1.

Kādi ir nosacījumi, pamatojoties uz kuriem pasaulē, kurā personas dati ir kļuvuši par tirgošanās līdzekli, kas kļuvis par jaunu peļņas avotu uzņēmumiem, pārziņiem un apstrādātājiem varētu piemērot administratīvos naudas sodus par Regulā (ES) 2016/679 ( 2 ) ietverto datu aizsardzības noteikumu pārkāpumu? Konkrētāk, vai ir nepieciešams konstatēt “vainas” elementu, lai tiem varētu piemērot šādus naudas sodus? Tādi ir galvenie jautājumi, ko šajā lietā ir izvirzījusi Vilniaus apygardos administracinis teismas (Viļņas Administratīvā apgabaltiesa, Lietuva).

2.

Šajā tiesā izskatāmā lieta starp Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Veselības ministrijas pakļautībā esošais Nacionālais sabiedrības veselības centrs, Lietuva; turpmāk tekstā – “NVSC”) un Valstybinė duomenų apsaugos inspekcija (Valsts datu aizsardzības inspekcija, Lietuva; turpmāk tekstā – “Inspekcija”) būtībā attiecas uz jautājumu par to, kāda loma NVSC bija procesā, kurā tika izstrādāta un darīta pieejama sabiedrībai mobilā lietotne, kur 2020. gada aprīlī un maijā tika apkopoti to cilvēku personas dati, kuri bijuši saskarē ar Covid‑19 inficētiem pacientiem.

3.

Šajā kontekstā šī lieta sniedz Tiesai iespēju viest lielāku skaidrību par VDAR attiecīgi 4. panta 7. punktā, 26. panta 1. punktā un 4. panta 2. punktā definētajiem jēdzieniem “pārzinis”, “kopīgi pārziņi” un “apstrāde” un pirmo reizi izvērtēt, vai, piemērojot šīs regulas 83. pantu, ir iespējams uzlikt administratīvo naudas sodu pārzinim, kurš nav tīši vai neuzmanības dēļ pārkāpis VDAR ietvertos noteikumus. Šajā jautājumā Tiesai ir jānoskaidro, vai gadījumos, kad vaina nav konstatēta, šī tiesību norma ļauj uzlikt naudas sodu, pamatojoties uz atbildības neatkarīgi no vainas principu.

4.

VDAR 148. apsvērumā ir noteikts:

“Lai stiprinātu šīs regulas noteikumu izpildi, [..] par šīs regulas pārkāpumiem būtu jāpiemēro sankcijas, tostarp administratīvi naudas sodi. Nenozīmīgu pārkāpumu gadījumā vai ja naudas sods, kādu varētu uzlikt, radītu nesamērīgu slogu fiziskai personai, naudas soda vietā var izteikt rājienu. Tomēr būtu pienācīgi jāņem vērā pārkāpuma būtība, smagums un ilgums, tas, vai pārkāpums izdarīts tīši, darbības, kas veiktas, lai mazinātu ciesto kaitējumu, atbildības pakāpe vai jebkādi attiecīgi iepriekšēji pārkāpumi, veids, kādā uzraudzības iestāde uzzināja par pārkāpumu, atbilstība pasākumiem, kas vērsti pret uzraudzītāju vai apstrādātāju, rīcības kodeksa ievērošana un jebkādi citi pastiprinoši vai mīkstinoši apstākļi. Sankciju, tostarp administratīvu naudas sodu, uzlikšanai būtu jāpiemēro atbilstošas procesuālās garantijas saskaņā ar vispārīgiem Savienības tiesību principiem un hartu, tostarp efektīva tiesību aizsardzība tiesā un pienācīgas procedūras.”

5.

Saskaņā ar minētās regulas 150. apsvērumu:

“Lai stiprinātu un saskaņotu administratīvos sodus par šīs regulas pārkāpumiem, katrai uzraudzības iestādei būtu jāpiešķir pilnvaras uzlikt administratīvus naudas sodus. Šajā regulā būtu jānorāda pārkāpumi un jānosaka attiecīgā administratīvā naudas soda maksimālais apmērs un kritēriji tā noteikšanai, kas katrā konkrētā gadījumā būtu jānosaka uzraudzības iestādei, ņemot vērā visus attiecīgos konkrētās situācijas apstākļus un pienācīgi ņemot vērā jo īpaši pārkāpuma būtību, smagumu un ilgumu un tā sekas, kā arī pasākumus, kas veikti, lai nodrošinātu šajā regulā paredzēto pienākumu ievērošanu un novērstu vai mazinātu pārkāpuma sekas. [..] Administratīvo naudas sodu uzlikšana vai brīdinājuma izteikšana neietekmē citu uzraudzības iestādes pilnvaru vai citu šajā regulā noteikto sankciju piemērošanu.”

6.

VDAR 4. panta 7. punkts noteic, ka “pārzinis” ir “fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus”.

7.

Šīs regulas 26. pantā “Kopīgi pārziņi” attiecīgi ir noteikts:

“1.   Ja divi vai vairāki pārziņi kopīgi nosaka apstrādes mērķus un veidus, tie ir kopīgi pārziņi.

[..]”

8.

Šīs regulas 83. pantā “Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu” ir noteikts:

“1.   Katra uzraudzības iestāde nodrošina, ka par 4., 5. un 6. punktā minētajiem šīs regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.

2.   Administratīvie naudas sodi atkarībā no katras konkrētās lietas apstākļiem tiek piemēroti, papildinot 58. panta 2. punkta a)–h) apakšpunktā un j) apakšpunktā minētos pasākumus vai šo pasākumu vietā. Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

[..]

3.   Ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

[..]”

9.

Viešųjų pirkimų įstatymas (Likums par publisko iepirkumu) 72. panta 2. punktā noteikts:

“Līgumslēdzēja iestāde veic sarunu procedūru, iepriekš nepublicējot paziņojumu par līgumu, šādos posmos:

10.

Lai reaģētu uz situāciju, kas bija radusies Covid‑19 izplatības dēļ, Lietuvas Republikas veselības ministrs (turpmāk tekstā – “veselības ministrs”) ar 2020. gada 24. marta lēmumu uzdeva NVSC direktoram organizēt mobilās lietotnes, proti, “KARANTINAS”, izstrādi un iegādi. Šī mobilā lietotne tika izstrādāta, lai apkopotu un uzraudzītu to personu personas datus, kuras bija kontaktējušās ar Covid‑19 inficētiem pacientiem ( 3 ).

11.

2020. gada 27. martā persona, kas apgalvoja, ka ir NVSC pārstāvis, informēja uzņēmumu UAB“IT sprendimai sėkmei” (turpmāk tekstā – “ITSS”), ka tas ir izraudzīts par “KARANTINAS” izstrādātāju. Starp ITSS un šo personu, kā arī starp ITSS un vairākiem NVSC darbiniekiem un direktoru notika e‑pasta sarakste saistībā ar minētās mobilās lietotnes izstrādi. Šajā posmā tika sagatavots arī konfidencialitātes līgums, kurā kā pārziņi bija norādīti ITSS un NVSC.

12.

Izstrādātā mobilā lietotne 2020. gada 4. aprīlī tika darīta pieejama sabiedrībai lejupielādei no Google Play Store un 2020. gada 6. aprīlī – no Apple App Store. Arī sabiedrībai lejupielādei pieejamajā “KARANTINAS” versijā kā pārzinis bija minēts gan ITSS, gan NVSC. Tajā laikā NVSC vēl nebija iegādājies šo mobilo lietotni.

13.

Ar 2020. gada 10. aprīļa lēmumu veselības ministrs uzdeva NVSC direktoram turpināt “KARANTINAS” iegādi sarunu procedūrā bez iepriekš publicēta paziņojuma par līgumu, piemērojot Likuma par publisko iepirkumu 72. panta 2. punktu.

14.

Minētā procedūra tika uzsākta, bet, nesaņēmis nepieciešamo finansējumu, NVSC to izbeidza. Tādējādi publiskā pirkuma līgums netika noslēgts. Tomēr “KARANTINAS” joprojām bija pieejama sabiedrībai lejupielādei.

15.

2020. gada 15. maijāNVSC lūdza ITSS neizmantot mobilajā lietotnē nekādu NVSC informāciju un neievietot saiti uz NVSC. Inspekcija 2020. gada 18. maijā sāka izmeklēšanu attiecībā gan uz ITSS, gan NVSC par VDAR noteikumu pārkāpumiem. Pēc Inspekcijas pieprasījuma 2020. gada 26. maijā“KARANTINAS” darbība tika apturēta. Saskaņā ar ITSS sniegto informāciju no 2020. gada 4. aprīļa līdz 26. maijam 3802 lietotāji bija snieguši savus personas datus, izmantojot šo lietotni.

16.

Ar 2021. gada 24. februāra lēmumu Inspekcija uzlika NVSC un ITSS kā kopīgiem pārziņiem administratīvos naudas sodus par VDAR 5., 13., 24., 32. un 35. panta pārkāpumiem ( 4 ).

17.

NVSC šo lēmumu apstrīdēja Vilniaus apygardos administracinis teismas (Viļņas Administratīvā apgabaltiesa). Šī tiesa būtībā jautā, vai jēdziens “pārzinis” VDAR 4. panta 7. punkta izpratnē ir jāinterpretē plaši, tajā iekļaujot jebkuru fizisku vai juridisku personu vai struktūru, piemēram, NVSC, kas nav mobilās lietotnes izstrādātājs, bet kas noteicis “personas datu apstrādes nolūkus un līdzekļus”, lai iepirkuma procedūrā iegādātos šādu mobilo lietotni, vai arī šis jēdziens ir jāinterpretē šaurāk, ņemot vērā publiskā iepirkuma procedūru un tās iznākumu.

18.

It īpaši tā vēlas noskaidrot, vai šajā ziņā ir nozīme tam, ka iepirkuma procedūra galu galā tika pārtraukta un ka NVSC tā arī neiegādājās “KARANTINAS”. Tā arī vēlas noskaidrot, vai šo novērtējumu ietekmē tas, ka NVSC nebija oficiāli piekritis vai atļāvis šo mobilo lietotni darīt pieejamu sabiedrībai.

19.

Turklāt tai ir jautājums par NVSC un ITSS savstarpējo saistību. Šajā ziņā tā vēlas noskaidrot, kādos apstākļos šī struktūra un šis uzņēmums būtu jāuzskata par “kopīgiem pārziņiem” VDAR 4. panta 7. punkta un 26. panta 1. punkta izpratnē. Alternatīvi, ja VDAR izpratnē NVSC un ITSS tiktu uzskatīti nevis par “kopīgiem pārziņiem”, bet gan (attiecīgi) par “pārzini” un “apstrādātāju” ( 5 ), tā vēlas zināt, kad ITSS darbības varētu būt pamats NVSC atbildībai. Šajā ziņā tā vēlas noskaidrot, vai VDAR 83. pants ir jāinterpretē tādējādi, ka administratīvo naudas sodu var uzlikt tādam pārzinim kā NVSC, kas pats nav tīši vai neuzmanības dēļ pārkāpis šo regulu.

20.

Šādos apstākļos Vilniaus apygardos administracinis teismas (Viļņas Administratīvā apgabaltiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

21.

Lūgums sniegt prejudiciālu nolēmumu, kas datēts ar 2021. gada 22. oktobri, Tiesā tika reģistrēts 2021. gada 12. novembrī. NVSC, Inspekcija, Lietuvas valdība un Eiropas Komisija ir iesniegušas rakstveida apsvērumus.

22.

Tiesas sēdē, kas notika 2023. gada 17. janvārī, bija pārstāvētas Lietuvas un Nīderlandes valdības, kā arī Komisija un Padome.

23.

Covid‑19 pandēmijas laikā daudzās dalībvalstīs sabiedrībai bija pieejama lejupielādei mobilā lietotne, kas paredzēta, lai “izsekotu un identificētu” ar vīrusu inficētos cilvēkus un/vai to kontaktpersonas. Šīs mobilās lietotnes tika izstrādātas, lai reaģētu uz ārkārtējo situāciju, un bieži vien bija iesaistīti vairāki publiskā un privātā sektora dalībnieki (piemēram, ministrijas un citas publiskās struktūras, kā arī privāti uzņēmumi). Lietotājiem šajās mobilajās lietotnēs bija jāievada personas dati, un it īpaši – dati par savu veselību ( 6 ).

24.

Pamatlieta attiecas tieši uz šādu mobilo lietotni, proti, “KARANTINAS”, ko pēc NVSC (valsts iestādes) iniciatīvas, pamatojoties uz veselības ministra lēmumu, izstrādāja ITSS (privāts uzņēmums). No lietas materiālos esošās informācijas, kā arī no tiesas sēdē sniegtās informācijas nav skaidrs, vai lietotnes izstrādē bija iesaistītas citas Lietuvas valsts iestādes un kuras tās bija ( 7 ). Pastāv arī zināmas šaubas par to, vai laikā, kad notika personas datu apstrāde (2020. gada aprīlī un maijā), NVSC bija jau piekritis, ka “KARANTINAS” tiek darīta pieejama sabiedrībai. Tomēr Tiesai uzdotajos jautājumos Vilniaus apygardos administracinis teismas (Viļņas Administratīvā apgabaltiesa) norādīja šādus būtiskus apstākļus:

25.

Ņemot vērā minētos apsvērumus, secināms, ka Tiesai uzdotie jautājumi attiecas uz vairāku VDAR tiesību normu interpretāciju. Pirmajos trīs jautājumos, kā arī piektajā jautājumā tiek lūgts interpretēt jēdzienu “pārzinis” minētās regulas 4. panta 7. punkta izpratnē un precizēt, kādi ir nosacījumi, lai saskaņā ar šo tiesību normu un šīs regulas 26. panta 1. punktu divas vai vairākas struktūras varētu tikt uzskatītas par “kopīgiem pārziņiem”. Vispirms es analizēšu šos jautājumus visus kopā (A), bet pēc tam pievērsīšos ceturtajam jautājumam, kas attiecas uz “apstrādes” jēdzienu VDAR 4. panta 2. punkta izpratnē un tā piemērošanu mobilās lietotnes testēšanas posmā (B) ( 8 ). Visbeidzot es iedziļināšos šīs lietas pamatā esošajā jautājumā, proti, sestajā jautājumā, kas ir transversāls, jo attiecas uz nosacījumiem, saskaņā ar kuriem pārziņiem var uzlikt administratīvos naudas sodus, piemērojot VDAR 83. pantu (C).

26.

Ar pirmajiem trīs jautājumiem iesniedzējtiesa būtībā vēlas noskaidrot, vai, ņemot vērā iepriekš 24. punktā izklāstītos apstākļus, tāda struktūra kā NVSC ir uzskatāma par “pārzini” VDAR 4. panta 7. punkta izpratnē. Savukārt piektajā jautājumā iesniedzējtiesa lūdz precizēt, vai šādos apstākļos saskaņā ar šo tiesību normu un minētās regulas 26. panta 1. punktu divas tādas struktūras kā NVSC un ITSS ir uzskatāmas par “kopīgiem pārziņiem”, pat ja tās nav formāli vienojušās par apstrādes nolūkiem un līdzekļiem un/vai, šķiet, nav citādi saskaņojušas savas darbības.

27.

Saskaņā ar VDAR 4. panta 7. punktu “pārzinis” ir persona vai struktūra, kas “viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus”. Citiem vārdiem sakot, pārzinim pašam nav jāapstrādā personas dati, bet tam ir jānosaka, “kāpēc un kā” notiek attiecīgās apstrādes darbības ( 9 ). Tiesa norādīja, ka, lai izpildītu šo kritēriju, personai vai struktūrai ir faktiski “jāietekmē personas datu apstrāde” ( 10 ). Tomēr nav nepieciešams, lai apstrādes nolūku un mērķu [līdzekļu] noteikšana tiktu veikta saskaņā ar pārziņa rakstveida pamatnostādnēm vai ieteikumiem ( 11 ). VDAR 4. panta 7. punkts patiešām nosaka prasību analizēt situācijas faktiskos apstākļus, nevis izskatīt to formāli.

28.

Šajā ziņā Eiropas Datu aizsardzības kolēģija (EDAK) ir vērsusi uzmanību, ka ir arī iespējams būt pārzinim neatkarīgi no tā, vai šāda īpaša kompetence vai datu pārziņa pilnvaras ir piešķirtas ar likumu. Patiešām, spēja noteikt apstrādes nolūkus un līdzekļus galvenokārt ir atkarīga no īstenotās ietekmes, ko var secināt no faktiskajiem apstākļiem. Tādējādi par “pārzini” uzskata struktūru, kuras stāvoklis faktiski ļauj tai noteikt apstrādes nolūkus un līdzekļus, neatkarīgi no tā, vai šī struktūra ir oficiāli iecelta par “pārzini” (ar likumu vai līgumu, vai citā veidā) ( 12 ).

29.

