CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Преюдициално запитване от Vilniaus apygardos administracinis teismas (Литва), постъпило на 12 ноември 2021 г. — Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinė duomenų apsaugos inspekcija

(Дело C-683/21)

Език на производството: литовски

Запитваща юрисдикция

Vilniaus apygardos administracinis teismas

Страни в главното производство

Жалбоподател: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Ответник: Valstybinė duomenų apsaugos inspekcija

Преюдициални въпроси

Може ли понятието „администратор“ по член 4, параграф 7 от ОРЗД¹ да се тълкува в смисъл, че за администратор трябва да се счита и лице, което възнамерява да придобие инструмент за събиране на данни (мобилно приложение) посредством обществена поръчка, независимо от това, че не е бил сключен договор за обществена поръчка и че не е била прехвърлена собствеността върху създадения продукт (мобилно приложение), за чието придобиване е била използвана процедура за възлагане на обществена поръчка?

Може ли понятието „администратор“ по член 4, параграф 7 от ОРЗД да се тълкува в смисъл, че за администратор трябва да се счита и възлагащият орган, който не е придобил собствеността и владението върху създадения ИТ продукт, когато окончателната версия на създаденото приложение има хипервръзки или интерфейси към този публичноправен субект и/или политиката на поверителност, която не е официално одобрена или призната от въпросния публичноправен субект, определя същия като администратор?

Може ли понятието „администратор“ по член 4, параграф 7 от ОРЗД да се тълкува в смисъл, че за администратор трябва да се счита и лицето, което не е извършило никакви реални операции по обработване на данни по смисъла на член 4, параграф 2 от ОРЗД и/или което не е дало ясно разрешение/съгласие за извършването на такива операции? От значение ли е за тълкуването на понятието „администратор“ обстоятелството, че ИТ продуктът, използван за обработването на лични данни, е създаден в съответствие с дадено от възлагащия орган задание?

Ако наличието на реални операции по обработване на данни е от значение за тълкуването на понятието „администратор“, следва ли понятието „обработване“ на лични данни съгласно член 4, параграф 2 от ОРЗД да се тълкува в смисъл, че обхваща и случаите, в които копия на лични данни са използвани за изпитването на ИТ системи в процеса на придобиването на мобилни приложения?

Може ли съвместното администриране на данни съгласно член 4, параграф 7 и член 26, параграф 1 от ОРЗД да се тълкува в смисъл, че е налице само при умишлено съгласувани действия за определяне на целта и средствата на обработването на данни, или това понятие може да се тълкува и като обхващащо също и случаите, в които няма ясна „договореност“ по отношение на целта и средствата на обработването на данни и/или съгласувани действия между субектите? От правна гледна точка има ли значение за тълкуването на понятието „съвместно администриране на данни“ на кой етап от процеса на създаване на средството за обработване на лични данни (ИТ приложението) са обработени личните данни и с каква цел се създава приложението? Може ли под „договореност“ между съвместните администратори да се разбира единствено ясното и изрично определяне на условията за съвместното администриране на данни?

Трябва ли разпоредбата на член 83, параграф 1 от ОРЗД, съгласно която „административни[те] наказания „глоба“ или „имуществена санкция“ [...] са ефективни, пропорционални и възпиращи“, да се тълкува в смисъл, че обхваща и хипотезата на отговорност на „администратора“, когато в процеса на създаване на ИТ продукт разработчикът извършва и действия по обработване на лични данни, и водят ли неправомерно извършените от обработващия лични данни действия по обработването им винаги автоматично до правна отговорност на администратора? Трябва ли тази разпоредба да се тълкува в смисъл, че обхваща и случаите на обективна отговорност на администратора?

____________

¹ Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1).