kaip būtiniausią reikalavimą būtina nustatyti pažeidimą padariusio asmens ar subjekto aplaidumą. Tokį požiūrį patvirtintų kitoks, atsargesnis, BDAR 83 straipsnio 2 dalies b ir k punktų aiškinimas, t. y. kad šiose nuostatose reikalaujama, jog priežiūros institucijos atskirtų lengvinančią (aplaidumas) ir sunkinančią (tyčia) aplinkybę, tačiau nenurodoma, kad bauda galėtų būti skiriama visiškai nesant kaltės. |
67. |
Komisija aiškiai pasirinko tokį aiškinimą savo pradiniame pasiūlyme, kuriuo remiantis buvo priimtas BDAR ( 34 ) ir kuriame ji siūlė baudų sistemą organizuoti kaip trijų pakopų sistemą. Komisija siūlė, kad pagal kiekvieną pakopą baudos galėtų būti skiriamos tik „bet kuriam subjektui, kuris tyčia ar dėl [aplaidumo]“ ( 35 ) padarė vieną ar daugiau įtariamų pažeidimų. Taigi Komisija aiškiai numatė, kad kaltė yra būtina tokios baudos skyrimo sąlyga ( 36 ). |
68. |
Nors, mano manymu, abu požiūriai gali būti ginami remiantis BDAR 83 straipsnio 2 dalies teksto aiškinimu, nes kiekvienas iš jų atitinka „tyčinio ar aplaidaus pažeidimo pobūdžio“ kaip „sunkinančios“ ar „lengvinančios“ aplinkybės supratimą, manau, kad tik antrasis požiūris tinkamai atspindi Sąjungos teisės aktų leidėjo ketinimus. Tokią išvadą darau dėl kelių priežasčių. |
a) Priežastys, dėl kurių reikalaujama kaltės
69. |
Pirma, pažymiu, kad keli iš BDAR 83 straipsnio 2 dalyje išvardytų veiksnių suformuluoti taip, kad iš šios formuluotės galima daryti išvadą, jog tokie veiksniai gali būti taikomi ne visais, o tik tam tikrais atvejais. Visų pirma 83 straipsnio 2 dalies c, e ir k punktai pradedami žodžiais „bet kuris“ („bet kuriuos veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą <…>“; „bet kuriuos <…> svarbius ankstesnius pažeidimus <…>“; „[bet kuriuos] kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis <…>“), o tai leidžia manyti, kad, nors priežiūros institucijos visada turi atsižvelgti į tai, ar yra žalos mažinimo veiksmų, ankstesnių pažeidimų arba kitų svarbių sunkinančių ar lengvinančių aplinkybių, jei tokių yra arba jie buvo įrodyti, iš tikrųjų gali būti situacijų, kai tokių aplinkybių tiesiog nėra, tačiau kompetentinga duomenų apsaugos institucija vis vien gali nuspręsti skirti baudą (arba, atvirkščiai, neskirti baudos). Dar norėčiau pažymėti, kad BDAR 83 straipsnio 2 dalies i punktas taip pat suformuluotas nesistemingai, nes pagal jį reikalaujama išnagrinėti, ar duomenų valdytojas arba duomenų tvarkytojas laikėsi minėto reglamento 58 straipsnio 2 dalyje nurodytų priemonių, tačiau tik tada, „jei atitinkamam duomenų valdytojui arba duomenų tvarkytojui dėl to paties dalyko anksčiau buvo taikytos [tokios] <…> priemonės“. |
70. |
Vis dėlto BDAR 83 straipsnio 2 dalies b punkte tiesiog nurodyta: „tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo“ ( 37 ). Taigi man atrodo, kad tai yra vienas iš veiksnių, kurie turi būti visais atvejais ir, vaizdžiai tariant, kurio langelis turi būti „pažymėtas“ bet kuriuo atveju prieš skiriant baudą, kaip ir „pažeidimo pobūdis, sunkumas ir trukmė“ (83 straipsnio 2 dalies a punktas), „asmens duomenų, kuriems pažeidimas turi poveikį, kategorijos“ (83 straipsnio 2 dalies g punktas) ir „tai, kokiu būdu <…> [sužinota] apie pažeidimą“ (83 straipsnio 2 dalies h punktas). Mano nuomone, tie kiti veiksniai turi „būti“ visais atvejais: pavyzdžiui, „pažeidimo pobūdis, sunkumas ir trukmė“ kiekvienu konkrečiu atveju gali smarkiai skirtis (ir atitinkamai gali būti laikoma priežastimi, „pateisinančia“ baudos skyrimą arba „nepateisinančia“ baudos skyrimo). Vis dėlto visais atvejais reikės atsižvelgti į pažeidimo konkretų pobūdį, tam tikrą sunkumą ir tam tikrą trukmę. Mano nuomone, tai yra pirmasis požymis, jog BDAR 83 straipsnyje nustatytos administracinės baudos, kad jos būtų skiriamos tik tais atvejais, kai įtariamas pažeidimas padarytas tyčia arba dėl aplaidumo ( 38 ). |
71. |
Antra, norėčiau pažymėti, kad nors BDAR 83 straipsnio 2 dalyje aiškiai nenurodyta, kad pažeidimas turi būti padarytas „tyčia ar dėl aplaidumo“, to paties negalima pasakyti apie šios nuostatos 3 dalį, kurioje nustatyta bendra taisyklė, pagal kurią administracinės baudos negali būti subendrinamos. Šiame punkte minima tik situacija, kai atitinkamas (‑i) pažeidimas (‑ai) buvo padarytas (‑i) „tyčia, ar dėl aplaidumo“. |
72. |
Mano nuomone, darytina logiška išvada, kad BDAR 83 straipsnio 2 dalis turi būti aiškinama taip: bauda gali būti skirta tik tuo atveju, jei įtariamas pažeidimas padarytas tyčia arba dėl aplaidumo. Jeigu BDAR 83 straipsnio 2 ir 3 dalių taikymo sritis būtų kitokia, būtų galima skirti subendrintas baudas už ne tokius sunkius pažeidimus (t. y. padarytus be jokios kaltės), nes nors bauda už juos vis vien galėtų būti skiriama pagal pirmąją nuostatą (83 straipsnio 2 dalį), antroji iš šių dviejų nuostatų (83 straipsnio 3 dalis) jų neapimtų, Vis dėlto to paties nebūtų įmanoma padaryti kalbant apie pažeidimus, padarytus dėl aplaidumo ar tyčia, nes visiems šiems pažeidimams taikoma šio reglamento 83 straipsnio 3 dalyje numatyta bendrinimo draudimo taisyklė. Toks rezultatas akivaizdžiai prieštarautų pagrindiniam BDAR įtvirtintos sankcijų sistemos principui, pagal kurį už sunkius pažeidimus iš esmės turėtų būti baudžiama griežčiau nei už mažiau sunkius, o ne atvirkščiai. |
73. |
Trečia, norėčiau atkreipti dėmesį, kad taikant BDAR 83 straipsnyje numatytas baudas gali būti baudžiama griežtai. Dėl pirmosios pakopos, reglamentuojamos BDAR 83 straipsnio 4 dalyje, gali būti skiriamos baudos iki 10000000 EUR, o įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Pagal antrąją pakopą numatytos baudos gali siekti iki 20000000 EUR, o įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos (taip pat atsižvelgiant į tai, kuri suma yra didesnė). |
74. |
Atsižvelgiant į tai, man atrodytų, kad pagal BDAR 83 straipsnį skiriamomis baudomis siekiama baudžiamojo poveikio, bent tam tikrais atvejais ( 39 ), ir jos yra tokios griežtos, kad jas galima laikyti baudžiamojo pobūdžio ( 40 ), todėl jos patektų į Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 49 straipsnio taikymo sritį ( 41 ). |
75. |
Atsižvelgiant į šias aplinkybes ir ypač į pagal BDAR 83 straipsnį skiriamų baudų baudžiamąjį pobūdį, gali kilti pagunda teigti, kad šios nuostatos 1 dalyje nustatytu reikalavimu, kad baudos visais atvejais turi būti ne tik „veiksmingos“ ir „atgrasomos“, bet ir „proporcingos“, būtų nesuderinama leisti skirti tokias baudas nesant kaltės. Kitaip tariant, būtų neproporcinga skirti baudas tais atvejais, kai nenustatytas net aplaidumas. Vis dėlto, mano nuomone, šiuo argumentu sunku remtis, nes Teisingumo Teismas jau yra konstatavęs, kad bausmių ar sankcijų sistema, grindžiama griežta atsakomybe, net jei ji baudžiamojo pobūdžio, pati savaime nėra neproporcinga siekiamiems tikslams, jei ši sistema skatina atitinkamus asmenis laikytis reglamento nuostatų ir jei siekiama bendrojo intereso tikslų, kuriais galima pateisinti tokios sistemos nustatymą ( 42 ). Be to, Europos Žmogaus Teisių Teismas (EŽTT) dėl Europos žmogaus teisių konvencijos (EŽTK) 7 straipsnio (kuris atitinka Chartijos 49 straipsnį) ( 43 ) yra nusprendęs, kad nors baudžiant pagal šią nuostatą paprastai reikalaujama, kad būtų subjektyvusis ryšys, kuriuo remiantis, vertinant fiziškai pažeidimą padariusio asmens elgesį, galima nustatyti atsakomybės elementą, šis reikalavimas nereiškia, kad negali būti tam tikrų objektyviosios atsakomybės formų ( 44 ). |
76. |
Atsižvelgdamas į tai, iš minėtos jurisprudencijos suprantu, jog tam, kad kiltų baudžiamoji atsakomybė, paprastai reikalaujama mens rea, ir todėl „griežtoji“ atsakomybė yra tarsi šios bendrosios taisyklės „išimtis“, tad ji turi būti pateisinama atsižvelgiant į reglamentu siekiamus tikslus. |
77. |
Atsižvelgiant į visą BDAR, man atrodo, kad Sąjungos teisės aktų leidėjas administracines baudas numatė tik kaip vieną iš šiame teisės akte numatytų priemonių veiksmingam jo laikymuisi užtikrinti. Baudos turi būti skiriamos „kartu“ su kitomis priemonėmis, nurodytomis šio reglamento 58 straipsnio 2 dalyje, pagal kurią priežiūros institucijoms suteikiami įvairūs įgaliojimai imtis taisomųjų veiksmų (pavyzdžiui, įgaliojimai skirti įspėjimus, papeikimus ar įsakymus), arba „vietoj jų“ ( 45 ). Be to, tais atvejais, kai pagal BDAR 83 straipsnį administracinė bauda neskiriama, priežiūros institucijos turi galimybę skirti kitas sankcijas pagal šio reglamento 84 straipsnį ( 46 ). |
78. |
Mano nuomone, iš minėtų nuostatų aiškiai matyti, kad priimdamas šį reglamentą Sąjungos teisės aktų leidėjas nesiekė, kad už kiekvieną duomenų apsaugos taisyklių pažeidimą būtų baudžiama administracine bauda. Veikiau jis siekė numatyti lanksčią ir diferencijuotą nuobaudų ir sankcijų sistemą. Tai patvirtina BDAR 148 konstatuojamoji dalis, kurioje numatyta, kad priežiūros institucijos gali neskirti administracinės baudos, tačiau skirti papeikimą „nedidelio pažeidimo atveju arba jeigu bauda, kuri gali būti skirta, sudarytų neproporcingą naštą fiziniam asmeniui“. Šiomis aplinkybėmis manau, kad BDAR 83 straipsnio taikymas tik tais atvejais, kai nustatomas bent aplaidumas, yra suderinamas su šiais tikslais ir bendra šių skirtingų nuostatų logika, pagal kurią administracinės baudos turi būti skiriamos tik už tam tikrus pažeidimus. |
79. |
Man taip pat atrodo, kad kai Sąjungos teisės aktų leidėjas išreiškė norą BDAR numatyti objektyviąją („griežtąją“) arba preziumuojamą atsakomybę, jis tai padarė vartodamas konkrečias formuluotes, kurių nėra jo 83 straipsnyje. Pavyzdžiui, dėl civilinės atsakomybės (t. y. duomenų valdytojų ir duomenų tvarkytojų atsakomybės duomenų subjektams), kuriai taikomas BDAR 82 straipsnis, Sąjungos teisės aktų leidėjas nurodė, kad duomenų valdytojams ir duomenų tvarkytojams tenka griežta pareiga atlyginti duomenų subjektams padarytą žalą, nebent jie įrodo, kad nėra niekaip atsakingi už žalą sukėlusius veiksmus ( 47 ). „Kaltė“ kaip elementas nevaidina jokio vaidmens taikant šią nuostatą. Priešingai, šio reglamento 83 straipsnyje nėra formuluotės, panašios į BDAR 84 straipsnį. Mano nuomone, tai patvirtina, kad Sąjungos teisės aktų leidėjas neketino nustatyti objektyviąja („griežtąja“) atsakomybe grindžiamos baudų sistemos. |
80. |
Ketvirta, ir galbūt svarbiausia, manau, kad praktiškai BDAR pažeidimo dėl aplaidumo, kaip tai suprantama pagal šio reglamento 83 straipsnio 2 dalies b punktą, kartelė bet kuriuo atveju yra tokia žema, kad sunku numatyti atvejus, kai baudos nebūtų galima skirti vien dėl to, kad nėra tyčios ar aplaidumo. Taigi manau, jog vien tai, kad norint skirti baudą pagal šio reglamento 83 straipsnį turi būti nustatyta tyčia ar aplaidumas, nekelia pavojaus Sąjungos teisės aktų leidėjo tikslui užtikrinti veiksmingą jame nustatytų duomenų apsaugos taisyklių vykdymo užtikrinimą, anaiptol. |
81. |
Šiuo klausimu kai kas teigia, kad vien nesiėmimas jokių veiksmų tuo atveju, kai duomenų valdytojas arba duomenų tvarkytojas tiesiog abejoja dėl atlikto duomenų tvarkymo teisėtumo, jau reiškia sąmoningą pritarimą galimam BDAR pažeidimui, vadinasi, didelį aplaidumą ( 48 ). Be to, 29 straipsnio darbo grupė yra nurodžiusi, kad dėl aplaidumo padarytas pažeidimas daugeliu aspektų prilygsta „netyčiniam“ pažeidimui, nes, jos nuomone, toks pažeidimas gali būti konstatuotas, kai nebuvo ketinimo padaryti pažeidimą, o duomenų valdytojas arba tvarkytojas tik pažeidė savo pareigą elgtis rūpestingai ( 49 ). Visų pirma ji nurodė, kad net vien paprasta „žmogaus klaida“ ( 50 ) gali būti aplaidumo požymis. |
82. |
Man ateina į galvą dvi išvados. Pirma, riba tarp visiškai netyčinio pažeidimo be kaltės ir aplaidaus pažeidimo iš tikrųjų yra labai plona. Manau, kad priežiūros institucijoms retai kils sunkumų nustatyti pakankamus požymius, patvirtinančius, kad įtariamas pažeidimas padarytas bent dėl aplaidumo. Šiuo klausimu norėčiau pažymėti, jog doktrinoje teigiama, kad, „atsižvelgiant į daugybę informuotumo didinimo veiksmų <…> skirtų užtikrinti atitiktį BDAR, sunku įsivaizduoti <…> BDAR pažeidimus, kurie nebūtų bent jau aplaidūs“ ( 51 ). Visiškai pritariu tam ir primenu, kad BDAR konkrečiai siekiama užtikrinti, kad duomenų valdytojai ir duomenų tvarkytojai žinotų duomenų apsaugos taisykles, todėl, mano nuomone, dar sunkiau manyti, kad pažeidimas galėjo būti padarytas be jokios kaltės (net nesant aplaidumo) ( 52 ). |
83. |
Antra, toks rezultatas atrodo visiškai suderinamas su pagrindiniu BDAR tikslu užtikrinti nuoseklią aukšto lygio fizinių asmenų apsaugą Europos Sąjungoje ( 53 ). Iš tiesų baudos turi atgrasomąjį poveikį ( 54 ). Skatindamos duomenų valdytojus ir duomenų tvarkytojus laikytis BDAR, jos apskritai prisideda prie didesnės duomenų subjektų apsaugos, todėl yra pagrindinis aspektas užtikrinant, kad būtų paisoma jų teisių ( 55 ). Mano nuomone, darytina išvada, kad nors be „kaltės“ negalima apsieiti, tai nereiškia, jog tam, kad būtų taikomas šio reglamento 83 straipsnis, reikalaujamas kaltės laipsnis turi būti pakankamai mažas, siekiant užtikrinti tinkamą duomenų subjektų apsaugos lygį. |
84. |
Be to, norėčiau pabrėžti, jog toks požiūris, kurio siūlau laikytis Teisingumo Teismui, taip pat patvirtintų, kad minėtoje nuostatoje nustatyta baudų sistema atitinka Reglamento (EB) Nr. 1/2003 ( 56 ) 23 straipsnio 1 dalyje numatytą baudų už konkurencijos teisės pažeidimus sistemą, kuri taip pat taikoma tik tuo atveju, jei nustatoma tyčia ar aplaidumas. Tai, kad formuluojant BDAR 83 straipsnį remtasi kita baudų sistema, patvirtina BDAR 150 konstatuojamoji dalis, kurioje nurodyta, kad „jei administracinės baudos skiriamos įmonei, tais tikslais įmonė turėtų būti suprantama kaip įmonė, apibrėžta SESV 101 ir 102 straipsniuose“, ir kiti šių dviejų baudų sistemų panašumai, pavyzdžiui, tai, kad baudų dydis įmonėms pagal abi sistemas gali būti grindžiamas jų apyvarta. Taip pat atkreiptinas dėmesys į tai, kad keli iš BDAR 83 straipsnio 2 dalyje išvardytų veiksnių sutampa su veiksniais, kurie yra svarbūs nustatant baudos už konkurencijos teisės pažeidimus dydį ( 57 ). |
85. |
Išdėsčius priežastis, dėl kurių, mano manymu, prieš skiriant baudą duomenų valdytojui arba duomenų tvarkytojui pagal BDAR 83 straipsnio 2 dalį turi būti nustatyta kaltė, belieka tarti keletą žodžių apie Tarybos ir Lietuvos vyriausybės argumentus. Šių šalių teigimu, būtent valstybės narės sprendžia, ar prieš skiriant administracinę baudą turi būti nustatyta kaltė, ar ne. |
86. |
Tiesiog nepritariu šiam teiginiui. |
b) Kodėl valstybės narės neturi jokios diskrecijos spręsti, ar būtina kaltė?
