1.

Kokiomis sąlygomis pasaulyje, kuriame asmens duomenys tapo derybų priemone ir naujai atrasta įmonių aukso kasykla, duomenų valdytojams ar tvarkytojams gali būti skiriamos administracinės baudos už Reglamente (ES) 2016/679 ( 2 ) nustatytų duomenų apsaugos taisyklių pažeidimą? Konkrečiau kalbant, ar būtina šių subjektų kaltė, kad jiems būtų galima skirti tokias baudas? Tai yra esminis klausimas, kurį šioje byloje iškėlė Vilniaus apygardos administracinis teismas (Lietuva).

2.

Minėto teismo nagrinėjamas ginčas tarp Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos (Lietuva) (toliau – NVSC) ir Valstybinės duomenų apsaugos inspekcijos (Lietuva) (toliau – inspekcija) iš esmės susijęs su NVSC vaidmeniu kuriant ir padarant viešai prieinamą mobiliąją programėlę, kurią naudojant 2020 m. balandžio ir gegužės mėn. buvo renkami asmenų, kontaktavusių su COVID‑19 užsikrėtusiais pacientais, asmens duomenys.

3.

Tokiomis aplinkybėmis ši byla suteikia Teisingumo Teismui galimybę pateikti papildomų paaiškinimų dėl sąvokų „duomenų valdytojas“, „bendri duomenų valdytojai“ ir „duomenų tvarkymas“, apibrėžtų atitinkamai BDAR 4 straipsnio 7 punkte, 26 straipsnio 1 dalyje ir 4 straipsnio 2 punkte, ir pirmą kartą išnagrinėti, ar pagal šio reglamento 83 straipsnį galima skirti administracinę baudą duomenų valdytojui, kuris nei tyčia, nei dėl aplaidumo nepažeidė BDAR nustatytų taisyklių. Šiuo klausimu Teisingumo Teismo prašoma patikslinti, ar pagal šią nuostatą leidžiama skirti baudas nesant jokios kaltės, remiantis objektyviąja („griežtąja“) atsakomybe.

4.

BDAR 148 konstatuojamojoje dalyje nurodyta:

„siekiant užtikrinti, kad šio reglamento taisyklės būtų geriau įgyvendinamos, už šio reglamento pažeidimus <…> turėtų būti skiriamos sankcijos, įskaitant administracines baudas. Nedidelio pažeidimo atveju arba jeigu bauda, kuri gali būti skirta, sudarytų neproporcingą naštą fiziniam asmeniui, vietoj baudos gali būti pareikštas papeikimas. Vis dėlto reikėtų tinkamai atsižvelgti į pažeidimo pobūdį, sunkumą ir trukmę, tai, ar pažeidimas buvo tyčinis, veiksmus, kurių imtasi patirtai žalai sumažinti, atsakomybės mastą arba į bet kokius svarbius ankstesnius pažeidimus, tai, kaip apie pažeidimą sužinojo priežiūros institucija, ar buvo laikomasi tam duomenų valdytojui arba duomenų tvarkytojui taikytų priemonių, ar buvo laikomasi elgesio kodekso, ir visus kitus sunkinančius ar švelninančius veiksnius. Sankcijos, įskaitant administracines baudas, turėtų būti skiriamos atsižvelgiant į atitinkamas procedūrines apsaugos priemones ir laikantis Sąjungos teisės ir Chartijos bendrųjų principų, įskaitant veiksmingą teisminę apsaugą ir tinkamą procesą“.

5.

Šio reglamento 150 konstatuojamojoje dalyje nurodyta:

„siekiant sugriežtinti ir suvienodinti administracines sankcijas už šio reglamento pažeidimus, kiekvienai priežiūros institucijai turėtų būti suteikti įgaliojimai skirti administracines baudas. Šiame reglamente turėtų būti nurodyti pažeidimai ir nustatyti didžiausi susijusių administracinių baudų dydžiai ir tų baudų nustatymo kriterijai; baudas kiekvienu konkrečiu atveju turėtų nustatyti kompetentinga priežiūros institucija, atsižvelgdama į visas reikšmingas konkrečios situacijos aplinkybes ir deramai atsižvelgdama visų pirma į pažeidimo pobūdį, sunkumą, trukmę ir pasekmes, taip pat į priemones, kurių imtasi siekiant, kad būtų laikomasi šiame reglamente nustatytų prievolių, ir siekiant užkirsti kelią pažeidimo pasekmėms arba jas sumažinti. <…> Skiriant administracinę baudą ar teikiant įspėjimą nedaromas poveikis priežiūros institucijų kitų įgaliojimų ar kitų sankcijų pagal šį reglamentą taikymui.“

6.

BDAR 4 straipsnio 7 punkte sąvoka „duomenų valdytojas“ apibrėžiama kaip „fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones <…>“.

7.

Šio reglamento 26 straipsnio „Bendri duomenų valdytojai“ šiai bylai reikšmingoje dalyje nurodyta:

„1.   Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai <…>

<…>“

8.

Šio reglamento 83 straipsnyje „Bendrosios administracinių baudų skyrimo sąlygos“ numatyta:

1.   Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

2.   Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

<…>

3.   Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą.

<…>“

9.

Viešųjų pirkimų įstatymo 72 straipsnio 2 dalyje nurodyta:

„Perkančioji organizacija neskelbiamas derybas vykdo šiais etapais:

10.

Siekdamas reaguoti į padėtį, susidariusią dėl COVID‑19 protrūkio, Lietuvos Respublikos sveikatos ministras (toliau – sveikatos ministras) 2020 m. kovo 24 d. sprendimu pavedė NVSC direktoriui organizuoti mobiliosios programėlės KARANTINAS kūrimą ir įsigijimą. Ši mobilioji programėlė buvo skirta asmenų, kontaktavusių su COVID‑19 užsikrėtusiais pacientais, asmens duomenims rinkti ir stebėti ( 3 ).

11.

2020 m. kovo 27 d. asmuo, prisistatęs NVSC atstovu, informavo bendrovę UAB „IT sprendimai sėkmei“ (toliau – ITSS), kad ji buvo atrinkta kaip programėlės KARANTINAS. ITSS ir šis asmuo, taip pat ITSS ir keli NVSC darbuotojai bei NVSC direktorius elektroniniu paštu susirašinėjo laiškais dėl šios mobiliosios programėlės kūrimo. Tuo etapu taip pat buvo sudarytas konfidencialumo susitarimas, kuriame ITSS ir NVSC buvo nurodyti kaip duomenų valdytojai.

12.

Galiausiai sukurta mobilioji programėlė 2020 m. balandžio 4 d. buvo padaryta viešai prieinama atsisiųsti iš Google Play Store, o 2020 m. balandžio 6 d. – iš Apple App Store. Tiek ITSS, tiek NVSC vėl buvo paminėti kaip duomenų valdytojai programėlės KARANTINAS versijoje, kuri buvo padaryta viešai prieinama atsisiųsti. Tuo metu NVSC dar nebuvo įsigijęs šios mobiliosios programėlės.

13.

2020 m. balandžio 10 d. sprendimu sveikatos apsaugos ministras pavedė NVSC direktoriui tęsti programėlės KARANTINAS įsigijimą neskelbiamų derybų būdu, taikant Viešųjų pirkimų įstatymo 72 straipsnio 2 dalį.

14.

Ši procedūra buvo pradėta, tačiau negavęs reikiamo finansavimo NVSC ją nutraukė. Taigi viešojo pirkimo sutartis nebuvo sudaryta. Vis dėlto programėlė KARANTINAS ir toliau buvo viešai prieinama parsisiųsti.

15.

2020 m. gegužės 15 d. NVSC paprašė ITSS mobiliojoje programėlėje nenaudoti jokių NVSC duomenų ir nenurodyti jokių sąsajų su NVSC. 2020 m. gegužės 18 d. inspekcija pradėjo tyrimą dėl ITSS ir NVSC dėl BDAR nustatytų taisyklių pažeidimo. Inspekcijos prašymu 2020 m. gegužės 26 d. programėlės KARANTINAS veikimas buvo sustabdytas. Kaip teigia ITSS, nuo 2020 m. balandžio 4 d. iki gegužės 26 d. savo asmens duomenis per šią programėlę pateikė 3802 naudotojai.

16.

2021 m. vasario 24 d. sprendimu inspekcija skyrė administracines baudas NVSC ir ITSS, kaip bendriems duomenų valdytojams, už BDAR 5, 13, 24, 32 ir 35 straipsnių pažeidimus ( 4 ).

17.

