–

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos vārdā – G. Aleksienė,

–

Valstybinė duomenų apsaugos inspekcija vārdā – R. Andrijauskas,

–

Lietuvas valdības vārdā – V. Kazlauskaitė‑Švenčionienė, pārstāve,

–

Nīderlandes valdības vārdā – C. S. Schillemans, pārstāve,

–

Eiropas Savienības Padomes vārdā – R. Liudvinavičiūtė un K. Pleśniak, pārstāvji,

–

Eiropas Komisijas vārdā – A. Bouchagiar, H. Kranenborg un A. Steiblytė, pārstāvji,

1

Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 4. panta 2. un 7. punktu, 26. panta 1. punktu, kā arī 83. panta 1. punktu.

2

Šis lūgums ir iesniegts saistībā ar tiesvedību starp Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Veselības ministrijas pakļautībā esošais Nacionālais sabiedrības veselības centrs, Lietuva, turpmāk tekstā – “NSVC”) un Valstybinė duomenų apsaugos inspekcija (Valsts datu aizsardzības inspekcija, Lietuva, turpmāk tekstā – “VDAI”) par lēmumu, ar kuru pēdējā minētā atbilstoši VDAR 83. pantam NSVC piemēroja administratīvu naudas sodu par šīs regulas 5., 13., 24., 32. un 35. panta pārkāpumu.

3

VDAR 9., 10., 11., 13., 26., 74., 79., 129. un 148. apsvērumā ir paredzēts:

[..]

[..]

[..]

[..]

[..]

[..]

4

Saskaņā ar šīs regulas 4. pantu:

“Šajā regulā:

[..]

[..]

[..].”

5

Šīs regulas 26. panta “Kopīgi pārziņi” 1. punktā ir paredzēts:

“Ja divi vai vairāki pārziņi kopīgi nosaka apstrādes mērķus un veidus, tie ir kopīgi pārziņi. Kopīgi pārziņi pārredzamā veidā nosaka savus attiecīgos pienākumus, lai izpildītu šajā regulā uzliktās saistības, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un pārziņu attiecīgajiem pienākumiem sniegt 13. un 14. pantā minēto informāciju; pārziņi pienākumus nosaka, savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie pārziņu pienākumi ir noteikti saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami pārziņiem. Ar vienošanos var noteikt datu subjektu kontaktpunktu.”

6

Šīs pašas regulas 28. panta “Apstrādātājs” 10. punktā ir paredzēts:

“Neskarot 82., 83. un 84. pantu – ja apstrādātājs pārkāpj šo regulu, nosakot apstrādes nolūkus un līdzekļus, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.”

7

VDAR 58. panta “Pilnvaras” 2. punktā noteikts:

“Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras:

[..]

[..]

[..]

[..].”

8

Šīs regulas 83. pantā “Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu” ir paredzēts:

“1.   Katra uzraudzības iestāde nodrošina, ka par 4., 5. un 6. punktā minētajiem šīs regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.

2.   Administratīvie naudas sodi atkarībā no katras konkrētās lietas apstākļiem tiek piemēroti, papildinot 58. panta 2. punkta a)–h) apakšpunktā un j) apakšpunktā minētos pasākumus vai šo pasākumu vietā. Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

3.   Ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

4.   Administratīvus naudas sodus apmērā līdz 10000000 EUR, vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

a) pārziņa un apstrādātāja pienākumi saskaņā ar 8., 11., 25.–39., 42. un 43. pantu;

[..]

5.   Administratīvus naudas sodus apmērā līdz 20000000 EUR, vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

[..]

[..]

6.   Saskaņā ar šā panta 2. punktu par 58. panta 2. punktā minētā uzraudzības iestādes rīkojuma neievērošanu piemēro administratīvus naudas sodus apmērā līdz 20000000 EUR vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.

7.   Neskarot 58. panta 2. punktā paredzētās uzraudzības iestāžu korektīvās pilnvaras, katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kas veic uzņēmējdarbību minētajā dalībvalstī.

8.   Uzraudzības iestādes pilnvaru veikšanai saskaņā ar šo pantu piemēro atbilstošas procesuālas garantijas saskaņā ar Savienības un dalībvalsts tiesību aktiem, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgu procedūru ievērošanu.

[..]”

9

Minētās regulas 84. panta “Sankcijas” 1. punktā ir paredzēts:

“Dalībvalstis paredz noteikumus par citām sankcijām, ko piemēro par šīs regulas pārkāpumiem, jo īpaši pārkāpumiem, par kuriem nav paredzēti administratīvi naudas sodi saskaņā ar 83. pantu, un veic visus nepieciešamos pasākumus, lai nodrošinātu, ka šos noteikumus īsteno. Minētās sankcijas ir iedarbīgas, samērīgas un atturošas.”

10

Viešųjų pirkimų įstatymas (Likums par publisko iepirkumu) 29. panta 3. punktā ir minēti noteikti apstākļi, kādos līgumslēdzējai iestādei jebkurā brīdī pirms publiskā iepirkuma (vai sākotnējā līguma) noslēgšanas vai konkursa uzvarētāja noteikšanas ir vai nu tiesības, vai pienākums atsaukt uzaicinājumus iesniegt piedāvājumus vai konkursa procedūras, kas uzsāktas pēc tās iniciatīvas.