87. |
Man atrodo akivaizdu, kad vienas iš pagrindinių BDAR, visų pirma jo 83 straipsnio, tikslų buvo pasiekti didesnį suderinimo lygį visoje Sąjungoje, visų pirma kiek tai susiję su baudų skyrimu ( 58 ). Šiuo klausimu manau, kad, priešingai, nei teigia Taryba ir Lietuvos vyriausybė, Sąjungos teisės aktų leidėjas nenorėjo, kad valstybės narės turėtų diskreciją spręsti, ar kaltė būtina, ar ne. |
88. |
Papildomi reikalavimai, susiję su procedūra, kurios turi laikytis priežiūros institucijos, skirdamos baudą, tikrai gali būti numatyti nacionalinės teisės aktuose (pavyzdžiui, susiję su pranešimu apie baudą, pastabų pateikimo, apskundimo, vykdymo užtikrinimo ir mokėjimo terminais) ( 59 ). Tai aiškiai matyti iš BDAR 83 straipsnio 8 dalies, kurioje nurodyta, kad priežiūros institucijos įgaliojimais skirti baudas naudojasi laikydamosi „atitinkam[ų] procedūrin[ių] garantij[ų]“, kurios turi būti numatytos nacionalinėje teisėje, jei tik užtikrinamas Sąjungos teisės laikymasis (visų pirma teisės į veiksmingą teisminę gynybą ir teisės į tinkamą procesą). |
89. |
Vis dėlto ši diskrecija negali apimti esminių reikalavimų, taikomų skiriant baudą, pavyzdžiui, kaltės laipsnio. Mano nuomone, ši išvada tiesiogiai išplaukia iš kelių šio reglamento konstatuojamųjų dalių ( 60 ), iš kurių matyti, kad BDAR 83 straipsnyje nustatytą administracinių baudų sistemą Sąjungos teisės aktų leidėjas sukūrė tam, kad Sąjungos teritorijoje būtų pasiekti nuoseklūs rezultatai. |
90. |
Dėl išsamumo norėčiau pridurti, jog, atsižvelgiant į tai, kad baudos daro didelį poveikį įmonių tarpusavio konkurencijai ir turi reikšmingą poveikį rinkai, mano nuomone, labai svarbu, kad BDAR 83 straipsnis būtų taikomas nuosekliai, antraip jis iš tikrųjų gali prisidėti prie įmonių tarpusavio konkurencijos iškraipymo ( 61 ). |
2. Antrasis aspektas: ar duomenų valdytojas gali būti nubaustas už pažeidimą, padarytą tuo atveju, kai neteisėtą duomenų tvarkymą atliko ne jis pats, o duomenų tvarkytojas
91. |
Antrąja šeštojo klausimo dalimi prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar duomenų valdytojui gali būti skiriama bauda pagal BDAR 83 straipsnį, kai asmens duomenis neteisėtai tvarkė ne pats duomenų valdytojas, o duomenų tvarkytojas (nagrinėjamu atveju – ITSS). |
92. |
Mano nuomone, į šį klausimą reikia atsakyti teigiamai. |
93. |
Šiuo klausimu norėčiau priminti, kad, kaip nurodžiau šios išvados 27 punkte, duomenų valdytojui nebūtina pačiam tvarkyti jokių asmens duomenų, jei jis nustato atitinkamų duomenų tvarkymo operacijų „kodėl ir kaip“. Be to, pažymėtina, kad BDAR 4 straipsnio 8 punkte „duomenų tvarkytojas“ apibrėžiamas kaip „fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis“ ( 62 ). |
94. |
Manau, šios apibrėžtys patvirtina, kad taikant BDAR duomenų valdytojas gali būti laikomas atsakingu, taigi ir nubaustas, pagal šio reglamento 83 straipsnį tuo atveju, kai asmens duomenys tvarkomi neteisėtai ir kai neteisėtą duomenų tvarkymą atlieka ne pats duomenų valdytojas, o duomenų tvarkytojas. Tokia galimybė išlieka tol, kol duomenų tvarkytojas tvarko asmens duomenis duomenų valdytojo vardu. |
95. |
Taip bus tol, kol duomenų tvarkytojas veiks pagal duomenų valdytojo jam suteiktus įgaliojimus ir tvarkys duomenis laikydamasis iš duomenų valdytojo gautų teisėtų nurodymų ( 63 ). Vis dėlto, jeigu duomenų tvarkytojas viršytų šiuos įgaliojimus ir kaip duomenų tvarkytojas gautus duomenis naudotų savo tikslais ir jeigu aišku, kad šalys nėra „bendri duomenų valdytojai“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą ir 21 straipsnio 6 dalį, duomenų valdytojui, mano nuomone, negalėtų būti skirta bauda pagal šio reglamento 83 straipsnį už neteisėtą duomenų tvarkymą ( 64 ). |
96. |
Darytina išvada, kad tokiu atveju, koks nagrinėjamas pagrindinėje byloje, pagal BDAR 83 straipsnį bauda gali būti skirta NVSC, net jei asmens duomenis neteisėtai tvarkė tik ITSS, o NVSC nedalyvavo tvarkant šiuos duomenis. Ši galimybė yra tol, kol gali būti pripažįstama, kad ši bendrovė tvarkė asmens duomenis NVSC vardu, o taip nebūtų, jei ITSS veiktų nesilaikydama NVSC teisėtų nurodymų arba juos pažeisdama ir naudotų asmens duomenis savo tikslais ir jei aišku, kad NVSC ir ITSS neveikė kaip bendri duomenų valdytojai. |
V. Išvada
97. |
Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui taip atsakyti į Vilniaus apygardos administracinio teismo (Lietuva) pateiktus prejudicinius klausimus:
|
( 1 ) Originalo kalba: anglų.
( 2 ) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymas OL L 127, 2018, p. 2) (toliau – BDAR).
( 3 ) Programėlės KARANTINAS renkami naudotojų asmens duomenys buvo: ID numeris, platumos ir ilgumos koordinatės, šalis, miestas, savivaldybė, gyvenamosios vietos adresas, vardas, pavardė, asmens kodas, telefono numeris, tai, ar asmuo privalėjo izoliuotis, tai, ar jis pasižymėjo, ir t. t. Šie duomenys buvo renkami ne tik Lietuvoje, bet ir užsienyje.
( 4 ) BDAR 5 straipsnyje pateiktas bendrųjų principų, kurių turi būti laikomasi tvarkant asmens duomenis, sąrašas. Šio reglamento 13 straipsnyje išvardyta informacija, kurią duomenų valdytojai privalo pateikti duomenų subjektams, kai iš jų renkami asmens duomenys. To paties reglamento 24 straipsnyje nustatyta, kad duomenų valdytojai, be kita ko, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų (ir galėtų įrodyti), kad duomenys tvarkomi laikantis taikomų duomenų apsaugos taisyklių. BDAR 32 straipsnis susijęs su duomenų tvarkymo saugumu ir jame nustatytos tiek duomenų valdytojų, tiek duomenų tvarkytojų pareigos šioje srityje, o jo 35 straipsnis susijęs su duomenų valdytojų pareiga prieš atliekant tam tikrų rūšių duomenų tvarkymą atlikti poveikio duomenų apsaugai vertinimus.
( 5 ) Pagal BDAR 29 straipsnį „duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę“.
( 6 ) Pažymėtina, kad asmens duomenys apie sveikatą yra „specialios kategorijos duomenys“, kuriuos pagal BDAR 9 straipsnį tvarkyti draudžiama, išskyrus atvejus, kai taikoma viena iš šios nuostatos 2 dalyje išvardytų priežasčių (pavyzdžiui, kai tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje (2 dalies i punktas) arba profilaktinės medicinos ar darbo medicinos tikslais (2 dalies h punktas)). Atsižvelgdamas į tai, norėčiau pažymėti, kad šioje byloje Teisingumo Teismui pateikti klausimai susiję ne su tokio duomenų tvarkymo teisėtumu, o su sąlygomis, kuriomis toks subjektas, kaip NVSC, gali būti laikomas atsakingu už tokį mobiliosios programėlės kūrėjo (šiuo atveju – ITSS) atliktą duomenų tvarkymą.
( 7 ) Remiantis bylos medžiagoje ir per teismo posėdį pateikta informacija, neaišku, ar Vilniaus miestas dalyvavo kuriant programėlę KARANTINAS.
( 8 ) Kaip paaiškinsiu šios išvados 46 punkte, iš prašymo priimti prejudicinį sprendimą suprantu, kad iš pradžių programėlė KARANTINAS buvo testuojama ir paskui padaryta viešai prieinama parsisiųsti. Taigi, mano supratimu, ketvirtasis klausimas susijęs su asmens duomenų naudojimu šiuo testavimo etapu, o ne su jų naudojimu vėliau, kai programėlė KARANTINAS buvo padaryta viešai prieinama atsisiųsti.
( 9 ) Žr. Rücker, D. ir Kugler, T., „New European General Data Protection Regulation: A Practitioner’s Guide“, C.H. Beck, Hart and Nomos, Oksfordas, 2018, p. 27. Šių autorių teigimu, svarbiausia duomenų valdytojo savybė ta, kad jis nustato rezultatus, kurie turėtų būti pasiekti, o ne duomenų tvarkymo priemones ar tai, „kaip“ duomenys turi būti tvarkomi; tai, bent jau neesminiais aspektais, gali būti perduota duomenų tvarkytojui, neprarandant duomenų valdytojo statuso.
( 10 ) Žr. 2018 m. liepos 10 d. Sprendimą Jehovan todistajat (C‑25/17, EU:C:2018:551, 68 punktas). Šis sprendimas buvo susijęs su sąvokos „duomenų valdytojas“, kaip ji buvo apibrėžta 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) 2 straipsnio d punkte, išaiškinimu. Nors ši direktyva nebegalioja ir ją pakeitė BDAR, Teisingumo Teismo pateiktas šios nuostatos išaiškinimas išlieka aktualus taikant BDAR, nes šios sąvokos apibrėžtis abiejuose teisės aktuose, išskyrus nedidelius formalius pakeitimus, išliko identiška. Taigi toliau pateiksiu nuorodas neatskirdamas teismo sprendimų, susijusių su vienu ar kitu iš šių teisės aktų.
( 11 ) Žr. 2018 m. liepos 10 d. Sprendimą Jehovan todistajat (C‑25/17, EU:C:2018:551, 67 punktas).
( 12 ) Žr. EDAV „Gairės Nr. 07/2020 dėl sąvokų „duomenų valdytojas“ ir „duomenų tvarkytojas“ pagal BDAR, 2.1 versija, priimtos 2021 m. liepos 7 d. (toliau – Gairės Nr. 07/2020, skelbiamos anglų k. adresu https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf), p. 3 ir 21 ir 25–27 punktus.
( 13 ) 2019 m. liepos 29 d. sprendimas (C‑40/17, EU:C:2019:629, 85 punktas).
( 14 ) Taip pat žr. Gairių 07/2020 42 punktą.
( 15 ) Žr. BDAR 26 straipsnio 3 dalį, pagal kurią „duomenų subjektas gali naudotis savo teisėmis pagal [BDAR] kiekvieno iš duomenų valdytojų atžvilgiu“. Taip pat žr. šio reglamento 82 straipsnio 4 ir 5 dalis.
