Zadeva C‑683/21

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

proti

Valstybinė duomenų apsaugos inspekcija

(Predlog za sprejetje predhodne odločbe,
ki ga je vložilo Vilniaus apygardos administracinis teismas)

Sodba Sodišča (veliki senat) z dne 5. decembra 2023

„Predhodno odločanje – Varstvo osebnih podatkov – Uredba (EU) 2016/679 – Člen 4, točki 2 in 7 – Pojma ‚obdelava‘ in ,upravljavec‘ – Razvoj mobilne aplikacije informacijske tehnologije – Člen 26 – Skupno upravljanje – Člen 83 – Naložitev upravnih glob – Pogoji – Zahteva, da je kršitev naklepna ali da je posledica malomarnosti – Odgovornost upravljavca za obdelavo osebnih podatkov, ki jo je izvedel obdelovalec“

  1. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Pojem upravljavec – Subjekt, ki je podjetju naložil razvoj mobilne aplikacije informacijske tehnologije, ne da bi izvedel dejanja obdelave, ne da bi dal izrecno soglasje za njihovo izvedbo ali za dajanje te aplikacije na voljo javnosti in ne da bi navedeno aplikacijo kupil – Vključitev – Zahteva – Dejansko sodelovanje strank pri določitvi namenov in sredstev obdelave – Izjema

    (Uredba 2016/679 Evropskega parlamenta in Sveta, uvodna izjava 74 in člen 4, točka 7)

    (Glej točke od 30 do 38 in točko 1 izreka.)

  2. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Skupno upravljanje – Zahteva – Skupna določitev namenov in sredstev obdelave – Zahteva po obstoju dogovora med skupnimi upravljavci o določitvi namenov in sredstev obdelave ali o pogojih v zvezi s skupnim upravljanjem – Neobstoj

    (Uredba 2016/679 Evropskega parlamenta in Sveta, uvodna izjava 79 ter člena 4, točka 7, in 26(1))

    (Glej točke od 41 do 46 in točko 2 izreka.)

  3. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Pojem obdelave – Uporaba osebnih podatkov za računalniško testiranje mobilne aplikacije – Vključitev – Zahteva – Obdelava, ki se nanaša na osebne podatke – Obdelava anonimnih ali fiktivnih podatkov – Izključitev – Obdelava podatkov, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku – Vključitev

    (Uredba 2016/679 Evropskega parlamenta in Sveta, uvodna izjava 26 ter člen 4, točke 1, 2 in 5)

    (Glej točke od 50 do 59 in točko 3 izreka.)

  4. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Naložitev upravnih glob – Pogoji – Neobstoj manevrskega prostora držav članic, da določijo vsebinske pogoje v zvezi z naložitvijo upravne globe upravljavcu podatkov – Zahteva po kršitvi, ki jo upravljavec stori namerno ali iz malomarnosti

    (člen 288 PDEU; Uredba 2016/679 Evropskega parlamenta in Sveta, uvodne izjave 10, 129 in 148 ter členi 58, 83 in 84)

    (Glej točke od 64 do 82 in 86 ter točko 4 izreka.)

  5. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Naložitev upravnih glob – Možnost naložitve takšne globe upravljavcu za obdelavo osebnih podatkov, ki jo izvede obdelovalec – Izjeme

    (Uredba 2016/679 Evropskega parlamenta in Sveta, členi 4, točka 8, 28(10) in 83)

    (Glej točke od 83 do 86 in točko 4 izreka.)

Povzetek

Leta 2020 so se litovski organi za boljše obvladovanje pandemije covida-19 odločili organizirati nakup mobilne aplikacije informacijske tehnologije. Ta aplikacija naj bi prispevala k epidemiološkemu spremljanju, tako da bi omogočila beleženje in spremljanje podatkov oseb, izpostavljenih virusu, ki povzroča covid-19.

Zato je Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (nacionalni center za javno zdravje pri ministrstvu za zdravje, Litva, v nadaljevanju: CNSP), pooblaščen za ta nakup, stopil v stik z družbo UAB „IT sprendimai sėkmei“ (v nadaljevanju: družba ITSS) in jo pozval, naj tako mobilno aplikacijo razvije. Nato so zaposleni v CNSP tej družbi poslali elektronska sporočila, ki so se nanašala med drugim na vprašanja, ki bi morala biti vključena v to aplikacijo.

V obdobju od aprila do maja 2020 je bila mobilna aplikacija, ki jo je razvila družba ITSS, dostopna javnosti. Zato je bila ta aplikacija uporabljena s strani 3802 oseb, ki so posredovale različne podatke, ki so se nanašali nanje in ki so bili zahtevani s to aplikacijo. Vendar CNSP zaradi pomanjkanja sredstev družbi ITSS ni oddal nobenega javnega naročila za uraden nakup njene mobilne aplikacije in je postopek v zvezi s tem ustavil.

Medtem je nacionalni nadzorni organ začel preiskavo v zvezi z obdelavo osebnih podatkov, ki izhaja iz uporabe te aplikacije. Z odločbo tega organa, sprejeto na podlagi preiskave, je bila upravna globa naložena tako CNSP kot družbi ITSS, ki se je štela za skupnega upravljavca.

CNSP je to odločbo izpodbijal pri Vilniaus apygardos administracinis teismas (regionalno upravno sodišče v Vilni, Litva). Ker je to sodišče dvomilo o razlagi več določb SUVP ( 1 ), je pri Sodišču vložilo predlog za sprejetje predhodne odločbe.

Sodišče (veliki senat) je v sodbi pojasnilo pojme „upravljavec“, „skupni upravljavci“ in „obdelava“ ( 2 ) ter se izreklo o možnosti, da se upravljavcu ( 3 ) naloži upravna globa, če kršitev določb SUVP, ki se sankcionira, ni bila storjena namerno ali iz malomarnosti.

Presoja Sodišča

Na prvem mestu, Sodišče je navedlo, da je subjekt, ki je podjetju naložil razvoj mobilne aplikacije informacijske tehnologije in je v tem okviru sodeloval pri določitvi namenov in sredstev obdelave osebnih podatkov, ki se izvede s to aplikacijo, mogoče šteti za upravljavca. ( 4 ) Te ugotovitve ni mogoče ovreči z dejstvom, da ta subjekt sam ni izvedel dejanj obdelave takih podatkov, ni izrecno dal soglasja za izvedbo konkretnih dejanj take obdelave ali za dajanje navedene mobilne aplikacije na voljo javnosti ter ni kupil te mobilne aplikacije, razen če je navedeni subjekt pred tem dajanjem na voljo javnosti izrecno nasprotoval takemu dajanju na voljo in obdelavi osebnih podatkov, ki je iz tega izhajala.

Na drugem mestu, Sodišče je ugotovilo, da se pri opredelitvi dveh subjektov kot skupnih upravljavcev ne zahteva obstoj dogovora med tema subjektoma o določitvi namenov in sredstev obdelave osebnih podatkov niti obstoj dogovora, ki določa pogoje v zvezi s skupnim upravljanjem. V skladu s SUVP ( 5 ) morajo sicer skupni upravljavci z medsebojnim dogovorom na pregleden način določiti njihove dolžnosti za zagotovitev skladnosti z zahtevami iz te uredbe. Vendar obstoj takega dogovora ni poglavitni pogoj za opredelitev dveh subjektov ali več kot „skupnih upravljavcev“, temveč obveznost, ki je s SUVP naložena skupnim upravljavcem, ko so enkrat opredeljeni kot taki, da se zagotovi spoštovanje zahtev iz te uredbe, ki veljajo zanje. Tako ta opredelitev izhaja zgolj iz dejstva, da je več subjektov sodelovalo pri določitvi namenov in sredstev obdelave.

Glede skupne določitve namenov in sredstev obdelave s strani zadevnih subjektov je Sodišče pojasnilo, da ima lahko njihovo sodelovanje pri tej določitvi več različnih oblik in se lahko odraža v skupni odločitvi ali pa temelji na njihovih podobnih odločitvah. V zadnjenavedenem primeru pa se morajo te odločitve med seboj dopolnjevati, tako da ima vsaka od njih dejanski učinek na določitev namenov in sredstev obdelave.

Na tretjem mestu, Sodišče je navedlo, da uporaba osebnih podatkov za računalniško testiranje mobilne aplikacije pomeni obdelavo. ( 6 ) Drugače pa je, če so taki podatki anonimizirani tako, da posameznik, na katerega se ti podatki nanašajo, ni ali ni več določljiv, ali če gre za fiktivne podatke, ki se ne nanašajo na obstoječo fizično osebo.

Po eni strani namreč vprašanje, ali se osebni podatki uporabljajo za računalniško testiranje ali za drug namen, ne vpliva na opredelitev dejanja kot „obdelave“. Po drugi strani je mogoče le obdelavo, ki se nanaša na osebne podatke, opredeliti kot „obdelavo“ v smislu SUVP. Fiktivni ali anonimni podatki pa niso osebni podatki.

Na četrtem in zadnjem mestu, Sodišče je ugotovilo, da se lahko na podlagi člena 83 SUVP upravna globa upravljavcu naloži le, če se ugotovi, da je namerno ali iz malomarnosti kršil pravila iz te uredbe. ( 7 )

V zvezi s tem je Sodišče pojasnilo, da zakonodajalec Unije državam članicam ni pustil polja proste presoje glede vsebinskih pogojev, ki jih mora nadzorni organ spoštovati, kadar se odloči upravljavcu naložiti upravno globo na podlagi te določbe. Dejstvo, da SUVP državam članicam daje možnost, da določijo izjeme glede javnih organov in teles, ustanovljenih v zadevni državi članici, ( 8 ) ter zahteve v zvezi s postopkom, po katerem morajo nadzorni organi naložiti upravno globo, ( 9 ) nikakor ne pomeni, da so te države pooblaščene tudi, da določijo take vsebinske pogoje.

V zvezi s temi pogoji je Sodišče navedlo, da je med elementi, naštetimi v SUVP, na podlagi katerih nadzorni organ upravljavcu naloži upravno globo, vključeno, da se ustrezno upošteva, „ali je kršitev naklepna ali posledica malomarnosti“. ( 10 ) Nobeden od teh elementov pa se ne nanaša na kakršno koli možnost uveljavljanja odgovornosti upravljavca, če ni podana njegova krivda. Tako je mogoče le zaradi kršitev določb SUVP, ki jih upravljavec stori namerno ali iz malomarnosti, temu upravljavcu na podlagi člena 83 te uredbe naložiti upravno globo.

Sodišče je dodalo, da to razlago potrjujeta splošna sistematika in namen SUVP. V tem okviru je Sodišče pojasnilo, da obstoj sistema sankcij na podlagi SUVP, ki omogoča, da se upravljavcem in obdelovalcem, če to upravičujejo posebne okoliščine vsakega posameznega primera, naloži upravna globa, spodbuja upravljavce in obdelovalce, da ravnajo v skladu s to uredbo, in da upravne globe z odvračilnim učinkom prispevajo h krepitvi varstva posameznikov, na katere se nanašajo osebni podatki. Vendar je zakonodajalec Unije menil, da ni treba določiti naložitve upravnih glob v primeru, da krivda ni podana. Glede na to, da je namen SUVP hkrati enakovredna in enotna raven varstva in da jo je treba zato dosledno uporabljati v celotni Uniji, bi bilo v nasprotju s tem ciljem, če bi se državam članicam dovolilo, da določijo tako ureditev za naložitev globe.

Poleg tega je Sodišče ugotovilo, da se taka globa lahko naloži upravljavcu v zvezi z dejanji obdelave osebnih podatkov, ki jih izvede obdelovalec v imenu tega upravljavca, razen če ta obdelovalec v okviru teh dejanj izvede obdelavo zaradi svojih ciljev ali če je te podatke obdelal na način, ki ni združljiv z okvirom ali pravili obdelave, kot jih je določil upravljavec, ali tako, da ni mogoče razumno šteti, da je upravljavec v to privolil. V takem primeru je treba obdelovalca šteti za upravljavca take obdelave.

( 1 ) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2; v nadaljevanju: SUVP).

( 2 ) Opredeljene v členu 4, točka 7, členu 26(1) in členu 4(2) SUVP.

( 3 ) Na podlagi člena 83 SUVP.

( 4 ) V smislu člena 4, točka 7, SUVP.

( 5 ) Člen 26(1) SUVP v povezavi z njeno uvodno izjavo 79.

( 6 ) V smislu člena 4, točka 2, SUVP.

( 7 ) Kršitev iz člena 83, od (4) do (6).

( 8 ) Na podlagi člena 83(7) SUVP, ki določa, da „[…] lahko vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in telesom z ustanovitvijo v zadevni državi članici naložijo upravne globe“.

( 9 ) Na podlagi člena 83(8) SUVP v povezavi z njeno uvodno izjavo 129.

( 10 ) Člen 83(2)(b) SUVP.