PRESUDA SUDA (veliko vijeće)
5. prosinca 2023.(*)
„Zahtjev za prethodnu odluku – Zaštita osobnih podataka – Uredba (EU) 2016/679 – Članak 4. točke 2. i 7. – Pojmovi,obrada’ i,voditelj obrade’ – Razvoj informatičke mobilne aplikacije – Članak 26. – Zajedničko vođenje obrade – Članak 83. – Izricanje upravnih novčanih kazni – Uvjeti – Zahtjev namjernog kršenja ili kršenja iz nepažnje – Odgovornost voditelja obrade za obradu osobnih podataka koju provodi izvršitelj obrade”
U predmetu C‑683/21,
povodom zahtjeva za prethodnu odluku na temelju članka 267. UFEU‑a, koji je uputio Vilniaus apygardos administracinis teismas (Okružni upravni sud u Vilniusu, Litva), odlukom od 22. listopada 2021., koju je Sud zaprimio 12. studenoga 2021., u postupku
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
protiv
Valstybinė duomenų apsaugos inspekcija,
uz sudjelovanje:
UAB „IT sprendimai sėkmei”,
Lietuvos Respublikos sveikatos apsaugos ministerija,
SUD (veliko vijeće),
u sastavu: K. Lenaerts, predsjednik, L. Bay Larsen, potpredsjednik, A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, O. Spineanu–Matei, predsjednici vijeća, M. Ilešič, J.-C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (izvjestitelj), N. Wahl i M. Gavalec, suci,
nezavisni odvjetnik: N. Emiliou,
tajnik: C. Strömholm, administratorica,
uzimajući u obzir pisani dio postupka i nakon rasprave održane 17. siječnja 2023.,
uzimajući u obzir očitovanja koja su podnijeli:
– za Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, G. Aleksienė,
– za Valstybinė duomenų apsaugos inspekcija, R. Andrijauskas,
– za litavsku vladu, V. Kazlauskaitė-Švenčionienė, u svojstvu agenta,
– za nizozemsku vladu, C. S. Schillemans, u svojstvu agenta,
– za Vijeće Europske unije, R. Liudvinavičiūtė i K. Pleśniak, u svojstvu agenata,
– za Europsku komisiju, A. Bouchagiar, H. Kranenborg i A. Steiblytė, u svojstvu agenata,
saslušavši mišljenje nezavisnog odvjetnika na raspravi održanoj 4. svibnja 2023.,
donosi sljedeću
Presudu
1 Zahtjev za prethodnu odluku odnosi se na tumačenje članka 4. točaka 2. i 7., članka 26. stavka 1. i članka 83. stavka 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. i ispravci SL 2018., L 127, str. 2. i SL 2021., L 74, str. 35.; u daljnjem tekstu: OUZP).
2 Zahtjev je podnesen u okviru spora između Nacionalinis visuomenės sveikatos centrasa prie Sveikatos apsaugos ministerijos (Nacionalni centar za javno zdravstvo pri Ministarstvu zdravstva, Litva, u daljnjem tekstu: NVSC) i Valstybinė duomenų apsaugos inspekcije (Državna inspekcija za zaštitu podataka, Litva, u daljnjem tekstu: VDAI) u vezi s odlukom kojom je potonja NVSC‑u izrekla upravnu novčanu kaznu na temelju članka 83. OUZP‑a zbog kršenja članaka 5., 13., 24., 32. i 35. te uredbe.
Pravni okvir
Pravo Unije
3 U uvodnim izjavama 9., 10., 11., 13., 26., 74., 79., 129. i 148. OUZP‑a propisuje se:
„(9) […] Razlike u razini zaštite prava i sloboda pojedinaca, a posebno prava na zaštitu osobnih podataka, koje pružaju države članice u vezi s obradom osobnih podataka mogu spriječiti slobodni protok osobnih podataka u [Europskoj] uniji. Te razlike stoga mogu predstavljati prepreku obavljanju gospodarskih djelatnosti na razini Unije, narušiti tržišno natjecanje te spriječiti nadležna tijela u ispunjenju njihovih odgovornosti na temelju prava Unije. […]
(10) Kako bi se osigurala postojana i visoka razina zaštite pojedinaca te uklonile prepreke protoku osobnih podataka unutar Unije, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka trebala bi biti jednaka u svim državama članicama. U čitavoj Uniji trebalo bi osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka. […]
(11) Djelotvorna zaštita osobnih podataka širom Unije zahtijeva jačanje i detaljno određivanje prava ispitanika i obveza onih koji obrađuju i određuju obradu osobnih podataka, kao i jednake ovlasti praćenja i osiguravanja poštovanja pravila za zaštitu osobnih podataka i jednake sankcije za kršenja u državama članicama.
[…]
(13) Kako bi se osigurala dosljedna razina zaštite pojedinaca širom Unije i spriječila razilaženja koja ometaju slobodno kretanje osobnih podataka na unutarnjem tržištu, potrebna je Uredba radi pružanja pravne sigurnosti i transparentnosti gospodarskim subjektima, uključujući mikropoduzeća, mala i srednja poduzeća, te pružanja pojedincima u svim državama članicama iste razine pravno primjenjivih prava i obveza te odgovornosti za voditelje obrade i izvršitelje obrade kako bi se osiguralo postojano praćenje obrade osobnih podataka i jednake sankcije u svim državama članicama, kao i djelotvorna suradnja između nadzornih tijela različitih država članica. […]
[…]
(26) Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. […] Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.
[…]
(74) Trebalo bi uspostaviti dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede s[â]m voditelj obrade ili netko drugi u ime voditelja obrade. Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom uključujući i djelotvornost mjera. Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca.
[…]
(79) Zaštita prava i sloboda ispitanikâ, kao i dužnost i odgovornost voditeljâ obrade i izvršiteljâ obrade […] zahtijevaju jasno utvrđivanje dužnosti u skladu s ovom Uredbom, među ostalim u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kada se postupak obrade provodi u ime voditelja obrade.
[…]
(129) Kako bi se osiguralo dosljedno praćenje i provedba ove Uredbe u cijeloj Uniji, nadzorna tijela trebala bi u svakoj državi članici imati iste zadaće i stvarne ovlasti, među ostalim ovlasti za vođenje istrage, korektivne ovlasti i sankcije […] Ovlasti nadzornih tijela trebale bi se izvršavati u skladu s primjerenim postupovnim zaštitnim mjerama utvrđenima u pravu Unije i pravu države članice nepristrano, pošteno i u razumnom roku. Konkretno, svaka bi mjera trebala biti primjerena, nužna i proporcionalna s ciljem osiguranja sukladnosti s ovom Uredbom, uzimajući u obzir okolnosti svakog pojedinačnog slučaja, poštovanje prava svake osobe da se sasluša prije poduzimanja bilo koje pojedinačne mjere koja bi štetno utjecala na nju te izbjegavanje suvišnih troškova i prekomjernih neugodnosti za dotične osobe. Ovlasti za vođenje istrage u pogledu pristupa objektima trebale bi se izvršavati u skladu s posebnim zahtjevima postupovnog prava države članice, poput zahtjeva za dobivanje prethodnog sudskog ovlaštenja. Svaka pravno obvezujuća mjera nadzornog tijela trebala bi biti u pisanom obliku, biti jasna i jednoznačna, navoditi nadzorno tijelo koje je izdalo mjeru, datum izdavanja mjere, sadržavati potpis predsjednika ili člana nadzornog tijela kojeg je on ovlastio, navoditi razloge za tu mjeru i upućivati na pravo na učinkoviti pravni lijek. Time se ne bi trebali isključiti dodatni zahtjevi na temelju postupovnog prava države članice. Donošenje pravno obvezujuće odluke podrazumijeva da to može dovesti do sudskog preispitivanja u državi članici nadzornog tijela koje je donijelo određenu odluku.
