CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Anmodning om præjudiciel afgørelse indgivet af Vilniaus apygardos administracinis teismas (Litauen) den 12. november 2021 – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos mod Valstybinė duomenų apsaugos inspekcija

(Sag C-683/21)

Processprog: litauisk

Den forelæggende ret

Vilniaus apygardos administracinis teismas

Parter i hovedsagen

Sagsøger: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Sagsøgt: Valstybinė duomenų apsaugos inspekcija

Præjudicielle spørgsmål

Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7) ¹ , fortolkes således, at en person, der har til hensigt igennem et offentligt udbud at erhverve et værktøj til dataindsamling (mobilapplikation), også skal anses som dataansvarlig, selv om en offentlig indkøbskontrakt ikke er blev indgået, og det skabte produkt (mobilapplikation), til købet af hvilket et offentligt udbud var blevet anvendt, ikke er blevet overdraget?

Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en ordregivende myndighed, som ikke har erhvervet ejendomsretten til det skabte it-produkt, og som ikke har taget det i besiddelse, men hvor den endelige version af den skabte applikation indeholder links eller forbindelser til denne offentlige enhed og/eller hvor fortrolighedserklæringen, som ikke var officielt godkendt eller anerkendt af den pågældende offentlige myndighed, angav denne offentlige enhed som dataansvarlig, også skal anses for at være dataansvarlig?

Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en person, der ikke har foretaget nogen egentlig databehandling som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), og/eller ikke har givet en klar tilladelse/samtykke til udførelsen af sådanne behandlinger, også skal anses for at være dataansvarlig? Har det betydning for fortolkningen af begrebet »dataansvarlig«, at det it-produkt, som blev anvendt til behandlingen af personoplysninger, blev udviklet i overensstemmelse med den ordregivende myndigheds formulering af opgaven?

Såfremt en fastlæggelse af de faktiske databehandlingsaktiviteter er relevant for fortolkningen af begrebet »dataansvarlig«, skal definitionen af »behandling« af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), da fortolkes således, at den også omfatter situationer, hvor kopier af personoplysninger undervejs i forløbet omkring erhvervelsen af en mobilapplikation er blevet anvendt til testning af IT-systemer?

Skal fælles dataansvar i henhold til databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, fortolkes således, at det alene omfatter bevidst koordinerede handlinger i forbindelse med fastlæggelsen af formålet med og hjælpemidlerne til behandlingen af personoplysninger, eller kan dette begreb også fortolkes således, at fælles dataansvar også omfatter situationer, hvor der ikke foreligger en klar »ordning« vedrørende formålet med og hjælpemidlerne til databehandling og/eller handlinger ikke er koordineret mellem parterne? Er omstændighederne vedrørende det stadie i udviklingen af hjælpemidlerne til behandlingen af personoplysninger (IT-applikation) hvor personoplysninger blev behandlet og formålet med udviklingen af applikationen af juridisk betydning for fortolkningen af begrebet fælles dataansvar? Skal en »ordning« mellem fælles dataansvarlige forstås som udelukkende værende en klar og defineret fastlæggelse af de vilkår, som regulerer det fælles dataansvar?

Skal bestemmelsen i databeskyttelsesforordningens artikel 83, stk. 1, hvorefter »administrative bøder skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning«, fortolkes således, at den også omfatter tilfælde, hvor den »dataansvarlige« pålægges ansvar, når udvikleren i forbindelse med udviklingen af et IT-produkt også behandler personoplysninger, og fører de uretmæssige behandlinger af personoplysninger foretaget af databehandleren altid automatisk til, at den dataansvarlige ifalder et juridisk ansvar? Skal denne bestemmelse fortolkes således, at den også omfatter tilfælde, hvor den dataansvarlige har et objektivt ansvar?

____________

¹ Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).