OPINIA RZECZNIKA GENERALNEGO

NICHOLASA EMILIOU

przedstawiona w dniu 4 maja 2023 r. ( 1 )

Sprawa C‑683/21

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

przeciwko

Valstybinė duomenų apsaugos inspekcija

przy udziale:

„IT sprendimai sėkmei” UAB,

Lietuvos Respublikos sveikatos apsaugos ministerija

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Vilniaus apygardos administracinis teismas (regionalny sąd administracyjny w Wilnie, Litwa)]

Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 4 pkt 7 – Pojęcie „administratora” – Opracowywanie aplikacji mobilnej w kontekście pandemii COVID-19 – Odpowiedzialność organu publicznego organizującego postępowanie o udzielenie zamówienia w sprawie nabycia aplikacji mobilnej – Artykuł 4 pkt 2 – Pojęcie „przetwarzania” – Wykorzystywanie danych osobowych na etapie testowania aplikacji mobilnej – Artykuł 26 ust. 1 – Współadministrowanie – Artykuł 83 – Nakładanie administracyjnych kar pieniężnych – Warunki – Wymóg, aby naruszenie było umyślne lub nieumyślne – Odpowiedzialność administratora za przetwarzanie danych osobowych dokonane przez podmiot przetwarzający

I. Wprowadzenie

1.

Na jakich warunkach w świecie, w którym dane osobowe stały się kartą przetargową i stanowią dla przedsiębiorstw nowo odkrytą żyłę złota, można nakładać na administratorów i podmioty przetwarzające administracyjne kary pieniężne za naruszenia zawartych w rozporządzeniu (UE) 2016/679 ( 2 ) przepisów o ochronie danych? Dokładniej rzecz ujmując, czy aby mogli oni podlegać takim karom, konieczne jest spełnienie przesłanki „winy”? Tak właśnie przedstawia się kluczowa kwestia podniesiona w niniejszej sprawie przez Vilniaus apygardos administracinis teismas (regionalny sąd administracyjny w Wilnie, Litwa).

2.

Zawisły przed tym sądem spór, którego stronami są Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (krajowe centrum zdrowia publicznego przy ministerstwie zdrowia, Litwa; zwane dalej „NVSC”) i Valstybinė duomenų apsaugos inspekcija (urząd ochrony danych osobowych, Litwa; zwany dalej „urzędem”), dotyczy zasadniczo roli odgrywanej przez NVSC przy opracowywaniu i publicznym udostępnianiu aplikacji mobilnej, za pomocą której zbierano, w kwietniu i maju 2020 r., dane osobowe osób, które miały kontakt z pacjentami zakażonymi COVID-19.

3.

W tym kontekście Trybunał ma w niniejszej sprawie okazję doprecyzować pojęcia „administratora”, „współadministratorów” i „przetwarzania”, które zdefiniowano odpowiednio w art. 4 pkt 7, art. 26 ust. 1 i art. 4 pkt 2 RODO, jak również rozważyć po raz pierwszy, czy możliwe jest, w zastosowaniu art. 83 owego rozporządzenia, nałożenie administracyjnej kary pieniężnej na administratora, który nie dopuścił się umyślnie lub nieumyślnie żadnego naruszenia przepisów RODO. Aby rozstrzygnąć tę kwestię, Trybunał musi wyjaśnić, czy na podstawie tego przepisu można nakładać kary pieniężne w braku winy, na gruncie odpowiedzialności na zasadzie ryzyka.

II. Ramy prawne

A.   Prawo Unii

4.

Motyw 148 RODO stanowi:

„Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne […]. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Nakładanie sankcji, w tym administracyjnych kar pieniężnych, powinno podlegać odpowiednim zabezpieczeniom proceduralnym zgodnym z ogólnymi zasadami prawa Unii i z [k]artą praw podstawowych, w tym skutecznej ochronie prawnej i prawu do rzetelnego procesu”.

5.

Zgodnie z motywem 150 tego rozporządzenia:

„W celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenie niniejszego rozporządzenia każdy organ nadzorczy powinien być uprawniony do nakładania administracyjnych kar pieniężnych. W niniejszym rozporządzeniu należy wymienić rodzaje naruszeń oraz wskazać górną granicę i kryteria ustalania związanych z nimi administracyjnych kar pieniężnych, które właściwy organ nadzorczy powinien określać indywidualnie dla każdego przypadku z uwzględnieniem wszystkich stosownych okoliczności danej sytuacji, z należytym uwzględnieniem w szczególności charakteru, wagi, czasu trwania naruszenia i jego konsekwencji, a także środków podjętych w celu zastosowania się do obowiązków wynikających z niniejszego rozporządzenia oraz w celu zapobieżenia konsekwencjom naruszenia lub w celu zminimalizowania tych konsekwencji […]. Nałożenie administracyjnej kary pieniężnej lub wydanie ostrzeżenia nie wpływa na stosowanie innych uprawnień organów nadzorczych ani innych sankcji na mocy niniejszego rozporządzenia”.

6.

W art. 4 pkt 7 RODO „administratora” zdefiniowano jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych […]”.

7.

Artykuł 26 tego rozporządzenia, zatytułowany „Współadministratorzy”, stanowi, w części mającej znaczenie dla niniejszej sprawy:

„1.   Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami […].

[…]”.

8.

Artykuł 83 tego rozporządzenia, zatytułowany „Ogólne warunki nakładania administracyjnych kar pieniężnych”, brzmi:

„1.   Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

2.   Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a)

charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b)

umyślny lub nieumyślny charakter naruszenia;

[…]

k)

wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

3.   Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

[…]”.

B.   Prawo litewskie

9.

Artykuł 72 ust. 2 Viešųjų pirkimų įstatymas (prawa zamówień publicznych) stanowi:

„Instytucja zamawiająca stosuje procedurę negocjacyjną bez publikacji ogłoszenia o zamówieniu, która to procedura składa się z następujących etapów:

1)

skierowanie do wybranych wykonawców pisemnego zaproszenia do składania ofert;

2)

zweryfikowanie, czy istnieją jakiekolwiek podstawy wykluczenia wykonawców określone w dokumentacji zamówienia, a także zweryfikowanie, czy wykonawcy spełniają przewidziane wymagania kwalifikacyjne, oraz, w stosownych przypadkach, czy spełniają oni wymagane normy zapewniania jakości lub normy zarządzania środowiskowego;

3)

prowadzenie negocjacji z oferentami zgodnie z procedurą ustanowioną w art. 66 niniejszej ustawy oraz wezwanie ich do złożenia ostatecznych ofert. Instytucja zamawiająca nie jest zobowiązana do wezwania do złożenia ostatecznej oferty w przypadku, gdy w procedurze negocjacyjnej bez uprzedniej publikacji ogłoszenia bierze udział jeden wykonawca;

4)

przeprowadzenie oceny ostatecznych ofert i wyłonienie wybranego kandydata”.

III. Okoliczności faktyczne, postępowanie główne i pytania prejudycjalne

10.

W celu zaradzenia sytuacji wynikającej z rozprzestrzeniania się COVID-19 minister zdrowia Republiki Litewskiej (zwany dalej „ministrem zdrowia”) polecił, decyzją z dnia 24 marca 2020 r., dyrektorowi NVSC zorganizowanie opracowania i nabycia aplikacji mobilnej o nazwie KARANTINAS. Ta aplikacja mobilna była przeznaczona do zbierania i monitorowania danych osobowych osób fizycznych, które miały kontakt z pacjentami zakażonymi COVID-19 ( 3 ).

11.

W dniu 27 marca 2020 r. osoba podająca się za pełnomocnika reprezentującego NVSC poinformowała spółkę „IT sprendimai sėkmei” UAB (zwaną dalej „ITSS”), że owa spółka została wybrana jako deweloper KARANTINAS. ITSS i ta osoba, jak również ITSS i szereg pracowników oraz dyrektor NVSC wymieniali wiadomości e-mail dotyczące opracowywania tej aplikacji mobilnej. Na tym etapie sporządzono też umowę o zachowaniu poufności, w której jako administratorów wymieniono zarówno ITSS, jak i NVSC.

12.

Opracowana ostatecznie aplikacja mobilna została publicznie udostępniona do pobrania na platformach Google Play Store (w dniu 4 kwietnia 2020 r.) i Apple App Store (w dniu 6 kwietnia 2020 r.). W udostępnionej publicznie do pobrania wersji aplikacji KARANTINAS ponownie uczyniono wzmiankę zarówno o ITSS, jak i o NVSC jako administratorach. Na tym etapie NVSC nie zakupiło jeszcze owej aplikacji mobilnej.

13.

Decyzją z dnia 10 kwietnia 2020 r. minister zdrowia polecił dyrektorowi NVSC nabycie aplikacji KARANTINAS w drodze procedury negocjacyjnej bez publikacji ogłoszenia o zamówieniu, na podstawie art. 72 ust. 2 prawa zamówień publicznych.

14.

To postępowanie zostało wszczęte, ale NVSC zakończyło je ze względu na nieotrzymanie niezbędnych środków finansowych. W związku z tym nie udzielono zamówienia publicznego w sprawie zakupu. Aplikacja KARANTINAS nadal pozostawała jednak publicznie udostępniona do pobrania.

15.

W dniu 15 maja 2020 r. NVSC zwróciło się do ITSS o zaprzestanie wykorzystywania w tej aplikacji mobilnej informacji na temat NVSC oraz odnośników kierujących do NVSC. W dniu 18 maja 2020 r. urząd wszczął dochodzenie dotyczące ITSS i NVSC w związku z naruszeniem przepisów RODO. W dniu 26 maja 2020 r. działanie aplikacji KARANTINAS zostało wstrzymane na wniosek urzędu. Według ITSS w okresie od dnia 4 kwietnia do dnia 26 maja 2020 r. dane osobowe za pośrednictwem aplikacji przekazało 3802 użytkowników.

16.

Decyzją z dnia 24 lutego 2021 r. urząd nałożył na NVSC i ITSS, jako na współadministratorów, administracyjne kary pieniężne za naruszenie art. 5, 13, 24, 32 i 35 RODO ( 4 ).

17.

NVSC zaskarżyło tę decyzję do Vilniaus apygardos administracinis teismas (regionalnego sądu administracyjnego w Wilnie). Sąd ten zastanawia się zasadniczo, czy pojęcie „administratora” w rozumieniu art. 4 pkt 7 RODO należy interpretować szeroko, tak aby obejmowało ono każdą osobę fizyczną lub prawną bądź każdy podmiot taki jak NVSC, który nie jest deweloperem aplikacji mobilnej, lecz który, w celu nabycia takiej aplikacji mobilnej w drodze postępowania o udzielenie zamówienia, ustalał „cele i sposoby przetwarzania danych osobowych”, czy też owo pojęcie należy interpretować zawężająco, z uwzględnieniem postępowania o udzielenie zamówienia publicznego i jego wyniku.

18.

W szczególności rozważa on, czy w tym względzie znaczenie ma fakt, że ostatecznie odstąpiono od postępowania o udzielenie zamówienia, zaś NVSC w ogóle nie nabyło aplikacji KARANTINAS. Sąd ten zastanawia się również, czy okoliczność, że NVSC nie udzieliło oficjalnej zgody ani zezwolenia na publiczne udostępnienie tej aplikacji mobilnej, w jakikolwiek sposób wpływa na tę ocenę.

19.

Pragnie on także wyjaśnić kwestię stosunku łączącego NVSC i ITSS. W tym względzie ów sąd nie ma pewności, w jakich okolicznościach ten podmiot i tę spółkę należałoby uznać za „współadministratorów” w rozumieniu art. 4 pkt 7 i art. 26 ust. 1 RODO. Alternatywnie, gdyby NVSC i ITSS nie należało uznać za „współadministratorów”, lecz (odpowiednio) za „administratora” i „podmiot przetwarzający” ( 5 ) w rozumieniu RODO, zmierza on do ustalenia, kiedy działania ITSS mogą skutkować powstaniem odpowiedzialności po stronie NVSC. W związku z tym zastanawia się on, czy art. 83 RODO należy interpretować w ten sposób, że administracyjna kara pieniężna może zostać nałożona na administratora takiego jak NVSC, który sam nie dopuścił się umyślnie lub nieumyślnie żadnego naruszenia tego rozporządzenia.

20.

W tych okolicznościach Vilniaus apygardos administracinis teismas (regionalny sąd administracyjny w Wilnie, Litwa) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)

Czy zawarte w art. 4 pkt 7 RODO pojęcie »administratora« można interpretować w ten sposób, że osobę zamierzającą nabyć narzędzie do zbierania danych (aplikację mobilną) w drodze zamówienia publicznego, niezależnie od faktu, że zamówienie publiczne nie zostaje udzielone oraz że nie dochodzi do przekazania utworzonego produktu (aplikacji mobilnej), z myślą o nabyciu którego [ta osoba] skorzystała z postępowania o udzielenie zamówienia publicznego, również należy uważać za administratora?

2)

Czy zawarte w art. 4 pkt 7 RODO pojęcie »administratora« można interpretować w ten sposób, że instytucję zamawiającą, która nie nabyła prawa własności do utworzonego produktu informatycznego i nie weszła w jego posiadanie, choć ostateczna wersja utworzonej aplikacji zawiera odnośniki lub interfejsy do tego podmiotu publicznego lub choć w polityce prywatności, która nie została oficjalnie zatwierdzona ani uznana przez dany podmiot publiczny, wskazano, iż ów podmiot publiczny jest administratorem, również należy uważać za administratora?

3)

Czy zawarte w art. 4 pkt 7 RODO pojęcie »administratora« można interpretować w ten sposób, że osobę, która nie wykonywała żadnych faktycznych operacji przetwarzania danych zdefiniowanych w art. 4 pkt 2 RODO lub nie udzieliła wyraźnego pozwolenia/wyraźnej zgody na wykonywanie takich operacji, również należy uważać za administratora? Czy okoliczność, że produkt informatyczny wykorzystywany do przetwarzania danych osobowych został utworzony zgodnie ze zleceniem sformułowanym przez instytucję zamawiającą, jest istotna dla wykładni pojęcia »administratora«?

4)

Jeżeli rozstrzygnięcie w przedmiocie faktycznych operacji przetwarzania danych ma znaczenie dla wykładni pojęcia »administratora«: czy zawartą w art. 4 pkt 2 RODO definicję »przetwarzania« należy interpretować w ten sposób, że obejmuje ona również sytuacje, w których kopie danych osobowych są wykorzystywane do testowania systemów informatycznych w toku procesu zmierzającego do nabycia aplikacji mobilnej?

5)

Czy współadministrowanie danymi zgodnie z art. 4 pkt 7 i art. 26 ust. 1 RODO można interpretować wyłącznie w ten sposób, że polega ono na świadomie koordynowanych działaniach dotyczących ustalenia celu i sposobów przetwarzania danych, czy też pojęcie to można również interpretować w ten sposób, iż współadministrowanie obejmuje także sytuacje, w których brak jest wyraźnego »porozumienia[uzgodnienia]« w odniesieniu do celu i sposobów przetwarzania lub w których podmioty nie koordynują ze sobą swoich działań? Czy okoliczność związana z etapem procesu tworzenia sposobu przetwarzania danych osobowych (aplikacji informatycznej), na którym dane osobowe były przetwarzane, oraz cel utworzenia aplikacji są z prawnego punktu widzenia istotne dla wykładni pojęcia współadministrowania danymi? Czy »porozumienie[uzgodnienie]« między współadministratorami można rozumieć wyłącznie jako ustanowienie w jasny i określony sposób warunków regulujących współadministrowanie danymi?

6)

Czy zawarty w art. 83 ust. 1 RODO przepis, zgodnie z którym »administracyjne kary pieniężne […] [są] […] skuteczne, proporcjonalne i odstraszające«, należy interpretować w ten sposób, że obejmuje on również przypadki przypisania odpowiedzialności »administratorowi«, gdy – w toku procesu tworzenia produktu informatycznego – deweloper wykonuje także czynności przetwarzania danych osobowych, oraz czy nieprawidłowe czynności przetwarzania danych osobowych dokonywane przez podmiot przetwarzający zawsze skutkują automatycznym powstaniem odpowiedzialności prawnej po stronie administratora? Czy ten przepis należy interpretować w ten sposób, że obejmuje on też przypadki odpowiedzialności administratora na zasadzie ryzyka?”.

21.

Rozpatrywany wniosek o wydanie orzeczenia w trybie prejudycjalnym z dnia 22 października 2021 r. zarejestrowano w Trybunale w dniu 12 listopada 2021 r. NVSC, urząd, rząd litewski i Komisja Europejska przedstawiły uwagi na piśmie.

22.

Rządy litewski i niderlandzki oraz Komisja i Rada były reprezentowane na rozprawie, która odbyła się w dniu 17 stycznia 2023 r.

IV. Analiza

23.

Podczas pandemii COVID-19 w wielu państwach członkowskich publicznie udostępniano do pobrania aplikacje mobilne umożliwiające „identyfikowanie i śledzenie” osób zakażonych wirusem lub osób, które miały z nimi kontakt. Owe aplikacje mobilne były opracowywane w ramach działań zmierzających do zaradzenia tej sytuacji nadzwyczajnej, w których nierzadko uczestniczyły różne jednostki publiczne i prywatne (takie jak ministerstwa i inne podmioty publiczne oraz przedsiębiorstwa prywatne). Użytkownicy byli zobowiązani do podania w tych aplikacjach mobilnych swoich danych osobowych, w szczególności danych dotyczących zdrowia ( 6 ).

24.

W postępowaniu głównym analizowana jest właśnie taka aplikacja mobilna, mianowicie KARANTINAS, która została opracowana przez ITSS (przedsiębiorstwo prywatne) z inicjatywy NVSC (organu publicznego) w następstwie decyzji ministra zdrowia. Ani z informacji zawartych w aktach sprawy, ani z wyjaśnień przedstawionych na rozprawie nie wynika, czy w procesie opracowywania aplikacji uczestniczyły inne litewskie podmioty publiczne, a jeżeli tak, jakie były to podmioty ( 7 ). Istnieją również pewne wątpliwości co do tego, czy NVSC wyraziło zgodę na publiczne udostępnienie aplikacji KARANTINAS w okresie, w którym dokonywano przetwarzania danych osobowych (kwiecień i maj 2020 r.). Niemniej jednak w pytaniach zadanych Trybunałowi w trybie prejudycjalnym Vilniaus apygardos administracinis teismas (regionalny sąd administracyjny w Wilnie) wskazał, że istotne znaczenie mają następujące okoliczności:

NVSC zamierzało nabyć aplikację KARANTINAS na podstawie art. 72 ust. 2 prawa zamówień publicznych, jednak postępowanie nie zostało zakończone, a do nabycia w ogóle nie doszło. W związku z tym prawo własności do aplikacji KARANTINAS nie zostało przeniesione przez ITSS na NVSC;

NVSC było wymienione jako administrator w polityce prywatności udostępnionej publicznie aplikacji KARANTINAS. W ostatniej wersji aplikacji, która jednak nigdy nie została oficjalnie zatwierdzona przez NVSC, znajdowały się także odnośniki kierujące do tego podmiotu;

NVSC nigdy samo nie przetwarzało danych osobowych ani też nie udzieliło formalnej zgody na przeprowadzane operacje przetwarzania, natomiast przekazało polecenia dotyczące opracowania aplikacji KARANTINAS, które zostały wykonane przez ITSS; oraz

ITSS i NVSC nie dokonały żadnych formalnych uzgodnień w odniesieniu do celów i sposobów dokonywanego przetwarzania danych osobowych.

25.

Wobec powyższego pytania zadane Trybunałowi w trybie prejudycjalnym dotyczą wykładni różnych przepisów RODO. Aby udzielić odpowiedzi na trzy pierwsze pytania i na pytanie piąte, należy dokonać wykładni pojęcia „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia, jak również doprecyzować, w jakich okolicznościach co najmniej dwa podmioty można uznać za „współadministratorów” na podstawie tego przepisu i art. 26 ust. 1 owego rozporządzenia. W pierwszej kolejności przeanalizuję te pytania łącznie (zob. śródtytuł A poniżej), po czym przejdę do pytania czwartego, które dotyczy pojęcia „przetwarzania” w rozumieniu art. 4 pkt 2 RODO i jego stosowania w kontekście etapu testowania aplikacji mobilnej (zob. śródtytuł B poniżej) ( 8 ). Następnie rozważę poruszone w pytaniu szóstym zagadnienie stanowiące sedno niniejszej sprawy, które ma charakter przekrojowy, ponieważ odnosi się do warunków, na jakich na administratorów można nakładać administracyjne kary pieniężne w zastosowaniu art. 83 RODO (zob. śródtytuł C poniżej).

A.   W przedmiocie pojęcia „administratora” i sytuacji współadministrowania (pytania od pierwszego do trzeciego i pytanie piąte)

26.

Poprzez trzy pierwsze pytania sąd odsyłający pragnie w istocie ustalić, czy, w świetle okoliczności opisanych w pkt 24 niniejszej opinii, podmiot taki jak NVSC należy uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO. Ponadto poprzez pytanie piąte sąd odsyłający zwraca się o wyjaśnienie, czy w takich okolicznościach dwa podmioty, takie jak NVSC i ITSS, należy uznać za „współadministratorów” na podstawie tego przepisu i art. 26 ust. 1 owego rozporządzenia, mimo że nie dokonały one żadnych formalnych uzgodnień w odniesieniu do celów i sposobów przetwarzania lub że nie wydaje się, iż w inny sposób koordynowały ze sobą swoje działania.

1. Czym jest administrator? (Pytania od pierwszego do trzeciego)

27.

Przypominam, że zgodnie z art. 4 pkt 7 RODO za „administratora” uważa się osobę lub podmiot, który „samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Mówiąc prościej, administrator nie musi sam przetwarzać żadnych danych osobowych, natomiast musi ustalić, „dlaczego i jak” przeprowadzane są odpowiednie operacje przetwarzania ( 9 ). Trybunał zasugerował, że aby to kryterium było spełnione, osoba lub podmiot muszą faktycznie „wpływa[ć] […] na przetwarzanie danych osobowych” ( 10 ). Nie jest jednak konieczne, aby ustalenie celów i sposobów przetwarzania następowało zgodnie z pisemnymi wytycznymi lub instrukcjami ze strony administratora ( 11 ). Artykuł 4 pkt 7 RODO zobowiązuje bowiem raczej do analizy okoliczności faktycznych, a nie do analizy formalnej.

28.

W tym kontekście Europejska Rada Ochrony Danych (EROD) zaproponowała, aby uznanie za administratora następowało również niezależnie od faktu przyznania przez prawo szczególnej kompetencji lub szczególnego uprawnienia do administrowania danymi. Możliwość ustalania celów i sposobów przetwarzania zależy przecież przede wszystkim od wywieranego wpływu, którego istnienie można wywieść z okoliczności faktycznych. Podmiot, który rzeczywiście jest w stanie ustalać cele i sposoby przetwarzania, będzie zatem uważany za „administratora” niezależnie od tego, czy formalnie wyznaczono go jako „administratora” (na mocy przepisów prawa, postanowień umownych lub w inny sposób) ( 12 ).

29.

Przedstawiwszy te wyjaśnienia, pragnę zauważyć, iż okoliczności odnotowane przez sąd odsyłający w trzech pierwszych pytaniach mają charakter czysto formalny – chodzi tu na przykład o fakt, że NVSC nie przysługuje prawo własności aplikacji KARANTINAS, że postępowanie w sprawie nabycia tej aplikacji mobilnej nie zostało zakończone albo że NVSC nie udzieliło oficjalnego zezwolenia na publiczne udostępnienie aplikacji ogółowi ludności lub nie zatwierdziło jej ostatniej wersji. Według mnie żadna z tych okoliczności nie może sama w sobie wykluczać wniosku, że w kontekście postępowania głównego NVSC działało jako „administrator” w rozumieniu art. 4 pkt 7 RODO. Nie wystarczają one bowiem, aby odrzucić stwierdzenie, że NVSC rzeczywiście było w stanie ustalać cele i sposoby dokonywanego przetwarzania danych osobowych. Z tego samego względu wydaje mi się, iż okoliczność, że NVSC zostało wskazane jako administrator w polityce prywatności tej wersji aplikacji mobilnej KARANTINAS, która została publicznie udostępniona do pobrania, oraz że w tej wersji aplikacji znajdowały się kierujące do tego podmiotu odnośniki, jest istotna, ale nie rozstrzygająca, jeśli chodzi o wpływ faktycznie wywierany przez ten podmiot.

30.

Z kolei przedstawione sądowi odsyłającemu dowody świadczące o tym, że NVSC decydowało o tym, jakie rodzaje danych osobowych mają być zbierane przez aplikację KARANTINAS i od jakich osób, których dane dotyczą, należy je zbierać, a także określało inne kluczowe aspekty przetwarzania, wystarczają moim zdaniem do wykazania, iż ów podmiot ustalał „sposoby” przetwarzania. Ponadto sądzę, że okoliczność, iż aplikacja KARANTINAS została utworzona z myślą o urzeczywistnieniu wskazanego przez NVSC celu, mianowicie podjęcia działań w reakcji na pandemię COVID-19, jak również fakt, że jej funkcjonalności były systematycznie modyfikowane przez ITSS w celu zaspokojenia potrzeb wyrażanych przez NVSC, zgodnie z poleceniami przekazywanymi przez ten podmiot, wystarczają, aby stwierdzić, iż ów podmiot ustalał „cele” tego przetwarzania.

31.

Niemniej jednak wydaje mi się, że aby ustalić, czy podmiot taki jak NVSC może zostać uznany za „administratora” w rozumieniu art. 4 pkt 7 RODO, sąd odsyłający powinien też sprawdzić, czy – niezależnie od wpływu wywieranego przez NVSC na etapie opracowywania aplikacji mobilnej KARANTINAS – decyzja o publicznym udostępnieniu tej aplikacji, a tym samym o przystąpieniu do przetwarzania danych osobowych, została faktycznie podjęta za (wyraźną lub dorozumianą) zgodą tego podmiotu (bez względu na fakt, iż ta zgoda nie została oficjalnie lub formalnie udzielona).

32.

Jak bowiem jasno wynika z zawartej w art. 4 pkt 7 RODO definicji „administratora”, wywierany przez administratora wpływ musi się odnosić do samego przetwarzania danych osobowych, a nie do jakiegokolwiek wcześniejszego etapu. Osoba fizyczna lub prawna albo inny podmiot nie staje się „administratorem” tylko z tego powodu, że inicjuje proces opracowywania aplikacji mobilnej lub określa parametry tej aplikacji (albo innego narzędzia do zbierania danych). Jego działania muszą wykazywać faktyczny związek z przetwarzaniem danych osobowych, co oznacza, że musi on w sposób wyraźny lub dorozumiany wyrazić zgodę na użycie danego narzędzia do celów takiego przetwarzania.

33.

Trybunał podkreślił znaczenie tego wymogu w wyroku Fashion ID ( 13 ), w którym dobitnie wskazał, że odpowiedzialność administratora jest ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on ustalił ( 14 ). Wynika stąd, że ustalenie celów lub sposobów winno bezpośrednio dotyczyć odnośnej operacji lub zestawu operacji przetwarzania danych osobowych.

34.

Moim zdaniem z powyższych ustaleń wynika, iż podmiot taki jak NVSC, który inicjuje proces opracowywania aplikacji mobilnej, może zostać uznany za „administratora” w rozumieniu art. 4 pkt 7 RODO jedynie wówczas, gdy istnieje wystarczająca liczba elementów o charakterze raczej faktycznym niż formalnym, w oparciu o które sądy krajowe mogą wywnioskować, że taki podmiot wywierał faktyczny wpływ w odniesieniu do „celów i sposobów” tego przetwarzania oraz że faktycznie wyraził on zgodę na publiczne udostępnienie aplikacji mobilnej, a tym samym na przetwarzanie danych osobowych. Z zastrzeżeniem weryfikacji, których powinien dokonać sąd odsyłający, uważam, że NVSC spełnia te wymogi.

2. Kiedy dwa podmioty można uznać za współadministratorów? (Pytanie piąte)

35.

Pytanie piąte dotyczy przesłanek, które muszą być spełnione, aby (co najmniej) dwa podmioty można było uznać za współadministratorów. Rozumiem, że sąd odsyłający zwraca się o wyjaśnienie wykładni tego pojęcia, ponieważ podejrzewa, iż, w sytuacji rozpatrywanej w postępowaniu głównym, NVSC i ITSS mogą zostać uznane za „współadministratorów”, a tym samym ponosić odpowiedzialność solidarną za wyrządzoną szkodę ( 15 ) i zostać wspólnie ukarane za naruszenia przepisów o ochronie danych popełnione w toku publicznego udostępniania do pobrania aplikacji KARANTINAS. W tym względzie pragnę zauważyć, jak wskazałem w pkt 16 niniejszej opinii, że urząd przypisał zarówno temu podmiotowi, jak i tej spółce, odpowiedzialność za naruszenia, które popełniły one w charakterze współadministratorów, i nałożył na nie kary w zastosowaniu art. 83 RODO.

36.

Artykuł 26 ust. 1 RODO stanowi, że jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, to są oni „współadministratorami”. W związku z tym każdy współadministrator musi niezależnie spełniać kryteria wymienione w definicji „administratora” zawartej w art. 4 pkt 7 tego rozporządzenia ( 16 ). Ponadto współadministratorzy powinni pozostawać ze sobą w pewnej relacji, ponieważ muszą oni wspólnie wpływać na przetwarzanie.

37.

Trybunał wskazał, że współadministrowanie niekoniecznie przekłada się na jednakową odpowiedzialność lub jednakowy udział różnych zaangażowanych osób lub podmiotów. Wręcz przeciwnie – współadministratorzy mogą być zaangażowani na różnych etapach przetwarzania, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności każdej sprawy ( 17 ). Ponadto wspólna odpowiedzialność kilku podmiotów w zakresie tego samego przetwarzania nie zakłada, by każdy z nich miał dostęp do odnośnych danych osobowych ( 18 ). Istotne jest natomiast, aby te podmioty brały wspólny udział w ustalaniu „celów i sposobów” przetwarzania.

38.

W tym względzie pragnę zauważyć, że – jak wskazano w wytycznych 07/2020 – taki wspólny udział może przybierać różne formy. Może on stanowić rezultat wspólnej decyzji podjętej przez co najmniej dwa podmioty lub wynikać po prostu ze zbieżnych decyzji takich podmiotów. W tym ostatnim przypadku istotne jest jedynie, aby decyzje wzajemnie się uzupełniały i były niezbędne, aby zaistniało przetwarzanie, w taki sposób, że mają one wymierny wpływ na ustalenie celów i sposobów przetwarzania, co zasadniczo oznacza, iż przetwarzanie nie byłoby możliwe bez udziału obu stron ( 19 ).

39.

W tym kontekście sąd odsyłający zastanawia się, czy okoliczność, że dwóch administratorów (którymi w tym przypadku są NVSC i ITSS) nie dokonało żadnych formalnych uzgodnień w odniesieniu do celów i sposobów przetwarzania lub że nie wydaje się, iż ci dwaj administratorzy w inny sposób koordynowali ze sobą swoje działania, wyklucza możliwość uznania ich za „współadministratorów”.

40.

Jak rozumiem, wątpliwości, jakie wyraża w tym względzie sąd odsyłający, wynikają z faktu, że zgodnie z art. 26 ust. 1 RODO współadministratorzy muszą w drodze wspólnych uzgodnień w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków zawartych w tym rozporządzeniu. Ponadto motyw 79 tego rozporządzenia przewiduje, że wymagany jest „jasny podział obowiązków”, w tym w sytuacji, w której administrator ustala cele i sposoby przetwarzania wspólnie z innymi osobami. Niemniej jednak moim zdaniem owe obowiązki i wymogi mają zastosowanie do współadministratorów dopiero wtedy, gdy można ich uznać za takowych. Nie zaliczają się one do kryteriów, które muszą być spełnione, aby można ich było zakwalifikować do tej kategorii.

41.

Jak stwierdziłem w pkt 36 niniejszej opinii, aby można było mówić o współadministrowaniu, wymagane jest zaistnienie jedynie dwóch obiektywnych przesłanek. Po pierwsze, każdy współadministrator musi spełniać kryteria wymienione w definicji „administratora” zawartej w art. 4 pkt 7 RODO. Akta sprawy nie zawierają informacji wystarczających do tego, aby ustalić, czy w sytuacji rozpatrywanej w postępowaniu głównym ITSS należy uznać za „administratora” w rozumieniu tego przepisu. W świetle ustaleń, które poczyniłem w poprzedniej sekcji niniejszej opinii, oraz z zastrzeżeniem weryfikacji, której przeprowadzenie należy do sądu odsyłającego, wydaje mi się jednak, że przesłanki uznania za „administratora” w rozumieniu tego przepisu spełnia przynajmniej NVSC (a być może nawet zarówno ten podmiot, jak i ITSS). Po drugie, administratorzy muszą wspólnie wpływać na przetwarzanie (co oznacza, że ów wpływ powinien być wywierany zgodnie z kryteriami prawnymi i orzecznictwem przytoczonym w pkt 37 i 38 niniejszej opinii). W tym względzie wyjaśniłem, że wspólny udział w przetwarzaniu może przybierać różne formy i wcale nie musi wynikać ze wspólnej decyzji zaangażowanych stron. W związku z tym podejście materialne i funkcjonalne, jakie jest wymagane w celu ustalenia, czy daną osobę lub dany podmiot należy uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO, znajduje moim zdaniem zastosowanie również w przypadku współadministrowania ( 20 ).

42.

W świetle tych okoliczności uważam, po pierwsze, że brak porozumienia lub uzgodnień między co najmniej dwoma administratorami takimi jak NVSC i ITSS, a nawet brak podjętej przez nich wspólnej decyzji, nie może sam w sobie wykluczać stwierdzenia, iż są oni „współadministratorami” w rozumieniu art. 4 pkt 7 RODO w związku z jego art. 26 ust. 1. W tym miejscu pragnę dodać, że EROD zasugerowała, iż choć przy ocenie współadministrowania użyteczne mogą się okazać uzgodnienia umowne, to jednak należy zawsze sprawdzić je w świetle okoliczności faktycznych dotyczących stosunków między stronami ( 21 ).

43.

Po drugie, mam również wrażenie, że sam fakt, iż NVSC i ITSS, poza tym, że nie zawarły porozumienia, nie dokonały uzgodnień lub nie podjęły wspólnej decyzji, nie wydają się koordynować swoich działań lub w inny sposób ze sobą współpracować, nie oznacza, iż nie można ich uznać za „współadministratorów”. Nawet gdy dochodzi do takiej koordynacji lub współpracy, pozostaje ona bez znaczenia dla kwestii, czy stosunek łączący oba podmioty jest stosunkiem współadministrowania czy też nie. Można przecież łatwo wyobrazić sobie sytuację, w której co najmniej dwa podmioty koordynują swoje działania lub ze sobą współpracują, a wcale nie są współadministratorami. Na przykład dwóch niezależnych administratorów może koordynować swoje działania lub ze sobą współpracować z myślą o przekazywaniu sobie nawzajem danych osobowych. Nie czyni to ich jednak „współadministratorami” w rozumieniu art. 4 pkt 7 i art. 26 ust. 1 RODO ( 22 ). Istotne jest, jak wyjaśniłem w pkt 38 powyżej, że przetwarzanie nie byłoby możliwe bez udziału obu stron, ponieważ obie mają wymierny wpływ na ustalenie celów i sposobów tego przetwarzania.

3. Wnioski w przedmiocie wykładni pojęcia „administratora” i sytuacji współadministrowania

44.

W świetle powyższych rozważań wydaje mi się, że – z jednej strony – z zastrzeżeniem weryfikacji, których przeprowadzenie należy do sądu odsyłającego, podmiot taki jak NVSC spełnia wymienione w art. 4 pkt 7 RODO przesłanki pozwalające uznać go za „administratora”. Z drugiej strony to, czy NVSC i ITSS należy uznać za „współadministratorów” zgodnie z kryteriami, które przedstawiłem w poprzedniej sekcji, czy też raczej przyjąć, że są one, odpowiednio, „administratorem” i „podmiotem przetwarzającym”, zależy od charakteru stosunku ich łączącego, którego ocena należy do sądu odsyłającego.

45.

W tym względzie chciałbym dodać, że charakter stosunku łączącego NVSC i ITSS (mianowicie to, czy owe podmioty są „współadministratorami”, czy też, odpowiednio, „administratorem” i „podmiotem przetwarzającym”) ma znaczenie w kontekście pytania szóstego. W związku z tym do wniosków, które sformułowałem w odniesieniu do pytania piątego, powrócę w ramach analizy problemów zasygnalizowanych w pytaniu szóstym.

B.   W przedmiocie pojęcia „przetwarzania” (pytanie czwarte)

46.

Poprzez pytanie czwarte sąd odsyłający zmierza zasadniczo do ustalenia, czy definicja „przetwarzania” zawarta w art. 4 pkt 2 RODO obejmuje sytuację, w której dane osobowe są wykorzystywane na etapie testowania aplikacji mobilnej ( 23 ). Z wniosku o wydanie orzeczenia w trybie prejudycjalnym wnioskuję, że aplikacja KARANTINAS przeszła etap testowania przed jej publicznym udostępnieniem do pobrania. W moim rozumieniu pytanie czwarte dotyczy więc sytuacji odmiennej od tej, która stanowi sedno pozostałych pytań skierowanych do Trybunału, a które wszystkie dotyczą przetwarzania danych osobowych po zakończeniu etapu testowania, kiedy KARANTINAS został udostępniony publicznie. Sąd odsyłający pragnie w szczególności ustalić, czy wykorzystywanie danych osobowych na etapie testowania można uznać za „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO i czy jako takie może ono prowadzić do powstania ewentualnej odpowiedzialności po stronie zaangażowanych administratorów lub podmiotów przetwarzających.

47.

W art. 4 pkt 2 RODO „przetwarzanie” zdefiniowano jako „[każdą] operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany […]” ( 24 ).

48.

Mając na uwadze to brzmienie (w szczególności zaś użycie słowa „każdą” [brak w polskiej wersji językowej tego przepisu] oraz posłużenie się ogólnymi pojęciami takimi jak „operacja” czy też „zestaw operacji”), przyjmuję, że ów przepis należy rozumieć szeroko, tak aby obejmował on możliwie jak najwięcej potencjalnych sytuacji, w których wykorzystywane są dane osobowe. Niewyczerpujący wykaz takich sytuacji, zawarty w tym przepisie, potwierdza tę wykładnię, biorąc pod uwagę różnorodność operacji, które są w nim zawarte ( 25 ).

49.

Ponadto, o ile z powyższej sekcji wynika, że definicja „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia wykazuje ścisły związek z celami przetwarzania danych osobowych (powodami, „dla których” dane osobowe są zbierane), o tyle nie jest tak w przypadku definicji znajdującej się w jego art. 4 pkt 2. W związku z tym powody, dla których wykonywana jest operacja lub zestaw operacji, co do zasady pozostają bez znaczenia dla kwestii, czy należy je uznać za „przetwarzanie” w rozumieniu tego przepisu. Z powyższego wynika moim zdaniem, że to, czy dane osobowe są zbierane w celu testowania systemów informatycznych zintegrowanych z aplikacją mobilną, czy też w innym celu, nie ma wpływu na rozstrzygnięcie, czy dana operacja kwalifikuje się jako „przetwarzanie”.

50.

W tym względzie pragnę jeszcze wskazać, że „wykorzystywanie” danych osobowych (bez żadnych dodatkowych odniesień, a zatem niezależnie od celu takiego wykorzystywania) jest wymienione wśród operacji lub zestawów operacji stanowiących „przetwarzanie” ( 26 ). Ponadto art. 4 pkt 2 RODO nie zawiera żadnego wyraźnego wyjątku, odstępstwa ani wyłączenia w odniesieniu do operacji związanych z wykorzystywaniem danych osobowych na potrzeby testowania systemów informatycznych. Oznacza to, że nic nie stoi na przeszkodzie uznaniu wykorzystywania danych osobowych w celu przeprowadzenia takich testów za „przetwarzanie” w rozumieniu tego przepisu; wręcz przeciwnie.

51.

Mając na uwadze te elementy, sądzę, że definicja „przetwarzania” zawarta w art. 4 pkt 2 RODO obejmuje sytuację, w której dane osobowe są wykorzystywane na etapie testowania aplikacji mobilnej.

52.

Na mój wniosek w tym względzie nie ma wpływu sam fakt, że dane osobowe zapewnione na potrzeby testowania systemów informatycznych zintegrowanych z aplikacją mobilną mogły zostać poddane pseudonimizacji ( 27 ). RODO nie miałoby zastosowania jedynie w sytuacji, w której informacje dostarczone do aplikacji mobilnej składają się wyłącznie z informacji anonimowych, które „nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną” ani do danych osobowych „zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować”. Zaznaczam jednak, że w sprawie w postępowaniu głównym dane wykorzystywane na etapie testowania nie wydają się stanowić, w świetle informacji zawartych w aktach sprawy, tego rodzaju poddanych anonimizacji danych ( 28 ).

53.

W świetle powyższego uważam, iż definicja „przetwarzania” zawarta w art. 4 pkt 2 RODO obejmuje sytuację, w której dane osobowe są wykorzystywane na etapie testowania aplikacji mobilnej, chyba że te dane zostały poddane anonimizacji w taki sposób, iż osoby, której dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. To, czy dane osobowe zostały zebrane w celu testowania systemów informatycznych zintegrowanych z aplikacją mobilną lub w innym celu, nie ma z kolei wpływu na zakwalifikowanie danej operacji jako „przetwarzania” ( 29 ).

54.

Przedstawiwszy te wyjaśnienia, przejdę teraz do kluczowej kwestii w niniejszej sprawie, która dotyczy warunków, na jakich na administratora lub podmiot przetwarzający można nakładać administracyjne kary pieniężne w zastosowaniu art. 83 RODO.

C.   W przedmiocie administracyjnych kar pieniężnych nakładanych w zastosowaniu art. 83 RODO (pytanie szóste)

55.

Przed przyjęciem RODO sankcje za naruszenia przepisów o ochronie danych stanowiły dziedzinę pozostawioną w dużej mierze do uznania państw członkowskich, zgodnie z przysługującą im autonomią proceduralną i autonomią w zakresie środków ochrony prawnej ( 30 ). W związku z tym administracyjne kary pieniężne, które zostały wprowadzone art. 83 tego rozporządzenia, są stosunkowo „nowym elementem” unijnego prawa ochrony danych. Grupa Robocza art. 29 wskazała, że są one „zasadniczym elementem nowego systemu egzekwowania” ( 31 ). Choć jak dotąd Trybunał nie dokonał wykładni tego przepisu, to był on już stosowany przez organy nadzorcze, które niekiedy nakładały na jego podstawie wysokie kary na administratorów i podmioty przetwarzające ( 32 ).

56.

Artykuł 83 RODO przewiduje dwupoziomową strukturę systemu kar, przy czym to, na którym poziomie rozpatruje się naruszenie, zależy od konkretnego rodzaju naruszonego przepisu. O ile poziom pierwszy, o którym jest mowa w art. 83 ust. 4 tego rozporządzenia, odnosi się do sytuacji, w których administrator lub podmiot przetwarzający narusza spoczywające na nim ogólne obowiązki, a także niektóre szczególne obowiązki, o tyle poziom drugi jest zarezerwowany – jak stanowi art. 83 ust. 5 RODO – dla poważniejszych naruszeń, takich jak, między innymi, naruszenia podstawowych zasad przetwarzania, praw osób, których dane dotyczą, czy też przepisów regulujących przekazywanie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej.

57.

Na każdym z tych poziomów właściwe organy krajowe powinny, ustaliwszy, że doszło do naruszenia odnośnego przepisu RODO, przeprowadzić dwie oceny. Po pierwsze, mają one ustalić, czy należy nałożyć karę pieniężną, a po drugie, ustaliwszy to, mają określić wysokość tej kary. Te oceny muszą być przeprowadzane w każdym indywidualnym przypadku, w świetle różnych czynników wymienionych w art. 83 ust. 2 RODO. Wśród tych czynników wymieniono „umyślny lub nieumyślny charakter naruszenia” [art. 83 ust. 2 lit. b)].

58.

Poprzez pytanie szóste sąd odsyłający zmierza zasadniczo do ustalenia, czy administracyjna kara pieniężna może zostać nałożona na administratora, jeżeli ów administrator nie działał umyślnie lub nieumyślnie, gdy naruszył przepisy o ochronie danych, a dane osobowe zostały przetworzone niezgodnie z prawem nie przez samego administratora, lecz przez podmiot przetwarzający. W świetle ustaleń, które poczyniłem powyżej w odniesieniu do pytania piątego, wydaje mi się, że pytanie szóste zostało zadane na wypadek, gdyby w postępowaniu głównym NVSC i ITSS nie można było uznać za „współadministratorów” w rozumieniu art. 4 pkt 7 RODO w związku z art. 26 ust. 1 owego rozporządzenia, natomiast należało je uznać odpowiednio za „administratora” i „podmiot przetwarzający”. To właśnie w tym szczególnym kontekście sąd odsyłający pragnie uzyskać wyjaśnienia odnośnie do tego, w jakich okolicznościach można nałożyć na NVSC karę pieniężną w zastosowaniu art. 83 RODO.

59.

Pragnę w związku z tym zauważyć, że w pytaniu szóstym jako właściwy przepis powołano jedynie art. 83 ust. 1 RODO. Pomimo to uważam, że problemy podniesione w tym pytaniu wymagają dokonania analizy art. 83 tego rozporządzenia jako całości oraz, przede wszystkim, jak wyjaśniłem w pkt 57 niniejszej opinii, uwzględnienia jego art. 83 ust. 2 lit. b), skoro to właśnie ten przepis odnosi się do „umyślnego lub nieumyślnego charakteru naruszenia”. W związku z tym przyjmuję, że pytanie szóste dotyczy wykładni art. 83 RODO jako całości, a nie tylko art. 83 ust. 1 tego rozporządzenia.

60.

Według mnie to pytanie składa się z dwóch części. Po pierwsze, Trybunał musi rozstrzygnąć, czy art. 83 RODO zezwala, w ujęciu ogólnym, na nakładanie administracyjnych kar pieniężnych na administratorów lub podmioty przetwarzające w braku mens rea (elementu subiektywnego – winy). Sąd odsyłający pragnie w istocie ustalić, czy na NVSC można nałożyć karę pieniężną tylko z tego powodu, że naruszyło ono obowiązki spoczywające na nim jako na administratorze (odpowiedzialność na zasadzie ryzyka), czy też wymagane jest, aby odnośne naruszenie lub naruszenia były zawinione. Po drugie, zwraca się on o wyjaśnienie, czy okoliczność, że dane osobowe zostały przetworzone niezgodnie z prawem nie przez samego administratora, lecz przez podmiot przetwarzający, wpływa w jakikolwiek sposób na możliwość nałożenia przez organy nadzorcze kary pieniężnej na administratora.

61.

Rozważę kolejno oba te aspekty.

1. Aspekt pierwszy: konieczność wykazania winy

62.

Artykuł 83 RODO wymaga, aby wszystkie administracyjne kary pieniężne nakładane za naruszenia przepisów o ochronie danych były „skuteczne, proporcjonalne i odstraszające”. Wynika to jasno z ust. 1 tego artykułu. W tym ustępie nie wskazano jednak, czy taka kara pieniężna może zostać nałożona tylko w razie równoczesnego wykazania winy, czyli czy „wina” jest warunkiem nałożenia jakiejkolwiek administracyjnej kary pieniężnej.

63.

Z kolei w ust. 2 lit. b) tego artykułu „umyślny lub nieumyślny charakter naruszenia” wymieniono pośród elementów ( 33 ), na które organy nadzorcze mają w każdym indywidualnym przypadku zwrócić „należytą uwagę”. Zgodnie z art. 83 ust. 2 lit. k) owego rozporządzenia te elementy należy traktować jako „obciążające lub łagodzące czynniki”, których wykaz nie jest wyczerpujący.

64.

W tym kontekście uważam, że art. 83 RODO można rozumieć na dwa sposoby.

65.

Z jednej strony dałoby się przyjąć, że choć o decyzji nakładającej karę pieniężną i określającej jej wysokość należy rozstrzygać, zwracając należytą uwagę na stopień winy (w związku z czym na przykład co do zasady kara pieniężna powinna być wyższa, jeżeli naruszenie było wynikiem umyślnego zachowania, i odwrotnie – nieumyślne zachowanie powinno skutkować nałożeniem niższej kary pieniężnej), to nic nie stoi na przeszkodzie, aby kara pieniężna została zastosowana również w braku jakiejkolwiek winy, o ile podmiotowi przetwarzającemu lub administratorowi można przypisać odpowiedzialność za naruszenie. Taka interpretacja znajdowałaby oparcie w wykładni art. 83 ust. 2 lit. b) i k), zgodnie z którą wymienienie różnych form winy (umyślnej lub nieumyślnej) jako „obciążających lub łagodzących czynników” można rozumieć w ten sposób, iż zasadniczo zgodnie z tymi przepisami wina nie jest warunkiem koniecznym nałożenia kary.

66.

Z drugiej strony można by również twierdzić, jak czyni to Komisja w niniejszej sprawie, że przed nałożeniem kary należy wykazać, co stanowi wymóg minimalny, nieumyślność po stronie osoby lub podmiotu, który dopuścił się naruszenia. Za tym podejściem przemawiałaby inna, bardziej ostrożna wykładnia art. 83 ust. 2 lit. b) i k) RODO, w myśl której te przepisy nakładają na organy nadzorcze obowiązek rozróżnienia między czynnikiem łagodzącym (nieumyślność) a czynnikiem obciążającym (umyślność), natomiast nie wskazują, że karę pieniężną można nałożyć w całkowitym braku winy.

67.

Komisja wyraźnie opowiedziała się za taką interpretacją w swoim pierwotnym wniosku ( 34 ), który legł u podstaw przyjęcia RODO, a w którym zaproponowała trzypoziomową strukturę systemu kar pieniężnych. W odniesieniu do każdego poziomu Komisja zaproponowała, aby kary pieniężne mogły być nakładane wyłącznie na „każdy podmiot, który umyślnie lub lekkomyślnie [nieumyślnie]” ( 35 ) popełnił co najmniej jedno z zarzucanych naruszeń. W związku z tym przesłanka winy została wyraźnie przewidziana przez Komisję jako warunek konieczny nałożenia takiej kary pieniężnej ( 36 ).

68.

Choć moim zdaniem oba podejścia daje się obronić w świetle wykładni językowej art. 83 ust. 2 RODO, ponieważ każde z nich odpowiada rozumieniu „umyślnego lub nieumyślnego charakteru naruszenia” jako czynnika „obciążającego” lub „łagodzącego”, to uważam, że jedynie drugie z nich należycie odzwierciedla zamiar przyświecający prawodawcy Unii. Do tego wniosku skłania mnie kilka powodów.

a) Powody, dla których wymagana jest wina

69.

Po pierwsze, pragnę wskazać, że w oparciu o konkretne sformułowania dotyczące niektórych czynników wymienionych w art. 83 ust. 2 RODO można wywnioskować, iż owe czynniki nie odnoszą się do wszystkich, lecz tylko do pewnych przypadków. W szczególności art. 83 ust. 2 lit. c), e) i k) rozpoczynają się od słowa „wszelkie” („[wszelkie][tutaj pominiętego w polskiej wersji językowej] działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody […]”; „wszelkie stosowne wcześniejsze naruszenia […]”, „wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy […]”), co sugeruje, że choć organy nadzorcze muszą zawsze stwierdzić, czy podjęto jakiekolwiek działanie w celu zminimalizowania szkody oraz czy istnieją jakiekolwiek wcześniejsze naruszenia lub inne czynniki obciążające lub łagodzące, jeśli takie elementy występują lub zostały udowodnione, to mogą też zdarzyć się sytuacje, w których takie elementy po prostu nie występują, a mimo to właściwy organ ochrony danych nadal jest w stanie podjąć decyzję o nałożeniu kary pieniężnej (lub – przeciwnie – o nienałożeniu takiej kary). W podobnym duchu chciałbym zauważyć, że art. 83 ust. 2 lit. i) RODO jest również sformułowany w sposób niesystematyczny, ponieważ wymaga zbadania, czy administrator lub podmiot przetwarzający przestrzegał środków, o których mowa w art. 58 ust. 2 tego rozporządzenia, ale jedynie„jeżeli wobec administratora lub podmiotu przetwarzającego […] zostały wcześniej zastosowane [takie] środki”.

70.

Z kolei w art. 83 ust. 2 lit. b) jest mowa jedynie o „umyślnym lub nieumyślnym charakterze naruszenia” ( 37 ). Wydaje mi się zatem, że jest to jeden z tych czynników, który musi wystąpić oraz, mówiąc obrazowo, który musi w każdej sprawie zostać „odhaczony” przed nałożeniem kary pieniężnej, podobnie jak „charakter, wag[a] i czas trwania naruszenia […]” [art. 83 ust. 2 lit. a)], „kategorie danych osobowych, których dotyczyło naruszenie” [art. 83 ust. 2 lit. g)] i „sposób, w jaki organ nadzorczy dowiedział się o naruszeniu […]” [art. 83 ust. 2 lit. h)]. Moim zdaniem te pozostałe czynniki również muszą „wystąpić” we wszystkich przypadkach; na przykład „charakter, waga i czas trwania naruszenia” mogą być bardzo różne w zależności od sprawy (w związku z czym mogą stanowić powód przemawiający „za” nałożeniem kary lub „przeciw” jej nałożeniu). Niemniej jednak w każdym przypadku naruszenie będzie miało charakter, jakąś wagę i jakiś czas trwania, które trzeba będzie wziąć pod uwagę. Moim zdaniem jest to pierwsza wskazówka świadcząca o tym, że nakładanie kar pieniężnych na podstawie art. 83 RODO jest możliwe jedynie w sytuacjach, w których zarzucane naruszenie było albo umyślne, albo nieumyślne ( 38 ).

71.

Po drugie, chciałbym zauważyć, że choć w art. 83 ust. 2 RODO nie ma wyraźnie mowy o tym, iż naruszenie ma zostać popełnione „umyślnie lub nieumyślnie”, to tego samego nie można powiedzieć o ust. 3 tego artykułu, który to przepis wyraża zasadę ogólną zakazu kumulacji administracyjnych kar pieniężnych. W tym ustępie jest mowa wyłącznie o sytuacji, w której dane naruszenie lub naruszenia popełniono „umyślnie lub nieumyślnie”.

72.

Według mnie logicznie wynika z tego, że art. 83 ust. 2 RODO należy interpretować w ten sposób, iż kara pieniężna może zostać nałożona tylko wtedy, gdy zarzucane naruszenie zostało popełnione umyślnie lub nieumyślnie. Gdyby bowiem zakresy stosowania art. 83 ust. 2 i 3 RODO były odmienne, istniałaby możliwość nakładania skumulowanych kar pieniężnych za mniej poważne naruszenia (czyli naruszenia popełnione bez jakiejkolwiek winy), ponieważ, chociaż w dalszym ciągu mogłyby prowadzić do nałożenia kary w zastosowaniu pierwszego z tych przepisów (art. 83 ust. 2), to nie podlegałyby regulacji drugiego z tych przepisów (art. 83 ust. 3). Nie byłoby to jednak możliwe w przypadku naruszeń popełnionych nieumyślnie lub umyślnie, ponieważ wszystkie takie naruszenia podpadałyby pod zasadę zakazu kumulacji, którą wyrażono w art. 83 ust. 3 owego rozporządzenia. Taki rezultat byłby w oczywisty sposób sprzeczny z podstawową zasadą ustanowionego w RODO systemu kar, zgodnie z którą poważne naruszenia powinny co do zasady podlegać karze surowszej aniżeli mniej poważne naruszenia, a nie odwrotnie.

73.

Po trzecie, wskazuję, że kary pieniężne nakładane w zastosowaniu art. 83 RODO mogą stanowić surowe sankcje. W istocie na poziomie pierwszym, o którym jest mowa w art. 83 ust. 4 tego rozporządzenia, można nałożyć kary w wysokości do 10000000 EUR lub, w przypadku przedsiębiorstwa, w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Na poziomie drugim przewidziano kary w wysokości do 20000000 EUR lub, w przypadku przedsiębiorstwa, w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (również w zależności od tego, która kwota jest wyższa).

74.

W konsekwencji wydaje mi się, że kary pieniężne nakładane w zastosowaniu art. 83 RODO realizują, przynajmniej w niektórych sytuacjach ( 39 ), funkcję represyjną i wykazują na tyle wysoki stopień surowości, by mogły należeć do dziedziny prawa karnego ( 40 ), a tym samym pozostawać objęte zakresem stosowania art. 49 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”) ( 41 ).

75.

Ze względu na te elementy, a w szczególności przynależność grzywien nałożonych na podstawie art. 83 RODO do dziedziny prawa karnego można by pokusić się o stwierdzenie, że niezgodne z wymogiem przewidzianym w ust. 1 tego przepisu – w myśl którego kary mają być we wszystkich przypadkach nie tylko „odstraszające” i „skuteczne”, ale też „proporcjonalne” – byłoby dopuszczenie nakładania takich kar w braku winy. Innymi słowy, nieproporcjonalne byłoby nakładanie kar pieniężnych w sytuacjach, w których nie wykazano nawet nieumyślności. Moim zdaniem przeprowadzenie takiego argumentu byłoby jednak trudne, skoro Trybunał orzekł już, że system sankcji lub kar oparty na odpowiedzialności na zasadzie ryzyka, nawet jeżeli należy on do dziedziny prawa karnego, nie jest sam w sobie nieproporcjonalny względem zamierzonych celów, gdy system ten może nakłaniać osoby, do których się odnosi, do poszanowania określonych przepisów i gdy zamierzone cele są objęte ogólnym interesem mogącym uzasadniać ustanowienie takiego systemu ( 42 ). Ponadto Europejski Trybunał Praw Człowieka (ETPC) orzekł, w odniesieniu do art. 7 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (EKPC) (które to postanowienie odpowiada art. 49 karty) ( 43 ), że choć karanie na podstawie tego postanowienia co do zasady wymaga ustalenia znamion strony podmiotowej wskazujących na element osobistej odpowiedzialności po stronie sprawcy, który faktycznie popełnił czyn zabroniony, to wymóg ten nie wyklucza istnienia pewnych form odpowiedzialności obiektywnej ( 44 ).

76.

Niemniej jednak na podstawie tego orzecznictwa wywodzę, że mens rea (element subiektywny) co do zasady jest wymagany do nałożenia sankcji należącej do dziedziny prawa karnego, w związku z czym odpowiedzialność na zasadzie ryzyka stanowi swoisty „wyjątek” od tej ogólnej zasady w zakresie, w jakim musi on zostać uzasadniony w świetle celów danej regulacji.

77.

Jeśliby wziąć pod uwagę RODO jako całość, to wydaje mi się, że prawodawca Unii przewidział administracyjne kary pieniężne jako raptem jedno z ustanowionych w tym akcie prawnym narzędzi służących zapewnieniu skutecznego przestrzegania prawa. Kary pieniężne są bowiem nakładane „oprócz lub zamiast” innych środków wymienionych w art. 58 ust. 2 tego rozporządzenia, który to przepis przyznaje organom nadzorczym szereg uprawnień naprawczych (takich jak prawo do wydawania ostrzeżeń, udzielania upomnień lub nakazywania podjęcia określonych działań) ( 45 ). Ponadto w sytuacjach, w których nie nakłada się administracyjnej kary pieniężnej w zastosowaniu art. 83 RODO, organy nadzorcze mają możliwość nałożenia innych sankcji na podstawie art. 84 owego rozporządzenia ( 46 ).

78.

Moim zdaniem z tych przepisów jasno wynika, że prawodawcy Unii, gdy przyjmował on to rozporządzenie, nie przyświecał zamiar, aby każde naruszenie przepisów o ochronie danych podlegało administracyjnym karom pieniężnym. Dążył on raczej do ustanowienia elastycznego i zróżnicowanego systemu sankcji i kar. Potwierdza to motyw 148 RODO, zgodnie z którym organy nadzorcze mogą, jeżeli „naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie”, odstąpić od nałożenia administracyjnej kary pieniężnej i zamiast tego udzielić upomnienia. W tym kontekście ograniczenie stosowania art. 83 RODO do sytuacji, w których wykazano przynajmniej nieumyślność, jest moim zdaniem spójne z tymi celami i z nadrzędną logiką tych poszczególnych przepisów, zgodnie z którą nakładanie administracyjnych kar pieniężnych powinno być zarezerwowane dla pewnych rodzajów naruszeń.

79.

Wydaje mi się również, że w przypadkach, w których prawodawca Unii wyraził wolę wprowadzenia w RODO systemu odpowiedzialności na zasadzie ryzyka lub na zasadzie domniemania winy, użył on stosownych sformułowań, którymi nie posłużono się w art. 83 tego aktu prawnego. I tak na przykład w przypadku odpowiedzialności cywilnej (czyli odpowiedzialności, jaką administratorzy i podmioty przetwarzające ponoszą wobec osób, których dane dotyczą), która została uregulowana w art. 82 RODO, prawodawca Unii wskazał, że administratorzy i podmioty przetwarzające są bezwzględnie zobowiązane naprawić szkodę wyrządzoną osobom, których dane dotyczą, chyba że są w stanie wykazać, iż w żaden sposób nie ponoszą odpowiedzialności za zdarzenie, które doprowadziło do powstania szkody ( 47 ). Z kolei w art. 83 tego rozporządzenia brak jest wyrażeń przypominających sformułowania użyte w art. 84 RODO. Potwierdza to moim zdaniem wniosek, że zamiarem prawodawcy Unii nie było wprowadzenie na mocy tego przepisu systemu kar pieniężnych przewidującego odpowiedzialność na zasadzie ryzyka lub na zasadzie domniemania winy.

80.

Po czwarte i być może najważniejsze, uważam, że w praktyce próg nieumyślnego naruszenia RODO w rozumieniu art. 83 ust. 2 lit. b) tego rozporządzenia jest w każdym wypadku tak niski, iż trudno jest sobie wyobrazić sytuacje, w których nałożenie kary pieniężnej nie będzie możliwe z tego tylko powodu, że ta przesłanka nie została spełniona. W związku z tym uważam, że sam fakt konieczności wykazania popełnionego umyślnie lub nieumyślnie naruszenia przed nałożeniem kary pieniężnej w zastosowaniu art. 83 tego rozporządzenia, nie zagraża celowi prawodawcy Unii, jakim jest zagwarantowanie skutecznego egzekwowania przepisów o ochronie danych zawartych w tym rozporządzeniu, a wręcz przeciwnie.

81.

W tym względzie niekiedy podnosi się, że samo niepodjęcie żadnego działania w sytuacji, w której administrator lub podmiot przetwarzający ma li tylko wątpliwości co do zgodności z prawem dokonanego przetwarzania, już stanowi wyraz świadomego przyzwolenia na ewentualne naruszenie RODO, a tym samym rażące niedbalstwo ( 48 ). Ponadto Grupa Robocza art. 29 zasugerowała, że nieumyślne naruszenie pod wieloma względami jest równoznaczne z naruszeniem „niezamierzonym”, ponieważ – jej zdaniem – takie naruszenie może nastąpić wówczas, gdy brak było zamiaru spowodowania naruszenia i nastąpiło jedynie niedopełnienie przez administratora lub podmiot przetwarzający spoczywającego na nich obowiązku zachowania staranności ( 49 ). W szczególności stwierdziła ona, że na zaniedbanie może wskazywać nawet taka okoliczność jak zwykły „błąd ludzki” ( 50 ).

82.

W tym miejscu nasuwają się dwie uwagi. Po pierwsze, granica między całkowicie niezamierzonym i niezawinionym naruszeniem a naruszeniem popełnionym nieumyślnie jest w rzeczywistości bardzo cienka. Uważam, że organy nadzorcze rzadko będą miały trudności, aby zidentyfikować wystarczającą liczbę elementów pozwalających przyjąć, iż zarzucane naruszenie popełniono przynajmniej nieumyślnie. W tym względzie zaznaczam, że w doktrynie stwierdzono, iż „mając na uwadze liczne działania na rzecz podnoszenia świadomości […], podejmowane w celu zapewnienia przestrzegania RODO, trudno jest sobie wyobrazić […] naruszenia RODO, które nie byłyby przynajmniej nieumyślne” ( 51 ). W pełni się z tym zgadzam i przypominam, że RODO zmierza w szczególności do zagwarantowania, aby administratorzy i podmioty przetwarzające miały świadomość przepisów o ochronie danych, co moim zdaniem sprawia, iż jeszcze trudniej jest uznać, że naruszenie może zostać popełnione bez żadnej winy (nawet bez nieumyślności) ( 52 ).

83.

Po drugie, taki wniosek jawi się jako całkowicie spójny z głównym celem RODO, którym jest zapewnienie spójnego i wysokiego poziomu ochrony osób fizycznych w Unii Europejskiej ( 53 ). Kary pieniężne wywierają rzeczywiście skutek odstraszający ( 54 ). Ponieważ skłaniają one administratorów i podmioty przetwarzające do przestrzegania RODO, przyczyniają się zasadniczo do wzmocnienia ochrony osób, których dane dotyczą, a tym samym stanowią kluczowy element gwarantujący poszanowanie ich praw ( 55 ). Moim zdaniem wynika z tego, że o ile nie można się obyć bez „winy”, o tyle stopień winy wymagany do tego, by art. 83 RODO znalazł zastosowanie, jest wystarczająco niski, aby zapewnić odpowiedni poziom ochrony osób, których dane dotyczą.

84.

Ponadto chciałbym podkreślić, że podejście, które proponuję Trybunałowi, potwierdzałoby również fakt zestrojenia systemu kar pieniężnych ustanowionego tym przepisem z systemem grzywien przewidzianym w art. 23 ust. 1 rozporządzenia (WE) nr 1/2003 ( 56 ) w odniesieniu do naruszeń prawa konkurencji, który również ma zastosowanie jedynie w przypadku wykazania popełnionego umyślnie lub nieumyślnie naruszenia, To, że ów system grzywien był źródłem inspiracji przy formułowaniu treści normatywnej art. 83 RODO, znajduje potwierdzenie w motywie 150 RODO, który przewiduje, iż „[j]eżeli administracyjna kara pieniężna jest nakładana na przedsiębiorstwo, to »przedsiębiorstwo« należy do tych celów rozumieć zgodnie z art. 101 i 102 TFUE”, jak również w innych podobieństwach między tymi dwoma systemami, na przykład w fakcie, że sankcje nakładane w ich ramach na przedsiębiorstwa są w obu przypadkach wyliczane na podstawie obrotu przedsiębiorstwa. Zauważam też, że szereg czynników wymienionych w art. 83 ust. 2 RODO stanowi odzwierciedlenie czynników uwzględnianych w celu określenia wysokości grzywien za naruszenia prawa konkurencji ( 57 ).

85.

Po przedstawieniu powodów, dla których uważam, że przed nałożeniem na administratora lub podmiot przetwarzający kary pieniężnej w zastosowaniu art. 83 ust. 2 RODO konieczne jest wykazanie winy, pozostaje mi jeszcze poczynić kilka uwag na temat toku rozumowania Rady i rządu litewskiego. Zdaniem tych uczestników to do państw członkowskich należy decyzja, czy istnienie winy jest koniecznym warunkiem nałożenia administracyjnej kary pieniężnej.

86.

Osobiście nie zgadzam się z tą sugestią.

b) Dlaczego państwa członkowskie nie dysponują zakresem uznania co do tego, czy wymagana jest wina?

87.

Jest dla mnie jasne, że jednym z podstawowych celów RODO, a w szczególności jego art. 83, było osiągnięcie w Unii Europejskiej wyższego poziomu harmonizacji, w szczególności odnośnie do nakładania kar pieniężnych ( 58 ). W związku z tym uważam, wbrew temu, co utrzymują Rada i rząd litewski, że prawodawca Unii nie zamierzał pozostawić państwom członkowskim zakresu uznania w odniesieniu do tego, czy wymagana jest wina.

88.

Prawdą jest, że w ustawodawstwie krajowym można przewidzieć dodatkowe wymogi dotyczące procedury stosowanej przez organy nadzorcze przy nakładaniu kary pieniężnej (na przykład jeśli chodzi o kwestie takie jak zawiadomienie o karze pieniężnej, terminy na składanie uwag, odwołanie, wykonanie i płatność) ( 59 ). Wynika to jasno z art. 83 ust. 8 RODO, który stanowi, że wykonywanie przez organy nadzorcze powierzonych im uprawnień w zakresie stosowania kar pieniężnych „podlega odpowiednim zabezpieczeniom proceduralnym” określonym w prawie krajowym, o ile zagwarantowane jest poszanowanie prawa Unii (w szczególności prawa do skutecznego sądowego środka ochrony prawnej i rzetelnego procesu).

89.

Ten zakres uznania nie może się jednak rozciągać na wymogi materialne mające zastosowanie przy nakładaniu kary pieniężnej, takie jak stopień winy. Moim zdaniem ów wniosek wynika bezpośrednio z szeregu motywów tego rozporządzenia ( 60 ), w których wskazano, że wprowadzony art. 83 RODO system administracyjnych kar pieniężnych miał w zamierzeniu prawodawcy Unii przynosić spójne efekty na całym obszarze Unii.

90.

Tytułem uzupełnienia dodam, że ze względu na fakt, iż kary pieniężne istotnie wpływają na konkurencję między przedsiębiorstwami i mają silne reperkusje rynkowe, moim zdaniem konieczne jest spójne stosowanie art. 83 RODO, ponieważ w przeciwnym razie przepis ten może się faktycznie przyczynić do zakłócenia konkurencji między przedsiębiorstwami ( 61 ).

2. Aspekt drugi: czy na administratora może zostać nałożona kara pieniężna za naruszenie popełnione w sytuacji, w której to podmiot przetwarzający, a nie sam administrator, dokonywał niezgodnego z prawem przetwarzania?

91.

Poprzez część drugą pytania szóstego sąd odsyłający zastanawia się zasadniczo, czy na administratora można nałożyć karę pieniężną w zastosowaniu art. 83 RODO, jeżeli dane osobowe zostały przetworzone niezgodnie z prawem nie przez samego administratora, lecz przez podmiot przetwarzający (którym w niniejszym przypadku jest ITSS).

92.

Moim zdaniem na tak zadane pytanie należy udzielić odpowiedzi twierdzącej.

93.

W tym względzie przypominam – jak wskazałem w pkt 27 niniejszej opinii – że administrator nie musi sam przetwarzać żadnych danych osobowych, o ile ustala, „dlaczego i jak” przeprowadzane są odpowiednie operacje przetwarzania. Chciałbym też zauważyć, że w art. 4 pkt 8 RODO „podmiot przetwarzający” zdefiniowano jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora” ( 62 ).

94.

Według mnie te definicje potwierdzają, że w kontekście stosowania RODO administrator może zostać pociągnięty do odpowiedzialności, a tym samym ukarany w zastosowaniu art. 83 tego rozporządzenia, w sytuacji, w której dane osobowe są przetwarzane niezgodnie z prawem, zaś tego niezgodnego z prawem przetwarzania dokonuje nie sam administrator, lecz podmiot przetwarzający. Taka możliwość istnieje tak długo, jak długo ów podmiot przetwarzający przetwarza dane osobowe w imieniu administratora.

95.

Jest tak o tyle, o ile podmiot przetwarzający działa w granicach upoważnienia udzielonego mu przez administratora i przetwarza dane, stosując się do zgodnych z prawem poleceń administratora ( 63 ). Jeżeli natomiast podmiot przetwarzający wykracza poza granice tego upoważnienia i wykorzystuje dane, które otrzymał jako podmiot przetwarzający, do własnych celów, a jasne jest, że strony nie są „współadministratorami” w rozumieniu art. 4 pkt 7 i art. 21 ust. 6 RODO, to moim zdaniem na administratora nie może zostać nałożona, w zastosowaniu art. 83 tego rozporządzenia, kara pieniężna z tytułu dokonywanego niezgodnego z prawem przetwarzania ( 64 ).

96.

Z powyższego wynika, że w sprawie takiej jak ta w postępowaniu głównym na NVSC można nałożyć, w zastosowaniu art. 83 RODO, karę pieniężną, mimo iż dane osobowe zostały przetworzone niezgodnie z prawem jedynie przez ITSS, a NVSC nie uczestniczyło w tym przetwarzaniu. Taka możliwość istnieje tak długo, jak długo daje się uznać, że ta spółka przetwarzała dane osobowe w imieniu NVSC, co nie ma miejsca wówczas, gdy ITSS działał poza zgodnymi z prawem poleceniami NVSC lub wbrew tym poleceniom i wykorzystywał dane osobowe do własnych celów, a jasne jest, iż NVSC i ITSS nie działały jako współadministratorzy.

V. Wnioski

97.

W świetle powyższych rozważań proponuję Trybunałowi, by na pytania prejudycjalne przedstawione przez Vilniaus apygardos administracinis teismas (regionalny sąd administracyjny w Wilnie, Litwa) odpowiedział następująco:

1)

Artykuł 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że podmiot, który inicjuje proces opracowywania aplikacji mobilnej, może zostać uznany za „administratora” w rozumieniu tego przepisu jedynie wówczas, gdy istnieje wystarczająca liczba elementów o charakterze raczej faktycznym niż formalnym, w oparciu o które sądy krajowe mogą wywnioskować, że taki podmiot wywierał faktyczny wpływ zarówno odnośnie do „celów”, jak i „sposobów” tego przetwarzania oraz że faktycznie wyraził on zgodę na publiczne udostępnienie aplikacji mobilnej, a tym samym na przetwarzanie danych osobowych.

2)

Ten przepis w związku z art. 26 ust. 1 owego rozporządzenia

należy interpretować w ten sposób, że aby co najmniej dwóch administratorów można było uznać za „współadministratorów”, muszą być spełnione dwie przesłanki: po pierwsze, każdy współadministrator musi niezależnie spełniać kryteria wymienione w definicji „administratora” zawartej w art. 4 pkt 7 tego rozporządzenia, oraz, po drugie, administratorzy muszą wspólnie wpływać na „cele i sposoby” przetwarzania. Ponadto brak porozumienia czy też nawet koordynacji między administratorami nie może sam w sobie wykluczać stwierdzenia, że ci administratorzy są „współadministratorami” w rozumieniu tych przepisów.

3)

Artykuł 4 ust. 2 owego rozporządzenia

należy interpretować w ten sposób, że pojęcie „przetwarzania” obejmuje sytuację, w której dane osobowe są wykorzystywane na etapie testowania aplikacji mobilnej, chyba że te dane zostały poddane anonimizacji w taki sposób, iż osoby, której dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. To, czy dane osobowe zostały zebrane w celu testowania systemów informatycznych zintegrowanych z aplikacją mobilną lub w innym celu, nie ma z kolei wpływu na zakwalifikowanie danej operacji jako „przetwarzania”.

4)

Artykuł 83 rozporządzenia 2016/679

należy interpretować w ten sposób, że kara pieniężna może być nałożona jedynie jako sankcja za naruszenie przepisów tego rozporządzenia, które popełniono „umyślnie lub nieumyślnie”. Ponadto w zastosowaniu tego przepisu na administratora może zostać nałożona kara pieniężna, nawet jeżeli niezgodnego z prawem przetwarzania dokonywał podmiot przetwarzający. Taka możliwość istnieje tak długo, jak długo daje się uznać, że podmiot przetwarzający działa w imieniu administratora. Jeżeli jednak podmiot przetwarzający przetwarza dane osobowe poza zgodnymi z prawem poleceniami administratora lub wbrew tym poleceniom i wykorzystuje otrzymane dane osobowe do własnych celów, a jasne jest, że strony nie są „współadministratorami” w rozumieniu art. 4 pkt 7 i art. 21 ust. 6 rozporządzenia 2016/679, na administratora nie może zostać nałożona, w zastosowaniu art. 83 tego rozporządzenia, kara pieniężna z tytułu dokonywanego niezgodnego z prawem przetwarzania.


( 1 ) Język oryginału: angielski.

( 2 ) Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s 1; sprostowania: Dz.U. 2018, L 127, s. 2; Dz.U. 2021, L 74, s. 35) (zwane dalej „RODO”).

( 3 ) Aplikacja KARANTINAS zbierała od użytkowników następujące dane osobowe: numer ID, współrzędne szerokości i długości geograficznej, państwo, miasto, gmina, adres zamieszkania, imię, nazwisko, osobisty numer identyfikacyjny, numer telefonu, informację o tym, czy osoba musi się poddać samoizolacji, informację o tym, czy osoba jest zarejestrowana itp. Te dane były zbierane nie tylko na Litwie, lecz także poza granicami tego kraju.

( 4 ) Artykuł 5 RODO zawiera wykaz zasad ogólnych, nad których przestrzeganiem przy przetwarzaniu danych osobowych mają czuwać administratorzy. W art. 13 tego rozporządzenia wymieniono informacje, jakie administratorzy powinni podać osobom, których dane dotyczą, w przypadku zbierania od nich danych osobowych. Artykuł 24 owego rozporządzenia stanowi, że administratorzy między innymi wdrażają odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z obowiązującymi przepisami o ochronie danych (i aby móc to wykazać). Artykuł 32 RODO dotyczy bezpieczeństwa przetwarzania i nakłada w tym zakresie obowiązki zarówno na administratorów, jak i na podmioty przetwarzające, natomiast jego art. 35 odnosi się do spoczywającego na administratorach obowiązku dokonania oceny skutków dla ochrony danych przed rozpoczęciem określonych rodzajów operacji przetwarzania.

( 5 ) Zgodnie z art. 29 RODO „[p]odmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”.

( 6 ) Zaznaczam, iż dane osobowe dotyczące zdrowia stanowią „szczególną kategorię danych osobowych”, których przetwarzanie jest zabronione na mocy art. 9 RODO, chyba że spełniony jest jeden z warunków wymienionych w ust. 2 tego artykułu [na przykład okoliczność, iż przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego – lit. i) lub do celów profilaktyki zdrowotnej lub medycyny pracy – lit. h)]. Mając powyższe na uwadze, pragnę zauważyć, że pytania zadane Trybunałowi w trybie prejudycjalnym w niniejszej sprawie nie odnoszą się jednak do zgodności z prawem takiego przetwarzania, lecz do warunków, na jakich podmiot taki jak NVSC może zostać pociągnięty do odpowiedzialności w związku z przetwarzaniem podjętym przez dewelopera takiej aplikacji mobilnej (którym w tym przypadku jest ITSS).

( 7 ) Na podstawie informacji zawartych w aktach sprawy oraz wyjaśnień przedstawionych na rozprawie nie da się jednoznacznie rozstrzygnąć, czy w opracowywaniu aplikacji KARANTINAS brało udział miasto Wilno.

( 8 ) Jak wyjaśnię w pkt 46 niniejszej opinii, z wniosku o wydanie orzeczenia w trybie prejudycjalnym wnioskuję, że aplikacja KARANTINAS przeszła etap testowania przed jej publicznym udostępnieniem do pobrania. Moim zdaniem pytanie czwarte dotyczy zatem wykorzystywania danych osobowych, które miało miejsce na etapie testowania, w przeciwieństwie do danych wykorzystywanych na późniejszym etapie, gdy aplikacja KARANTINAS została publicznie udostępniona do pobrania.

( 9 ) Zobacz D. Rücker, T. Kugler, New European General Data Protection Regulation, A Practitioner’s Guide, Oxford, C.H. Beck, Hart/Nomos, 2018, s. 27. Zdaniem tych autorów tym, co przede wszystkim wyróżnia administratora, jest fakt, że określa on raczej wyniki, które mają zostać osiągnięte, niż sposoby lub „środki” przetwarzania, decyzja w przedmiocie których może zostać, przynajmniej w odniesieniu do ich innych niż istotne aspektów, delegowana na podmiot przetwarzający, co nie pociąga za sobą utraty statusu administratora.

( 10 ) Zobacz wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 68. Wyrok ten dotyczył wykładni pojęcia „administratora danych”, tak jak zostało ono zdefiniowane w art. 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31 – wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355). Chociaż owa dyrektywa już nie obowiązuje, gdyż została zastąpiona przez RODO, dokonana przez Trybunał wykładnia tego przepisu zachowuje aktualność w kontekście stosowania RODO, ponieważ definicja tego pojęcia, z wyjątkiem niewielkich zmian formalnych, jest identyczna w obu aktach prawnych. W związku z tym będę się bez rozróżnienia odnosić do wyroków dotyczących jednego bądź drugiego instrumentu.

( 11 ) Zobacz wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 67.

( 12 ) Zobacz „Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO”, wersja 2.1 przyjęta w dniu 7 lipca 2021 r. (zwane dalej „wytycznymi 07/2020”; dostępne w języku angielskim na stronie https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf), s. 3, pkt 21, 25–27.

( 13 ) Wyrok z dnia 29 lipca 2019 r., C‑40/17, EU:C:2019:629, pkt 85.

( 14 ) Zobacz także wytyczne 07/2020, pkt 42.

( 15 ) Zobacz art. 26 ust. 3 RODO, zgodnie z którym „osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z [RODO] wobec każdego z administratorów”. Zobacz także art. 82 ust. 4, 5 tego rozporządzenia.

( 16 ) Zobacz podobnie wyrok z dnia 29 lipca 2019 r., Fashion ID, C‑40/17, EU:C:2019:629, pkt 67 i przytoczone tam orzecznictwo.

( 17 ) Zobacz podobnie wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, pkt 43.

( 18 ) Zobacz wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 69 i przytoczone tam orzecznictwo.

( 19 ) Zobacz wytyczne 07/2020, s. 3, pkt 54, 55.

( 20 ) Za nieco sprzeczne należałoby w końcu uznać założenie, zgodnie z którym z wymogów formalnych można zrezygnować na potrzeby uznania osoby lub podmiotu za „administratora”, ale już nie na potrzeby uznania tego samego podmiotu i innego podmiotu za „współadministratorów”.

( 21 ) Zobacz wytyczne 07/2020, pkt 52.

( 22 ) Zobacz podobnie wytyczne 07/2020, pkt 69.

( 23 ) Pragnę zauważyć, że w pytaniu czwartym sąd odsyłający nie posługuje się sformułowaniem dane osobowe, lecz „kopie danych osobowych”. Muszę przyznać, że nie jest dla mnie jasne, co ów sąd uznaje za „kopie danych osobowych”, biorąc pod uwagę, że dane osobowe mogą istnieć w postaci niematerialnej i że, jak jasno wynika z art. 4 ust. 1 RODO, pojęcie „danych osobowych” jest w tym przepisie zdefiniowane jako „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej” (podkreślenie moje), bez wymogu, by dane osobowe były „kopiowane” lub przepisywane na konkretne urządzenie lub nośnik. Moim zdaniem przedmiot materialny (na przykład zapis w formie papierowej), lub w tym przypadku pliki elektroniczne, stanowiące nośnik danych osobowych nie ma znaczenia przy ustalaniu, czy dany zestaw operacji dotyczących danych osobowych można uznać za „przetwarzanie” w rozumieniu art. 4 pkt 2 tego rozporządzenia. W związku z tym w zaproponowanej przeze mnie odpowiedzi na pytanie czwarte posłużę się pojęciem „danych osobowych”, a nie „kopii danych osobowych”.

( 24 ) Wyróżnienie moje.

( 25 ) Zgodnie z art. 4 pkt 2 RODO „przetwarzanie” obejmuje takie operacje jak „zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.

( 26 ) Zobacz przypis powyżej.

( 27 ) „Dane osobowe” w rozumieniu art. 4 pkt 1 RODO w związku z jego motywem 26 obejmują bowiem spseudonimizowane dane osobowe, które można jednak przy użyciu dodatkowych informacji osobowych przypisać osobie fizycznej.

( 28 ) We wniosku o wydanie orzeczenia w trybie prejudycjalnym sąd odsyłający wspomina o tym, że niektóre, aczkolwiek nie wszystkie, dane osobowe wykorzystywane na potrzeby etapu testowania, mogły być „fałszywe”. Nie wyjaśnia on jednak dokładniej, w jaki sposób rozumie to pojęcie. W tym względzie chciałbym jedynie zauważyć, że moim zdaniem informacje można uznać za „dane osobowe” w rozumieniu art. 4 pkt 1 RODO niezależnie od tego, czy zawierają one prawdziwe czy też nieprawdziwe informacje. Jak już stwierdziłem, istotne jest jedynie to, że informacje dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jeżeli dane zostały całkowicie zmyślone, tak że nie można uznać, iż dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, według mnie nie są one „danymi osobowymi”, zaś RODO nie ma zastosowania do ich przetwarzania. Niemniej jednak owo rozporządzenie w dalszym ciągu znajduje zastosowanie do innych „niefałszywych” danych, które zostały zebrane na etapie testowania.

( 29 ) Chciałbym przypomnieć, że wykorzystywanie danych osobowych na potrzeby testowania systemów informatycznych zintegrowanych z aplikacją mobilną stanowi inne „przetwarzanie” niż to, które jest dokonywane wówczas, gdy ta sama aplikacja mobilna zostaje publicznie udostępniona do pobrania. W związku z tym wymagana jest odrębna ocena tego, kto jest „administratorem”, „podmiotem przetwarzającym” lub „współadministratorem”.

( 30 ) Zobacz art. 24 dyrektywy 95/46.

( 31 ) Zobacz „Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów [RODO]”, Grupa Robocza art. 29, 3 października 2017 r., s. 4. Następcą tej grupy roboczej jest Europejska Rada Ochrony Danych (EROD). Niemniej jednak jej wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych zachowują ważność.

( 32 ) Na przykład w styczniu 2019 r. francuski organ ochrony danych nałożył na Google karę w wysokości kilkudziesięciu milionów euro (https://edpb.europa.eu/news/national-news/2019/cnils-restricted-committee-imposes-financial-penalty-50-million-euros_en).

( 33 ) Konkretnie w art. 83 ust. 2 lit. b) owego rozporządzenia. Pozostałe elementy wymienione w art. 83 ust. 2 lit. a)–k) dotyczą albo samego naruszenia [na przykład jego charakteru, wagi i czasu trwania – lit. a) lub kategorii danych osobowych, których dotyczyło naruszenie – lit. g)], albo administratora lub podmiotu przetwarzającego, na którego lub na których ma zostać nałożona kara [mianowicie ich stopnia odpowiedzialności – lit. d), ich wcześniejszego zachowania, na przykład stosownych wcześniejszych naruszeń – lit. e), zastosowanych wobec nich wcześniejszych środków – lit. i), ich późniejszego zachowania, w tym tego, czy zgłosili naruszenie – lit. h), działań podjętych przez nich celem zminimalizowania szkody – lit. c) oraz stopnia ich współpracy z organem nadzorczym w celu usunięcia naruszenia i złagodzenia jego ewentualnych negatywnych skutków – lit. f)]. Ponadto należy zwrócić należytą uwagę na „wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty” [lit. k)].

( 34 ) Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólnego rozporządzenia o ochronie danych), COM(2012) 11 final (zwany dalej „pierwotnym wnioskiem Komisji”).

( 35 ) Zobacz art. 79 ust. 4, 5, 6 pierwotnego wniosku Komisji. Pragnę zauważyć, że o „umyślnym lub lekkomyślnym [nieumyślnym]” charakterze naruszenia była również mowa w zawartym w art. 79 ust. 2 tego wniosku wykazie czynników, które należy uwzględniać w celu określenia kwoty kary pieniężnej. Wyróżnienie moje.

( 36 ) To brzmienie zostało następnie zmienione, a sformułowanie „umyślnie lub lekkomyślnie [nieumyślnie]” nie znajduje się już w przepisach definiujących oba poziomy systemu kar wprowadzonego na mocy RODO.

( 37 ) Wyróżnienie moje.

( 38 ) Ten sam wniosek nasuwa się również podczas lektury innych wersji językowych art. 83 ust. 2 RODO, w szczególności wersji czeskiej, greckiej, hiszpańskiej, francuskiej i włoskiej. Zauważam jednak, że we włoskiej wersji językowej użyto przedimka określonego „le”, a nie słowa „eventuali” („wszelkie”) w odniesieniu do art. 83 ust. 2 lit. c) tego rozporządzenia, który dotyczy działań podjętych przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody.

( 39 ) Według Grupy Roboczej art. 29 administracyjne kary pieniężne są „środkami naprawczymi”, których celem jest „przywrócenie zgodności z przepisami lub ukaranie za bezprawne zachowanie (lub oba te cele)” (wyróżnienie moje). Zobacz „Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów [RODO]”, Grupa Robocza art. 29, 3 października 2017 r., s. 6.

( 40 ) Zobacz analogicznie wyrok z dnia 2 lutego 2021 r., Consob, C‑481/19, EU:C:2021:84, pkt 43. Przypominam, że istnieją trzy kryteria istotne dla oceny, czy sankcje należą do dziedziny prawa karnego: pierwszym jest kwalifikacja prawna naruszenia w prawie krajowym, drugim – sam charakter naruszenia, a trzecim – stopień surowości grożącej zainteresowanemu sankcji (zob. pkt 42 tego wyroku oraz wyrok z dnia 5 czerwca 2012 r., Bonda, C‑489/10, EU:C:2012:319, pkt 37; zob. także wyrok ETPC z dnia 8 czerwca 1976 r. w sprawie Engel i in. przeciwko Niderlandom, CE:ECHR:1976:0608JUD000510071, § 82). Nie wszystkie kryteria muszą być spełnione, aby karę można było uznać za należącą do dziedziny prawa karnego (zob. podobnie opinia rzecznika generalnego Y. Bota w sprawie ThyssenKrupp Nirosta/Komisja, C‑352/09 P, EU:C:2010:635, pkt 50 i przytoczone tam orzecznictwo).

( 41 ) Artykuł 49 karty, zatytułowany „Zasady legalności oraz proporcjonalności kar do czynów zabronionych pod groźbą kary”, stanowi, w ust. 3, że „[k]ary nie mogą być nieproporcjonalnie surowe w stosunku do czynu zabronionego pod groźbą kary”.

( 42 ) Zobacz wyroki: z dnia 9 lutego 2012 r., Urbán, C‑210/10, EU:C:2012:64, pkt 48; z dnia 13 listopada 2014 r., Reindl, C‑443/13, EU:C:2014:2370, pkt 42; z dnia 20 grudnia 2017 r., Global Starnet, C‑322/16, EU:C:2017:985, pkt 63; z dnia 22 marca 2017 r., Euro-Team i Spirál-Gép, C‑497/15 i C‑498/15, EU:C:2017:229, pkt 53, 54. Przytoczone wyroki stanowią ilustrację faktu, że to orzecznictwo znalazło zastosowanie w różnych dziedzinach prawa Unii.

( 43 ) Zobacz „Wyjaśnienia dotyczące karty praw podstawowych” (Dz.U. 2007, C 303, s. 17). Zgodnie z art. 52 ust. 3 karty poziom ochrony przyznany przez jej art. 49 nie może być niższy niż poziom ochrony przyznany przez art. 7 EKPC.

( 44 ) Zobacz wyrok ETPC (wielka izba) z dnia 28 czerwca 2018 r. w sprawie GIEM s.r.l. i in. przeciwko Włochom, CE:ECHR:2018:0628JUD000182806, §§ 242, 243.

( 45 ) Zobacz art. 58 ust. 2 lit. i), art. 83 ust. 2 RODO.

( 46 ) Zgodnie z art. 84 ust. 1 RODO „[p]aństwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia […], w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania”. W motywie 152 tego rozporządzenia wyjaśniono, że art. 84 ma zastosowanie wówczas, gdy RODO „[…] nie harmonizuje sankcji administracyjnych, lub w razie potrzeby w innych przypadkach, na przykład w razie poważnego naruszenia […]”.

( 47 ) Zobacz podobnie J. Chamberlain, J. Reichel, The relationship between Damages and Administrative Fines in the EU General Data Protection Regulation, Mississippi Law Journal, Vol. 89, 2020, No 4, s. 677–679.

( 48 ) Zobacz P. Nemitz, Fines under the GDPR, w: Data Protection and Privacy: The Internet of Bodies, ed. R. Leenes, R. van Brakel, S. Gutwirth, P. De Hert, Oxford, Hart Publishing 2019, s. 241.

( 49 ) Z kolei pojęcie „umyślności” zdefiniowała ona jako obejmujące zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego (zob. „Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów [RODO]”, Grupa Robocza art. 29, 3 października 2017 r., s. 11).

( 50 ) Ibidem, s. 12. Wśród innych takich okoliczności można wymienić np. samo nieprzeczytanie i nieprzestrzeganie istniejących zasad, niesprawdzenie danych osobowych w opublikowanych źródłach, niedokonanie aktualizacji technicznych w odpowiednim czasie lub nieprzyjęcie zasad.

( 51 ) Zobacz P. Nemitz, Fines under the GDPR, w: Data Protection and Privacy: The Internet of Bodies, ed. R. Leenes, R. van Brakel, S. Gutwirth, P. De Hert, Oxford, Hart Publishing 2019, s. 240.

( 52 ) Zobacz motywy 122, 132 RODO.

( 53 ) Zobacz w szczególności motyw 1 RODO, w którym przypomniano, powołując się na art. 8 ust. 1 karty i art. 16 ust. 1 TFUE, że ochrona danych osobowych jest jednym z praw podstawowych. Zobacz także: motywy 10, 11, 13 tego rozporządzenia; wyrok z dnia 24 września 2019 r., Google (Zakres terytorialny prawa do usunięcia linków), C‑507/17, EU:C:2019:772, pkt 54.

( 54 ) Zobacz motyw 148 RODO.

( 55 ) Zobacz J. Chamberlain, J. Reichel, The relationship between Damages and Administrative Fines in the EU General Data Protection Regulation, Mississippi Law Journal, Vol. 89, 2020, No 4, s. 685.

( 56 ) Rozporządzenie Rady z dnia 16 grudnia 2002 r. w sprawie wprowadzenia w życie reguł konkurencji ustanowionych w art. [101] i [102 TFUE] (Dz.U. 2003, L 1, s. 1 – wyd. spec. w jęz. polskim, rozdz. 8, t. 2, s. 205).

( 57 ) Zobacz wyrok z dnia 8 grudnia 2011 r., Chalkor/Komisja, C‑386/10 P, EU:C:2011:815, pkt 56, 57 i przytoczone tam orzecznictwo. Pragnę wskazać, że choć przed nałożeniem grzywny za naruszenie reguł prawa konkurencji należy wykazać, iż zostało ono popełnione umyślnie lub przez niedbalstwo, to w tym względzie próg jest w praktyce również bardzo niski. Trybunał orzekł w istocie, że ta przesłanka jest spełniona, jeżeli dane przedsiębiorstwo nie może nie wiedzieć, iż jego zachowanie ma charakter antykonkurencyjny, niezależnie od tego, czy ma świadomość naruszania reguł konkurencji (zob. wyrok z dnia 10 lipca 2014 r., Telefónica i Telefónica de España/Komisja, C‑295/12 P, EU:C:2014:2062, pkt 156 i przytoczone tam orzecznictwo).

( 58 ) Zobacz na przykład motyw 9 RODO, w którym zaznaczono, że różnice w stopniu ochrony praw i wolności osób fizycznych w państwach członkowskich „utrudnia[ją] swobodny przepływ danych osobowych” i „stanowi[ą] przeszkodę w prowadzeniu działalności gospodarczej na szczeblu Unii”.

( 59 ) Zobacz motyw 129 [„[n]ie powinno to wykluczać dodatkowych wymogów na mocy przepisów państwa członkowskiego dotyczących postępowania” (wyróżnienie moje)] i motyw 150 RODO. Zobacz także podobnie „Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów [RODO]”, Grupa Robocza art. 29, 3 października 2017 r., s. 6.

( 60 ) W tym względzie zauważam, że w motywie 10 RODO przewidziano, iż „należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony”, natomiast w jego motywach 11, 13 i 129 wezwano do zapewnienia w państwach członkowskich równorzędnych uprawnień w zakresie monitorowania i egzekwowania przepisów oraz równorzędnych kar za naruszenia tych przepisów. Z kolei w motywie 152 tego rozporządzenia wskazano, że jedynie w zakresie, w jakim nie harmonizuje ono sankcji administracyjnych (lub w razie potrzeby w innych przypadkach), państwa członkowskie wdrażają system przewidujący takie sankcje (zob. także motyw 150 RODO).

( 61 ) Zobacz podobnie W. G. Voss, H. Bouthinon-Dumas, EU General Data Protection Regulation Sanctions in Theory and in Practice, Santa Clara High Tech, Vol. 37, 2020, s. 44.

( 62 ) Wyróżnienie moje.

( 63 ) Zgodnie z art. 29 RODO „[p]odmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”.

( 64 ) Artykuł 28 ust. 10 RODO stanowi, że w odniesieniu do przetwarzania takich danych podmiot przetwarzający jest uznawany za administratora. Zobacz także podobnie D. Rücker, T. Kugler, New European General Data Protection Regulation. A Practitioner’s Guide, Oxford, C.H. Beck, Hart/Nomos, 2018, s. 30.