Pēc šiem precizējumiem vēlos vērst uzmanību, ka vairāki iesniedzējtiesas pirmajos trīs prejudiciālajos jautājumos aprakstītie apstākļi ir tīri formāli, piemēram, tas, ka NVCS juridiski nav “KARANTINAS” īpašumtiesību vai ka šīs mobilās lietotnes iepirkuma procedūra nekad nav tikusi pabeigta, vai ka NVSC nav oficiāli atļāvis darīt lietotni pieejamu plašai sabiedrībai vai nav apstiprinājis lietotnes jaunāko versiju. Manā ieskatā, neviens no šiem apstākļiem pats par sevi nevar atspēkot konstatējumu, ka pamatlietā NVSC rīkojās kā “pārzinis” VDAR 4. panta 7. punkta izpratnē. Patiešām, tie nav pietiekami, lai atspēkotu secinājumu, ka NVSC faktiski varēja noteikt veiktās personas datu apstrādes nolūkus un līdzekļus. Tāpat arī tas, ka NVSC bija norādīts kā pārzinis konfidencialitātes noteikumos saistībā ar “KARANTINAS” versiju, kas sabiedrībai bija pieejama lejupielādei, vai ka šajā mobilās lietotnes versijā bija iekļautas saites uz šo struktūru, manuprāt, ir būtiski, bet nav izšķiroši, izvērtējot šīs struktūras faktiski īstenoto ietekmi.

30.

Turpretī iesniedzējtiesā iesniegtie pierādījumi, no kuriem izriet, ka NVSC izlēma, kāda veida personas dati “KARANTINAS” ir jāvāc un no kādiem datu subjektiem un/vai citus svarīgākos apstrādes aspektus, manuprāt, ir pietiekami, lai konstatētu, ka šī struktūra noteica apstrādes “līdzekļus”. Turklāt, manuprāt, tas, ka “KARANTINAS” tika izveidota, lai sasniegtu NVSC noteikto mērķi, proti, reaģētu uz Covid‑19 pandēmiju, un ka ITSS regulāri mainīja tās funkcionalitāti atbilstoši NVSC konstatētajām vajadzībām saskaņā ar šīs struktūras sniegtajiem norādījumiem, ir pietiekami, lai secinātu, ka šī struktūra ir noteikusi šīs apstrādes “nolūkus”.

31.

Ņemot vērā minētos apsvērumus, man šķiet: lai noteiktu, vai tāda struktūra kā NVSC var tikt uzskatīta par “pārzini” VDAR 4. panta 7. punkta izpratnē, iesniedzējtiesai ir arī jānoskaidro, vai neatkarīgi no NVSC īstenotās ietekmes “KARANTINAS” izstrādes posmā lēmums padarīt šo mobilo lietotni pieejamu sabiedrībai un tādējādi iesaistīties personas datu apstrādē faktiski tika pieņemts ar šīs struktūras (tiešu vai netiešu) piekrišanu (pat ja oficiāli vai formāli šī piekrišana netika sniegta).

32.

Patiešām, VDAR 4. panta 7. punktā sniegtajā jēdziena “pārzinis” definīcijā ir skaidri norādīts, ka pārziņa īstenotajai ietekmei ir jābūt saistītai tieši ar personas datu apstrādi, nevis tikai ar līdzdalību kādā iepriekšējā posmā. Fiziska vai juridiska persona vai struktūra nekļūst par “pārzini” tāpēc vien, ka tā ir iniciējusi mobilās lietotnes izstrādi vai noteikusi šīs lietotnes (vai cita datu vākšanas rīka) parametrus. Tās darbībām jābūt faktiski saistītām ar personas datu apstrādi, un tādēļ tai ir tieši vai netieši jāpiekrīt, ka attiecīgais rīks tiek izmantots šādai apstrādei.

33.

Tiesa šādu prasību izvirzīja savā spriedumā Fashion ID ( 13 ), kurā tā skaidri norādīja, ka pārziņa atbildība attiecas tikai uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus tā faktiski nosaka ( 14 ). No tā izriet, ka nolūku un mērķu noteikšanai ir jābūt tieši saistītai ar attiecīgo personas datu apstrādi ietverošo darbību vai to kopumu.

34.

Manuprāt, no šiem konstatējumiem izriet, ka tādu struktūru kā NVSC, kas iniciē mobilās lietotnes izstrādi, var uzskatīt par “pārzini” VDAR 4. panta 7. punkta izpratnē tikai tādā gadījumā, ja ir pietiekami daudz faktisku apstākļu (nevis formālu elementu), no kuriem valsts tiesas var secināt, ka šī struktūra ir faktiski ietekmējusi apstrādes “nolūku un līdzekļu” noteikšanu un faktiski piekritusi mobilās lietotnes publiskai pieejamībai un tādējādi arī personas datu apstrādei. Lai gan tas ir jāpārbauda iesniedzējtiesai, es uzskatu, ka NVSC atbilst šīm prasībām.

35.

Piektais jautājums attiecas uz nosacījumiem, kas ir jāizpilda, lai divas (vai vairākas) struktūras varētu uzskatīt par kopīgiem pārziņiem. Saprotu, ka iesniedzējtiesa vēlas gūt skaidrību par šā jēdziena interpretāciju, jo tai ir bažas, ka pamatlietā aplūkotajā situācijā NVSC un ITSS varētu tikt uzskatīti par “kopīgiem pārziņiem” un tādējādi tie varētu būt solidāri atbildīgi par nodarīto kaitējumu ( 15 ), un/vai tiem solidāri būtu piemērojams naudas sods par datu aizsardzības noteikumu pārkāpumiem, kas tika izdarīti, kad “KARANTINAS” bija pieejama sabiedrībai lejupielādei. Šajā saistībā vēlos uzsvērt, ka šo secinājumu 16. punktā jau esmu norādījis, ka Inspekcija faktiski gan šo struktūru, gan šo uzņēmumu atzina par kopīgiem pārziņiem un atbildīgiem par izdarītajiem pārkāpumiem un piemēroja tiem naudas sodu saskaņā ar VDAR 83. pantu.

36.

Saskaņā ar VDAR 26. panta 1. punktu “kopīgi pārziņi” ir tad, kad divi vai vairāki pārziņi kopīgi nosaka apstrādes mērķus [nolūkus] un veidus [līdzekļus]. Tāpēc katram no kopīgajiem pārziņiem ir individuāli jāatbilst šīs regulas 4. panta 7. punktā sniegtajā “pārziņa” definīcijā norādītajiem kritērijiem ( 16 ). Turklāt kopīgajiem pārziņiem ir jābūt noteiktām savstarpējām attiecībām, jo to ietekme uz apstrādi ir jāīsteno kopīgi.

37.

Tiesa ir norādījusi, ka kopīgu pārziņu esamība ne vienmēr nozīmē, ka dažādas iesaistītās personas vai struktūras būtu vienādi atbildīgas vai to līdzdalība būtu vienāda. Gluži pretēji, kopīgie pārziņi var būt iesaistīti dažādos apstrādes posmos, tāpēc tas, cik lielā mērā katrs no tiem ir atbildīgs, ir jāvērtē, ņemot vērā visus būtiskos katras lietas apstākļus ( 17 ). Turklāt netiek prasīts, lai gadījumā, kad par vienu apstrādi kopīgi atbild vairāki subjekti, attiecīgie personas dati būtu pieejami katram no tiem ( 18 ). Tomēr svarīgi ir tas, ka tie kopīgi piedalās apstrādes “nolūku un līdzekļu” noteikšanā.

38.

Šajā ziņā vēršu uzmanību uz Pamatnostādnēs 07/2020 norādīto, ka šāda kopīga līdzdalība var tikt īstenota dažādos veidos. Tā var izrietēt no divu vai vairāku struktūru kopīgi pieņemtā lēmuma vai vienkārši izrietēt no šo struktūru saskaņotajiem lēmumiem. Pēdējā minētajā gadījumā svarīgi ir tikai tas, lai lēmumi cits citu papildinātu un būtu nepieciešami apstrādes īstenošanai, proti, lai tie konkrēti ietekmētu apstrādes nolūku un līdzekļu noteikšanu, jo tas būtībā nozīmē, ka apstrāde nebūtu iespējama bez abu pušu līdzdalības ( 19 ).

39.

Šajā kontekstā iesniedzējtiesa jautā, vai tas, ka divi pārziņi (šajā gadījumā NVSC un ITSS) nav formāli vienojušies par apstrādes nolūkiem un līdzekļiem un/vai šķietami nav citādi saskaņojuši savu rīcību, neļauj tos uzskatīt par “kopīgiem pārziņiem”.

40.

Saprotu, ka iesniedzējtiesas šaubas šajā ziņā izriet no tā, ka saskaņā ar VDAR 26. panta 1. punktu kopīgajiem pārziņiem ir, savstarpēji vienojoties, pārredzamā veidā jānosaka savi attiecīgie pienākumi, lai izpildītu šajā regulā uzliktās saistības. Turklāt minētās regulas 79. apsvērumā ir norādīts, ka ir nepieciešams “skaidri sadalīt pienākumus”, tostarp tajos gadījumos, kad pārzinis apstrādes nolūkus un līdzekļus nosaka kopā ar citiem pārziņiem. Tomēr, manuprāt, šie pienākumi un prasības attiecas uz kopīgajiem pārziņiem tikai tad, kad tos var uzskatīt par tādiem. Tie nav ietverti kritērijos, kas jāizpilda, lai struktūras varētu kvalificēt kā kopīgus pārziņus.

41.

Kā jau minēju šo secinājumu 36. punktā, kopīgu pārziņu noteikšanai jāvērtē tikai divu objektīvu nosacījumu izpilde. Pirmkārt, katram no kopīgajiem pārziņiem ir jāatbilst VDAR 4. panta 7. punktā sniegtajā “pārziņa” definīcijā norādītajiem kritērijiem. Lietas materiālos nav pietiekami daudz informācijas, kas ļautu noteikt, vai pamatlietā aplūkotajā situācijā ITSS ir uzskatāms par “pārzini” šīs tiesību normas izpratnē. Tomēr, ņemot vērā manus iepriekšējā daļā izklāstītos konstatējumus, kuri vēl jāpārbauda iesniedzējtiesai, šķiet, ka vismaz NVSC (un varbūt arī gan šī struktūra, gan ITSS) atbilst “pārzinim” piemērojamiem nosacījumiem šīs normas izpratnē. Otrkārt, pārziņiem ietekme uz apstrādi ir jāīsteno kopīgi (tas nozīmē, ka tā ir jāīsteno saskaņā ar tiesiskajiem kritērijiem un judikatūru, kuru pieminēju šo secinājumu 37. un 38. punktā). Šajā ziņā jau esmu paskaidrojis, ka kopīga līdzdalība apstrādē var pastāvēt dažādos veidos un tai pat nav obligāti jānotiek, pamatojoties uz iesaistīto pušu kopīgu lēmumu. Tādējādi materiālās tiesību normas un funkciju izvērtēšanas pieeja, kas jāizmanto, lai noteiktu, vai persona vai struktūra ir uzskatāma par “pārzini” VDAR 4. panta 7. punkta izpratnē, manuprāt, ir jāpiemēro arī attiecībā uz kopīgiem pārziņiem ( 20 ).

42.

Ņemot vērā šos aspektus, es uzskatu, pirmkārt, ka līguma vai vienošanās, vai pat kopīga lēmuma neesamība starp diviem vai vairākiem pārziņiem, piemēram, NVSC un ITSS, pati par sevi nevar izslēgt konstatējumu, ka tie ir “kopīgi pārziņi” VDAR 4. panta 7. punkta izpratnē kopsakarā ar tās 26. panta 1. punktu. Šajā ziņā vēlos piebilst, ka EDAK ir vērsusi uzmanību uz to, ka līgumiskas vienošanās var būt noderīgas kopīgu pārziņu novērtēšanai, tomēr tās vienmēr ir jāpārbauda, ņemot vērā pušu savstarpējo attiecību faktiskos apstākļus ( 21 ).

43.

Otrkārt, man šķiet, tas, ka NVSC un ITSS – papildus tam, ka tie nav noslēguši vienošanos, līgumu vai pieņēmuši kopīgu lēmumu, – nav saskaņojuši savas darbības vai citādi savstarpēji sadarbojušies, nenozīmē, ka tos nevar uzskatīt par “kopīgiem pārziņiem”. Šāda saskaņošana vai sadarbība, pat ja tās pastāv, nav būtiski aspekti, izvērtējot, vai šo divu struktūru attiecības ietver kopīgu datu kontroli. Patiešām, var viegli iedomāties, ka sadarbība vai saskaņošana varētu pastāvēt starp divām vai vairākām struktūrām, kuras nekad nav bijušas kopīgi pārziņi. Piemēram, divi atsevišķi pārziņi varētu saskaņot savas darbības vai sadarboties savā starpā ar nolūku savstarpēji pārsūtīt personas datus. Tomēr tāpēc tie nekļūst par “kopīgiem pārziņiem” VDAR 4. panta 7. punkta un 26. panta 1. punkta izpratnē ( 22 ). Kā esmu norādījis šo secinājumu 38. punktā, svarīgi ir, ka apstrāde nebūtu iespējama bez abu pušu piedalīšanās, jo tām abām ir izšķiroša ietekme uz attiecīgās apstrādes nolūku un līdzekļu noteikšanu.

44.

Ņemot vērā izklāstītos apsvērumus, man šķiet – tomēr tas ir jāpārbauda iesniedzējtiesai –, ka tāda struktūra kā NVSC atbilst VDAR 4. panta 7. punkta nosacījumiem, saskaņā ar kuriem to var uzskatīt par “pārzini”. Savukārt, tas, vai NVSC un ITSS var uzskatīt par “kopīgiem pārziņiem” saskaņā ar iepriekšējā sadaļā izklāstītajiem kritērijiem, vai arī tie kvalificējami attiecīgi kā “pārzinis” un “apstrādātājs”, ir atkarīgs no to attiecību būtības, kas ir jāizvērtē iesniedzējtiesai.

45.

Šajā ziņā vēlos piebilst – lai atbildētu uz sesto jautājumu, ir svarīgi noskaidrot NVSC un ITSS attiecību būtību (proti, vai tie ir “kopīgi pārziņi” vai attiecīgi “pārzinis” un “apstrādātājs”). Tāpēc tad, kad pievērsīšos sestajā jautājumā izvirzītajiem jautājumiem, es atgriezīšos pie piektajā jautājumā sniegtajiem konstatējumiem.

46.

Ar ceturto jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 4. panta 2. punktā sniegtā “apstrādes” definīcija attiecas uz situāciju, kurā personas dati tiek izmantoti mobilās lietotnes testēšanas posmā ( 23 ). No lūguma sniegt prejudiciālu nolēmumu es secinu, ka “KARANTINAS” tika testēta, pirms to darīja pieejamu sabiedrībai lejupielādei. Tādējādi, manā ieskatā, pretstatā pārējiem Tiesai uzdotajiem jautājumiem, kuri visi attiecas uz personas datu apstrādi pēc testēšanas posma beigām, kad “KARANTINAS” tika darīta pieejama sabiedrībai, ceturtais jautājums attiecas uz situāciju, kas atšķiras no pārējos jautājumos centrālās situācijas. Proti, iesniedzējtiesa vēlas noskaidrot, vai personas datu izmantošana šajā testēšanas posmā ir uzskatāma par “apstrādi” VDAR 4. panta 2. punkta izpratnē un tādējādi varētu radīt iespējamu atbildību iesaistītajiem pārziņiem un/vai apstrādātājiem.

47.

VDAR 4. panta 2. punktā “apstrāde” ir definēta kā “jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem” ( 24 ).

48.

Šāds formulējums (un it īpaši vārda “jebkurš” un tādu vispārīgu jēdzienu kā “darbība” vai “darbību kopums” lietojums), manuprāt, liecina, ka šī tiesību norma ir aplūkojama plašāk, lai aptvertu pēc iespējas vairāk iespējamo personas datu izmantošanas situāciju. Šajā tiesību normā sniegtais šādu situāciju neizsmeļošais uzskaitījums, kas aptver daudzveidīgu darbību spektru, apstiprina šo interpretāciju ( 25 ).

49.

Turklāt, lai gan no iepriekšējās šo secinājumu sadaļas izriet, ka “pārziņa” definīcija šīs regulas 4. panta 7. punkta izpratnē ir cieši saistīta ar personas datu apstrādes nolūkiem (iemesliem, “kāpēc” personas dati tiek vākti), 4. panta 2. punktā noteiktajā definīcijā šāda saikne nav norādīta. Tādējādi, lai darbības vai darbību kopumu klasificētu kā “apstrādi” minētās tiesību normas izpratnē, principā nav nozīmes tam, kādā nolūkā tās veiktas. No tā, manuprāt, izriet, ka, vērtējot, vai attiecīgā darbība ir uzskatāma par “apstrādi”, nav piešķirama nozīme tam, vai personas dati tiek vākti, lai pārbaudītu mobilajā lietotnē integrētās IT sistēmas, vai citam nolūkam.

50.

Šajā ziņā vēlos arī norādīt, ka personas datu “izmantošana” (bez jebkāda papildu skaidrojuma un tādējādi neatkarīgi no izmantošanas nolūka) ir minēta to darbību vai darbību kopumu sarakstā, kas veido “apstrādi” ( 26 ). Turklāt VDAR 4. panta 2. punktā nav ietverts neviens nepārprotams izņēmums, atruna vai atkāpe attiecībā uz darbībām, kas saistītas ar personas datu izmantošanu IT sistēmu testēšanai. Gluži pretēji – no minētā izriet, ka nekas neliedz uzskatīt, ka personas datu izmantošana šādai testēšanai ir “apstrāde” minētās tiesību normas izpratnē.

51.

Ņemot vērā šos aspektus, uzskatu, ka VDAR 4. panta 2. punktā sniegtā “apstrādes” definīcija attiecas arī uz situāciju, kad personas dati tiek izmantoti mobilās lietotnes testēšanas posmā.

52.

Manus secinājumus šajā jautājumā neietekmē tas, ka mobilajā lietotnē integrēto IT sistēmu testēšanai varētu būt izmantoti pseidonimizēti personas dati ( 27 ). VDAR nebūtu piemērojama vienīgi tad, ja mobilajā lietotnē ievadītā informācija būtu tikai anonīma informācija, kas “neattiecas uz identificētu vai identificējamu fizisku personu”, vai personas datiem, ko sniedz “anonīmi tādā veidā, ka datu subjekts nav vai vairs nav identificējams”. Tomēr vēršu uzmanību, ka no lietas materiālos sniegtās informācijas nav skaidri secināms, ka pamatlietā testēšanas posmā būtu izmantoti šādi anonimizēti dati ( 28 ).

53.

Ņemot vērā izklāstītos apsvērumus, uzskatu, ka VDAR 4. panta 2. punktā sniegtā “apstrādes” definīcija attiecas uz situāciju, kad personas dati tiek izmantoti mobilās lietotnes testēšanas posmā, ja vien šādi dati nav padarīti anonīmi tādā veidā, ka datu subjekts nav vai vairs nav identificējams. Savukārt tam, vai personas dati tiek vākti, lai testētu mobilajā lietotnē integrētas IT sistēmas, vai arī citam, atšķirīgam nolūkam, nav nozīmes, vērtējot, vai attiecīgā darbība ir kvalificējama kā “apstrāde” ( 29 ).

54.

Pēc šo precizējumu izdarīšanas tagad vēlos pievērsties šīs lietas galvenajam jautājumam, kas attiecas uz nosacījumiem, pamatojoties uz kuriem pārzinim vai apstrādātājam var uzlikt administratīvo naudas sodu, piemērojot VDAR 83. pantu.

55.

Pirms VDAR pieņemšanas dalībvalstīm bija diezgan liela rīcības brīvība saskaņā ar to procesuālo autonomiju un tiesiskās aizsardzības līdzekļu autonomiju piemērot sankcijas par datu aizsardzības noteikumu pārkāpumiem ( 30 ). Tādējādi administratīvie naudas sodi, kas tika ieviesti ar minētās regulas 83. pantu, ir diezgan jauns “risinājums” Savienības datu aizsardzības tiesībās. 29. panta datu aizsardzības darba grupa, tos raksturojot, norādīja, ka tie ir “jaunā [..] izpildes režīma centrāls elements” ( 31 ). Lai gan Tiesa šo tiesību normu vēl nav interpretējusi, uzraudzības iestādes to jau ir piemērojušas, dažkārt uzliekot lielus naudas sodus pārziņiem vai apstrādātājiem ( 32 ).

56.

VDAR 83. pantā ir paredzēta divu līmeņu sankciju sistēma atkarībā no konkrētā pārkāpuma veida. Pirmais līmenis, kas definēts minētās regulas 83. panta 4. punktā, attiecas uz situācijām, kad pārzinis vai apstrādātājs nepilda vispārējos uz tiem attiecināmos pienākumus, kā arī dažus konkrētus īpašus pienākumus, savukārt otrais līmenis, kā norādīts VDAR 83. panta 5. punktā, ir paredzēts saistībā ar smagākiem pārkāpumiem, piemēram, tādiem pārkāpumiem, kas citastarp attiecas uz apstrādes pamatprincipiem, datu subjektu tiesībām un noteikumiem personas datu nosūtīšanai saņēmējam uz trešo valsti vai starptautisku organizāciju.

57.

Attiecībā uz abiem līmeņiem kompetentajām valsts iestādēm pēc tam, kad tās ir konstatējušas, ka ir pārkāpts konkrēts VDAR noteikums, ir jāveic divi novērtējumi. Pirmkārt, tām ir jānosaka, vai ir jāpiemēro naudas sods, un, otrkārt, kad tas ir noteikts, jānosaka tā apmērs. Šie vērtējumi ir jāveic katrā konkrētā gadījumā, ņemot vērā dažādus VDAR 83. panta 2. punktā uzskaitītos elementus. Šie elementi ietver arī izvērtējumu par “to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ” (tās 83. panta 2. punkta b) apakšpunkts).

58.

Ar sesto jautājumu iesniedzējtiesa būtībā vaicā, vai pārzinim var uzlikt administratīvo naudas sodu, ja pārzinis nav tīši vai neuzmanības dēļ pārkāpis datu aizsardzības noteikumus un personas datu nelikumīgu apstrādi ir veicis nevis pats pārzinis, bet gan apstrādātājs. Vēlreiz izskatot manus konstatējumus attiecībā uz piekto jautājumu, man šķiet, ka sestais jautājums ir uzdots gadījumā, ja pamatlietā NVSC un ITSS nevarētu tikt uzskatīti par “kopīgiem pārziņiem” VDAR 4. panta 7. punkta izpratnē kopsakarā ar šīs regulas 26. panta 1. punktu un tie būtu jāuzskata attiecīgi par “pārzini” un “apstrādātāju”. Šajā konkrētajā kontekstā iesniedzējtiesa vēlas precizēt nosacījumus, saskaņā ar kuriem NVSC var tikt uzlikts naudas sods, piemērojot VDAR 83. pantu.

59.

Ņemot to vērā, vēršu uzmanību, ka sestajā jautājumā kā piemērojamā tiesību norma ir minēts tikai VDAR 83. panta 1. punkts. Tomēr, manuprāt, šajā jautājumā izvirzīto problēmu risināšanai ir jāaplūko šīs regulas 83. pants kopumā, jo īpaši – kā esmu paskaidrojis šo secinājumu 57. punktā –, ņemot vērā 83. panta 2. punkta b) apakšpunktu, kurā tiek uzsvērts tas, “vai pārkāpums izdarīts tīši vai neuzmanības dēļ”. Tāpēc uzskatu, ka saistībā ar sesto prejudiciālo jautājumu ir jāpēta VDAR 83. panta interpretācija kopumā, nevis tikai tās 83. panta 1. punkts.

60.

Manuprāt, šim jautājumam ir divas daļas. Pirmkārt, Tiesai ir jānoskaidro, vai VDAR 83. pants vispār pieļauj administratīvo naudas sodu uzlikšanu pārziņiem vai apstrādātājiem, ja nav konstatēts mens rea (subjektīvais elements – vaina). Iesniedzējtiesa būtībā vēlas zināt, vai var uzlikt naudas sodu NVSC, pamatojoties tikai uz to, ka tas nav izpildījis tam kā pārzinim uzliktos pienākumus (objektīva atbildība), vai arī ir nepieciešams vainas elements par attiecīgā(‑o) pārkāpuma(‑u) izdarīšanu. Otrkārt, tā lūdz precizēt, vai tas, ka personas datu nelikumīgu apstrādi veica nevis pats pārzinis, bet apstrādātājs, jebkādā veidā ietekmē uzraudzības iestāžu iespēju uzlikt pārzinim naudas sodu.

61.

Es izskatīšu abus šo aspektus pēc kārtas.

62.

Saskaņā ar VDAR 83. pantu katram administratīvajam naudas sodam, kas uzlikts par datu aizsardzības noteikumu pārkāpumu, jābūt “iedarbīgam, samērīgam un atturošam”. Tas ir skaidri norādīts šīs tiesību normas 1. punktā. Tomēr šajā punktā nav norādīts, vai šādu naudas sodu var uzlikt tikai tad, ja ir konstatēta vaina, proti, vai “vaina” ir priekšnosacījums administratīva naudas soda piemērošanai.

63.

Savukārt tās pašas tiesību normas 2. punkta b) apakšpunktā kā viens no elementiem ( 33 ), kas uzraudzības iestādēm katrā konkrētā gadījumā ir “pienācīgi [jā]ņem vērā”, ir minēts tas, vai “pārkāpums izdarīts tīši vai neuzmanības dēļ”. Saskaņā ar šīs regulas 83. panta 2. punkta k) apakšpunktu ikviens no šiem elementiem ir jāuzskata par “pastiprinošu vai mīkstinošu apstākli”, un to saraksts nav izsmeļošs.

64.

Šajā kontekstā, manuprāt, VDAR 83. pantu var saprast divējādi.

65.

No vienas puses, varētu uzskatīt, ka, lai gan lēmums par naudas soda uzlikšanu un tā apmērs ir jānosaka, pienācīgi ņemot vērā iesaistīto personu vainas pakāpi (piemēram, principā būtu jāuzliek lielāks naudas sods, ja pārkāpums ir tīšas rīcības rezultāts, savukārt par neuzmanīgu rīcību būtu jāuzliek mazāks naudas sods), nekas neliedz uzlikt naudas sodu arī tad, ja nav konstatēta vaina, ja vien var uzskatīt, ka datu apstrādātājs vai pārzinis ir atbildīgi par pārkāpumu. Šādu interpretāciju pamatotu 83. panta 2. punkta b) un k) apakšpunktā izklāstītais, jo dažādu vainas veidu (nodoms vai neuzmanība) nodēvēšana par “mīkstinošu vai pastiprinošu apstākli” šajās normās varētu nozīmēt, ka vainas esamība kopumā nav priekšnoteikums naudas soda uzlikšanai.

66.

No otras puses, varētu arī apgalvot – kā to dara Komisija šajā lietā –, ka attiecībā uz naudas soda uzlikšanu minimālā prasība ir konstatēt, ka persona vai struktūra pārkāpumu ir izdarījusi neuzmanības dēļ. Šādu pieeju pamatotu arī atšķirīga, daudz piesardzīgāka VDAR 83. panta 2. punkta b) un k) apakšpunkta interpretācija, proti, ka šajās tiesību normās ir paredzēts, ka uzraudzības iestādēm ir jānošķir mīkstinošs apstāklis (neuzmanība) un pastiprinošs apstāklis (nodoms), bet nav norādīts, ka naudas sodu varētu uzlikt, ja vaina vispār konstatēta.

67.

Komisija nepārprotami izvēlējusies šādu interpretāciju savā sākotnējā priekšlikumā, kura rezultātā tika pieņemta VDAR ( 34 ), kurā tā ierosināja naudas soda sistēmu organizēt kā trīs līmeņu sistēmu. Attiecībā uz katru līmeni Komisija ierosināja, ka naudas sodus var uzlikt tikai personai, kas “tīši vai aiz neuzmanības” ( 35 ) ir izdarījusi vienu vai vairākus iespējamos pārkāpumus. Tādējādi Komisija skaidri paredzēja, ka vainas konstatācija ir priekšnoteikums šāda naudas soda uzlikšanai ( 36 ).

68.

Lai gan, manuprāt, pamatojoties uz VDAR 83. panta 2. punkta gramatisko interpretāciju, var aizstāvēt abas pieejas, jo katra no tām atbilst izpratnei, ka pārkāpuma izdarīšana “tīši vai neuzmanības dēļ” var būt gan “pastiprinošs”, gan “mīkstinošs” apstāklis, es tomēr uzskatu, ka Savienības likumdevēja nodomu pienācīgi atspoguļo tikai otrā pieeja. Šādu secinājumu man liek izdarīt vairāki iemesli.

69.

Pirmkārt, vēršu uzmanību, ka vairāki VDAR 83. panta 2. punktā uzskaitītie elementi ietver īpašu formulējumu, no kura var secināt, ka tos var piemērot tikai dažos gadījumos, nevis visos. Proti, 83. panta 2. punkta c), e) un k) apakšpunkts sākas ar vārdu “jebkāds” (“jebkādu pārziņa vai apstrādātāja rīcību, lai mazinātu kaitējumu”; “jebkādus attiecīgus [..] iepriekšējus pārkāpumus”; “jebkādu citu pastiprinošu vai mīkstinošu apstākli, kas piemērojams lietas apstākļiem”), kas norāda, ka, lai gan uzraudzības iestādēm vienmēr ir jāņem vērā, vai ir kāda mazinoša darbība, iepriekšējs pārkāpums vai cits atbilstošs pastiprinošs vai mīkstinošs apstāklis, ja šādi elementi pastāv vai ir pieradīti, faktiski var būt situācijas, kad šo elementu vienkārši nav, bet kompetentā datu aizsardzības iestāde tomēr var nolemt uzlikt naudas sodu (vai, gluži otrādi, neuzlikt naudas sodu). Tāpat vēršu uzmanību, ka arī VDAR 83. panta 2. punkta i) apakšpunkts ir formulēts nesistemātiski, jo tajā ir prasīts izvērtēt, vai pārzinis vai apstrādātājs ir izpildījis minētās regulas 58. panta 2. punktā minētos pasākumus, bet tikai tad, “ja [minētie] pasākumi iepriekš [..] jau ir tikuši vērsti pret attiecīgo pārzini vai apstrādātāju”.

70.

Turpretī 83. panta 2. punkta b) apakšpunktā ir pieminēts, ka pārkāpums var būt “izdarīts tīši vai neuzmanības dēļ” ( 37 ). Proti, šķiet, ka tas vienkārši ir viens no elementiem, kam ir jābūt un kas, tēlaini izsakoties, visos gadījumos ir “jāatķeksē”, pirms var uzlikt naudas sodu; līdzīgas ir prasības par “pārkāpuma būtību, smagumu un ilgumu” (83. panta 2. punkta a) apakšpunkts), “to, kādu kategoriju personas datus ietekmējis pārkāpums” (83. panta 2. punkta g) apakšpunkts), un “veidu, kādā par pārkāpumu uzzināja” (83. panta 2. punkta h) apakšpunkts). Manuprāt, šie elementi ir vienmēr izvērtējami: piemēram, “pārkāpuma būtība, smagums un ilgums” var ļoti atšķirties dažādās lietās (un attiecīgi var tikt uzskatīti par iemeslu, kas pamato naudas soda uzlikšanu vai neuzlikšanu). Tomēr visos gadījumos būs jāņem vērā, ka pārkāpumam ir kaut kāda būtība, kaut kāds smagums un kaut kāds ilgums. Manā ieskatā, tas ir pirmais rādītājs, kas liecina par to, ka administratīvie naudas sodi VDAR 83. pantā tika ieviesti, lai tos piemērotu tikai tajās situācijās, kad iespējamais pārkāpums ir izdarīts tīši vai neuzmanības dēļ ( 38 ).

71.

Otrkārt, vēršu uzmanību, ka VDAR 83. panta 2. punktā nav skaidri noteikts, ka pārkāpumam ir jābūt izdarītam “tīši vai neuzmanības dēļ”, tomēr šādas neskaidrības nav tās pašas tiesību normas 3. punktā, kurā ietverts vispārējs noteikums, kas nepieļauj administratīvo naudas sodu summēšanu. Šajā punktā ir minēta tikai situācija, kad attiecīgais(‑ie) pārkāpums(‑i) ir noticis(‑i) “tīši vai aiz neuzmanības”.

72.

Manuprāt, no tā loģiski izriet, ka VDAR 83. panta 2. punkts ir jāinterpretē tādējādi, ka naudas sodu var uzlikt tikai tad, ja apgalvotais pārkāpums ir noticis tīši vai neuzmanības dēļ. Patiešām, ja VDAR 83. panta 2. un 3. punkta tvērums būtu atšķirīgs, tad būtu iespējams summēt un uzlikt naudas sodus par mazāk smagiem pārkāpumiem (t. i., pārkāpumiem, kas izdarīti bez jebkādas vainas konstatācijas), jo, kaut arī par tiem joprojām var piemērot naudas sodu atbilstoši pirmajai minētajai normai (83. panta 2. punkts), uz šiem pārkāpumiem neattiektos otrais no šiem noteikumiem (83. panta 3. punkts). Tomēr tas nebūtu iespējams attiecībā uz pārkāpumiem, kas izdarīti neuzmanības dēļ vai tīši, jo uz tiem visiem attiektos minētās regulas 83. panta 3. punktā ietvertais noteikums par naudas sodu summēšanas aizliegumu. Šāds iznākums nepārprotami būtu pretrunā VDAR ieviestā sodu režīma pamatprincipam, proti, ka par smagiem pārkāpumiem principā būtu jāsoda bargāk nekā par mazāk smagiem pārkāpumiem, nevis otrādi.

73.

Treškārt, vēršu uzmanību, ka naudas sodi, kas uzlikti, piemērojot VDAR 83. pantu, var būt bargs sods. Patiešām, pirmajā līmenī, uz kuru attiecas minētās regulas 83. panta 4. punkts, var tikt uzlikts naudas sods līdz 10000000 EUR vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks. Otrais līmenis paredz naudas sodu līdz 20000000 EUR vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā apgrozījuma (arī atkarībā no tā, kuras summas apmērs ir lielāks).

74.

Līdz ar to, man šķiet, ka naudas sodiem, kas uzlikti, piemērojot VDAR 83. pantu, vismaz dažās situācijās ir represīvs mērķis ( 39 ) un tie ir tik bargi, ka tiem var būt krimināltiesisks raksturs ( 40 ), un tādējādi uzskatāmi par tādiem, uz kuriem attiecas Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 49. pants ( 41 ).

75.

Ņemot vērā šos elementus un jo īpaši atbilstoši VDAR 83. pantam piemēroto naudas sodu krimināltiesisko raksturu, varētu šķist vilinoši apgalvot, ka tādējādi šādu naudas sodu piemērošana gadījumos, kad nav konstatēta vaina, būtu nesaderīga ar šīs normas 1. punkta prasību, ka naudas sodiem visos gadījumos jābūt ne tikai “iedarbīgiem” un “atturošiem”, bet arī “samērīgiem”. Citiem vārdiem sakot, piemērot naudas sodus gadījumos, kad nav konstatēta pat neuzmanība, būtu nesamērīgi. Tomēr, manuprāt, šis arguments ir grūti pamatojams, ņemot vērā, ka Tiesa jau ir konstatējusi, ka sodu vai sankciju sistēma, kuras pamatā ir objektīvas atbildības princips, pat ja šī sistēma ir krimināltiesiska, pati par sevi nav nesamērīga ar sasniedzamajiem mērķiem, ja šī sistēma ir tāda, kas mudina attiecīgās personas ievērot regulas noteikumus, un ja sasniedzamie mērķi atbilst vispārējām interesēm, kas var pamatot šādas sistēmas ieviešanu ( 42 ). Turklāt Eiropas Cilvēktiesību tiesa (ECT) attiecībā uz Eiropas Cilvēktiesību konvencijas (ECTK) 7. pantu (kas atbilst Hartas 49. pantam) ( 43 ) ir nospriedusi: lai gan saskaņā ar šo tiesību normu sodu parasti var piemērot, ja pastāv subjektīva saikne, kas ļauj konstatēt atbildības elementu tās personas rīcībā, kura fiziski ir izdarījusi pārkāpumu, šī prasība neizslēdz dažu objektīvās atbildības veidu pastāvēšanu ( 44 ).

76.

Ņemot to vērā, no šīs judikatūras es saprotu, ka kriminālsoda piemērošanai parasti ir nepieciešams mens rea un ka tādējādi objektīva atbildība ir sava veida “izņēmums” no šā vispārējā noteikuma tādā ziņā, ka tā ir jāpamato, ņemot vērā ar regulu sasniedzamos mērķus.

77.

Ņemot vērā VDAR kopumā, man šķiet, ka Savienības likumdevējs ir paredzējis administratīvos naudas sodus tikai kā vienu no šajā instrumentā izmantotajiem rīkiem, lai nodrošinātu efektīvu atbilstību. Patiešām, naudas sodi ir jāpiemēro, “papildinot vai aizstājot” citus pasākumus, kas uzskaitīti šīs regulas 58. panta 2. punktā, ar kuru uzraudzības iestādēm tiek piešķirtas dažādas korektīvās pilnvaras (piemēram, pilnvaras izteikt brīdinājumus, rājienus vai izdot rīkojumus) ( 45 ). Turklāt situācijās, kad, piemērojot VDAR 83. pantu, netiek uzlikts administratīvais naudas sods, uzraudzības iestādēm ir iespēja piemērot citas sankcijas saskaņā ar šīs regulas 84. pantu ( 46 ).

78.

Manuprāt, šīs tiesību normas skaidri norāda, ka, pieņemot šo regulu, Savienības likumdevējs nebija paredzējis, ka par katru datu aizsardzības noteikumu pārkāpumu var tikt piemērots administratīvais naudas sods. Drīzāk tas vēlējās izveidot elastīgu un diferencētu sodu un sankciju sistēmu. To apstiprina VDAR 148. apsvērums, kurā paredzēts, ka uzraudzības iestādes var neuzlikt administratīvo naudas sodu un tā vietā izteikt rājienu “nenozīmīgu pārkāpumu gadījumā vai ja naudas sods, kādu varētu uzlikt, radītu nesamērīgu slogu fiziskai personai”. Šajā kontekstā VDAR 83. panta piemērošanas ierobežošana, attiecinot to tikai uz situācijām, kurās ir konstatēta neuzmanība, proti, minimālā prasība, manuprāt, atbilst šiem mērķiem un šo dažādo tiesību normu visaptverošajai loģikai, atbilstoši kurai administratīvu naudas sodu piemērošanai būtu jānotiek tikai par noteiktiem pārkāpumiem.

79.

Man arī šķiet, ka gadījumos, kad Savienības likumdevējs ir vēlējies VDAR ieviest stingrās vai prezumētās atbildības principu, tas to ir izdarījis, izmantojot īpašu formulējumu, kas nav izteikts VDAR 83. pantā. Piemēram, saistībā ar VDAR 82. pantā paredzēto civiltiesisko atbildību (t. i., pārziņu un apstrādātāju atbildību pret datu subjektiem) Savienības likumdevējs ir noteicis, ka pārziņiem un apstrādātājiem ir stingrs pienākums atlīdzināt kaitējumu, ko tie nodarījuši datu subjektiem, ja vien viņiem neizdodas pierādīt, ka nekādā veidā nav atbildīgi par notikumiem, ar ko nodarīts attiecīgais kaitējums ( 47 ). Turpretim šīs regulas 83. pants nav formulēts līdzīgi VDAR 84. pantam. Manuprāt, tas apstiprina, ka Savienības likumdevējs nav paredzējis ar šo tiesību normu ieviest naudas sodu sistēmu attiecībā uz stingro vai prezumēto atbildību.

80.

Ceturtkārt, uzskatu, ka, iespējams, vissvarīgākais ir tas, ka praktiski varbūtība, ka neuzmanības dēļ (šīs regulas 83. panta 2. punkta b) apakšpunkta izpratnē) netiks izdarīts kāds VDAR pārkāpums, ir ļoti zema, tāpēc jebkurā gadījumā ir grūti paredzēt situācijas, kad nebūs iespējams uzlikt naudas sodu tikai tāpēc vien, ka šis elements nav konstatējams. Es uzskatu, ka tas vien, ka atbilstoši regulas 83. pantam, pirms tiek piemērots naudas sods, ir jākonstatē neuzmanība, neapdraud Savienības tiesiskā regulējuma mērķi nodrošināt datu aizsardzības noteikumu efektīvu īstenošanu, bet gan ir tieši pretēji.

81.

Šajā ziņā daži ir apgalvojuši, ka tikai bezdarbība situācijā, kad pārzinim vai apstrādātājam ir tikai šaubas par veiktās apstrādes likumību, jau ir apzināta piekrišana potenciāli pārkāpt VDAR un tādējādi rupja neuzmanība ( 48 ). Turklāt 29. panta datu aizsardzības darba grupa ir norādījusi, ka neuzmanības dēļ izdarīts pārkāpums daudzējādā ziņā ir pielīdzināms “netīšam” pārkāpumam, jo, tās ieskatā, šāds pārkāpums var pastāvēt, kad nav bijis nodoma izraisīt pārkāpumu un ka pārzinis vai apstrādātājs vienkārši nav izpildījis rūpības pienākumu ( 49 ). Proti, tā ir konstatējusi, ka pat visparastākā “cilvēku kļūda” ( 50 ) var liecināt par neuzmanību.

82.

Manuprāt, var izdarīt divus secinājumus. Pirmkārt, robeža starp pilnīgi netīšu pārkāpumu (bez vainas) un pārkāpumu neuzmanības dēļ patiesībā ir ļoti smalka. Esmu pārliecināts, ka uzraudzības iestādēm reti kad būs grūtības konstatēt pietiekami daudz elementu, lai pierādītu, ka iespējamais pārkāpums ir noticis vismaz neuzmanības dēļ. Šajā ziņā vēršu uzmanību, ka literatūrā ir norādīts, ka, “ņemot vērā daudzos informētības veicināšanas pasākumus, lai nodrošinātu atbilstību VDAR, ir grūti iedomāties VDAR pārkāpumus, kuros nebūtu konstatējama vismaz neuzmanība” ( 51 ). Es pilnīgi piekrītu un atgādinu, ka VDAR ir īpaši paredzēts nodrošināt, ka pārziņi un apstrādātāji pārzina datu aizsardzības noteikumus, un tas, manuprāt, vēl vairāk apgrūtina iespēju piekrist uzskatam, ka pārkāpuma gadījumā nebūtu konstatējama vaina (pat ne neuzmanība) ( 52 ).

83.

Otrkārt, šķiet, ka šis iznākums pilnībā atbilst VDAR galvenajam mērķim – nepārtraukti augstā līmenī aizsargāt fiziskas personas Eiropas Savienībā ( 53 ). Naudas sodiem patiešām ir atturoša ietekme ( 54 ). Tie rada pārziņiem un apstrādātājiem pietiekamu stimulu ievērot VDAR, tāpēc tie kopumā veicina datu subjektu aizsardzības stiprināšanu un tādējādi ir būtisks elements, lai nodrošinātu viņu tiesību ievērošanu ( 55 ). Manuprāt, no tā izriet, ka, lai gan nevar atteikties no prasības konstatēt “vainu”, minētās regulas 83. panta piemērošanai nepieciešamā vainas pakāpe ir pietiekami zema, lai nodrošinātu datu subjektiem pienācīgu aizsardzības līmeni.

84.

Turklāt vēlos uzsvērt, ka šī pieeja, ko piedāvāju Tiesai izmantot, apstiprina, ka ar šo tiesību normu ieviestā naudas sodu sistēma ir saskaņota ar naudas sodu sistēmu, kas Regulas (EK) Nr. 1/2003 ( 56 ) 23. panta 1. punktā ir paredzēta par konkurences tiesību pārkāpumiem, kas ir arī piemērojama tikai tad, ja konstatēts nodoms vai neuzmanība. To, ka šī cita naudas sodu sistēma ir pamatā VDAR 83. panta formulējumam, apstiprina VDAR 150. apsvērums, kurā ir noteikts: “Ja administratīvie naudas sodi tiek uzlikti uzņēmumam, minētajā nolūkā uzņēmums būtu jāsaprot kā uzņēmums saskaņā ar LESD 101. un 102. pantu”, kā arī citas šo divu naudas sodu sistēmu līdzības, piemēram, tas, ka abās sistēmās naudas sodu apmērs uzņēmumiem var būt atkarīgs no to apgrozījuma. Vēršu arī uzmanību, ka vairāki VDAR 83. panta 2. punktā uzskaitītie elementi atspoguļo tos, kas ir būtiski naudas soda apmēra noteikšanai par konkurences tiesību pārkāpumiem ( 57 ).

85.

Esmu izklāstījis iemeslus, kādēļ uzskatu, ka, pirms pārzinim vai apstrādātājam var uzlikt naudas sodu, piemērojot VDAR 83. panta 2. punktu, ir jākonstatē vaina, un vēlos pateikt vēl dažus apsvērumus par Padomes un Lietuvas valdības izvirzīto argumentāciju. Šie lietas dalībnieki uzskata, ka dalībvalstis drīkst pašas izlemt, vai pirms administratīvā naudas soda uzlikšanas ir vai nav nepieciešama vainas konstatācija.

86.

Es nepiekrītu šim ierosinājumam.

87.

Man ir skaidrs, ka viens no VDAR, jo īpaši tās 83. panta, galvenajiem mērķiem bija panākt lielāku saskaņotību visā Eiropas Savienībā, konkrēti attiecībā uz naudas sodu piemērošanu ( 58 ). Tāpēc es uzskatu, ka pretēji tam, ko apgalvo Padome un Lietuvas valdība, Savienības likumdevējs nav paredzējis, ka dalībvalstīm ir rīcības brīvība lemt par to, vai vainas konstatācija ir nepieciešama vai nav.

88.

Taisnība, ka valsts tiesību aktos var būt paredzētas papildu prasības (tādos jautājumos kā paziņošana par naudas sodu, termiņi iebildumu iesniegšanai, pārsūdzībai, izpildei un samaksai) attiecībā uz procedūru, kas uzraudzības iestādēm jāievēro, uzliekot naudas sodu ( 59 ). Tas skaidri izriet no VDAR 83. panta 8. punkta, kurā noteikts, ka uzraudzības iestādes tām noteikto pilnvaru uzlikt naudas sodu īstenošanai “piemēro atbilstošas procesuālas garantijas” saskaņā ar valsts tiesību aktiem, ja vien tiek nodrošināta Savienības tiesību (it īpaši attiecībā uz efektīvu tiesību aizsardzību tiesā un pienācīgu procedūru) ievērošana.

89.

Tomēr šī rīcības brīvība nevar tikt attiecināta uz pamatprasībām, kas piemērojamas naudas soda uzlikšanai, piemēram, uz vainas pakāpi. Šāds secinājums, manuprāt, tieši izriet no vairākiem šīs regulas apsvērumiem ( 60 ), kuros norādīts, ka, ar VDAR 83. pantu ieviešot administratīvo naudas sodu sistēmu, Savienības likumdevējs bija paredzējis panākt konsekventus rezultātus visā Eiropas Savienības teritorijā.

90.

Pilnības labad vēlos piebilst, ka, ņemot vērā to, ka naudas sodiem ir spēcīga ietekme uz konkurenci starp uzņēmumiem, kā arī spēcīga ietekme uz tirgu, manuprāt, ir būtiski VDAR 83. pantu piemērot konsekventi, pretējā gadījumā tas faktiski varētu veicināt konkurences izkropļojumus starp uzņēmumiem ( 61 ).

91.

Ar sestā jautājuma otro daļu iesniedzējtiesa būtībā vēlas noskaidrot, vai pārzinim var uzlikt naudas sodu, piemērojot VDAR 83. pantu, ja personas datu nelikumīgu apstrādi nav veicis pats pārzinis, bet gan apstrādātājs (šajā gadījumā ITSS).

92.

Uzskatu, ka uz šo jautājumu ir jāatbild apstiprinoši.

93.

Šajā ziņā atgādinu –kā jau esmu norādījis27. punktā, pārzinim nav nepieciešams pašam apstrādāt personas datus, ja vien tas nosaka, “kāpēc un kā” veicamas attiecīgās apstrādes darbības. Turklāt vēršu uzmanību, ka VDAR 4. panta 8. punktā “apstrādātājs” ir definēts kā “fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus” ( 62 ).

94.

Šīs definīcijas, manuprāt, apstiprina, ka VDAR piemērošanas kontekstā pārzini var saukt pie atbildības un tātad arī sodīt saskaņā ar šīs regulas 83. pantu situācijā, kad personas datus apstrādā nelikumīgi un šo nelikumīgo apstrādi veic nevis pats pārzinis, bet apstrādātājs. Šī iespēja pastāv tik ilgi, kamēr šāds apstrādātājs var apstrādāt personas datus pārziņa vārdā.

95.

Tā pastāvēs tik ilgi, kamēr vien apstrādātājs darbosies atbilstoši pārziņa piešķirtajām pilnvarām un apstrādās datus saskaņā ar pārziņa dotajiem likumīgajiem norādījumiem ( 63 ). Tomēr, ja apstrādātājs pārsniedz šo pilnvarojumu un datus, ko tas saņēmis kā apstrādātājs, izmanto savām vajadzībām un ja ir skaidrs, ka puses nav “kopīgi pārziņi” VDAR 4. panta 7. punkta un 21. panta 6. punkta izpratnē, tad, manuprāt, pārzinim nevar piemērot regulas 83. pantu un uzlikt naudas sodu par notikušo nelikumīgo apstrādi ( 64 ).

96.

No tā izriet, ka pamatlietas gadījumā NVSC atbilstoši VDAR 83. pantam var tikt uzlikts naudas sods saskaņā ar šo tiesību normu, lai gan personas datus nelikumīgi apstrādāja tikai ITSS un NVSC nepiedalījās apstrādē. Šāda iespēja pastāv tik ilgi, kamēr var uzskatīt, ka šis uzņēmums ir apstrādājis personas datus NVSC vārdā, bet tā vairs nepastāvēs, ja tiks konstatēts, ka ITSS rīkojās, neievērojot NVSC likumīgos norādījumus vai pretēji tiem, un izmantoja personas datus savām vajadzībām, un ja ir skaidrs, ka NVSC un ITSS nedarbojās kā kopīgi pārziņi.

97.

Ņemot vērā iepriekš minētos apsvērumus, iesaku Tiesai uz Vilniaus apygardos administracinis teismas (Viļņas Administratīvā apgabaltiesa, Lietuva) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi: