NICHOLAS EMILIOU
prednesené 4. mája 2023 ( 1 )
Vec C‑683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
proti
Valstybinė duomenų apsaugos inspekcija,
za účasti
„IT sprendimai sėkmei“ UAB
a
Lietuvos Respublikos sveikatos apsaugos ministerija
[návrh na začatie prejudiciálneho konania, ktorý podal Vilniaus apygardos administracinis teismas (Krajský správny súd Vilnius, Litva)]
„Návrh na začatie prejudiciálneho konania – Ochrana osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 4 ods. 7 – Pojem ‚prevádzkovateľ‘ – Vývoj mobilnej aplikácie v kontexte pandémie COVID‑19 – Zodpovednosť orgánu verejnej moci povereného usporiadaním postupu verejného obstarávania na nadobudnutie mobilnej aplikácie – Článok 4 ods. 2 – Pojem ‚spracúvanie‘ – Využitie osobných údajov počas fázy testovania mobilnej aplikácie – Článok 26 ods. 1 – Spoločné prevádzkovanie – Článok 83 – Ukladanie správnych pokút – Podmienky – Požiadavka, aby bolo porušenie úmyselné alebo nedbanlivostné – Zodpovednosť prevádzkovateľa za spracúvanie osobných údajov uskutočnené sprostredkovateľom“
I. Úvod
|
1. |
Za akých podmienok možno vo svete, v ktorom sa osobné údaje stali tromfom a predstavujú pre podnikateľov novo nájdenú zlatú baňu, uložiť prevádzkovateľom alebo sprostredkovateľom správne pokuty za porušenie pravidiel ochrany údajov stanovených v nariadení (EÚ) 2016/679 ( 2 )? Konkrétne, musí byť na to, aby im bolo možné uložiť také pokuty, splnená podmienka týkajúca sa „zavinenia“? To je kľúčová otázka, ktorú Vilniaus apygardos administracinis teismas (Krajský správny súd Vilnius, Litva) kladie v prejednávanej veci. |
|
2. |
Konanie vedené na tomto súde, ktorého účastníkmi sú na jednej strane Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Národné centrum verejného zdravotníctva pri ministerstve zdravotníctva, Litva; ďalej len „NVSC“) a na druhej strane Valstybinė duomenų apsaugos inspekcija (Štátny inšpektorát pre ochranu údajov, Litva; ďalej len „inšpektorát“), sa v podstate týka úlohy, ktorú NVSC zohrávalo pri vývoji mobilnej aplikácie, pomocou ktorej sa v apríli a v máji 2020 zbierali osobné údaje osôb, ktoré boli v kontakte s pacientmi nakazenými vírusom COVID‑19, a jej sprístupnení verejnosti. |
|
3. |
V tomto kontexte prejednávaná vec poskytuje Súdnemu dvoru príležitosť bližšie objasniť pojmy „prevádzkovateľ“, „spoloční prevádzkovatelia“ a „spracúvanie“, ktoré sú vymedzené v článku 4 ods. 7, článku 26 ods. 1 a článku 4 ods. 2 GDPR, a po prvý raz posúdiť, či je možné na základe článku 83 tohto nariadenia uložiť správnu pokutu prevádzkovateľovi, ktorý sa úmyselne ani z nedbanlivosti nedopustil žiadneho porušenia pravidiel obsiahnutých v GDPR. Táto otázka vyžaduje, aby Súdny dvor objasnil, či toto ustanovenie pripúšťa uloženie pokút bez akéhokoľvek zavinenia na základe objektívnej zodpovednosti. |
II. Právny rámec
A. Právo Únie
|
4. |
Odôvodnenie 148 GDPR stanovuje: „S cieľom posilniť presadzovanie pravidiel tohto nariadenia by sa… mali ukladať za akékoľvek porušenie tohto nariadenia sankcie vrátane správnych pokút…. V prípade menej závažného porušenia, alebo ak by pravdepodobne uložená pokuta predstavovala pre fyzickú osobu neprimeranú záťaž, možno namiesto uloženia pokuty udeliť napomenutie. Náležitým spôsobom by sa mala zohľadniť povaha, závažnosť a trvanie porušenia, jeho úmyselná povaha, opatrenia prijaté na zmiernenie spôsobenej škody, miera zodpovednosti alebo akékoľvek relevantné predchádzajúce porušenia, spôsob, akým sa o porušení dozvedel dozorný orgán, dodržiavanie opatrení uložených voči prevádzkovateľovi alebo sprostredkovateľovi, dodržiavanie kódexu správania a všetky ďalšie priťažujúce alebo poľahčujúce okolnosti. Ukladanie sankcií vrátane správnych pokút by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty vrátane účinnej súdnej ochrany a riadneho procesu.“ |
|
5. |
Podľa odôvodnenia 150 tohto nariadenia: „S cieľom posilniť a harmonizovať správne sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc ukladať správne pokuty. V tomto nariadení by sa mali uviesť porušenia a horná hranica príslušných správnych pokút a kritériá ich stanovenia, ktoré by mal určiť príslušný dozorný orgán v každom jednotlivom prípade, pričom zohľadní všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia a jeho následkov, ako aj opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie. … Uložením správnej pokuty alebo varovaním nie je dotknuté uplatňovanie iných právomocí dozorných orgánov alebo iné sankcie podľa tohto nariadenia.“ |
|
6. |
V článku 4 ods. 7 GDPR je pojem „prevádzkovateľ“ vymedzený ako „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov…“. |
|
7. |
Článok 26 tohto nariadenia, nazvaný „Spoloční prevádzkovatelia“, v relevantnej časti stanovuje: „1. Ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi. … …“ |
|
8. |
Článok 83 tohto nariadenia, nazvaný „Všeobecné podmienky ukladania správnych pokút“, stanovuje: „1. Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce. 2. Správne pokuty sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 58 ods. 2 písm. a) až h) a j) alebo namiesto nich. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:
…
3. Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie. …“ |
B. Litovské právo
|
9. |
Ustanovenie § 72 ods. 2 Viešųjų pirkimų įstatymas (zákon o verejnom obstarávaní) stanovuje: „Verejný obstarávateľ uskutoční rokovacie konanie bez zverejnenia oznámenia o vyhlásení verejného obstarávania v nasledujúcich fázach:
|
III. Skutkový stav, konanie vo veci samej a prejudiciálne otázky
|
10. |
S cieľom reagovať na situáciu vyplývajúcu zo šírenia COVID‑19 minister zdravotníctva Litovskej republiky (ďalej len „minister zdravotníctva“) rozhodnutím z 24. marca 2020 poveril riaditeľa NVSC, aby zabezpečil vývoj a obstaranie mobilnej aplikácie s názvom KARANTINAS. Táto mobilná aplikácia bola určená na zber a monitorovanie osobných údajov jednotlivcov, ktoré boli v kontakte s pacientmi nakazenými vírusom COVID‑19. ( 3 ) |
|
11. |
Dňa 27. marca 2020 osoba, ktorá tvrdila, že je zástupcom NVSC, informovala spoločnosť „IT sprendimai sėkmei“ UAB (ďalej len „ITSS“), že bola vybratá za vývojára mobilnej aplikácie KARANTINAS. Došlo k e‑mailovej komunikácii medzi ITSS a touto osobou, ako aj medzi ITSS a viacerými zamestnancami a riaditeľom NVSC, ktorá sa týkala vývoja tejto mobilnej aplikácie. V tejto fáze bola tiež vypracovaná dohoda o ochrane dôverných údajov, v ktorej boli tak ITSS, ako aj NVSC uvedení ako prevádzkovatelia. |
|
12. |
Mobilná aplikácia, ktorá bola napokon vyvinutá, bola sprístupnená na stiahnutie verejnosti z Google Play Store 4. apríla 2020, a z Apple App Store 6. apríla 2020. Vo verzii mobilnej aplikácie KARANTINAS, ktorá bola sprístupnená na stiahnutie verejnosti, boli tak ITSS, ako aj NVSC opäť uvedení ako prevádzkovatelia. NVSC v tom čase ešte neodkúpila túto mobilnú aplikáciu. |
|
13. |
Minister zdravotníctva rozhodnutím z 10. apríla 2020 uložil riaditeľovi NVSC, aby obstaral mobilnú aplikáciu KARANTINAS rokovacím konaním bez zverejnenia oznámenia o vyhlásení verejného obstarávania na základe § 72 ods. 2 zákona o verejnom obstarávaní. |
|
14. |
Toto konanie sa začalo, ale keďže NCVZ nezískalo potrebné finančné prostriedky, ukončilo ho. Nebola teda uzavretá žiadna kúpna zmluva na základe verejného obstarávania. Mobilná aplikácia KARANTINAS však bola naďalej dostupná na stiahnutie verejnosti. |
|
15. |
Dňa 15. mája 2020 NVSC požiadalo spoločnosť ITSS, aby v mobilnej aplikácii nepoužívala žiadne údaje o NVSC ani prepojenia s NVSC. Dňa 18. mája 2020 inšpektorát začal prešetrovanie týkajúce sa tak ITSS, ako aj NVSC z dôvodu porušenia pravidiel stanovených v GDPR. Prevádzkovanie mobilnej aplikácie KARANTINAS bolo 26. mája 2020 na žiadosť inšpektorátu pozastavené. Podľa informácií, ktoré poskytla ITSS, v období od 4. apríla 2020 do 26. mája 2020 poskytlo svoje osobné údaje prostredníctvom aplikácie 3802 používateľov. |
|
16. |
Inšpektorát rozhodnutím z 24. februára 2021 uložil NVSC a spoločnosti ITSS ako spoločným prevádzkovateľom správne pokuty za porušenie článkov 5, 13, 24, 32 a 35 GDPR. ( 4 ) |
|
17. |
NVSC napadlo toto rozhodnutie žalobou na Vilniaus apygardos administracinis teismas (Krajský správny súd Vilnius). Tento súd sa v podstate pýta, či sa má pojem „prevádzkovateľ“ v zmysle článku 4 ods. 7 GDPR vykladať extenzívne v tom zmysle, že zahŕňa akúkoľvek fyzickú alebo právnickú osobu alebo subjekt, ako je NVSC, ktorý nevyvinul mobilnú aplikáciu, ale ktorý s cieľom obstarať takú mobilnú aplikáciu prostredníctvom postupu verejného obstarávania určil „účel a prostriedky spracúvania osobných údajov“, alebo či sa má tento pojem vykladať reštriktívnejšie, a to s prihliadnutím na postup verejného obstarávania a jeho výsledok. |
|
18. |
Najmä sa pýta, či je v tejto súvislosti relevantná skutočnosť, že postup verejného obstarávania bol napokon ukončený a NVSC vôbec nezískalo mobilnú aplikáciu KARANTINAS. Tiež sa pýta, či má na toto posúdenie nejaký vplyv skutočnosť, že NVSC oficiálne nesúhlasilo so sprístupnením tejto mobilnej aplikácie verejnosti ani nepovolilo také sprístupnenie. |
|
19. |
Okrem toho sa pýta na vzťah medzi NVSC a spoločnosťou ITSS. V tejto súvislosti chce vedieť, za akých okolnosť by sa tento subjekt a táto spoločnosť museli považovať za „spoločných prevádzkovateľov“, v zmysle článku 4 ods. 7 a článku 26 ods. 1 GDPR. Subsidiárne, ak by sa NVSC a ITSS nemali považovať za „spoločných prevádzkovateľov“, ale NVSC by sa malo považovať za „prevádzkovateľa“ a ITSS by sa mala považovať za „sprostredkovateľa“ ( 5 ) v zmysle GDPR, pýta sa, či úkony spoločnosti ITSS mohli viesť k vzniku zodpovednosti NVSC. V tejto súvislosti chce vedieť, či sa má článok 83 GDPR vykladať v tom zmysle, že prevádzkovateľovi, akým je NVSC, ktorý sa úmyselne ani z nedbanlivosti sám nedopustil žiadneho porušenia tohto nariadenia, možno uložiť správnu pokutu. |