[…]
(148) Kako bi se poboljšalo izvršavanje pravila ove Uredbe, trebale bi se propisati sankcije, uključujući upravne novčane kazne, za svako kršenje ove Uredbe, uz odgovarajuće mjere koje propisuje nadzorno tijelo u skladu s ovom Uredbom ili umjesto njih. U slučaju lakšeg kršenja ili ako bi moguća novčana kazna nerazmjerno opteretila fizičku osobu, umjesto novčane kazne može se izdati [službena opomena]. Međutim, posebna bi se pozornost trebala posvetiti naravi, ozbiljnosti i trajanju kršenja, namjeri kršenja, mjerama poduzetim za ublažavanje pretrpljene štete, stupnju odgovornosti ili svim relevantnim prethodnim kršenjima, načinu na koji je nadzorno tijelo doznalo za kršenje, usklađenosti s mjerama naloženima protiv voditelja obrade ili izvršitelja obrade, pridržavanju kodeksa ponašanja te svakom drugom otegotnom ili olakotnom čimbeniku. Propisivanje sankcija, uključujući upravne novčane kazne, trebalo bi podlijegati odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima prava Unije i [Poveljom Europske unije o temeljnim pravima], uključujući i učinkovitu sudsku zaštitu i pravilno postupanje.”
4 U skladu s člankom 4. te uredbe:
„Za potrebe ove Uredbe:
1. ,osobni podaci’ znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (,ispitanik’); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
2. ,obrada’ znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
[…]
5. ,pseudonimizacija’ znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;
[…]
7. ,voditelj obrade’ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;
8. ‚izvršitelj obrade’ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
[…]”
5 Članak 26. navedene uredbe, naslovljen „Zajednički voditelji obrade”, u stavku 1. navodi:
„Ako dvoje ili više voditelja obrade zajednički odrede svrhe i načine obrade, oni su zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza iz ove Uredbe, osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti u pogledu pružanja informacija iz članaka 13. i 14., te to čine međusobnim dogovorom, osim ako su odgovornosti voditeljâ obrade utvrđene pravom Unije ili pravom države članice kojem voditelji obrade podliježu i u mjeri u kojoj su one utvrđene. Dogovorom se može odrediti kontaktna točka za ispitanike.”
6 Člankom 28. te uredbe, naslovljenim „Izvršitelj obrade”, u stavku 10. predviđa se:
„Ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.”
7 Člankom 58. OUZP‑a, naslovljenim „Ovlasti”, u stavku 2. određuje se:
„Svako nadzorno tijelo ima sve sljedeće korektivne ovlasti:
(a) izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade lako mogli prouzročiti kršenje odredaba ove Uredbe;
(b) izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe;
[…]
(d) narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određen način i u točno zadanom roku;
[…]
(f) privremeno ili konačno ograničiti, među ostalim zabraniti, obradu;
[…]
(i) izreći upravnu novčanu kaznu u skladu s člankom 83. uz mjere, ili umjesto mjera koje se navode u ovom stavku, ovisno o okolnostima svakog pojedinog slučaja;
[…]”
8 U članku 83. te uredbe, naslovljenom „Opći uvjeti za izricanje upravnih novčanih kazni”, predviđa se:
„1. Svako nadzorno tijelo osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja ove Uredbe iz stavaka 4., 5. i 6. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće.
2. Upravne novčane kazne izriču se uz mjere ili umjesto mjera iz članka 58. stavka 2. točaka od (a) do (h) i članka 58. stavka 2. točke (j), ovisno o okolnostima svakog pojedinog slučaja. Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:
(a) prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli;
(b) ima li kršenje obilježje namjere ili nepažnje;
(c) svakoj radnji koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici;
(d) stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.;
(e) svim relevantnim prijašnjim kršenjima voditelja obrade ili izvršitelja obrade;
(f) stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja;
(g) kategorijama osobnih podataka na koje kršenje utječe;
(h) načinu na koji je nadzorno tijelo doznalo za kršenje, osobito je li i u kojoj mjeri voditelj obrade ili izvršitelj obrade izvijestio o kršenju;
(i) ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 58. stavka 2., poštovanju tih mjera;
(j) poštovanju odobrenih kodeksa ponašanja u skladu s člankom 40. ili odobrenih mehanizama certificiranja u skladu s člankom 42.; i
(k) svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem.
3. Ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredaba ove Uredbe, ukupan iznos [upravne] novčane kazne ne smije biti veći od iznosa utvrđenog za najteže kršenje.
4. Za kršenja sljedećih odredaba, u skladu sa stavkom 2., mogu se izreći upravne novčane kazne u iznosu do 10 000 000 [eura], ili u slučaju poduzetnika do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:
(a) obveza voditelja obrade i izvršitelja obrade u skladu s člancima 8., 11., od 25. do 39., te 42. i 43.;
[…]
5. Za kršenja sljedećih odredaba, u skladu sa stavkom 2., mogu se izreći upravne novčane kazne u iznosu do 20 000 000 [eura], ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:
(a) osnovnih načela za obradu, što uključuje uvjete privole u skladu s člancima 5., 6., 7. i 9.;
(b) prava ispitanika u skladu s člancima od 12. do 22.;
[…]
(d) svih obveza u skladu s pravom države članice donesenim na temelju poglavlja IX.;
[…]
6. Za nepoštovanje naredbe nadzornog tijela iz članka 58. stavka 2. u skladu sa stavkom 2. ovog članka mogu se izreći upravne novčane kazne u iznosu do 20 000 000 [eura], ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.
7. Ne dovodeći u pitanje korektivne ovlasti nadzornih tijela iz članka 58. stavka 2. svaka država članica može utvrditi pravila mogu li se i u kojoj mjeri tijelima javne vlasti i javnim tijelima osnovanima u toj državi članici izreći upravne novčane kazne.
8. Na izvršavanje ovlasti nadzornog tijela u skladu s ovim člankom primjenjuju se odgovarajuće postupovne zaštitne mjere u skladu s pravom Unije i pravom države članice, uključujući učinkoviti sudski pravni lijek i pravilno postupanje.
[…]”
9 Člankom 84. navedene uredbe, naslovljenim „Sankcije”, stavkom 1. određuje se:
„Države članice utvrđuju pravila o ostalim sankcijama koje se primjenjuju na kršenja ove Uredbe, a posebno na ona kršenja koja ne podliježu upravnim novčanim kaznama na temelju članka 83., te poduzimaju sve potrebne mjere kako bi se osigurala njihova provedba. Te sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.”
Litavsko pravo
10 U članku 29. stavku 3. Viešųjų pirkimų įstatymasa (Zakon o javnoj nabavi) navode se određene okolnosti u kojima javni naručitelj ima pravo ili obvezu obustaviti postupke javne nabave ili natječaje pokrenute na njegovu inicijativu i to u bilo kojem trenutku prije sklapanja ugovora o nabavi (ili predugovora) ili utvrđivanja pobjednika natječaja.
11 Člankom 72. stavkom 2. Zakona o javnoj nabavi propisuju se faze pregovora koje javni naručitelj provodi u okviru pregovaračkog postupka javne nabave bez prethodne objave.
Glavni postupak i prethodna pitanja
12 Lietuvos Respublikos sveikatos apsaugos ministras (Ministarstvo zdravstva Republike Litve) odlukom od 24. ožujka 2020. naložio je u kontekstu pandemije uzrokovane virusom bolesti COVID-19 ravnatelju NVSC‑a da organizira hitnu nabavu informatičkog sustava radi bilježenja i praćenja podataka osoba izloženih tom virusu za potrebe epidemiološkog praćenja.
13 Jedna osoba je porukom elektroničke pošte od 27. ožujka 2020., predstavljajući se kao NVSC‑ov predstavnik (u daljnjem tekstu: osoba A. S.), obavijestila društvo UAB „IT sprendimai sėkmei” (u daljnjem tekstu: društvo ITSS) da ju je NVSC odabrao za razvoj mobilne aplikacije u tu svrhu. Osoba A. S. je potom poslala poruke elektroničke pošte društvu ITSS u vezi s različitim aspektima razvoja te aplikacije, pri čemu je kopija tih poruka elektroničke pošte bila upućena NVSC‑ovu ravnatelju.
14 Tijekom pregovora između društva ITSS i NVSC‑a, uz osobu A. S., i drugi NVSC‑ovi zaposlenici slali su poruke elektroničke pošte tom društvu u vezi sa sastavljanjem pitanja koja će se postavljati u predmetnoj mobilnoj aplikaciji.
15 Prilikom razvoja te mobilne aplikacije razrađena je politika zaštite privatnosti u okviru koje su društvo ITSS i NVSC navedeni kao voditelji obrade.
16 Predmetna mobilna aplikacija u kojoj se spominju društvo ITSS i NVSC bila je dostupna za preuzimanje u internetskoj trgovini Google Play Store od 4. travnja 2020. te u internetskoj trgovini Apple App Store od 6. travnja 2020. Bila je u funkciji do 26. svibnja 2020.
17 Između 4. travnja 2020. i 26. svibnja 2020. 3802 osobe koristile su se tom aplikacijom i dostavile podatke koji se na njih odnose, a koje je navedena aplikacija tražila, poput identifikacijskog broja, geografskih koordinata (geografska širina i dužina), zemlje, grada, općine, poštanskog broja, naziva ulice, uličnog broja, prezimena, imena, osobnog identifikacijskog broja, telefonskog broja i adrese.
18 Drugom odlukom od 10. travnja 2020. ministar zdravstva Republike Litve odlučio je NVSC‑ovu ravnatelju povjeriti zadatak organizacije nabave predmetne mobilne aplikacije od društva ITSS te se u tu svrhu namjeravao koristiti člankom 72. stavkom 2. Zakona o javnoj nabavi. Međutim, tom društvu nije dodijeljen nikakav ugovor o javnoj nabavi na temelju kojeg bi NVSC službeno nabavio tu aplikaciju.
19 Naime, 15. svibnja 2020. NVSC je zatražio od navedenog društva da ga se ni na koji način ne spominje u predmetnoj mobilnoj aplikaciji. Nadalje, dopisom od 4. lipnja 2020. NVSC je izvijestio to društvo da je zbog nedostatka financijskih sredstava za nabavu te aplikacije okončao taj postupak nabave, u skladu s člankom 29. stavkom 3. Zakona o javnoj nabavi.
20 VDAI je u okviru istrage o obradi osobnih podataka pokrenute 18. svibnja 2020. utvrdio da su osobni podaci prikupljeni putem predmetne mobilne aplikacije. Osim toga, utvrđeno je da su korisnici koji su odabrali tu aplikaciju kao metodu praćenja izolacije koja je postala obvezna zbog pandemije bolesti COVID-19 odgovarali na pitanja koja uključuju obradu osobnih podataka. Ti su podaci dostavljeni u odgovorima na pitanja koja su bila postavljena putem navedene aplikacije, a odnosila su se posebice na zdravstveno stanje ispitanika i njegovo poštovanje uvjeta izolacije.
21 VDAI je NVSC‑u odlukom od 24. veljače 2021. izrekao upravnu novčanu kaznu u iznosu od 12 000 eura na temelju članka 83. OUZP‑a zbog kršenja članaka 5., 13., 24., 32. i 35. te uredbe. Tom odlukom izrečena je i upravna novčana kazna od 3000 eura društvu ITSS kao zajedničkom voditelju obrade.
22 NVSC je osporavao tu odluku pred Vilniaus apygardos administracinis teismasom (Okružni upravni sud u Vilniusu, Litva), sudom koji je uputio zahtjev, pri čemu je tvrdio da se društvo ITSS mora smatrati jedinim voditeljem obrade u smislu članka 4. točke 7. OUZP‑a. Društvo ITSS, međutim, ističe da je djelovalo kao izvršitelj obrade u smislu članka 4. točke 8. OUZP‑a prema uputama NVSC‑a koji je, prema njemu, jedini voditelj obrade.
23 Sud koji je uputio zahtjev navodi da je društvo ITSS razvilo predmetnu mobilnu aplikaciju i da ga je NVSC savjetovao u pogledu sadržaja pitanja postavljenih putem te aplikacije. Međutim, ne postoji ugovor o javnoj nabavi između NVSC‑a i društva ITSS. Osim toga, NVSC navodno nije pristao niti dopustio da ta aplikacija bude dostupna putem raznih internetskih trgovina.
24 Taj sud pojašnjava da je razvoj predmetne mobilne aplikacije bio namijenjen ostvarenju cilja koji je postavio NVSC, odnosno kontrole pandemije bolesti COVID-19 razvojem informatičkog alata, te da je u tu svrhu bila predviđena obrada osobnih podataka. Kada je riječ o ulozi društva ITSS, nije bilo predviđeno da to društvo slijedi druge ciljeve osim primanja naknade za razvijeni informatički proizvod.
25 Navedeni sud također primjećuje da je tijekom VDAI‑jeve istrage utvrđeno da je koja će se postavljati društvo Juvare Lithuania, upravitelj informatičkog sustava za praćenje i kontrolu zaraznih bolesti kod kojih postoji rizik od širenja, trebalo primati kopije osobnih podataka koji su prikupljeni u okviru predmetne mobilne aplikacije. Nadalje, za potrebe njezina testiranja korišteni su fiktivni podaci, osim telefonskih brojeva zaposlenika navedenog društva.
26 U tim okolnostima Vilniaus apygardos administracinis teismas (Okružni upravni sud u Vilniusu) odlučio je prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:
„1. Može li se pojam ‚voditelj obrade’ iz članka 4. točke 7. OUZP‑a tumačiti na način da obuhvaća i osobu koja u postupku javne nabave namjerava nabaviti alat za prikupljanje podataka (mobilna aplikacija), neovisno o činjenici da ugovor o javnoj nabavi nije sklopljen te da stvoreni proizvod (mobilna aplikacija), za čiju je nabavu upotrijebljen postupak javne nabave, nije prenesen na tu osobu?
2. Može li se pojam ‚voditelj obrade’ iz članka 4. točke 7. OUZP‑a tumačiti na način da obuhvaća i javnog naručitelja koji nije stekao pravo vlasništva nad stvorenim informatičkim proizvodom niti je nad njime preuzeo upravljanje, ali pri čemu konačna verzija te aplikacije sadržava poveznice ili sučelja prema tom javnom subjektu i/ili pri čemu je u politici o povjerljivosti, koju taj javni subjekt nije službeno ni odobrio ni priznao, on određen kao voditelj obrade?
3. Može li se pojam ‚voditelj obrade’ iz članka 4. točke 7. OUZP‑a tumačiti na način da obuhvaća i osobu koja nije provela niti jednu konkretnu radnju obrade podataka predviđenu člankom 4. točkom 2. OUZP‑a i/ili nije dala jasno dopuštenje/suglasnost za provedbu takvih radnji? Je li za tumačenje pojma ‚voditelj obrade’ relevantna činjenica da je informatički proizvod koji se upotrebljava za obradu osobnih podataka stvoren u skladu s uputama javnog naručitelja?
4. Ako je postojanje konkretnih radnji obrade podataka relevantno za tumačenje pojma ‚voditelj obrade’, treba li definiciju ‚obrade osobnih podataka’ iz članka 4. točke 2. OUZP‑a tumačiti na način da obuhvaća i situacije u kojima su se primjerci osobnih podataka upotrebljavali za testiranje informatičkih sustava u okviru postupka nabave mobilne aplikacije?
5. Može li se zajedničko vođenje obrade podataka u skladu s člankom 4. točkom 7. i člankom 26. stavkom 1. OUZP‑a tumačiti isključivo na način da podrazumijeva namjerno usklađivanje određivanja svrhe i sredstava obrade podataka ili se taj pojam može tumačiti na način da obuhvaća i situacije u kojima nema jasnog ‚dogovora’ u pogledu svrhe i sredstava obrade podataka i/ili u kojima uključeni subjekti međusobno ne koordiniraju svoje radnje? Jesu li faza u razvoju sredstva obrade osobnih podataka (informatičke aplikacije) u kojoj su osobni podaci obrađeni i svrha razvoja aplikacije pravno relevantni za tumačenje pojma zajedničkog vođenja obrade podataka? Mora li ‚dogovor’ između zajedničkih voditelja obrade imati isključivo oblik uspostave jasnih i definiranih uvjeta zajedničkog vođenja obrade podataka?
6. Treba li članak 83. stavak 1. OUZP‑a, prema kojem je ‚izricanje upravnih novčanih kazni […] učinkovito, proporcionalno i odvraćajuće’, tumačiti na način da obuhvaća i slučajeve nametanja odgovornosti ‚voditelju obrade’ u kojima, u postupku razvoja informatičkog proizvoda, subjekt koji razvija taj proizvod također provodi radnje obrade osobnih podataka, te je li voditelj obrade uvijek automatski pravno odgovoran za povrede koje je izvršitelj obrade počinio prilikom obrade osobnih podataka? Treba li tu odredbu tumačiti na način da obuhvaća i slučajeve neskrivljene odgovornosti voditelja obrade?”
O prethodnim pitanjima
Prvo, drugo i treće pitanje
27 Svojim prvim, drugim i trećim pitanjem, koja valja ispitati zajedno, sud koji je uputio zahtjev u biti pita treba li članak 4. točku 7. OUZP‑a tumačiti na način da se može smatrati voditeljem obrade podataka u smislu te odredbe subjekt koji je od poduzetnika naručio razvoj mobilne informatičke aplikacije, iako taj subjekt nije sâm provodio postupke obrade osobnih podataka, nije izričito dao svoju privolu za obavljanje konkretnih postupaka takve obrade ili za stavljanje te mobilne aplikacije na raspolaganje javnosti te nije nabavio navedenu mobilnu aplikaciju.
28 U članku 4. točki 7. OUZP‑a pojam „voditelj obrade” definira se široko tako da obuhvaća fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili drugo tijelo koje samo ili zajedno s drugima „određuje svrhe i sredstva obrade” osobnih podataka.
29 Cilj te široke definicije je, u skladu s ciljem iz OUZP‑a, osigurati učinkovitu zaštitu sloboda i temeljnih prava fizičkih osoba, a posebno visoku razinu zaštite prava svake osobe na zaštitu osobnih podataka koji se na nju odnose (vidjeti u tom smislu presude od 29. srpnja 2019., Fashion ID, C‑40/17, EU:C:2019:629, t. 66. i od 28. travnja 2022., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, t. 73. i navedenu sudsku praksu).
30 Sud je već presudio da se svaka fizička ili pravna osoba koja u vlastite svrhe utječe na obradu osobnih podataka i sudjeluje stoga u utvrđivanju svrha i sredstava te obrade može smatrati voditeljem navedene obrade. U tom pogledu nije nužno da su svrhe i sredstva obrade određeni pisanim smjernicama ili uputama voditelja obrade (vidjeti u tom smislu presudu od 10. srpnja 2018., Jehovan todistajat, C‑25/17, EU:C:2018:551, t. 67. i 68.) niti da voditelj obrade bude službeno imenovan kao takav.
31 Stoga, da bi se utvrdilo može li se subjekt kao što je NVSC smatrati voditeljem obrade u smislu članka 4. točke 7. OUZP‑a, potrebno je ispitati je li taj subjekt stvarno utjecao u vlastite svrhe na određivanje svrha i sredstava te obrade.
32 U ovom slučaju, podložno provjerama koje mora provesti sud koji je uputio zahtjev, iz spisa kojim Sud raspolaže proizlazi da je razvoj predmetne mobilne aplikacije naručio NVSC i da je namjera bila ostvariti cilj koji je on postavio, to jest kontrolu pandemije bolesti COVID-19 putem informatičkog alata u svrhu bilježenja i praćenja podataka osoba koje su bile izložene virusu koji izaziva bolest COVID-19. U tu svrhu NVSC je predvidio obradu osobnih podataka korisnika predmetne mobilne aplikacije. Nadalje, iz odluke kojom se upućuje zahtjev za prethodnu odluku proizlazi da su parametri te aplikacije, poput postavljenih pitanja i njihove formulacije, bili prilagođeni NVSC‑ovim potrebama te da je on imao aktivnu ulogu u njihovu određivanju.
33 U tim uvjetima, načelno se mora smatrati da je NVSC stvarno sudjelovao u određivanju svrha i sredstava obrade.
34 Nasuprot tomu, sama činjenica da je NVSC spomenut kao voditelj obrade u okviru politike zaštite privatnosti predmetne mobilne aplikacije te da su poveznice na taj subjekt bile uključene u toj aplikaciji može se smatrati relevantnom samo ako se utvrdi da je NVSC izričito ili prešutno pristao na to spominjanje ili te poveznice.
35 Osim toga, okolnosti koje je sud koji je uputio zahtjev naveo u okviru razmatranjâ u prilog njegovim prvim trima prethodnim pitanjima, odnosno da NVSC nije sâm obrađivao osobne podatke, da nije postojao ugovor između NVSC‑a i društva ITSS, da NVSC nije nabavio predmetnu mobilnu aplikaciju ili pak da distribuciju te aplikacije putem internetskih trgovina NVSC nije odobrio, ne isključuju mogućnost da se potonji kvalificira kao „voditelj obrade” u smislu članka 4. točke 7. OUZP‑a.
36 Naime, iz te odredbe, u vezi s uvodnom izjavom 74. OUZP‑a, proizlazi da je subjekt, sve dok ispunjava uvjet postavljen navedenim člankom 4. točkom 7., voditelj ne samo svake obrade osobnih podataka koju on sâm provodi nego i onih koje provodi netko drugi u njegovo ime.
37 U tom pogledu, ipak je važno pojasniti da se NVSC ne može smatrati voditeljem obrade osobnih podataka koja proizlazi iz stavljanja predmetne mobilne aplikacije na raspolaganje javnosti ako se prije tog stavljanja na raspolaganje izričito tomu suprotstavio, što je na sudu koji je uputio zahtjev da provjeri. Naime, u takvom slučaju ne može se smatrati da je predmetna obrada izvršena u NVSC‑ovo ime.
38 S obzirom na sva prethodna razmatranja, na prvo, drugo i treće pitanje valja odgovoriti tako da se članak 4. točka 7. OUZP‑a treba tumačiti na način da se može smatrati voditeljem obrade u smislu te odredbe subjekt koji je od poduzetnika naručio razvoj mobilne informatičke aplikacije i koji je u tom kontekstu sudjelovao u određivanju svrha i sredstava obrade osobnih podataka koja se provodi putem te aplikacije, iako taj subjekt nije sâm provodio postupke obrade takvih podataka, nije izričito dao svoju privolu za obavljanje konkretnih postupaka takve obrade ili za stavljanje navedene mobilne aplikacije na raspolaganje javnosti i nije nabavio tu mobilnu aplikaciju, osim ako se prije tog stavljanja na raspolaganje javnosti taj subjekt tomu izričito usprotivio kao i obradi osobnih podataka koja iz toga proizlazi.
Peto pitanje
39 Svojim petim pitanjem, koje valja ispitati na drugom mjestu, sud koji je uputio zahtjev u biti pita treba li članak 4. točku 7. i članak 26. stavak 1. OUZP‑a tumačiti na način da kvalifikacija dvaju subjekata kao zajedničkih voditelja obrade pretpostavlja postojanje dogovora između tih subjekata o određivanju svrha i sredstava obrade predmetnih osobnih podataka odnosno postojanje dogovora kojim se utvrđuju uvjeti zajedničkog vođenja obrade.
40 U skladu s člankom 26. stavkom 1. OUZP‑a „zajednički voditelji obrade” postoje ako dvoje ili više voditelja obrade zajednički odrede svrhe i sredstva obrade.
41 Kao što je to Sud presudio, kako bi se mogla smatrati zajedničkim voditeljem obrade, fizička ili pravna osoba mora, dakle, neovisno odgovarati definiciji „voditelja obrade” iz članka 4. točke 7. OUZP‑a (vidjeti u tom smislu presudu od 29. srpnja 2019., Fashion ID, C‑40/17, EU:C:2019:629, t. 74.).
42 Međutim, postojanje zajedničke odgovornosti ne znači nužno jednaku odgovornost različitih subjekata uključenih u obradu osobnih podataka. Naprotiv, ti subjekti mogu biti uključeni u tu obradu u različitim fazama i stupnjevima, tako da razinu odgovornosti svakog od njih valja procjenjivati vodeći računa o svim relevantnim okolnostima predmetnog slučaja (presuda od 5. lipnja 2018., Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, t. 43.). Osim toga, u slučaju postojanja zajedničke odgovornosti više subjekata za istu obradu ne zahtijeva se da svaki od njih ima pristup osobnim podacima o kojima je riječ (presuda od 10. srpnja 2018., Jehovan todistajat, C‑25/17, EU:C:2018:551, t. 69. i navedena sudska praksa).
43 Kao što je to istaknuo nezavisni odvjetnik u točki 38. svojeg mišljenja, sudjelovanje u određivanju svrha i sredstava obrade može imati različite oblike, pri čemu to sudjelovanje može proizlaziti iz zajedničke odluke dvaju ili više subjekata ili iz usklađenih odluka takvih subjekata. Međutim, u potonjem slučaju navedene se odluke moraju nadopunjavati tako da svaka od njih ima konkretan učinak na određivanje svrha i sredstava obrade.
44 Suprotno tomu, ne može se zahtijevati postojanje formalnog dogovora između tih voditelja obrade u pogledu svrha i sredstava obrade.
45 Točno je da u skladu s člankom 26. stavkom 1. OUZP‑a, u vezi s njegovom uvodnom izjavom 79., zajednički voditelji obrade međusobnim dogovorom trebaju na transparentan način odrediti svoje odgovornosti kako bi osigurali usklađenost sa zahtjevima te uredbe. Međutim, postojanje takvog dogovora nije preduvjet da se dva subjekta ili više njih kvalificiraju kao zajednički voditelji obrade, nego predstavlja obvezu koja se tim člankom 26. stavkom 1. nalaže zajedničkim voditeljima obrade, nakon što se kvalificiraju kao takvi, kako bi se osigurala usklađenost sa zahtjevima iz OUZP‑a koji se na njih odnose. Stoga ta kvalifikacija proizlazi iz same činjenice da je više subjekata sudjelovalo u određivanju svrha i sredstava obrade.
46 S obzirom na prethodna razmatranja, na peto pitanje valja odgovoriti tako da članak 4. točku 7. i članak 26. stavak 1. OUZP‑a treba tumačiti na način da kvalifikacija dvaju subjekata kao zajedničkih voditelja obrade ne pretpostavlja ni postojanje dogovora između tih subjekata o određivanju svrha i sredstava obrade predmetnih osobnih podataka ni postojanje dogovora kojim se određuju uvjeti zajedničkog vođenja obrade podataka.
Četvrto pitanje
47 Svojim četvrtim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 4. točku 2. OUZP‑a tumačiti na način da je „obrada” u smislu te odredbe uporaba osobnih podataka u svrhu informatičkog testiranja mobilne aplikacije.
48 U ovom slučaju, kao što to proizlazi iz točke 25. ove presude, litavsko društvo koje upravlja informatičkim sustavom praćenja i kontrole zaraznih bolesti koje predstavljaju rizik od širenja moralo je dobivati kopije osobnih podataka prikupljenih putem predmetne mobilne aplikacije. Za potrebe informatičkog testiranja korišteni su fiktivni podaci osim telefonskih brojeva zaposlenika navedenog društva.
49 U tom pogledu, kao prvo, članak 4. točka 2. OUZP‑a pojam „obrada” definira kao „svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima”. U netaksativnom popisu uvedenom izrazom „kao što su”, ta odredba kao primjere obrade osobnih podataka navodi prikupljanje, stavljanje na raspolaganje i uporabu osobnih podataka.
50 Stoga iz teksta te odredbe, a osobito iz izraza „svaki postupak”, proizlazi da je zakonodavac Unije pojmu „obrada” namjeravao dati široki doseg (vidjeti u tom smislu presudu od 24. veljače 2022., Valsts ieņēmumu dienests (Obrada osobnih podataka u porezne svrhe), C‑175/20, EU:C:2022:124, t. 35.) i da se razlozi zbog kojih se postupak ili skup postupaka provode ne mogu uzeti u obzir kako bi se utvrdilo predstavlja li taj postupak ili skup postupaka „obradu” u smislu članka 4. točke 2. OUZP‑a.
51 Stoga, pitanje upotrebljavaju li se osobni podaci za informatičko testiranje ili u drugu svrhu ne utječe na kvalifikaciju predmetnog postupka kao „obrade” u smislu članka 4. točke 2. OUZP‑a.
52 Kao drugo, ipak valja pojasniti da je samo obrada koja se odnosi na „osobne podatke” „obrada” u smislu članka 4. točke 2. OUZP‑a.
53 U članku 4. točki 1. OUZP‑a se u tom pogledu pojašnjava da „osobni podaci” znači,,svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi” odnosno na „osob[u] koj[u] se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet”.
54 Doista, okolnost na koju upućuje sud koji je uputio zahtjev u svojem četvrtom pitanju, da je riječ o „kopijama osobnih podataka”, sama po sebi nije takva da se ta kopija ne bi kvalificirala kao osobni podatak u smislu članka 4. točke 1. OUZP‑a, pod uvjetom da takve kopije stvarno sadržavaju informacije koje se odnose na fizičku osobu čiji je identitet utvrđen ili se može utvrditi.
55 Treba, međutim, napomenuti da fiktivni podaci, kada se ne odnose na fizičku osobu čiji je identitet utvrđen ili se može utvrditi, nego na osobu koja u stvarnosti ne postoji, ne predstavljaju osobne podatke u smislu članka 4. točke 1. OUZP‑a.
56 Isto vrijedi i za podatke korištene u svrhu testiranja informatičkih sustava koji su anonimni ili anonimizirani.
57 Naime, iz uvodne izjave 26. OUZP‑a kao i iz same definicije pojma „osobni podaci” iz članka 4. točke 1. te uredbe proizlazi da tim pojmom nisu obuhvaćene „anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi” ni „osobni podaci koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi”.
58 Nasuprot tomu, iz članka 4. točke 5. OUZP‑a, u vezi s uvodnom izjavom 26. te uredbe, proizlazi da bi osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija, trebalo smatrati informacijama o pojedincu čiji se identitet može utvrditi, na koje se primjenjuju načela koja se odnose na zaštitu podataka.
59 S obzirom na prethodno navedeno, na četvrto pitanje valja odgovoriti tako da članak 4. točku 2. OUZP‑a treba tumačiti na način da „obradu” u smislu te odredbe čini uporaba osobnih podataka u svrhu informatičkog testiranja mobilne aplikacije, osim ako su takvi podaci anonimizirani tako da se ispitanik na kojeg se ti podaci odnose ne može utvrditi ili se više ne može utvrditi ili ako se radi o fiktivnim podacima koji se ne odnose na postojeću fizičku osobu.
Šesto pitanje
60 Svojim šestim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 83. OUZP‑a tumačiti na način da se, s jedne strane, na temelju te odredbe može izreći upravna novčana kazna samo ako se utvrdi da je voditelj obrade namjerno ili nepažnjom prekršio stavke 4. do 6. tog članka te da se, s druge strane, takva novčana kazna može izreći voditelju obrade u vezi s postupcima obrade koje provodi izvršitelj obrade u njegovo ime.
61 Što se tiče, kao prvo, pitanja može li se upravna novčana kazna izreći u skladu s člankom 83. OUZP‑a samo ako je utvrđeno da je voditelj obrade ili izvršitelj obrade namjerno ili nepažnjom prekršio stavke 4. do 6. tog članka, iz stavka 1. navedenog članka proizlazi da te novčane kazne moraju biti učinkovite, proporcionalne i odvraćajuće. Suprotno tomu, člankom 83. OUZP‑a ne pojašnjava se izričito da se takvo kršenje može sankcionirati takvom novčanom kaznom samo ako je počinjeno namjerno ili barem nepažnjom.
62 Litavska vlada i Vijeće Europske unije iz toga zaključuju da je zakonodavac Unije namjeravao državama članicama ostaviti određenu marginu prosudbe u provedbi članka 83. OUZP‑a, omogućujući im da predvide izricanje upravnih novčanih kazni na temelju te odredbe, prema potrebi, a da pritom nije utvrđeno da je kršenje OUZP‑a sankcionirano tom novčanom kaznom počinjeno namjerno ili nepažnjom.
63 Ne može se prihvatiti takvo tumačenje članka 83. OUZP‑a.
64 U tom pogledu valja podsjetiti na to da na temelju članka 288. UFEU‑a odredbe uredbi općenito imaju neposredan učinak u nacionalnim pravnim porecima a da nacionalna tijela pritom nisu dužna poduzeti provedbene mjere. Međutim‚ za primjenu nekih od tih odredaba može biti potrebno da države članice usvoje provedbene mjere (vidjeti u tom smislu presudu od 28. travnja 2022., Meta Platforms Ireland, C‑319/20, EU:C:2022:322‚ t. 58. i navedenu sudsku praksu).
65 To je osobito slučaj s OUZP‑om čijim se određenim odredbama omogućuje državama članicama da predvide dodatna, stroža ili odstupajuća nacionalna pravila koja im ostavljaju marginu prosudbe o načinu na koji se te odredbe mogu provesti (presuda od 28. travnja 2022., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, t. 57.).
66 Isto tako, u nedostatku posebnih postupovnih pravila u OUZP‑u, na pravnom je poretku svake države članice da utvrdi detaljna pravila kojima se uređuju pravna sredstva za zaštitu prava koja osobe imaju na temelju odredbi te uredbe pod uvjetom da se poštuju načela ekvivalentnosti i djelotvornosti (vidjeti u tom smislu presudu od 4. svibnja 2023., Österreichische Post (Neimovinska šteta povezana s obradom osobnih podataka), C‑300/21, EU:C:2023:370, t. 53. i 54. i navedenu sudsku praksu).
67 Međutim, ništa u tekstu članka 83. stavaka 1. do 6. OUZP‑a ne omogućuje zaključak da je zakonodavac Unije namjeravao državama članicama ostaviti marginu prosudbe u pogledu materijalnih uvjeta koje nadzorno tijelo mora poštovati kada odluči izreći upravnu novčanu kaznu voditelju obrade zbog kršenja iz stavaka 4. do 6. tog članka.
68 Točno je da se, s jedne strane, člankom 83. stavkom 7. OUZP‑a predviđa da svaka država članica može utvrditi pravila o tome mogu li se i u kojoj mjeri tijelima javne vlasti i javnim tijelima osnovanima u toj državi članici izreći upravne novčane kazne. S druge strane, iz članka 83. stavka 8. te uredbe, u vezi s njezinom uvodnom izjavom 129., proizlazi da se na izvršavanje ovlasti nadzornog tijela u skladu s tim člankom primjenjuju odgovarajuće postupovne zaštitne mjere u skladu s pravom Unije i pravom države članice, uključujući učinkoviti pravni lijek i zakonski postupak.
69 Međutim, činjenica da se navedenom uredbom tako državama članicama daje mogućnost da predvide iznimke u odnosu na tijela javne vlasti i javna tijela sa sjedištem na njihovu državnom području kao i da se propisuju zahtjevi koji se odnose na postupak koji nadzorna tijela moraju slijediti za izricanje upravne novčane kazne nipošto ne znači da su te države također ovlaštene predvidjeti, uz takve iznimke i postupovne zahtjeve, materijalne uvjete koji se moraju poštovati za utvrđivanje odgovornosti voditelja obrade i izricanje mu upravne novčane kazne u skladu s navedenim člankom 83. Usto, činjenica da se zakonodavac Unije pobrinuo da izričito predvidi tu mogućnost, ali ne i mogućnost predviđanja takvih materijalnih uvjeta, potvrđuje da državama članicama nije ostavio marginu prosudbe u tom pogledu.
70 To je utvrđenje potkrijepljeno i zajedničkim tumačenjem članaka 83. i 84. OUZP‑a. Naime, u članku 84. stavku 1. te uredbe priznaje se da države članice zadržavaju nadležnost za utvrđivanje pravila o „ostalim sankcijama koje se primjenjuju” u slučaju kršenja te uredbe, „a posebno na ona kršenja koja ne podliježu upravnim novčanim kaznama na temelju članka 83.”. Stoga iz takvog zajedničkog tumačenja tih odredbi proizlazi da utvrđivanje materijalnih uvjeta koji omogućuju izricanje takvih upravnih novčanih kazni ne ulazi u tu nadležnost. Stoga su ti uvjeti obuhvaćeni isključivo pravom Unije.
71 Što se tiče navedenih uvjeta, valja istaknuti da se u članku 83. stavku 2. OUZP‑a navode elementi na temelju kojih nadzorno tijelo voditelju obrade izriče upravnu novčanu kaznu. Među tim elementima u točki (b) te odredbe navodi se da u obzir treba uzeti „ima li kršenje obilježje namjere ili nepažnje”. Nasuprot tomu, nijedan od elemenata nabrojenih u navedenoj odredbi ne upućuje ni na kakvu mogućnost utvrđivanja odgovornosti voditelja obrade ako nije postojalo njegovo skrivljeno postupanje.
72 Usto, članak 83. stavak 2. OUZP‑a valja čitati u vezi s njegovim stavkom 3. čiji je cilj predvidjeti posljedice slučajeva kumuliranja kršenja te uredbe i u skladu s kojim „ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredaba ove Uredbe ukupan iznos [upravne] novčane kazne ne smije biti veći od administrativnog iznosa utvrđenog za najteže kršenje”.
73 Stoga iz teksta članka 83. stavka 2. OUZP‑a proizlazi da se voditelju obrade može izreći upravna novčana kazna u skladu s tim člankom samo zbog kršenja odredbi te uredbe koja je on skrivio, odnosno onih koja su počinjena namjerno ili nepažnjom.
74 Opća struktura i svrha OUZP‑a potkrjepljuju to tumačenje.
75 S jedne strane, zakonodavac Unije predvidio je sustav sankcija koji nadzornim tijelima omogućuje izricanje najprikladnijih sankcija ovisno o okolnostima svakog slučaja.
76 Naime, člankom 58. OUZP‑a, kojim se utvrđuju ovlasti nadzornih tijela, u njegovu stavku 2. točki (i) predviđa se da ta tijela mogu izreći upravne novčane kazne u skladu s člankom 83. te uredbe „uz mjere ili umjesto” drugih korektivnih mjera navedenih u tom članku 58. stavku 2., poput upozorenja, službenih opomena ili naredbi. Također, u uvodnoj izjavi 148. navedene uredbe, među ostalim, navodi se da, kada se radi o lakšem kršenju ili ako bi moguća upravna novčana kazna nerazmjerno opteretila fizičku osobu, nadzorna tijela mogu se suzdržati od izricanja upravne novčane kazne i umjesto toga izdati službenu opomenu.
77 Nasuprot tomu, iz uvodne izjave 10. OUZP‑a proizlazi da je cilj njegovih odredbi, među ostalim, osigurati postojanu i visoku razinu zaštite pojedinaca u vezi s obradom osobnih podataka u Uniji te u tu svrhu osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih sloboda i prava tih osoba u vezi s obradom takvih podataka u čitavoj Uniji. Osim toga, uvodne izjave 11. i 129. OUZP‑a naglašavaju nužnost da se osigura, kako bi se osigurala dosljedna primjena te uredbe, to da nadzorna tijela imaju jednake ovlasti praćenja i nadzora nad poštovanjem pravila o zaštiti osobnih podataka i da mogu izreći jednake sankcije u slučaju kršenja navedene uredbe.
78 Postojanje sustava sankcija koji omogućuje da se, kada to opravdavaju posebne okolnosti svakog pojedinog slučaja, izrekne upravna novčana kazna u skladu s člankom 83. OUZP‑a potiče voditelje obrade i izvršitelje obrade da postupaju u skladu s tom uredbom. Upravne novčane kazne svojim odvraćajućim učinkom pridonose jačanju zaštite pojedinaca u pogledu obrade osobnih podataka i one su stoga ključan element za osiguranje poštovanja prava tih osoba u skladu s ciljem te uredbe da se osigura visoka razina zaštite takvih osoba u vezi s obradom osobnih podataka.
79 Međutim, zakonodavac Unije nije smatrao potrebnim da se za osiguranje takve visoke razine zaštite predvidi izricanje upravnih novčanih kazni ako nema krivnje. S obzirom na činjenicu da OUZP ima za cilj razinu zaštite koja je i jednaka i homogena i da se u tu svrhu mora dosljedno primjenjivati u cijeloj Uniji, bilo bi protivno toj svrsi dopustiti državama članicama da predvide takav sustav za izricanje novčane kazne u skladu s člankom 83. te uredbe. Osim toga, takva sloboda izbora mogla bi narušiti tržišno natjecanje među gospodarskim subjektima unutar Unije, što bi bilo protivno ciljevima koje je zakonodavac Unije iznio osobito u uvodnim izjavama 9. i 13. navedene uredbe.
80 Slijedom toga, valja utvrditi da se na temelju članka 83. OUZP‑a ne može izreći upravna novčana kazna za kršenje iz njegovih stavaka 4. do 6. a da se pritom ne utvrdi da je to kršenje voditelj obrade počinio namjerno ili nepažnjom i da je stoga skrivljeno kršenje uvjet za izricanje takve novčane kazne.
81 Što se tiče pitanja je li kršenje počinjeno namjerno ili nepažnjom i može li se stoga sankcionirati upravnom novčanom kaznom na temelju članka 83. OUZP‑a, u tom pogledu valja još pojasniti da se voditelj obrade može kazniti za postupanje obuhvaćeno područjem primjene OUZP‑a ako nije mogao zanemariti kažnjivost, neovisno o tome je li bio svjestan da povređuje odredbe OUZP‑a (vidjeti po analogiji presude od 18. lipnja 2013., Schenker & Co. i dr., C‑681/11, EU:C:2013:404, t. 37. i navedenu sudsku praksu, od 25. ožujka 2021., Lundbeck/Komisija, C‑591/16 P, EU:C:2021:243, t. 156. i od 25. ožujka 2021., Arrow Group i Arrow Generics/Komisija, C‑601/16 P, EU:C:2021:244, t. 97.).
82 Ako je voditelj obrade pravna osoba, valja još pojasniti da primjena članka 83. OUZP‑a ne podrazumijeva djelovanje pa čak ni znanje upravljačkog tijela te pravne osobe (vidjeti po analogiji presude od 7. lipnja 1983., Musique Diffusion française i dr./Komisija, 100/80 do 103/80, EU:C:1983:158, t. 97. i od 16. veljače 2017., Tudapetrol Mineralölerzeugnisse Nils Hansen/Komisija, C‑94/15 P, EU:C:2017:124, t. 28. i navedenu sudsku praksu).
83 Kao drugo, što se tiče pitanja može li se voditelju obrade izreći upravna novčana kazna u skladu s člankom 83. OUZP‑a s obzirom na postupke obrade koje provodi izvršitelj obrade, valja podsjetiti na to da je u skladu s definicijom iz članka 4. točke 8. OUZP‑a izvršitelj obrade „fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade”.
84 Budući da je, kao što je to navedeno u točki 36. ove presude, voditelj obrade odgovoran ne samo za svaku obradu osobnih podataka koju on sâm provodi nego i za obradu koja se provodi u njegovo ime, tom se voditelju može izreći upravna novčana kazna u skladu s člankom 83. OUZP‑a u situaciji u kojoj su osobni podaci predmet nezakonite obrade i u kojoj nije takav voditelj, već izvršitelj obrade kojeg je on angažirao onaj koji je navedenu obradu izvršio u njegovo ime.
85 Međutim, odgovornost voditelja obrade za postupanje izvršitelja obrade ne može se proširiti na situacije u kojima je izvršitelj obrade obradio osobne podatke u vlastite svrhe ili u kojima je potonji obradio te podatke na način koji nije u skladu s okvirom ili sredstvima obrade kako ih je utvrdio voditelj obrade ili na način da se ne može razumno smatrati da je taj voditelj obrade na to pristao. Naime, u skladu s člankom 28. stavkom 10. OUZP‑a, u takvom slučaju izvršitelja obrade treba smatrati voditeljem obrade u pogledu takve obrade.
86 S obzirom na prethodna razmatranja, na šesto pitanje valja odgovoriti tako da članak 83. OUZP‑a treba tumačiti na način da se, s jedne strane, na temelju te odredbe može izreći upravna novčana kazna samo ako se utvrdi da je voditelj obrade namjerno ili nepažnjom počinio kršenje iz stavaka 4. do 6. tog članka i da se, s druge strane, takva novčana kazna može izreći voditelju obrade s obzirom na postupke obrade osobnih podataka koje je izvršio izvršitelj obrade u njegovo ime, osim ako je u okviru tih postupaka taj izvršitelj obrade izvršio obradu u vlastite svrhe ili je te podatke obradio na način koji nije u skladu s okvirom ili sredstvima obrade kako ih je odredio voditelj obrade ili na način da se ne može razumno smatrati da je taj voditelj obrade na to pristao.
Troškovi
87 Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnog postupka pred sudom koji je uputio zahtjev, na tom je sudu da odluči o troškovima postupka. Troškovi podnošenja očitovanja Sudu, koji nisu troškovi spomenutih stranaka, ne nadoknađuju se.
Slijedom navedenog, Sud (veliko vijeće) odlučuje:
1. Članak 4. točku 7. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)
treba tumačiti na način da se:
može smatrati voditeljem u smislu te odredbe subjekt koji je od poduzetnika naručio razvoj mobilne informatičke aplikacije i koji je u tom kontekstu sudjelovao u određivanju svrha i sredstava obrade osobnih podataka koja se provodi putem te aplikacije, iako taj subjekt nije sâm provodio postupke obrade takvih podataka, nije izričito dao svoju privolu za obavljanje konkretnih postupaka takve obrade ili za stavljanje navedene mobilne aplikacije na raspolaganje javnosti i nije nabavio tu mobilnu aplikaciju, osim ako se prije tog stavljanja na raspolaganje javnosti taj subjekt tomu izričito usprotivio kao i obradi osobnih podataka koja iz toga proizlazi.
2. Članak 4. točku 7. i članak 26. stavak 1. Uredbe 2016/679
treba tumačiti na način da:
kvalifikacija dvaju subjekata kao zajedničkih voditelja obrade ne pretpostavlja ni postojanje dogovora između tih subjekata o određivanju svrha i sredstava obrade predmetnih osobnih podataka ni postojanje dogovora kojim se određuju uvjeti zajedničkog vođenja obrade podataka.
3. Članak 4. točku 2. Uredbe 2016/679
treba tumačiti na način da:
„obradu” u smislu te odredbe čini uporaba osobnih podataka u svrhu informatičkog testiranja mobilne aplikacije, osim ako su takvi podaci anonimizirani tako da se ispitanik na kojeg se ti podaci odnose ne može utvrditi ili se više ne može utvrditi ili ako se radi o fiktivnim podacima koji se ne odnose na postojeću fizičku osobu.
4. Članak 83. Uredbe 2016/679
treba tumačiti na način da se:
s jedne strane, na temelju te odredbe može izreći upravna novčana kazna samo ako se utvrdi da je voditelj obrade namjerno ili nepažnjom počinio kršenje iz stavaka 4. do 6. tog članka i da se,
s druge strane, takva novčana kazna može izreći voditelju obrade s obzirom na postupke obrade osobnih podataka koje je izvršio izvršitelj obrade u njegovo ime, osim ako je u okviru tih postupaka taj izvršitelj obrade izvršio obradu u vlastite svrhe ili je te podatke obradio na način koji nije u skladu s okvirom ili sredstvima obrade kako ih je odredio voditelj obrade ili na način da se ne može razumno smatrati da je taj voditelj obrade na to pristao.
Potpisi