( 16 ) Šiuo klausimu žr. 2019 m. liepos 29 d. Sprendimą Fashion ID (C‑40/17, EU:C:2019:629, 67 punktas ir jame nurodyta jurisprudencija).
( 17 ) Šiuo klausimu žr. 2018 m. birželio 5 d. Sprendimą Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, 43 punktas).
( 18 ) Žr. 2018 m. liepos 10 d. Sprendimą Jehovan todistajat (C‑25/17, EU:C:2018:551, 69 punktas ir jame nurodyta jurisprudencija).
( 19 ) Žr. Gairių Nr. 07/2020 p. 3 ir 54 bei 55 punktus.
( 20 ) Iš tiesų būtų gana prieštaringa, jeigu asmenį ar subjektą būtų galima laikyti „duomenų valdytoju“ nesiremiant formaliais reikalavimais ir jeigu to nebūtų galima padaryti siekiant pripažinti tą patį ir kitą subjektą „bendrais duomenų valdytojais“.
( 21 ) Žr. Gairių Nr. 07/2020 52 punktą.
( 22 ) Šiuo klausimu žr. Gairių Nr. 07/2020 69 punktą.
( 23 ) Pažymėtina, kad ketvirtajame klausime prašymą priimti prejudicinį sprendimą pateikęs teismas mini „asmens duomenų kopijų“, o ne asmens duomenų naudojimą. Turiu pripažinti, kad man neaišku, ką šis teismas turi omenyje nurodydamas „asmens duomenų kopijos“, nes asmens duomenys gali būti nematerialios formos ir, kaip patikslinta BDAR 4 straipsnio 1 punkte, „asmens duomenys“ šioje nuostatoje apibrėžiami kaip „bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti“ (išskirta mano), nenustatant jokio reikalavimo „kopijuoti“ arba perrašyti asmens duomenis į konkretų įrenginį ar laikmeną. Mano nuomone, fizinis objektas (pavyzdžiui, spausdintinės kopijos) arba elektroninė rinkmena, kurioje yra asmens duomenų, neturi reikšmės atsakant į klausimą, ar tam tikros operacijos su asmens duomenimis laikytinos „duomenų tvarkymu“, kaip tai suprantama pagal šio reglamento 4 straipsnio 2 punktą. Šiuo klausimu reikėtų pridurti, kad „duomenų tvarkymas“ šiais laikais dažnai vykdomas kompiuterizuotai, kai asmens duomenys paprastai vis tiek naudojami nematerialia forma. Todėl atsakydamas į ketvirtąjį klausimą kalbėsiu apie „asmens duomenis“, o ne apie „asmens duomenų kopijas“.
( 24 ) Išskirta mano.
( 25 ) Pagal BDAR 4 straipsnio 2 punktą „duomenų tvarkymas“ apima tokias operacijas kaip „rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas ar sunaikinimas“.
( 26 ) Žr. pirmesnę išnašą.
( 27 ) Iš tikrųjų „asmens duomenys“, kaip jie suprantami pagal BDAR 4 straipsnio 1 dalį, siejamą su jo 26 konstatuojamąja dalimi, apima asmens duomenis, kurie buvo pseudonimizuoti, tačiau kurie buvo ir galėjo būti priskirti fiziniam asmeniui naudojant papildomą asmeninę informaciją.
( 28 ) Prašyme priimti prejudicinį sprendimą jį pateikęs teismas nurodo, kad kai kuriuos, bet ne visus bandomojo etapo tikslais naudotus asmens duomenis galėjo sudaryti „netikri“ duomenys. Vis dėlto jis išsamiau nepaaiškina, ką turi omenyje vartodamas šią sąvoką. Šiuo klausimu tik norėčiau nurodyti, jog manau, kad informacija gali būti laikoma „asmens duomenimis“, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą, neatsižvelgiant į tai, ar tai teisinga, ar melaginga informacija. Kaip minėjau, svarbu tik tai, kad informacija būtų susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta. Jeigu duomenys yra visiškai išgalvoti, todėl negalima teigti, kad jie susiję su asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, tada, mano nuomone, tai nėra „asmens duomenys“ ir BDAR netaikomas šių duomenų tvarkymui. Tačiau šis reglamentas vis vien taikomas kitiems testavimo etapu surinktiems duomenims, kurie „nėra netikri“.
( 29 ) Norėčiau priminti, kad asmens duomenų naudojimas siekiant išbandyti mobiliojoje programėlėje įdiegtas IT sistemas yra kitoks „duomenų tvarkymas“ nei tas, kuris atliekamas tuo atveju, kai ta pati mobilioji programėlė padaroma viešai prieinama parsisiųsti. Vadinasi, reikia atskirai įvertinti, kas yra „duomenų valdytojas“, „duomenų tvarkytojas“ ar „bendras duomenų valdytojas“.
( 30 ) Žr. Direktyvos 95/46 24 straipsnį.
( 31 ) Žr. 2017 m. spalio 3 d. 29 straipsnio duomenų apsaugos darbo grupės priimtas „Administracinių baudų taikymo ir nustatymo pagal [BDAR] gaires“ (p. 4). Vėliau šią darbo grupę pakeitė EDAV. Vis dėlto jos gairės dėl administracinių baudų taikymo ir nustatymo toliau galioja.
( 32 ) Pavyzdžiui, milijoninė bauda, kurią Prancūzijos duomenų apsaugos institucija 2019 m. sausio mėn. skyrė bendrovei Google (https://edpb.europa.eu/news/national-news/2019/cnils-restricted-committee-imposes-financial-penalty-50-million-euros_en).
( 33 ) Konkrečiai šio reglamento 83 straipsnio 2 dalies b punkte. Kiti 83 straipsnio 2 dalies a–k punktuose išvardyti veiksniai susiję arba su pačiu pažeidimu (pvz., pažeidimo pobūdis, sunkumas ir trukmė (a punktas) arba tam tikrų kategorijų asmens duomenys (g punktas)), arba su duomenų valdytoju ar duomenų tvarkytoju, kuriam būtų skirta bauda (t. y. jų atsakomybės laipsniu) (d punktas); jų ex ante elgesiu, pavyzdžiui, reikšmingais ankstesniais pažeidimais (e punktas) ir jiems anksčiau taikytomis priemonėmis (i punktas), ir jų ex post elgesiu, įskaitant tai, ar jie pranešė apie pažeidimą (h punktas), veiksmus, kurių jie ėmėsi, kad sumažintų žalą (c punktas), ir bendradarbiavimo su priežiūros institucija laipsniu, siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį (f punktas). Be to, turi būti tinkamai atsižvelgta į „kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis, pavyzdžiui, finansinę naudą, kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo“ (k punktas).
( 34 ) Pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) COM(2012) 11 final (toliau – pradinis Komisijos pasiūlymas dėl reglamento).
( 35 ) Žr. pradinio Komisijos pasiūlymo dėl reglamento 79 straipsnio 4, 5 ir 6 dalis. Pažymėtina, kad „tyčinis ar aplaidus“ pažeidimo pobūdis taip pat buvo nurodytas šio pasiūlymo 79 straipsnio 2 dalyje pateiktame veiksnių sąraše, į kurį reikėjo atsižvelgti nustatant baudos dydį; išskirta mano.
( 36 ) Vėliau ši formuluotė buvo pakeista ir nuostatose, kuriose apibrėžiama dviejų pakopų baudų sistema, nustatyta BDAR, nebeliko žodžių „tyčia arba dėl aplaidumo“.
( 37 ) Išskirta mano.
( 38 ) Tą pačią pastabą galima pateikti nagrinėjant kitas BDAR 83 straipsnio 2 dalies kalbines versijas, be kita ko, čekų, graikų, ispanų, prancūzų ir italų kalbomis. Vis dėlto reikėtų pažymėti, kad versijoje italų kalba 83 straipsnio 2 dalies c punkte, susijusiame su veiksmais, kurių duomenų valdytojas arba duomenų tvarkytojas imasi žalai sumažinti, vartojamas ne žodis „eventuali“ (bet kuris), o „le“ (konkretus).
( 39 ) 29 straipsnio darbo grupės nuomone, administracinės baudos yra „taisomosios priemonės“, kurių tikslas gali būti „atkurti taisyklių laikymąsi arba nubausti už neteisėtą elgesį (arba [ir viena, ir kita])“ (išskirta mano) (žr. 2017 m. spalio 3 d. priimtas 29 straipsnio darbo grupės „Administracinių baudų taikymo ir nustatymo pagal [BDAR] gaires“ (p. 6)).
( 40 ) Pagal analogiją žr. 2021 m. vasario 2 d. Sprendimą Consob (C‑481/19, EU:C:2021:84, 43 punktas). Primenu, kad vertinant, ar baudos yra baudžiamojo pobūdžio, svarbūs trys kriterijai: pirmasis kriterijus yra teisinis pažeidimo kvalifikavimas pagal nacionalinę teisę, antrasis – pats pažeidimo pobūdis ir trečiasis – suinteresuotajam asmeniui gresiančios sankcijos pobūdis ir griežtumo laipsnis (žr. to sprendimo 42 punktą ir 2012 m. birželio 5 d. Sprendimo Bonda, C‑489/10, EU:C:2012:319, 37 punktą; taip pat žr. 1976 m. birželio 8 d. EŽTT sprendimo Engel ir kt. prieš Nyderlandus, CE:ECHR:1976:0608JUD000510071, 82 punktą). Tam, kad baudą būtų galima laikyti baudžiamojo pobūdžio, nebūtina, kad būtų įvykdyti visi kriterijai (šiuo klausimu žr. generalinio advokato Y. Bot išvados byloje ThyssenKrupp Nirosta / Komisija, C‑352/09 P, EU:C:2010:635, 50 punktą ir jame nurodytą jurisprudenciją).
( 41 ) Chartijos 49 straipsnio „Teisėtumo ir nusikalstamos veikos bei bausmės proporcingumo principai“ 3 dalyje nurodyta, kad „[b]ausmės griežtumas turi atitikti padarytą nusikalstamą veiką“.
( 42 ) Žr. 2012 m. vasario 9 d. Sprendimą Urbán (C‑210/10, EU:C:2012:64, 48 punktas); 2014 m. lapkričio 13 d. Sprendimą Reindl (C‑443/13, EU:C:2014:2370, 42 punktas); 2017 m. gruodžio 20 d. Sprendimą Global Starnet (C‑322/16, EU:C:2017:985, 63 punktas) ir 2017 m. kovo 22 d. Sprendimą euro-Team ir Spirál-Gép (C‑497/15 ir C‑498/15, EU:C:2017:229, 53 ir 54 punktai). Šie sprendimai parodo, kad ši jurisprudencija taikoma įvairiose Sąjungos teisės srityse.
( 43 ) Žr. „Su Pagrindinių teisių chartija susiję išaiškinimai“ (OL C 303, 2007, p. 117). Pagal Chartijos 52 straipsnio 3 dalį jos 49 straipsniu suteikiama apsauga negali būti mažesnė už apsaugą, suteikiamą pagal EŽTK 7 straipsnį.
( 44 ) Žr. 2018 m. birželio 28 d. EŽTT (didžioji kolegija) sprendimą GIEM s.r.l. ir kt. prieš Italiją (CE:ECHR:2018:0628JUD000182806, 242 ir 243 punktai).
( 45 ) Žr. BDAR 58 straipsnio 2 dalies i punktą ir 83 straipsnio 2 dalį.
( 46 ) Pagal BDAR 84 straipsnio 1 dalį „valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos“. Šio reglamento 152 konstatuojamojoje dalyje paaiškinta, kad 84 straipsnis taikomas, jei BDAR „administracinės sankcijos nėra suderintos arba kai tai yra būtina kitais atvejais, pavyzdžiui, [šiurkščių] šio reglamento pažeidimų atvejais“.
( 47 ) Šiuo klausimu žr. Chamberlain, J. ir Reichel, J., „The Relationship Between Damages and Administrative Fines in the ES General Data Protection Regulation“, Vol. 89, No. 4, Mississippi Law Journal, 2020, p. 677–679.
( 48 ) Žr. Nemitz, P., „Fines under the GDPR“, Leenes, R., van Brakel, R., Gutwirth, S. ir De Hert, P., „Data Protection and Privacy: The Internet of Bodies“, Hart Publishing, Oksfordas, 2019, p. 241.
( 49 ) Vis dėlto sąvoką „ketinimas“ ji apibrėžė kaip apimančią tiek žinojimą apie pažeidimo požymius, tiek sąmoningumą (žr. 2017 m. spalio 3 d. priimtas 29 straipsnio duomenų apsaugos darbo grupės „Administracinių baudų taikymo ir nustatymo pagal [BDAR] gaires“ (p. 11).
( 50 ) Ten pat, p. 12. Kitos nurodytos aplinkybės apima paprastą nesusipažinimą su esamomis politikos nuostatomis ir jų nesilaikymą, nepatikrinimą, ar skelbiamoje informacijoje yra asmens duomenų, nesavalaikį techninių naujinių įdiegimą arba politikos nuostatų nepriėmimą.
( 51 ) Žr. Nemitz, P., „Fines under the GDPR“, Leenes, R., van Brakel, R., Gutwirth, S. ir De Hert, P., „Data Protection and Privacy: The Internet of Bodies“, Hart Publishing, 2019, p. 240.
( 52 ) Žr. BDAR 122 ir 132 konstatuojamąsias dalis.
( 53 ) Visų pirma žr. BDAR 1 konstatuojamąją dalį, kurioje dėl Chartijos 8 straipsnio 1 dalies ir SESV 16 straipsnio 1 dalies primenama, kad asmens duomenų apsauga yra pagrindinė teisė. Taip pat žr. BDAR 10, 11 ir 13 konstatuojamąsias dalis ir 2019 m. rugsėjo 24 d. Sprendimą Google (Teisės reikalauti pašalinti nuorodą teritorinė taikymo sritis) (C‑507/17, EU:C:2019:772, 54 punktas).
( 54 ) Žr. BDAR 148 konstatuojamąją dalį.
( 55 ) Žr. Chamberlain, J. ir Reichel, J., „The Relationship Between Damages and Administrative Fines in the ES General Data Protection Regulation“, Vol. 89, No. 4, Mississippi Law Journal, 2020, p. 685.
( 56 ) 2002 m. gruodžio 16 d. Tarybos reglamentas (EB) Nr. 1/2003 dėl konkurencijos taisyklių, nustatytų [SESV 101] ir [SESV 102] straipsniuose, įgyvendinimo (OL L 1, 2003, p. 1; 2004 m. specialusis leidimas lietuvių k., 8 sk., 2 t., p. 205).
( 57 ) Žr. 2011 m. gruodžio 8 d. Sprendimą Chalkor / Komisija (C‑386/10 P, EU:C:2011:815, 56 ir 57 punktai ir juose nurodyta jurisprudencija). Šiuo klausimu norėčiau pažymėti, kad nors prieš skiriant baudą už konkurencijos teisės normų pažeidimą turi būti įrodyta tyčia ar aplaidumas, praktiškai šio reikalavimo kartelė taip pat yra labai žema. Teisingumo Teismas yra nusprendęs, kad ši sąlyga įvykdyta, kai atitinkama įmonė negali nežinoti apie tai, kad jos elgesys prieštarauja konkurencijai, nesvarbu, suvokė ji ar nesuvokė, kad pažeidžia konkurencijos taisykles (žr. 2014 m. liepos 10 d. Sprendimą Telefónica ir Telefónica de España / Komisija (C‑295/12 P, EU:C:2014:2062, 156 punktas ir jame nurodyta jurisprudencija).
( 58 ) Pavyzdžiui, žr. BDAR 9 konstatuojamąją dalį, kurioje nurodyta, kad dėl fizinių asmenų teisių ir laisvių apsaugos lygio skirtumų valstybėse narėse „gali būti trikdomas laisvas asmens duomenų judėjimas“ ir „gali [būti kliudoma] užsiimti ekonomine veikla Sąjungos lygmeniu“.
( 59 ) Žr. BDAR 129 konstatuojamąją dalį („tai neturėtų kliudyti taikyti papildomų reikalavimų pagal valstybės narės proceso teisę“ (kursyvu išskirta mano)) ir jo 150 konstatuojamąją dalį. Šiuo klausimu taip pat žr. 2017 m. spalio 3 d. priimtas 29 straipsnio duomenų apsaugos darbo grupės „Administracinių baudų taikymo ir nustatymo pagal [BDAR] gaires“, p. 6.
( 60 ) Šiuo klausimu pažymėtina, jog BDAR 10 konstatuojamojoje dalyje nurodyta, kad „visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga“, o jo 11, 13 ir 129 konstatuojamosiose dalyse reikalaujama, kad būtų suteikti lygiaverčiai įgaliojimai stebėti ir užtikrinti laikymąsi bei lygiavertės sankcijos už pažeidimus valstybėse narėse. Savo ruožtu šio reglamento 152 konstatuojamojoje dalyje nurodyta, kad valstybės narės turėtų įgyvendinti sistemą, kurioje numatytos tokios sankcijos, tik tiek, kiek šiuo reglamentu nėra derinamos administracinės sankcijos (arba kai kitu atveju tai yra būtina) (taip pat žr. BDAR 150 konstatuojamąją dalį).
( 61 ) Šiuo klausimu žr. Voss, W. G. ir Bouthinon-Dumas, H., „ES General Data Protection Regulation Sanctions in Theory and in Practice“, Vol. 37, Santa Clara High Tech, 2020, p. 44.
( 62 ) Išskirta mano.
( 63 ) Pagal BDAR 29 straipsnį „duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę“.
( 64 ) Pagal BDAR 28 straipsnio 10 dalį duomenų tvarkytojas bus laikomas duomenų valdytoju tokių duomenų tvarkymo atžvilgiu. Šiuo klausimu taip pat žr. Rücker, D. ir Kugler, T., „New European General Data Protection Regulation, A Practitioner’s Guide“, C.H. Beck, Hart and Nomos, Oksfordas, 2018, p. 30.