|
20. |
Vzhľadom na tieto úvahy Vilniaus apygardos administracinis teismas (Krajský správny súd Vilnius) rozhodol, že preruší konanie a položí Súdnemu dvoru nasledujúce prejudiciálne otázky:
|
|
21. |
Návrh na začatie prejudiciálneho konania z 22. októbra 2021 bol doručený do kancelárie Súdneho dvora 12. novembra 2021. Písomné pripomienky predložili NVSC, inšpektorát, litovská vláda a Európska komisia. |
|
22. |
Litovská a holandská vláda, ako aj Komisia a Rada sa zúčastnili na pojednávaní, ktoré sa uskutočnilo 17. januára 2023. |
IV. Analýza
|
23. |
Počas pandémie COVID‑19 boli v mnohých členských štátoch verejnosti sprístupnené na stiahnutie mobilné aplikácie určené na „sledovanie pohybu“ osôb nakazených týmto vírusom a/alebo osôb, ktoré boli v kontakte s osobami nakazenými týmto vírusom. Také mobilné aplikácie boli vyvinuté s cieľom reagovať na naliehavosť situácie, často za účasti viacerých verejnoprávnych a súkromnoprávnych subjektov (ako sú ministerstvá a iné verejnoprávne subjekty, ako aj súkromné spoločnosti). Vyžadovalo sa, aby používatelia nahrali do mobilných aplikácií svoje osobné údaje, najmä údaje týkajúce sa ich zdravia. ( 6 ) |
|
24. |
Konanie vo veci samej sa týka práve takej mobilnej aplikácie, konkrétne mobilnej aplikácie KARANTINAS, ktorú vyvinula ITSS (súkromná spoločnosť) na podnet NVSC (orgán verejnej moci) na základe rozhodnutia ministra zdravotníctva. Z informácií obsiahnutých v spise ani z informácií poskytnutých na pojednávaní jednoznačne nevyplýva, ktoré iné litovské verejnoprávne subjekty sa prípadne podieľali na vývoji tejto aplikácie. ( 7 ) Existujú tiež určité pochybnosti o tom, či NVSC súhlasilo s tým, aby bola mobilná aplikácia KARANTINAS sprístupnená verejnosti počas obdobia, v ktorom došlo k spracúvaniu osobných údajov (apríl a máj 2020). Vilniaus apygardos administracinis teismas (Krajský správny súd Vilnius) však v otázkach položených Súdnemu dvoru označil nasledujúce okolnosti za relevantné:
|
|
25. |
Za týchto okolností sa otázky položené Súdnemu dvoru týkajú výkladu rôznych ustanovení GDPR. Prvé tri otázky, ako aj piata otázka si vyžadujú výklad pojmu „prevádzkovateľ“ v zmysle článku 4 ods. 7 tohto nariadenia, pričom je potrebné objasniť okolnosti, za ktorých dva alebo viaceré subjekty možno považovať za „spoločných prevádzkovateľov“ podľa tohto ustanovenia a článku 26 ods. 1 uvedeného nariadenia. Najprv preskúmam tieto otázky spoločne (časť A) a následne sa budem zaoberať štvrtou otázkou, ktorá sa týka pojmu „spracúvanie“ v zmysle článku 4 ods. 2 GDPR a jeho uplatňovania v rámci fázy testovania mobilnej aplikácie (časť B). ( 8 ) Potom rozoberiem problematiku, ktorá tvorí podstatu prejednávanej veci, konkrétne šiestu otázku, ktorá má prierezový charakter, keďže sa týka podmienok, za ktorých možno na základe článku 83 GDPR uložiť prevádzkovateľom správne pokuty (časť C). |
A. O pojme „prevádzkovateľ“ a prípadoch spoločného prevádzkovania (prvá, druhá, tretia a piata otázka)
|
26. |
Prvými troma otázkami sa vnútroštátny súd v podstate pýta, či vzhľadom na okolnosti, ktoré sú podrobnejšie opísané v bode 24 vyššie, subjekt, akým je NVSC, treba považovať za „prevádzkovateľa“ v zmysle článku 4 ods. 7 GDPR. Okrem toho vnútroštátny súd piatou otázkou žiada o objasnenie, či sa za takých okolností dva subjekty, akými sú NVSC a ITSS, majú považovať za „spoločných prevádzkovateľov“ v súlade s týmto ustanovením a s článkom 26 ods. 1 tohto nariadenia, aj keď neuzavreli žiadnu formálnu dohodu týkajúcu sa účelov a prostriedkov spracúvania a/alebo podľa všetkého inak nekoordinovali svoj postup. |
1. Kto je prevádzkovateľ? (prvá až tretia otázka)
|
27. |
Pripomínam, že podľa článku 4 ods. 7 GDPR je „prevádzkovateľ“ vymedzený ako osoba alebo subjekt, ktorý „sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov“. Jednoducho povedané, prevádzkovateľ nemusí spracúvať žiadne z osobných údajov sám, ale musí určiť „dôvod a spôsob“ vykonávania príslušných spracovateľských operácií. ( 9 ) Súdny dvor uviedol, že na splnenie tohto kritéria musí osoba alebo subjekt skutočne „ovplyvň[ovať]… spracovanie osobných údajov“. ( 10 ) Nie je však nevyhnutné, aby sa určenie účelov a prostriedkov na spracovanie uskutočnilo v súlade s písomnými usmerneniami alebo pokynmi zo strany prevádzkovateľa. ( 11 ) Článok 4 ods. 7 GDPR totiž vyžaduje skutkovú, a nie formálnu analýzu. |
|
28. |
V tejto súvislosti Európsky výbor pre ochranu údajov (EDPB) uviedol, že je možné byť prevádzkovateľom aj bez ohľadu na osobitnú právomoc alebo oprávnenie kontrolovať údaje, ktoré priznáva zákon. Schopnosť určiť účely a prostriedky spracúvania totiž závisí predovšetkým od uplatňovaného vplyvu, ktorý možno vyvodiť zo skutkových okolností. Subjekt, ktorý je skutočne schopný určiť účely a prostriedky spracúvania, sa teda bude považovať za „prevádzkovateľa“ bez ohľadu na to, či bol (zákonom, zmluvou alebo inak) formálne určený za prevádzkovateľa. ( 12 ) |
|
29. |
V nadväznosti na uvedené spresnenia poznamenávam, že viaceré z okolností, ktoré vnútroštátny súd opísal v prvých troch otázkach, majú čisto formálny charakter – napríklad skutočnosť, že NVCS z právneho hľadiska nevlastní mobilnú aplikáciu KARANTINAS alebo že postup na nadobudnutie tejto mobilnej aplikácie nebol nikdy dokončený alebo že NVSC oficiálne nepovolila sprístupnenie aplikácie širokej verejnosti ani neschválila poslednú verziu aplikácie. Podľa môjho názoru žiadna z týchto okolností sama osebe nemôže brániť konštatovaniu, že NVSC konalo v kontexte konania vo veci samej ako „prevádzkovateľ“ v zmysle článku 4 ods. 7 GDPR. Tieto okolnosti totiž nepostačujú na vyvrátenie záveru, že NVSC bolo skutočne schopné určiť účely a prostriedky spracúvania osobných údajov, ku ktorému došlo. V tom istom zmysle sa domnievam, že skutočnosť, že NVSC bolo spomenuté ako prevádzkovateľ v politike ochrany dôverných údajov týkajúcej sa verzie mobilnej aplikácie KARANTINAS, ktorá bola sprístupnená na stiahnutie verejnosti, alebo že v tejto verzii mobilnej aplikácie boli zahrnuté prepojenia na tento subjekt, je relevantná, ale nie rozhodujúca, pokiaľ ide o vplyv, ktorý tento subjekt skutočne uplatňoval. |
|
30. |
Naproti tomu dôkazy predložené v konaní na vnútroštátnom súde, ktoré svedčia o tom, že NVSC rozhodovalo, aký typ osobných údajov sa má zbierať od ktorých dotknutých osôb prostredníctvom mobilnej aplikácie KARANTINAS, a/alebo rozhodovalo o iných kľúčových aspektoch spracúvania, podľa môjho názoru postačujú na preukázanie, že tento subjekt určil „prostriedky“ spracúvania. Navyše sa domnievam, že skutočnosť, že mobilná aplikácia KARANTINAS bola vytvorená na plnenie cieľa, ktorý určilo NVSC, teda reagovať na pandémiu COVID‑19, a že ITSS pravidelne upravovala jej fungovanie, aby vyhovela potrebám, ktoré určilo NVSC, v súlade s pokynmi poskytnutými týmto subjektom postačuje na odôvodnenie záveru, že tento subjekt určil „účely“ tohto spracúvania. |
|
31. |
V nadväznosti na vyššie uvedené sa domnievam, že na to, aby vnútroštátny súd mohol určiť, či subjekt, akým je NVSC, možno považovať za „prevádzkovateľa“ v zmysle článku 4 ods. 7 GDPR, musí tiež zistiť, či napriek vplyvu, ktorý NVSC uplatňovalo vo fáze vývoja mobilnej aplikácie KARANTINAS, rozhodnutie o sprístupnení tejto mobilnej aplikácie verejnosti, a teda uskutočnení spracúvania osobných údajov bolo skutočne prijaté s (výslovným alebo konkludentným) súhlasom tohto subjektu (bez ohľadu na to, že tento súhlas nebol oficiálne alebo formálne udelený). |
|
32. |
Ako sa totiž jasne uvádza v definícii pojmu „prevádzkovateľ“ uvedenej v článku 4 ods. 7 GDPR, vplyv uplatňovaný prevádzkovateľom sa musí týkať samotného spracúvania osobných údajov, a nie len akejkoľvek predchádzajúcej fázy. Fyzická alebo právnická osoba alebo subjekt sa nestane „prevádzkovateľom“ len na základe toho, že iniciuje vývoj mobilnej aplikácie alebo určí parametre tejto aplikácie (alebo iného nástroja na zber údajov). Jej konanie musí skutočne súvisieť so spracúvaním osobných údajov, a preto je potrebné, aby výslovne alebo konkludentne súhlasila s použitím príslušného nástroja na uskutočnenie takého spracúvania. |
|
33. |
Súdny dvor potvrdil túto požiadavku vo svojom rozsudku Fashion ID ( 13 ), v ktorom výslovne uviedol, že zodpovednosť prevádzkovateľa je obmedzená na operáciu alebo súbor operácií spracovania osobných údajov, pri ktorých prevádzkovateľ skutočne určil účely a prostriedky ( 14 ). Z toho vyplýva, že určenie účelov a prostriedkov musí priamo súvisieť s príslušnou operáciou alebo príslušným súborom operácií, pri ktorých dochádza k spracúvaniu osobných údajov. |
|
34. |
Podľa môjho názoru z týchto záverov vyplýva, že subjekt, akým je NVSC, ktorý iniciuje vývoj mobilnej aplikácie, možno považovať za „prevádzkovateľa“ v zmysle článku 4 ods. 7 GDPR len v situácii, keď existuje dostatok okolností, ktoré majú skôr skutkovú než formálnu povahu a z ktorých vnútroštátne súdy môžu vyvodiť záver, že taký subjekt skutočne ovplyvnil „účely a prostriedky“ tohto spracúvania a že skutočne súhlasil so sprístupnením mobilnej aplikácie verejnosti, a teda aj so spracúvaním osobných údajov. S výhradou overení, ktoré musí vykonať vnútroštátny súd, zastávam názor, že NVSC spĺňa tieto požiadavky. |
2. Kedy možno dva subjekty považovať za spoločných prevádzkovateľov? (piata otázka)
|
35. |
Piata otázka sa týka podmienok, ktoré musia byť splnené na to, aby sa dva (alebo viaceré) subjekty považovali za spoločných prevádzkovateľov. Chápem, že vnútroštátny súd žiada o objasnenie výkladu tohto pojmu, lebo si kladie otázku, či v situácii, o ktorú ide v konaní vo veci samej, možno NVSC a spoločnosť ITSS považovať za „spoločných prevádzkovateľov“, v dôsledku čoho by tieto dva subjekty boli spoločne a nerozdielne zodpovedné za spôsobenú škodu ( 15 ) a/alebo by bolo možné spoločne im uložiť pokuty za porušenia pravidiel ochrany údajov, ku ktorým došlo, keď bola mobilná aplikácia KARANTINAS sprístupnená na stiahnutie verejnosti. V tejto súvislosti poznamenávam, že – ako som uviedol v bode 16 vyššie – inšpektorát rozhodol, že tak NVSC, ako aj ITSS sú zodpovedné, a na základe článku 83 GDPR im uložil pokuty za spáchané porušenia ako spoločným prevádzkovateľom. |
|
36. |
Podľa článku 26 ods. 1 GDPR o „spoločných prevádzkovateľov“ ide v prípade, ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania. Každý spoločný prevádzkovateľ preto musí nezávisle spĺňať kritériá vymenované v definícii pojmu „prevádzkovateľ“ uvedenej v článku 4 ods. 7 tohto nariadenia. ( 16 ) Okrem toho medzi spoločnými prevádzkovateľmi musí existovať určitý vzťah, keďže musia spoločne ovplyvňovať spracúvanie. |
|
37. |
Súdny dvor uviedol, že existencia spoločného prevádzkovania neznamená nevyhnutne rovnakú zodpovednosť alebo účasť jednotlivých zapojených osôb alebo subjektov. Spoloční prevádzkovatelia môžu byť naopak zapojení do spracovania v rôznych fázach, takže mieru zodpovednosti každého z nich treba hodnotiť z hľadiska všetkých relevantných okolností danej veci. ( 17 ) Okrem toho spoločná zodpovednosť viacerých subjektov za to isté spracúvanie nepredpokladá, aby mal každý z nich prístup k dotknutým osobným údajom. ( 18 ) Je však dôležité, aby sa spoločne podieľali na určení „účelov a prostriedkov“ spracúvania. |
|
38. |
V tejto súvislosti poznamenávam, že – ako sa uvádza v usmerneniach 07/2020 – taká spoločná účasť môže mať rôzne formy. Môže vyplývať zo spoločného rozhodnutia prijatého dvoma alebo viacerými subjektmi alebo môže vyplývať len zo zbiehajúcich sa rozhodnutí takých subjektov. Ak ide o druhý uvedený prípad, rozhodujúce len to, aby sa tieto rozhodnutia navzájom dopĺňali a boli nevyhnutné na uskutočnenie spracúvania tak, že majú citeľný vplyv na určenie účelov a prostriedkov spracúvania, čo v podstate znamená, že spracúvanie by nebolo možné bez účasti oboch strán. ( 19 ) |
|
39. |
Za týchto okolností sa vnútroštátny súd pýta, či skutočnosť, že dvaja prevádzkovatelia (v tomto prípade NVSC a ITSS) neuzavreli žiadnu formálnu dohodu týkajúcu sa účelov a prostriedkov spracúvania a/alebo podľa všetkého inak nekoordinovali svoj postup, bráni tomu, aby sa považovali za „spoločných prevádzkovateľov“. |
|
40. |
Chápem, že pochybnosti, ktoré má vnútroštátny súd v tejto súvislosti, vyplývajú z toho, že podľa článku 26 ods. 1 GDPR musia spoloční prevádzkovatelia transparentne určiť svoje príslušné zodpovednosti za plnenie povinností podľa tohto nariadenia, a to formou vzájomnej dohody. Okrem toho v odôvodnení 79 tohto nariadenia sa uvádza, že sa vyžaduje „jasné rozdelenie povinností“ vrátane prípadov, v ktorých prevádzkovateľ určuje účely a prostriedky spracúvania spoločne s inými prevádzkovateľmi. Podľa môjho názoru sa však tieto povinnosti a požiadavky vzťahujú na spoločných prevádzkovateľov len vtedy, keď ich možno považovať za spoločných prevádzkovateľov. Nepatria medzi kritériá, ktoré musia byť splnené, aby sa považovali za spoločných prevádzkovateľov. |
|
41. |
Ako som uviedol v bode 36 vyššie, spoločná zodpovednosť závisí len od splnenia dvoch objektívnych podmienok. Po prvé každý spoločný prevádzkovateľ musí spĺňať kritériá vymenované v definícii pojmu „prevádzkovateľ“ uvedenej v článku 4 ods. 7 GDPR. V spise sa nenachádza dostatok informácií, na základe ktorých by bolo možné určiť, či sa má ITSS v situácii, o ktorú ide v konaní vo veci samej, považovať za „prevádzkovateľa“ v zmysle tohto ustanovenia. Vzhľadom na závery, ku ktorým som dospel v predchádzajúcom oddiele, a s výhradou overenia, ktoré musí vykonať vnútroštátny súd, sa však domnievam, že aspoň NVSC – ak nie tak tento subjekt, ako aj ITSS – spĺňa podmienky na to, aby sa považoval za „prevádzkovateľa“ v zmysle tohto ustanovenia. Po druhé prevádzkovatelia musia ovplyvňovať spracúvanie spoločne (čo znamená, že ho musia ovplyvňovať v súlade s právnymi kritériami a s judikatúrou, ktoré som pripomenul v bode 37 a 38 vyššie). V tejto súvislosti som vysvetlil, že spoločná účasť na spracúvaní môže mať rôzne formy a dokonca ani nemusí vyplývať zo spoločného rozhodnutia dotknutých strán. Vecný a funkčný prístup, pomocou ktorého treba určiť, či sa má osoba alebo subjekt považovať za „prevádzkovateľa“ v zmysle článku 4 ods. 7 GDPR, sa podľa môjho názoru uplatní aj na spoločné prevádzkovanie. ( 20 ) |
|
42. |
Vzhľadom na tieto okolnosti po prvé zastávam názor, že neexistencia akejkoľvek zmluvy alebo dohody či dokonca spoločného rozhodnutia medzi dvoma alebo viacerými prevádzkovateľmi, akými sú NVSC a ITSS, nemôže sama osebe vylúčiť záver, že sú „spoločnými prevádzkovateľmi“ v zmysle článku 4 ods. 7 GDPR v spojení s článkom 26 ods. 1 tohto nariadenia. V tejto súvislosti dodávam, že EDPB uviedol, že hoci zmluvné dohody môžu byť užitočné pri posudzovaní spoločného prevádzkovania, vždy by sa mali porovnať so skutkovými okolnosťami vzťahu medzi stranami. ( 21 ) |
|
43. |
Po druhé tiež sa domnievam, že samotná skutočnosť, že NVSC a ITSS podľa všetkého – odhliadnuc od toho, že neuzavreli zmluvu ani dohodu a neprijali spoločné rozhodnutie – nekoordinovali svoj postup ani inak navzájom nespolupracovali, neznamená, že ich nemožno považovať za „spoločných prevádzkovateľov“. Aj keď taká koordinácia alebo spolupráca existuje, je irelevantná pre posúdenie, či je medzi týmito dvoma subjektmi vzťah spoločných prevádzkovateľov. Ľahko si totiž možno predstaviť, že by mohla existovať spolupráca alebo koordinácia medzi dvoma alebo viacerými subjektmi bez toho, aby vôbec boli spoločnými prevádzkovateľmi. Napríklad dvaja samostatní prevádzkovatelia by mohli koordinovať svoj postup alebo navzájom spolupracovať s úmyslom preniesť osobné údaje medzi sebou. To by však nespôsobilo, že sa stanú „spoločnými prevádzkovateľmi“ v zmysle článku 4 ods. 7 a článku 26 ods. 1 GDPR. ( 22 ) Ako som vysvetlil v bode 38 vyššie, dôležité je, že spracúvanie by nebolo možné bez účasti oboch strán, lebo obe strany majú citeľný vplyv na určenie účelov a prostriedkov tohto spracúvania. |
3. Záver týkajúci sa výkladu pojmu „prevádzkovateľ“ a prípadov spoločného prevádzkovania
|
44. |
Vzhľadom na vyššie uvedené sa domnievam, že na jednej strane – s výhradou overení, ktoré musí vykonať vnútroštátny súd – subjekt, akým je NVSC, spĺňa podmienky na to, aby bol považovaný za „prevádzkovateľa“, vymenované v článku 4 ods. 7 GDPR. Na druhej strane to, či NVSC a spoločnosť ITSS možno považovať za „spoločných prevádzkovateľov“ v súlade s kritériami, ktoré som uviedol v predchádzajúcom oddiele, alebo či možno označiť NVSC za „prevádzkovateľa“ a spoločnosť ITSS za „sprostredkovateľa“, závisí od povahy ich vzťahu, ktorú musí posúdiť vnútroštátny súd. |
|
45. |
V tejto súvislosti dodávam, že povaha vzťahu medzi NVSC a spoločnosťou ITSS (konkrétne či sú „spoločnými prevádzkovateľmi“, alebo či je NVSC „prevádzkovateľ“ a ITSS „sprostredkovateľ“) je relevantná pre šiestu otázku. Preto sa pri posudzovaní problémov, ktoré vyvoláva šiesta otázka, vrátim k záverom, ku ktorým som dospel v súvislosti s piatou otázkou. |
B. O pojme „spracúvanie“ (štvrtá otázka)
|
46. |
Štvrtou otázkou sa vnútroštátny súd v podstate pýta, či sa definícia pojmu „spracúvanie“ uvedená v článku 4 ods. 2 GDPR vzťahuje na situáciu, keď sa osobné údaje využívajú počas fázy testovania mobilnej aplikácie. ( 23 ) Z návrhu na začatie prejudiciálneho konania vyvodzujem, že mobilná aplikácia KARANTINAS pred tým, ako bola sprístupnená na stiahnutie verejnosti, prešla testovacou fázou. Štvrtá otázka sa teda na základe toho, ako ju chápem, týka situácie, ktorá je odlišná od situácie, ktorá je predmetom ostatných otázok položených Súdnemu dvoru, z ktorých sa všetky týkajú spracúvania osobných údajov po uskutočnení testovacej fázy, keď bola mobilná aplikácia KARANTINAS sprístupnená verejnosti. Vnútroštátny súd chce konkrétne vedieť, či využívanie osobných údajov počas tejto testovacej fázy možno označiť za „spracúvanie“ v zmysle článku 4 ods. 2 GDPR, a preto môže toto využívanie prípadne založiť zodpovednosť dotknutých prevádzkovateľov a/alebo sprostredkovateľov. |
|
47. |
V článku 4 ods. 2 GDPR je „spracúvanie“ vymedzené ako „operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov…, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami“. ( 24 ) |
|
48. |
Na základe tejto formulácie [najmä na základe použitia slova „any“ („akákoľvek“) v anglickej jazykovej verzii a všeobecných pojmov, ako sú „operácia“ alebo „súbor operácií“] sa domnievam, že toto ustanovenie treba vykladať extenzívne, aby sa vzťahovalo na čo najviac situácií, v ktorých sa využívajú osobné údaje. Demonštratívny zoznam takých situácií, ktorý sa nachádza v tomto ustanovení, potvrdzuje tento výklad, a to vzhľadom na rôznorodosť operácií, ktoré sú v ňom uvedené. ( 25 ) |
|
49. |
Okrem toho, zatiaľ čo z vyššie uvedeného oddielu vyplýva, že definícia pojmu „prevádzkovateľ“ v zmysle článku 4 ods. 7 tohto nariadenia úzko súvisí s účelom spracúvania osobných údajov (s dôvodmi, pre ktoré sa osobné údaje získavajú), to neplatí pre definíciu uvedenú v článku 4 ods. 2 tohto nariadenia. Dôvody, pre ktoré sa operácia alebo súbor operácií vykonávajú, sú teda v zásade irelevantné pre otázku, či tieto operácie treba považovať za „spracúvanie“ v zmysle tohto ustanovenia. Podľa môjho názoru z toho vyplýva, že otázka, či sa osobné údaje zbierajú na účely testovania IT systémov zabudovaných v mobilnej aplikácii alebo na iný účel, nemá nijaký vplyv na to, či predmetnú operáciu možno označiť za „spracúvanie“. |
|
50. |
V tejto súvislosti ďalej poznamenávam, že „využívanie“ osobných údajov (bez akejkoľvek ďalšej zmienky, a teda bez ohľadu na účel využívania) je uvedené medzi operáciami alebo súbormi operácií, ktoré predstavujú „spracúvanie“. ( 26 ) Okrem toho článok 4 ods. 2 GDPR neobsahuje žiadnu výslovnú výnimku, odchýlku alebo vylúčenie týkajúce sa operácií súvisiacich s využívaním osobných údajov na testovanie IT systémov. Z toho vyplýva, že nič nebráni tomu, aby sa využívanie osobných údajov na účely vykonávania takého testovania považovalo za „spracúvanie“ v zmysle tohto ustanovenia – práve naopak. |
|
51. |
Vzhľadom na tieto skutočnosti sa domnievam, že definícia pojmu „spracúvanie“ uvedená v článku 4 ods. 2 GDPR sa vzťahuje na situáciu, keď sa osobné údaje využívajú počas fázy testovania mobilnej aplikácie. |
|
52. |
Na záver, ku ktorému som dospel v tejto súvislosti, nemá vplyv skutočnosť, že osobné údaje poskytnuté na účely testovania IT systémov zabudovaných v mobilnej aplikácii mohli prejsť pseudonymizáciou. ( 27 ) Jedinou situáciou, v ktorej by sa GDPR neuplatnilo, je, ak informácie vložené do mobilnej aplikácie tvoria len anonymné informácie, ktoré „sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje“, alebo osobné údaje, ktoré „sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná“. Poznamenávam však, že v prípade, o ktorý ide v konaní vo veci samej, údaje používané v testovacej fáze podľa všetkého na základe informácií uvedených v spise netvorili také anonymizované údaje. ( 28 ) |
|
53. |
Vzhľadom na vyššie uvedené sa domnievam, že definícia pojmu „spracúvanie“ uvedená v článku 4 ods. 2 GDPR sa vzťahuje na situáciu, keď sa osobné údaje využívajú počas fázy testovania mobilnej aplikácie, pokiaľ také údaje neboli anonymizované takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná. Otázka, či sa osobné údaje zbierajú na účely testovania IT systémov zabudovaných v mobilnej aplikácii alebo na iný účel, nemá nijaký vplyv na to, či predmetnú operáciu možno označiť za „spracúvanie“. ( 29 ) |
|
54. |
Po uvedených spresneniach teraz prejdem ku kľúčovej otázke prejednávanej veci, ktorá sa týka podmienok, za ktorých možno na základe článku 83 GDPR uložiť prevádzkovateľovi alebo sprostredkovateľovi správnu pokutu. |
C. O správnych pokutách ukladaných na základe článku 83 GDPR (šiesta otázka)
|
55. |
Pred prijatím GDPR boli sankcie za porušenie pravidiel ochrany údajov ponechané do veľkej miery na voľnú úvahu členských štátov v súlade s ich procesnou autonómiou a autonómiou týkajúcou sa prostriedkov nápravy. ( 30 ) Správne pokuty, ktoré boli zavedené článkom 83 tohto nariadenia, sú preto pomerne novou „kategóriou“ v práve Únie týkajúcom sa ochrany údajov. Pracovná skupina podľa článku 29 ich opísala ako „kľúčov[ý] prv[ok] nového… systému pravidiel“. ( 31 ) Hoci Súdny dvor ešte nepodal výklad tohto ustanovenia, dozorné orgány ho už uplatnili a v niektorých prípadoch na základe neho uložili prevádzkovateľom alebo sprostredkovateľom prísne pokuty. ( 32 ) |
|
56. |
Článok 83 GDPR upravuje dvojstupňový systém sankcií v závislosti od konkrétneho typu porušeného ustanovenia. Zatiaľ čo prvý stupeň, vymedzený v článku 83 ods. 4 tohto nariadenia, sa uplatňuje na situácie, v ktorých prevádzkovateľ alebo sprostredkovateľ poruší všeobecné povinnosti, ktoré pre neho platia, ako aj určité osobitné povinnosti, druhý stupeň je vyhradený – ako sa uvádza v článku 83 ods. 5 GDPR – pre závažnejšie porušenia, ako sú okrem iného porušenia základných zásad spracúvania, práv dotknutých osôb a pravidiel týkajúcich sa prenosu osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii. |
|
57. |
V prípade oboch stupňov musia príslušné vnútroštátne orgány po tom, čo preukázali, že bolo porušené konkrétne ustanovenie GDPR, vykonať dvojaké posúdenie. Po prvé musia určiť, či by sa mala uložiť pokuta, a po druhé, ak určili, že by sa mala uložiť, musia stanoviť jej výšku. Takéto dvojaké posúdenie sa musí vykonať v každom jednotlivom prípade vzhľadom na rôzne okolnosti vymenované v článku 83 ods. 2 GDPR. Medzi týmito okolnosťami sa nachádza „úmyselný alebo nedbanlivostný charakter porušenia“ [článok 83 ods. 2 písm. b) tohto nariadenia]. |
|
58. |
Svojou šiestou otázkou sa vnútroštátny súd v podstate pýta, či možno správnu pokutu uložiť prevádzkovateľovi, ak prevádzkovateľ úmyselne ani z nedbanlivosti neporušil pravidlá ochrany údajov a nezákonné spracúvanie osobných údajov neuskutočnil samotný prevádzkovateľ, ale sprostredkovateľ. Ak sa vrátim k záverom, ku ktorým som dospel vyššie v súvislosti s piatou otázkou, domnievam sa, že šiesta otázka sa kladie pre prípad, že NVSC a ITSS by sa v konaní vo veci samej nemohli považovať za „spoločných prevádzkovateľov“ v zmysle článku 4 ods. 7 GDPR v spojení s článkom 26 ods. 1 tohto nariadenia, pričom by bolo potrebné považovať NVSC za „prevádzkovateľa“ a spoločnosť ITSS za „sprostredkovateľa“. V tomto konkrétnom kontexte vnútroštátny súd žiada o objasnenie okolností, za ktorých možno NVSC uložiť pokutu na základe článku 83 GDPR. |
|
59. |
V nadväznosti na vyššie uvedené poukazujem na to, že v šiestej otázke je ako relevantné ustanovenie spomenutý len článok 83 ods. 1 GDPR. Podľa môjho názoru si však problémy, ktoré vyvoláva táto otázka, vyžadujú posúdiť článok 83 tohto nariadenia ako celok a najmä – ako som vysvetlil v bode 57 vyššie – zohľadniť článok 83 ods. 2 písm. b) tohto nariadenia, keďže v tomto ustanovení sa odkazuje na „úmyselný alebo nedbanlivostný charakter porušenia“. Budem teda vychádzať z toho, že predmetom šiestej otázky je výklad článku 83 GDPR ako celku, a nie len článku 83 ods. 1 tohto nariadenia. |
|
60. |
Podľa môjho názoru sa táto otázka skladá z dvoch častí. Po prvé vyžaduje, aby Súdny dvor určil, či článok 83 GDPR vo všeobecnosti umožňuje uložiť správne pokuty prevádzkovateľom alebo sprostredkovateľom, ak neexistuje akýkoľvek subjektívny prvok (morálny prvok – zavinenie). Vnútroštátny súd chce v podstate vedieť, či by bolo možné uložiť NVSC pokutu len na základe toho, že porušilo povinnosti, ktoré mu vyplývajú z toho, že je prevádzkovateľom (objektívna zodpovednosť), alebo či sa vyžaduje prvok zavinenia pri spáchaní relevantného porušenia alebo relevantných porušení. Po druhé žiada o objasnenie, či skutočnosť, že nezákonné spracúvanie osobných údajov nevykonal samotný prevádzkovateľ, ale sprostredkovateľ, má nejaký vplyv na možnosť dozorných orgánov uložiť pokutu prevádzkovateľovi. |
|
61. |
Každý z týchto dvoch aspektov preskúmam samostatne. |
1. Prvý aspekt: potreba preukázať zavinenie
|
62. |
Článok 83 GDPR vyžaduje, aby všetky správne pokuty uložené za porušenia pravidiel ochrany údajov boli „účinné, primerané a odrádzajúce“. Je to jednoznačne uvedené v odseku 1 tohto ustanovenia. V tomto odseku sa však neuvádza, či takú pokutu možno uložiť len v prípade, ak je tiež preukázané zavinenie, teda či je „zavinenie“ predpokladom uloženia akejkoľvek správnej pokuty. |
|
63. |
V odseku 2 písm. b) uvedeného ustanovenia je na druhej strane „úmyselný alebo nedbanlivostný charakter porušenia“ uvedený medzi skutočnosťami ( 33 ), ktoré musia dozorné orgány v každom jednotlivom prípade „náležite zohľadni[ť]“. Podľa článku 83 ods. 2 písm. k) tohto nariadenia treba uvedené skutočnosti chápať ako „priťažujúce alebo poľahčujúce okolnosti“, pričom ich výpočet nie je taxatívny. |
|
64. |
Za týchto okolností podľa môjho názoru možno chápať článok 83 GDPR dvojako. |
|
65. |
Na jednej strane by bolo možné domnievať sa, že hoci sa pri rozhodovaní o uložení pokuty a určovaní jej výšky musí náležite zohľadniť konkrétna miera zavinenia (takže by sa mala napríklad uložiť vyššia pokuta, ak bolo porušenie výsledkom úmyselného konania, a naopak nedbanlivostné konanie by malo viesť k nižšej pokute), nič nebráni tomu, aby sa pokuta uložila aj bez akéhokoľvek zavinenia, pokiaľ sa možno domnievať, že sprostredkovateľ alebo prevádzkovateľ je zodpovedný za porušenie. Tento záver by mal oporu vo výklade článku 83 ods. 2 písm. b) a k) v tom zmysle, že vzhľadom na to, že v týchto ustanoveniach sú spomenuté rôzne typy zavinenia (úmyselné alebo z nedbanlivosti) ako „priťažujúce alebo poľahčujúce okolnosti“, môže to naznačovať, že zavinenie vo všeobecnosti nie je predpokladom na uloženie pokuty. |
|
66. |
Na druhej strane by tiež bolo možné tvrdiť – ako Komisia tvrdí v prejednávanej veci –, že na to, aby bolo možné uložiť pokutu, sa musí ako minimálna požiadavka preukázať nedbanlivosť osoby alebo subjektu, ktorý sa dopustil porušenia. Tento prístup by mal oporu v inom, opatrnejšom výklade článku 83 ods. 2 písm. b) a k) GDPR v tom zmysle, že tieto ustanovenia vyžadujú, aby dozorné orgány rozlišovali medzi poľahčujúcou okolnosťou (nedbanlivosť) a priťažujúcou okolnosťou (úmysel), ale nie je v nich uvedené, že pokutu možno uložiť bez akéhokoľvek zavinenia. |
|
67. |
Komisia sa výslovne rozhodla pre tento výklad vo svojom pôvodnom návrhu, na základe ktorého bolo prijaté GDPR ( 34 ) a v ktorom navrhla usporiadať systém pokút ako trojstupňový systém. Komisia navrhla, aby v každom stupni bolo možné uložiť pokuty len „komukoľvek, kto úmyselne alebo z nedbanlivosti“ ( 35 ) spáchal jedno alebo viaceré z údajných porušení. Komisia teda jednoznačne chcela dosiahnuť, aby bolo zavinenie predpokladom na uloženie takej pokuty. ( 36 ) |
|
68. |
Hoci oba prístupy možno podľa môjho názoru odôvodniť na základe gramatického výkladu článku 83 ods. 2 GDPR, keďže podľa každého z nich sa „úmyselný alebo nedbanlivostný charakter porušenia“ chápe ako „priťažujúca“ alebo „poľahčujúca“ okolnosť, zastávam názor, že len druhý prístup náležite vyjadruje zámer normotvorcu Únie. K tomuto záveru som dospel z viacerých dôvodov. |
a) Dôvody, pre ktoré sa vyžaduje zavinenie
|
69. |
Po prvé poznamenávam, že viaceré z okolností vymenovaných v článku 83 ods. 2 GDPR obsahujú špecifickú formuláciu, z ktorej možno vyvodiť, že také okolnosti sa nemusia uplatniť vo všetkých, ale len v niektorých prípadoch. Konkrétne na začiatku článku 83 ods. 2 písm. c), e) a k) sa nachádza slovo „akékoľvek“ („akékoľvek kroky, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu…“; „akékoľvek relevantné predchádzajúce porušenia…“; „akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu…“), čo naznačuje, že hoci dozorné orgány musia vždy zohľadniť, či existujú akékoľvek poľahčujúce kroky, predchádzajúce porušenie alebo iná relevantná priťažujúca alebo poľahčujúca okolnosť, ak také okolnosti existujú alebo sú preukázané, v skutočnosti môžu nastať situácie, keď tie isté okolnosti jednoducho neexistujú, a napriek tomu príslušný orgán pre ochranu údajov môže rozhodnúť, že uloží pokutu (alebo ju naopak neuloží). V tom istom zmysle poznamenávam, že článok 83 ods. 2 písm. i) GDPR je tiež sformulovaný nesystematicky, keďže vyžaduje zohľadniť, či prevádzkovateľ alebo sprostredkovateľ splnil opatrenia uvedené v článku 58 ods. 2 tohto nariadenia, ale len v prípade, „ak boli predtým voči… prevádzkovateľovi alebo sprostredkovateľovi… prijaté [také] opatrenia“. |
|
70. |
V článku 83 ods. 2 písm. b) je naopak spomenutý „úmyselný alebo nedbanlivostný charakter porušenia“. ( 37 ) Z tohto dôvodu je tento charakter podľa môjho názoru jednou z okolností, ktoré musia existovať a ktorých kolónka musí byť – v prenesenom zmysle – vo všetkých prípadoch „zaškrtnutá“ na to, aby bolo možné uložiť pokutu, tak ako „povaha, závažnosť a trvanie porušenia…“ [článok 83 ods. 2 písm. a)], „kategórie osobných údajov, ktorých sa porušenie týka“ [článok 83 ods. 2 písm. g)] a „spôsob, akým sa dozorný orgán o porušení dozvedel…“ [článok 83 ods. 2 písm. h)]. Tieto ďalšie okolnosti musia podľa môjho názoru tiež „existovať“ vo všetkých prípadoch: napríklad „povaha, závažnosť a trvanie porušenia“ sa môžu v jednotlivých prípadoch značne líšiť (a preto ich možno považovať buď za dôvod „v prospech“, alebo za dôvod „v neprospech“ uloženia pokuty). Vo všetkých prípadoch však bude potrebné zohľadniť konkrétnu povahu, nejakú závažnosť a nejaké trvanie porušenia. Podľa môjho názoru to je prvým náznakom toho, že správne pokuty boli zavedené do článku 83 GDPR, aby sa ukladali len v situáciách, keď bolo údajné porušenie spáchané buď úmyselne, alebo z nedbanlivosti. ( 38 ) |
|
71. |
Po druhé poznamenávam, že hoci v článku 83 ods. 2 GDPR nie je výslovne uvedené, že porušenie muselo byť spáchané „úmyselne alebo z nedbanlivosti“, to isté nemožno povedať o odseku 3 tohto ustanovenia, ktorý obsahuje všeobecné pravidlo, ktoré bráni kumulácií správnych pokút. V tomto odseku je spomenutá len situácia, keď k príslušnému porušeniu alebo k príslušným porušeniam došlo „úmyselne alebo z nedbanlivosti“. |
|
72. |
Podľa môjho názoru z toho logicky vyplýva, že článok 83 ods. 2 GDPR sa má vykladať v tom zmysle, že pokutu možno uložiť len v prípade, ak bolo údajné porušenie spáchané úmyselne alebo z nedbanlivosti. Ak by totiž odseky 2 a 3 článku 83 GDPR mali odlišnú pôsobnosť, bolo by možné uložiť kumulované pokuty za menej závažné porušenia (teda porušenia, ktoré boli spáchané bez akéhokoľvek zavinenia), keďže by síce stále mohli viesť k uloženiu pokuty na základe prvého z týchto ustanovení (článok 83 ods. 2), no nevzťahovalo by sa na ne druhé uvedené ustanovenie (článok 83 ods. 3). To by však nebolo možné v prípade porušení spáchaných z nedbanlivosti alebo úmyselne, keďže na všetky tieto porušenia by sa vzťahovalo pravidlo zakazujúce kumuláciu obsiahnuté v článku 83 ods. 3 tohto nariadenia. Taký výsledok by jednoznačne odporoval základnej zásade systému sankcií zavedeného prostredníctvom GDPR, podľa ktorej by sa závažné porušenia v zásade mali sankcionovať prísnejšie než menej závažné porušenia, a nie naopak. |
|
73. |
Po tretie poukazujem na to, že pokuty uložené na základe článku 83 GDPR môžu predstavovať prísne sankcie. V rámci prvého stupňa, ktorý je upravený v článku 83 ods. 4 tohto nariadenia, totiž možno uložiť pokuty až do výšky 10000000 eur, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia. V rámci druhého stupňa sú stanovené pokuty až do výšky 20000000 eur, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok (opäť podľa toho, ktorá suma je vyššia). |
|
74. |
Preto sa domnievam, že pokuty uložené na základe článku 83 GDPR sledujú – aspoň v niektorých situáciách ( 39 ) – represívne ciele a majú taký vysoký stupeň prísnosti, že môžu mať trestnoprávnu povahu ( 40 ), a preto patria do pôsobnosti článku 49 Charty základných práv Európskej únie (ďalej len „Charta“). ( 41 ) |
|
75. |
Vzhľadom na tieto okolnosti a najmä na trestnoprávnu povahu pokút uložených na základe článku 83 GDPR sa môže zdať opodstatnené tvrdiť, že s požiadavkou stanovenou v odseku 1 tohto ustanovenia, aby pokuty boli vo všetkých prípadoch nielen „účinné“ a „odrádzajúce“, ale aj „primerané“, by bolo nezlučiteľné, ak by sa povolilo ukladanie takých pokút bez zavinenia. Inak povedané, bolo by neprimerané ukladať pokuty v prípadoch, keď nie je preukázaná ani nedbanlivosť. Podľa môjho názoru však tento argument sotva môže obstáť, keďže Súdny dvor už konštatoval, že systém sankcií alebo trestov založený na objektívnej zodpovednosti, aj keď má trestnoprávnu povahu, sám osebe nie je neprimeraný sledovaným cieľom, ak tento systém svojou povahou podnecuje dotknuté osoby k dodržiavaniu ustanovení určitého nariadenia a ak sledované ciele predstavujú všeobecný záujem, na základe ktorého možno odôvodniť zavedenie tohto systému. ( 42 ) Okrem toho Európsky súd pre ľudské práva (ESĽP) v súvislosti s článkom 7 Európskeho dohovoru o ľudských právach (EDĽP) (ktorý zodpovedá článku 49 Charty) ( 43 ) konštatoval, že hoci na uloženie sankcie podľa tohto ustanovenia sa vo všeobecnosti vyžaduje, aby existovala morálna väzba, prostredníctvom ktorej možno zistiť prvok zodpovednosti v správaní osoby, ktorá fyzicky spáchala delikt, táto požiadavka nebráni existencii určitých foriem objektívnej zodpovednosti. ( 44 ) |
|
76. |
Vzhľadom na vyššie uvedené sa na základe judikatúry domnievam, že na to, aby bolo možné uložiť sankciu trestnoprávnej povahy, sa vo všeobecnosti vyžaduje subjektívny prvok a že objektívna zodpovednosť teda predstavuje v istom zmysle „výnimku“ z tohto všeobecného pravidla, keďže musí byť odôvodnená so zreteľom na ciele sledované právnym predpisom. |
|
77. |
S prihliadnutím na GDPR ako celok sa domnievam, že normotvorca Únie zaviedol správne pokuty len ako jeden z nástrojov upravených v tomto právnom predpise na zabezpečenie jeho skutočného dodržiavania. Pokuty sa totiž musia ukladať „popri“ opatreniach uvedených v článku 58 ods. 2 tohto nariadenia „alebo namiesto nich“, v dôsledku čoho majú dozorné orgány celú škálu nápravných právomocí (ako je právomoc upozorňovať, napomínať alebo niečo nariadiť). ( 45 ) Okrem toho v situáciách, keď sa neuloží správna pokuta na základe článku 83 GDPR, dozorné orgány majú možnosť uložiť iné sankcie podľa článku 84 tohto nariadenia. ( 46 ) |
|
78. |
Podľa môjho názoru z týchto ustanovení jasne vyplýva, že normotvorca Únie pri prijímaní tohto nariadenia nemal v úmysle dosiahnuť, aby za každé porušenie pravidiel ochrany údajov bolo možné uložiť správnu pokutu. Naopak chcel zaviesť pružný a diferencovaný systém sankcií a trestov. Potvrdzuje to odôvodnenie 148 GDPR, v ktorom sa uvádza, že dozorné orgány môžu upustiť od uloženia správnej pokuty a namiesto nej udeliť napomenutie v prípade „menej závažného porušenia, alebo ak by pravdepodobne uložená pokuta predstavovala pre fyzickú osobu neprimeranú záťaž“. V tomto kontexte je obmedzenie uplatňovania článku 83 GDPR na situácie, v ktorých je ako minimálna požiadavka preukázaná nedbanlivosť, podľa môjho názoru v súlade s týmito cieľmi a celkovou systematikou týchto rôznych ustanovení, podľa ktorých by ukladanie správnych pokút malo byť vyhradené pre určité typy porušení. |
|
79. |
Tiež sa domnievam, že keď normotvorca Únie prejavil zámer zaviesť v GDPR objektívnu alebo predpokladanú zodpovednosť, urobil to tak, že použil osobitnú formuláciu, ktorá sa v článku 83 tohto nariadenia nenachádza. Napríklad v súvislosti so zodpovednosťou za škodu (teda zodpovednosťou prevádzkovateľov a sprostredkovateľov voči dotknutým osobám), na ktorú sa vzťahuje článok 82 GDPR, normotvorca Únie uviedol, že prevádzkovateľ alebo sprostredkovateľ má striktnú povinnosť nahradiť škodu, ktorú spôsobí dotknutej osobe, okrem prípadu, že dokáže preukázať, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu. ( 47 ) Článok 83 tohto nariadenia naopak neobsahuje podobnú formuláciu ako článok 84 GDPR. Podľa môjho názoru to potvrdzuje, že normotvorca Únie nemal v úmysle zaviesť prostredníctvom tohto ustanovenia systém pokút založený na objektívnej alebo predpokladanej zodpovednosti. |
|
80. |
Po štvrté – a to je azda najdôležitejšie – sa domnievam, že v praxi je dolná hranica nedbanlivostného porušenia GDPR v zmysle článku 83 ods. 2 písm. b) tohto nariadenia v každom prípade taká nízka, že je ťažké predstaviť si situácie, v ktorých nemožno uložiť pokutu len preto, lebo táto podmienka nie je splnená. Z tohto dôvodu sa domnievam, že samotná skutočnosť, že pred uložením pokuty na základe článku 83 tohto nariadenia sa musí preukázať úmysel alebo nedbanlivosť, neohrozuje cieľ normotvorcu Únie, ktorým je zaručiť účinné presadzovanie pravidiel ochrany údajov obsiahnutých v tomto nariadení, ale práve naopak. |
|
81. |
Niektorí autori v tejto súvislosti uviedli, že už samotné nekonanie v situácii, keď má prevádzkovateľ alebo sprostredkovateľ iba pochybnosti o zákonnosti vykonávaného spracúvania, predstavuje zámernú akceptáciu potenciálneho porušenia GDPR, a teda hrubú nedbanlivosť. ( 48 ) Okrem toho Pracovná skupina podľa článku 29 uviedla, že nedbanlivostné porušenie sa z mnohých hľadísk rovná „neúmyselnému“ porušeniu, keďže podľa jej názoru také porušenie môže existovať, ak neexistoval úmysel spôsobiť porušenie, a prevádzkovateľ alebo sprostredkovateľ len porušil svoju povinnosť náležitej starostlivosti. ( 49 ) Najmä uviedla, že dokonca aj samotné „ľudské zlyhanie“ ( 50 ) môže naznačovať nedbanlivosť. |
|
82. |
Do úvahy prichádzajú dva závery. Po prvé hranica medzi úplne neúmyselným porušením bez zavinenia a nedbanlivostným porušením je v skutočnosti veľmi tenká. Domnievam sa, že pre dozorné orgány bude zriedkakedy ťažké nájsť dostatok dôkazov o tom, že k údajnému porušeniu došlo aspoň z nedbanlivosti. V tejto súvislosti poznamenávam, že v literatúre bolo uvedené, že „vzhľadom na informačné kampane zamerané na zabezpečenie dodržiavania GDPR…, ktorých je v súčasnosti mnoho…, je ťažké predstaviť si… porušenia GDPR, ktoré by neboli spáchané aspoň z nedbanlivosti“. ( 51 ) Úplne súhlasím a pripomínam, že GDPR má konkrétne za cieľ zabezpečiť, aby si prevádzkovatelia a sprostredkovatelia boli vedomí pravidiel ochrany údajov, v dôsledku čoho je podľa môjho názoru ešte ťažšie domnievať sa, že k porušeniu by mohlo dôjsť bez akéhokoľvek zavinenia (dokonca aj bez nedbanlivosti). ( 52 ) |
|
83. |
Po druhé sa zdá, že tento výsledok je v úplnom súlade s primárnym cieľom GDPR, ktorým je zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb v rámci Únie. ( 53 ) Pokuty majú totiž odrádzajúci účinok. ( 54 ) Vďaka tomu, že motivujú prevádzkovateľov a sprostredkovateľov, aby dodržiavali GDPR, celkovo prispievajú k posilneniu ochrany dotknutých osôb, a preto sú kľúčovým prvkom pri zabezpečení dodržiavania ich práv. ( 55 ) Podľa môjho názoru z toho vyplýva, že hoci „zavinenie“ je nevyhnutné, miera zavinenia potrebná na uplatnenie článku 83 tohto nariadenia je dostatočne nízka na to, aby mali dotknuté osoby zaručenú primeranú úroveň ochrany. |
|
84. |
Okrem toho by som chcel zdôrazniť, že prístup, ktorý Súdnemu dvoru odporúčam použiť, by tiež potvrdil zosúladenie systému ukladania pokút zavedeného týmto ustanovením so systémom ukladania pokút za porušenia práva hospodárskej súťaže, ktorý je upravený v článku 23 ods. 1 nariadenia (ES) č. 1/2003 ( 56 ) a ktorý sa uplatní len v prípade preukázania úmyslu alebo nedbanlivosti. Skutočnosť, že znenie článku 83 GDPR vychádza z tohto druhého systému ukladania pokút, potvrdzuje odôvodnenie 150 tohto nariadenia, v ktorom sa uvádza, že „keď sa správne pokuty ukladajú podniku, podnik by sa mal na tieto účely považovať za podnik v súlade s článkami 101 a 102 ZFEÚ“, a potvrdzujú ju tiež iné podobnosti medzi týmito dvoma systémami ukladania pokút, ako je skutočnosť, že výška pokút môže byť v prípade podnikov v oboch systémoch založená na ich obrate. Tiež poznamenávam, že viaceré z okolností vymenovaných v článku 83 ods. 2 GDPR odzrkadľujú okolnosti, ktoré sú relevantné pre určenie výšky pokuty za porušenia práva hospodárskej súťaže. ( 57 ) |
|
85. |
Po objasnení dôvodov, pre ktoré sa domnievam, že na to, aby bolo možné prevádzkovateľovi alebo sprostredkovateľovi uložiť pokutu na základe článku 83 ods. 2 GDPR, musí byť preukázané zavinenie, sa musím ešte v krátkosti vyjadriť k argumentácii, ktorú uvádza Rada a litovská vláda. Podľa týchto účastníkov konania prináleží členským štátom rozhodnúť, či je zavinenie predpokladom možnosti uložiť správnu pokutu. |
|
86. |
S týmto tvrdením jednoducho nesúhlasím. |
b) Prečo členské štáty nemajú žiadnu mieru voľnej úvahy, pokiaľ ide o požiadavku týkajúcu sa zavinenia
|
87. |
Podľa môjho názoru je jasné, že jedným zo základných cieľov GDPR a najmä článku 83 tohto nariadenia je dosiahnuť vyššiu úroveň harmonizácie na celom území Únie, pokiaľ ide osobitne o ukladanie pokút. ( 58 ) Z tohto dôvodu sa domnievam, že – v rozpore s tým, čo uviedla Rada a litovská vláda – normotvorca Únie nemal v úmysle priznať členským štátom voľnú úvahu, pokiaľ ide o požiadavku týkajúcu sa zavinenia. |
|
88. |
Je pravda, že vo vnútroštátnych predpisoch môžu byť stanovené dodatočné požiadavky týkajúce sa postupu, ktorý musia dodržiavať dozorné orgány pri ukladaní pokuty (pokiaľ ide o otázky, ako je oznámenie rozhodnutia o pokuty a lehoty na predloženie vyjadrení, odvolanie, nútený výkon a zaplatenie). ( 59 ) Jednoznačne to vyplýva z článku 83 ods. 8 GDPR, v ktorom sa uvádza, že výkon právomocí ukladať pokuty, ktoré majú dozorné orgány, „podlieha primeraným procesným zárukám“, ktoré má stanoviť vnútroštátne právo, pokiaľ je zaručené dodržiavanie práva Únie (a najmä práva na účinný súdny prostriedok nápravy a riadneho procesu). |
|
89. |
Táto voľná úvaha sa však nemôže vzťahovať aj na hmotnoprávne požiadavky, ktoré sa uplatňujú pri ukladaní pokuty, ako je miera zavinenia. Podľa môjho názoru tento záver priamo vyplýva z viacerých odôvodnení tohto nariadenia, ( 60 ) v ktorých sa uvádza, že normotvorca Únie chcel dosiahnuť, aby systém správnych pokút zavedený článkom 83 GDPR viedol na celom území Únie ku koherentným výsledkom. |
|
90. |
Pre úplnosť dodávam, že vzhľadom na to, že pokuty majú veľký vplyv na hospodársku súťaž medzi podnikmi a významné dôsledky pre trh, podľa môjho názoru je podstatné, aby sa článok 83 GDPR uplatňoval koherentne, keďže v opačnom prípade by v skutočnosti mohol prispieť k narúšaniu hospodárskej súťaže medzi podnikmi. ( 61 ) |
2. Druhý aspekt: možno prevádzkovateľovi uložiť pokutu za porušenie spáchané za okolností, keď nezákonné spracúvanie nevykonával on sám, ale sprostredkovateľ?
|
91. |
V druhej časti šiestej otázky sa vnútroštátny súd v podstate pýta, či možno prevádzkovateľovi uložiť pokutu na základe článku 83 GDPR za okolností, keď nezákonné spracúvanie osobných údajov nevykonával samotný prevádzkovateľ, ale sprostredkovateľ (v tomto prípade ITSS). |
|
92. |
Podľa môjho názoru treba na túto otázku odpovedať kladne. |
|
93. |
V tejto súvislosti pripomínam, že – ako som uviedol v bode 27 vyššie – prevádzkovateľ nemusí sám spracúvať žiadne z osobných údajov, pokiaľ určí „dôvod a spôsob“ vykonávania príslušných spracovateľských operácií. Ďalej poznamenávam, že v článku 4 ods. 8 GDPR je „sprostredkovateľ“ vymedzený ako „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“. ( 62 ) |
|
94. |
Tieto definície podľa môjho názoru potvrdzujú, že v kontexte uplatňovania GDPR možno vyvodiť zodpovednosť prevádzkovateľa, a preto mu možno uložiť pokutu na základe článku 83 tohto nariadenia v situácii, keď sa osobné údaje spracúvajú nezákonne, a toto nezákonné spracúvanie nevykonával samotný prevádzkovateľ, ale sprostredkovateľ. Táto možnosť existuje, kým taký sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa. |
|
95. |
Tak to bude, pokiaľ sprostredkovateľ koná v rámci poverenia, ktoré mu udelil prevádzkovateľ, a spracúva údaje v súlade s pokynmi, ktoré dostal od prevádzkovateľa a ktoré sú v súlade so zákonom. ( 63 ) Ak však sprostredkovateľ prekročí rozsah tohto poverenia a použije údaje, ktoré získal ako sprostredkovateľ, na vlastné účely a je jasné, že tieto subjekty nie sú „spoločnými prevádzkovateľmi“ v zmysle článku 4 ods. 7 a článku 21 ods. 6 GDPR, v takom prípade prevádzkovateľovi nemožno podľa môjho názoru na základe článku 83 tohto nariadenia uložiť pokutu za nezákonné spracúvanie, ku ktorému došlo. ( 64 ) |
|
96. |
Z toho vyplýva, že v prípade, o aký ide v konaní vo veci samej, možno uložiť NVSC pokutu na základe článku 83 GDPR, aj keď osobné údaje nezákonne spracúvala len ITSS a NVSC sa vôbec nepodieľalo na tomto spracúvaní. Táto možnosť existuje, pokiaľ sa možno domnievať, že uvedená spoločnosť spracúvala osobné údaje v mene NVSC, čo nebude tak, ak ITSS konala mimo rámca pokynov NVSC, ktoré sú v súlade so zákonom, alebo v rozpore s nimi a využívala osobné údaje na vlastné účely a je jasné, že NVSC a ITSS nekonali ako spoloční prevádzkovatelia. |
V. Návrh
|
97. |
Vzhľadom na vyššie uvedené navrhujem, aby Súdny dvor odpovedal na prejudiciálne otázky, ktoré mu položil Vilniaus apygardos administracinis teismas (Krajský správny súd Vilnius, Litva), takto:
|
( 1 ) Jazyk prednesu: angličtina.
( 2 ) Nariadenie Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1) (ďalej len „GDPR“).
( 3 ) Medzi osobné údaje zbierané v mobilnej aplikácii KARANTINAS od jej používateľov patrili tieto údaje: identifikačné číslo, súradnice zemepisnej šírky a dĺžky, krajina, mesto, obec, adresa bydliska, meno, priezvisko, rodné číslo, telefónne číslo, či sa osoba musí izolovať, či sa zaregistrovala atď. Tieto údaje sa zbierali nielen v Litve, ale aj v zahraničí.
( 4 ) Článok 5 GDPR obsahuje zoznam všeobecných zásad, ktorých dodržiavanie musia prevádzkovatelia zabezpečiť pri spracúvaní osobných údajov. V článku 13 tohto nariadenia sú vymenované informácie, ktoré musia prevádzkovatelia poskytovať dotknutým osobám pri získavaní osobných údajov od týchto osôb. Článok 24 tohto nariadenia stanovuje, že prevádzkovatelia musia okrem iného prijať vhodné technické a organizačné opatrenia, aby zabezpečili (a boli schopní preukázať), že spracúvanie sa vykonáva v súlade s príslušnými pravidlami ochrany údajov. Článok 32 GDPR sa týka bezpečnosti spracúvania a ukladá v tejto súvislosti povinnosti tak prevádzkovateľom, ako aj sprostredkovateľom, zatiaľ čo článok 35 tohto nariadenia sa týka povinnosti prevádzkovateľov vykonať pred uskutočnením určitých typov spracúvania posúdenie vplyvu na ochranu údajov.
( 5 ) Podľa článku 29 GDPR „sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu“.
( 6 ) Poznamenávam, že osobné údaje týkajúce sa zdravia predstavujú „osobitnú kategóriu osobných údajov“, ktorých spracúvanie článok 9 GDPR zakazuje, pokiaľ sa neuplatní jeden z dôvodov vymenovaných v odseku 2 tohto ustanovenia – napríklad skutočnosť, že spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia [písmeno i)] alebo na účely preventívneho alebo pracovného lekárstva [písmeno h)]. V nadväznosti na to poznamenávam, že otázky položené Súdnemu dvoru v prejednávanej veci sa netýkajú zákonnosti takého spracúvania, ale skôr podmienok, za ktorých možno vyvodiť zodpovednosť subjektu, akým je NVSC, za spracúvanie, ktoré uskutočnil vývojár takej mobilnej aplikácie (v tomto prípade ITSS).
( 7 ) Na základe informácií uvedených v spise a poskytnutých na pojednávaní nie je jasné, či sa mesto Vilnius podieľalo na vývoji mobilnej aplikácie KARANTINAS.
( 8 ) Ako vysvetlím v bode 46 nižšie, z návrhu na začatie prejudiciálneho konania vyvodzujem, že mobilná aplikácia KARANTINAS pred tým, ako bola sprístupnená na stiahnutie verejnosti, prešla testovacou fázou. Podľa môjho názoru sa teda štvrtá otázka týka využívania osobných údajov, ku ktorému došlo počas tejto testovacej fázy, na rozdiel od využívania osobných údajov, ku ktorému došlo v neskoršej fáze, keď bola mobilná aplikácia KARANTINAS sprístupnená na stiahnutie verejnosti.
( 9 ) Pozri RÜCKER, D., KUGLER, T.: New European General Data Protection Regulation: A Practitioner’s Guide. Oxford: C. H. Beck, Hart, Nomos, 2018, s. 27. Podľa týchto autorov je najdôležitejšou charakteristikou prevádzkovateľa to, že určí výsledky, ktoré sa majú dosiahnuť, a nie prostriedky alebo „spôsob“ spracúvania, ktoré možno – aspoň v ich nepodstatných aspektoch – zveriť sprostredkovateľovi bez straty postavenia prevádzkovateľa.
( 10 ) Pozri rozsudok z 10. júla 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 68). Tento rozsudok sa týkal výkladu pojmu „prevádzkovateľ“, ktorý bol vymedzený v článku 2 písm. d) smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355). Hoci táto smernica už nie je účinná a nahradilo ju GDPR, výklad, ktorý podal Súdny dvor v súvislosti s týmto ustanovením, je naďalej relevantný v kontexte uplatňovania GDPR, keďže definícia tohto pojmu je v oboch predpisoch – s výnimkou menších formálnych úprav – naďalej rovnaká. Na rozsudky týkajúce sa jedného alebo druhého predpisu budem teda odkazovať bez rozlišovania.
( 11 ) Pozri rozsudok z 10. júla 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 67).
( 12 ) Pozri usmernenia 07/2020 k pojmom prevádzkovateľ a sprostredkovateľ podľa všeobecného nariadenia o ochrane údajov, ktoré vypracoval EDPB, verzia 2.1, zo 7. júla 2021 (ďalej len „usmernenia 07/2020“, dostupné na tejto adrese: https://edpb.europa.eu/system/files/2022‑02/eppb_guidelines_202007_controllerprocessor_final_sk.pdf), s. 3 a body 21 a 25 až 27.
( 13 ) Rozsudok z 29. júla 2019 (C‑40/17, EU:C:2019:629, bod 85).
( 14 ) Pozri tiež usmernenia 07/2020, bod 42.
( 15 ) Pozri článok 26 ods. 3 GDPR, podľa ktorého „môže dotknutá osoba uplatniť svoje práva podľa [GDPR] u každého prevádzkovateľa a voči každému prevádzkovateľovi“. Pozri tiež článok 82 ods. 4 a 5 tohto nariadenia.
( 16 ) Pozri v tejto súvislosti rozsudok z 29. júla 2019, Fashion ID (C‑40/17, EU:C:2019:629, bod 67 a tam citovaná judikatúra).
( 17 ) Pozri v tomto zmysle rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, bod 43).
( 18 ) Pozri rozsudok z 10. júla 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 69 a tam citovaná judikatúra).
( 19 ) Pozri usmernenia 07/2020, s. 3 a body 54 a 55.
( 20 ) Bolo by totiž do určitej miery rozporuplné, ak by bolo možné bez ohľadu na formálne požiadavky považovať osobu alebo subjekt za „prevádzkovateľa“, ale nebolo by možné považovať ten istý subjekt a iný subjekt za „spoločných prevádzkovateľov“.
( 21 ) Pozri usmernenia 07/2020, bod 52.
( 22 ) Pozri v tejto súvislosti usmernenia 07/2020, bod 69.
( 23 ) Poukazujem na to, že vnútroštátny súd v štvrtej otázke spomína použitie „kópií osobných údajov“, a nie osobných údajov. Musím priznať, že mi nie je jasné, čo tento súd myslí pod pojmom „kópie osobných údajov“, keďže osobné údaje môžu existovať v nehmotnej podobe a – ako sa jasne uvádza v článku 4 ods. 1 GDPR – pojem „osobné údaje“ je vymedzený ako „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby“ (kurzívou zvýraznil generálny advokát), pričom sa vôbec nevyžaduje, aby boli osobné údaje „skopírované“ alebo prepísané na konkrétne zariadenie alebo nosič. Podľa môjho názoru fyzický objekt (napríklad výtlačky) alebo prípadne elektronické súbory, v ktorých sú osobné údaje dostupné, nie sú relevantné pre posúdenie otázky, či určitý súbor operácií týkajúcich sa osobných údajov možno označiť za „spracúvanie“ v zmysle článku 4 ods. 2 tohto nariadenia. Vo svojej odpovedi na štvrtú otázku teda budem odkazovať na „osobné údaje“, a nie na „kópie osobných údajov“.
( 24 ) Kurzívou zvýraznil generálny advokát.
( 25 ) Podľa článku 4 ods. 2 GDPR „spracúvanie“ zahŕňa operácie, ako je „získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia“.
( 26 ) Pozri predchádzajúcu poznámku pod čiarou.
( 27 ) Medzi „osobné údaje“ v zmysle článku 4 ods. 1 GDPR, vykladaného v spojení s odôvodnením 26 tohto nariadenia, totiž patria osobné údaje, ktoré boli pseudonymizované, ale ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe.
( 28 ) Vnútroštátny súd v návrhu na začatie prejudiciálneho konania uvádza, že niektoré, ale nie všetky osobné údaje použité na účely testovacej fázy mohli pozostávať z „falošných“ údajov. Podrobnejšie však nerozoberá, čo myslí pod týmto pojmom. V tejto súvislosti chcem len uviesť, že podľa môjho názoru možno informácie označiť za „osobné údaje“ v zmysle článku 4 ods. 1 GDPR bez ohľadu na to, či obsahujú pravdivé alebo falošné údaje. Ako som uviedol, dôležité je len to, že tieto informácie sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby. Ak sú tieto údaje úplne vymyslené, takže nemožno konštatovať, že sa týkajú identifikovanej alebo identifikovateľnej osoby, v takom prípade podľa môjho názoru nie sú „osobnými údajmi“ a na spracúvanie týchto údajov sa neuplatní GDPR. Toto nariadenie sa však stále uplatní, pokiaľ ide o ostatné údaje zbierané počas tejto fázy, ktoré „nie sú falošné“.
( 29 ) Chcel by som pripomenúť, že využívanie osobných údajov na účely testovania IT systémov zabudovaných v mobilnej aplikácii predstavuje iné „spracúvanie“ než spracúvanie, ku ktorému dochádza, keď sa tá istá mobilná aplikácia sprístupní na stiahnutie verejnosti. Je teda potrebné samostatne posúdiť, kto je „prevádzkovateľ“, „sprostredkovateľ“ alebo „spoločný prevádzkovateľ“.
( 30 ) Pozri článok 24 smernice 95/46.
( 31 ) Pozri usmernenia týkajúce sa používania a stanovovania správnych pokút na účely [GDPR], ktoré vypracovala Pracovná skupina pre ochranu údajov podľa článku 29, z 3. októbra 2017, s. 4. Túto pracovnú skupinu následne nahradil EDPB. Jej usmernenia týkajúce sa používania a stanovovania správnych pokút však naďalej platia.
( 32 ) Pozri napríklad niekoľkomiliónovú pokutu, ktorú v januári 2019 uložil francúzsky úrad pre ochranu údajov spoločnosti Google (https://edpb.europa.eu/news/national‑news/2019/cnils‑restricted‑committee‑imposes‑financial‑penalty‑50‑million‑euros_en).
( 33 ) Konkrétne v článku 83 ods. 2 písm. b) tohto nariadenia. Ostatné skutočnosti vymenované v článku 83 ods. 2 písm. a) až k) súvisia buď so samotným porušením – napríklad jeho povaha, závažnosť a trvanie [písmeno a)] alebo kategórie osobných údajov, ktorých sa porušenie týka [písmeno g)] –, alebo s prevádzkovateľom alebo sprostredkovateľom, ktorému by bola uložená pokuta – konkrétne miera ich zodpovednosti [písmeno d)], ich správanie v minulosti, ako sú relevantné predchádzajúce porušenia [písmeno e)] a predchádzajúce opatrenia, ktoré boli voči nim prijaté [písmeno i)], a ich následné správanie vrátane toho, či oznámili porušenie [písmeno h)], kroky, ktoré podnikli s cieľom zmierniť škodu [písmeno c)], a to, do akej miery spolupracovali s dozorným orgánom pri náprave porušenia a zmiernení jeho možných nepriaznivých dôsledkov [písmeno f)]. Okrem toho treba náležite zohľadniť „akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením“ [písmeno k)].
( 34 ) Návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov), COM(2012) 11 final (ďalej len „pôvodný návrh Komisie na prijatie nariadenia“).
( 35 ) Pozri článok 79 ods. 4, 5 a 6 pôvodného návrhu Komisie na prijatie nariadenia. Poznamenávam, že „úmyselný alebo nedbanlivostný“ charakter porušenia bol tiež zahrnutý v zozname okolností, ktoré bolo potrebné vziať do úvahy pri stanovovaní výšky pokuty, uvedenom v článku 79 ods. 2 tohto nariadenia (kurzívou zvýraznil generálny advokát).
( 36 ) Táto formulácia bola neskôr zmenená a slovné spojenie „úmyselne alebo z nedbanlivosti“ sa už nenachádza v ustanoveniach, ktoré vymedzujú tieto dva stupne systému ukladania pokút zavedeného prostredníctvom GDPR.
( 37 ) Kurzívou zvýraznil generálny advokát.
( 38 ) K rovnakému záveru možno dospieť aj na základe ostatných jazykových verzií článku 83 ods. 2 GDPR, najmä českej, gréckej, španielskej, francúzskej a talianskej jazykovej verzie. Poukazujem však na to, že v talianskej verzii je v prípade článku 83 ods. 2 písm. c) tohto nariadenia, ktorý sa týka krokov, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu, použitý určitý člen („le“), a nie pojem „akékoľvek“ („eventuali“).
( 39 ) Pracovná skupina podľa článku 29 sa domnieva, že správne pokuty sú „nápravné opatrenia“, ktorých cieľom môže byť „buď nastoliť opätovný súlad s pravidlami, alebo postihnúť nezákonné správanie (alebo oboje)“ (kurzívou zvýraznil generálny advokát) – pozri usmernenia týkajúce sa používania a stanovovania správnych pokút na účely [GDPR], ktoré vypracovala Pracovná skupina pre ochranu údajov podľa článku 29, z 3. októbra 2017, s. 6.
( 40 ) Pozri analogicky rozsudok z 2. februára 2021, Consob (C‑481/19, EU:C:2021:84, bod 43). Pripomínam, že na posúdenie trestnoprávnej povahy sankcií sú relevantné tri kritériá: prvým kritériom je právna kvalifikácia porušenia vo vnútroštátnom práve, druhé sa týka samotnej povahy porušenia a tretie sa vzťahuje na stupeň prísnosti sankcie, ktorá hrozí dotknutej osobe (pozri bod 42 tohto rozsudku, ako aj rozsudok z 5. júna 2012, Bonda, C‑489/10, EU:C:2012:319, bod 37; pozri tiež ESĽP, 8. júna 1976, Engel a i. v. Holandsko, CE:ECHR:1976:0608JUD000510071, bod 82). Na to, aby sa pokuta považovala za sankciu trestnoprávnej povahy, nemusia byť splnené všetky kritériá – pozri v tejto súvislosti návrhy, ktoré predniesol generálny advokát Bot vo veci ThyssenKrupp Nirosta/Komisia (C‑352/09 P, EU:C:2010:635, bod 50 a tam citovaná judikatúra).
( 41 ) Článok 49 Charty, ktorý je nazvaný „Zásady zákonnosti a primeranosti trestných činov a trestov“, v odseku 3 stanovuje, že „prísnosť trestov nesmie byť neprimeraná trestnému činu“.
( 42 ) Pozri rozsudky z 9. februára 2012, Urbán (C‑210/10, EU:C:2012:64, bod 48); z 13. novembra 2014, Reindl (C‑443/13, EU:C:2014:2370, bod 42); z 20. decembra 2017, Global Starnet (C‑322/16, EU:C:2017:985, bod 63), a z 22. marca 2017, Euro‑Team a Spirál‑Gép (C‑497/15 a C‑498/15, EU:C:2017:229, body 53 a 54). Tieto rozsudky svedčia o tom, že uvedená judikatúra bola uplatnená na rôzne oblasti práva Únie.
( 43 ) Pozri vysvetlivky k Charte základných práv (Ú. v. EÚ C 303, 2007, s. 17). Podľa článku 52 ods. 3 Charty úroveň ochrany zabezpečená článkom 49 Charty nemôže byť nižšia ako úroveň ochrany, ktorá je zaručená článkom 7 EDĽP.
( 44 ) Pozri ESĽP (veľká komora), 28. júna 2018, GIEM s.r.l. a i. v. Taliansko (CE:ECHR:2018:0628JUD000182806, body 242 a 243).
( 45 ) Pozri článok 58 ods. 2 písm. i) a článok 83 ods. 2 GDPR.
( 46 ) Podľa článku 84 ods. 1 GDPR „členské štáty stanovia pravidlá pre iné sankcie za porušenia…, predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania“. V odôvodnení 152 tohto nariadenia je vysvetlené, že článok 84 sa uplatní v prípadoch, keď sa prostredníctvom GDPR „neharmonizujú správne sankcie alebo, ak je to potrebné aj v iných prípadoch, napríklad v prípade závažného porušenia“.
( 47 ) Pozri v tejto súvislosti CHAMBERLAIN, J., REICHEL, J.: The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation. In: Mississippi Law Journal, 2020, roč. 89, č. 4, s. 677 až 679.
( 48 ) Pozri NEMITZ, P.: Fines under the GDPR. In: LEENES, R., VAN BRAKEL, R., GUTWIRTH, S., DE HERT, P.: Data Protection and Privacy: The Internet of Bodies. Oxford: Hart Publishing, 2019, s. 241.
( 49 ) Naopak vymedzila pojem „úmysel“ v tom zmysle, že zahŕňa vedomie aj úmysel v súvislosti s povahou priestupku – pozri usmernenia týkajúce sa používania a stanovovania správnych pokút na účely [GDPR], ktoré vypracovala Pracovná skupina pre ochranu údajov podľa článku 29, z 3. októbra 2017, s. 11.
( 50 ) Tamže, s. 12. Medzi ďalšie uvedené okolnosti patrí samotné neprečítanie si a nerešpektovanie existujúcich politík, neskontrolovanie osobných údajov vo zverejnených informáciách, neuplatnenie včasných technických aktualizácií či neprijatie politík.
( 51 ) Pozri NEMITZ, P.: Fines under the GDPR. In: LEENES, R., VAN BRAKEL, R., GUTWIRTH, S., DE HERT, P.: Data Protection and Privacy: The Internet of Bodies. Oxford: Hart Publishing, 2019, s. 240.
( 52 ) Pozri odôvodnenia 122 a 132 GDPR.
( 53 ) Pozri najmä odôvodnenie 1 GDPR, v ktorom sa – s odkazom na článok 8 ods. 1 Charty a článok 16 ods. 1 ZFEÚ – pripomína, že ochrana osobných údajov patrí medzi základné práva. Pozri tiež odôvodnenia 10, 11 a 13 GDPR a rozsudok z 24. septembra 2019, Google (Územná pôsobnosť odstránenia odkazov) (C‑507/17, EU:C:2019:772, bod 54).
( 54 ) Pozri odôvodnenie 148 GDPR.
( 55 ) Pozri CHAMBERLAIN, J., REICHEL, J.: The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation. In: Mississippi Law Journal, 2020, roč. 89, č. 4, s. 685.
( 56 ) Nariadenie Rady zo 16. decembra 2002 o vykonávaní pravidiel hospodárskej súťaže stanovených v článkoch [101 a 102 ZFEÚ] (Ú. v. ES L 1, 2003, s. 1; Mim. vyd. 08/002, s. 205).
( 57 ) Pozri rozsudok z 8. decembra 2011, Chalkor/Komisia (C‑386/10 P, EU:C:2011:815, body 56 a 57 a tam citovaná judikatúra). V tejto súvislosti poznamenávam, že hoci úmysel alebo nedbanlivosť musia byť preukázané pred uložením pokuty za porušenie právnych predpisov týkajúcich sa hospodárskej súťaže, táto požiadavka je v praxi tiež veľmi mierna. Súdny dvor totiž rozhodol, že táto podmienka je splnená tým, že daný podnik nemôže nevedieť o protisúťažnej povahe svojho konania, či už si uvedomoval porušovanie súťažných pravidiel, alebo nie [pozri rozsudok z 10. júla 2014, Telefónica a Telefónica de España/Komisia (C‑295/12 P, EU:C:2014:2062, bod 156 a tam citovaná judikatúra)].
( 58 ) Pozri napríklad odôvodnenie 9 GDPR, v ktorom sa uvádza, že rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb, „bráni[a] voľnému toku osobných údajov“ a „predstav[ujú] prekážku pri vykonávaní hospodárskych činností na úrovni Únie“.
( 59 ) Pozri odôvodnenie 129 [„to by nemalo vylučovať ďalšie požiadavky podľa procesného práva členského štátu“ (kurzívou zvýraznil generálny advokát)] a odôvodnenie 150 GDPR. Pozri v tejto súvislosti tiež usmernenia týkajúce sa používania a stanovovania správnych pokút na účely [GDPR], ktoré vypracovala Pracovná skupina pre ochranu údajov podľa článku 29, z 3. októbra 2017, s. 6.
( 60 ) V tejto súvislosti poznamenávam, že v odôvodnení 10 GDPR sa uvádza, že „úroveň ochrany… by mala byť rovnaká vo všetkých členských štátoch“, zatiaľ čo podľa odôvodnení 11, 13 a 129 tohto nariadenia musia existovať zodpovedajúce právomoci na monitorovanie a zabezpečenie súladu a zodpovedajúce sankcie za porušenia v členských štátoch. V odôvodnení 152 tohto nariadenia sa zasa uvádza, že členské štáty by mali zaviesť systém, ktorým sa zabezpečia také sankcie, len pokiaľ sa týmto nariadením neharmonizujú správne sankcie (alebo ak je to inak potrebné) (pozri tiež odôvodnenie 150 GDPR).
( 61 ) Pozri v tejto súvislosti VOSS, W. G., BOUTHINON‑DUMAS, H.: EU General Data Protection Regulation Sanctions in Theory and in Practice. In: Santa Clara High Tech, 2020, roč. 37, s. 44.
( 62 ) Kurzívou zvýraznil generálny advokát.
( 63 ) Podľa článku 29 GDPR „sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu“.
( 64 ) Podľa článku 28 ods. 10 GDPR sa sprostredkovateľ považuje v súvislosti so spracúvaním takých údajov za prevádzkovateľa. Pozri v tejto súvislosti tiež RÜCKER, D., KUGLER, T.: New European General Data Protection Regulation: A Practitioner’s Guide. Oxford: C. H. Beck, Hart, Nomos, 2018, s. 30.