Tokį sprendimą NVSC apskundė Vilniaus apygardos administraciniam teismui. Šiam teismui iš esmės kyla klausimas, ar sąvoka „duomenų valdytojas“, kaip ji suprantama pagal BDAR 4 straipsnio 7 punktą, turi būti aiškinama plačiai, kaip apimanti bet kurį fizinį ar juridinį asmenį ar bet kurią įstaigą, kaip antai NVSC, kuris nėra mobiliosios programėlės kūrėjas, tačiau kuris, siekdamas įsigyti tokią mobiliąją programėlę konkurso būdu, nustatė „asmens duomenų tvarkymo tikslus ir priemones“, ar šią sąvoką reikia aiškinti siauriau, atsižvelgiant į viešojo pirkimo procedūrą ir jos rezultatą.

18.

Konkrečiai kalbant, prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar šiuo atveju reikšminga tai, kad galiausiai konkurso procedūra buvo nutraukta ir NVSC niekada neįsigijo programėlės KARANTINAS. Jis taip pat klausia, ar tai, kad NVSC oficialiai nedavė sutikimo ar leidimo padaryti šią mobiliąją programėlę viešai prieinamą, turi kokios nors įtakos šiam vertinimui.

19.

Be to, minėtas teismas kelia klausimą dėl NVSC ir ITSS santykių. Šiuo tikslu jam kyla klausimas, kokiomis aplinkybėmis toks subjektas ir tokia bendrovė turėtų būti laikomi „bendrais duomenų valdytojais“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą ir 26 straipsnio 1 dalį. Taip pat, jeigu NVSC ir ITSS turėtų būti laikomi ne „bendrais duomenų valdytojais“, o „duomenų valdytoju“ ir „duomenų tvarkytoju“ ( 5 ) (atitinkamai), kaip tai suprantama pagal BDAR, jis nori sužinoti, kada už ITSS veiksmus NVSC gali kilti atsakomybė. Šiuo tikslu prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar BDAR 83 straipsnis turi būti aiškinamas taip, kad administracinė bauda gali būti skirta duomenų valdytojui, kaip antai NVSC, kuris pats tyčia ar dėl aplaidumo nepadarė jokio šio reglamento pažeidimo.

20.

Atsižvelgdamas į šias aplinkybes, Vilniaus apygardos administracinis teismas nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

21.

2021 m. spalio 22 d. prašymą priimti prejudicinį sprendimą Teisingumo Teismas gavo 2021 m. lapkričio 12 d. Rašytines pastabas pateikė NVSC, inspekcija, Lietuvos vyriausybė ir Europos Komisija.

22.

Lietuvos ir Nyderlandų vyriausybėms, taip pat Komisijai ir Tarybai buvo atstovaujama 2023 m. sausio 17 d. įvykusiame teismo posėdyje.

23.

Per COVID‑19 pandemiją daugelyje valstybių narių visuomenei buvo sudarytos galimybės atsisiųsti mobiliąsias programėles, skirtas virusu užsikrėtusiems asmenims ir (arba) su jais kontaktavusiems asmenims „nustatyti ir atsekti“. Šios mobiliosios programėlės buvo sukurtos siekiant reaguoti į situacijos neatidėliotinumą, neretai dalyvaujant keliems viešiesiems ir privatiesiems subjektams (pvz., ministerijoms ir kitiems viešiesiems subjektams, taip pat privačioms įmonėms). Tose mobiliosiose programėlėse buvo reikalaujama, kad naudotojai įkeltų savo asmens duomenis, visų pirma duomenis apie savo sveikatą ( 6 ).

24.

Pagrindinė byla susijusi būtent su tokia mobiliąja programėle, t. y. programėle KARANTINAS, kurią ITSS (privati bendrovė) sukūrė NVSC (valdžios institucija) iniciatyva po to, kai buvo priimtas sveikatos apsaugos ministro sprendimas. Nei iš bylos medžiagos, nei iš per teismo posėdį pateiktos informacijos nėra aišku, kokie kiti Lietuvos viešieji subjektai dalyvavo (jei apskritai dalyvavo) kuriant mobiliąją programėlę ( 7 ). Taip pat kyla tam tikrų abejonių, ar NVSC davė sutikimą, kad programėlė KARANTINAS būtų viešai prieinama asmens duomenų tvarkymo laikotarpiu (2020 m. balandžio ir gegužės mėn.). Vis dėlto Teisingumo Teismui pateiktuose klausimuose Vilniaus apygardos administracinis teismas nustatė, kad svarbios yra šios aplinkybės:

25.

Šiomis aplinkybėmis Teisingumo Teismui pateikti klausimai susiję su įvairių BDAR nuostatų išaiškinimu. Pirmaisiais trimis klausimais, taip pat penktuoju klausimu prašoma išaiškinti sąvoką „duomenų valdytojas“, kaip ji suprantama pagal to reglamento 4 straipsnio 7 punktą, ir paaiškinti, kokiomis aplinkybėmis du ar daugiau subjektų gali būti laikomi „bendrais duomenų valdytojais“ pagal tą nuostatą ir to paties reglamento 26 straipsnio 1 dalį. Pirmiausia šiuos klausimus nagrinėsiu kartu (A), o paskui pereisiu prie ketvirtojo klausimo, susijusio su sąvoka „duomenų tvarkymas“, kaip ji suprantama pagal BDAR 4 straipsnio 2 dalį, ir jos taikymu mobiliosios programėlės testavimo etapu (B) ( 8 ). Tada gilinsiuosi į šios bylos esmę, t. y. į šeštąjį klausimą, kuris yra universalaus pobūdžio, nes susijęs su sąlygomis, kuriomis duomenų valdytojams pagal BDAR 83 straipsnį gali būti skiriamos administracinės baudos (C).

26.

Pirmaisiais trimis klausimais prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar, atsižvelgiant į šios išvados 24 punkte nurodytas aplinkybes, toks subjektas, kaip NVSC, turi būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą. Be to, penktuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas prašo paaiškinti, ar tokiomis aplinkybėmis du subjektai, kaip antai NVSC ir ITSS, turi būti laikomi „bendrais duomenų valdytojais“ pagal šią nuostatą ir šio reglamento 26 straipsnio 1 dalį, nors jie nėra sudarę jokio formalaus susitarimo dėl duomenų tvarkymo tikslų ir priemonių ir (arba) neatrodo, kad jie būtų kaip nors kitaip derinę savo veiksmus.

27.

Primenu, kad pagal BDAR 4 straipsnio 7 punktą „duomenų valdytojas“ apibrėžiamas kaip asmuo ar subjektas, kuris „vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones“. Kitaip tariant, duomenų valdytojas neturi pats tvarkyti jokių asmens duomenų, bet turi nustatyti, „kodėl ir kaip“ turi būti atliekamos atitinkamos duomenų tvarkymo operacijos ( 9 ). Teisingumo Teismas yra nurodęs, jog tam, kad atitiktų šį kriterijų, asmuo arba subjektas turi iš tikrųjų „daryti įtaką asmens duomenų tvarkymui“ ( 10 ). Vis dėlto nebūtina, kad duomenų tvarkymo tikslai ir priemonės būtų nustatomi laikantis duomenų valdytojo rašytinių nurodymų ar pavedimų ( 11 ). Iš tikrųjų pagal BDAR 4 straipsnio 7 punktą reikalaujama atlikti veikiau faktinę, o ne formalią analizę.

28.

Atsižvelgdama į tai, Europos duomenų apsaugos valdyba (EDAV) pasiūlė, kad duomenų valdytoju taip pat galima būti neatsižvelgiant į tai, ar pagal teisės aktus yra suteikta konkreti kompetencija ar įgaliojimai valdyti duomenis. Iš tikrųjų galimybė nustatyti duomenų tvarkymo tikslus ir priemones visų pirma priklauso nuo daromos įtakos, apie kurią galima spręsti iš faktinių aplinkybių. Taigi subjektas, kuris iš tikrųjų gali nustatyti duomenų tvarkymo tikslus ir priemones, bus laikomas „duomenų valdytoju“, neatsižvelgiant į tai, ar jis buvo oficialiai paskirtas duomenų valdytoju (pagal teisės aktus, sutartį ar kitu būdu) ( 12 ).

29.

