1.

Kateri pogoji morajo biti izpolnjeni, da bi bilo mogoče v svetu, v katerem so osebni podatki postali pogajalsko sredstvo in pomenijo zlato jamo za podjetja, kršitve pravil o varstvu podatkov, ki jih določa Uredba (EU) 2016/679, upravljavce ali obdelovalce kaznovati z upravnimi globami? ( 2 ) Natančneje, ali mora biti izpolnjen element „krivde“, da bi jim bilo mogoče tako globo naložiti? To je osrednje vprašanje, ki ga v tej zadevi postavlja Vilniaus apygardos administracinis teismas (regionalno upravno sodišče v Vilni, Litva).

2.

Spor, do katerega je prišlo med Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (nacionalni center za javno zdravje pri ministrstvu za zdravje, Litva; v nadaljevanju: NVSC) in Valstybinė duomenų apsaugos inspekcija (državni inšpektorat za varstvo podatkov, Litva; v nadaljevanju: inšpektorat) ter o katerem odloča navedeno sodišče, se v bistvu nanaša na vlogo, ki jo je NVSC imel pri razvoju mobilne aplikacije, s katero so se aprila in maja 2020 zbirali osebni podatki oseb, ki so bile v stiku z bolniki, okuženimi z virusom covida‑19, in pri dajanju te aplikacije na voljo javnosti.

3.

V tem okviru daje obravnavana zadeva Sodišču priložnost, da poda dodatna pojasnila v zvezi s pojmi „upravljavec“, „skupni upravljavci“ in „obdelava“, kakor so opredeljeni v členu 4, točka 7, členu 26(1) oziroma členu 4, točka 2, SUVP, in da prvič preuči, ali je mogoče upravno globo v skladu s členom 83 te uredbe naložiti upravljavcu, ki pravil iz te uredbe ni kršil namerno ali iz malomarnosti. Sodišče bo moralo pri oblikovanju odgovora na navedeno vprašanje pojasniti, ali ta določba omogoča, da se globe naložijo tudi ob neobstoju krivde, in sicer na podlagi objektivne odgovornosti.

4.

V uvodni izjavi 148 SUVP je navedeno:

„Da bi okrepili izvrševanje pravil te uredbe, bi bilo treba […] za vsako kršitev uredbe uvesti kazni, vključno z upravnimi globami. V primeru manjših kršitev ali v primeru, ko bi globa, ki bi bila verjetno naložena, predstavljala nesorazmerno breme za fizično osebo, se lahko namesto globe izreče opomin. Vsekakor pa bi bilo treba ustrezno upoštevati naravo, težo in trajanje kršitve, namernost kršitve, sprejete ukrepe za ublažitev utrpljene škode, stopnjo odgovornosti ali morebitne pomembne predhodne kršitve, način, kako se je s kršitvijo seznanil nadzorni organ, skladnost z ukrepi, odrejenimi zoper upravljavca ali obdelovalca, zavezanost h kodeksu ravnanja in morebitne druge oteževalne ali olajševalne dejavnike. Za uvedbo kazni, vključno z upravnimi globami, bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine, vključno z učinkovitim sodnim varstvom in ustreznimi postopki.“

5.

V uvodni izjavi 150 te uredbe je navedeno:

„Za okrepitev in uskladitev upravnih kazni za kršitve te uredbe bi moral imeti vsak nadzorni organ pooblastila za naložitev upravnih glob. Ta uredba bi morala navajati kršitve, zgornjo mejo in merila za določanje s tem povezanih upravnih glob, ki bi jih moral v vsakem posameznem primeru določiti pristojni nadzorni organ ob upoštevanju vseh zadevnih okoliščin v določeni situaciji ter zlasti narave, teže in trajanja kršitve ter njenih posledic in sprejetih ukrepov za zagotavljanje skladnosti z obveznostmi iz te uredbe in za preprečitev ali ublažitev posledic kršitve. […] Naložitev upravne globe ali izdaja opozorila ne vpliva na uporabo drugih pooblastil nadzornih organov ali drugih kazni v skladu s to uredbo.“

6.

V členu 4, točka 7, SUVP je pojem „upravljavec“ opredeljen kot „fizičn[a] ali pravn[a] oseb[a], javni organ, agencij[a] ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave […]“.

7.

Člen 26 te uredbe, naslovljen „Skupni upravljavci“, v upoštevnem delu določa:

„1.   Dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci. […]

[…]“

8.

Člen 83 te uredbe, naslovljen „Splošni pogoji za naložitev upravnih glob“, določa:

„1.   Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.

2.   Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (h) in (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

[…]

3.   Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

[…]“

9.

Člen 72(2) Viešųjų pirkimų įstatymas (zakon o javnem naročanju) določa:

„Javni naročnik izvede postopek s pogajanji brez predhodne objave obvestila o naročilu v naslednjih fazah:

10.

Minister za zdravje Republike Litve (v nadaljevanju: minister za zdravje) je v odziv na razmere, ki so nastale zaradi širjenja covida‑19, sprejel sklep z dne 24. marca 2020, s katerim je direktorju NVSC naročil, naj izvede vse, kar je potrebno za razvoj in nakup mobilne aplikacije, to je aplikacije KARANTINAS. Ta mobilna aplikacija je bila namenjena zbiranju in spremljanju osebnih podatkov posameznikov, ki so bili v stiku z bolniki, okuženimi s covidom‑19. ( 3 )

11.

Oseba, ki se je predstavljala kot zastopnik NVSC, je 27. marca 2020 družbo IT sprendimai sėkmei UAB (v nadaljevanju: ITSS) obvestila, da je bila izbrana za razvijalca aplikacije KARANTINAS. Družba ITSS in navedena oseba ter družba ITSS in več zaposlenih ter direktor NVSC so si nato v zvezi z razvojem te mobilne aplikacije izmenjali več elektronskih sporočil. V tej fazi je bil sklenjen tudi dogovor o zaupnosti, v katerem sta bila kot upravljavca navedena tako družba ITSS kot tudi NVSC.

12.

Mobilna aplikacija, ki je bila na koncu razvita, je bila v spletni trgovini Google Play Store javnosti na voljo za prenos 4. aprila 2020, v spletni trgovini Apple App Store pa je bila na voljo 6. aprila 2020. V različici aplikacije KARANTINAS, ki je bila javnosti na voljo za prenos, sta bila kot upravljavca ponovno navedena tako družba ITSS kot tudi NVSC. NVSC navedene mobilne aplikacije na tej točki še ni kupil.

13.

Minister za zdravje je s sklepom z dne 10. aprila 2020 direktorju NVSC naročil, naj v skladu s členom 72(2) zakona o javnih naročilih na podlagi postopka s pogajanji brez objave obvestila o naročilu izvede nakup aplikacije KARANTINAS.

14.

Ta postopek se je začel, vendar ga je NVSC ustavil, ker potrebna sredstva niso bila zagotovljena. Javna pogodba o nakupu zato sploh ni bila sklenjena. Kljub temu je bila aplikacija KARANTINAS javnosti še naprej na voljo za prenos.

15.

NVSC je 15. maja 2020 družbi ITSS naročil, naj v mobilni aplikaciji ne uporabi nobenih podatkov o njem ali vzpostavi povezav z njim. Inšpektorat je 18. maja 2020 zaradi suma kršitve pravil, določenih v SUVP, začel z izvajanjem inšpekcijskega pregleda tako v zvezi z družbo ITSS kot tudi v zvezi s NVSC. Aplikacija KARANTINAS je 26. maja 2020 na zahtevo inšpektorata začasno prenehala delovati. Po navedbah družbe ITSS sta osebne podatke prek aplikacije od 4. aprila do 26. maja 2020 posredovala 3802 uporabnika.

16.

Inšpektorat je z odločbo z dne 24. februarja 2021 NVSC in družbi ITSS kot skupnima upravljavcema naložil upravno globo zaradi kršitve členov 5, 13, 24, 32 in 35 SUVP. ( 4 )

17.

NVSC je to odločbo izpodbijal pri Vilniaus apygardos administracinis teismas (regionalno upravno sodišče v Vilni). To sodišče se v bistvu sprašuje, ali je treba pojem „upravljavec“ v smislu člena 4, točka 7, SUVP razlagati široko, in sicer tako, da vključuje vsako fizično ali pravno osebo ali organ, kakršen je NVSC, ki mobilne aplikacije sicer ni razvil, vendar je zaradi nakupa take aplikacije v okviru postopka javnega razpisa določil „namene in sredstva obdelave“, ali pa je treba ta pojem razlagati strožje ter pri tem upoštevati postopek javnega naročanja in rezultat takega postopka.

18.

Natančneje, to sodišče se sprašuje, ali je v zvezi s tem upoštevna okoliščina, da je bil postopek javnega razpisa na koncu ustavljen in da NVSC aplikacije KARANTINAS dejansko sploh ni kupil. Prav tako se sprašuje, ali to, da NVSC ni uradno privolil v dajanje te mobilne aplikacije na voljo javnosti oziroma ni odobril dajanja te aplikacije na voljo javnosti, kakor koli vpliva na to presojo.

19.

Navedeno sodišče se sprašuje tudi o razmerju, ki naj bi obstajalo med NVSC in družbo ITSS. V zvezi s tem se sprašuje, v katerih okoliščinah bi bilo treba ta subjekt in zadevno družbo šteti za „skupna upravljavca“ v smislu člena 4, točka 7, in člena 26(1) SUVP. Če bi se štelo, da NVSC in družba ITSS nista „skupna upravljavca“, ampak „upravljavec“ oziroma „obdelovalec“ ( 5 ) v smislu SUVP, pa želi to sodišče podredno izvedeti, v katerih primerih bi bila lahko dejanja družbe ITSS podlaga za ugotavljanje odgovornosti NVSC. V zvezi s tem se sprašuje, ali je treba člen 83 SUVP razlagati tako, da je mogoče upravljavcu, kakršen je NVSC, ki določb te uredbe ni kršil namerno ali iz malomarnosti, naložiti upravno globo.

20.

V teh okoliščinah je Vilniaus apygardos administracinis teismas (regionalno upravno sodišče v Vilni) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

21.

Predlog za sprejetje predhodne odločbe z dne 22. oktobra 2021 je bil pri Sodišču vložen 12. novembra 2021. Pisna stališča so predložili NVSC, inšpektorat, litovska vlada in Evropska komisija.

22.

Na obravnavi, ki je potekala 17. januarja 2023, so bili zastopani litovska in nizozemska vlada ter Komisija in Svet.

23.

Med pandemijo covida‑19 si je lahko javnost v številnih državah članicah prenesla mobilne aplikacije, namenjene „sledenju“ oseb, okuženih s tem virusom, in/ali oseb, ki so bile v stiku z okuženimi osebami. Take mobilne aplikacije so se razvijale zaradi odzivanja na izredne razmere, pri njihovem razvoju pa so pogosto sodelovali številni javni in zasebni subjekti (kot so ministrstva in drugi javni subjekti ter zasebna podjetja). Uporabniki so morali v mobilne aplikacije vnesti svoje osebne podatke, zlasti podatke o zdravstvenem stanju. ( 6 )

24.

Postopek v glavni stvari se nanaša prav na tako mobilno aplikacijo, to je na aplikacijo KARANTINAS, ki jo je na pobudo NVSC (javni organ), podano na podlagi sklepa ministra za zdravje, razvila družba ITSS (zasebno podjetje). Iz elementov v spisu in informacij, predloženih na obravnavi, pa ni razvidno, ali so pri razvoju zadevne aplikacije morebiti sodelovali tudi drugi javni subjekti v Litvi. ( 7 ) Prav tako obstaja nekaj dvomov glede tega, ali je NVSC privolil v to, da se aplikacija KARANTINAS v obdobju, v katerem je potekala obdelava osebnih podatkov (april in maj 2020), da na voljo javnosti. Vendar je Vilniaus apygardos administracinis teismas (regionalno upravno sodišče v Vilni) v vprašanjih, ki jih je predložilo Sodišču, navedlo naslednje upoštevne okoliščine.

25.

V teh okoliščinah se vprašanja, predložena Sodišču, nanašajo na razlago različnih določb SUVP. V okviru prvih treh vprašanj in petega vprašanja je treba podati razlago pojma „upravljavec“ v smislu člena 4, točka 7, SUVP in pojasniti okoliščine, v katerih je mogoče dva ali več upravljavcev šteti za „skupne upravljavce“ v smislu navedene določbe in člena 26(1) te uredbe. Ta vprašanja, ki jih bom obravnaval skupaj, bom analiziral najprej (razdelek A), nato pa bom preučil četrto vprašanje, ki se nanaša na pojem „obdelava“ v smislu člena 4, točka 2, SUVP in na uporabo tega pojma v fazi preskušanja mobilne aplikacije (razdelek B). ( 8 ) V nadaljevanju se bom osredotočil na vprašanje, ki je v samem jedru obravnavane zadeve, to je šesto vprašanje, ki je horizontalno, saj se nanaša na pogoje, ki morajo biti izpolnjeni, da se lahko upravljavcem v skladu s členom 83 SUVP naložijo upravne globe (razdelek C).

26.

Predložitveno sodišče s prvimi tremi vprašanji v bistvu sprašuje, ali je treba glede na okoliščine, predstavljene v točki 24 teh sklepnih predlogov, subjekt, kakršen je NVSC, šteti za „upravljavca“ v smislu člena 4, točka 7, SUVP. Poleg tega predložitveno sodišče s petim vprašanjem prosi za pojasnilo, ali je treba subjekta, kakršna sta NVSC in družba ITSS, v takih okoliščinah in v skladu z navedeno določbo in členom 26(1) te uredbe šteti za „skupna upravljavca“, čeprav nista sklenila nobenega formalnega dogovora glede določitve namenov in načinov obdelave in/ali nista kako drugače uskladila svojega delovanja.

27.

Naj spomnim, da „upravljavec“ v skladu s členom 4, točka 7, SUVP pomeni osebo ali subjekt, ki „sam[…] ali skupaj z drugimi določa namene in sredstva obdelave“. Če poenostavim, za upravljavca ni nujno, da sam obdeluje osebne podatke, mora pa določiti, „zakaj in kako“ naj se zadevna dejanja obdelave izvajajo. ( 9 ) Sodišče je menilo, da je to merilo izpolnjeno, če fizična ali pravna oseba dejansko „vpliva na obdelavo osebnih podatkov“. ( 10 ) Pri tem pa ni nujno, da mora upravljavec namen in sredstva obdelave podatkov določiti s pisnimi smernicami ali navodili. ( 11 ) V skladu s členom 4, točka 7, SUVP se je treba namreč bolj kot na formalno analizo opreti na analizo dejstev.

28.

Evropski odbor za varstvo podatkov (EVOP) je v zvezi s tem menil, da je posamezen subjekt prav tako lahko upravljavec ne glede na to, ali mu pravo podeljuje posebne pristojnosti ali pooblastila za upravljanje podatkov. Možnost določitve namenov in sredstev obdelave je namreč odvisna zlasti od vpliva, ki ga ta subjekt izvaja in o katerem je mogoče sklepati na podlagi dejanskih okoliščin. Subjekt, ki dejansko lahko določa namene in sredstva obdelave, se torej šteje za „upravljavca“ ne glede na to, ali je bil formalno (z zakonom, pogodbo ali kako drugače) imenovan za upravljavca. ( 12 )

29.

Na podlagi teh pojasnil ugotavljam, da je več okoliščin, ki jih je predložitveno sodišče predstavilo v okviru prvih treh vprašanj za predhodno odločanje, povsem formalnih; na primer okoliščina, da NVCS ni zakoniti lastnik aplikacije KARANTINAS, da postopek nakupa te mobilne aplikacije ni bil končan ali da NVSC dajanja te aplikacije na voljo širši javnosti ni uradno odobril oziroma da ni odobril zadnje različice te aplikacije. Menim, da nobena od navedenih okoliščina sama po sebi ne more nasprotovati ugotovitvi, da je NVSC v okviru postopka v glavni stvari deloval kot „upravljavec“ v smislu člena 4, točka 7, SUVP. Zgolj s sklicevanjem na te okoliščine namreč ni mogoče ovreči ugotovitve, da je NVSC dejansko imel možnost, da določi namene in sredstva obdelave osebnih podatkov, ki se je izvajala. Po drugi strani pa se mi zdi, da je dejstvo, da je bil NVSC v politiki zasebnosti, sprejeti v različici aplikacije KARANTINAS, ki je bila javnosti na voljo za prenos, naveden kot upravljavec ali da je ta različica mobilne aplikacije vsebovala povezave na ta subjekt, sicer upoštevno, vendar ni odločilno za oceno vpliva, ki ga je ta subjekt dejansko izvajal.

30.

Dokazi, ki so na voljo predložitvenemu sodišču in iz katerih je razvidno, da je NVSC opredelil vrste osebnih podatkov, ki naj bi se zbirali v aplikaciji KARANTINAS, posameznike, na katere se nanašajo ti osebni podatki, in/ali druge bistvene vidike obdelave, pa po mojem mnenju zadostujejo za ugotovitev, da je ta subjekt določil „sredstva“ obdelave. Poleg tega menim, da dejstvo, da je bila aplikacija KARANTINAS ustvarjena zaradi doseganja cilja, ki ga je opredelil NVSC, to je zaradi odzivanja na razmere, ki so bile posledica pandemije covida‑19, in da je družba ITSS v skladu z navodili NVSC redno spreminjala delovanje te aplikacije ter se tako odzivala na potrebe, ki jih je določil ta subjekt, zadostuje za ugotovitev, da je NVSC določil tudi „namene“ te obdelave.

31.

Kljub navedenemu pa se mi zdi, da mora predložitveno sodišče za to, da bi ugotovilo, ali je mogoče subjekt, kakršen je NVSC, šteti za „upravljavca“ v smislu člena 4, točka 7, SUVP, preveriti tudi, ali je bila odločitev o dajanju te mobilne aplikacije na voljo javnosti, posledično pa tudi o sodelovanju pri obdelavi osebnih podatkov, ne glede na vpliv, ki ga je imel NVSC v fazi razvoja aplikacije KARANTINAS, dejansko sprejeta na podlagi (izrecne ali posredne) privolitve tega subjekta (kljub dejstvu, da ta privolitev ni bila uradna).

32.

Iz opredelitve pojma „upravljavec“ v členu 4, točka 7, SUVP, je namreč razvidno, da se mora vpliv, ki ga izvaja upravljavec, nanašati na obdelavo osebnih podatkov kot tako, ne pa zgolj na katero koli predhodno fazo. Fizična ali pravna oseba ali subjekt ne more postati „upravljavec“ zgolj zato, ker je pobudnik razvoja mobilne aplikacije ali ker opredeli parametre te aplikacije (ali drugega orodja za zbiranje podatkov). Dejanja te osebe ali subjekta morajo biti dejansko povezana z obdelavo osebnih podatkov, zato mora ta oseba ali subjekt v uporabo zadevnega orodja za izvajanje take obdelave izrecno ali implicitno privoliti.

33.

Sodišče je pri tej zahtevi vztrajalo v sodbi Fashion ID, ( 13 ) v kateri je izrecno navedlo, da je odgovornost upravljavca omejena na postopek ali niz postopkov obdelave osebnih podatkov, za katere dejansko določa namene in sredstva. ( 14 ) Iz tega sledi, da se mora določitev namenov in sredstev neposredno nanašati na zadevni postopek ali niz postopkov, ki vključujejo obdelavo osebnih podatkov.

34.

Iz navedenih ugotovitev po mojem mnenju izhaja, da je mogoče subjekt, kakršen je NVSC, ki je pobudnik razvoja mobilne aplikacije, šteti za „upravljavca“ v smislu člena 4, točka 7, SUVP le, če obstaja dovolj dejanskih in ne le formalnih elementov, na podlagi katerih lahko nacionalna sodišča ugotovijo, da je tak subjekt dejansko vplival na „namene in sredstva“ zadevne obdelave ter da je dejansko privolil v dajanje te mobilne aplikacije na voljo javnosti, kar posledično pomeni, da je privolil tudi v obdelavo osebnih podatkov. Menim, da NVSC izpolnjuje te zahteve, kar pa mora preveriti predložitveno sodišče.

35.

Peto vprašanje se nanaša na pogoje, ki morajo biti izpolnjeni, da bi bilo mogoče dva subjekta (ali več subjektov) šteti za skupna upravljavca (skupne upravljavce). Kolikor razumem, predložitveno sodišče prosi za pojasnilo glede razlage navedenega pojma, ker domneva, da bi bilo mogoče NVSC in družbo ITSS v položaju, ki je predmet postopka v glavni stvari, šteti za „skupna upravljavca“ in da bi bila kot taka lahko solidarno odgovorna za nastalo škodo ( 15 ) ter/ali da bi jima bilo mogoče za kršitve pravil o varstvu podatkov, do katerih je prišlo pri dajanju aplikacije KARANTINAS na voljo za prenos javnosti, naložiti solidarno globo. V zvezi s tem ugotavljam, da je inšpektorat, kot sem navedel v točki 16 teh sklepnih predlogov, že ugotovil, da sta zadevni subjekt in navedena družba odgovorna za kršitve, ki sta jih storila kot skupna upravljavca, in jima v skladu s členom 83 SUVP že izrekel globi.

36.

V skladu s členom 26(1) SUVP pojem „skupni upravljavci“ pomeni, da dva ali več upravljavcev skupaj določijo namene in načine obdelave. Vsak skupni upravljavec mora zato samostojno izpolnjevati merila, našteta v opredelitvi pojma „upravljavec“ iz člena 4, točka 7, te uredbe. ( 16 ) Poleg tega mora med skupnimi upravljavci obstajati določeno medsebojno razmerje, saj morajo vpliv, ki ga imajo nad obdelavo podatkov, izvajati skupaj.

37.

Sodišče je navedlo, da obstoj skupnega upravljanja ne pomeni nujno enake odgovornosti ali sodelovanja različnih oseb ali subjektov, udeleženih pri obdelavi. Nasprotno, skupni upravljavci so lahko udeleženi v različnih fazah obdelave, tako da je treba raven odgovornosti vsakega od njih oceniti ob upoštevanju vseh upoštevnih okoliščin posameznega primera. ( 17 ) Poleg tega za to, da se lahko več subjektov šteje za solidarno odgovorne za isto obdelavo podatkov, ni potrebno, da ima vsak od njih dostop do zadevnih osebnih podatkov. ( 18 ) Pomembno pa je, da ti subjekti skupaj sodelujejo pri določanju „namenov in sredstev“ obdelave.

38.

V zvezi s tem ugotavljam, da ima lahko tako sodelovanje, kot je navedeno v smernicah 07/2020, več različnih oblik. Lahko se odraža v skupni odločitvi, ki jo sprejmeta dva ali več subjektov, ali pa temelji na konvergentnih odločitvah teh subjektov. V zadnjenavedenem primeru je pomembno le, da se odločitve med seboj dopolnjujejo in da so potrebne za to, da obdelava poteka tako, da te odločitve konkretno vplivajo na določitev namenov in sredstev obdelave, kar v bistvu pomeni, da obdelava ne bi bila mogoča brez sodelovanja obeh strank. ( 19 )

39.

V teh okoliščinah se predložitveno sodišče sprašuje, ali dejstvo, da upravljavca (v obravnavanem primeru NVSC in družba ITSS) nista sklenila nobenega formalnega dogovora glede namenov in sredstev obdelave in/ali nista drugače kako drugače uskladila svojega delovanja, nasprotuje temu, da bi ju bilo mogoče šteti za „skupna upravljavca“.

40.

Kolikor razumem, dvomi predložitvenega sodišča v zvezi s tem vidikom izhajajo iz dejstva, da morata skupna upravljavca v skladu s členom 26(1) SUVP na pregleden način in z medsebojnim dogovorom določiti dolžnosti vsakega od njiju z namenom izpolnjevanja obveznosti v skladu s to uredbo. Poleg tega je v uvodni izjavi 79 te uredbe navedeno, da je treba zagotoviti „jasno dodelitev odgovornosti“, tudi kadar upravljavec namene in sredstva obdelave določi skupaj z drugimi upravljavci. Vendar menim, da te obveznosti in zahteve veljajo za skupna upravljavca šele po tem, ko ju je mogoče šteti za taka. Niso pa del meril, ki jih je treba izpolniti, da bi bilo mogoče taka upravljavca šteti za skupna upravljavca.

41.

Kot sem navedel v točki 36 zgoraj, je skupno upravljanje odvisno od tega, ali sta izpolnjena zgolj dva objektivna pogoja. Prvič, merila, našteta v opredelitvi pojma „upravljavec“ iz člena 4, točka 7, SUVP, mora izpolnjevati vsak skupni upravljavec. V spisu ni dovolj informacij, na podlagi katerih bi bilo mogoče ugotoviti, ali je treba družbo ITSS v položaju iz postopka v glavni stvari šteti za „upravljavca“ v smislu navedene določbe. Vendar se mi glede na ugotovitve, ki sem jih podal v prejšnjem oddelku, zdi, kar pa mora preveriti predložitveno sodišče, da vsaj za NVSC – če ne tako za ta subjekt kot tudi za družbo ITSS – velja, da izpolnjuje pogoje, zaradi katerih ga je mogoče šteti za „upravljavca“ v smislu te določbe. Drugič, upravljavca morata vpliv, ki ga imata na obdelavo, izvajati skupaj (kar pomeni, da morata tak vpliv izvajati v skladu s pravnimi merili in sodno prakso, ki sem jih navedel v točkah 37 in 38 teh sklepnih predlogov). V zvezi s tem sem pojasnil, da ima lahko skupno sodelovanje pri obdelavi več različnih oblik, ne da bi bilo nujno, da izhaja iz skupne odločitve strank, udeleženih pri obdelavi. Materialnopravni in funkcionalni pristop, ki ga je treba uporabiti, da bi se ugotovilo, ali je treba osebo ali subjekt šteti za „upravljavca“ v smislu člena 4, točka 7, SUVP, pa po mojem mnenju velja tudi za skupno upravljanje. ( 20 )

42.

Glede na navedene elemente menim, prvič, da neobstoj sporazuma oziroma dogovora ali celo skupne odločitve med dvema ali več upravljavci, kakršna sta NVSC in družba ITSS, sam po sebi ne more izključiti ugotovitve, da gre za „skupna upravljavca“ v smislu člena 4, točka 7, SUVP v povezavi s členom 26(1) te uredbe. V zvezi s tem dodajam, da je EVOP mnenja, da so pogodbeni dogovori pri ocenjevanju skupnega upravljanja sicer lahko koristni, vendar jih je treba vselej preveriti glede na dejanske okoliščine v zvezi z razmerjem med strankami. ( 21 )

43.

Drugič, zdi se mi tudi, da zgolj zato, ker NVSC in družba ITSS svojega delovanja nista uskladila oziroma nista kako drugače sodelovala – poleg okoliščine, da nista dosegla sporazuma, dogovora ali skupne odločitve – ne pomeni, da ju ni mogoče šteti za „skupna upravljavca“. Tako usklajevanje ali sodelovanje, tudi če obstaja, ni pomembno za razrešitev vprašanja, ali gre pri razmerju med tema dvema subjektoma morebiti za skupno upravljanje. Zlahka si je namreč mogoče predstavljati, da bi tako sodelovanje ali usklajevanje med dvema ali več subjekti lahko obstajalo, ne da bi ti bili skupni upravljavci. Na primer, tako usklajevanje delovanja ali medsebojno sodelovanje bi lahko obstajalo tudi med ločenima upravljavcema, in sicer v okviru prenosa osebnih podatkov med njima. Vendar to ne bi pomenilo, da gre za „skupna upravljavca“ v smislu člena 4, točka 7, in člena 26(1) SUVP. ( 22 ) Kar je pomembno, kot sem pojasnil v točki 38 zgoraj, je, da obdelava ne bi bila mogoča brez sodelovanja obeh strani, ker imata obe strani oprijemljiv učinek na določitev namena in sredstev te obdelave.

44.

Glede na navedeno se mi po eni strani zdi, kar pa mora preveriti predložitveno sodišče, da subjekt, kakršen je NVSC, izpolnjuje pogoje iz člena 4, točka 7, SUVP in da ga je zato mogoče šteti za „upravljavca“. Po drugi strani pa opozarjam, da je to, ali je mogoče NVSC in družbo ITSS v skladu z merili, ki sem jih predstavil v prejšnjem oddelku, šteti za „skupna upravljavca“ ali pa opredeliti kot „upravljavca“ oziroma „obdelovalca“, odvisno od narave njunega razmerja, kar mora oceniti predložitveno sodišče.

45.

V zvezi s tem dodajam, da je narava razmerja med NVSC in družbo ITSS (to je, ali sta „skupna upravljavca“ ali pa „upravljavec“ oziroma „obdelovalec“) upoštevna za odgovor na šesto vprašanje. Zato se bom k ugotovitvam, ki sem jih podal v zvezi s petim vprašanjem, vrnil tudi, ko bom obravnaval vidike, ki izhajajo iz šestega vprašanja.

46.

Predložitveno sodišče s četrtim vprašanjem v bistvu sprašuje, ali opredelitev pojma „obdelava“ iz člena 4, točka 2, SUVP zajema položaj, v katerem se osebni podatki uporabljajo v fazi preskušanja mobilne aplikacije. ( 23 ) Iz predloga za sprejetje predhodne odločbe je razvidno, da je aplikacija KARANTINAS najprej prestala fazo preskušanja, šele pozneje pa je bila javnosti dana na voljo za prenos. Kolikor razumem, se četrto vprašanje nanaša na drugačen položaj, kot je v tisti v središču ostalih vprašanj, ki so bila predložena Sodišču in se nanašajo na obdelavo osebnih podatkov po koncu faze preskušanja, ko je bila aplikacija KARANTINAS že na voljo javnosti. Natančneje, predložitveno sodišče želi izvedeti, ali se uporaba osebnih podatkov v fazi preskušanja šteje za „obdelavo“ v smislu člena 4, točka 2, SUVP in ali lahko taka uporaba privede do morebitne odgovornosti zadevnih upravljavcev in/ali obdelovalcev.

47.

V členu 4, točka 2, SUVP je „obdelava“ opredeljena kot „vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih […]“. ( 24 )

48.

Iz navedenega besedila (zlasti iz uporabe izraza „vsako“ in splošnih izrazov, kakršna sta „dejanje“ ali „niz dejanj“) razumem, da je treba to določbo razlagati široko, zato da bi se lahko z njo zajelo čim več možnih položajev, v katerih se uporabljajo osebni podatki. Tako razlago potrjuje tudi neizčrpen seznam tovrstnih položajev, ki je naveden v tej določbi, saj vključuje zelo raznolika dejanja. ( 25 )

49.

Poleg tega je treba navesti, da iz prejšnjega razdelka sicer izhaja, da je opredelitev pojma „upravljavec“ v smislu člena 4, točka 7, SUVP tesno povezana z nameni obdelave osebnih podatkov (to je z vprašanjem, „zakaj“ se osebni podatki zbirajo), vendar to ne velja za opredelitev iz člena 4, točka 2, te uredbe. Razlogi, zaradi katerih se izvaja posamezno dejanje ali niz dejanj, zato načeloma niso upoštevni za razrešitev vprašanja, ali je treba taka dejanja opredeliti kot „obdelavo“ v smislu te določbe. Iz tega po mojem mnenju sledi, da to, ali se osebni podatki zbirajo zaradi preskušanja sistemov informacijske tehnologije, vgrajenih v mobilno aplikacijo, ali za kak drug namen, nikakor ne vpliva na vprašanje, ali se zadevno dejanje šteje za „obdelavo“.

50.

V zvezi s tem tudi ugotavljam, da je „uporaba“ osebnih podatkov (brez kakršnih koli dodatnih navedb in potemtakem ne glede na namen te uporabe) eno od dejanj ali nizov dejanj, ki pomenijo „obdelavo“. ( 26 ) Poleg tega člen 4, točka 2, SUVP v zvezi z dejanji, ki se nanašajo na uporabo osebnih podatkov zaradi preskušanja sistemov informacijske tehnologije, ne vsebuje nobene izrecne izjeme, odstopanja ali izključitve. Iz tega sledi, da ni nobenega elementa, zaradi katerega uporabe osebnih podatkov z namenom izvajanja takega preskušanja ne bi bilo mogoče šteti za „obdelavo“ v smislu navedene določbe, ampak da velja ravno nasprotno.

51.

Glede na navedeno menim, da opredelitev pojma „obdelava“ iz člena 4, točka 2, SUVP zajema položaj, v katerem se osebni podatki uporabljajo v fazi preskušanja mobilne aplikacije.

52.

Ugotovitve, ki sem jo podal v zvezi s tem vidikom, ni mogoče omajati zgolj s sklicevanjem na dejstvo, da so bili osebni podatki, ki so bili zbrani zaradi preskušanja sistemov informacijske tehnologije, vgrajenih v mobilno aplikacijo, morda psevdonimizirani. ( 27 ) SUVP se ne bi uporabljala le v primeru, v katerem bi se v mobilno aplikacijo vnesle le anonimne informacije, ki „niso povezane z določenim ali določljivim posameznikom“, ali osebni podatki, ki so bili „anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv“. Vendar ugotavljam, da se na podlagi elementov iz spisa v položaju, ki je predmet postopka v glavni stvari, ne zdi, da so podatki, ki so se uporabljali v fazi preskušanja, zajemali take anonimizirane podatke. ( 28 )

53.

Glede na navedeno menim, da opredelitev pojma „obdelava“ iz člena 4, točka 2, SUVP zajema položaj, v katerem se osebni podatki uporabljajo v fazi preskušanja mobilne aplikacije, razen če niso bili ti podatki anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv. To, ali se osebni podatki zbirajo zaradi preskušanja sistemov informacijske tehnologije, vgrajenih v mobilno aplikacijo, ali za drug namen, pa ne vpliva na vprašanje, ali se zadevno dejanje šteje za „obdelavo“. ( 29 )

54.

Na podlagi teh pojasnil se bom v nadaljevanju posvetil osrednjemu vprašanju v obravnavani zadevi, ki se nanaša na pogoje, ki morajo biti izpolnjeni, da je mogoče upravljavcu ali obdelovalcu v skladu s členom 83 SUVP naložiti upravno globo.

55.

V skladu z načeloma postopkovne avtonomije in pravne avtonomije pri uporabi pravnega sredstva so bile sankcije za kršitve pravic o varstvu podatkov pred sprejetjem SUVP večinoma prepuščene prosti presoji držav članic. ( 30 ) Upravne globe, ki so bile uvedene na podlagi člena 83 navedene uredbe, so zato razmeroma nova „pridobitev“ prava Unije na področju varstva podatkov. Delovna skupina iz člena 29 je te globe opisala kot „osrednji sestavni del novega režima izvrševanja“. ( 31 ) Čeprav Sodišče še ni imelo priložnosti, da bi podalo razlago te določbe, pa so jo nadzorni organi že večkrat uporabili, med drugim tudi za to, da so upravljavcem ali obdelovalcem naložili visoke globe. ( 32 )

56.

Člen 83 SUVP določa dvostopenjski sistem sankcij, ki se naložijo glede na vrsto določbe, ki je predmet kršitve. Medtem ko se sankcije na prvi stopnji, ki so določene v členu 83(4) navedene uredbe, uporabljajo v primerih, v katerih upravljavec ali obdelovalec krši splošne obveznosti, ki jih ima, in nekatere posebne obveznosti, pa se sankcije na drugi stopnji, kot izhaja iz člena 83(5) SUVP, naložijo za težje kršitve, kot so med drugim kršitve osnovnih načel obdelave, pravic posameznikov, na katere se nanašajo osebni podatki, in pravil o prenosu osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji.

57.

Ko pristojni nacionalni organi ugotovijo, da je podana kršitev posamezne določbe SUVP, morajo v okviru obeh stopenj sankcij opraviti ločeni oceni. Najprej morajo odločiti, ali je treba naložiti globo, nato pa, ko so tako odločili, določiti tudi višino te globe. Ti oceni je treba opraviti za vsak posamezen primer, pri tem pa upoštevati različne dejavnike, navedene v členu 83(2) SUVP. Ti dejavniki vključujejo tudi vprašanje, „ali je kršitev naklepna ali posledica malomarnosti“ (člen 83(2)(b) te uredbe).

58.

Predložitveno sodišče s šestim vprašanjem v bistvu sprašuje, ali je mogoče upravljavcu naložiti upravno globo, če ta pravil o varstvu podatkov ni kršil namerno ali iz malomarnosti in če nezakonita obdelava osebnih podatkov ni posledica dejanj samega upravljavca, ampak obdelovalca. Na podlagi ugotovitev, ki sem jih podal zgoraj v zvezi s petim vprašanjem za predhodno odločanje, se mi zdi, da je šesto vprašanje postavljeno, če NVSC in družbe ITSS v postopku v glavni stvari ne bi bilo mogoče šteti za „skupna upravljavca“ v smislu člena 4, točka 7, SUVP v povezavi s členom 26(1) te uredbe, ampak bi ju bilo treba šteti za „upravljavca“ oziroma „obdelovalca“. V tem posebnem okviru želi predložitveno sodišče pridobiti pojasnilo glede okoliščin, v katerih je mogoče NVSC v skladu s členom 83 SUVP naložiti globo.

59.

Ob tem ugotavljam, da je v šestem vprašanju kot upoštevna določba naveden le člen 83(1) SUVP. Vendar menim, da je treba zaradi problematike, ki izhaja iz tega vprašanja, člen 83 te uredbe obravnavati kot celoto, pri tem pa, kot sem pojasnil v točki 57 teh sklepnih predlogov, upoštevati zlasti člen 83(2)(b) te uredbe, saj se ta določba nanaša na to, „ali je kršitev naklepna ali posledica malomarnosti“. Zato bom štel, da se šesto vprašanje nanaša na razlago člena 83 SUVP kot celote, in ne le na razlago odstavka 1 tega člena.

60.

To vprašanje je po mojem mnenju sestavljeno iz dveh delov. Prvič, Sodišče bo moralo pri oblikovanju odgovora na to vprašanje ugotoviti, ali člen 83 SUVP na splošno dopušča, da se upravne globe upravljavcem ali obdelovalcem naložijo tudi ob neobstoju mens rea (to je subjektivnega elementa oziroma krivde). Predložitveno sodišče želi v bistvu izvedeti, ali je mogoče NVSC naložiti globo zgolj zato, ker je kršil obveznosti, ki jih je imel kot upravljavec (objektivna odgovornost), ali pa se pri storitvi zadevne kršitve oziroma zadevnih kršitev zahteva tudi obstoj elementa krivde. Drugič, v okviru odgovora na to vprašanje bo treba pojasniti, ali dejstvo, da nezakonita obdelava osebnih podatkov ni bila posledica dejanj samega upravljavca, ampak obdelovalca, kakor koli vpliva na možnost nadzornih organov, da upravljavcu naložijo globo.

61.

Navedena vidika bom obravnaval zaporedoma.

62.

V skladu s členom 83 SUVP morajo biti vse upravne globe, ki se naložijo za kršitve pravil o varstvu podatkov, „učinkovite, sorazmerne in odvračilne“. To je jasno razvidno iz odstavka 1 tega člena. Vendar v tem odstavku ni navedeno, ali se lahko taka globa naloži le, če je ugotovljen obstoj krivde, to pomeni, ali je „krivda“ predpogoj za naložitev kakršne koli upravne globe.

63.

Po drugi strani pa je v odstavku 2(b) tega člena med elementi, ki jih morajo nadzorni organi v vsakem posameznem primeru „ustrezno upošteva[ti]“, navedeno to, da „je kršitev naklepna ali posledica malomarnosti“. ( 33 ) V skladu s členom 83(2)(k) SUVP je treba te elemente, katerih seznam ni izčrpen, razumeti kot „morebitn[e] drug[e] oteževaln[e] ali olajševaln[e] dejavnik[e]“.

64.

V tem okviru menim, da je mogoče člen 83 SUVP razumeti na dva načina.

65.

Po eni strani bi se lahko štelo, da je treba odločitev o naložitvi globe in določitvi višine te globe sicer sprejeti ob upoštevanju stopnje krivde (kar bi na primer pomenilo, da bi bilo treba za kršitev, ki je posledica naklepnega ravnanja, načeloma naložiti višjo globo in obratno, da bi bilo treba za kršitev, storjeno iz malomarnosti, naložiti nižjo globo), vendar ni nobene ovire, zaradi katere se globa ne bi smela naložiti tudi ob neobstoju vsakršne krivde, če je mogoče šteti, da je obdelovalec ali upravljavec odgovoren za kršitev. Ta razlaga bi bila potrjena, če bi se člen 83(2)(b) in (k) razlagal tako, da bi navedba različnih vrst krivde (naklepa ali malomarnosti) kot „oteževalnih ali olajševalnih dejavnikov“ lahko pomenila, da obstoj krivde praviloma ni predpogoj za naložitev globe.

66.

Po drugi strani pa je mogoče – tako kot v obravnavani zadevi Komisija – trditi, da je ugotovitev obstoja malomarnosti osebe ali subjekta, ki je kršil pravila o varstvu podatkov, minimalna zahteva, ki mora biti izpolnjena, da bi bilo globo sploh mogoče naložiti. Tak pristop bi podpirala drugačna, previdnejša razlago člena 83(2)(b) in (k) SUVP, v skladu s katero navedeni določbi od nadzornih organov zahtevata, da razlikujejo med olajševalnim (malomarnost) in oteževalnim dejavnikom (naklep), čeprav iz njiju ne izhaja, da je mogoče globo naložiti tudi v primeru popolnega neobstoja krivde.

67.

Za tako razlago se je izrecno odločila prav Komisija, ki je nameravala v prvotnem predlogu, ki je privedel do sprejetja SUVP, ( 34 ) vzpostaviti tristopenjski sistem glob. Komisija je na vsaki stopnji predlagala globe, ki bi jih bilo mogoče naložiti zgolj „vsakomur, ki namerno ali malomarno“ ( 35 ) zagreši eno ali več domnevnih kršitev. Komisija je torej očitno predvidela, da je obstoj krivde predpogoj za naložitev take globe. ( 36 )

68.

Čeprav menim, da je na podlagi jezikovne razlage člena 83(2) SUVP mogoče zagovarjati oba pristopa, saj ustrezata razlagi, v skladu s katero se lahko „namerna ali malomarna narava kršitve“ razume kot „oteževalni“ ali „olajševalni“ dejavnik, pa voljo zakonodajalca Unije po mojem mnenju ustrezno odraža le drugi pristop. K tej ugotovitvi me navaja več razlogov.

69.

Prvič, ugotavljam, da več dejavnikov, navedenih v členu 83(2) SUVP, vsebuje posebno besedilo, iz katerega je mogoče sklepati, da se taki dejavniki ne uporabljajo v vseh, ampak le v nekaterih primerih. Natančneje, besedilo točk (c), (e) in (k) člena 83(2) se začenja z besedo „vsi“, „vse“ in „morebitni“ („vsi ukrepi, ki jih je sprejel upravljavec ali obdelovalec, da bi omilil škodo […]“; „vse zadevne predhodne kršitve […]“; „morebitni drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera […]“), kar sicer kaže na to, da morajo nadzorni organi vselej preveriti, ali obstajajo morebitni ukrepi za omilitev škode, predhodne kršitve ali drugi upoštevni oteževalni ali olajševalni dejavniki, kjer taki elementi obstajajo ali so dokazani, vendar lahko dejansko pride tudi do primerov, v katerih taki elementi preprosto ne obstajajo in v katerih se lahko pristojni organ za varstvo podatkov vseeno odloči, da bo naložil globo (ali obratno, da je ne bo naložil). Podobno ugotavljam, da je nesistematično oblikovano tudi besedilo člena 83(2)(i) SUVP, saj je treba na podlagi te določbe preučiti, ali je upravljavec ali obdelovalec ravnal v skladu z ukrepi iz člena 58(2) te uredbe, vendar le, „kadar so bili [taki] ukrepi […] že prej odrejeni zoper zadevnega upravljavca ali obdelovalca […]“.

70.

V členu 83(2)(b) pa je navedeno le vprašanje, „ali je kršitev naklepna ali posledica malomarnosti“. ( 37 ) Zato se mi zdi, da je ta določba sestavni del dejavnikov, ki morajo obstajati in ki jih je treba, če uporabim slikovitejšo ponazoritev, v vseh primerih „odkljukati“, da bi bilo globo sploh mogoče naložiti, tako kot to velja za dejavnike, kakršni so „narava, teža in trajanje kršitve […]“ (člen 83(2)(a)), „vrste osebnih podatkov, ki jih zadeva kršitev“ (člen 83(2)(g)) in „kako je nadzorni organ izvedel za kršitev […]“ (člen 83(2)(h)). Po mojem mnenju morajo biti v vseh primerih „prisotni“ tudi ti drugi dejavniki: na primer, „narava, teža in trajanje kršitve“ se lahko v posameznih primerih precej razlikujejo (in jih je posledično mogoče šteti bodisi kot razlog „za“ bodisi kot razlog „proti“ naložitvi globe). Vendar je treba v vseh primerih upoštevati dejansko naravo, določeno mero teže in določeno dolžino trajanja zadevne kršitve. To je po mojem mnenju prvi indic, ki kaže na to, da so bile upravne globe v členu 83 SUVP vzpostavljene tako, da jih je mogoče naložiti le v primerih, v katerih je bila domnevna kršitev bodisi naklepna bodisi posledica malomarnosti. ( 38 )

71.

Drugič, ugotavljam, da v členu 83(2) SUVP sicer ni izrecno navedeno, da mora biti kršitev storjena „namerno ali iz malomarnosti“, vendar tega ni mogoče trditi za odstavek 3 tega člena, ki vsebuje splošno pravilo, ki izključuje kumulacijo upravnih glob. V tem odstavku je naveden le primer, v katerem do zadevne kršitve oziroma zadevnih kršitev pride „namerno ali iz malomarnosti“.

72.

Iz navedenega po mojem mnenju logično izhaja, da je treba člen 83(2) SUVP razlagati tako, da je mogoče globo naložiti le, če je do domnevne kršitve prišlo namerno ali iz malomarnosti. Če bi bilo področje uporabe člena 83(2) in (3) SUVP drugačno, bi bilo namreč mogoče za lažje kršitve (to je za kršitve, storjene ob neobstoju krivde) naložiti seštevek glob, saj te – čeprav bi bile še vedno podlaga za naložitev globe v skladu s prvonavedeno določbo (členom 83(2)) – ne bi bile zajete v zadnjenavedeni določbi (členu 83(3)). To pa ne bi bilo mogoče v primeru kršitev, storjenih iz malomarnosti ali namerno, saj bi za vse te kršitve veljalo pravilo iz člena 83(3) navedene uredbe, ki izključuje kumulacijo glob. Tak izid bi bil očitno v nasprotju z osnovnim načelom sistema sankcij, vzpostavljenega na podlagi SUVP, v skladu s katerim je treba za težje kršitve načeloma izreči strožje sankcije kot za lažje kršitve, in ne obratno.

73.

Tretjič, ugotavljam, da lahko globe, naložene v skladu s členom 83 SUVP, privedejo do strogega sankcioniranja. Na prvi stopnji, ki jo ureja člen 83(4) te uredbe, se namreč lahko naložijo globe v znesku do 10.000.000 EUR ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji. Na drugi stopnji pa so predpisane globe v znesku do 20.000.000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu (tudi v tem primeru odvisno od tega, kateri znesek je višji).

74.

Posledično se mi zdi, da imajo globe, ki se naložijo v skladu s členom 83 SUVP, vsaj v nekaterih primerih kaznovalni namen, ( 39 ) zanje pa je značilna visoka stopnja strogosti, tako da bi lahko bile kazenske narave, ( 40 ) kar posledično pomeni, da bi lahko spadale na področje uporabe člena 49 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina). ( 41 )

75.

Glede na te elemente in zlasti glede na kazensko naravo glob, naloženih na podlagi člena 83 SUVP, bi morda kdo utegnil trditi, da možnost, da se globe naložijo tudi ob neobstoju krivde, zato ni združljiva z zahtevo iz odstavka 1 tega člena, da morajo biti globe v vseh primerih ne le „učinkovite“ in „odvračilne“, ampak tudi „sorazmerne“. Drugače povedano, naložitev glob ne bi bila sorazmerna v primerih, v katerih ni ugotovljen niti obstoj malomarnosti. Vendar bi bilo to trditev po mojem mnenju težko zagovarjati, saj je Sodišče že ugotovilo, da pravila o kaznih ali sankcijah, ki temeljijo na objektivni odgovornosti, tudi če so kazenskopravne narave, sama po sebi niso nesorazmerna z želenimi cilji, če ta pravila zadevne osebe spodbujajo k spoštovanju določb neke uredbe in če so želeni cilji v splošnem interesu, na podlagi katerega je mogoče utemeljiti naložitev takih pravil. ( 42 ) Poleg tega je Evropsko sodišče za človekove pravice (ESČP) v zvezi s členom 7 Evropske konvencije o človekovih pravicah (EKČP) (ki ustreza členu 49 Listine), ( 43 ) odločilo, da se za kaznovanje v skladu s to določbo praviloma sicer zahteva obstoj subjektivne povezave, na podlagi katere je mogoče v ravnanju osebe, ki je dejansko storila kaznivo dejanje ali prekršek, prepoznati element odgovornosti, vendar ta zahteva ne izključuje obstoja nekaterih oblik objektivne odgovornosti. ( 44 )

76.

Kljub temu menim, da iz navedene sodne prakse izhaja, da se za izrek kazenske sankcije praviloma zahteva obstoj mens rea in da objektivna odgovornost zato pomeni neke vrste „izjemo“ od tega splošnega pravila, saj mora biti upravičena glede na cilje, ki se uresničujejo s to uredbo.

77.

Če se SUVP obravnava kot celota, se mi zdi, da je zakonodajalec Unije upravne globe predvidel zgolj kot eno od orodij, ki so v tem zakonodajnem aktu določena zaradi zagotavljanja dejanske skladnosti. Globe je namreč treba naložiti „poleg ali namesto“ drugih ukrepov, navedenih v členu 58(2) te uredbe, na podlagi katerega imajo nadzorni organi celo vrsto popravljalnih pooblastil (kot je pooblastilo za izdajo opozoril, izrek opominov ali odreditev ukrepov). ( 45 ) Poleg tega imajo nadzorni organi v primerih, v katerih se upravna globa v skladu s členom 83 SUVP ne naloži, možnost, da na podlagi člena 84 te uredbe naložijo druge kazni. ( 46 )

78.

Menim, da je iz navedenih določb jasno razvidno, da zakonodajalec Unije pri sprejemanju te uredbe ni nameraval določiti, da bi se z upravno globo kaznovala vsaka kršitev pravil o varstvu podatkov. Namesto tega je nameraval vzpostaviti prožen in raznolik sistem kazni in sankcij. To potrjuje tudi uvodna izjava 148 SUVP, v kateri je navedeno, da lahko nadzorni organi v primeru „manjših kršitev ali v primeru, ko bi globa, ki bi bila verjetno naložena, predstavljala nesorazmerno breme za fizično osebo“, namesto upravne globe izrečejo opomin. V tem okviru menim, da je omejitev uporabe člena 83 SUVP na primere, v katerih je ugotovitev obstoja malomarnosti minimalna zahteva, ki mora biti izpolnjena za naložitev globe, v skladu z navedenimi cilji in splošno logiko teh različnih določb, v skladu s katero mora biti naložitev upravnih glob pridržana za nekatere vrste kršitev.

79.

Prav tako se mi zdi, da je zakonodajalec Unije v primerih, v katerih je v SUVP nameraval uvesti objektivno ali domnevno odgovornost, to voljo tudi izrazil s konkretnim besedilom, ki pa ga člen 83 te uredbe ne vsebuje. Na primer, zakonodajalec Unije je v zvezi s civilno odgovornostjo (to je odgovornostjo, ki jo imajo upravljavci in obdelovalci do posameznikov, na katere se nanašajo osebni podatki), ki jo ureja člen 82 SUVP, določil, da morajo upravljavci in obdelovalci izpolniti strogo obveznost glede plačila odškodnine za škodo, ki jo povzročijo posameznikom, na katere se nanašajo osebni podatki, razen če jim ne uspe dokazati, da nikakor niso odgovorni za dogodek, ki povzroči škodo. ( 47 ) Člen 83 te uredbe pa ne vsebuje besedila, ki bi bilo podobno besedilu člena 84 SUVP. To po mojem mnenju potrjuje, da zakonodajalec Unije s to določbo ni nameraval uvesti sistema glob, ki bi temeljil na objektivni ali domnevni odgovornosti.

80.

Četrtič in kar je morda najpomembneje, menim, da je prag, ki velja za kršitev SUVP iz malomarnosti v smislu člena 83(2)(b) navedene uredbe, v praksi vsekakor tako nizek, da si je težko predstavljati položaje, v katerih globe ne bi bilo mogoče naložiti zgolj zato, ker ta element ne bi bil podan. Tako menim, da zgolj dejstvo, da morata biti naklep ali malomarnost podana, preden se lahko na podlagi člena 83 te uredbe naloži globa, ne ogroža cilja zakonodajalca Unije glede zagotovitve učinkovitega izvrševanja pravil o varstvu podatkov, vsebovanih v tej uredbi, ampak da velja ravno nasprotno.

81.

Nekateri avtorji v zvezi s tem trdijo, da zgolj opustitev vsakršnega ukrepanja v primeru, v katerem upravljavec ali obdelovalec zgolj dvomi v zakonitost izvedene obdelave, že pomeni namerno sprejemanje morebitne kršitve SUVP in posledično hudo malomarnost. ( 48 ) Poleg tega delovna skupina iz člena 29 zagovarja stališče, da kršitev iz malomarnosti v več pogledih pomeni „nenamerno“ kršitev, saj po njenem mnenju taka kršitev lahko obstaja, kjer ni namena povzročitve kršitve in je upravljavec ali obdelovalec zgolj kršil dolžnost skrbnega ravnanja. ( 49 ) Natančneje, delovna skupina iz člena 29 je navedla, da lahko na malomarnost kaže celo navadna „človeška napaka“. ( 50 )

82.

Na podlagi navedenega lahko podam naslednji ugotovitvi. Prvič, meja med povsem nenamerno nekrivdno kršitvijo in kršitvijo, ki je posledica malomarnosti, je dejansko zelo tanka. Menim, da bodo nadzorni organi le redko imeli težave pri ugotavljanju obstoja zadostnih elementov, ki bodo kazali na to, da je domnevna kršitev vsaj posledica malomarnosti. V zvezi s tem opozarjam, da je v pravni teoriji navedeno, da „[si je] glede na številne ukrepe za ozaveščanje […] za zagotavljanje skladnosti s SUVP […] težko predstavljati […] kršitve SUVP, pri katerih ne bi bila podana vsaj malomarnost“. ( 51 ) S tem se popolnoma strinjam in opozarjam, da je SUVP posebej namenjena zagotavljanju, da se upravljavci in obdelovalci seznanijo s pravili o varstvu podatkov, zaradi česar je po mojem mnenju še težje šteti, da bi lahko do kršitve prišlo ob neobstoju vsakršne krivde (ali vsaj ob neobstoju malomarnosti). ( 52 )

83.

Drugič, zdi se, da je tak izid povsem v skladu z glavnim ciljem SUVP, ki je zagotoviti dosledno in visoko raven varstva posameznikov v Uniji. ( 53 ) Globe imajo namreč odvračilni učinek. ( 54 ) Upravljavce in obdelovalce spodbujajo, da ravnajo v skladu s SUVP, kar pomeni, da na splošno prispevajo h krepitvi varstva posameznikov, na katere se nanašajo osebni podatki, in so zato bistven element za zagotavljanje spoštovanja njihovih pravic. ( 55 ) Iz navedenega po mojem mnenju izhaja, da ugotavljanja „krivde“ sicer res ni mogoče opustiti, vendar je stopnja krivde, ki se zahteva za uporabo člena 83 navedene uredbe, dovolj nizka, da se tako zagotovi ustrezna raven varstva posameznikov, na katere se nanašajo osebni podatki.

84.

Poleg tega naj poudarim, da bi ta pristop, ki ga predlagam Sodišču, potrjeval, da je sistem glob, ki ga vzpostavlja navedena določba, v skladu z ureditvijo, ki jo na področju kršitev konkurenčnega prava določa člen 23(1) Uredbe (ES) št. 1/2003, ( 56 ) ki se prav tako uporablja le, če sta podana naklep ali malomarnost. To, da se besedilo člena 83 SUVP zgleduje po zadnjenavedenem sistemu glob, je mogoče razbrati iz uvodne izjave 150 te uredbe, v kateri je navedeno, da „[k]adar se upravne globe naložijo podjetjem, bi se podjetje v te namene moralo razumeti kot podjetje v skladu s členoma 101 in 102 PDEU“, pa tudi iz drugih podobnosti med zadevnima sistemoma glob, kot je dejstvo, da lahko višina glob, ki se naložijo podjetjem, v obeh sistemih temelji na prometu. Ugotavljam tudi, da več dejavnikov, navedenih v členu 83(2) SUVP, ustreza dejavnikom, ki so upoštevni za določitev zneska globe, ki se naloži zaradi kršitve konkurenčnega prava. ( 57 )

85.

Po predstavitvi razlogov, zaradi katerih menim, da je mogoče upravljavcu ali obdelovalcu globo v skladu s členom 83(2) SUVP naložiti le, če se pred tem ugotovi obstoj krivde, moram na kratko obravnavati še razlogovanje, ki ga zagovarjata Svet in litovska vlada. Po mnenju teh strank so države članice tiste, ki morajo odločiti, ali se za naložitev upravne globe zahteva ugotovitev obstoja krivde.

86.

Sam se namreč s tem stališčem preprosto ne strinjam.

87.

Po mojem mnenju je očitno, da je eden od osrednjih ciljev SUVP, zlasti pa člena 83 te uredbe, doseči višjo raven harmonizacije v Evropski uniji, predvsem na področju glob. ( 58 ) Zato menim, da zakonodajalec Unije v nasprotju s trditvami, ki sta jih navedla Svet in litovska vlada, državam članicam ni nameraval priznati diskrecijske pravice glede zahteve po ugotavljanju obstoja krivde.

88.

Res je sicer, da je mogoče dodatne zahteve glede postopka, ki ga morajo nadzorni organi izvesti pri izreku globe (v zvezi z vidiki, kot so uradno obvestilo o globi in roki za predložitev pripomb, možnost pritožbe, izvršba in plačilo), določiti v nacionalni zakonodaji. ( 59 ) To je razvidno iz člena 83(8) SUVP, ki določa, da nadzorni organi pooblastila za naložitev glob izvajajo „na podlagi ustreznih postopkovnih zaščitnih ukrepov“, ki jih je treba vzpostaviti v nacionalnem pravu, če se hkrati zagotavlja spoštovanje prava Unije (zlasti pravice do učinkovitega pravnega sredstva in ustreznega pravnega postopka).

89.

Vendar te diskrecijske pravice ni mogoče razširiti na materialnopravne zahteve, ki veljajo za naložitev globe, kakršna je stopnja krivde. Menim, da ta ugotovitev neposredno izhaja iz več uvodnih izjav SUVP, ( 60 ) iz katerih je razvidno, da je nameraval zakonodajalec Unije s sistemom upravnih glob, ki ga je vzpostavil v členu 83 te uredbe, zagotoviti doslednost rezultatov na celotnem ozemlju Evropske unije.

90.

Zaradi celovitosti obravnave naj dodam, da je glede na to, da globe močno vplivajo na konkurenco med podjetji in imajo znatne posledice na trgu, po mojem mnenju bistveno, da se člen 83 SUVP uporablja dosledno, saj bi lahko v nasprotnem primeru dejansko prispeval k izkrivljanju konkurence med podjetji. ( 61 )

91.

Predložitveno sodišče z drugim delom šestega vprašanja v bistvu sprašuje, ali je mogoče upravljavcu v skladu s členom 83 SUVP naložiti globo, če osebnih podatkov ni nezakonito obdelal upravljavec, ampak obdelovalec (v tem primeru je to družba ITSS).

92.

Menim, da je treba na to vprašanje odgovoriti pritrdilno.

93.

V zvezi s tem opozarjam, da ni nujno, kot sem navedel v točki 27 teh sklepnih predlogov, da upravljavec sam obdeluje osebne podatke, če določi, „zakaj in kako“ naj se zadevna dejanja obdelave izvajajo. Poleg tega ugotavljam, da pojem „obdelovalec“ v skladu s členom 4, točka 8, SUVP pomeni „fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca“. ( 62 )

94.

Ta opredelitev po mojem mnenju potrjuje, da je v okoliščinah, v katerih se uporablja SUVP, upravljavca mogoče šteti za odgovornega in da mu je v skladu s členom 83 te uredbe zato mogoče naložiti globo v primeru, v katerem pride do nezakonite obdelave osebnih podatkov, ki je ni izvedel upravljavec, ampak obdelovalec. Ta možnost velja toliko časa, dokler je mogoče šteti, da zadevni obdelovalec osebne podatke obdeluje v imenu upravljavca.

95.

To bo torej veljalo, dokler obdelovalec deluje v okviru pristojnosti, ki mu jih je podelil upravljavec, in dokler osebne podatke obdeluje v skladu z zakonitimi navodili, ki jih je prejel od upravljavca. ( 63 ) Če pa obdelovalec prekorači meje teh pristojnosti in podatke, ki jih je prejel kot obdelovalec, uporabi za lastne namene ter če je jasno, da stranki nista „skupna upravljavca“ v smislu člena 4, točka 7, in člena 21(6) SUVP, potem menim, da upravljavcu zaradi nezakonite obdelave podatkov, ki se je dejansko izvajala, ni mogoče naložiti globe v skladu s členom 83 te uredbe. ( 64 )

96.

Iz tega izhaja, da je NVSC v zadevi, kakršna je ta v postopku v glavni stvari, mogoče naložiti globo v skladu s členom 83 SUVP, čeprav je osebne podatke nezakonito obdelovala le družba ITSS, NVSC pa pri tej obdelavi ni sodeloval. Ta možnost je na voljo toliko časa, dokler je mogoče šteti, da je družba ITSS osebne podatke obdelovala v imenu NVSC, kar pa ne velja, če je navedena družba ravnala zunaj zakonitih navodil NVSC ali v nasprotju s temi navodili, če je osebne podatke uporabljala za lastne namene ter če je jasno, da NVSC in družba ITSS nista delovala kot skupna upravljavca.

97.

Glede na navedeno Sodišču predlagam, naj na vprašanja za predhodno odločanje, ki jih je postavilo Vilniaus apygardos administracinis teismas (regionalno upravno sodišče v Vilni, Litva), odgovori: