–

za Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos G. Aleksienė,

–

za Valstybinė duomenų apsaugos inspekcija R. Andrijauskas,

–

za litovsko vlado V. Kazlauskaitė-Švenčionienė, agentka,

–

za nizozemsko vlado C. S. Schillemans, agentka,

–

za Svet Evropske unije R. Liudvinavičiūtė in K. Pleśniak, agenta,

–

za Evropsko komisijo A. Bouchagiar, H. Kranenborg in A. Steiblytė, agenti,

1

Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 4, točki 2 in 7, člena 26(1) ter člena 83(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2; v nadaljevanju: SUVP).

2

Ta predlog je bil vložen v okviru spora med Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (nacionalni center za javno zdravje pri ministrstvu za zdravje, Litva, v nadaljevanju: CNSP) in Valstybinė duomenų apsaugos inspekcija (državni inšpektorat za varstvo podatkov, Litva, v nadaljevanju: INPD) v zvezi z odločbo, s katero je INPD naložil CNSP upravno globo na podlagi člena 83 SUVP zaradi kršitve členov 5, 13, 24, 32 in 35 te uredbe.

3

V uvodnih izjavah 9, 10, 11, 13, 26, 74, 79, 129 in 148 SUVP je navedeno:

[…]

[…]

[…]

[…]

[…]

[…]

4

Člen 4 te uredbe določa:

„V tej uredbi:

[…]

[…]

[…].“

5

Člen 26 navedene uredbe, naslovljen „Skupni upravljavci“, v odstavku 1 določa:

„Dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.“

6

Člen 28 iste uredbe, naslovljen „Obdelovalec“, v odstavku 10 določa:

„Brez poseganja v člene 82, 83 in 84, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.“

7

Člen 58 SUVP, naslovljen „Pooblastila“, v odstavku 2 določa:

„Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:

[…]

[…]

[…]

[…].“

8

Člen 83 te uredbe, naslovljen „Splošni pogoji za naložitev upravnih glob“, določa:

„1.   Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.

2.   Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (h) in (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

3.   Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

4.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 10000 000 EUR ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a) obveznosti upravljavca in obdelovalca v skladu s členi 8, 11, 25 do 39 ter 42 in 43;

[…]

5.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 20000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

[…]

[…]

6.   V skladu z odstavkom 2 tega člena se za neupoštevanje odredbe, ki jo izda nadzorni organ, iz člena 58(2) uporabljajo upravne globe v znesku do 20000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji.

7.   Brez poseganja v popravljalna pooblastila nadzornih organov na podlagi člena 58(2) lahko vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in telesom z ustanovitvijo v zadevni državi članici naložijo upravne globe.

8.   Nadzorni organ izvaja pooblastila iz tega člena na podlagi ustreznih postopkovnih zaščitnih ukrepov v skladu s pravom Unije in pravom države članice, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom.

[…]“

9

Člen 84 navedene uredbe, naslovljen „Kazni“, v odstavku 1 določa:

„Države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, zlasti za kršitve, za katere se ne uporabljajo upravne globe v skladu s členom 83, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.“

10

V členu 29(3) Viešųjų pirkimų įstatymas (zakon o javnem naročanju) so navedene nekatere okoliščine, v katerih ima naročnik bodisi pravico bodisi obveznost, da umakne postopke javnega razpisa ali natečaja, ki so se začeli na njegovo pobudo, kadar koli pred sklenitvijo pogodbe o izvedbi javnega naročila (ali predpogodbe) ali pred določitvijo izbranega kandidata na natečaju.

11

Člen 72(2) zakona o javnem naročanju določa faze pogajanj, ki jih naročnik izvede v okviru postopka s pogajanji brez predhodne objave.

12

Lietuvos Respublikos sveikatos apsaugos ministras (minister za zdravje Republike Litve) je v okviru pandemije, ki jo je povzročil virus, ki povzroča covid-19, s prvim sklepom z dne 24. marca 2020 direktorja CNSP pooblastil za organizacijo takojšnjega nakupa informacijskega sistema za beleženje in spremljanje podatkov oseb, izpostavljenih temu virusu, za namene epidemiološkega spremljanja.

13

Oseba, ki se je predstavljala kot predstavnik CNSP (v nadaljevanju: A. S.), je z elektronskim sporočilom z dne 27. marca 2020 družbo UAB „IT sprendimai sėkmei“ (v nadaljevanju: družba ITSS) obvestila, da jo je CNSP izbral za razvoj mobilne aplikacije v ta namen. Oseba A. S. je nato družbi ITSS poslala elektronska sporočila v zvezi z različnimi vidiki razvoja te aplikacije, kopija teh elektronskih sporočil pa je bila poslana direktorju CNSP.

14

Med pogajanji med družbo ITSS in CNSP so poleg osebe A. S. tudi drugi uslužbenci CNSP tej družbi poslali elektronska sporočila v zvezi s pripravo vprašanj, postavljenih v zadevni mobilni aplikaciji.

15

Ob razvoju te mobilne aplikacije je bila oblikovana politika zasebnosti, v kateri sta bila družba ITSS in CNSP imenovana za upravljavca.

16

Zadevna mobilna aplikacija, v kateri sta bila navedena družba ITSS in CNSP, je bila v spletni trgovini Google Play Store za prenos na voljo od 4. aprila 2020, v spletni trgovini Apple App Store pa od 6. aprila 2020. Zadevna mobilna aplikacija je delovala do 26. maja 2020.

17

Med 4. aprilom 2020 in 26. majem 2020 je bila ta aplikacija uporabljena s strani 3802 oseb, pri čemer so te osebe posredovale podatke, ki se nanašajo nanje in ki so bili zahtevani z navedeno aplikacijo, kot so identifikacijska številka, zemljepisne koordinate (zemljepisna širina in dolžina), država, mesto, občina, poštna številka, ulica, hišna številka, priimek, ime, osebna številka, telefonska številka in naslov.

18

Minister za zdravje Republike Litve je z drugim sklepom z dne 10. aprila 2020 odločil, da direktorju CNSP zaupa nalogo organizacije nakupa zadevne mobilne aplikacije pri družbi ITSS, za kar je bila predvidena uporaba člena 72(2) zakona o javnem naročanju. Vendar tej družbi ni bilo oddano nobeno javno naročilo, na podlagi katerega bi CNSP to aplikacijo uradno kupil.

19

CNSP je namreč 15. maja 2020 od navedene družbe zahteval, naj ga v zadevni mobilni aplikaciji nikakor ne navede. Poleg tega je CNSP z dopisom z dne 4. junija 2020 isto družbo obvestil, da je zaradi pomanjkanja sredstev za nakup te aplikacije v skladu s členom 29(3) zakona o javnem naročanju postopek za ta nakup ustavil.

20

INPD je v okviru preiskave v zvezi z obdelavo osebnih podatkov, ki se je začela 18. maja 2020, ugotovil, da so bili osebni podatki zbrani z uporabo zadevne mobilne aplikacije. Poleg tega je INPD ugotovil, da so uporabniki, ki so to aplikacijo izbrali kot metodo za spremljanje izolacije, ki je postala obvezna zaradi pandemije covida-19, odgovarjali na vprašanja, ki so vključevala obdelavo osebnih podatkov. Ti podatki naj bi bili predloženi v odgovorih na vprašanja, postavljena v navedeni aplikaciji, in naj bi se med drugim nanašali na zdravstveno stanje zadevne osebe in njeno spoštovanje pogojev izolacije.

21

INPD je z odločbo z dne 24. februarja 2021 CNSP na podlagi člena 83 SUVP naložil upravno globo v višini 12.000 EUR zaradi kršitve členov 5, 13, 24, 32 in 35 te uredbe. S to odločbo je bila tudi družbi ITSS kot skupnemu upravljavcu naložena upravna globa 3000 EUR.

22

CNSP je to odločbo izpodbijal pri Vilniaus apygardos administracinis teismas (regionalno upravno sodišče v Vilni, Litva), ki je predložitveno sodišče, pri čemer je trdil, da je treba družbo ITSS šteti za edinega upravljavca v smislu člena 4, točka 7, SUVP. Družba ITSS pa trdi, da je delovala kot obdelovalec v smislu člena 4, točka 8, SUVP po navodilih CNSP, ki je po njenem mnenju edini upravljavec.

23

Predložitveno sodišče navaja, da je družba ITSS razvila zadevno mobilno aplikacijo in da ji je CNSP svetoval glede vsebine vprašanj, postavljenih v tej aplikaciji. Vendar naj med CNSP in družbo ITSS ne bi bilo pogodbe o javnem naročilu. Poleg tega naj CNSP ne bi niti soglašal z dajanjem te aplikacije na voljo prek različnih spletnih trgovin niti ga naj ne bi dovolil.

24

To sodišče pojasnjuje, da je bil namen razvoja zadevne mobilne aplikacije uresničevanje cilja, ki ga je določil CNSP, in sicer obvladovanje pandemije covida-19 z vzpostavitvijo informacijskega orodja, in da je bila za to predvidena obdelava osebnih podatkov. Glede vloge družbe ITSS naj ne bi bilo predvideno, da bi ta družba uresničevala druge cilje kot le to, da prejme nadomestilo za ustvarjeni izdelek informacijske tehnologije.

25

Navedeno sodišče tudi ugotavlja, da je bilo med preiskavo INPD ugotovljeno, da mora litovska družba Juvare Lithuania, ki upravlja informacijski sistem za spremljanje in obvladovanje nalezljivih bolezni, ki pomenijo tveganje za širjenje, prejeti kopije osebnih podatkov, zbranih z zadevno mobilno aplikacijo. Poleg tega so bili za testiranje te aplikacije uporabljeni fiktivni podatki, razen telefonskih številk zaposlenih v navedeni družbi.

26

V teh okoliščinah je Vilniaus apygardos administracinis teismas (regionalno upravno sodišče v Vilni) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

27

Predložitveno sodišče s prvim, drugim in tretjim vprašanjem, ki jih je treba obravnavati skupaj, v bistvu sprašuje, ali je treba člen 4, točka 7, SUVP razlagati tako, da je mogoče za upravljavca v smislu te določbe šteti subjekt, ki je podjetju naložil razvoj mobilne aplikacije informacijske tehnologije, čeprav ta subjekt sam ni izvedel dejanj obdelave osebnih podatkov, ni izrecno dal soglasja za izvedbo konkretnih dejanj take obdelave ali za dajanje te mobilne aplikacije na voljo javnosti ter ni kupil navedene mobilne aplikacije.

28

Člen 4, točka 7, SUVP pojem „upravljavec“ opredeljuje široko, tako da pomeni fizično ali drugo telo, ki samo ali skupaj z drugimi „določa namene in sredstva obdelave“ osebnih podatkov.

29

Cilj te široke opredelitve je v skladu s ciljem SUVP zagotoviti učinkovito varstvo temeljnih pravic in svoboščin fizičnih oseb ter zlasti zagotoviti visoko raven varstva pravice vsakogar do varstva osebnih podatkov, ki se nanašajo nanj (glej v tem smislu sodbi z dne 29. julija 2019, Fashion ID, C‑40/17, EU:C:2019:629, točka 66, in z dne 28. aprila 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, točka 73 in navedena sodna praksa).

30

Sodišče je že razsodilo, da je mogoče vsako fizično ali pravno osebo, ki zaradi svojih ciljev vpliva na obdelavo takih podatkov in zato sodeluje pri določitvi namenov in sredstev te obdelave, šteti za upravljavca navedene obdelave. V zvezi s tem ni treba, da upravljavec namene in sredstva obdelave določi s pisnimi smernicami ali navodili (glej v tem smislu sodbo z dne 10. julija 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, točki 67 in 68), niti da je bil upravljavec formalno določen kot tak.

31

Zato je treba za ugotovitev, ali je mogoče subjekt, kot je CNSP, šteti za upravljavca v smislu člena 4, točka 7, SUVP, preučiti, ali je ta subjekt zaradi svojih ciljev dejansko vplival na določitev namenov in sredstev te obdelave.

32

V obravnavani zadevi je s pridržkom preverjanj, ki jih mora opraviti predložitveno sodišče, iz spisa, ki ga ima na voljo Sodišče, razvidno, da je razvoj zadevne mobilne aplikacije naročil CNSP in da je bil njen namen uresničevanje cilja, ki ga je določil CNSP, in sicer obvladovanje pandemije covida-19 z informacijskim orodjem za beleženje in spremljanje podatkov oseb, ki so bile izpostavljene virusu, ki povzroča covid-19. CNSP je za to predvidel, da se bodo osebni podatki uporabnikov zadevne mobilne aplikacije obdelovali. Poleg tega je iz predložitvene odločbe razvidno, da so bili parametri te aplikacije, kot so postavljena vprašanja in njihova formulacija, prilagojeni potrebam CNSP in da je ta imel aktivno vlogo pri njihovi določitvi.

33

V teh okoliščinah je treba načeloma šteti, da je CNSP dejansko sodeloval pri določitvi namenov in sredstev obdelave.

34

Zgolj dejstvo, da je bil CNSP naveden kot upravljavec v politiki zasebnosti zadevne mobilne aplikacije in da so bile v to aplikacijo vključene povezave do tega subjekta, pa bi se lahko štelo za upoštevno le, če se dokaže, da je CNSP izrecno ali implicitno privolil v to navedbo ali te povezave.

35

Poleg tega okoliščine, ki jih je predložitveno sodišče navedlo v okviru preudarkov v utemeljitev prvih treh vprašanj za predhodno odločanje, in sicer da CNSP sam ni obdelal osebnih podatkov, da med CNSP in družbo ITSS ni bilo pogodbe, da CNSP zadevne mobilne aplikacije ni kupil ali da za dajanje te aplikacije na voljo prek spletnih trgovin CNSP ni dal dovoljenja, ne izključujejo možnosti, da bi bilo mogoče CNSP opredeliti kot „upravljavca“ v smislu člena 4, točka 7, SUVP.

36

Iz te določbe v povezavi z uvodno izjavo 74 SUVP namreč izhaja, da je subjekt, če izpolnjuje pogoj iz navedenega člena 4, točka 7, odgovoren ne le za vsako obdelavo osebnih podatkov, ki jo izvede sam, ampak tudi za obdelavo, ki je izvedena v njegovem imenu.

37

V zvezi s tem je vseeno treba pojasniti, da CNSP ni mogoče šteti za odgovornega za obdelavo osebnih podatkov, ki izhaja iz dajanja zadevne mobilne aplikacije na voljo javnosti, če je pred tem dajanjem na voljo temu izrecno nasprotoval, kar mora preveriti predložitveno sodišče. V takem primeru namreč ni mogoče šteti, da je bila zadevna obdelava opravljena v imenu CNSP.

38

Ob upoštevanju zgoraj navedenih razlogov je treba na prvo, drugo in tretje vprašanje odgovoriti, da je treba člen 4, točka 7, SUVP razlagati tako, da je mogoče za upravljavca v smislu te določbe šteti subjekt, ki je podjetju naložil razvoj mobilne aplikacije informacijske tehnologije in je v tem okviru sodeloval pri določitvi namenov in sredstev obdelave osebnih podatkov, ki se izvede s to aplikacijo, čeprav ta subjekt sam ni izvedel dejanj obdelave takih podatkov, ni izrecno dal soglasja za izvedbo konkretnih dejanj take obdelave ali za dajanje navedene mobilne aplikacije na voljo javnosti ter ni kupil te mobilne aplikacije, razen če je navedeni subjekt pred tem dajanjem na voljo javnosti izrecno nasprotoval takemu dajanju na voljo in obdelavi osebnih podatkov, ki je iz tega izhajala.

39

Predložitveno sodišče s petim vprašanjem, ki ga je treba preučiti na drugem mestu, v bistvu sprašuje, ali je treba člen 4, točka 7, in člen 26(1) SUVP razlagati tako, da se pri opredelitvi dveh subjektov kot skupnih upravljavcev zahteva obstoj dogovora med tema subjektoma o določitvi namenov in sredstev obdelave zadevnih osebnih podatkov ali obstoj dogovora, ki določa pogoje v zvezi s skupnim upravljanjem.

40

V skladu s členom 26(1) SUVP pojem „skupni upravljavci“ pomeni, da dva ali več upravljavcev skupaj določijo namene in načine obdelave.

41

Kot je razsodilo Sodišče, mora torej fizična ali pravna oseba, da bi jo bilo mogoče šteti za skupnega upravljavca, neodvisno ustrezati opredelitvi „upravljavca“ iz člena 4, točka 7, SUVP (glej v tem smislu sodbo z dne 29. julija 2019, Fashion ID, C‑40/17, EU:C:2019:629, točka 74).

42

Vendar obstoj solidarne odgovornosti ne pomeni nujno enake odgovornosti različnih gospodarskih subjektov, ki jih zadeva obdelava osebnih podatkov. Nasprotno, ti subjekti so lahko udeleženi v različnih fazah te obdelave in v različnih obsegih, zato je treba raven odgovornosti vsakega od njih oceniti ob upoštevanju vseh upoštevnih okoliščin posameznega primera (sodba z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, točka 43). Poleg tega se za solidarno odgovornost več subjektov za isto obdelavo ne zahteva, da ima vsak od njih dostop do zadevnih osebnih podatkov (sodba z dne 10. julija 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, točka 69 in navedena sodna praksa).

43

Kot je generalni pravobranilec navedel v točki 38 sklepnih predlogov, ima lahko sodelovanje pri določitvi namenov in sredstev obdelave več različnih oblik, pri čemer se lahko to sodelovanje odraža v skupni odločitvi, ki jo sprejmeta dva subjekta ali več, ali pa temelji na podobnih odločitvah teh subjektov. V zadnjenavedenem primeru pa se morajo navedene odločitve med seboj dopolnjevati, tako da ima vsaka od njih dejanski učinek na določitev namenov in sredstev obdelave.

44

Ni pa mogoče zahtevati, da med temi upravljavci obstaja formalni dogovor glede namenov in sredstev obdelave.

45

V skladu s členom 26(1) SUVP v povezavi z njeno uvodno izjavo 79 morajo sicer skupni upravljavci z medsebojnim dogovorom na pregleden način določiti njihove dolžnosti za zagotovitev skladnosti z zahtevami iz te uredbe. Vendar obstoj takega dogovora ni poglavitni pogoj za opredelitev dveh subjektov ali več kot skupnih upravljavcev, temveč obveznost, ki je s tem členom 26(1) naložena skupnim upravljavcem, ko so enkrat opredeljeni kot taki, da se zagotovi spoštovanje zahtev iz SUVP, ki veljajo zanje. Tako ta opredelitev izhaja zgolj iz dejstva, da je več subjektov sodelovalo pri določitvi namenov in sredstev obdelave.

46

Glede na navedeno je treba na peto vprašanje odgovoriti, da je treba člen 4, točka 7, in člen 26(1) SUVP razlagati tako, da se pri opredelitvi dveh subjektov kot skupnih upravljavcev ne zahteva obstoj dogovora med tema subjektoma o določitvi namenov in sredstev obdelave zadevnih osebnih podatkov niti obstoj dogovora, ki določa pogoje v zvezi s skupnim upravljanjem.

47

Predložitveno sodišče s četrtim vprašanjem v bistvu sprašuje, ali je treba člen 4, točka 2, SUVP razlagati tako, da uporaba osebnih podatkov za računalniško testiranje mobilne aplikacije pomeni „obdelavo“ v smislu te določbe.

48

V obravnavani zadevi bi morala litovska družba, ki upravlja informacijski sistem za spremljanje in obvladovanje nalezljivih bolezni, ki pomenijo tveganje za širjenje, kot je razvidno iz točke 25 te sodbe, prejeti kopije osebnih podatkov, zbranih z zadevno mobilno aplikacijo. Za računalniško testiranje so bili uporabljeni fiktivni podatki, razen telefonskih številk zaposlenih v navedeni družbi.

49

V zvezi s tem je, na prvem mestu, v členu 4, točka 2, SUVP pojem „obdelava“ opredeljen kot „vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih“. V neizčrpnem seznamu, uvedenem z besedno zvezo „kot je“, so v tej določbi kot primeri obdelave navedeni zbiranje, omogočanje dostopa in uporaba osebnih podatkov.

50

Iz besedila te določbe, zlasti iz izraza „vsako dejanje“, je torej razvidno, da je zakonodajalec Unije pojmu „obdelava“ želel dati širok obseg (glej v tem smislu sodbo z dne 24. februarja 2022, Valsts ieņēmumu dienests (Obdelava osebnih podatkov v davčne namene),C‑175/20, EU:C:2022:124, točka 35), in da razlogov, iz katerih se izvede dejanje ali niz dejanj, ni mogoče upoštevati za ugotovitev, ali to dejanje oziroma ta niz dejanj pomeni „obdelavo“ v smislu člena 4, točka 2, SUVP.

51

Zato vprašanje, ali se osebni podatki uporabljajo za računalniško testiranje ali za drug namen, ne vpliva na opredelitev zadevnega dejanja kot „obdelave“ v smislu člena 4, točka 2, SUVP.

52

Na drugem mestu, vseeno je treba pojasniti, da le obdelava, ki se nanaša na „osebne podatke“, pomeni „obdelavo“ v smislu člena 4, točka 2, SUVP.

53

Člen 4, točka 1, SUVP v zvezi s tem določa, da „osebni podatek“ pomeni „katero koli informacijo v zvezi z določenim ali določljivim posameznikom“, torej v zvezi s „posameznikom […], ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika“.

54

Okoliščina, na katero se predložitveno sodišče sklicuje v četrtem vprašanju, in sicer da gre za „kopije osebnih podatkov“, pa sama po sebi ni takšna, da se te kopije ne bi opredelile kot osebni podatki v smislu člena 4, točka 1, SUVP, če take kopije dejansko vsebujejo informacije, ki se nanašajo na določenega ali določljivega posameznika.

55

Vendar je treba ugotoviti, da fiktivni podatki, ker se ne nanašajo na določenega ali določljivega posameznika, ampak na osebo, ki dejansko ne obstaja, niso osebni podatki v smislu člena 4, točka 1, SUVP.

56

Enako velja za podatke, ki se uporabljajo za računalniško testiranje in so anonimni ali anonimizirani.

57

Iz uvodne izjave 26 SUVP in iz same opredelitve pojma „osebni podatki“ iz člena 4, točka 1, te uredbe namreč izhaja, da ta pojem ne zajema „anonimnih informacij, in sicer informacij, ki niso povezane z določenim ali določljivim posameznikom“, niti „osebnih podatkov, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv“.

58

Iz člena 4, točka 5, SUVP v povezavi z njeno uvodno izjavo 26 pa izhaja, da je treba osebne podatke, ki so bili le psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, obravnavati kot informacije o določljivem posamezniku, za katere se uporabljajo načela varstva podatkov.

59

Glede na zgoraj navedeno je treba na četrto vprašanje odgovoriti, da je treba člen 4, točka 2, SUVP razlagati tako, da uporaba osebnih podatkov za računalniško testiranje mobilne aplikacije pomeni „obdelavo“ v smislu te določbe, razen če so taki podatki anonimizirani tako, da posameznik, na katerega se ti podatki nanašajo, ni ali ni več določljiv, ali če gre za fiktivne podatke, ki se ne nanašajo na obstoječo fizično osebo.

60

Predložitveno sodišče s šestim vprašanjem v bistvu sprašuje, ali je treba člen 83 SUVP razlagati tako, da se na eni strani upravna globa lahko naloži na podlagi te določbe le, če se ugotovi, da je upravljavec namerno ali iz malomarnosti storil kršitev iz odstavkov od 4 do 6 tega člena, in da se na drugi strani taka globa lahko naloži upravljavcu v zvezi z dejanji obdelave, ki jih izvede obdelovalec v imenu tega upravljavca.

61

Na prvem mestu, glede vprašanja, ali je upravno globo mogoče naložiti na podlagi člena 83 SUVP le, če se ugotovi, da je upravljavec ali obdelovalec namerno ali iz malomarnosti storil kršitev iz odstavkov od 4 do 6 tega člena, iz odstavka 1 navedenega člena izhaja, da morajo biti te globe učinkovite, sorazmerne in odvračilne. Člen 83 SUVP pa ne določa izrecno, da je mogoče tako kršitev s tako globo sankcionirati le, če je bila storjena namerno ali vsaj iz malomarnosti.

62

Litovska vlada in Svet Evropske unije iz tega sklepata, da je zakonodajalec Unije želel državam članicam pustiti določeno polje proste presoje pri izvajanju člena 83 SUVP, ki jim omogoča, da po potrebi določijo naložitev upravnih glob na podlagi te določbe, ne da bi bilo ugotovljeno, da je bila kršitev SUVP, sankcionirana s to globo, storjena namerno ali iz malomarnosti.

63

Take razlage člena 83 SUVP ni mogoče sprejeti.

64

V zvezi s tem je treba opozoriti, da imajo na podlagi člena 288 PDEU določbe uredb na splošno takojšen učinek v nacionalnih pravnih redih, ne da bi morali nacionalni organi sprejeti izvedbene ukrepe. Vseeno pa bi morale države članice za izvajanje nekaterih določb uredb sprejeti izvedbene ukrepe (glej v tem smislu sodbo z dne 28. aprila 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, točka 58 in navedena sodna praksa).

65

To velja zlasti za SUVP, katere nekatere določbe dajejo državam članicam možnost, da določijo dodatna, strožja ali odstopajoča nacionalna pravila, ki jim puščajo polje proste presoje glede tega, kako se te določbe lahko izvajajo (sodba z dne 28. aprila 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, točka 57).

66

Prav tako je treba v pravnem redu vsake države članice, ker v SUVP ni posebnih postopkovnih pravil, ob spoštovanju načel enakovrednosti in učinkovitosti določiti podrobna pravila za vlaganje tožb, katerih namen je varstvo pravic, ki jih imajo pravni subjekti na podlagi določb te uredbe (glej v tem smislu sodbo z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točki 53 in 54 ter navedena sodna praksa).

67

Vendar nič v besedilu člena 83, od (1) do (6), SUVP ne omogoča ugotovitve, da je zakonodajalec Unije želel državam članicam pustiti polje proste presoje glede vsebinskih pogojev, ki jih mora nadzorni organ spoštovati, kadar se odloči upravljavcu naložiti upravno globo za kršitev iz odstavkov od 4 do 6 tega člena.

68

Na eni strani je res, da člen 83(7) SUVP določa, da lahko vsaka država članica določi pravila o tem, ali in v kolikšnem obsegu se lahko javnim organom in telesom, ustanovljenim v zadevni državi članici, naložijo upravne globe. Na drugi strani iz člena 83(8) te uredbe v povezavi z njeno uvodno izjavo 129 izhaja, da nadzorni organ izvaja pooblastila iz tega člena na podlagi ustreznih postopkovnih zaščitnih ukrepov v skladu s pravom Unije in pravom države članice, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom.

69

Vendar dejstvo, da navedena uredba državam članicam tako daje možnost, da določijo izjeme glede javnih organov in teles, ustanovljenih v zadevni državi članici, ter zahteve v zvezi s postopkom, po katerem morajo nadzorni organi naložiti upravno globo, nikakor ne pomeni, da so te države pooblaščene tudi, da poleg takih izjem in postopkovnih zahtev določijo vsebinske pogoje, ki jih je treba izpolnjevati za uveljavljanje odgovornosti upravljavca in naložitev upravne globe upravljavcu v skladu z navedenim členom 83. Poleg tega dejstvo, da je zakonodajalec Unije izrecno določil to možnost, ne pa tudi možnosti določitve takih vsebinskih pogojev, potrjuje, da državam članicam v zvezi s tem ni pustil polja proste presoje.

70

To ugotovitev potrjuje tudi razlaga člena 83 v povezavi s členom 84 SUVP. Člen 84(1) te uredbe namreč dopušča, da države članice obdržijo pristojnost za določitev pravil o „drugih kaznih, ki se uporabljajo“ za kršitve te uredbe, „zlasti za kršitve, za katere se ne uporabljajo upravne globe v skladu s členom 83“. Iz take povezane razlage teh določb tako izhaja, da določitev vsebinskih pogojev, ki omogočajo naložitev takih upravnih glob, ne spada v to pristojnost. Ti pogoji torej spadajo izključno na področje prava Unije.

71

V zvezi z navedenimi pogoji je treba navesti, da so v členu 83(2) SUVP našteti elementi, na podlagi katerih nadzorni organ upravljavcu naloži upravno globo. Med temi elementi je v točki (b) te določbe vključeno, da se ustrezno upošteva, „ali je kršitev naklepna ali posledica malomarnosti“. Nobeden od elementov, naštetih v navedeni določbi, pa se ne nanaša na kakršno koli možnost uveljavljanja odgovornosti upravljavca, če ni podana njegova krivda.

72

Poleg tega je treba člen 83(2) SUVP razlagati v povezavi z odstavkom 3 tega člena, katerega namen je določiti posledice steka kršitev te uredbe in v skladu s katerim, „če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev“.

73

Iz besedila člena 83(2) SUVP tako izhaja, da je mogoče le zaradi kršitev določb te uredbe, ki jih upravljavec stori krivdno, in sicer kršitev, storjenih namerno ali iz malomarnosti, temu upravljavcu na podlagi tega člena naložiti upravno globo.

74

Splošna sistematika in namen SUVP to razlago potrjujeta.

75

Po eni strani, zakonodajalec Unije je določil sistem sankcij, ki nadzornim organom omogoča, da naložijo najprimernejše sankcije glede na okoliščine posameznega primera.

76

Člen 58 SUVP, ki določa pooblastila nadzornih organov, namreč v odstavku 2(i) določa, da lahko ti organi v skladu s členom 83 te uredbe upravne globe naložijo „poleg ali namesto“ drugih popravljalnih ukrepov, naštetih v tem členu 58(2), kot so opozorila, opomini in odredbe. Prav tako je v uvodni izjavi 148 navedene uredbe med drugim navedeno, da lahko nadzorni organi, kadar gre za manjšo kršitev ali če bi upravna globa, ki bi bila verjetno naložena, pomenila nesorazmerno breme za fizično osebo, ne naložijo upravne globe in namesto nje izrečejo opomin.

77

Po drugi strani, zlasti iz uvodne izjave 10 SUVP je razvidno, da je cilj določb te uredbe med drugim zagotoviti visoko raven varstva posameznikov pri obdelavi osebnih podatkov v Uniji ter zato zagotoviti dosledno in enotno uporabo pravil za varstvo svoboščin in temeljnih pravic teh posameznikov pri obdelavi takih podatkov v celotni Uniji. V uvodnih izjavah 11 in 129 SUVP je poleg tega poudarjeno, da je treba za zagotovitev doslednega izvajanja te uredbe zagotoviti, da imajo nadzorni organi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter da lahko v primeru kršitev navedene uredbe naložijo enakovredne sankcije.

78

Obstoj sistema sankcij, ki omogoča, da se naloži upravna globa na podlagi člena 83 SUVP, če to upravičujejo posebne okoliščine vsakega posameznega primera, spodbuja upravljavce in obdelovalce, da ravnajo v skladu s to uredbo. Upravne globe z odvračilnim učinkom prispevajo h krepitvi varstva posameznikov pri obdelavi osebnih podatkov in so zato ključni element za zagotavljanje spoštovanja pravic teh posameznikov v skladu s ciljem te uredbe, da se zagotovi visoka raven varstva takih posameznikov pri obdelavi osebnih podatkov.

79

Vendar je zakonodajalec Unije menil, da za zagotovitev take visoke ravni varstva ni treba določiti naložitve upravnih glob v primeru, da krivda ni podana. Glede na to, da je namen SUVP hkrati enakovredna in enotna raven varstva in da jo je treba zato dosledno uporabljati v celotni Uniji, bi bilo v nasprotju s tem ciljem, če bi se državam članicam dovolilo, da določijo tako ureditev za naložitev globe na podlagi člena 83 te uredbe. Taka svoboda izbire bi poleg tega lahko izkrivila konkurenco med gospodarskimi subjekti v Uniji, kar bi bilo v nasprotju s cilji, ki jih je zakonodajalec Unije med drugim navedel v uvodnih izjavah 9 in 13 navedene uredbe.

80

Zato je treba ugotoviti, da člen 83 SUVP ne omogoča naložitve upravne globe za kršitev iz odstavkov od 4 do 6 tega člena, ne da bi bilo ugotovljeno, da je upravljavec to kršitev storil namerno ali iz malomarnosti, in da je zato krivdna kršitev pogoj za naložitev take globe.

81

V zvezi s tem je treba glede vprašanja, ali je bila kršitev storjena namerno ali iz malomarnosti in jo je zato mogoče sankcionirati z upravno globo na podlagi člena 83 SUVP, pojasniti še, da je upravljavca mogoče sankcionirati za ravnanje, ki spada na področje uporabe SUVP, če ta upravljavec ni mogel prezreti, da njegovo ravnanje pomeni kršitev, ne glede na to, ali se je zavedal, da krši določbe SUVP (glej po analogiji sodbe z dne 18. junija 2013, Schenker & Co. in drugi, C‑681/11, EU:C:2013:404, točka 37 in navedena sodna praksa; z dne 25. marca 2021, Lundbeck/Komisija, C‑591/16 P, EU:C:2021:243, točka 156, in z dne 25. marca 2021, Arrow Group in Arrow Generics/Komisija, C‑601/16 P, EU:C:2021:244, točka 97).

82

Kadar je upravljavec pravna oseba, je treba še pojasniti, da se za uporabo člena 83 SUVP ne zahteva ravnanje ali seznanjenost upravnega organa te pravne osebe (glej po analogiji sodbi z dne 7. junija 1983, Musique Diffusion française in drugi/Komisija, od 100/80 do 103/80, EU:C:1983:158, točka 97, in z dne 16. februarja 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Komisija, C‑94/15 P, EU:C:2017:124, točka 28 in navedena sodna praksa).

83

Na drugem mestu, v zvezi z vprašanjem, ali je mogoče upravljavcu na podlagi člena 83 SUVP naložiti upravno globo v zvezi z dejanji obdelave, ki jih izvede obdelovalec, je treba opozoriti, da je v skladu z opredelitvijo iz člena 4, točka 8, SUVP obdelovalec „fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca“.

84

Ker je upravljavec, kot je bilo navedeno v točki 36 te sodbe, odgovoren ne le za vsako obdelavo osebnih podatkov, ki jo izvede sam, ampak tudi za obdelavo, ki je izvedena v njegovem imenu, se temu upravljavcu lahko naloži upravna globa na podlagi člena 83 SUVP v položaju, v katerem so bili osebni podatki obdelani nezakonito in v katerem navedene obdelave v imenu navedenega upravljavca ni opravil tak upravljavec, ampak obdelovalec, na katerega se je zadnjenavedeni obrnil.

85

Vendar odgovornosti upravljavca za ravnanje obdelovalca ni mogoče razširiti na položaje, v katerih je obdelovalec obdelal osebne podatke zaradi svojih ciljev ali v katerih je obdelovalec te podatke obdelal na način, ki ni združljiv z okvirom ali pravili obdelave, kot jih je določil upravljavec, ali tako, da ni mogoče razumno šteti, da je ta upravljavec v to privolil. V skladu s členom 28(10) SUVP je treba v takem primeru obdelovalca namreč šteti za upravljavca v zvezi s tako obdelavo.

86

Glede na zgornje preudarke je treba na šesto vprašanje odgovoriti, da je treba člen 83 SUVP razlagati tako, da se na eni strani upravna globa lahko naloži na podlagi te določbe le, če se ugotovi, da je upravljavec namerno ali iz malomarnosti storil kršitev iz odstavkov od 4 do 6 tega člena, in da se na drugi strani taka globa lahko naloži upravljavcu v zvezi z dejanji obdelave osebnih podatkov, ki jih izvede obdelovalec v imenu tega upravljavca, razen če ta obdelovalec v okviru teh dejanj izvede obdelavo zaradi svojih ciljev ali če je te podatke obdelal na način, ki ni združljiv z okvirom ali pravili obdelave, kot jih je določil upravljavec, ali tako, da ni mogoče razumno šteti, da je upravljavec v to privolil.

87

Ker je ta postopek za stranke v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (veliki senat) razsodilo: