–

Datenschutzbehörde vārdā – M. Schmidl un E. Wagner, pārstāvji,

–

Bundesministerin für Justiz vārdā – E. Riedl, pārstāvis,

–

Austrijas valdības vārdā – A. Posch, J. Schmoll un C. Gabauer, pārstāvji,

–

Eiropas Komisijas vārdā – A. Bouchagiar un M. Heller, pārstāvji,

1

Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 4. panta 7. punktu.

2

Šis lūgums ir iesniegts tiesvedībā starp Amt der Tiroler Landesregierung (Tiroles federālās zemes valdības dienests, Austrija; turpmāk tekstā – “Dienests”) un Datenschutzbehörde (Datu aizsardzības iestāde, Austrija) par to, ka Dienests esot prettiesiski apstrādājis kādas fiziskas personas datus.

3

VDAR 1., 7., 10., 45. un 74. apsvērums ir formulēts šādi:

[..]

[..]

[..]

[..]

4

Šīs regulas 1. panta “Priekšmets un mērķi” 2. punkts noteic:

“Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.”

5

Minētās regulas 4. pants “Definīcijas” ir formulēts šādi:

“Šajā regulā:

[..]

[..]

[..].”

6

Šīs pašas regulas 5. pants “Personas datu apstrādes principi” noteic:

“1.   Personas dati:

2.   Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).”

7

VDAR 6. panta “Apstrādes likumīgums” 1. un 3. punkts noteic:

“1.   Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

[..]

[..]

[..].

3.   Šā panta 1. punkta c) un e) apakšpunktā minēto apstrādes pamatu nosaka ar:

Apstrādes nolūku nosaka minētajā juridiskajā pamatā vai – attiecībā uz 1. punkta e) apakšpunktā minēto apstrādi – tas ir vajadzīgs, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. Minētajā juridiskajā pamatā var būt ietverti konkrēti noteikumi, lai pielāgotu šīs regulas noteikumu piemērošanu, cita starpā vispārēji nosacījumi, kas reglamentē pārziņa īstenotu apstrādes likumību; apstrādājamo datu veidi; attiecīgie datu subjekti; vienības, kurām personas dati var tikt izpausti, un mērķi, kādiem tie var tikt izpausti; apstrādes nolūka ierobežojumi; glabāšanas termiņi; un apstrādes darbības un apstrādes procedūras, tostarp pasākumi, lai nodrošinātu likumīgu un godprātīgu apstrādi, piemēram, citās konkrētās datu apstrādes situācijās, kas paredzētas IX nodaļā. [..]”

8

1988. gada 21. septembraLandesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) (Federālās zemes konstitucionālais likums par Tiroles federālās zemes Konstitūciju (Tiroles federālās zemes 1989. gada Konstitūcija)), redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “Tiroles federālās zemes 1989. gada Konstitūcija”), 56. panta “Landeshauptmann (federālās zemes valdības galva, Austrija; turpmāk tekstā – “valdības galva”)” 1. punkts noteic:

“[Valdības galva] pārstāv Tiroles federālo zemi.”

9

Tiroles federālās zemes 1989. gada Konstitūcijas 58. panta “[Dienests]” 1. punkts noteic:

“[Valdības galvai], federālās zemes valdībai un tās locekļiem uzdevumu veikšanai jāizmanto [Dienests]. [Valdības galva] ir [Dienesta] vadītājs.”

10

Tiroler Datenverarbeitungsgesetz (Tiroles federālās zemes Datu apstrādes likums, turpmāk tekstā – “TDVG”) 2. pants noteic:

“1.   Par pārzini [VDAR] 4. panta 7. punkta izpratnē uzskata:

[..].

3.   Ja datu apstrādi veic vai pasūta Tiroles federālā zeme, [Dienests] vienmēr ir vienīgais pārzinis, ja vien:

11

Covid‑19 pandēmijas apkarošanas pasākumu laikā Dienests – kas ir Tiroles federālās zemes valdības galvas un valdības vajadzībām kalpojoša administratīva palīgstruktūra – visām Tiroles federālajā zemē dzīvojošajām pilngadīgajām personām, kuras vēl nebija vakcinētas pret šo vīrusu, nosūtīja “vakcinācijas atgādinājuma vēstuli”. Šo vēstuļu adresātu noskaidrošanu Dienests uzdeva diviem privātiem uzņēmumiem, kuri salīdzināja centrālajā vakcinācijas reģistrā esošos datus ar datiem, kas ietverti pacientu reģistrā, kurā bija norādīta viņu dzīvesvietas adrese.

12

2021. gada 21. decembrī viens no šiem adresātiem – CW – iesniedza Datu aizsardzības iestādei sūdzību par to, ka Dienests esot nelikumīgi apstrādājis viņa personas datus. Šajā iestādē Dienests norādīja, ka tas ir “pārzinis” un CW nosūtītās vēstules autors.

13

Ar 2022. gada 22. augusta lēmumu minētā iestāde konstatēja, ka Dienests ir pārkāpis CW tiesības uz tā personas datu aizsardzību, jo tālab, lai nosūtītu CW “vakcinācijas atgādinājuma vēstuli”, Dienests bija aplūkojis attiecīgās personas datus, kas ietverti vakcinācijas reģistrā, lai gan tam nebija tiesību piekļūt nedz šim reģistram, nedz pacientu reģistram. Tādējādi CW personas datu apstrāde esot bijusi nelikumīga.

14

Par šo lēmumu Dienests cēla prasību Bundesverwaltungsgericht (Federālā administratīvā tiesa, Austrija). Minētā tiesa nosprieda, ka saskaņā ar piemērojamajām valsts tiesību normām Dienestam bija pārziņa statuss, taču ne tiesības iepazīties ar vakcinācijas reģistru tālab, lai nosūtītu tādu atgādinājuma vēstuli, kāda tika nosūtīta CW. Tā kā minētā tiesa noraidīja Dienesta prasību, Dienests par minēto spriedumu iesniedza revīzijas sūdzību (Revision) Verwaltungsgerichtshof (Augstākā administratīvā tiesa, Austrija), kas ir iesniedzējtiesa.

15

Šī tiesa uzskata, ka, lai tā varētu pieņemt nolēmumu tajā izskatāmajā lietā, jānoskaidro, vai Dienestam šīs lietas kontekstā tas ir “pārzinis” VDAR 4. panta 7. punkta izpratnē.

16

Šajā ziņā iesniedzējtiesa uzsver, ka Dienests esot vienīgi iesniedzis valdības galvai priekšlikumu nosūtīt “vakcinācijas atgādinājuma vēstuli” un valdības galva to esot apstiprinājis kā Dienesta vadītājs un Tiroles federālās zemes pārstāvis saskaņā ar Tiroles federālās zemes 1989. gada Konstitūcijas attiecīgi 58. pantu un 56. panta 1. punktu. Tādējādi Dienests valdības galvai esot vienīgi norādījis, pirmkārt, paredzēto personas datu apstrādes nolūku, proti, palielināt vakcinācijas aptveri, un, otrkārt, uz šādas apstrādes pamata veicamās darbības, proti, šādas “vakcinācijas atgādinājuma vēstules” nosūtīšanu, izmantojot centrālā vakcinācijas reģistra un pacientu reģistra datus.

17

Iesniedzējtiesa uzskata, ka, ņemot vērā šo valdības galvas apstiprinājumu, viņš ir vienpersoniski izlēmis gan par personas datu apstrādes nolūku, gan par tās līdzekļiem un līdz ar to Dienests nevar būt “pārzinis” VDAR 4. panta 7. punkta pirmā teikuma izpratnē.

18

Tomēr šī tiesa vēlas noskaidrot, vai Dienests šādā statusā varētu būt iecelts ar valsts tiesību normu, proti, TDVG 2. panta 1. punkta a) apakšpunktu, likumīgi.

19

Proti, Dienests neesot nedz juridiska persona, nedz iestāde, kam uzticēta tāda personas datu apstrāde, kuras iznākumā CW tika nosūtīta “vakcinācijas atgādinājuma vēstule”. Dienests šajā apstrādē esot iesaistījies tikai kā publiskas iestādes vajadzībām kalpojoša administratīva palīgstruktūra. Tai neesot nedz tiesībsubjektības, nedz patstāvīgas tiesībspējas. Tātad esot jānoskaidro, vai šādos apstākļos Dienestu var uzskatīt par “aģentūru vai citu struktūru” VDAR 4. panta 7. punkta pirmā teikuma izpratnē, kas var tikt iecelta par pārzini saskaņā ar valsts tiesībām, pamatojoties uz šīs regulas 4. panta 7. punkta otro teikumu.

20

Minētā tiesa arī atgādina, ka saskaņā ar VDAR 4. panta 7. punkta otro teikumu pārzini var tieši iecelt tikai tad, ja attiecīgās personas datu apstrādes nolūkus un līdzekļus nosaka ar dalībvalsts tiesību aktiem. Savukārt, lai arī TDVG 2. panta 1. punkta a) apakšpunkts Dienestu ieceļ par pārzini, tas tomēr konkrēti nenorāda nedz to, kādas personas datu apstrādes darbības Dienests drīkst veikt, nedz nolūkus, kādos šai apstrādei būtu jānotiek, nedz līdzekļus, kurus Dienests tālab varētu izmantot.

21

Iesniedzējtiesa piebilst: no VDAR 6. panta 1. punkta c) un e) apakšpunkta izriet, ka personas datu apstrāde ir likumīga tad, ja tā ir vajadzīga vai nu tālab, lai izpildītu uz pārzini attiecināmu juridisku pienākumu, vai tālab, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. No šiem likumīguma nosacījumiem un VDAR 4. panta 7. punkta mērķa nodrošināt datu subjektu efektīvu un plašu aizsardzību izrietot, ka dalībvalstis par pārzini varot iecelt tikai tādu personu vai struktūru, kas spēj noteikt personas datu apstrādes nolūkus un līdzekļus vai vismaz piedalīties šajā noteikšanā.

22

Šādos apstākļos Verwaltungsgerichtshof (Augstākā administratīvā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādu prejudiciālu jautājumu:

“Vai [VDAR] 4. panta 7. punkts jāinterpretē tādējādi, ka tas neļauj piemērot tādu valsts tiesību normu (kāda izskatāmajā lietā ir [TDVG] 2. panta 1. punkts), kurā VDAR 4. panta 7. punkta otrā teikuma izpratnē gan ir iecelts konkrēts pārzinis, bet:

23

Ar uzdoto jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 4. panta 7. punkts jāinterpretē tādējādi, ka tam ir pretrunā tāds valsts tiesiskais regulējums, kurā par pārzini ir iecelta tāda administratīva palīgstruktūra, kurai nav nedz tiesībsubjektības, nedz patstāvīgas tiesībspējas, konkrēti neprecizējot nedz konkrētās personas datu apstrādes darbības, par kurām šī struktūra ir atbildīga, nedz šo darbību nolūku. Šī tiesa vēlas arī noskaidrot, vai VDAR 4. panta 7. punkts jāinterpretē tādējādi, ka saskaņā ar šo tiesību normu struktūrai, kas valsts tiesību aktos ir iecelta par pārzini, faktiski jālemj par personas datu apstrādes nolūkiem un līdzekļiem, lai tai kā pārzinim būtu jāatbild uz pieprasījumiem, ko tai adresējuši datu subjekti, pamatojoties uz tiesībām, kuras tiem izriet no VDAR.

24

Ievadam jāatgādina, ka saskaņā ar VDAR 4. panta 7. punktu jēdziens “pārzinis” aptver fiziskas vai juridiskas personas, publiskas iestādes, aģentūras vai citas struktūras, kas vienas pašas vai kopīgi ar citiem nosaka personas datu apstrādes nolūkus un līdzekļus. Šī tiesību norma arī noteic, ka gadījumā, ja apstrādes nolūki un līdzekļi ir konkrēti noteikti dalībvalsts tiesību aktos, pārziņa iecelšanu var veikt vai tā iecelšanas konkrētos kritērijus var paredzēt šajos tiesību aktos.

25

No Tiesas judikatūras izriet, ka šīs normas mērķis ir, plaši definējot jēdzienu “pārzinis”, nodrošināt datu subjektu efektīvu un pilnīgu aizsardzību (šajā nozīmē skat. spriedumus, 2023. gada 5. decembris, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 29. punkts, un 2023. gada 5. decembris, Deutsche Wohnen, C‑807/21, EU:C:2023:950, 40. punkts).

26

VDAR mērķis – kā izriet no tās 1. panta un 1. un 10. apsvēruma – citastarp ir nodrošināt augsta līmeņa aizsardzību fizisko personu pamattiesībām un pamatbrīvībām, it īpaši Eiropas Savienības Pamattiesību hartas 8. panta 1. punktā un LESD 16. panta 1. punktā nostiprinātajām tiesībām uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi (spriedums, 2024. gada 7. marts, IAB Europe, C‑604/22, EU:C:2024:214, 53. punkts un tajā minētā judikatūra).

27

Ņemot vērā VDAR 4. panta 7. punkta formulējumu, lasot to šā mērķa gaismā, lai noskaidrotu, vai kāda persona vai struktūra ir kvalificējama kā “pārzinis” šīs tiesību normas izpratnē, jāizpēta, vai apstrādes nolūkus un līdzekļus nosaka šī persona vai struktūra viena pati vai kopā ar citiem, vai arī tie ir noteikti valsts tiesību aktos. Ja tie ir noteikti valsts tiesību aktos, tad jāpārbauda, vai šajos tiesību aktos ir iecelts pārzinis vai paredzēti konkrēti tā iecelšanas kritēriji (spriedums, 2024. gada 11. janvāris, État belge (Oficiālā laikrakstā apstrādāti dati), C‑231/22, EU:C:2024:7, 29. punkts).

28

Ņemot vērā jēdziena “pārzinis” plašo definīciju VDAR 4. panta 7. punkta izpratnē, apstrādes nolūku un līdzekļu noteikšanu un attiecīgā gadījumā šā pārziņa iecelšanu valsts tiesībās var veikt ne tikai tieši, bet arī netieši. Otrajā gadījumā tomēr tiek prasīts, lai šī iecelšana pietiekami skaidri izrietētu no attiecīgajai personai vai struktūrai piešķirtās lomas, uzdevuma un pilnvarām (spriedums, 2024. gada 11. janvāris, État belge (Oficiālā laikrakstā apstrādāti dati), C‑231/22, EU:C:2024:7, 30. punkts).

29

Uzdotais jautājums ir izvērtējams, ņemot vērā šos ievadapsvērumus. Tālab, pirmām kārtām, jānoskaidro, cik lielā mērā valsts likumdevējs publisko iestāžu vajadzībām kalpojošu administratīvu palīgstruktūru likumīgi var iecelt par pārzini VDAR 4. panta 7. punkta otrā teikuma izpratnē, ja šai struktūrai nav nedz tiesībsubjektības, nedz patstāvīgas tiesībspējas.

30

Šajā ziņā jānorāda, pirmkārt, ka Tiesa jau ir nospriedusi: no VDAR 4. panta 7. punkta skaidrā formulējuma izriet, ka pārzinis var būt ne tikai fiziska vai juridiska persona, bet arī publiska iestāde, aģentūra vai cita struktūra, taču šādiem veidojumiem vienmēr ir tiesībsubjektība saskaņā ar valsts tiesībām (šajā nozīmē skat. spriedumu, 2024. gada 11. janvāris, État belge (Oficiālā laikrakstā apstrādāti dati), C‑231/22, EU:C:2024:7, 36. punkts).

31

Tādējādi nevar izslēgt, ka struktūra var tikt kvalificēta par “pārzini” šīs tiesību normas izpratnē pat tad, ja tai nav tiesībsubjektības.

32

Otrkārt, attiecībā uz to, vai, lai struktūru varētu kvalificētu par “pārzini”, ir nepieciešams, lai tā būtu apveltīta ar patstāvīgu tiesībspēju, vai arī pietiek ar to vien, ka datu subjektam ir zināma lemtspēja un rīcībspēja personas datu aizsardzības jomā, jāatgādina, ka no VDAR 74. apsvēruma izriet, ka Savienības likumdevējs ir vēlējies, lai saistībā ar ikvienu personas datu apstrādi pārzinim būtu vienādi pienākumi un atbildība neatkarīgi no tā, vai šo apstrādi veic pārzinis pats vai to šā pārziņā vārdā veic kāda trešā persona. Likumdevējs ir arī vēlējies nodrošināt, ka pārzinim jāīsteno piemēroti un efektīvi pasākumi un jāspēj pierādīt, ka apstrādes darbības notiek saskaņā ar šo regulu, tostarp, ka attiecīgie pasākumi ir iedarbīgi; minētajos pasākumos jāņem vērā apstrādes raksturs, piemērošanas joma, konteksts un nolūki un risks, ko tā rada fizisku personu tiesībām un brīvībām.

33

Tieši tālab VDAR 5. panta 2. punkts nostiprina pārskatatbildības principu, saskaņā ar kuru pārzinis ir atbildīgs par 5. panta 1. punktā noteikto personas datu apstrādes principu ievērošanu, un noteic, ka pārzinim jāspēj pierādīt, ka šie principi ir ievēroti.

34

Ņemot vērā juridiskos pienākumus, kas tādējādi noteikti VDAR 4. panta 7. punktā minētajam pārzinim, tam saskaņā ar savas piederības dalībvalsts tiesiskajā regulējumā paredzēto kārtību jāspēj faktiski un juridiski izpildīt šos pienākumus, un šajā ziņā nav nozīmes tam, vai šai struktūrai ir vai nav tiesībsubjektības un patstāvīgas tiesībspējas.

35

Šajā gadījumā iesniedzējtiesai jāpārbauda, vai Dienests saskaņā ar Austrijas tiesībām ir tiesīgs uzņemties atbildību un pienākumus, ko VDAR noteic pārzinim, it īpaši ņemot vērā apstākli – kas nav apstrīdēts pamatlietu izskatošajās valsts tiesās –, ka Dienests var gan celt prasību par Datu aizsardzības iestādes lēmumu, gan būt subjekts, par kuru šajā iestādē tiek iesniegta sūdzība. Iesniedzējtiesa varēs ņemt vērā arī to, ka Dienests diviem privātiem uzņēmumiem ir uzdevis veikt centrālajā vakcinācijas reģistrā un Tiroles federālajā zemē dzīvojošo pacientu reģistrā esošo personas datu apstrādi.

36

Otrām kārtām, iesniedzējtiesa jautā, vai valsts likumdevējs var iecelt kādu struktūru par pārzini saskaņā ar VDAR 4. panta 7. punkta otro teikumu, konkrēti neprecizējot nedz personas datu apstrādi, kas šai struktūrai var būt jāveic, nedz tās nolūku, nedz arī konkrētus līdzekļus, ko tā var izmantot šīs apstrādes vajadzībām.

37

Kā atgādināts šā sprieduma 28. punktā, ja valsts tiesību aktos kāda struktūra ir iecelta par pārzini, apstrādes nolūku un līdzekļu noteikšana šajos tiesību aktos var būt veikta netieši, ja vien šī noteikšana pietiekami skaidri izriet no šai struktūrai piešķirtās lomas, uzdevuma un pilnvarām. Šis nosacījums ir izpildīts, ja šie nolūki un līdzekļi būtībā izriet no minētās struktūras darbību reglamentējošajām valsts tiesību normām.

38

Valsts likumdevējam kādu struktūru par pārzini ieceļot tieši, tiek veicināta VDAR – kā izriet no tās 7. apsvēruma – noteiktā tiesiskās drošības mērķa sasniegšana, jo fiziskām personām, kuru personas dati tiek apstrādāti, tiek dota iespēja viegli identificēt struktūru, kas ir atbildīga par šīm personām šajā regulā piešķirto tiesību ievērošanu.

39

Tomēr šādas iecelšanas spēkā esamība ir pakārtota nosacījumam, ka valsts tiesiskajā regulējumā ir noteikts tās personas datu apstrādes, par kuras pārzini šī struktūra ir iecelta, apjoms, taču nav nepieciešams, lai šis likumdevējs būtu izsmeļoši uzskaitījis visas apstrādes darbības, kuru veikšanai minētā struktūra ir šādi iecelta. Kā teikts šīs regulas 45. apsvērumā, “var pietikt ar tiesību aktu, uz ko balstās vairākas apstrādes darbības, pamatojoties uz juridisku pienākumu, kas pārzinim jāpilda, vai ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras”.

40

No tā izriet, ka valsts tiesiskais regulējums, kurā struktūra ir iecelta par pārzini, skaidri neuzskaitot nedz visas personas datu apstrādes konkrētās darbības, par kurām tā ir atbildīga, nedz šo apstrādes darbību nolūku, ir saderīgs ar VDAR 4. panta 7. punktu, ja vien šajā tiesiskajā regulējumā tieši vai kaut netieši ir noteikts tās personas datu apstrādes apjoms, par kuras pārzini šī struktūra ir iecelta.

41

Šajā gadījumā iesniedzējtiesai jāpārbauda, pirmkārt, vai personas datu apstrāde, ko Dienests veicis, lai sagatavotu un nosūtītu pamatlietā aplūkotās “vakcinācijas atgādinājuma vēstules”, ir saderīga ar nolūkiem – kādiem jāatbilst personas datu apstrādes darbībām, par kuru pārzini ir iecelts Dienests –, kādi kaut netieši izriet no visa Dienesta darbību reglamentējošo valsts tiesību normu kopuma, un, otrkārt, kādus līdzekļus Dienests tālab drīkst izmantot. Tas vien, ka šajās valsts tiesību normās attiecīgā gadījumā nav konkrēti precizētas apstrādes darbības, kuras Dienestam ir atļauts veikt, neliedz tādu struktūru kā Dienests kvalificēt par pārzini VDAR 4. panta 7. punkta izpratnē.

42

Trešām kārtām, iesniedzējtiesa jautā, vai struktūrai, kas valsts tiesiskajā regulējumā saskaņā ar VDAR 4. panta 7. punkta otro teikumu ir iecelta par pārzini, ir arī pašai vai kopā ar citām kompetentajām iestādēm jālemj par tās personas datu apstrādes, par kuras pārzini tā iecelta, nolūkiem un līdzekļiem, lai tai šajā statusā būtu jāatbild uz pieprasījumiem, ko tai adresējuši datu subjekti, pamatojoties uz tiesībām, kuras tiem izriet no VDAR.

43

Šajā ziņā pietiek vien norādīt, ka tālab, lai konstatētu, vai struktūrai ir pārziņa statuss VDAR 4. panta 7. punkta pirmā teikuma izpratnē, jāpārbauda, vai šī struktūra savās interesēs patiešām ir ietekmējusi šīs apstrādes nolūku un līdzekļu noteikšanu (šajā nozīmē skat. spriedumu, 2023. gada 5. decembris, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 30. un 31. punkts).

44

Turpretim tālab, lai konstatētu, vai struktūrai ir pārziņa statuss VDAR 4. panta 7. punkta otrā teikuma izpratnē, kā izriet jau no šīs tiesību normas skaidrā formulējuma, nav nepieciešams, lai šī struktūra ietekmētu šīs apstrādes nolūku un līdzekļu noteikšanu.

45

Tādējādi šādai struktūrai, kas valsts tiesībās ir iecelta par pārzini, nav pašai jālemj par personas datu apstrādes nolūkiem un līdzekļiem, lai tai kā pārzinim būtu jāatbild uz pieprasījumiem, ko tai adresējuši datu subjekti, pamatojoties uz tiesībām, kuras tiem izriet no VDAR.

46

Šajā ziņā Tiesa jau nospriedusi, ka tiešas iecelšanas spēkā esamību neietekmē apstāklis, ka saskaņā ar valsts tiesībām par pārzini ieceltā struktūra neīsteno nekādu kontroli pār personas datiem, kas tai jāapstrādā (šajā nozīmē skat. spriedumu, 2024. gada 11. janvāris, État belge (Oficiālā laikrakstā apstrādāti dati), C‑231/22, EU:C:2024:7, 37. un 38. punkts).

47

Šāda interpretācija atbilst VDAR izvirzītajam tiesiskās drošības mērķim. Kā rakstveida apsvērumos uzsvērusi Eiropas Komisija, šā mērķa sasniegšana tiktu apdraudēta, ja datu subjektiem tālab, lai tie varētu uzskatīt, ka valsts likumdevējs šo iecelšanu ir veicis likumīgi, būtu jāpārbauda, vai struktūra, kas iecelta par viņu personas datu apstrādes pārzini, ir tiesīga pati noteikt šādas apstrādes nolūkus un līdzekļus.

48

Vēl jāpiebilst: apstāklis – ka struktūrai, kura saskaņā ar valsts tiesību aktiem ir iecelta par pārzini, nav arī jābūt tiesīgai pašai lemt par personas datu apstrādes nolūkiem un līdzekļiem, lai tai kā pārzinim būtu jāatbild uz pieprasījumiem, ko tai adresējuši datu subjekti, pamatojoties uz tiesībām, kuras tiem izriet no VDAR, – tomēr neliedz šiem subjektiem iespēju adresēt šos pieprasījumus citai struktūrai, kuru tie uzskata par atbildīgu vai kopīgi atbildīgu par savu personas datu apstrādi, ņemot vērā ietekmi, ko šī cita struktūra ir īstenojusi uz attiecīgās apstrādes nolūku un līdzekļu noteikšanu.

49

Ņemot vērā iepriekš izklāstītos iemeslus, uz uzdoto jautājumu ir atbildams, ka VDAR 4. panta 7. punkts jāinterpretē tādējādi, ka tam nav pretrunā tāds valsts tiesiskais regulējums, kurā par pārzini ir iecelta tāda administratīva palīgstruktūra, kurai nav nedz tiesībsubjektības, nedz patstāvīgas tiesībspējas, konkrēti neprecizējot ne konkrētās personas datu apstrādes darbības, par kurām šī struktūra ir atbildīga, ne šo darbību nolūku, ja vien, pirmkārt, šāda struktūra saskaņā ar šo valsts tiesisko regulējumu spēj izpildīt pienākumus, kas personas datu aizsardzības jomā pārzinim ir attiecībā pret datu subjektiem, un, otrkārt, minētajā valsts tiesiskajā regulējumā tieši vai kaut netieši ir noteikts tās personas datu apstrādes apjoms, par kuru šī struktūra ir atbildīga.

50

Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (astotā palāta) nospriež:

Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 4. panta 7. punkts

jāinterpretē tādējādi, ka

tam nav pretrunā tāds valsts tiesiskais regulējums, kurā par pārzini ir iecelta tāda administratīva palīgstruktūra, kurai nav nedz tiesībsubjektības, nedz patstāvīgas tiesībspējas, konkrēti neprecizējot ne konkrētās personas datu apstrādes darbības, par kurām šī struktūra ir atbildīga, ne šo darbību nolūku, ja vien, pirmkārt, šāda struktūra saskaņā ar šo valsts tiesisko regulējumu spēj izpildīt pienākumus, kas personas datu aizsardzības jomā pārzinim ir attiecībā pret datu subjektiem, un, otrkārt, minētajā valsts tiesiskajā regulējumā tieši vai kaut netieši ir noteikts tās personas datu apstrādes apjoms, par kuru šī struktūra ir atbildīga.