Cerere de decizie preliminară introdusă de Vilniaus apygardos administracinis teismas (Lituania) la 12 noiembrie 2021 – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinė duomenų apsaugos inspekcija
(Cauza C-683/21)
Limba de procedură: lituaniana
Instanța de trimitere
Vilniaus apygardos administracinis teismas
Părțile din procedura principală
Reclamantă: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
Pârâtă: Valstybinė duomenų apsaugos inspekcija
Întrebările preliminare
1. Noțiunea de „operator” de la articolul 4 punctul 7 din RGPD1 poate fi interpretată în sensul că o persoană, care intenționează să achiziționeze un instrument de colectare a datelor (aplicație mobilă) prin intermediul unei achiziții publice, chiar dacă nu a fost încheiat un contract de achiziții publice și nu a fost transferat produsul creat (aplicația mobilă) pentru achiziționarea căruia a fost utilizată o procedură de achiziții publice, trebuie considerată de asemenea ca fiind un operator?
2. Noțiunea de „operator” de la articolul 4 punctul 7 din RGPD poate fi interpretată în sensul că o autoritate contractantă, care nu a dobândit dreptul de proprietate asupra produsului informatic creat și care nu s-a aflat în posesia acestuia, dar în cazul căreia versiunea finală a aplicației create furnizează linkuri sau interfețe acestei entități publice și/sau politica de confidențialitate, care nu a fost aprobată oficial sau recunoscută de entitatea publică în discuție, preciza că entitatea publică respectivă este ea însăși operator, trebuie considerată de asemenea ca fiind un operator?
3. Noțiunea de „operator” de la articolul 4 punctul 7 din RGPD poate fi interpretată în sensul că o persoană, care nu a realizat nicio operațiune efectivă de prelucrare a datelor, astfel cum a fost definită la articolul 4 alineatul (2) din RGPD, și/sau care nu a dat o permisiune/un consimțământ clar pentru realizarea unor astfel de operațiuni, trebuie considerată de asemenea ca fiind un operator? Faptul că produsul informatic utilizat pentru prelucrarea datelor cu caracter personal a fost creat în conformitate cu sarcina trasată de autoritatea contractantă este semnificativ pentru interpretarea noțiunii de „operator”?
4. În cazul în care stabilirea operațiunilor efective de prelucrare a datelor este pertinentă pentru interpretarea noțiunii de „operator”, definiția „prelucrării” datelor cu caracter personal de la articolul 4 punctul 2 din RGPD trebuie interpretată în sensul că se referă și la situațiile în care, la testarea sistemelor informatice în procesul de achiziționare a unei aplicații mobile, au fost utilizate copii ale unor date cu caracter personal?
5. O prelucrare în comun a datelor în conformitate cu articolul 4 punctul 7 și cu articolul 26 alineatul (1) din RGPD poate fi interpretată exclusiv în sensul că presupune acțiuni coordonate în mod intenționat în ceea ce privește stabilirea scopurilor și a mijloacelor de prelucrare a datelor sau această noțiune poate fi interpretată și în sensul în care prelucrarea în comun include și situațiile în care nu există un „acord” clar cu privire la scopurile și mijloacele de prelucrare a datelor și/sau acțiunile nu sunt coordonate între entități? Împrejurarea referitoare la stadiul la care, în cursul creării mijloacelor de prelucrare a datelor cu caracter personal (aplicația informatică), au fost prelucrate date cu caracter personal și scopul creării aplicației sunt importante din punct de vedere juridic pentru interpretarea noțiunii de prelucrare în comun a datelor? Un „acord” între operatorii asociați poate fi înțeles exclusiv ca o fiind o stabilire clară și definită a condițiilor care reglementează prelucrarea în comun a datelor?
6. Dispoziția cuprinsă la articolul 83 alineatul (1) din RGPD, potrivit căreia „[impunerea unor] amenzi administrative […] este […] eficace, proporțională și disuasivă”, trebuie interpretată în sensul că include și cazurile care atrag răspunderea „operatorului” atunci când, în procesul de creare a unui produs informatic, dezvoltatorul realizează și acțiuni de prelucrare a datelor cu caracter personal, iar acțiunile inadecvate de prelucrare a datelor cu caracter personal efectuate de operator determină întotdeauna în mod automat răspunderea juridică a operatorului? Această dispoziție trebuie interpretată în sensul că include și cazurile de răspundere obiectivă a operatorului?
____________
1 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).