11

Likuma par publisko iepirkumu 72. panta 2. punktā ir paredzēti sarunu posmi, kurus līgumslēdzēja iestāde īsteno publiskā iepirkuma sarunu procedūrā bez iepriekšējas publicēšanas.

12

Saistībā ar Covid‑19 vīrusa izraisīto pandēmiju Lietuvos Respublikos sveikatos apsaugos ministras (Lietuvas Republikas veselības ministrs) ar pirmo 2020. gada 24. marta lēmumu uzdeva NSVC direktoram epidemioloģiskās uzraudzības vajadzībām organizēt tūlītēju informātikas sistēmas iegādi, lai reģistrētu un uzraudzītu datus par personām, kas saskārušās ar šo vīrusu.

13

Ar 2020. gada 27. marta e‑pasta vēstuli persona, kas stādījās priekšā kā NSVC pārstāvis (turpmāk tekstā – “A.S.”), informēja sabiedrību UAB“IT sprendimai sėkmei” (turpmāk tekstā – “sabiedrība ITSS”), ka NSVC to ir izvēlējies minētajam mērķim paredzētas mobilās lietotnes izveidošanai. Vēlāk A.S. sabiedrībai ITSS nosūtīja e‑pasta vēstules par dažādiem šīs lietotnes aspektiem, šo vēstuļu kopiju nosūtot arī NSVC direktoram.

14

Sarunu laikā starp sabiedrību ITSS un NSVC ne tikai A.S., bet arī citi NSVC darbinieki nosūtīja šai sabiedrībai e‑pasta vēstules par attiecīgajā mobilajā lietotnē uzdoto jautājumu formulēšanu.

15

Šīs mobilās lietotnes tapšanas gaitā tika izstrādāti privātuma aizsardzības noteikumi, kuros sabiedrība ITSS un NSVC tika noteikti par pārziņiem.

16

Attiecīgā mobilā lietotne, kurā minēta sabiedrība ITSS un NSVC, no 2020. gada 4. aprīļa bija pieejama lejupielādei tiešsaistes veikalā Google Play Store un no 2020. gada 6. aprīļaApple tiešsaistes veikalā App Store. Tā darbojās līdz 2020. gada 26. maijam.

17

Laikposmā no 2020. gada 4. aprīļa līdz 2020. gada 26. maijam 3802 personas izmantoja šo lietotni un sniedza savus datus, kas tika prasīti šajā lietotnē, piemēram, identifikācijas numuru, ģeogrāfiskās koordinātas (platumu un garumu), valsti, pilsētu, pašvaldību, pasta indeksu, ielas nosaukumu, mājas numuru, uzvārdu, vārdu, personas kodu, tālruņa numuru un adresi.

18

Ar otro 2020. gada 10. aprīļa lēmumu Lietuvas Republikas veselības ministrs nolēma uzticēt NSVC direktoram organizēt attiecīgās mobilās lietotnes iegādi no sabiedrības ITSS, un šim nolūkam bija paredzēts piemērot Likuma par publisko iepirkumu 72. panta 2. punktu. Tomēr šai sabiedrībai netika piešķirts neviens publisks līgums, saskaņā ar kuru NSVC oficiāli iegādājas šo lietotni.

19

Proti, 2020. gada 15. maijā NSVC lūdza šai sabiedrībai to nekādi neminēt attiecīgajā mobilajā lietotnē. Turklāt ar 2020. gada 4. jūnija vēstuli NSVC informēja minēto sabiedrību, ka šīs lietotnes iegādei paredzētā finansējuma trūkuma dēļ tā saskaņā ar Likuma par publisko iepirkumu 29. panta 3. punktu ir izbeigusi šo iepirkuma procedūru.

20

2020. gada 18. maijā sāktajā personas datu apstrādes izmeklēšanā VDAI konstatēja, ka, izmantojot attiecīgo mobilo lietotni, ir savākti personas dati. Turklāt tika konstatēts, ka lietotāji, kas bija izvēlējušies šo lietotni kā uzraudzības metodi izolācijai, kura Covid‑19 pandēmijas dēļ bija obligāta, bija atbildējuši uz jautājumiem, kas ietver personas datu apstrādi. Šie dati bija sniegti atbildēs uz minētajā lietotnē uzdotajiem jautājumiem, un tie citastarp attiecās uz datu subjekta veselības stāvokli un to, vai tas ievēro izolācijas nosacījumus.

21

Ar 2021. gada 24. februāra lēmumu VDAI saskaņā ar VDAR 83. pantu piemēroja NSVC administratīvo naudas sodu 12000 EUR apmērā par šīs regulas 5., 13., 24., 32. un 35. panta pārkāpumu. Ar šo lēmumu sabiedrībai ITSS kā kopīgajam pārzinim arī tika piemērots administratīvais naudas sods 3000 EUR apmērā.

22

NSVC šo lēmumu apstrīdēja Vilniaus apygardos administracinis teismas (Viļņas Administratīvā apgabaltiesa, Lietuva), kas ir iesniedzējtiesa, norādot, ka par vienīgo pārzini VDAR 4. panta 7. punkta izpratnē ir jāuzskata sabiedrība ITSS. Savukārt sabiedrība ITSS apgalvo, ka tā ir darbojusies kā apstrādātājs VDAR 4. panta 8. punkta izpratnē saistībā ar NSVC norādījumiem, un tas, pēc tās domām, ir vienīgais pārzinis.

23

Iesniedzējtiesa norāda, ka sabiedrība ITSS ir izveidojusi attiecīgo mobilo lietotni un ka NSVC to ir konsultējis par šajā lietotnē iekļaujamo jautājumu saturu. Tomēr starp NSVC un sabiedrību ITSS neesot publiskā iepirkuma līguma. Turklāt NSVC neesot nedz piekritis, nedz atļāvis šo lietotni darīt pieejamu dažādos tiešsaistes veikalos.

24

Šī tiesa precizē, ka attiecīgās mobilās lietotnes izveides mērķis bija īstenot NSVC izvirzīto mērķi, proti, ar informātikas rīka palīdzību pārvaldīt Covid‑19 pandēmiju, un ka šajā nolūkā bija paredzēts apstrādāt personas datus. Attiecībā uz sabiedrības ITSS lomu neesot bijis paredzēts, ka šai sabiedrībai būtu citi mērķi, kā vien saņemt atlīdzību par radīto informātikas produktu.

25

Minētā tiesa arī norāda, ka VDAI izmeklēšanas laikā tika konstatēts, ka Lietuvas sabiedrībai Juvare Lithuania, kas pārvalda informātikas sistēmu lipīgo infekcijas slimību uzraudzībai un kontrolei, ir jāsaņem to personas datu kopijas, kuri savākti, izmantojot attiecīgo mobilo lietotni. Turklāt, lai lietotni pārbaudītu, tika izmantoti fiktīvi dati, izņemot minētās sabiedrības darbinieku tālruņa numurus.

26

Šādos apstākļos Vilniaus apygardos administracinis teismas (Viļņas Administratīvā apgabaltiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

27

Ar pirmo līdz trešo jautājumu, kuri jāizskata kopā, iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 4. panta 7. punkts ir jāinterpretē tādējādi, ka par pārzini šīs tiesību normas izpratnē var tikt uzskatīta struktūra, kas uzņēmumam ir uzticējusi izstrādāt mobilo lietotni, lai gan šī struktūra pati nav veikusi personas datu apstrādes darbības, tā nav skaidri devusi savu piekrišanu konkrētu šādas apstrādes darbību veikšanai vai šīs mobilās lietotnes nodošanai sabiedrības rīcībā un nav iegādājusies minēto mobilo lietotni.

28

VDAR 4. panta 7. punktā jēdziens “pārzinis” ir definēts plaši kā fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām “nosaka personas datu apstrādes nolūkus un līdzekļus”.

29

Šīs plašās definīcijas nolūks atbilstoši VDAR mērķim ir nodrošināt fizisko personu pamattiesību un brīvību efektīvu aizsardzību, kā arī tostarp ikvienas personas tiesību uz savu personas datu augsta līmeņa aizsardzību (šajā nozīmē skat. spriedumus, 2019. gada 29. jūlijs, Fashion ID, C‑40/17, EU:C:2019:629, 66. punkts, un 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 73. punkts, kā arī tajā minētā judikatūra).

30

Tiesa ir arī nospriedusi, ka ikviena fiziska vai juridiska persona, kura saviem mērķiem ietekmē šādu datu apstrādi un tāpēc piedalās šīs apstrādes nolūku un mērķu noteikšanā, var tikt uzskatīta par minētās apstrādes pārzini. Tomēr nav nepieciešams, lai apstrādes nolūki un līdzekļi tiktu noteikti saskaņā ar pārziņa rakstveida pamatnostādnēm vai ieteikumiem (šajā nozīmē skat. spriedumu, 2018. gada 10. jūlijs, Jehovan todistajat, C‑25/17, EU:C:2018:551, 67. un 68. punkts), ne arī tas, ka šī persona par tādu ir formāli iecelta.

31

Līdz ar to, lai noteiktu, vai tāda struktūra kā NSVC var tikt uzskatīta par pārzini VDAR 4. panta 7. punkta izpratnē, ir jāpārbauda, vai šī struktūra saviem mērķiem patiešām ir ietekmējusi šīs apstrādes nolūku un līdzekļu noteikšanu.

32

Šajā gadījumā, neskarot pārbaudes, kas jāveic iesniedzējtiesai, no Tiesas rīcībā esošajiem lietas materiāliem izriet, ka attiecīgās mobilās lietotnes izveidi pasūtīja NSVC un tā nolūks bija īstenot savu izvirzīto mērķi, proti, ar informātikas rīka palīdzību pārvaldīt Covid‑19 pandēmiju un reģistrēt un uzraudzīt to personu datus, kuras ir saskārušās ar Covid‑19 vīrusu. NSVC bija paredzējis, ka šim mērķim tiks apstrādāti mobilās lietotnes lietotāju personas dati. Turklāt no lūguma sniegt prejudiciālu nolēmumu izriet, ka tādi šīs lietotnes parametri kā uzdotie jautājumi un to formulējums tika pielāgoti NSVC vajadzībām un tam ir bijusi aktīva loma to izstrādē.

33

Šādos apstākļos principā ir jāuzskata, ka NSVC faktiski piedalījās apstrādes nolūku un līdzekļu noteikšanā.

34

Savukārt tas vien, ka NSVC attiecīgās mobilās lietotnes privātuma aizsardzības noteikumos tika minēts kā pārzinis un ka šajā lietotnē tika iekļautas saites uz šo struktūru, varētu tikt uzskatīts par būtisku tikai tad, ja tiktu pierādīts, ka NSVC ir tieši vai netieši piekritis šai norādei vai šīm saitēm.

35

Turklāt apstākļi, kurus iesniedzējtiesa minējusi saistībā ar apsvērumiem, kas izvirzīti tās pirmo trīs prejudiciālo jautājumu atbalstam, proti, ka NSVC pats nav apstrādājis personas datus, ka nav līguma starp NSVC un sabiedrību ITSS, ka NSVC nav iegādājies attiecīgo mobilo lietotni vai ka NSVC nav atļāvis šīs lietotnes izplatīšanu tiešsaistes veikalos, neizslēdz, ka NSVC varētu tikt kvalificēts kā “pārzinis” VDAR 4. panta 7. punkta izpratnē.

36

Proti, no šīs tiesību normas, lasot to kopsakarā ar VDAR 74. apsvērumu, izriet, ka struktūra, ja tā atbilst minētajā 4. panta 7. punktā paredzētajam nosacījumam, ir atbildīga ne tikai par jebkādu personas datu apstrādi, kuru tā veic pati, bet arī par to, kas tiek veikta tās vārdā.

37

Šajā ziņā tomēr jāprecizē, ka NSVC nevar tikt uzskatīts par personas datu apstrādes, kas izriet no attiecīgās mobilās lietotnes publiskošanas, pārzini, ja pirms šīs publiskošanas tas ir skaidri iebildis pret to, taču tas ir jāpārbauda iesniedzējtiesai. Proti, šādā gadījumā nevar uzskatīt, ka attiecīgā apstrāde būtu veikta NSVC vārdā.

38

Ņemot vērā iepriekš minētos iemeslus, uz pirmo līdz trešo jautājumu ir jāatbild, ka VDAR 4. panta 7. punkts ir jāinterpretē tādējādi, ka par pārzini šīs tiesību normas izpratnē var tikt uzskatīta struktūra, kas uzņēmumam ir uzticējusi izstrādāt mobilo lietotni un kas šajā kontekstā ir piedalījusies ar šo lietotni veiktās personas datu apstrādes nolūku un līdzekļu noteikšanā, pat ja šī struktūra pati nav veikusi šādu datu apstrādes darbības, nav skaidri devusi piekrišanu konkrētu šādas apstrādes darbību veikšanai vai minētās mobilās lietotnes publiskošanai un nav iegādājusies šo mobilo lietotni, ja vien pirms šīs publiskošanas minētā struktūra nav skaidri iebildusi pret to un no tās izrietošo personas datu apstrādi.

39

Ar piekto jautājumu, kas jāizskata kā nākamais, iesniedzējtiesa būtībā vaicā, vai VDAR 4. panta 7. punkts un 26. panta 1. punkts ir jāinterpretē tādējādi, ka divu struktūru kvalificēšana par kopīgiem pārziņiem paredz, ka šīm struktūrām ir jānoslēdz vienošanās par attiecīgo personas datu apstrādes nolūku un līdzekļu noteikšanu vai arī ir jānoslēdz vienošanās, kurā paredzēti nosacījumi attiecībā uz kopīgu atbildību par apstrādi.

40

Saskaņā ar VDAR 26. panta 1. punktu “kopīgi pārziņi” ir tad, ja divi vai vairāki pārziņi kopīgi nosaka apstrādes mērķus [nolūkus] un veidus [līdzekļus].

41

Kā Tiesa ir nospriedusi – lai fizisku vai juridisku personu varētu uzskatīt par kopīgu pārzini, tai ir neatkarīgi jāatbilst VDAR 4. panta 7. punktā ietvertajai “pārziņa” definīcijai (šajā nozīmē skat. spriedumu, 2019. gada 29. jūlijs, Fashion ID, C‑40/17, EU:C:2019:629, 74. punkts).

42

Tomēr kopīgas atbildības esamība ne vienmēr nozīmē, ka dažādie subjekti, uz kuriem attiecas personas datu apstrāde, ir vienlīdz atbildīgi. Gluži pretēji, šie subjekti var būt iesaistīti dažādos šīs apstrādes posmos un atšķirīgā apmērā, un tāpēc tas, cik lielā mērā katrs no tiem ir atbildīgs, ir jāvērtē, ņemot vērā visus būtiskos lietas apstākļus (spriedums, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, 43. punkts). Turklāt netiek prasīts, lai gadījumā, kad par vienu apstrādi kopīgi atbild vairāki subjekti, attiecīgie personas dati būtu pieejami katram no tiem (spriedums, 2018. gada 10. jūlijs, Jehovan Todistajat, C‑25/17, EU:C:2018:551, 69. punkts un tajā minētā judikatūra).

43

Kā secinājumu 38. punktā norādījis ģenerāladvokāts, dalība apstrādes nolūku un līdzekļu noteikšanā var tikt īstenota dažādos veidos – šī dalība var izrietēt gan no divu vai vairāku struktūru kopīgi pieņemta lēmuma, gan no šādu struktūru saskaņotiem lēmumiem. Pēdējā minētajā gadījumā šiem lēmumiem ir jābūt papildinošiem tādējādi, ka katram no tiem ir konkrēta ietekme uz apstrādes nolūku un līdzekļu noteikšanu.

44

Taču nevar tikt prasīts, lai starp šiem pārziņiem būtu oficiāla vienošanās par apstrādes nolūkiem un līdzekļiem.

45

Protams, saskaņā ar VDAR 26. panta 1. punktu, aplūkojot to šī regulas 79. apsvēruma kontekstā, kopīgajiem pārziņiem, savstarpēji vienojoties, pārredzamā veidā ir jānosaka attiecīgie pienākumi, lai izpildītu šajā regulā uzliktās saistības. Tomēr šādas vienošanās esamība ir nevis priekšnosacījums tam, lai divas vai vairākas struktūras varētu kvalificēt kā kopīgus pārziņus, bet gan pienākums, kas 26. panta 1. punktā ir noteikts kopīgajiem pārziņiem, tiklīdz tie kā tādi tiek kvalificēti, lai nodrošinātu tiem noteikto VDAR prasību ievērošanu. Tādējādi šī kvalifikācija izriet tikai no tā vien, ka apstrādes nolūku un līdzekļu noteikšanā ir piedalījušās vairākas struktūras.

46

Ņemot vērā iepriekš minētos iemeslus, uz piekto jautājumu ir jāatbild, ka VDAR 4. panta 7. punkts un 26. panta 1. punkts ir jāinterpretē tādējādi, ka, lai divas struktūras kvalificētu kā kopīgus pārziņus, nav nepieciešams, lai šīs struktūras būtu noslēgušas vienošanos par attiecīgo personas datu apstrādes nolūku un līdzekļu noteikšanu, ne arī, lai tās būtu noslēgušas vienošanos, kurā paredzēti nosacījumi kopīgai atbildībai par apstrādi.

47

Ar ceturto jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 4. panta 2. punkts ir jāinterpretē tādējādi, ka “apstrāde” šīs tiesību normas izpratnē ir personas datu izmantošana mobilās lietotnes testēšanai.

48

Šajā gadījumā, kā izriet no šī sprieduma 25. punkta, Lietuvas sabiedrībai, kas pārvalda lipīgu infekcijas slimību uzraudzības un kontroles sistēmu, bija jāsaņem ar attiecīgo mobilo lietotni savākto personas datu kopijas. Lietotnes testēšanai tika izmantoti fiktīvi dati, izņemot minētās sabiedrības darbinieku tālruņa numurus.

49

Šajā ziņā, pirmkārt, VDAR 4. panta 2. punktā jēdziens “apstrāde” ir definēts kā “jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem”. Neizsmeļošajā uzskaitījumā, ko ievada vārds “piemēram”, šajā tiesību normā kā apstrādes piemēri ir minētas personas datu vākšana, izpaušana un to izmantošana.

50

No šīs tiesību normas, konkrēti – vārdkopas “jebkura [..] darbība”, formulējuma tātad izriet, ka jēdzienu “apstrāde” Savienības likumdevējs ir vēlējies apveltīt ar plašu tvērumu (šajā nozīmē skat. spriedumu, 2022. gada 24. februāris, Valsts ieņēmumu dienests (Personas datu apstrāde nodokļu vajadzībām), C‑175/20, EU:C:2022:124, 35. punkts) un ka iemesli, kuru dēļ tiek veikta darbība vai darbību kopums, nevar tikt ņemti vērā, lai noteiktu, vai šī darbība vai darbību kopums ir “apstrāde” VDAR 4. panta 2. punkta izpratnē.

51

Tāpēc jautājums, vai personas dati tiek izmantoti lietotnes testu vajadzībām vai citam nolūkam, neietekmē attiecīgās darbības kvalificēšanu kā “apstrādi” VDAR 4. panta 2. punkta izpratnē.

52

Otrkārt, tomēr jāprecizē, ka tikai apstrāde, kas attiecas uz “personas datiem”, ir “apstrāde” VDAR 4. panta 2. punkta izpratnē.

53

VDAR 4. panta 1. punktā ir precizēts, ka “personas dati” ir “jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu”, proti, tādu “fizisku personu, kuru var tieši vai netieši identificēt, jo īpaši, atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”.

54

Apstāklis – uz kuru savā ceturtajā jautājumā atsaucas iesniedzējtiesa –, ka runa ir par “personas datu kopijām”, pats par sevi nevar liegt šīs kopijas uzskatīt par personas datiem VDAR 4. panta 1. punkta izpratnē, ja vien šādās kopijās patiešām ir informācija, kas attiecas uz identificētu vai identificējamu fizisku personu.

55

Tomēr jākonstatē, ka fiktīvi dati, tā kā tie attiecas nevis uz identificētu vai identificējamu fizisku personu, bet gan uz personu, kura patiesībā nepastāv, nav personas dati VDAR 4. panta 1. punkta izpratnē.

56

Tas pats attiecas uz datiem, kas izmantoti lietotnes testēšanai un kas ir anonīmi vai ir anonimizēti.

57

Proti, no VDAR 26. apsvēruma, kā arī no jēdziena “personas dati” definīcijas, kas sniegta šīs regulas 4. panta 1. punktā, izriet, ka šajā jēdzienā neietilpst ne “anonīma informācija, proti, informācija, kura neattiecas uz identificētu vai identificējamu fizisku personu”, ne “personas dati, ko sniedz anonīmi tādā veidā, ka datu subjekts nav vai vairs nav identificējams”.

58

Savukārt no VDAR 4. panta 5. punkta, lasot to kopsakarā ar šīs regulas 26. apsvērumu, izriet, ka tikai pseidonimizēti personas dati, kurus, izmantojot papildu informāciju, ir iespējams saistīt ar kādu fizisku personu, ir jāuzskata par informāciju, kas attiecas uz identificējamu fizisku personu un kam ir piemērojami datu aizsardzības principi.

59

Ņemot vērā iepriekš minēto pamatojumu, uz ceturto jautājumu ir jāatbild, ka VDAR 4. panta 2. punkts ir jāinterpretē tādējādi, ka personas datu izmantošana mobilās lietotnes testēšanas vajadzībām ir “apstrāde” šīs tiesību normas izpratnē, ja vien šie dati nav anonimizēti tiktāl, ka datu subjekts, uz kuru attiecas šie dati, nav vai vairs nav identificējams, vai ja tie ir fiktīvi dati, kas neattiecas uz reālu fizisku personu.

60

Ar sesto jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 83. pants ir jāinterpretē tādējādi, ka, pirmkārt, administratīvs naudas sods atbilstoši šai normai var tikt piemērots tikai tad, ja ir pierādīts, ka pārzinis šī panta 4.–6. punktā paredzēto pārkāpumu ir izdarījis tīši vai aiz neuzmanības, un, otrkārt, šāds naudas sods pārzinim var tikt piemērots saistībā ar apstrādes darbībām, ko tā vārdā veicis apstrādātājs.

61

Pirmām kārtām, attiecībā uz to, vai administratīvs naudas sods atbilstoši VDAR 83. pantam var tikt piemērots tikai tad, ja ir pierādīts, ka pārzinis kādu šī panta 4.–6. punktā paredzēto pārkāpumu ir izdarījis tīši vai aiz neuzmanības, no minētā panta 1. punkta izriet, ka šiem naudas sodiem ir jābūt iedarbīgiem, samērīgiem un atturošiem. Taču VDAR 83. pantā nav skaidri precizēts, ka par šādu pārkāpumu šāds naudas sods var tikt piemērots tikai tad, ja tas ir izdarīts tīši vai vismaz neuzmanības dēļ.

62

Lietuvas valdība un Eiropas Savienības Padome no tā secina, ka Savienības likumdevējs ir vēlējies atstāt dalībvalstīm zināmu rīcības brīvību VDAR 83. panta īstenošanā, ļaujot tām attiecīgā gadījumā paredzēt iespēju piemērot administratīvos naudas sodus atbilstoši šai normai, ja nav pierādīts, ka VDAR pārkāpums, par ko piemērots šis naudas sods, ir izdarīts tīši vai neuzmanības dēļ.

63

Šādu VDAR 83. panta interpretāciju nevar atbalstīt.

64

Šajā ziņā jāatgādina, ka saskaņā ar LESD 288. pantu regulu normas parasti ir tieši piemērojamas valstu tiesību sistēmās un valsts iestādēm nav jāveic piemērošanas pasākumi. Taču dažu regulu normu īstenošanai dalībvalstīm tomēr ir jāveic piemērošanas pasākumi (šajā nozīmē skat. spriedumu, 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 58. punkts un tajā minētā judikatūra).

65

Tieši tā tas ir VDAR gadījumā, kad dažas tās normas paver iespēju dalībvalstīm papildus paredzēt stingrākus vai atkāpes paredzošus noteikumus, kas dod tām rīcības brīvību, lemjot, kādā veidā šīs tiesību normas var tikt īstenotas (spriedums, 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 57. punkts).

66

Tāpat, ja VDAR nav īpašu procesuālu noteikumu, katras dalībvalsts tiesību sistēmā, ar nosacījumu, ka tiek ievēroti līdzvērtības un efektivitātes principi, ir jānosaka sīki izstrādāti noteikumi prasībām, kas paredzētas, lai aizsargātu tiesības, kuras attiecīgajām personām ir noteiktas šīs regulas tiesību normās (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi),C‑300/21, EU:C:2023:370, 53. un 54. punkts, kā arī tajos minētā judikatūra).

67

Tomēr nekas VDAR 83. panta 1.–6. punkta formulējumā neļauj uzskatīt, ka Savienības likumdevējs būtu vēlējies dot dalībvalstīm rīcības brīvību attiecībā uz pamatnosacījumiem, kas ir jāievēro uzraudzības iestādei, kad tā nolemj piemērot administratīvu naudas sodu pārzinim par kādu no šī panta 4.–6. punktā minētajiem pārkāpumiem.

68

Protams, no vienas puses, VDAR 83. panta 7. punktā ir noteikts, ka katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kas darbojas minētajā dalībvalstī. No otras puses, no šīs regulas 83. panta 8. punkta, skatot to VDAR 129. apsvēruma kontekstā, izriet, ka uzraudzības iestādes pilnvaru veikšanai saskaņā ar šo pantu piemēro atbilstošas procesuālas garantijas kas noteiktas Savienības un dalībvalsts tiesību aktos, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgu procedūru ievērošanu.

69

Katrā ziņā apstāklis, ka minētā regula dalībvalstīm attiecībā uz publiskajām iestādēm un struktūrām, kuras darbojas to teritorijā, sniedz iespēju paredzēt izņēmumus, kā arī prasības procedūrai, kas uzraudzības iestādēm jāievēro, piemērojot administratīvos naudas sodus, nekādi nenozīmē, ka šim valstīm būtu arī tiesības papildus šiem izņēmumiem un procesuālajām prasībām paredzēt pamatnosacījumus, kuri jāizpilda, lai varētu iestāties pārziņa atbildība un tam varētu piemērot administratīvu naudas sodu atbilstoši minētajam 83. pantam. Turklāt fakts, ka Savienības likumdevējs ir parūpējies par to, ka ir skaidri paredzēta šī iespēja, bet ne iespēja izvirzīt šādus pamatnosacījumus, apliecina, ka tas dalībvalstīm šai ziņā nav devis rīcības brīvību.

70

Šo konstatējumu apstiprina arī VDAR 83. un 84. pants, tos lasot kopā. Proti, šīs regulas 84. panta 1. punktā ir pieļauts, ka dalībvalstis saglabā kompetenci paredzēt noteikumus “par citām sankcijām”, ko piemēro par šīs regulas pārkāpumiem, “jo īpaši pārkāpumiem, par kuriem nav paredzēti administratīvi naudas sodi saskaņā ar 83. pantu”. Tādējādi, aplūkojot šos abus pantus kopā, var secināt, ka šī kompetence neattiecas uz pamatnosacījumu izvirzīšanu, lai piemērotu šādus administratīvus naudas sodus. Līdz ar to uz šiem nosacījumiem attiecas vienīgi Savienības tiesības.

71

Attiecībā uz minētajiem nosacījumiem jānorāda, ka VDAR 83. panta 2. punktā ir uzskaitīti elementi, uz kuriem pamatojoties uzraudzības iestāde pārzinim uzliek administratīvu naudas sodu. Starp šiem elementiem šīs tiesību normas b) apakšpunktā ir minēts “[tas], vai pārkāpums izdarīts tīši vai neuzmanības dēļ”. Savukārt nevienā no minētajā tiesību normā uzskaitītajiem elementiem vispār nav norādīta iespēja saukt pie atbildības pārzini, ja tas nav rīkojies prettiesiski.

72

Turklāt VDAR 83. panta 2. punktu ir svarīgi skatīt kopā ar šī paša panta 3. punktu, kura mērķis ir paredzēt sekas šīs regulas pārkāpumu kumulēšanās gadījumos un saskaņā ar kuru, “ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu”.

73

Tādējādi no VDAR 83. panta 2. punkta formulējuma izriet, ka tikai tie šīs regulas normu pārkāpumi, kuros konstatējams pārziņa rīcības prettiesiskums, proti, tie, kas izdarīti tīši vai neuzmanības dēļ, var būt pamats pārzinim piemērot administratīvo naudas sodu atbilstoši šim pantam.

74

VDAR vispārējā sistēma un mērķis nostiprina šo secinājumu.

75

Pirmkārt, Savienības likumdevējs ir paredzējis sankciju sistēmu, kas uzraudzības iestādēm ļauj noteikt atbilstošākās sankcijas atkarībā no katras lietas apstākļiem.

76

VDAR 58. panta, kurā noteiktas uzraudzības iestāžu pilnvaras, 2. punkta i) apakšpunktā paredzēts, ka šīs iestādes var piemērot administratīvus naudas sodus atbilstoši šīs regulas 83. pantam, “papildinot vai aizstājot” citus 58. panta 2. punktā uzskaitītos koriģējošos pasākumus, piemēram, brīdinājumus, rājienus vai rīkojumus. Tāpat minētās regulas 148. apsvērumā ir noteikts, ka par nenozīmīgu pārkāpumu vai tad, ja administratīvais naudas sods, ko varētu piemērot, radītu nesamērīgu slogu fiziskai personai, uzraudzības iestādes drīkst nepiemērot administratīvo naudas sodu un tā vietā izteikt rājienu.

77

Otrkārt, konkrēti no VDAR 10. apsvēruma izriet, ka šīs regulas noteikumu mērķis citastarp ir nodrošināt konsekventu un augsta līmeņa aizsardzību fiziskām personām attiecībā uz personas datu apstrādi Savienībā un tā nodrošināt šo personu pamattiesību un pamatbrīvību aizsardzības noteikumu konsekventu un vienveidīgu piemērošanu saistībā ar šādu datu apstrādi visā Savienībā. VDAR 11. un 129. apsvērumā turklāt ir uzsvērts, ka, lai nodrošinātu šīs regulas konsekventu piemērošanu, ir jāraugās, lai uzraudzības iestādēm būtu līdzvērtīgas uzraudzības un kontroles pilnvaras attiecībā uz personas datu aizsardzības noteikumu ievērošanu un lai tās varētu piemērot līdzvērtīgas sankcijas par minētās regulas pārkāpumiem.

78

Tas, ka pastāv sankciju sistēma, kas ļauj piemērot administratīvu naudas sodu saskaņā ar VDAR 83. pantu, ja to pamato katras lietas īpašie apstākļi, rada stimulu pārziņiem un apstrādātājiem ievērot šo regulu. Administratīvie naudas sodi ar savu preventīvo iedarbību palīdz stiprināt fizisko personu aizsardzību attiecībā uz personas datu apstrādi, un tādējādi tie ir būtisks elements, lai garantētu šo personu tiesību ievērošanu atbilstoši šīs regulas mērķim nodrošināt augstu šādu personu aizsardzības līmeni attiecībā uz personas datu apstrādi.

79

Tomēr, lai nodrošinātu šādu augstu aizsardzības līmeni, Savienības likumdevējs nav uzskatījis par nepieciešamu paredzēt administratīvu naudas sodu piemērošanu pat vainas neesamības gadījumā. Ņemot vērā, ka VDAR ir paredzēts gan līdzvērtīgs, gan viendabīgs aizsardzības līmenis un ka šajā nolūkā tā ir jāpiemēro saskanīgi visā Savienībā, ļaut dalībvalstīm paredzēt šādu sistēmu naudas soda piemērošanai atbilstoši minētās regulas 83. pantam būtu pretrunā šim mērķim. Turklāt šāda izvēles brīvība varētu izkropļot konkurenci starp saimnieciskās darbības subjektiem Savienībā, un tas būtu pretrunā mērķiem, ko Savienības likumdevējs citastarp ietvēris minētās regulas 9. un 13. apsvērumā.

80

Tāpēc jākonstatē, ka VDAR 83. pants neļauj piemērot administratīvu naudas sodu par kādu no tā 4.–6. punktā minētajiem pārkāpumiem, ja vien nav pierādīts, ka pārzinis šo pārkāpumu ir izdarījis tīši vai aiz neuzmanības un ka līdz ar to šāda naudas soda piemērošanas nosacījums ir pārkāpums, kura pamatā ir vaina.

81

Šajā ziņā attiecībā uz jautājumu, vai pārkāpums ir izdarīts tīši vai aiz neuzmanības un tādēļ par to var piemērot administratīvus naudas sodus saskaņā ar VDAR 83. pantu, vēl ir jāprecizē, ka pārzinis var tikt sodīts par rīcību, kas ietilpst VDAR piemērošanas jomā, ja šis pārzinis nevarēja nezināt par savas rīcības pārkāpuma raksturu neatkarīgi no tā, vai tas zināja vai nezināja, ka pārkāpj VDAR noteikumus (pēc analoģijas skat. spriedumus, 2013. gada 18. jūnijs, Schenker & Co. u.c., C‑681/11, EU:C:2013:404, 37. punkts, kā arī tajā minētā judikatūra; 2021. gada 25. marts, Lundbeck/Komisija,C‑591/16 P, EU:C:2021:243, 156. punkts, un 2021. gada 25. marts, Arrow Group un Arrow Generics/Komisija, C‑601/16 P, EU:C:2021:244, 97. punkts).

82

Ja pārzinis ir juridiska persona, vēl būtu jāprecizē, ka VDAR 83. panta piemērošanai nav nepieciešams konstatēt šīs juridiskās personas vadības struktūras rīcību vai pat apzināšanos (pēc analoģijas skat. spriedumus, 1983. gada 7. jūnijs, Musique Diffusion française u.c./Komisija, no 100/80 līdz 103/80, EU:C:1983:158, 97. punkts, kā arī 2017. gada 16. februāris, Tudapetrol Mineralölerzeugnisse Nils Hansen/Komisija, C‑94/15 P, EU:C:2017:124, 28. punkts un tajā minētā judikatūra).

83

Otrām kārtām, attiecībā uz jautājumu, vai, piemērojot VDAR 83. pantu, pārzinim var tikt piemērots administratīvs naudas sods par apstrādātāja veiktajām apstrādes darbībām, ir jāatgādina, ka saskaņā ar VDAR 4. panta 8. punktā ietverto definīciju apstrādātājs ir “fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus”.

84

Kā norādīts šī sprieduma 36. punktā, tā kā pārzinis ir atbildīgs ne tikai par jebkuru personas datu apstrādi, ko tas veic pats, bet arī par tā vārdā veiktu apstrādi, šim pārzinim var piemērot administratīvu naudas sodu saskaņā ar VDAR 83. pantu situācijā, kad personas dati tiek apstrādāti nelikumīgi un kad minēto apstrādi pārziņa vārdā ir veicis nevis datu pārzinis, bet apstrādātājs, kuru tas ir izmantojis.

85

Tomēr pārziņa atbildība par apstrādātāja rīcību nevar attiekties uz situācijām, kurās apstrādātājs ir apstrādājis personas datus savām vajadzībām vai kad apstrādātājs ir apstrādājis šos datus ar pārziņa noteikto apstrādes sistēmu vai kārtību nesavietojamā veidā, vai tā, ka nevar pamatoti uzskatīt, ka šis pārzinis būtu tam piekritis. Proti, saskaņā ar VDAR 28. panta 10. punktu šādā gadījumā apstrādātājs ir jāuzskata par pārzini attiecībā uz šādu apstrādi.

86

Ņemot vērā iepriekš minētos apsvērumus, uz sesto jautājumu ir jāatbild, ka VDAR 83. pants ir jāinterpretē tādējādi, ka, pirmkārt, administratīvo naudas sodu atbilstoši šai tiesību normai var piemērot tikai tad, ja ir pierādīts, ka pārzinis šī panta 4.–6. punktā paredzēto pārkāpumu ir izdarījis tīši vai aiz neuzmanības, un, otrkārt, šāds naudas sods var tikt piemērots pārzinim saistībā ar personas datu apstrādes darbībām, ko apstrādātājs ir veicis tā vārdā, izņemot gadījumus, kad saistībā ar šīm darbībām minētais apstrādātājs ir veicis apstrādi savām vajadzībām vai ir apstrādājis šos datus ar pārziņa noteikto apstrādes sistēmu vai kārtību nesavietojamā veidā, vai tā, ka nevar pamatoti uzskatīt, ka šis pārzinis tam būtu piekritis.

87

Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (virspalāta) nospriež: