–

pentru Datenschutzbehörde, de M. Schmidl și E. Wagner, în calitate de agenți;

–

pentru Bundesministerin für Justiz, de E. Riedl, în calitate de agent;

–

pentru guvernul austriac, de A. Posch, J. Schmoll și C. Gabauer, în calitate de agenți;

–

pentru Comisia Europeană, de A. Bouchagiar și M. Heller, în calitate de agenți,

1

Cererea de decizie preliminară privește interpretarea articolului 4 punctul 7 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

2

Această cerere a fost formulată în cadrul unui litigiu între Amt der Tiroler Landesregierung (Oficiul Guvernului Landului Tirol, Austria) (denumit în continuare „Oficiul”), pe de o parte, și Datenschutzbehörde (Autoritatea pentru Protecția Datelor, Austria), pe de altă parte, în legătură cu o prelucrare pretins nelegală a datelor cu caracter personal ale unei persoane fizice de către Oficiu.

3

Considerentele (1), (7), (10), (45) și (74) ale RGPD au următorul cuprins:

[…]

[…]

[…]

[…]

4

Articolul 1 din acest regulament, intitulat „Obiect și obiective”, prevede la alineatul (2):

„Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.”

5

Articolul 4 din regulamentul menționat, intitulat „Definiții”, are următorul conținut:

„În sensul prezentului regulament:

[…]

[…]

[…]”

6

Potrivit articolului 5 din același regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”:

„(1)   Datele cu caracter personal sunt:

(2)   Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

7

Articolul 6 din RGPD, intitulat „Legalitatea prelucrării”, prevede la alineatele (1) și (3):

„(1)   Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

[…]

[…]

[…]

(3)   Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. Respectivul temei juridic poate conține dispoziții specifice privind adaptarea aplicării normelor prezentului regulament, printre altele: condițiile generale care reglementează legalitatea prelucrării de către operator; tipurile de date care fac obiectul prelucrării; persoanele vizate; entitățile cărora le pot fi divulgate datele și scopul pentru care respectivele date cu caracter personal pot fi divulgate; limitările legate de scop; perioadele de stocare și operațiunile și procedurile de prelucrare, inclusiv măsurile de asigurare a unei prelucrări legale și echitabile cum sunt cele pentru alte situații concrete de prelucrare astfel cum sunt prevăzute în capitolul IX. […]”

8

Articolul 56 din Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) [Legea regională privind Constituția landului Tirol (Regulamentul landului Tirol din 1989)] din 21 septembrie 1988, în versiunea aplicabilă litigiului principal (denumit în continuare „Regulamentul landului Tirol din 1989”), intitulat „Landeshauptmann (guvernatorul landului, Austria) (denumit în continuare «guvernatorul»)”, prevede la alineatul (1):

„[Guvernatorul] reprezintă landul Tirol.”

9

Articolul 58 din Regulamentul landului Tirol din 1989, intitulat „[Oficiul]”, prevede la alineatul (1):

„[Guvernatorul], guvernul landului și membrii acestuia trebuie să recurgă la [Oficiu] pentru îndeplinirea atribuțiilor lor. [Guvernatorul] este președintele [Oficiului].”

10

Articolul 2 din Tiroler Datenverarbeitungsgesetz (Legea privind prelucrarea datelor din landul Tirol, denumită în continuare „TDVG”) prevede:

„(1)   Este considerat operator în sensul articolului 4 punctul 7 din [RGPD]:

[…]

(3)   Atunci când o prelucrare de date este efectuată sau comandată de landul Tirol, [Oficiul] este întotdeauna considerat operator al unei astfel de prelucrări în măsura în care

11

În cadrul măsurilor destinate combaterii pandemiei de COVID-19, Oficiul, o entitate administrativă auxiliară aflată în serviciul guvernatorului și al guvernului landului Tirol, a trimis o „scrisoare de rapel de vaccinare” tuturor persoanelor majore cu reședința în landul Tirol care nu fuseseră încă vaccinate împotriva acestui virus. Pentru a identifica destinatarii acestor scrisori, Oficiul a mandatat două întreprinderi private, care au procedat la o încrucișare a datelor care figurau în registrul central al vaccinărilor, precum și în registrul pacienților, care menționa adresa lor de reședință.

12

La 21 decembrie 2021, CW, unul dintre acești destinatari, a sesizat Autoritatea pentru Protecția Datelor cu o plângere împotriva Oficiului cu privire la o prelucrare nelegală a datelor sale cu caracter personal. În fața acestei autorități, Oficiul a indicat că avea calitatea de „operator” și că se afla la originea scrisorii trimise lui CW.

13

Prin decizia din 22 august 2022, autoritatea menționată a constatat că Oficiul a încălcat dreptul lui CW la protecția datelor sale cu caracter personal, în măsura în care, pentru a‑i trimite o „scrisoare de rapel de vaccinare”, Oficiul consultase datele persoanei interesate care figurau în registrul vaccinărilor, deși nu dispunea de un drept de acces la acest registru și nici la registrul pacienților. Prin urmare, prelucrarea datelor cu caracter personal ale lui CW ar fi fost nelegală.

14

Oficiul a formulat o acțiune împotriva acestei decizii la Bundesverwaltungsgericht (Tribunalul Administrativ Federal, Austria). Acesta din urmă a statuat că, în temeiul dreptului național aplicabil, Oficiul avea calitatea de operator, dar nu dispunea de un drept de consultare a registrului vaccinărilor în vederea trimiterii unei scrisori de rapel precum cea adresată lui CW. Întrucât acest tribunal a respins acțiunea Oficiului, acesta din urmă a formulat recurs împotriva acestei hotărâri la Verwaltungsgerichtshof (Curtea Administrativă, Austria), care este instanța de trimitere.

15

Această instanță consideră că, pentru a se putea pronunța în cauza cu care este sesizată, trebuie să se stabilească dacă Oficiul, în contextul acestei cauze, are calitatea de „operator”, în sensul articolului 4 punctul 7 din RGPD.

16

În această privință, instanța de trimitere subliniază faptul că Oficiul nu ar fi făcut decât să prezinte guvernatorului o propunere de trimitere a unei „scrisori de rapel de vaccinare”, propunere pe care acesta ar fi aprobat‑o în calitatea sa de președinte al Oficiului și de reprezentant al landului Tirol, în conformitate cu articolul 58 și, respectiv, cu articolul 56 alineatul (1) din Regulamentul landului Tirol din 1989. Oficiul s‑ar fi limitat astfel să indice guvernatorului, pe de o parte, care ar fi scopul prelucrării datelor cu caracter personal avute în vedere, și anume o creștere a ratei de vaccinare, și, pe de altă parte, mijloacele care ar fi puse în aplicare pe baza acestei prelucrări, și anume trimiterea unei astfel de „scrisori de rapel de vaccinare” prin utilizarea datelor din registrul central de vaccinare și din registrul pacienților.

17

Potrivit instanței de trimitere, ținând seama de această aprobare de către guvernator, numai acesta din urmă a decis atât scopul, cât și mijloacele de prelucrare a datelor cu caracter personal, astfel încât Oficiul nu poate avea calitatea de „operator”, în sensul articolului 4 punctul 7 prima teză din RGPD.

18

Totuși, această instanță ridică problema dacă Oficiul a putut fi desemnat în mod valabil ca atare printr‑o dispoziție de drept național, și anume articolul 2 alineatul (1) litera a) din TDVG.

19

Astfel, Oficiul nu ar fi o persoană juridică sau o autoritate însărcinată cu prelucrarea datelor cu caracter personal care a condus la trimiterea unei „scrisori de rapel de vaccinare” către CW. Oficiul nu ar fi intervenit în acest tratament decât în calitate de entitate administrativă auxiliară în serviciul unei autorități publice. Acesta ar fi lipsit de personalitate juridică, precum și de o capacitate juridică proprie. Prin urmare, ar trebui să se stabilească dacă Oficiul poate, în aceste împrejurări, să fie considerat o „agenție sau alt organism”, în sensul articolului 4 punctul 7 prima teză din RGPD, susceptibil să fie desemnat drept operator în temeiul dreptului național, în conformitate cu articolul 4 punctul 7 a doua teză din acest regulament.

20

În plus, instanța menționată amintește că, în conformitate cu articolul 4 punctul 7 a doua teză din RGPD, un operator poate fi desemnat în mod direct numai în măsura în care scopurile și mijloacele de prelucrare a datelor cu caracter personal în cauză sunt stabilite prin dreptul intern. Or, deși articolul 2 alineatul (1) litera a) din TDVG desemnează Oficiul în calitate de operator, acesta nu indică totuși în mod concret nici tipurile de prelucrări de date cu caracter personal pe care le poate efectua Oficiul, nici scopurile pe care aceste prelucrări ar trebui să le urmărească, nici mijloacele pe care Oficiul le‑ar putea pune în aplicare în acest scop.

21

Instanța de trimitere adaugă că din articolul 6 alineatul (1) literele (c) și (e) din RGPD rezultă că o prelucrare de date cu caracter personal este legală dacă este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului sau dacă prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul. Din aceste condiții de legalitate și din obiectivul pe care l‑ar urmări articolul 4 punctul 7 din RGPD de a asigura o protecție eficientă și extinsă a persoanelor vizate ar rezulta că statele membre nu ar putea desemna drept operator decât o persoană sau o entitate care este în măsură să stabilească scopurile, precum și mijloacele de prelucrare a datelor cu caracter personal sau, cel puțin, să participe la această stabilire.

22

În aceste condiții, Verwaltungsgerichtshof (Curtea Administrativă) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarea întrebare preliminară:

„Articolul 4 punctul 7 din [RGPD] trebuie interpretat în sensul că se opune aplicării unei dispoziții a dreptului național (precum în speță articolul 2 alineatul (1) din [TDVG]) care prevede un anumit operator care este desemnat în sensul articolului 4 punctul 7 a doua teză din RGPD, cu precizarea că acesta

23

Prin intermediul întrebării formulate, instanța de trimitere solicită în esență să se stabilească dacă articolul 4 punctul 7 din RGPD trebuie interpretat în sensul că se opune unei reglementări naționale care desemnează, în calitate de operator, o entitate administrativă auxiliară lipsită de personalitate juridică, precum și de capacitate juridică proprie, fără a preciza, în mod concret, operațiunile specifice de prelucrare a datelor cu caracter personal de care este responsabilă această entitate și nici scopul acestor operațiuni. Această instanță solicită de asemenea să se stabilească dacă articolul 4 punctul 7 din RGPD trebuie interpretat în sensul că o entitate desemnată de dreptul național drept operator, în conformitate cu această dispoziție, trebuie să decidă efectiv cu privire la scopurile și la mijloacele de prelucrare a datelor cu caracter personal pentru a fi obligată să răspundă, în calitate de operator, la cererile pe care i le adresează persoanele vizate în temeiul drepturilor pe care li le conferă acestora RGPD.

24

Cu titlu introductiv, trebuie amintit că, potrivit articolului 4 punctul 7 din RGPD, noțiunea de „operator” include persoanele fizice sau juridice, autoritățile publice, agențiile sau alte organisme care, singure sau împreună cu altele, stabilesc scopurile și mijloacele de prelucrare. Această dispoziție prevede de asemenea că, atunci când scopurile și mijloacele unei astfel de prelucrări sunt stabilite în special prin legislația unui stat membru, operatorul sau criteriile specifice aplicabile pentru desemnarea acestuia pot fi prevăzute în acest drept.

25

Din jurisprudența Curții rezultă că dispoziția menționată urmărește să asigure, printr‑o definiție largă a noțiunii de „operator”, o protecție eficientă și completă a persoanelor în cauză (a se vedea în acest sens Hotărârea din 5 decembrie 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punctul 29, și Hotărârea din 5 decembrie 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punctul 40).

26

Obiectivul urmărit de RGPD, astfel cum reiese din articolul 1, precum și din considerentele (1) și (10) ale acestuia, constă în special în asigurarea unui nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului lor la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, consacrat la articolul 8 alineatul (1) din Carta drepturilor fundamentale și la articolul 16 alineatul (1) TFUE (Hotărârea din 7 martie 2024, IAB Europe, C‑604/22, EU:C:2024:214, punctul 53 și jurisprudența citată).

27

Ținând seama de modul de redactare a articolului 4 punctul 7 din RGPD, interpretat în lumina acestui obiectiv, pentru a stabili dacă se impune ca o persoană sau o entitate să fie considerată „operator” în sensul acestei dispoziții trebuie să se verifice dacă această persoană sau această entitate stabilește, singură sau împreună cu altele, scopurile și mijloacele prelucrării sau dacă acestea sunt stabilite de dreptul intern. Atunci când o asemenea stabilire se face prin dreptul intern, trebuie să se verifice dacă acest drept desemnează operatorul sau prevede criteriile specifice pentru desemnarea acestuia [Hotărârea din 11 ianuarie 2024, État belge (Date prelucrate de un jurnal oficial), C‑231/22, EU:C:2024:7, punctul 29].

28

Având în vedere definiția largă a noțiunii de „operator” în sensul articolului 4 punctul 7 din RGPD, stabilirea scopurilor și a mijloacelor prelucrării și, dacă este cazul, desemnarea acestui operator prin dreptul intern pot fi nu doar explicite, ci și implicite. În acest din urmă caz, este totuși necesar ca această stabilire să rezulte în mod suficient de cert din rolul, din misiunea și din atribuțiile conferite persoanei sau entității în cauză [Hotărârea din 11 ianuarie 2024, État belge (Date prelucrate de un jurnal oficial), C‑231/22, EU:C:2024:7, punctul 30].

29

În lumina acestor observații introductive trebuie examinată întrebarea adresată. În acest scop, trebuie, în primul rând, să se stabilească în ce măsură legiuitorul național poate desemna în mod valabil o entitate administrativă auxiliară în serviciul autorităților publice în calitate de operator, în sensul articolului 4 punctul 7 a doua teză din RGPD, atunci când această entitate este lipsită de personalitate juridică și de capacitate juridică proprie.

30

În această privință, trebuie subliniat, pe de o parte, că Curtea a statuat deja că din modul clar de redactare a articolului 4 punctul 7 din RGPD reiese că un operator poate fi o persoană fizică sau juridică, dar și o autoritate publică, o agenție sau un organism, astfel de entități neavând neapărat personalitate juridică în temeiul dreptului intern [a se vedea în acest sens Hotărârea din 11 ianuarie 2024, État belge (Date prelucrate de un jurnal oficial), C‑231/22, EU:C:2024:7, punctul 36].

31

Astfel, nu se poate exclude ca o entitate să poată fi calificată drept „operator”, în sensul acestei dispoziții, deși aceasta ar fi lipsită de personalitate juridică.

32

Pe de altă parte, în ceea ce privește aspectul dacă calificarea unei entități drept „operator” necesită existența unei capacități juridice proprii a acestei entități sau dacă este suficient în acest scop ca entitatea vizată să aibă o anumită capacitate de decizie și de acțiune în cadrul protecției datelor cu caracter personal, trebuie amintit că din considerentul (74) al RGPD reiese că legiuitorul Uniunii a intenționat ca răspunderea care revine operatorului să fie identică indiferent de prelucrarea datelor cu caracter personal pe care o efectuează, fie el însuși, fie prin intermediul unui terț, dar în numele său. Acest legiuitor a urmărit de asemenea să se asigure că operatorul este obligat să pună în aplicare măsuri adecvate și eficace și este în măsură să demonstreze conformitatea activităților de prelucrare cu acest regulament, inclusiv eficacitatea măsurilor în cauză, acestea din urmă trebuind să țină seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pe care aceasta îl prezintă pentru drepturile și libertățile persoanelor fizice.

33

În această măsură, articolul 5 alineatul (2) din RGPD consacră un principiu al responsabilității în temeiul căruia operatorul este responsabil de respectarea principiilor referitoare la prelucrarea datelor cu caracter personal prevăzute la alineatul (1) al acestui articol 5 și prevede că operatorul menționat trebuie să fie în măsură să demonstreze că aceste principii sunt respectate.

34

Ținând seama de obligațiile legale la care este astfel supus operatorul menționat la articolul 4 punctul 7 din RGPD, acesta trebuie, potrivit modalităților prevăzute de reglementarea statului membru din care face parte, să fie în măsură să îndeplinească, în fapt și în drept, aceste obligații, fără a avea incidență în această privință aspectul dacă entitatea respectivă are sau nu personalitate juridică și o capacitate juridică proprie.

35

În speță, revine instanței de trimitere sarcina de a verifica dacă Oficiul este abilitat de dreptul austriac să își asume responsabilitățile și obligațiile pe care RGPD le impune operatorului, având în vedere în special împrejurarea, necontestată în fața instanțelor naționale care au fost sesizate cu litigiul principal, că Oficiul poate introduce o cale de atac împotriva deciziei Autorității pentru Protecția Datelor, la fel cum poate face obiectul unei plângeri în fața acestei autorități. Instanța de trimitere va putea de asemenea să ia în considerare faptul că Oficiul a mandatat două întreprinderi private să efectueze prelucrări ale datelor cu caracter personal care figurează în registrul central al vaccinărilor și în cel al pacienților cu reședința în landul Tirol.

36

În al doilea rând, instanța de trimitere ridică problema dacă un legiuitor național poate desemna o entitate în calitate de operator, în temeiul articolului 4 punctul 7 a doua teză din RGPD, fără a preciza în mod concret nici prelucrările datelor cu caracter personal pe care această entitate poate fi determinată să le efectueze, nici scopul lor, nici mijloacele precise pe care le poate pune în aplicare în scopul acestei prelucrări.

37

Astfel cum s‑a amintit la punctul 28 din prezenta hotărâre, atunci când dreptul intern desemnează o entitate ca operator, stabilirea scopurilor și a mijloacelor prelucrării prin acest drept poate fi implicită, cu condiția ca această stabilire să rezulte într‑un mod suficient de cert din rolul, din misiunea și din atribuțiile încredințate acestei entități. Această condiție este îndeplinită dacă aceste finalități și mijloace rezultă în esență din dispozițiile de drept național care reglementează activitatea entității menționate.

38

Desemnarea directă de către legiuitorul național a unei entități în calitate de operator contribuie la obiectivul de securitate juridică urmărit de RGPD, astfel cum reiese din considerentul (7) al acestuia, permițând persoanelor fizice ale căror date cu caracter personal sunt supuse unei prelucrări să identifice cu ușurință entitatea însărcinată cu asigurarea respectării drepturilor pe care li le conferă acest regulament.

39

Cu toate acestea, validitatea unei astfel de desemnări este supusă condiției ca legislația națională să stabilească domeniul de aplicare al prelucrării datelor cu caracter personal pentru care entitatea respectivă este desemnată ca operator, fără a fi necesar ca acest legiuitor să fi enumerat în mod exhaustiv toate operațiunile de prelucrare pentru care entitatea respectivă este astfel desemnată. Astfel cum enunță considerentul (45) al acestui regulament, „[p]oate fi suficientă o singură lege drept temei pentru mai multe operațiuni de prelucrare efectuate în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care face parte din exercitarea autorității publice”.

40

Rezultă că o reglementare națională care desemnează o entitate în calitate de operator fără a enumera în mod expres toate operațiunile specifice de prelucrare a datelor cu caracter personal de care este responsabilă și nici scopul acestor operațiuni de prelucrare este compatibilă cu articolul 4 punctul 7 din RGPD, în măsura în care această reglementare stabilește, în mod explicit sau cel puțin implicit, întinderea prelucrării datelor cu caracter personal pentru care această entitate este desemnată ca operator.

41

În speță, revine instanței de trimitere sarcina de a verifica, pe de o parte, dacă prelucrarea datelor cu caracter personal efectuată de Oficiu în scopul pregătirii și trimiterii „scrisorilor de rapel de vaccinare” în discuție în litigiul principal este compatibilă cu scopurile pe care trebuie să le îndeplinească operațiunile de prelucrare a datelor cu caracter personal pentru care Oficiul a fost desemnat responsabil, astfel cum aceste scopuri reies, cel puțin implicit, din ansamblul dispozițiilor de drept național care reglementează activitatea sa și, pe de altă parte, mijloacele pe care le poate utiliza în acest scop. Simpla împrejurare că aceste dispoziții naționale nu precizează, dacă este cazul, în mod concret operațiunile de prelucrare pe care Oficiul este autorizat să le efectueze nu poate exclude calificarea unei entități precum Oficiul drept operator, în sensul articolului 4 punctul 7 din RGPD.

42

În al treilea rând, instanța de trimitere solicită să se stabilească dacă o entitate desemnată de reglementarea națională drept operator, în temeiul articolului 4 punctul 7 a doua teză din RGPD, trebuie de asemenea să decidă ea însăși sau împreună cu alte autorități competente scopurile și mijloacele prelucrării datelor cu caracter personal pentru care este desemnată responsabilă, pentru a fi obligată să răspundă, în această calitate, la cererile care îi sunt adresate de persoanele vizate în temeiul drepturilor pe care li le conferă acestora RGPD.

43

În această privință, este suficient să se observe că, pentru a stabili calitatea de operator a unei entități, în sensul articolului 4 punctul 7 prima teză din RGPD, trebuie să se examineze dacă această entitate a influențat efectiv, în scopuri proprii, stabilirea scopurilor și a mijloacelor acestei prelucrări (a se vedea în acest sens Hotărârea din 5 decembrie 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punctele 30 și 31).

44

În schimb, pentru a stabili calitatea de operator al unei entități, în sensul articolului 4 punctul 7 a doua teză din RGPD, astfel cum reiese din modul clar de redactare a acestei dispoziții, nu este necesar ca această entitate să exercite o influență asupra stabilirii scopurilor și a mijloacelor acestei prelucrări.

45

O astfel de entitate, desemnată de dreptul național în calitate de operator, nu trebuie, așadar, să decidă ea însăși cu privire la scopurile și mijloacele prelucrării datelor cu caracter personal pentru a trebui să răspundă, în calitate de operator, la cererile pe care persoanele vizate i le adresează în temeiul drepturilor pe care li le conferă acestora RGPD.

46

În această privință, Curtea a statuat deja că validitatea unei desemnări directe nu era afectată de împrejurarea că, în conformitate cu dreptul intern, entitatea desemnată ca operator nu exercită niciun control asupra datelor cu caracter personal pe care le prelucrează [a se vedea în acest sens Hotărârea din 11 ianuarie 2024, État belge (Date prelucrate de un jurnal oficial), C‑231/22, EU:C:2024:7, punctele 37 și 38].

47

O astfel de interpretare este conformă cu obiectivul de securitate juridică pe care îl urmărește RGPD. Astfel cum a subliniat Comisia Europeană în observațiile sale scrise, acest obiectiv ar fi compromis dacă, pentru a putea considera că desemnarea respectivă a fost efectuată în mod valabil de legiuitorul național, persoanele vizate ar trebui să verifice dacă entitatea desemnată în calitate de operator al datelor lor cu caracter personal are competența de a stabili ea însăși scopurile și mijloacele unei asemenea prelucrări.

48

Trebuie adăugat de asemenea că faptul că nu este necesar ca o entitate desemnată de dreptul intern drept operator să fie de asemenea abilitată să decidă ea însăși scopurile și mijloacele de prelucrare a datelor cu caracter personal pentru a trebui să răspundă, în calitate de operator, cererilor pe care persoanele vizate i le adresează în temeiul drepturilor pe care li le conferă acestora RGPD, nu privează totuși aceste persoane de posibilitatea de a adresa aceste cereri unei alte entități pe care o consideră operator sau operator asociat al datelor lor cu caracter personal ca urmare a influenței exercitate de această altă entitate asupra stabilirii scopurilor și a mijloacelor prelucrării în discuție.

49

Ținând seama de motivele care precedă, este necesar să se răspundă la întrebarea adresată că articolul 4 punctul 7 din RGPD trebuie interpretat în sensul că nu se opune unei reglementări naționale care desemnează, în calitate de operator, o entitate administrativă auxiliară lipsită de personalitate juridică, precum și de capacitate juridică proprie, fără a preciza în mod concret operațiunile specifice de prelucrare a datelor cu caracter personal de care este responsabilă această entitate și nici scopul acestor operațiuni, cu condiția, pe de o parte, ca o astfel de entitate să fie aptă să răspundă, în conformitate cu această reglementare națională, obligațiilor care revin unui operator față de persoanele vizate în materie de protecție a datelor cu caracter personal și, pe de altă parte, ca reglementarea națională menționată să stabilească, explicit sau cel puțin implicit, întinderea prelucrării datelor cu caracter personal de care este responsabilă această entitate.

50

Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera a opta) declară:

Articolul 4 punctul 7 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretat în sensul că

nu se opune unei reglementări naționale care desemnează, în calitate de operator, o entitate administrativă auxiliară lipsită de personalitate juridică, precum și de capacitate juridică proprie, fără a preciza în mod concret operațiunile specifice de prelucrare a datelor cu caracter personal de care este responsabilă această entitate și nici scopul acestor operațiuni, cu condiția, pe de o parte, ca o astfel de entitate să fie aptă să răspundă, în conformitate cu această reglementare națională, obligațiilor care revin unui operator față de persoanele vizate în materie de protecție a datelor cu caracter personal și, pe de altă parte, ca reglementarea națională menționată să stabilească, explicit sau cel puțin implicit, întinderea prelucrării datelor cu caracter personal de care este responsabilă această entitate.