1.

Možno pojem „prevádzkovateľ“ uvedený v článku 4 ods. 7 všeobecného nariadenia o ochrane údajov (ďalej len „GDPR“) (1) vykladať v tom zmysle, že za prevádzkovateľa sa má považovať osoba, ktorá plánuje získať nástroj na zber údajov (mobilnú aplikáciu) prostredníctvom verejného obstarávania, bez ohľadu na to, že nie je uzavretá zmluva na základe verejného obstarávania a že vytvorený produkt (mobilná aplikácia), na ktorého obstaranie sa použil postup verejného obstarávania, nebol prevedený?

2.

Možno pojem „prevádzkovateľ“ uvedený v článku 4 ods. 7 GDPR vykladať v tom zmysle, že za prevádzkovateľa sa má považovať tiež verejný obstarávateľ, ktorý nenadobudol vlastnícke právo k vytvorenému IT produktu a neprevzal ho do držby, ale konečná verzia vytvorenej aplikácie poskytuje prepojenia alebo rozhrania s týmto verejnoprávnym subjektom a/alebo ak v politike ochrany dôverných údajov, ktorá nebola oficiálne schválená alebo uznaná príslušným verejnoprávnym subjektom, bol ako prevádzkovateľ uvedený samotný verejnoprávny subjekt?

3.

Možno pojem „prevádzkovateľ“ uvedený v článku 4 ods. 7 GDPR vykladať v tom zmysle, že za prevádzkovateľa sa má považovať tiež osoba, ktorá nevykonala žiadne skutočné operácie spracúvania údajov v zmysle článku 4 ods. 2 GDPR a/alebo neposkytla jasné povolenie/súhlas na vykonanie takýchto operácií? Je pre výklad pojmu „prevádzkovateľ“ významná skutočnosť, že IT produkt používaný na spracúvanie osobných údajov bol vytvorený v súlade so zadaním formulovaným verejným obstarávateľom?

4.

Ak je určenie skutočných operácií spracúvania údajov relevantné pre výklad pojmu „prevádzkovateľ“, má sa definícia pojmu „spracúvanie“ osobných údajov podľa článku 4 ods. 2 GDPR vykladať v tom zmysle, že zahŕňa aj situácie, v ktorých boli kópie osobných údajov použité na testovanie IT systémov v procese obstarania mobilnej aplikácie?

5.

Možno spoločné prevádzkovanie údajov v súlade s článkom 4 ods. 7 a článkom 26 ods. 1 GDPR vykladať výlučne v tom zmysle, že zahŕňa zámerne koordinované činnosti, pokiaľ ide o určenie účelu a prostriedkov spracúvania údajov, alebo možno tento pojem vykladať tak, že spoločné spracúvanie sa vzťahuje aj na situácie, v ktorých neexistuje jasná „dohoda“, pokiaľ ide o účel a prostriedky spracúvania údajov a/alebo činnosti medzi subjektmi nie sú koordinované? Sú okolnosti týkajúce sa štádia vytvárania prostriedkov spracúvania osobných údajov (IT aplikácia), v ktorom došlo k spracúvaniu osobných údajov, a účelu vytvorenia aplikácie právne významné pre výklad pojmu spoločné prevádzkovanie údajov? Možno „dohodu“ medzi spoločnými prevádzkovateľmi chápať výlučne ako jasné a definované stanovenie podmienok upravujúcich spoločné prevádzkovanie údajov?

6.

Má sa ustanovenie článku 83 ods. 1 GDPR, podľa ktorého má byť ukladanie „správnych pokút… účinné, primerané a odrádzajúce“, vykladať v tom zmysle, že sa vzťahuje aj na prípady vyvodenia zodpovednosti voči „prevádzkovateľovi“, ak v procese vytvárania IT produktu vykonáva vývojár aj činnosti spracúvania osobných údajov, a zakladajú nesprávne úkony spracúvania osobných údajov vykonané sprostredkovateľom vždy automaticky právnu zodpovednosť prevádzkovateľa? Má sa toto ustanovenie vykladať v tom zmysle, že zahŕňa aj prípady objektívnej zodpovednosti prevádzkovateľa?