Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62021CJ0683

    2023 m. gruodžio 5 d. Teisingumo Teismo (didžioji kolegija) sprendimas.
    Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos prieš Valstybinę duomenų apsaugos inspekciją.
    Vilniaus apygardos administracinio teismo prašymas priimti prejudicinį sprendimą.
    Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – 4 straipsnio 2 ir 7 punktai – Sąvokos „duomenų tvarkymas“ ir „duomenų valdytojas“ – Mobiliosios IT programėlės kūrimas – 26 straipsnis – Bendras duomenų valdymas – 83 straipsnis – Administracinių baudų skyrimas – Sąlygos – Reikalavimas, kad pažeidimas būtų padarytas tyčia ar dėl aplaidumo – Duomenų valdytojo atsakomybė už duomenų tvarkytojo atliekamą asmens duomenų tvarkymą.
    Byla C-683/21.

    Court reports – general

    ECLI identifier: ECLI:EU:C:2023:949

     TEISINGUMO TEISMO (didžioji kolegija) SPRENDIMAS

    2023 m. gruodžio 5 d. ( *1 )

    „Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – 4 straipsnio 2 ir 7 punktai – Sąvokos „duomenų tvarkymas“ ir „duomenų valdytojas“ – Mobiliosios IT programėlės kūrimas – 26 straipsnis – Bendras duomenų valdymas – 83 straipsnis – Administracinių baudų skyrimas – Sąlygos – Reikalavimas, kad pažeidimas būtų padarytas tyčia ar dėl aplaidumo – Duomenų valdytojo atsakomybė už duomenų tvarkytojo atliekamą asmens duomenų tvarkymą“

    Byloje C‑683/21

    dėl Vilniaus apygardos administracinio teismo 2021 m. spalio 22 d. nutartimi, kurią Teisingumo Teismas gavo 2021 m. lapkričio 12 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

    Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

    prieš

    Valstybinę duomenų apsaugos inspekciją,

    dalyvaujant

    UAB „IT sprendimai sėkmei“,

    Lietuvos Respublikos sveikatos apsaugos ministerijai,

    TEISINGUMO TEISMAS (didžioji kolegija),

    kurį sudaro pirmininkas K. Lenaerts, pirmininko pavaduotojas L. Bay Larsen, kolegijų pirmininkai A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, O. Spineanu-Matei, teisėjai M. Ilešič, J.‑C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (pranešėjas), N. Wahl ir M. Gavalec,

    generalinis advokatas N. Emiliou,

    posėdžio sekretorė C. Strömholm, administratorė,

    atsižvelgęs į rašytinę proceso dalį ir įvykus 2023 m. sausio 17 d. posėdžiui,

    išnagrinėjęs pastabas, pateiktas:

    Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos, atstovaujamo G. Aleksienės,

    Valstybinės duomenų apsaugos inspekcijos, atstovaujamos R. Andrijausko,

    Lietuvos vyriausybės, atstovaujamos V. Kazlauskaitės-Švenčionienės,

    Nyderlandų vyriausybės, atstovaujamos C. S. Schillemans,

    Europos Sąjungos Tarybos, atstovaujamos R. Liudvinavičiūtės ir K. Pleśniak,

    Europos Komisijos, atstovaujamos A. Bouchagiar, H. Kranenborg ir A. Steiblytės,

    susipažinęs su 2023 m. gegužės 4 d. posėdyje pateikta generalinio advokato išvada,

    priima šį

    Sprendimą

    1

    Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas; toliau – BDAR) (OL L 119, 2016, p. 1) 4 straipsnio 2 bei 7 punktų, 26 straipsnio 1 dalies ir 83 straipsnio 1 dalies išaiškinimo.

    2

    Šis prašymas pateiktas nagrinėjant Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos (toliau – NVSC) ir Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) ginčą dėl pastarosios sprendimo pagal BDAR 83 straipsnį skirti NVSC administracinę baudą už šio reglamento 5, 13, 24, 32 ir 35 straipsnių pažeidimą.

    Teisinis pagrindas

    Sąjungos teisė

    3

    BDAR 9, 10, 11, 13, 26, 74, 79, 129 ir 148 konstatuojamosiose dalyse nurodyta:

    „(9)

    <...> Dėl skirtingo fizinių asmenų teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą tvarkant asmens duomenis, apsaugos lygio valstybėse narėse gali būti trikdomas laisvas asmens duomenų judėjimas [Europos] Sąjungoje. Todėl tokie skirtumai gali kliudyti užsiimti ekonomine veikla Sąjungos lygmeniu, iškreipti konkurenciją ir trukdyti valdžios institucijoms vykdyti savo pareigas pagal Sąjungos teisę. <...>

    (10)

    siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <...>

    (11)

    siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti ir išsamiai nustatyti duomenų subjektų teises ir asmens duomenis tvarkančių ir jų tvarkymą nustatančių subjektų prievoles, bet ir valstybėse narėse suteikti lygiaverčius įgaliojimus stebėti ir užtikrinti asmens duomenų apsaugos taisyklių laikymąsi ir nustatyti lygiavertes sankcijas dėl pažeidimų;

    <...>

    (13)

    siekiant užtikrinti vienodo lygio fizinių asmenų apsaugą visoje Sąjungoje ir neleisti atsirasti skirtumams, kurie kliudo laisvam asmens duomenų judėjimui vidaus rinkoje, reikia priimti reglamentą, kuriuo būtų užtikrintas teisinis tikrumas ir skaidrumas ekonominės veiklos vykdytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, kuriuo fiziniams asmenims visose valstybėse narėse būtų užtikrintos vienodo lygio teisiškai įgyvendinamos teisės, o duomenų valdytojams ir duomenų tvarkytojams būtų nustatytos vienodo lygio prievolės bei atsakomybė, ir kuriuo būtų užtikrinta nuosekli asmens duomenų tvarkymo stebėsena ir lygiavertės sankcijos visose valstybėse narėse, taip pat veiksmingas skirtingų valstybių narių priežiūros institucijų bendradarbiavimas. <...>

    <...>

    (26)

    duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. <...> Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl šis reglamentas netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant statistiniais ar tyrimų tikslais;

    <...>

    (74)

    turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms.

    <...>

    (79)

    atsižvelgiant į duomenų subjektų teisių bei laisvių apsaugą ir duomenų valdytojų bei duomenų tvarkytojų atsakomybę <...> reikia aiškiai paskirstyti atsakomybę pagal šį reglamentą, be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus ir priemones arba kai duomenų tvarkymo operacija atliekama duomenų valdytojo vardu;

    <...>

    (129)

    siekiant užtikrinti nuoseklią šio reglamento taikymo stebėseną ir jo vykdymą visoje Sąjungoje, priežiūros institucijos kiekvienoje valstybėje narėje turėtų vykdyti tas pačias užduotis ir naudotis tais pačiais veiksmingais įgaliojimais, įskaitant tyrimo įgaliojimus, įgaliojimus imtis taisomųjų veiksmų ir skirti sankcijas <...> Priežiūros institucijų įgaliojimais turėtų būti naudojamasi laikantis atitinkamų procedūrinių apsaugos priemonių, nustatytų Sąjungos ir valstybės narės teisėje, nešališkai, sąžiningai ir per pagrįstą laikotarpį. Visų pirma kiekviena priemonė turėtų būti tinkama, būtina ir proporcinga siekiant užtikrinti šio reglamento laikymąsi, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, ja turėtų būti gerbiama kiekvieno asmens teisė būti išklausytam prieš imantis konkrečios priemonės, kuri jam padarytų neigiamą poveikį, ir taikoma taip, kad atitinkami asmenys nepatirtų bereikalingų išlaidų ir pernelyg didelių nepatogumų. Tyrimo įgaliojimais, susijusiais su leidimu patekti į patalpas, turėtų būti naudojamasi laikantis valstybės narės proceso teisėje nustatytų konkrečių reikalavimų, pavyzdžiui, reikalavimo iš anksto gauti teismo leidimą. Kiekviena teisiškai privaloma priežiūros institucijos priemonė turėtų būti parengta raštu, būti aiški ir nedviprasmiška, joje turėtų būti nurodyta priemonę paskelbusi priežiūros institucija, priemonės paskelbimo data, ją turėtų būti pasirašęs priežiūros institucijos vadovas arba jo įgaliotas priežiūros institucijos narys, turėtų būti išdėstytos priemonės priežastys ir nurodyta teisė į veiksmingą teisių gynimo priemonę. Tai neturėtų kliudyti taikyti papildomų reikalavimų pagal valstybės narės proceso teisę. Tai, kad priimamas teisiškai privalomas sprendimas, reiškia, kad juo remiantis gali būti vykdoma teisminė peržiūra sprendimą priėmusios priežiūros institucijos valstybėje narėje;

    <...>

    (148)

    siekiant užtikrinti, kad šio reglamento taisyklės būtų geriau įgyvendinamos, už šio reglamento pažeidimus kartu su atitinkamomis priemonėmis, kurias priežiūros institucija nustatė pagal šį reglamentą, arba vietoj jų turėtų būti skiriamos sankcijos, įskaitant administracines baudas. Nedidelio pažeidimo atveju arba jeigu bauda, kuri gali būti skirta, sudarytų neproporcingą naštą fiziniam asmeniui, vietoj baudos gali būti pareikštas papeikimas. Vis dėlto reikėtų tinkamai atsižvelgti į pažeidimo pobūdį, sunkumą ir trukmę, tai, ar pažeidimas buvo tyčinis, veiksmus, kurių imtasi patirtai žalai sumažinti, atsakomybės mastą arba į bet kokius svarbius ankstesnius pažeidimus, tai, kaip apie pažeidimą sužinojo priežiūros institucija, ar buvo laikomasi tam duomenų valdytojui arba duomenų tvarkytojui taikytų priemonių, ar buvo laikomasi elgesio kodekso, ir visus kitus sunkinančius ar švelninančius veiksnius. Sankcijos, įskaitant administracines baudas, turėtų būti skiriamos atsižvelgiant į atitinkamas procedūrines apsaugos priemones ir laikantis Sąjungos teisės ir [Europos Sąjungos pagrindinių teisių chartijos] bendrųjų principų, įskaitant veiksmingą teisminę apsaugą ir tinkamą procesą.“

    4

    Šio reglamento 4 straipsnyje nustatyta:

    „Šiame reglamente:

    1)

    asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

    2)

    duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

    <...>

    5)

    pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

    <...>

    7)

    duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

    8)

    duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

    <...>“

    5

    Minėto reglamento 26 straipsnio „Bendri duomenų valdytojai“ 1 dalyje nustatyta:

    „Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie tarpusavio susitarimu skaidriu būdu nustato savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir jų atitinkamomis pareigomis pateikti 13 ir 14 straipsniuose nurodytą informaciją, vykdymą, išskyrus atvejus, kai atitinkama duomenų valdytojų atsakomybė yra nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas.“

    6

    To paties reglamento 28 straipsnio „Duomenų tvarkytojas“ 10 dalyje numatyta:

    „Nedarant poveikio 82, 83 ir 84 straipsniams, jei duomenų tvarkytojas nustatydamas duomenų tvarkymo tikslus ir priemones pažeidžia šį reglamentą, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.“

    7

    BDAR 58 straipsnio „Įgaliojimai“ 2 dalyje nustatyta:

    „Kiekviena priežiūros institucija turi visus šiuos įgaliojimus imtis taisomųjų veiksmų:

    a)

    įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos šio reglamento nuostatos;

    b)

    pareikšti papeikimus duomenų valdytojui arba duomenų tvarkytojui, kai duomenų tvarkymo operacijomis buvo pažeistos šio reglamento nuostatos;

    <...>

    d)

    nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį;

    <...>

    f)

    nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą;

    <...>

    i)

    skirti administracinę baudą pagal 83 straipsnį, kartu taikydama šioje dalyje nurodytas priemones arba vietoj jų, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes;

    <...>“

    8

    Šio reglamento 83 straipsnis „Bendrosios administracinių baudų skyrimo sąlygos“ suformuluotas taip:

    „1.   Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

    2.   Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

    a)

    pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;

    b)

    tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo;

    c)

    bet kuriuos veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą;

    d)

    duomenų valdytojo arba duomenų tvarkytojo atsakomybės dydį, atsižvelgiant į jų pagal 25 ir 32 straipsnius įgyvendintas technines ir organizacines priemones;

    e)

    bet kuriuos to duomenų valdytojo arba duomenų tvarkytojo svarbius ankstesnius pažeidimus;

    f)

    bendradarbiavimo su priežiūros institucija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį;

    g)

    asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas;

    h)

    tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (jei taip – kokiu mastu);

    i)

    jei atitinkamam duomenų valdytojui arba duomenų tvarkytojui dėl to paties dalyko anksčiau buvo taikytos 58 straipsnio 2 dalyje nurodytos priemonės – ar laikytasi tų priemonių;

    j)

    ar laikomasi patvirtintų elgesio kodeksų pagal 40 straipsnį arba patvirtintų sertifikavimo mechanizmų pagal 42 straipsnį; ir

    k)

    kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis, pavyzdžiui, finansinę naudą, kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo[.]

    3.   Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą.

    4.   Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 10000000 [eurų] arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

    a) duomenų valdytojo ir duomenų tvarkytojo prievoles [pagal] 8, 11, 25–39 ir 42 bei 43 straipsnius;

    <...>

    5.   Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 20000000 [eurų] arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

    a)

    pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, pagal 5, 6, 7 ir 9 straipsnius;

    b)

    duomenų subjekto teises pagal 12–22 straipsnius;

    <...>

    d)

    prievoles pagal valstybės narės teisės aktus, priimtus pagal IX skyrių;

    <...>

    6.   Jei nesilaikoma 58 straipsnio 2 dalyje nurodyto priežiūros institucijos nurodymo, pagal šio straipsnio 2 dalį skiriamos administracinės baudos iki 20000000 [eurų] arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

    7.   Nedarant poveikio priežiūros institucijų įgaliojimams imtis taisomųjų veiksmų pagal 58 straipsnio 2 dalį, kiekviena valstybė narė gali nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijoms ir įstaigoms, įsisteigusioms toje valstybėje narėje.

    8.   Priežiūros institucijos naudojimuisi įgaliojimais pagal šį straipsnį taikomos atitinkamos procedūrinės garantijos laikantis Sąjungos teisės aktų ir valstybės narės teisės aktų, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą.

    <...>“

    9

    To paties reglamento 84 straipsnio „Sankcijos“ 1 dalyje nustatyta:

    „Valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos. Tokios sankcijos yra veiksmingos, proporcingos ir atgrasomos.“

    Lietuvos teisė

    10

    Viešųjų pirkimų įstatymo 29 straipsnio 3 dalyje nurodytos tam tikros aplinkybės, kurioms esant perkančioji organizacija turi teisę arba pareigą savo iniciatyva ir bet kuriuo metu iki viešojo pirkimo sutarties (arba preliminarios sutarties) sudarymo arba projekto konkurso laimėtojo nustatymo nutraukti jos pradėtas viešojo pirkimo ar projekto konkurso procedūras.

    11

    Viešųjų pirkimų įstatymo 72 straipsnio 2 dalyje numatyti perkančiosios organizacijos vykdomo viešojo pirkimo neskelbiamų derybų būdu etapai.

    Pagrindinė byla ir prejudiciniai klausimai

    12

    Atsižvelgdamas į COVID‑19 viruso sukeltą pandemiją, Lietuvos Respublikos sveikatos apsaugos ministras pirmuoju 2020 m. kovo 24 d. sprendimu pavedė NVSC direktoriui nedelsiant įsigyti informacinę sistemą, skirtą su šio viruso nešiotojais sąlytį turėjusių asmenų duomenims registruoti ir stebėti epidemiologinės priežiūros tikslais.

    13

    2020 m. kovo 27 d. elektroniniu laišku asmuo, prisistatęs NVSC atstovu (toliau – A.S.), informavo bendrovę UAB „IT sprendimai sėkmei“ (toliau – bendrovė ITSS), kad NVSC ją atrinko kaip mobiliosios programėlės kūrėją. Vėliau A.S. siuntė bendrovei ITSS elektroninius laiškus dėl įvairių šios mobiliosios programėlės kūrimo aspektų, o šių elektroninių laiškų kopija būdavo persiunčiama NVSC direktoriui.

    14

    Vykstant deryboms tarp bendrovės ITSS ir NVSC, be A.S., kiti NVSC darbuotojai taip pat siuntė šiai bendrovei elektroninius laiškus dėl aptariamoje mobiliojoje programėlėje užduotinų klausimų formuluočių.

    15

    Kuriant šią mobiliąją programėlę buvo parengta privatumo politika, kurioje bendrovė ITSS ir NVSC buvo nurodyti kaip duomenų valdytojai.

    16

    Aptariamą mobiliąją programėlę, kurioje paminėta bendrovė ITSS ir NVSC, nuo 2020 m. balandžio 4 d. buvo galima atsisiųsti iš internetinės parduotuvės Google Play Store, o nuo 2020 m. balandžio 6 d. – iš Apple App Store. Ji veikė iki 2020 m. gegužės 26 d.

    17

    Nuo 2020 m. balandžio 4 d. iki 2020 m. gegužės 26 d.3802 asmenys pasinaudojo šia programėle ir pateikė joje prašomus savo asmens duomenis, kaip antai: ID numerį, koordinates (platumos ir ilgumos), šalį, miestą, savivaldybę, pašto kodą, gatvės pavadinimą, namo numerį, vardą, pavardę, asmens kodą, telefono numerį ir adresą.

    18

    Antruoju 2020 m. balandžio 10 d. sprendimu Lietuvos Respublikos sveikatos apsaugos ministras nusprendė pavesti NVSC direktoriui organizuoti nagrinėjamos mobiliosios programėlės įsigijimą iš bendrovės ITSS, ir šiuo tikslu buvo numatyta remtis Viešųjų pirkimų įstatymo 72 straipsnio 2 dalimi. Tačiau NVSC su šia bendrove nesudarė jokios viešojo pirkimo sutarties dėl oficialaus šios programėlės įsigijimo.

    19

    2020 m. gegužės 15 d. NVSC paprašė nurodytos bendrovės visiškai jo neminėti aptariamoje mobiliojoje programėlėje. Be to, 2020 m. birželio 4 d. raštu NVSC informavo tą bendrovę, kad dėl finansavimo šiai programėlei įsigyti trūkumo jos įsigijimo procedūra nutraukta pagal Viešųjų pirkimų įstatymo 29 straipsnio 3 dalį.

    20

    2020 m. gegužės 18 d. pradėjusi tyrimą dėl asmens duomenų tvarkymo, VDAI nustatė, kad naudojant aptariamą mobiliąją programėlę buvo renkami asmens duomenys. Be to, buvo nustatyta, kad naudotojai, pasirinkę šią programėlę kaip COVID‑19 pandemijos nulemtos priverstinės izoliacijos stebėsenos metodą, atsakinėjo į klausimus, susijusius su asmens duomenų tvarkymu. Šie duomenys buvo teikiami atsakant į minėtoje programėlėje užduodamus klausimus apie, be kita ko, atitinkamo asmens sveikatos būklę ir jo izoliacijos sąlygų laikymąsi.

    21

    2021 m. vasario 24 d. sprendimu VDAI skyrė NVSC 12000 eurų administracinę baudą pagal BDAR 83 straipsnį dėl šio reglamento 5, 13, 24, 32 ir 35 straipsnių pažeidimo. Šiuo sprendimu bendrovei ITSS, kaip bendrai duomenų valdytojai, taip pat buvo skirta 3000 eurų administracinė bauda.

    22

    NVSC apskundė šį sprendimą Vilniaus apygardos administraciniam teismui – prašymą priimti prejudicinį sprendimą pateikusiam teismui – ir teigė, kad bendrovė ITSS turi būti pripažinta vienintele duomenų valdytoja, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą. Savo ruožtu bendrovė ITSS teigia, kad veikė kaip duomenų tvarkytoja, kaip tai suprantama pagal BDAR 4 straipsnio 8 punktą, ir vykdė NVSC, kuris, kaip ji mano, yra vienintelis duomenų valdytojas, nurodymus.

    23

    Prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad bendrovė ITSS sukūrė nagrinėjamą mobiliąją programėlę ir kad NVSC ją konsultavo dėl naudojant šią programėlę užduotinų klausimų turinio. Tačiau NVSC ir bendrovė ITSS nebuvo sudariusios viešojo pirkimo sutarties. Be to, NVSC nesutiko ir nedavė leidimo padaryti šią programėlę viešai prieinamą įvairiose internetinėse parduotuvėse.

    24

    Nacionalinis teismas patikslina, kad kuriant nagrinėjamą mobiliąją programėlę buvo siekiama įgyvendinti NVSC nustatytą tikslą, t. y. sukurti informacinės technologijos įrankį COVID‑19 pandemijai suvaldyti, ir kad šiuo tikslu buvo numatyta tvarkyti asmens duomenis. Kalbant apie bendrovės ITSS vaidmenį pažymėtina, jog nebuvo numatyta, kad ši bendrovė siektų kitų tikslų, nei gauti atlygį už sukurtą informacinių technologijų produktą.

    25

    Tas teismas taip pat pažymi, kad per VDAI tyrimą buvo nustatyta, jog Lietuvos bendrovė „Juvare Lithuania“, tvarkanti Užkrečiamųjų ligų, galinčių išplisti ir kelti grėsmę, stebėsenos ir kontrolės informacinę sistemą, turėjo gauti asmens duomenų, surinktų naudojant nagrinėjamą mobiliąją programėlę, kopijas. Be to, testuojant šią programėlę buvo panaudoti netikri duomenys, išskyrus šios bendrovės darbuotojų telefonų numerius.

    26

    Šiomis aplinkybėmis Vilniaus apygardos administracinis teismas nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

    „1.

    Ar BDAR 4 straipsnio 7 punkte įtvirtinta „duomenų valdytojo“ sąvoka gali būti aiškinama taip, kad duomenų valdytoju laikytinas ir asmuo, kuris viešųjų pirkimų būdu planuoja įsigyti duomenų rinkimo įrankį (mobiliąją programėlę), nepaisant to, kad viešojo pirkimo sutartis nebuvo sudaryta ir sukurtas produktas (mobili programėlė), kuriam įsigyti naudota viešojo pirkimo procedūra, nebuvo perduotas?

    2.

    Ar BDAR 4 straipsnio 7 punkte įtvirtinta „duomenų valdytojo“ sąvoka gali būti aiškinama taip, kad duomenų valdytoju laikytina ir perkančioji organizacija, kuri neįgijo nuosavybės teisės į sukurtą IT produktą, jo valdymo neperėmė, tačiau galutinėje sukurtos programėlės versijoje daromos nuorodos ar sąsajos į šį viešą subjektą ir/ar programėlės privatumo politikoje, kuri nebuvo oficialiai patvirtinta ar pripažinta atitinkamo viešo subjekto, duomenų valdytoju buvo nurodomas būtent tas viešas subjektas?

    3.

    Ar BDAR 4 straipsnio 7 punkte įtvirtinta „duomenų valdytojo“ sąvoka gali būti aiškinama taip, kad duomenų valdytoju laikytinas ir asmuo, kuris neatliko realių duomenų tvarkymo veiksmų, apibrėžtų BDAR 4 straipsnio 2 punkte, ir/ar nedavė aiškaus leidimo/sutikimo jų atlikimui? Ar duomenų valdytojo sąvokos aiškinimui būtų reikšminga aplinkybė, kad IT produktas, kurio pagalba tvarkyti asmens duomenys, buvo sukurtas pagal perkančiosios organizacijos suformuluotą užduotį?

    4.

    Jei duomenų valdytojo sąvokos aiškinimui reikšmingas realių duomenų tvarkymo veiksmų nustatymas, ar BDAR 4 straipsnio 2 punktas „asmens duomenų tvarkymas“ aiškintinas kaip apimantis ir situacijas, kuomet mobiliosios programėlės įsigijimo procese IT sistemų testavimui panaudojamos asmens duomenų kopijos?

    5.

    Ar bendras duomenų valdymas pagal BDAR 4 straipsnio 7 punktą ir 26 straipsnio 1 dalį gali būti aiškinamas išimtinai kaip sąmoningai suderinti veiksmai dėl duomenų tvarkymo tikslo ir priemonių nustatymo, ar gali būti aiškinamas ir taip, kad bendras valdymas apima ir situacijas, kuomet nėra aiškaus „susitarimo“ dėl asmens duomenų tvarkymo tikslo ir priemonių ir/ar nederinami veiksmai tarp subjektų? Ar bendro duomenų valdymo sąvokos aiškinimui teisiškai reikšminga aplinkybė dėl asmens duomenų tvarkymo priemonės (IT programėlės) kūrimo etapo, kuriame buvo tvarkomi asmens duomenys, bei programėlės sukūrimo tikslo? Ar „susitarimas“ tarp bendravaldytojų gali būti suprantamas išimtinai kaip aiškus ir apibrėžtas sąlygų dėl bendro duomenų valdymo įtvirtinimas?

    6.

    Ar BDAR 83 straipsnio 1 dalies nuostatos „administracinės baudos <...> būtų veiksmingos, proporcingos ir atgrasomos“ aiškintinos taip, kad apima ir atsakomybės „duomenų valdytojui“ taikymo atvejus, kuomet IT produkto kūrimo procese kūrėjas atlieka asmens duomenų tvarkymo veiksmus ir ar duomenų tvarkytojo atlikti netinkami asmens duomenų tvarkymo veiksmai visuomet automatiškai sukelia duomenų valdytojo teisinę atsakomybę? Ar šios nuostatos aiškintinos ir taip, kad apima ir duomenų valdytojo atsakomybės be kaltės atvejus?“

    Dėl prejudicinių klausimų

    Dėl pirmojo–trečiojo klausimų

    27

    Pirmuoju–trečiuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 7 punktas turi būti aiškinamas taip, kad subjektas, pavedęs įmonei sukurti mobiliąją IT programėlę, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal šią nuostatą, nors jis pats netvarkė asmens duomenų, nedavė aiškaus sutikimo atlikti konkrečių tokio tvarkymo veiksmų arba padaryti šią mobiliąją programėlę viešai prieinamą ir neįsigijo šios mobiliosios programėlės.

    28

    BDAR 4 straipsnio 7 punkte sąvoka „duomenų valdytojas“ apibrėžta plačiai – kaip fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais „nustato asmens duomenų tvarkymo tikslus ir priemones“.

    29

    Šios plačios apibrėžties tikslas, atitinkantis BDAR tikslą, yra užtikrinti veiksmingą fizinių asmenų pagrindinių laisvių ir teisių apsaugą ir, be kita ko, aukštą kiekvieno asmens teisės į savo asmens duomenų apsaugą apsaugos lygį (šiuo klausimu žr. 2019 m. liepos 29 d. Sprendimo Fashion ID, C‑40/17, EU:C:2019:629, 66 punktą ir 2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 73 punktą ir jame nurodytą jurisprudenciją).

    30

    Teisingumo Teismas jau yra nusprendęs, kad bet kuris fizinis ar juridinis asmuo, kuris siekdamas savo tikslų daro įtaką asmens duomenų tvarkymui ir dėl to dalyvauja nustatant tokio tvarkymo tikslus ir būdus, gali būti laikomas duomenų valdytoju. Šiuo požiūriu nebūtina, kad duomenų tvarkymo tikslai ir priemonės būtų nustatyti duomenų valdytojo raštu pateiktose gairėse ar nurodymuose (šiuo klausimu žr. 2018 m. liepos 10 d. Sprendimo Jehovan todistajat, C‑25/17, EU:C:2018:551, 67 ir 68 punktus) arba kad duomenų valdytojas būtų oficialiai paskirtas.

    31

    Taigi siekiant nustatyti, ar toks subjektas, kaip NVSC, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, reikia išnagrinėti, ar jis, siekdamas savo tikslų, iš tikrųjų darė įtaką šio tvarkymo tikslų ir priemonių nustatymui.

    32

    Nagrinėjamu atveju su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, iš Teisingumo Teismo turimos bylos medžiagos matyti, kad sukurti nagrinėjamą mobiliąją programėlę užsakė NVSC siekdamas įgyvendinti jam nustatytą užduotį suvaldyti COVID‑19 pandemiją naudojant IT įrankį asmenų, turėjusių kontaktą su COVID‑19 viruso nešiotojais, duomenims registruoti ir stebėti. Šiuo tikslu NVSC numatė, kad bus tvarkomi nagrinėjamos mobiliosios programėlės naudotojų asmens duomenys. Be to, iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad šios programėlės parametrai, kaip antai joje užduodami klausimai ir jų formuluotės, buvo pritaikyti prie NVSC poreikių ir kad jam teko aktyvus vaidmuo juos nustatant.

    33

    Šiomis aplinkybėmis iš esmės reikia pripažinti, kad NVSC iš tikrųjų dalyvavo nustatant duomenų tvarkymo tikslus ir priemones.

    34

    Tačiau vien tai, kad aptariamos mobiliosios programėlės privatumo politikoje NVSC buvo nurodytas kaip duomenų valdytojas ir kad į šią programėlę buvo įtrauktos sąsajos su šiuo subjektu, galėtų būti laikoma reikšminga aplinkybe tik tuo atveju, jei būtų įrodyta, kad NVSC tiesiogiai ar numanomai pritarė šiai nuorodai ar šioms sąsajoms.

    35

    Kita vertus, aplinkybės, kurias prašymą priimti prejudicinį sprendimą pateikęs teismas nurodė grįsdamas savo pirmuosius tris prejudicinius klausimus, t. y. kad pats NVSC netvarkė asmens duomenų, kad NVSC ir bendrovė ITSS nebuvo sudarę sutarties, kad NVSC neįsigijo nagrinėjamos mobiliosios programėlės ar kad nebuvo gautas NVSC leidimas platinti šią programėlę internetinėse parduotuvėse, nereiškia, kad jis negali būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą.

    36

    Iš tiesų iš šios nuostatos, siejamos su BDAR 74 konstatuojamąja dalimi, matyti, kad jeigu subjektas atitinka minėto 4 straipsnio 7 punkte nustatytą sąlygą, jis yra atsakingas ne tik už bet kokį savo paties atliekamą asmens duomenų tvarkymą, bet ir už tvarkymą, atliekamą jo vardu.

    37

    Vis dėlto šiuo klausimu svarbu pažymėti, kad NVSC negali būti laikomas asmens duomenų valdytojų dėl nagrinėjamos mobiliosios programėlės padarymo viešai prieinamos, jeigu prieš tokį padarymą prieinamos jis aiškiai išreiškė nepritarimą tam, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas. Iš tiesų tokiu atveju nebūtų galima teigti, kad nagrinėjamas duomenų tvarkymas buvo atliktas NVSC vardu.

    38

    Atsižvelgiant į tai, kas išdėstyta, į pirmąjį–trečiąjį klausimus reikia atsakyti: BDAR 4 straipsnio 7 punktas turi būti aiškinamas taip, kad subjektas, pavedęs įmonei sukurti mobiliąją IT programėlę ir prisidėjęs nustatant šia programėle atliekamo asmens duomenų tvarkymo tikslus ir priemones, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal šią nuostatą, net jei jis pats neatliko tokių duomenų tvarkymo veiksmų, nedavė aiškaus sutikimo atlikti konkrečių tokio tvarkymo veiksmų arba padaryti šią mobiliąją programėlę viešai prieinamą ir jos neįsigijo, nebent prieš padarant šią programėlę viešai prieinamą šis subjektas aiškiai išreiškė nepritarimą tokiam veiksmui ir jo nulemtam asmens duomenų tvarkymui.

    Dėl penktojo klausimo

    39

    Penktuoju klausimu, kurį reikia nagrinėti antrą, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 7 punktas ir 26 straipsnio 1 dalis turi būti aiškinami taip, kad norint du subjektus pripažinti bendrais duomenų valdytojais reikia, kad jie būtų sudarę susitarimą dėl atitinkamų asmens duomenų tvarkymo tikslų ir priemonių nustatymo arba susitarimu nustatę bendro duomenų valdymo sąlygas.

    40

    Pagal BDAR 26 straipsnio 1 dalį „bendri duomenų valdytojai“ yra tada, kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones.

    41

    Teisingumo Teismas yra nusprendęs, jog tam, kad galėtų būti laikomas bendru duomenų valdytoju, fizinis ar juridinis asmuo turi savarankiškai atitikti BDAR 4 straipsnio 7 punkte pateiktą sąvokos „duomenų valdytojas“ apibrėžtį (šiuo klausimu žr. 2019 m. liepos 29 d. Sprendimo Fashion ID, C‑40/17, EU:C:2019:629, 74 punktą).

    42

    Vis dėlto bendras duomenų valdymas nebūtinai reiškia lygiavertę tvarkant asmens duomenis dalyvaujančių skirtingų subjektų atsakomybę. Atvirkščiai, šie subjektai gali dalyvauti skirtinguose tokio tvarkymo etapuose ir skirtingu mastu, todėl kiekvieno jų atsakomybės lygis turi būti įvertintas atsižvelgiant į visas reikšmingas konkretaus atvejo aplinkybes (šiuo klausimu žr. 2018 m. birželio 5 d. Sprendimo Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 43 punktą). Be to, tam, kad keli asmenys būtų bendrai atsakingi už tą patį tvarkymą, nereikalaujama, kad kiekvienas jų turėtų prieigą prie atitinkamų asmens duomenų (2018 m. liepos 10 d. Sprendimo Jehovan todistajat, C‑25/17, EU:C:2018:551, 69 punktas ir jame nurodyta jurisprudencija).

    43

    Kaip pažymėjo generalinis advokatas išvados 38 punkte, dalyvavimas nustatant duomenų tvarkymo tikslus ir priemones gali būti įvairių formų ir jį gali lemti ir bendras dviejų ar daugiau subjektų sprendimas, ir sutampantys tokių subjektų sprendimai. Pastaruoju atveju minėti sprendimai turi papildyti vienas kitą, kad kiekvienas jų turėtų konkretų poveikį nustatant duomenų tvarkymo tikslus ir priemones.

    44

    Vis dėlto neturėtų būti reikalaujama, kad šie duomenų valdytojai būtų sudarę oficialų susitarimą dėl duomenų tvarkymo tikslų ir priemonių.

    45

    Žinoma, pagal BDAR 26 straipsnio 1 dalį, siejamą su jo 79 konstatuojamąja dalimi, bendri duomenų valdytojai turi tarpusavio susitarimu skaidriai nustatyti savo atitinkamą atsakomybę už šiame reglamente nustatytų prievolių laikymąsi. Vis dėlto tokio susitarimo buvimas yra ne išankstinė sąlyga tam, kad du ar daugiau subjektų būtų laikomi bendrais duomenų valdytojais, o pareiga, pagal 26 straipsnio 1 dalį nustatyta bendrais duomenų valdytojais jau pripažintiems subjektams, kad jie laikytųsi jiems nustatytų BDAR reikalavimų. Taigi šį pripažinimą lemia jau vien kelių subjektų dalyvavimas nustatant duomenų tvarkymo tikslus ir priemones.

    46

    Atsižvelgiant į tai, kas išdėstyta, į penktąjį klausimą reikia atsakyti: BDAR 4 straipsnio 7 punktas ir 26 straipsnio 1 dalis turi būti aiškinami taip, kad norint du subjektus pripažinti bendrais duomenų valdytojais nereikia, kad jie būtų sudarę susitarimą dėl nagrinėjamų asmens duomenų tvarkymo tikslų ir priemonių nustatymo arba susitarimu nustatę bendro duomenų valdymo sąlygas.

    Dėl ketvirtojo klausimo

    47

    Ketvirtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 2 punktas turi būti aiškinamas taip, kad asmens duomenų naudojimas testuojant mobiliąją IT programėlę yra „duomenų tvarkymas“, kaip tai suprantama pagal šią nuostatą.

    48

    Nagrinėjamu atveju, kaip matyti iš šio sprendimo 25 punkto, Lietuvos bendrovė, tvarkanti Užkrečiamųjų ligų, galinčių išplisti ir kelti grėsmę, stebėsenos ir kontrolės informacinę sistemą, turėjo gauti asmens duomenų, surinktų naudojant nagrinėjamą mobiliąją programėlę, kopijas. Testuojant šią programėlę buvo naudoti netikri duomenys, išskyrus šios bendrovės darbuotojų telefonų numerius.

    49

    Šiuo klausimu pažymėtina, pirma, kad BDAR 4 straipsnio 2 punkte „duomenų tvarkymas“ apibrėžtas kaip „bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka“. Šioje nuostatoje pateiktame nebaigtiniame sąraše, kuris pradedamas žodžiais „kaip antai“, kaip asmens duomenų tvarkymo pavyzdžiai minimi asmens duomenų rinkimas, galimybės jais naudotis sudarymas ir jų naudojimas.

    50

    Taigi iš šios nuostatos formuluotės, visų pirma žodžių junginio „bet kokia <...> operacija“, matyti, kad Sąjungos teisės aktų leidėjas siekė suteikti sąvokai „duomenų tvarkymas“ plačią taikymo aprėptį (šiuo klausimu žr. 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 35 punktą), o norint nustatyti, ar operacija ar operacijų seka yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, neturėtų būti atsižvelgta į šios operacijos ar operacijų sekos atlikimo priežastis.

    51

    Taigi klausimas, ar asmens duomenys naudojami testuojant IT programėlę, ar kitam tikslui, neturi įtakos atitinkamos operacijos pripažinimui „duomenų tvarkymu“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą.

    52

    Antra, vis dėlto reikia patikslinti, kad tik „asmens duomenų“ tvarkymas yra „tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą.

    53

    Šiuo klausimu BDAR 4 straipsnio 1 punkte nurodyta, kad „asmens duomenys“ – tai „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“, t. y. apie „fizinį asmenį, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius“.

    54

    Prašymą priimti prejudicinį sprendimą pateikusio teismo ketvirtajame klausime nurodyta aplinkybė, kad kalbama apie „asmens duomenų kopijas“, savaime nereiškia, kad šios kopijos negali būti pripažintos asmens duomenimis, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą, jeigu tokiose kopijose iš tikrųjų yra informacijos apie fizinį asmenį, kurio tapatybė yra arba gali būti nustatyta.

    55

    Vis dėlto reikia konstatuoti, jog netikri duomenys susiję ne su fiziniu asmeniu, kurio tapatybė yra arba gali būti nustatyta, o su nesamu asmeniu, nėra asmens duomenys, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą.

    56

    Tas pats pasakytina apie testuojant IT programėlę naudotus anoniminius ar nuasmenintus duomenis.

    57

    Iš BDAR 26 konstatuojamosios dalies ir pačios sąvokos „asmens duomenys“ apibrėžties, pateiktos šio reglamento 4 straipsnio 1 punkte, matyti, kad į šią sąvoką nepatenka nei „anoniminė informacija, t. y. informacija, nesusijusi su fiziniu asmeniu, kurio tapatybė yra arba gali būti nustatyta“, nei „asmens duomenys, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta“.

    58

    Atvirkščiai, iš BDAR 4 straipsnio 5 punkto, siejamo su šio reglamento 26 konstatuojamąja dalimi, matyti, kad asmens duomenys, kuriems tik suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turi būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta, ir jai taikomi duomenų apsaugos principai.

    59

    Atsižvelgiant į tai, kas išdėstyta, į ketvirtąjį klausimą reikia atsakyti: BDAR 4 straipsnio 2 punktas turi būti aiškinamas taip, kad asmens duomenų naudojimas testuojant mobiliąją IT programėlę yra „duomenų tvarkymas“, kaip tai suprantama pagal šią nuostatą, nebent tokie duomenys nuasmeninti taip, kad jų subjekto tapatybė negali arba nebegali būti nustatyta, arba tai yra netikri duomenys, nesusiję su jokiu esamu fiziniu asmeniu.

    Dėl šeštojo klausimo

    60

    Šeštuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 83 straipsnis turi būti aiškinamas taip, kad, pirma, administracinė bauda pagal šią nuostatą gali būti skirta tik tuo atveju, kai nustatoma, kad duomenų valdytojas tyčia ar dėl aplaidumo padarė šio straipsnio 4–6 dalyse nurodytą pažeidimą, ir, antra, tokia bauda gali būti skirta duomenų valdytojui už duomenų tvarkymo veiksmus, kuriuos jo vardu atliko duomenų tvarkytojas.

    61

    Pirma, dėl klausimo, ar administracinė bauda pagal BDAR 83 straipsnį gali būti skirta tik nustačius, kad duomenų valdytojas arba duomenų tvarkytojas tyčia ar dėl aplaidumo padarė šio straipsnio 4–6 dalyse nurodytus pažeidimus, iš minėto straipsnio 1 dalies matyti, kad šios baudos turi būti veiksmingos, proporcingos ir atgrasomos. Tačiau BDAR 83 straipsnyje aiškiai nenurodyta, kad bauda už tokį pažeidimą gali būti skirta tik jeigu jis padarytas tyčia ar bent jau dėl aplaidumo.

    62

    Tuo remdamosi Lietuvos vyriausybė ir Europos Sąjungos Taryba daro išvadą, kad Sąjungos teisės aktų leidėjas ketino palikti valstybėms narėms tam tikrą diskreciją įgyvendinant BDAR 83 straipsnį ir leisti joms prireikus numatyti administracinių baudų skyrimą pagal šią nuostatą net neįrodžius, kad BDAR pažeidimas, už kurį skiriama ši bauda, buvo padarytas tyčia ar dėl aplaidumo.

    63

    Negalima pritarti tokiam BDAR 83 straipsnio aiškinimui.

    64

    Šiuo klausimu reikia priminti, kad pagal SESV 288 straipsnį reglamentų nuostatos paprastai veikia tiesiogiai nacionalinės teisės sistemose, todėl nacionalinės valdžios institucijoms nereikia imtis įgyvendinimo priemonių. Vis dėlto kai kurioms reglamentų nuostatoms įgyvendinti gali būti būtina, kad valstybės narės priimtų jų įgyvendinimo priemones (šiuo klausimu žr. 2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 58 punktą ir jame nurodytą jurisprudenciją).

    65

    Tai pasakytina apie BDAR, kurio tam tikromis nuostatomis valstybėms narėms atveriama galimybė numatyti papildomas griežtesnes ar leidžiančias nukrypti nacionalinės teisės normas ir suteikiama diskrecija dėl galimo šių nuostatų įgyvendinimo būdo (2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 57 punktas).

    66

    Be to, BDAR nesant konkrečių procesinės teisės nuostatų, kiekvienos valstybės narės teisės sistemoje turi būti nustatyta ieškinių, skirtų iš šio reglamento nuostatų kylančių asmenų teisių apsaugai užtikrinti, pareiškimo tvarka su sąlyga, kad laikomasi lygiavertiškumo ir veiksmingumo principų (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 53 ir 54 punktus ir juose nurodytą jurisprudenciją).

    67

    Vis dėlto BDAR 83 straipsnio 1–6 dalių formuluotėje nėra nieko, kas leistų manyti, kad Sąjungos teisės aktų leidėjas ketino palikti valstybėms narėms diskreciją dėl materialinių sąlygų, kurių turi laikytis priežiūros institucija, kai ji nusprendžia skirti duomenų valdytojui administracinę baudą už šio straipsnio 4–6 dalyse nurodytą pažeidimą.

    68

    Žinoma, viena vertus, BDAR 83 straipsnio 7 dalyje numatyta, kad kiekviena valstybė narė gali įtvirtinti taisykles, nustatančias, ar ir kokiu mastu administracinės baudos gali būti skiriamos jos teritorijoje įsteigtoms valdžios institucijoms ir įstaigoms. Kita vertus, iš šio reglamento 83 straipsnio 8 dalies, siejamos su jo 129 konstatuojamąja dalimi, matyti, kad priežiūros institucijai naudojantis šiame straipsnyje suteiktais įgaliojimais taikomos atitinkamos procedūrinės garantijos laikantis Sąjungos ir valstybių narių teisės, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą.

    69

    Vis dėlto tai, kad nurodytame reglamente valstybėms narėms suteikta galimybė numatyti išimtis jų teritorijoje įsteigtoms valdžios institucijoms ir įstaigoms, taip pat procedūrinius reikalavimus, kurių turi laikytis priežiūros institucijos, kad galėtų skirti administracinę baudą, visai nereiškia, kad šioms valstybėms suteikta teisė, be šių išimčių ir procedūrinių reikalavimų, taip pat numatyti materialines sąlygas, kurios turi būti įvykdytos, kad duomenų valdytojas būtų patrauktas atsakomybėn ir jam būtų skirta administracinė bauda pagal minėtą 83 straipsnį. Be to, tai, kad Sąjungos teisės aktų leidėjas aiškiai numatė pirmąją galimybę, bet ne galimybę numatyti tokias materialines sąlygas, patvirtina, kad šiuo klausimu jis nepaliko valstybėms narėms diskrecijos.

    70

    Šią išvadą taip pat patvirtina kartu aiškinami BDAR 83 ir 84 straipsniai. Iš tiesų šio reglamento 84 straipsnio 1 dalyje pripažįstama, kad valstybės narės išlaiko kompetenciją nustatyti taisykles dėl „kitų sankcijų“, taikomų už šio reglamento pažeidimus, „visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį“. Taigi iš taip kartu aiškinamų šių nuostatų matyti, kad ši kompetencija neapima tokias administracines baudas leidžiančių skirti materialinių sąlygų nustatymo. Taigi šios sąlygos gali būti nustatomos tik pagal Sąjungos teisę.

    71

    Dėl minėtų sąlygų reikia pažymėti, kad BDAR 83 straipsnio 2 dalyje išvardyti veiksniai, į kuriuos atsižvelgdama priežiūros institucija skiria duomenų valdytojui administracinę baudą. Tarp šių veiksnių šios nuostatos b punkte nurodyta: „tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo“. Tačiau nė vienas iš minėtoje nuostatoje išvardytų veiksnių nepatvirtina galimybės patraukti duomenų valdytoją atsakomybėn nesant jo kaltės.

    72

    Be to, BDAR 83 straipsnio 2 dalį reikia aiškinti kartu su šio straipsnio 3 dalimi, kurios tikslas numatyti kelių šio reglamento pažeidimų padarymo pasekmes ir pagal kurią, „jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją arba susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą“.

    73

    Taigi iš BDAR 83 straipsnio 2 dalies formuluotės matyti, kad administracinė bauda pagal šį straipsnį duomenų valdytojui gali būti skirta tik esant jo kaltei, t. y. tyčiai ar aplaidumui, padarius šio reglamento nuostatų pažeidimus.

    74

    BDAR bendra sistema ir tikslas patvirtina šį aiškinimą.

    75

    Pirma, Sąjungos teisės aktų leidėjas numatė sankcijų sistemą, leidžiančią priežiūros institucijoms skirti tinkamiausias sankcijas atsižvelgiant į kiekvieno atvejo aplinkybes.

    76

    BDAR 58 straipsnio, kuriame nustatyti priežiūros institucijų įgaliojimai, 2 dalies i punkte numatyta, kad šios institucijos gali skirti administracines baudas pagal šio reglamento 83 straipsnį „kartu su“ kitomis šio 58 straipsnio 2 dalyje išvardytomis taisomosiomis priemonėmis, kaip antai: įspėjimais, papeikimais ar nurodymais, arba „vietoj jų“. Be to, minėto reglamento 148 konstatuojamojoje dalyje nurodyta, kad jeigu pažeidimas nedidelis arba jeigu administracinė bauda, kuri gali būti skirta, sudarytų neproporcingą naštą fiziniam asmeniui, priežiūros institucijoms leidžiama neskirti administracinės baudos ir vietoj jos pareikšti papeikimą.

    77

    Antra, visų pirma iš BDAR 10 konstatuojamosios dalies matyti, kad jo nuostatomis, be kita ko, siekiama Sąjungoje užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą tvarkant asmens duomenis ir tuo tikslu užtikrinti nuoseklų ir vienodą taisyklių, kuriomis reglamentuojama šių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymą visoje Sąjungoje. Be to, BDAR 11 ir 129 konstatuojamosiose dalyse pabrėžiama, kad, siekiant nuoseklaus šio reglamento taikymo, priežiūros institucijoms būtina suteikti lygiaverčius įgaliojimus stebėti ir užtikrinti asmens duomenų apsaugos taisyklių laikymąsi ir jos turi galėti taikyti lygiavertes sankcijas už šio reglamento pažeidimus.

    78

    Sankcijų sistema, leidžianti skirti administracinę baudą pagal BDAR 83 straipsnį, kai to reikia atsižvelgiant į konkrečias kiekvieno atvejo aplinkybes, skatina duomenų valdytojus ir duomenų tvarkytojus laikytis šio reglamento. Dėl atgrasomojo poveikio administracinės baudos prisideda prie fizinių asmenų apsaugos tvarkant asmens duomenis stiprinimo, todėl yra esminis elementas užtikrinant šių asmenų teisių paisymą, atsižvelgiant į šio reglamento tikslą užtikrinti tokiems asmenims aukšto lygio apsaugą tvarkant asmens duomenis.

    79

    Vis dėlto Sąjungos teisės aktų leidėjas nemanė, kad tokiam aukštam apsaugos lygiui užtikrinti būtina numatyti administracinių baudų skyrimą nesant kaltės. Atsižvelgiant į tai, kad BDAR siekiama lygiavertės ir vienodos apsaugos ir kad šiuo tikslu jis turi būti nuosekliai taikomas visoje Sąjungoje, šiam tikslui prieštarautų leidimas valstybėms narėms numatyti tokią baudų skyrimo pagal šio reglamento 83 straipsnį sistemą. Be to, tokia pasirinkimo laisvė galėtų iškraipyti konkurenciją tarp ūkio subjektų Sąjungoje, o tai prieštarautų Sąjungos teisės aktų leidėjo, be kita ko, minėto reglamento 9 ir 13 konstatuojamosiose dalyse nurodytiems tikslams.

    80

    Vadinasi, reikia konstatuoti, kad pagal BDAR 83 straipsnį neleidžiama skirti administracinės baudos už jo 4–6 dalyse nurodytą pažeidimą, jeigu neįrodyta, kad duomenų valdytojas šį pažeidimą padarė tyčia ar dėl aplaidumo, todėl pažeidimo padarymas esant kaltei yra tokios baudos skyrimo sąlyga.

    81

    Šiuo požiūriu dėl klausimo, ar pažeidimas padarytas tyčia ar dėl aplaidumo ir dėl to už jį gali būti skirta administracinė bauda pagal BDAR 83 straipsnį, taip pat svarbu pažymėti, kad duomenų valdytojas gali būti nubaustas už elgesį, patenkantį į BDAR taikymo sritį, jeigu negalėjo nežinoti apie savo veiksmų neteisėtumą, nesvarbu, ar jis suvokė, kad pažeidžia BDAR nuostatas (pagal analogiją žr. 2013 m. birželio 18 d. Sprendimo Schenker & Co. ir kt., C‑681/11, EU:C:2013:404, 37 punktą ir jame nurodytą jurisprudenciją, taip pat 2021 m. kovo 25 d. Sprendimo Lundbeck / Komisija, C‑591/16 P, EU:C:2021:243, 156 punktą ir 2021 m. kovo 25 d. Sprendimo Arrow Group ir Arrow Generics / Komisija, C‑601/16 P, EU:C:2021:244, 97 punktą).

    82

    Jeigu duomenų valdytojas yra juridinis asmuo, dar reikėtų pažymėti, kad norint taikyti BDAR 83 straipsnį nereikalaujama to juridinio asmens valdymo organo veiksmų ar net žinojimo (pagal analogiją žr. 1983 m. birželio 7 d. Sprendimo Musique Diffusion française ir kt. / Komisija, 100/80–103/80, EU:C:1983:158, 97 punktą, taip pat 2017 m. vasario 16 d. Sprendimo Tudapetrol Mineralölerzeugnisse Nils Hansen / Komisija, C‑94/15 P, EU:C:2017:124, 28 punktą ir jame nurodytą jurisprudenciją).

    83

    Antra, dėl klausimo, ar administracinė bauda pagal BDAR 83 straipsnį gali būti skirta duomenų valdytojui už duomenų tvarkytojo atliktus duomenų tvarkymo veiksmus, reikia priminti, kad pagal BDAR 4 straipsnio 8 punkte pateiktą apibrėžtį duomenų tvarkytojas yra „fizinis ar juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris duomenų valdytojo vardu tvarko asmens duomenis“.

    84

    Kadangi, kaip nurodyta šio sprendimo 36 punkte, duomenų valdytojas yra atsakingas ne tik už bet kokį asmens duomenų tvarkymą, kurį atlieka jis pats, bet ir už jo vardu atliekamą duomenų tvarkymą, šiam duomenų valdytojui gali būti skirta administracinė bauda pagal BDAR 83 straipsnį tuo atveju, jei asmens duomenys tvarkomi neteisėtai, ir taip juos tvarko ne šis valdytojas, o jo prašymu ir jo vardu veikiantis duomenų tvarkytojas.

    85

    Tačiau duomenų valdytojo atsakomybė už duomenų tvarkytojo veiksmus negali apimti atvejų, kai duomenų tvarkytojas tvarko asmens duomenis savo tikslais arba tokiu būdu, kuris nesuderinamas su duomenų valdytojo nustatyta duomenų tvarkymo sistema ar tvarka, arba taip, kad negalima pagrįstai manyti, jog duomenų valdytojas tam pritarė. Iš tiesų pagal BDAR 28 straipsnio 10 dalį tokiu atveju duomenų tvarkytojas turi būti laikomas duomenų valdytoju, kiek tai susiję su tokiu duomenų tvarkymu.

    86

    Atsižvelgiant į tai, kas išdėstyta, į šeštąjį klausimą reikia atsakyti: BDAR 83 straipsnis turi būti aiškinamas taip, kad, pirma, administracinė bauda pagal šią nuostatą gali būti skirta tik jeigu nustatoma, kad duomenų valdytojas padarė šio 83 straipsnio 4–6 dalyse nurodytus pažeidimus tyčia ar dėl aplaidumo, ir, antra, tokia bauda gali būti skirta duomenų valdytojui už asmens duomenų tvarkymo veiksmus, kuriuos jo vardu atlieka duomenų tvarkytojas, išskyrus atvejus, kai atlikdamas tokius veiksmus duomenų tvarkytojas tvarko duomenis savo tikslais arba tokiu būdu, kuris nesuderinamas su duomenų valdytojo nustatyta duomenų tvarkymo sistema ar tvarka, arba taip, kad negalima pagrįstai manyti, jog duomenų valdytojas tam pritarė.

    Dėl bylinėjimosi išlaidų

    87

    Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

     

    Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia:

     

    1.

    2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 4 straipsnio 7 punktas

    turi būti aiškinamas taip:

    subjektas, pavedęs įmonei sukurti mobiliąją IT programėlę ir prisidėjęs nustatant šia programėle atliekamo asmens duomenų tvarkymo tikslus ir priemones, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal šią nuostatą, net jei jis pats neatliko tokių duomenų tvarkymo veiksmų, nedavė aiškaus sutikimo atlikti konkrečių tokio tvarkymo veiksmų arba padaryti šią mobiliąją programėlę viešai prieinamą ir jos neįsigijo, nebent prieš padarant šią programėlę viešai prieinamą šis subjektas aiškiai išreiškė nepritarimą tokiam veiksmui ir jo nulemtam asmens duomenų tvarkymui.

     

    2.

    Reglamento 2016/679 4 straipsnio 7 punktas ir 26 straipsnio 1 dalis

    turi būti aiškinami taip:

    norint du subjektus pripažinti bendrais duomenų valdytojais nereikia, kad jie būtų sudarę susitarimą dėl atitinkamų asmens duomenų tvarkymo tikslų ir priemonių nustatymo arba susitarimu nustatę bendro duomenų valdymo sąlygas.

     

    3.

    Reglamento 2016/679 4 straipsnio 2 punktas

    turi būti aiškinamas taip:

    asmens duomenų naudojimas testuojant mobiliąją IT programėlę yra „duomenų tvarkymas“, kaip tai suprantama pagal šią nuostatą, nebent tokie duomenys nuasmeninti taip, kad jų subjekto tapatybė negali arba nebegali būti nustatyta, arba tai yra netikri duomenys, nesusiję su jokiu esamu fiziniu asmeniu.

     

    4.

    Reglamento 2016/679 83 straipsnis

    turi būti aiškinamas taip:

    pirma, administracinė bauda pagal šią nuostatą gali būti skirta tik jeigu nustatoma, kad duomenų valdytojas padarė šio straipsnio 4–6 dalyse nurodytus pažeidimus tyčia ar dėl aplaidumo, ir,

    antra, tokia bauda gali būti skirta duomenų valdytojui už asmens duomenų tvarkymo veiksmus, kuriuos jo vardu atlieka duomenų tvarkytojas, išskyrus atvejus, kai atlikdamas tokius veiksmus duomenų tvarkytojas tvarko duomenis savo tikslais arba tokiu būdu, kuris nesuderinamas su duomenų valdytojo nustatyta duomenų tvarkymo sistema ar tvarka, arba taip, kad negalima pagrįstai manyti, jog duomenų valdytojas tam pritarė.

     

    Lenaerts

    Bay Larsen

    Arabadjiev

    Lycourgos

    Regan

    von Danwitz

    Csehi

    Spineanu-Matei

    Ilešič

    Bonichot

    Rossi

    Kumin

    Jääskinen

    Wahl

    Gavalec

    Paskelbta 2023 m. gruodžio 5 d. viešame posėdyje Liuksemburge.

    Kancleris

    A. Calot Escobar

    Pirmininkas

    K. Lenaerts


    ( *1 ) Proceso kalba: lietuvių.

    Top