Pateikęs šiuos paaiškinimus, norėčiau pažymėti, kad kelios aplinkybės, kurias prašymą priimti prejudicinį sprendimą pateikęs teismas nurodė pirmuosiuose trijuose klausimuose, yra visiškai formalaus pobūdžio, pavyzdžiui, tai, kad programėlė KARANTINAS teisiškai nepriklauso NVSC, kad šios mobiliosios programėlės įsigijimo procedūra niekada nebuvo užbaigta ar kad NVSC oficialiai neleido šios programėlės išleisti plačiajai visuomenei ir nepatvirtino naujausios šios programėlės versijos. Mano nuomone, nė viena iš šių aplinkybių savaime negali paneigti, kad pagrindinėje byloje NVSC veikė kaip „duomenų valdytojas“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą. Iš tikrųjų tokių aplinkybių nepakanka, kad būtų paneigta išvada, jog NVSC faktiškai galėjo nustatyti atlikto asmens duomenų tvarkymo tikslus ir priemones. Man taip pat atrodo, jog tai, kad NVSC buvo paminėtas kaip duomenų valdytojas programėlės KARANTINAS versijos, kuri buvo viešai prieinama parsisiųsti, konfidencialumo politikoje, ar tai, kad į šią mobiliosios programėlės versiją buvo įtrauktos nuorodos į NVSC, yra reikšminga, bet ne lemiama sprendžiant dėl šio subjekto faktiškai daromos įtakos.

30.

Vis dėlto prašymą priimti prejudicinį sprendimą pateikusio teismo turimų įrodymų, rodančių, kad NVSC sprendė, kokios rūšies asmens duomenis turėtų rinkti programėlė KARANTINAS, iš kurių duomenų subjektų ir (arba) kitus esminius duomenų tvarkymo aspektus, mano nuomone, pakanka nustatyti, kad būtent šis subjektas nustatė duomenų tvarkymo „priemones“. Be to, manau, kad to, jog programėlė KARANTINAS buvo sukurta NVSC nustatytam tikslui, t. y. reaguoti į COVID‑19 pandemiją, įgyvendinti ir kad ITSS reguliariai keitė jos veikimą, reaguodama į NVSC nustatytus poreikius pagal šio subjekto nurodymus, pakanka išvadai, kad šis subjektas nustatė šio duomenų tvarkymo „tikslus“.

31.

Atsižvelgiant į tai, man atrodo, kad siekdamas nustatyti, ar toks subjektas, kaip NVSC, gali būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat turi patikrinti, ar, nepaisant NVSC įtakos programėlės KARANTINAS kūrimo etapu, sprendimas padaryti šią mobiliąją programėlę viešai prieinamą, taigi ir tvarkyti asmens duomenis, iš tikrųjų buvo priimtas gavus (aiškų ar numanomą) šio subjekto sutikimą (neatsižvelgiant į tai, kad šis sutikimas nebuvo oficialiai duotas).

32.

Iš tikrųjų, kaip aiškiai matyti iš BDAR 4 straipsnio 7 punkte pateiktos sąvokos „duomenų valdytojas“ apibrėžties, duomenų valdytojo daroma įtaka turi būti susijusi su pačiu asmens duomenų tvarkymu, o ne vien su kokiu nors pradiniu etapu. Fizinis ar juridinis asmuo arba subjektas netampa „duomenų valdytoju“ vien dėl to, kad inicijuoja mobiliosios programėlės kūrimą arba nustato šios programėlės (arba kitos duomenų rinkimo priemonės) parametrus. Jo veiksmai iš tikrųjų turi būti susiję su asmens duomenų tvarkymu, todėl jis turi būti aiškiai ar numanomai sutikęs, kad atitinkama priemonė būtų naudojama tokiam tvarkymui atlikti.

33.

Teisingumo Teismas primygtinai pabrėžė tokį reikalavimą Sprendime Fashion ID ( 13 ), jame jis aiškiai nurodė, kad atsakomybė duomenų valdytojui tenka tik už tą asmens duomenų tvarkymo operaciją arba operacijas, kurių tikslus ir priemones jis iš tikrųjų nustatė ( 14 ). Vadinasi tikslų ir priemonių nustatymas turi būti tiesiogiai susijęs su atitinkamu veiksmu ar veiksmų kompleksu, apimančiu asmens duomenų tvarkymą.

34.

Mano nuomone, iš tokių išvadų matyti, kad toks subjektas, kaip NVSC, kuris inicijuoja mobiliosios programėlės kūrimą, gali būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, tik tuo atveju, kai yra pakankamai faktinių, o ne formalių duomenų, iš kurių nacionaliniai teismai gali daryti išvadą, kad toks subjektas darė faktinę įtaką tokio duomenų tvarkymo „tikslams ir priemonėms“ ir kad jis faktiškai sutiko, jog mobilioji programėlė būtų viešai paskelbta, taigi ir su tuo, kad būtų tvarkomi asmens duomenys. Tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas, tačiau manau, kad NVSC atitinka šiuos reikalavimus.

35.

Penktasis klausimas susijęs su sąlygomis, kurios turi būti įvykdytos, kad du (ar daugiau) subjektų būtų laikomi bendrais duomenų valdytojais. Suprantu, kad prašymą priimti prejudicinį sprendimą pateikęs teismas siekia patikslinti šios sąvokos aiškinimą, nes įtaria, kad pagrindinėje byloje nagrinėjamoje situacijoje NVSC ir ITSS galėtų būti laikomi „bendrais duomenų valdytojais“ ir todėl galėtų būti solidariai atsakingi už padarytą žalą ( 15 ) ir (arba) solidariai nubausti už duomenų apsaugos taisyklių pažeidimus, padarytus, kai programėlė KARANTINAS buvo padaryta viešai prieinama parsisiųsti. Šiuo klausimu norėčiau atkreipti dėmesį į tai, kad, kaip jau nurodžiau šios išvados 16 punkte, inspekcija ir minėtą subjektą, ir minėtą bendrovę pripažino atsakingais už pažeidimus, padarytus jų kaip bendrų duomenų valdytojų, ir pagal BDAR 83 straipsnį jiems skyrė baudas.

36.

Pagal BDAR 26 straipsnio 1 dalį „bendri duomenų valdytojai“ yra tada, kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones. Taigi kiekvienas bendras duomenų valdytojas turi savarankiškai atitikti to reglamento 4 straipsnio 7 punkte pateiktoje „duomenų valdytojo“ sąvokos apibrėžtyje išvardytus kriterijus ( 16 ). Be to, bendrus duomenų valdytojus turi sieti tam tikras tarpusavio ryšys, nes jų įtaka duomenų tvarkymui turi būti daroma kartu.

37.

Teisingumo Teismas yra nurodęs, kad bendro valdymo buvimas nebūtinai reiškia vienodą įvairių dalyvaujančių asmenų arba subjektų atsakomybę ar dalyvavimą. Priešingai, bendri duomenų valdytojai gali dalyvauti skirtinguose duomenų tvarkymo etapuose, todėl kiekvieno iš jų atsakomybės lygis turi būti vertinamas atsižvelgiant į visas kiekvienu atveju reikšmingas aplinkybes ( 17 ). Be to, kai keli subjektai atsakingi už tą patį duomenų tvarkymą, tai nereiškia, kad kiekvienas iš jų turi turėti galimybę susipažinti su atitinkamais asmens duomenimis ( 18 ). Vis dėlto svarbu, kad subjektai kartu dalyvautų nustatant duomenų tvarkymo „tikslus ir priemones“.

38.

Šiuo klausimu reikėtų pažymėti, kad, kaip nurodyta Gairėse Nr. 07/2020, subjektai gali dalyvauti kartu įvairiomis formomis. Taip gali būti dėl dviejų ar daugiau subjektų bendro sprendimo arba tiesiog dėl sutampančių šių subjektų sprendimų. Pastaruoju atveju svarbu tik tai, kad sprendimai papildytų vienas kitą ir kad jie būtų būtini duomenų tvarkymui taip, kad jie turėtų konkretų poveikį nustatant duomenų tvarkymo tikslus ir būdus, o tai iš esmės reiškia, kad duomenų tvarkymas nebūtų įmanomas be abiejų šalių dalyvavimo ( 19 ).

39.

Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas klausia, ar tai, kad du duomenų valdytojai (šiuo atveju – NVSC ir ITSS) nesudarė jokio formalaus susitarimo dėl duomenų tvarkymo tikslų ir priemonių ir (arba) neatrodo, jog jie būtų kitaip derinę savo veiksmus, neleidžia jų laikyti „bendrais duomenų valdytojais“.

40.

Suprantu, kad prašymą priimti prejudicinį sprendimą pateikusio teismo abejonės šiuo klausimu kyla dėl to, kad pagal BDAR 26 straipsnio 1 dalį bendri duomenų valdytojai turi skaidriai nustatyti savo atitinkamą atsakomybę už šiame reglamente nustatytų prievolių laikymąsi, susitardami tarpusavyje. Be to, BDAR 79 konstatuojamojoje dalyje nurodyta, kad reikia„aiškiai paskirstyti atsakomybę“, įskaitant atvejus, kai duomenų valdytojas kartu su kitais nustato duomenų tvarkymo tikslus ir priemones. Vis dėlto, mano nuomone, šios pareigos ir reikalavimai bendriems duomenų valdytojams taikomi tik tada, kai nustatoma, kad jie gali būti laikomi tokiais duomenų valdytojais. Jie nepriskiriami kriterijams, kuriuos reikia įvykdyti, kad juos būtų galima laikyti tokiais.

41.

Kaip jau nurodžiau šios išvados 36 punkte, bendras duomenų tvarkymas priklauso tik nuo dviejų objektyvių sąlygų įvykdymo. Pirma, kiekvienas bendras duomenų valdytojas turi atitikti kriterijus, išvardytus BDAR 4 straipsnio 7 punkte pateiktoje duomenų valdytojo sąvokos apibrėžtyje. Bylos medžiagoje nėra pakankamai informacijos, iš kurios būtų galima nustatyti, ar pagrindinėje byloje nagrinėjamoje situacijoje ITSS turi būti laikoma „duomenų valdytoja“, kaip tai suprantama pagal šią nuostatą. Vis dėlto man atrodo, kad, atsižvelgiant į pirmesnėje šios išvados dalyje padarytas išvadas ir su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, bent NVSC, jei ne NVSC ir ITSS kartu, atitinka sąlygas, kad būtų laikomas „duomenų valdytoju“, kaip tai suprantama pagal tą pačią nuostatą. Antra, duomenų valdytojų įtaka duomenų tvarkymui turi būti daroma kartu (tai reiškia, kad ji turi būti daroma laikantis teisinių kriterijų ir jurisprudencijos, kuriuos priminiau šios išvados 37 ir 38 punktuose). Šiuo klausimu paaiškinau, kad bendras dalyvavimas tvarkant duomenis gali vykti įvairiomis formomis ir netgi neturi būti bendro dalyvaujančių šalių sprendimo rezultatas. Taigi, mano nuomone, esminis ir funkcinis požiūris, kurio reikia laikytis siekiant nustatyti, ar asmuo arba subjektas turi būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, taip pat taikomas bendram duomenų valdymui ( 20 ).

42.

Atsižvelgdamas į šias aplinkybes, laikausi nuomonės, pirma, kad vien dviejų ar daugiau duomenų valdytojų, kaip antai NVSC ir ITSS, tarpusavio susitarimo ar bendro sprendimo nebuvimas negali savaime reikšti, kad jie nėra „bendri duomenų valdytojai“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, siejamą su jo 26 straipsnio 1 dalimi. Šiuo klausimu norėčiau pridurti, jog EDAV yra nurodžiusi, kad nors susitarimai galėtų būti naudingi vertinant bendrą duomenų valdymą, jie visada turėtų būti tikrinami atsižvelgiant į šalių tarpusavio santykių faktines aplinkybes ( 21 ).

43.

Antra, man atrodo, jog vien tai, kad NVSC ir ITSS, be to, kad jie nesusitarė tarpusavyje, nepriėmė jokio susitarimo ar bendro sprendimo, regis, nederino savo veiksmų ar kitaip nebendradarbiavo tarpusavyje, nereiškia, kad jų negalima laikyti „bendrais duomenų valdytojais“. Net jei tokio derinimo ar bendradarbiavimo esama, tai neturi reikšmės klausimui, ar šių dviejų subjektų tarpusavio santykiai yra bendro duomenų valdymo santykiai, ar ne. Galima nesunkiai įsivaizduoti, kad bendradarbiavimas ar derinimas gali vykti tarp dviejų ar daugiau subjektų, jiems visai nebūnant bendrais duomenų valdytojais. Pavyzdžiui, du atskiri duomenų valdytojai galėjo derinti savo veiksmus arba bendradarbiauti tarpusavyje ketindami perduoti asmens duomenis vienas kitam. Tačiau dėl to jie netaptų „bendrais duomenų valdytojais“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą ir 26 straipsnio 1 dalį ( 22 ). Kaip jau paaiškinau šios išvados 38 punkte, svarbu tai, kad duomenų tvarkymas nebūtų įmanomas nedalyvaujant abiem šalims, nes abi jos turi realią įtaką šio duomenų tvarkymo tikslų ir priemonių nustatymui.

44.

Atsižvelgdamas į tai, kas išdėstyta, manau, kad, pirma, toks subjektas, kaip NVSC, atitinka BDAR 4 straipsnio 7 punkte išvardytas sąlygas, kad būtų laikomas „duomenų valdytoju“, tačiau tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas. Antra, ar NVSC ir ITSS gali būti laikomi „bendrais duomenų valdytojais“ pagal pirmesniame skirsnyje mano nurodytus kriterijus, arba ar jie gali būti atitinkamai laikomi „duomenų valdytoju“ ir „duomenų tvarkytoju“, priklauso nuo jų santykių pobūdžio, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

45.

Šiuo klausimu norėčiau pridurti, kad NVSC ir ITSS santykių pobūdis (t. y. ar jie yra „bendri duomenų valdytojai“, ar atitinkamai „duomenų valdytojas“ ir „duomenų tvarkytojas“) yra svarbus šeštajam klausimui. Taigi nagrinėdamas šeštajame klausime iškeltas problemas sugrįšiu prie išvadų, kurias padariau dėl šeštojo klausimo.

46.

Ketvirtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 2 dalyje pateikta „duomenų tvarkymo“ sąvokos apibrėžtis apima atvejį, kai asmens duomenys naudojami mobiliosios programėlės testavimo etapu ( 23 ). Iš prašymo priimti prejudicinį sprendimą suprantu, kad programėlė KARANTINAS, prieš padarant ją viešai prieinamą atsisiųsti, buvo testuojama. Taigi, mano supratimu, ketvirtasis klausimas susijęs su situacija, kuri skiriasi nuo nagrinėjamosios kituose Teisingumo Teismui pateiktuose klausimuose, kurie visi susiję su asmens duomenų tvarkymu pasibaigus testavimo etapui, kai programėlė KARANTINAS buvo padaryta viešai prieinama. Konkrečiai prašymą priimti prejudicinį sprendimą pateikęs teismas nori sužinoti, ar asmens duomenų naudojimas šiuo testavimo etapu laikytinas „duomenų tvarkymu“, kaip tai suprantama pagal BDAR 4 straipsnio 2 dalį, ir ar dėl to gali kilti atsakomybė dalyvaujantiems duomenų valdytojams ir (arba) duomenų tvarkytojams.

47.

BDAR 4 straipsnio 2 punkte „duomenų tvarkymas“ apibrėžiamas kaip „bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka <…>“ ( 24 ).

48.

Iš šios formuluotės (visų pirma vartojamų žodžių „bet kokia“ ir bendrinių terminų, kaip antai žodžio „operacija“ arba „operacijų seka“) suprantu, kad ši nuostata turi būti aiškinama plačiai, kad apimtų kuo daugiau atvejų, kai yra naudojami asmens duomenys. Šioje nuostatoje numatytas nebaigtinis tokių situacijų sąrašas, atsižvelgiant į joje nurodytų operacijų įvairovę, patvirtina tokį aiškinimą ( 25 ).

49.

Be to, nors iš pirmesnės šios išvados dalies matyti, kad duomenų valdytojo sąvoka, kaip ji suprantama pagal minėto reglamento 4 straipsnio 7 punktą, glaudžiai susijusi su asmens duomenų tvarkymo tikslais (priežastimis, „dėl kurių“ renkami asmens duomenys), tačiau taip nėra kalbant apie šio reglamento 4 straipsnio 2 punkte pateiktą sąvoką. Taigi priežastys, dėl kurių atliekama operacija ar operacijų seka, iš esmės nėra svarbios sprendžiant klausimą, ar jos turi būti laikomos „duomenų tvarkymu“, kaip tai suprantama pagal šią nuostatą. Mano nuomone, tai reiškia, kad tai, ar asmens duomenys renkami siekiant išbandyti mobiliojoje programėlėje įdiegtas IT sistemas, ar kitu tikslu, neturi jokios įtakos klausimui, ar aptariama operacija laikytina „duomenų tvarkymu“.

50.

Šiuo klausimu taip pat norėčiau pažymėti, kad asmens duomenų „naudojimas“ (be jokios kitos nuorodos, taigi neatsižvelgiant į naudojimo tikslą) yra viena iš operacijų ar operacijų sekų, laikomų „duomenų tvarkymu“ ( 26 ). Be to, BDAR 4 straipsnio 2 dalyje nenumatyta jokios aiškios išimties, nukrypti leidžiančios nuostatos ar netaikymo operacijoms, susijusioms su asmens duomenų naudojimu testuojant IT sistemas. Vadinasi, niekas nedraudžia asmens duomenų naudojimo siekiant atlikti tokį testavimą laikyti „duomenų tvarkymu“, kaip tai suprantama pagal šią nuostatą, – yra netgi priešingai.

51.

Atsižvelgdamas į šias aplinkybes manau, kad BDAR 4 straipsnio 2 punkte pateikta sąvokos „duomenų tvarkymas“ apibrėžtis apima atvejį, kai asmens duomenys naudojami mobiliosios programėlės testavimo etapu.

52.

Mano išvadai šiuo klausimu neturi įtakos vien ta aplinkybė, kad asmens duomenys, pateikti siekiant išbandyti mobiliojoje programėlėje įdiegtas IT sistemas, galėjo būti pseudonimizuoti ( 27 ). Vienintelis atvejis, kai BDAR nebūtų taikomas, būtų, jei į mobiliąją programėlę perduodama informacija būtų nuasmeninta ir „[nebūtų] susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta“, arba šią informaciją sudarytų asmens duomenis, „kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta“. Vis dėlto norėčiau atkreipti dėmesį į tai, kad pagrindinėje byloje, remiantis byloje pateikta informacija, atrodo, jog testavimo etapu naudoti duomenys nebuvo sudaryti iš tokių nuasmenintų duomenų ( 28 ).

53.

Atsižvelgdamas į tai, kas išdėstyta, manau, kad BDAR 4 straipsnio 2 punkte pateikta sąvokos „duomenų tvarkymas“ apibrėžtis apima atvejį, kai asmens duomenys naudojami mobiliosios programėlės testavimo etapu, nebentkai šių duomenų anonimiškumas yra toks, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Tai, ar asmens duomenys renkami siekiant išbandyti mobiliojoje programėlėje įdiegtas IT sistemas, ar kitokiu tikslu, savo ruožtu neturi jokios įtakos klausimui, ar nagrinėjama operacija laikytina „duomenų tvarkymu“ ( 29 ).

54.

Pateikęs šiuos paaiškinimus, dabar pereisiu prie esminio šios bylos klausimo, susijusio su sąlygomis, kuriomis duomenų valdytojui arba duomenų tvarkytojui gali būti skiriama administracinė bauda pagal BDAR 83 straipsnį.

55.

Prieš priimant BDAR, sankcijos už duomenų apsaugos taisyklių pažeidimus iš esmės buvo paliktos valstybių narių nuožiūrai, remiantis jų procesine ir teisių gynimo priemonių autonomija ( 30 ). Taigi BDAR 83 straipsnyje numatytos administracinės baudos yra palyginti naujas „pokytis“ Sąjungos teisėje duomenų apsaugos srityje. 29 straipsnio darbo grupė jas apibūdino kaip „pagrindinį naujos vykdymo užtikrinimo tvarkos elementą“ ( 31 ). Nors Teisingumo Teismas dar nėra išaiškinęs šios nuostatos, priežiūros institucijos ją jau taikė, kartais skirdamos dideles baudas duomenų valdytojams arba duomenų tvarkytojams ( 32 ).

56.

BDAR 83 straipsnyje numatyta dviejų pakopų sankcijų sistema, nelygu konkreti pažeistos nuostatos rūšis. Pirmosios pakopos sistema, apibrėžta to reglamento 83 straipsnio 4 dalyje, taikoma tais atvejais, kai duomenų valdytojas arba duomenų tvarkytojas pažeidžia jam taikomas bendrąsias pareigas ir tam tikras specialiąsias pareigas, o antrosios pakopos sistema, apibūdinta BDAR 83 straipsnio 5 dalyje, skirta sunkesniems pažeidimams, pavyzdžiui, pagrindinių duomenų tvarkymo principų, duomenų subjektų teisių ir taisyklių, susijusių su asmens duomenų perdavimu duomenų gavėjui trečiojoje šalyje arba tarptautinei organizacijai, pažeidimams.

57.

Abiejų pakopų atveju kompetentingos nacionalinės institucijos, nustačiusios, kad buvo pažeista konkreti BDAR nuostata, turi atlikti du vertinimus. Pirma, jos turi nustatyti, ar reikėtų skirti baudą, ir, antra, tai nustačiusios, jos turi nustatyti tokios baudos dydį. Šie vertinimai turi būti atliekami kiekvienu konkrečiu atveju, atsižvelgiant į įvairius veiksnius, išvardytus BDAR 83 straipsnio 2 dalyje. Tarp šių veiksnių yra tai, „ar pažeidimas padarytas tyčia, ar dėl aplaidumo“ (BDAR 83 straipsnio 2 dalies b punktas).

58.

Šeštuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar administracinė bauda gali būti skirta duomenų valdytojui, jei šis, pažeisdamas duomenų apsaugos taisykles, veikė ne tyčia ar dėl aplaidumo ir jei neteisėtą asmens duomenų tvarkymą atliko ne pats duomenų valdytojas, o duomenų tvarkytojas. Grįžtant prie išvadų, kurias pateikiau dėl penktojo klausimo, man atrodo, kad šeštasis klausimas pateiktas tuo atveju, jeigu pagrindinėje byloje NVSC ir ITSS negalėtų būti laikomi „bendrais duomenų valdytojais“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, siejamą su šio reglamento 26 straipsnio 1 dalimi, ir turėtų būti atitinkamai laikomi „duomenų valdytoju“ ir „duomenų tvarkytoju“. Šiame konkrečiame kontekste prašymą priimti prejudicinį sprendimą pateikęs teismas norėtų, kad būtų patikslintos aplinkybės, kuriomis NVSC gali būti skiriama bauda pagal BDAR 83 straipsnį.

59.

Atsižvelgdamas į tai, atkreipiu dėmesį, kad šeštajame klausime kaip bylai reikšminga nuostata minima tik BDAR 83 straipsnio 1 dalis. Vis dėlto, mano nuomone, dėl šiuo klausimu keliamų problemų reikia nagrinėti visą šio reglamento 83 straipsnį ir ypač, kaip paaiškinau šios išvados 57 punkte, atsižvelgti į jo 83 straipsnio 2 dalies b punktą, nes šioje nuostatoje nurodoma: „ar pažeidimas padarytas tyčia, ar dėl aplaidumo“. Taigi darysiu prielaidą, kad šeštuoju klausimu prašoma išaiškinti visą BDAR 83 straipsnį, o ne tik jo 1 dalį.

60.

Mano nuomone, šį klausimą sudaro dvi dalys. Pirma, juo Teisingumo Teismo prašoma nustatyti, ar pagal BDAR 83 straipsnį apskritai leidžiama skirti administracines baudas duomenų valdytojams arba duomenų tvarkytojams, jeigu nėra mens rea (subjektyvusis požymis – kaltė). Iš esmės prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar NVSC galėtų būti skirta bauda vien dėl to, kad jis pažeidė jam, kaip duomenų valdytojui, nustatytas pareigas (objektyvioji („griežtoji“) atsakomybė), ar vis dėlto reikalaujama kaltės darant atitinkamą (‑us) pažeidimą (‑us). Antra, jis prašo paaiškinti, ar tai, kad neteisėtą asmens duomenų tvarkymą atliko ne pats duomenų valdytojas, o duomenų tvarkytojas, turi kokios nors įtakos priežiūros institucijų galimybei skirti baudą duomenų valdytojui.

61.

Kiekvieną iš šių dviejų aspektų nagrinėsiu iš eilės.

62.

BDAR 83 straipsnyje reikalaujama, kad visos administracinės baudos už duomenų apsaugos taisyklių pažeidimą būtų „veiksmingos, proporcingos ir atgrasomos“. Tai aiškiai nurodyta šios nuostatos 1 dalyje. Vis dėlto joje nenurodyta, ar tokia bauda gali būti skirta tik tuo atveju, jei yra įrodyta ir kaltė, t. y. ar „kaltė“ yra būtina norint skirti bet kokią administracinę nuobaudą.

63.

Kita vertus, tos pačios nuostatos 2 dalies b punkte kaip vienas iš veiksnių ( 33 ), į kuriuos priežiūros institucijos turi „deramai“ atsižvelgti kiekvienu konkrečiu atveju, nurodyta „tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo“. Pagal šio reglamento 83 straipsnio 2 dalies k punktą šie veiksniai turi būti suprantami kaip „sunkinantys ar švelninantys“ ir jų sąrašas nėra išsamus.

64.

Šiomis aplinkybėmis manau, kad BDAR 83 straipsnį galima suprasti dviem būdais.

65.

Viena vertus, būtų galima manyti, kad nors sprendimas skirti baudą ir jos dydis turi būti nustatomi tinkamai atsižvelgiant į atitinkamą kaltės laipsnį (t. y., pavyzdžiui, didesnė bauda iš esmės turėtų būti skiriama, jei pažeidimas padarytas tyčia, ir, atvirkščiai, esant aplaidžiam elgesiui turėtų būti skirta mažesnė bauda), niekas nedraudžia skirti baudos ir nesant jokios kaltės, jeigu duomenų tvarkytojas arba duomenų valdytojas gali būti laikomas atsakingu už pažeidimą. Tokį aiškinimą patvirtina BDAR 83 straipsnio 2 dalies b ir k punktų analizė, pagal kurią įvairių kaltės rūšių (tyčios ar aplaidumo) nurodymas kaip „sunkinančių arba švelninančių veiksnių“ galėtų reikšti, kad kaltė apskritai nėra būtina baudos skyrimo sąlyga.

66.

Kita vertus, taip pat būtų galima teigti, kaip Komisija daro šioje byloje, kad prieš skiriant baudą kaip būtiniausią reikalavimą būtina nustatyti pažeidimą padariusio asmens ar subjekto aplaidumą. Tokį požiūrį patvirtintų kitoks, atsargesnis, BDAR 83 straipsnio 2 dalies b ir k punktų aiškinimas, t. y. kad šiose nuostatose reikalaujama, jog priežiūros institucijos atskirtų lengvinančią (aplaidumas) ir sunkinančią (tyčia) aplinkybę, tačiau nenurodoma, kad bauda galėtų būti skiriama visiškai nesant kaltės.

67.

Komisija aiškiai pasirinko tokį aiškinimą savo pradiniame pasiūlyme, kuriuo remiantis buvo priimtas BDAR ( 34 ) ir kuriame ji siūlė baudų sistemą organizuoti kaip trijų pakopų sistemą. Komisija siūlė, kad pagal kiekvieną pakopą baudos galėtų būti skiriamos tik „bet kuriam subjektui, kuris tyčia ar dėl [aplaidumo]“ ( 35 ) padarė vieną ar daugiau įtariamų pažeidimų. Taigi Komisija aiškiai numatė, kad kaltė yra būtina tokios baudos skyrimo sąlyga ( 36 ).

68.

Nors, mano manymu, abu požiūriai gali būti ginami remiantis BDAR 83 straipsnio 2 dalies teksto aiškinimu, nes kiekvienas iš jų atitinka „tyčinio ar aplaidaus pažeidimo pobūdžio“ kaip „sunkinančios“ ar „lengvinančios“ aplinkybės supratimą, manau, kad tik antrasis požiūris tinkamai atspindi Sąjungos teisės aktų leidėjo ketinimus. Tokią išvadą darau dėl kelių priežasčių.

69.

Pirma, pažymiu, kad keli iš BDAR 83 straipsnio 2 dalyje išvardytų veiksnių suformuluoti taip, kad iš šios formuluotės galima daryti išvadą, jog tokie veiksniai gali būti taikomi ne visais, o tik tam tikrais atvejais. Visų pirma 83 straipsnio 2 dalies c, e ir k punktai pradedami žodžiais „bet kuris“ („bet kuriuos veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą <…>“; „bet kuriuos <…> svarbius ankstesnius pažeidimus <…>“; „[bet kuriuos] kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis <…>“), o tai leidžia manyti, kad, nors priežiūros institucijos visada turi atsižvelgti į tai, ar yra žalos mažinimo veiksmų, ankstesnių pažeidimų arba kitų svarbių sunkinančių ar lengvinančių aplinkybių, jei tokių yra arba jie buvo įrodyti, iš tikrųjų gali būti situacijų, kai tokių aplinkybių tiesiog nėra, tačiau kompetentinga duomenų apsaugos institucija vis vien gali nuspręsti skirti baudą (arba, atvirkščiai, neskirti baudos). Dar norėčiau pažymėti, kad BDAR 83 straipsnio 2 dalies i punktas taip pat suformuluotas nesistemingai, nes pagal jį reikalaujama išnagrinėti, ar duomenų valdytojas arba duomenų tvarkytojas laikėsi minėto reglamento 58 straipsnio 2 dalyje nurodytų priemonių, tačiau tik tada, „jei atitinkamam duomenų valdytojui arba duomenų tvarkytojui dėl to paties dalyko anksčiau buvo taikytos [tokios] <…> priemonės“.

70.

Vis dėlto BDAR 83 straipsnio 2 dalies b punkte tiesiog nurodyta: „tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo“ ( 37 ). Taigi man atrodo, kad tai yra vienas iš veiksnių, kurie turi būti visais atvejais ir, vaizdžiai tariant, kurio langelis turi būti „pažymėtas“ bet kuriuo atveju prieš skiriant baudą, kaip ir „pažeidimo pobūdis, sunkumas ir trukmė“ (83 straipsnio 2 dalies a punktas), „asmens duomenų, kuriems pažeidimas turi poveikį, kategorijos“ (83 straipsnio 2 dalies g punktas) ir „tai, kokiu būdu <…> [sužinota] apie pažeidimą“ (83 straipsnio 2 dalies h punktas). Mano nuomone, tie kiti veiksniai turi „būti“ visais atvejais: pavyzdžiui, „pažeidimo pobūdis, sunkumas ir trukmė“ kiekvienu konkrečiu atveju gali smarkiai skirtis (ir atitinkamai gali būti laikoma priežastimi, „pateisinančia“ baudos skyrimą arba „nepateisinančia“ baudos skyrimo). Vis dėlto visais atvejais reikės atsižvelgti į pažeidimo konkretų pobūdį, tam tikrą sunkumą ir tam tikrą trukmę. Mano nuomone, tai yra pirmasis požymis, jog BDAR 83 straipsnyje nustatytos administracinės baudos, kad jos būtų skiriamos tik tais atvejais, kai įtariamas pažeidimas padarytas tyčia arba dėl aplaidumo ( 38 ).

71.

Antra, norėčiau pažymėti, kad nors BDAR 83 straipsnio 2 dalyje aiškiai nenurodyta, kad pažeidimas turi būti padarytas „tyčia ar dėl aplaidumo“, to paties negalima pasakyti apie šios nuostatos 3 dalį, kurioje nustatyta bendra taisyklė, pagal kurią administracinės baudos negali būti subendrinamos. Šiame punkte minima tik situacija, kai atitinkamas (‑i) pažeidimas (‑ai) buvo padarytas (‑i) „tyčia, ar dėl aplaidumo“.

72.

Mano nuomone, darytina logiška išvada, kad BDAR 83 straipsnio 2 dalis turi būti aiškinama taip: bauda gali būti skirta tik tuo atveju, jei įtariamas pažeidimas padarytas tyčia arba dėl aplaidumo. Jeigu BDAR 83 straipsnio 2 ir 3 dalių taikymo sritis būtų kitokia, būtų galima skirti subendrintas baudas už ne tokius sunkius pažeidimus (t. y. padarytus be jokios kaltės), nes nors bauda už juos vis vien galėtų būti skiriama pagal pirmąją nuostatą (83 straipsnio 2 dalį), antroji iš šių dviejų nuostatų (83 straipsnio 3 dalis) jų neapimtų, Vis dėlto to paties nebūtų įmanoma padaryti kalbant apie pažeidimus, padarytus dėl aplaidumo ar tyčia, nes visiems šiems pažeidimams taikoma šio reglamento 83 straipsnio 3 dalyje numatyta bendrinimo draudimo taisyklė. Toks rezultatas akivaizdžiai prieštarautų pagrindiniam BDAR įtvirtintos sankcijų sistemos principui, pagal kurį už sunkius pažeidimus iš esmės turėtų būti baudžiama griežčiau nei už mažiau sunkius, o ne atvirkščiai.

73.

Trečia, norėčiau atkreipti dėmesį, kad taikant BDAR 83 straipsnyje numatytas baudas gali būti baudžiama griežtai. Dėl pirmosios pakopos, reglamentuojamos BDAR 83 straipsnio 4 dalyje, gali būti skiriamos baudos iki 10000000 EUR, o įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Pagal antrąją pakopą numatytos baudos gali siekti iki 20000000 EUR, o įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos (taip pat atsižvelgiant į tai, kuri suma yra didesnė).

74.

Atsižvelgiant į tai, man atrodytų, kad pagal BDAR 83 straipsnį skiriamomis baudomis siekiama baudžiamojo poveikio, bent tam tikrais atvejais ( 39 ), ir jos yra tokios griežtos, kad jas galima laikyti baudžiamojo pobūdžio ( 40 ), todėl jos patektų į Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 49 straipsnio taikymo sritį ( 41 ).

75.

Atsižvelgiant į šias aplinkybes ir ypač į pagal BDAR 83 straipsnį skiriamų baudų baudžiamąjį pobūdį, gali kilti pagunda teigti, kad šios nuostatos 1 dalyje nustatytu reikalavimu, kad baudos visais atvejais turi būti ne tik „veiksmingos“ ir „atgrasomos“, bet ir „proporcingos“, būtų nesuderinama leisti skirti tokias baudas nesant kaltės. Kitaip tariant, būtų neproporcinga skirti baudas tais atvejais, kai nenustatytas net aplaidumas. Vis dėlto, mano nuomone, šiuo argumentu sunku remtis, nes Teisingumo Teismas jau yra konstatavęs, kad bausmių ar sankcijų sistema, grindžiama griežta atsakomybe, net jei ji baudžiamojo pobūdžio, pati savaime nėra neproporcinga siekiamiems tikslams, jei ši sistema skatina atitinkamus asmenis laikytis reglamento nuostatų ir jei siekiama bendrojo intereso tikslų, kuriais galima pateisinti tokios sistemos nustatymą ( 42 ). Be to, Europos Žmogaus Teisių Teismas (EŽTT) dėl Europos žmogaus teisių konvencijos (EŽTK) 7 straipsnio (kuris atitinka Chartijos 49 straipsnį) ( 43 ) yra nusprendęs, kad nors baudžiant pagal šią nuostatą paprastai reikalaujama, kad būtų subjektyvusis ryšys, kuriuo remiantis, vertinant fiziškai pažeidimą padariusio asmens elgesį, galima nustatyti atsakomybės elementą, šis reikalavimas nereiškia, kad negali būti tam tikrų objektyviosios atsakomybės formų ( 44 ).

76.

Atsižvelgdamas į tai, iš minėtos jurisprudencijos suprantu, jog tam, kad kiltų baudžiamoji atsakomybė, paprastai reikalaujama mens rea, ir todėl „griežtoji“ atsakomybė yra tarsi šios bendrosios taisyklės „išimtis“, tad ji turi būti pateisinama atsižvelgiant į reglamentu siekiamus tikslus.

77.

Atsižvelgiant į visą BDAR, man atrodo, kad Sąjungos teisės aktų leidėjas administracines baudas numatė tik kaip vieną iš šiame teisės akte numatytų priemonių veiksmingam jo laikymuisi užtikrinti. Baudos turi būti skiriamos „kartu“ su kitomis priemonėmis, nurodytomis šio reglamento 58 straipsnio 2 dalyje, pagal kurią priežiūros institucijoms suteikiami įvairūs įgaliojimai imtis taisomųjų veiksmų (pavyzdžiui, įgaliojimai skirti įspėjimus, papeikimus ar įsakymus), arba „vietoj jų“ ( 45 ). Be to, tais atvejais, kai pagal BDAR 83 straipsnį administracinė bauda neskiriama, priežiūros institucijos turi galimybę skirti kitas sankcijas pagal šio reglamento 84 straipsnį ( 46 ).

78.

Mano nuomone, iš minėtų nuostatų aiškiai matyti, kad priimdamas šį reglamentą Sąjungos teisės aktų leidėjas nesiekė, kad už kiekvieną duomenų apsaugos taisyklių pažeidimą būtų baudžiama administracine bauda. Veikiau jis siekė numatyti lanksčią ir diferencijuotą nuobaudų ir sankcijų sistemą. Tai patvirtina BDAR 148 konstatuojamoji dalis, kurioje numatyta, kad priežiūros institucijos gali neskirti administracinės baudos, tačiau skirti papeikimą „nedidelio pažeidimo atveju arba jeigu bauda, kuri gali būti skirta, sudarytų neproporcingą naštą fiziniam asmeniui“. Šiomis aplinkybėmis manau, kad BDAR 83 straipsnio taikymas tik tais atvejais, kai nustatomas bent aplaidumas, yra suderinamas su šiais tikslais ir bendra šių skirtingų nuostatų logika, pagal kurią administracinės baudos turi būti skiriamos tik už tam tikrus pažeidimus.

79.

Man taip pat atrodo, kad kai Sąjungos teisės aktų leidėjas išreiškė norą BDAR numatyti objektyviąją („griežtąją“) arba preziumuojamą atsakomybę, jis tai padarė vartodamas konkrečias formuluotes, kurių nėra jo 83 straipsnyje. Pavyzdžiui, dėl civilinės atsakomybės (t. y. duomenų valdytojų ir duomenų tvarkytojų atsakomybės duomenų subjektams), kuriai taikomas BDAR 82 straipsnis, Sąjungos teisės aktų leidėjas nurodė, kad duomenų valdytojams ir duomenų tvarkytojams tenka griežta pareiga atlyginti duomenų subjektams padarytą žalą, nebent jie įrodo, kad nėra niekaip atsakingi už žalą sukėlusius veiksmus ( 47 ). „Kaltė“ kaip elementas nevaidina jokio vaidmens taikant šią nuostatą. Priešingai, šio reglamento 83 straipsnyje nėra formuluotės, panašios į BDAR 84 straipsnį. Mano nuomone, tai patvirtina, kad Sąjungos teisės aktų leidėjas neketino nustatyti objektyviąja („griežtąja“) atsakomybe grindžiamos baudų sistemos.

80.

Ketvirta, ir galbūt svarbiausia, manau, kad praktiškai BDAR pažeidimo dėl aplaidumo, kaip tai suprantama pagal šio reglamento 83 straipsnio 2 dalies b punktą, kartelė bet kuriuo atveju yra tokia žema, kad sunku numatyti atvejus, kai baudos nebūtų galima skirti vien dėl to, kad nėra tyčios ar aplaidumo. Taigi manau, jog vien tai, kad norint skirti baudą pagal šio reglamento 83 straipsnį turi būti nustatyta tyčia ar aplaidumas, nekelia pavojaus Sąjungos teisės aktų leidėjo tikslui užtikrinti veiksmingą jame nustatytų duomenų apsaugos taisyklių vykdymo užtikrinimą, anaiptol.

81.

Šiuo klausimu kai kas teigia, kad vien nesiėmimas jokių veiksmų tuo atveju, kai duomenų valdytojas arba duomenų tvarkytojas tiesiog abejoja dėl atlikto duomenų tvarkymo teisėtumo, jau reiškia sąmoningą pritarimą galimam BDAR pažeidimui, vadinasi, didelį aplaidumą ( 48 ). Be to, 29 straipsnio darbo grupė yra nurodžiusi, kad dėl aplaidumo padarytas pažeidimas daugeliu aspektų prilygsta „netyčiniam“ pažeidimui, nes, jos nuomone, toks pažeidimas gali būti konstatuotas, kai nebuvo ketinimo padaryti pažeidimą, o duomenų valdytojas arba tvarkytojas tik pažeidė savo pareigą elgtis rūpestingai ( 49 ). Visų pirma ji nurodė, kad net vien paprasta „žmogaus klaida“ ( 50 ) gali būti aplaidumo požymis.

82.

Man ateina į galvą dvi išvados. Pirma, riba tarp visiškai netyčinio pažeidimo be kaltės ir aplaidaus pažeidimo iš tikrųjų yra labai plona. Manau, kad priežiūros institucijoms retai kils sunkumų nustatyti pakankamus požymius, patvirtinančius, kad įtariamas pažeidimas padarytas bent dėl aplaidumo. Šiuo klausimu norėčiau pažymėti, jog doktrinoje teigiama, kad, „atsižvelgiant į daugybę informuotumo didinimo veiksmų <…> skirtų užtikrinti atitiktį BDAR, sunku įsivaizduoti <…> BDAR pažeidimus, kurie nebūtų bent jau aplaidūs“ ( 51 ). Visiškai pritariu tam ir primenu, kad BDAR konkrečiai siekiama užtikrinti, kad duomenų valdytojai ir duomenų tvarkytojai žinotų duomenų apsaugos taisykles, todėl, mano nuomone, dar sunkiau manyti, kad pažeidimas galėjo būti padarytas be jokios kaltės (net nesant aplaidumo) ( 52 ).

83.

Antra, toks rezultatas atrodo visiškai suderinamas su pagrindiniu BDAR tikslu užtikrinti nuoseklią aukšto lygio fizinių asmenų apsaugą Europos Sąjungoje ( 53 ). Iš tiesų baudos turi atgrasomąjį poveikį ( 54 ). Skatindamos duomenų valdytojus ir duomenų tvarkytojus laikytis BDAR, jos apskritai prisideda prie didesnės duomenų subjektų apsaugos, todėl yra pagrindinis aspektas užtikrinant, kad būtų paisoma jų teisių ( 55 ). Mano nuomone, darytina išvada, kad nors be „kaltės“ negalima apsieiti, tai nereiškia, jog tam, kad būtų taikomas šio reglamento 83 straipsnis, reikalaujamas kaltės laipsnis turi būti pakankamai mažas, siekiant užtikrinti tinkamą duomenų subjektų apsaugos lygį.

84.

Be to, norėčiau pabrėžti, jog toks požiūris, kurio siūlau laikytis Teisingumo Teismui, taip pat patvirtintų, kad minėtoje nuostatoje nustatyta baudų sistema atitinka Reglamento (EB) Nr. 1/2003 ( 56 ) 23 straipsnio 1 dalyje numatytą baudų už konkurencijos teisės pažeidimus sistemą, kuri taip pat taikoma tik tuo atveju, jei nustatoma tyčia ar aplaidumas. Tai, kad formuluojant BDAR 83 straipsnį remtasi kita baudų sistema, patvirtina BDAR 150 konstatuojamoji dalis, kurioje nurodyta, kad „jei administracinės baudos skiriamos įmonei, tais tikslais įmonė turėtų būti suprantama kaip įmonė, apibrėžta SESV 101 ir 102 straipsniuose“, ir kiti šių dviejų baudų sistemų panašumai, pavyzdžiui, tai, kad baudų dydis įmonėms pagal abi sistemas gali būti grindžiamas jų apyvarta. Taip pat atkreiptinas dėmesys į tai, kad keli iš BDAR 83 straipsnio 2 dalyje išvardytų veiksnių sutampa su veiksniais, kurie yra svarbūs nustatant baudos už konkurencijos teisės pažeidimus dydį ( 57 ).

85.

Išdėsčius priežastis, dėl kurių, mano manymu, prieš skiriant baudą duomenų valdytojui arba duomenų tvarkytojui pagal BDAR 83 straipsnio 2 dalį turi būti nustatyta kaltė, belieka tarti keletą žodžių apie Tarybos ir Lietuvos vyriausybės argumentus. Šių šalių teigimu, būtent valstybės narės sprendžia, ar prieš skiriant administracinę baudą turi būti nustatyta kaltė, ar ne.

86.

Tiesiog nepritariu šiam teiginiui.

87.

Man atrodo akivaizdu, kad vienas iš pagrindinių BDAR, visų pirma jo 83 straipsnio, tikslų buvo pasiekti didesnį suderinimo lygį visoje Sąjungoje, visų pirma kiek tai susiję su baudų skyrimu ( 58 ). Šiuo klausimu manau, kad, priešingai, nei teigia Taryba ir Lietuvos vyriausybė, Sąjungos teisės aktų leidėjas nenorėjo, kad valstybės narės turėtų diskreciją spręsti, ar kaltė būtina, ar ne.

88.

Papildomi reikalavimai, susiję su procedūra, kurios turi laikytis priežiūros institucijos, skirdamos baudą, tikrai gali būti numatyti nacionalinės teisės aktuose (pavyzdžiui, susiję su pranešimu apie baudą, pastabų pateikimo, apskundimo, vykdymo užtikrinimo ir mokėjimo terminais) ( 59 ). Tai aiškiai matyti iš BDAR 83 straipsnio 8 dalies, kurioje nurodyta, kad priežiūros institucijos įgaliojimais skirti baudas naudojasi laikydamosi „atitinkam[ų] procedūrin[ių] garantij[ų]“, kurios turi būti numatytos nacionalinėje teisėje, jei tik užtikrinamas Sąjungos teisės laikymasis (visų pirma teisės į veiksmingą teisminę gynybą ir teisės į tinkamą procesą).

89.

Vis dėlto ši diskrecija negali apimti esminių reikalavimų, taikomų skiriant baudą, pavyzdžiui, kaltės laipsnio. Mano nuomone, ši išvada tiesiogiai išplaukia iš kelių šio reglamento konstatuojamųjų dalių ( 60 ), iš kurių matyti, kad BDAR 83 straipsnyje nustatytą administracinių baudų sistemą Sąjungos teisės aktų leidėjas sukūrė tam, kad Sąjungos teritorijoje būtų pasiekti nuoseklūs rezultatai.

90.

Dėl išsamumo norėčiau pridurti, jog, atsižvelgiant į tai, kad baudos daro didelį poveikį įmonių tarpusavio konkurencijai ir turi reikšmingą poveikį rinkai, mano nuomone, labai svarbu, kad BDAR 83 straipsnis būtų taikomas nuosekliai, antraip jis iš tikrųjų gali prisidėti prie įmonių tarpusavio konkurencijos iškraipymo ( 61 ).

91.

Antrąja šeštojo klausimo dalimi prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar duomenų valdytojui gali būti skiriama bauda pagal BDAR 83 straipsnį, kai asmens duomenis neteisėtai tvarkė ne pats duomenų valdytojas, o duomenų tvarkytojas (nagrinėjamu atveju – ITSS).

92.

Mano nuomone, į šį klausimą reikia atsakyti teigiamai.

93.

Šiuo klausimu norėčiau priminti, kad, kaip nurodžiau šios išvados 27 punkte, duomenų valdytojui nebūtina pačiam tvarkyti jokių asmens duomenų, jei jis nustato atitinkamų duomenų tvarkymo operacijų „kodėl ir kaip“. Be to, pažymėtina, kad BDAR 4 straipsnio 8 punkte „duomenų tvarkytojas“ apibrėžiamas kaip „fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis“ ( 62 ).

94.

Manau, šios apibrėžtys patvirtina, kad taikant BDAR duomenų valdytojas gali būti laikomas atsakingu, taigi ir nubaustas, pagal šio reglamento 83 straipsnį tuo atveju, kai asmens duomenys tvarkomi neteisėtai ir kai neteisėtą duomenų tvarkymą atlieka ne pats duomenų valdytojas, o duomenų tvarkytojas. Tokia galimybė išlieka tol, kol duomenų tvarkytojas tvarko asmens duomenis duomenų valdytojo vardu.

95.

Taip bus tol, kol duomenų tvarkytojas veiks pagal duomenų valdytojo jam suteiktus įgaliojimus ir tvarkys duomenis laikydamasis iš duomenų valdytojo gautų teisėtų nurodymų ( 63 ). Vis dėlto, jeigu duomenų tvarkytojas viršytų šiuos įgaliojimus ir kaip duomenų tvarkytojas gautus duomenis naudotų savo tikslais ir jeigu aišku, kad šalys nėra „bendri duomenų valdytojai“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą ir 21 straipsnio 6 dalį, duomenų valdytojui, mano nuomone, negalėtų būti skirta bauda pagal šio reglamento 83 straipsnį už neteisėtą duomenų tvarkymą ( 64 ).

96.

Darytina išvada, kad tokiu atveju, koks nagrinėjamas pagrindinėje byloje, pagal BDAR 83 straipsnį bauda gali būti skirta NVSC, net jei asmens duomenis neteisėtai tvarkė tik ITSS, o NVSC nedalyvavo tvarkant šiuos duomenis. Ši galimybė yra tol, kol gali būti pripažįstama, kad ši bendrovė tvarkė asmens duomenis NVSC vardu, o taip nebūtų, jei ITSS veiktų nesilaikydama NVSC teisėtų nurodymų arba juos pažeisdama ir naudotų asmens duomenis savo tikslais ir jei aišku, kad NVSC ir ITSS neveikė kaip bendri duomenų valdytojai.

97.

Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui taip atsakyti į Vilniaus apygardos administracinio teismo (Lietuva) pateiktus prejudicinius klausimus: