Kawża C-683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
vs
Valstybinė duomenų apsaugos inspekcija
(talba għal deċiżjoni preliminari,
mressqa mill-Vilniaus apygardos administracinis teismas)
Sentenza tal-Qorti tal-Ġustizzja (Awla Manja) tal-5 ta’ Diċembru 2023
“ Rinviju għal deċiżjoni preliminari – Protezzjoni tad-data personali – Regolament (UE) Nru 2016/679 – Il-punti 2 u 7 tal-Artikolu 4 – Kunċetti ta’ ‘‘ipproċessar” u tal-“kontrollur għall-ipproċessar” – Żvilupp ta’ applikazzjoni għal apparati mobbli – Artikolu 26 – Responsabbiltà konġunta għall-ipproċessar – Artikolu 83 – Impożizzjoni ta’ multi amministrattivi – Kundizzjonijiet – Rekwiżit tan-natura intenzjonali jew negliġenti tal-ksur – Responsabbiltà tal-kontrollur għall-ipproċessar ta’ data personali mwettaq minn proċessur”
1. Protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali – Regolament 2016/679 – Kunċett ta’ kontrollur – Entità li inkarigat impriża sabiex tiżviluppa applikazzjoni informatika mobbli, mingħajr ma wettqet operazzjonijiet ta’ pproċessar, mingħajr ma tat il-kunsens espliċitu tagħha sabiex twettaqhom jew sabiex tqiegħed din l-applikazzjoni għad-dispożizzjoni tal-pubbliku u mingħajr ma akkwistatha – Inklużjoni – Kundizzjoni – Parteċipazzjoni effettiva fid-determinazzjoni tal-finijiet u l-mezzi tal-ipproċessar – Eċċezzjoni
(Regolament tal-Parlament Ewropew u tal-Kunsill 2016/679, premessa 74 u l-punt 7 tal-Artikolu 4)
(ara l-punti 30 sa 38, u d-dispożittiv 1)
2. Protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali – Regolament 2016/679 – Responsabbiltà konġunta għall-ipproċessar – Kundizzjoni – Determinazzjoni tal-għanijiet u l-mezzi tal-ipproċessar – Rekwiżit ta’ ftehim bejn il-kontrolluri konġunti dwar id-determinazzjoni tal-għanijiet u l-mezzi tal-ipproċessar jew dwar il-kundizzjonijiet relatati mar-responsabbiltà konġunta tagħhom – Assenza
(Regolament tal-Parlament Ewropew u tal-Kunsill Nru 2016/679, premessa 79, il-punt 7 tal-Artikolu 4, u Artikolu 26(1))
(ara l-punti 41 sa 46, u d-dispożittiv 2)
3. Protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali – Regolament 2016/679 – Kunċett ta’ trattament – Użu ta’ data personali għall-fini ta’ ttestjar informatiku ta’ applikazzjoni informatika mobbli – Inklużjoni – Kundizzjoni – Ipproċessar ta’ data personali – Ipproċessar ta’ data anonima jew fittizja – Esklużjoni – Ipproċessar ta’ data psewdonimizzata li tista’ tiġi attribwita lil persuna fiżika bl-użu ta’ informazzjoni addizzjonali – Inklużjoni
(Direttiva tal-Parlament Ewropew u tal-Kunsill 2016/679, premessa 26, il-punti 1, 2 u 5 tal-Artikolu 4)
(ara l-punti 50 sa 59, u d-dispożittiv 3)
4. Protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali – Regolament 2016/679 – Impożizzjoni ta’ multi amministrattivi – Kundizzjonijiet – Assenza ta’ marġni ta’ manuvra tal-Istati Membri sabiex jipprevedu l-kundizzjonijiet sostantivi dwar l-impożizzjoni ta’ multa amministrattiva fuq kontrollur għall-ipproċessar – Rekwiżit ta’ ksur imwettaq mill-kontrollur deliberatament jew b’negliġenza
(Direttiva tal-Parlament Ewropew u tal-Kunsill 2016/679, premessi 10, 129 u 148, Artikoli 58, 83 u 84)
(ara l-punti 64 sa 82, 86, u d-dispożittiv 4)
5. Protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali – Regolament 2016/679 – Impożizzjoni ta’ multi amministrattivi – Possibbiltà li tiġi imposta tali multa fuq kontrollur għall-ipproċessar tad-data personali mwettaq minn proċessur – Eċċezzjonijiet
(Regolament tal-Parlament Ewropew u tal-Kunsill 2016/679, punt 8 tal-Artikolu 4 u Artikoli 28(10) u 83)
(ara l-punti 83 sa 86, u d-dispożittiv 4)
Sunt
Fl-2020, sabiex tiġi ġestita aħjar il-pandemija tal-COVID-19, l-awtoritajiet Litwani ddeċidew li jorganizzaw l-akkwist ta’ applikazzjoni għall-apparati mobbli. Din l-applikazzjoni kellha tikkontribwixxi għal monitoraġġ epidemjoloġiku, billi tippermetti r-reġistrazzjoni u l-monitoraġġ tad-data tal-persuni esposti għall-virus tal-COVID-19.
Għal dan l-għan, in-Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (iċ-Ċentru Nazzjonali tas-Saħħa Pubblika fi ħdan il-Ministeru tas-Saħħa, il-Litwanja, iktar ’il quddiem iċ-“ĊNSP”), inkarigat minn dan l-akkwist, ikkuntattja lill-kumpannija UAB “IT sprendimai sėkmei” (iktar ’il quddiem il-“kumpannija ITSS”), fejn talabha toħloq tali applikazzjoni għall-apparati mobbli. Sussegwentement, messaġġi elettroniċi li jirrigwardaw b’mod partikolari l-kwistjonijiet li kellhom jiġu inklużi f’din l-applikazzjoni ġew indirizzati lil din il-kumpannija mill-impjegati taċ-ĊNSP.
Matul il-perijodu bejn April u Mejju 2020, l-applikazzjoni għall-apparati mobblimaħluqa mill-kumpannija ITSS tqiegħdet għad-dispożizzjoni tal-pubbliku. Konsegwentement, 3 802 persuna għamlu użu minnha u pprovdew data differenti, mitluba minn din l-applikazzjoni, li tikkonċernahom. Madankollu, minħabba nuqqas ta’ finanzjament, iċ-ĊNSP ma ta l-ebda kuntratt pubbliku lill-kumpanija ITSS għall-akkwist uffiċjali tal-applikazzjoni għall-apparati mobbli tiegħu u temm il-proċedura relatata.
Sadanittant, l-awtorità ta’ superviżjoni nazzjonali bdiet investigazzjoni dwar l-ipproċessar tad-data personali li tirriżulta mill-użu ta’ din l-applikazzjoni. Permezz ta’ deċiżjoni ta’ din l-awtorità, adottata fi tmiem l-investigazzjoni, il-multi amministrattivi ġew imposti kemm fuq iċ-ĊNSP kif ukoll fuq il-kumpannija ITSS meqjusa bħala kontrollur konġunt.
Din il-persuna kkontestat din id-deċiżjoni quddiem il-Vilniaus apygardos administracinis teismas (il-Qorti Amministrattiva Reġjonali ta’ Vilnjus, il-Litwanja). Peress li kellha dubji dwar l-interpretazzjoni ta’ diversi dispożizzjonijiet tal-GDPR (1), din il-qorti ressqet talba għal deċiżjoni preliminari quddiem il-Qorti tal-Ġustizzja.
Fis-sentenza tagħha, il-Qorti tal-Ġustizzja, bl-Awla Manja bħala l-kulleġġ ġudikanti, tagħmel preċiżazzjonijiet dwar il-kunċetti ta’ “kontrollur”, ta’ “kontrolluri konġunti” u ta’ “pproċessar” (2), u tiddeċiedi dwar il-possibbiltà li tiġi imposta multa amministrattiva fuq kontrollur (3) meta l-ksur tad-dispożizzjonijiet tal-GDPR issanzjonat ma jkunx twettaq deliberatament jew b’negliġenza.
Il-kunsiderazzjonijiet tal-Qorti tal-Ġustizzja
Fl-ewwel lok, il-Qorti tal-Ġustizzja tirrileva li entità li inkarigat impriża sabiex tiżviluppa applikazzjoni għall-apparati mobbli u li, f’dan il-kuntest, ipparteċipat fid-determinazzjoni tal-għanijiet u l-mezzi tal-ipproċessar tad-data personali mwettaq permezz ta’ din l-applikazzjoni tista’ titqies bħala kontrollur (4). Din il-kunsiderazzjoni ma tistax tiġi kkontestata mill-fatt li din l-entità ma wettqitx, hija stess, operazzjonijiet ta’ pproċessar ta’ tali data, li hija ma tatx il-kunsens tagħha b’mod espliċitu għat-twettiq ta’ operazzjonijiet konkreti ta’ tali pproċessar jew għat-tqegħid għad-dispożizzjoni tal-pubbliku tal-imsemmija applikazzjoni għall-apparati mobbli u li hija ma kisbitx din l-istess applikazzjoni għall-apparati mobbli, sakemm, qabel dan it-tqegħid għad-dispożizzjoni tal-pubbliku, l-imsemmija entità ma oġġezzjonatx espressament għaliha u għall-ipproċessar tad-data personali li rriżultat minn dan.
Fit-tieni lok, il-Qorti tal-Ġustizzja tinnota li l-klassifikazzjoni ta’ żewġ entitajiet bħala kontrolluri konġunti la tippreżupponi l-eżistenza ta’ ftehim bejn dawn l-entitajiet dwar id-determinazzjoni tal-għanijiet u tal-mezzi tal-ipproċessar tad-data personali u lanqas l-eżistenza ta’ ftehim li jistabbilixxi l-kundizzjonijiet relatati mar-responsabbiltà konġunta tal-ipproċessar. Ċertament skont il-GDPR (5), il-kontrolluri konġunti għandhom, b’mod trasparenti, jiddeterminaw ir-responsabbiltajiet rispettivi tagħhom fir-rigward tal-osservanza tal-obbligi ta’ dan ir-regolament, permezz ta’ arranġament bejniethom. Madankollu, l-eżistenza ta’ tali ftehim ma tikkostitwixxix kundizzjoni preliminari sabiex żewġ entitajiet jew iktar jiġu kklassifikati bħala “kontrolluri konġunti”, iżda obbligu li l-GDPR jimponi fuq il-kontrolluri konġunti, ladarba kklassifikati bħala tali, sabiex tiġi żgurata l-osservanza tar-rekwiżiti ta’ dan ir-regolament imposti fuqhom. Għalhekk, din il-klassifikazzjoni tirriżulta mis-sempliċi fatt li diversi entitajiet ipparteċipaw fid-determinazzjoni tal-għanijiet u tal-mezzi tal-ipproċessar.
Fir-rigward tad-determinazzjoni konġunta, mill-entitajiet ikkonċernati, tal-finijiet u tal-mezzi tal-ipproċessar, il-Qorti tal-Ġustizzja tippreċiża li l-parteċipazzjoni tagħhom f’din id-determinazzjoni tista’ tieħu forom differenti u tirriżulta kemm mid-deċiżjoni konġunta tagħhom kif ukoll mid-deċiżjonijiet konverġenti tagħhom. Issa, f’dan l-aħħar każ, dawn id-deċiżjonijiet għandhom jiġu kkompletati, b’tali mod li kull waħda minnhom ikollha effett konkret fuq id-determinazzjoni tal-finijiet u tal-mezzi tal-ipproċessar.
Fit-tielet lok, il-Qorti tal-Ġustizzja tindika li l-użu ta’ data personali għal finijiet ta’ testijiet informatiċi ta’ applikazzjoni għall-apparati mobbli jikkostitwixxi pproċessar (6). Madankollu, is-sitwazzjoni tkun differenti jekk tali data tkun saret anonima b’tali mod li s-suġġett tad-data minn din id-data ma jkunx jew ma jkunx għadu identifikabbli jew jekk din tkun data fittizja li ma tkunx relatata ma’ persuna fiżika eżistenti.
Fil-fatt, minn naħa, il-kwistjoni dwar jekk data personali tintużax għal testijiet informatiċi jew għal skop ieħor ma taffettwax il-klassifikazzjoni tal-operazzjoni ta’ “ipproċessar”. Min-naħa l-oħra, huwa biss ipproċessar li jirrigwarda data personali li jista’ jiġi kklassifikat bħala “ipproċessar” fis-sens tal-GDPR. Issa, id-data fittizja jew anonima ma tikkostitwixxix data personali.
Fir-raba’ u l-aħħar lok, il-Qorti tal-Ġustizzja tikkonstata li, skont l-Artikolu 83 tal-GDPR, multa amministrattiva tista’ tiġi imposta fuq kontrollur biss jekk jiġi stabbilit li huwa wettaq, deliberatament jew b’negliġenza, ksur tar-regoli li jinsabu f’dan ir-regolament (7).
F’dan ir-rigward, il-Qorti tal-Ġustizzja tippreċiża li l-leġiżlatur tal-Unjoni ma ħalliex lill-Istati Membri setgħa diskrezzjonali fir-rigward tal-kundizzjonijiet sostantivi li għandhom jiġu osservati minn awtorità ta’ superviżjoni meta din tiddeċiedi li timponi multa amministrattiva fuq kontrollur skont din id-dispożizzjoni. Il-fatt li l-GDPR jagħti lill-Istati Membri l-possibbiltà li jipprevedu eċċezzjonijiet fir-rigward tal-awtoritajiet pubbliċi u tal-korpi pubbliċi stabbiliti fit-territorju (8)tagħhom kif ukoll rekwiżiti dwar il-proċedura li għandha tiġi segwita mill-awtoritajiet superviżorji sabiex tiġi imposta multa amministrattiva (9) bl-ebda mod ma jfisser li huma wkoll awtorizzati jipprevedu tali kundizzjonijiet sostantivi.
Fir-rigward ta’ dawn il-kundizzjonijiet, il-Qorti tal-Ġustizzja tinnota li fost l-elementi elenkati fil-GDPR li fid-dawl tagħhom l-awtorità ta’ superviżjoni timponi multa amministrattiva fuq il-kontrollur hemm “il-karattru intenzjonali jew negliġenti tal-ksur” (10). Min-naħa l-oħra, ebda wieħed minn dawn l-elementi ma jsemmi xi possibbiltà li tiġi stabbilita r-responsabbiltà tal-kontrollur fl-assenza ta’ aġir żbaljat min-naħa tiegħu. Għalhekk, huwa biss il-ksur tad-dispożizzjonijiet tal-GDPR imwettaq mill-kontrollur deliberatament jew b’negliġenza li jista’ jwassal għall-impożizzjoni ta’ multa amministrattiva fuq dan tal-aħħar skont l-Artikolu 83 ta’ dan ir-regolament.
Il-Qorti tal-Ġustizzja żżid li din l-interpretazzjoni hija kkorroborata mill-istruttura ġenerali u mill-għan tal-GDPR. F’dan il-kuntest, hija tippreċiża li l-eżistenza ta’ sistema ta’ sanzjonijiet skont il-GDPR li tippermetti li tiġi imposta, meta ċ-ċirkustanzi speċifiċi ta’ kull każ jiġġustifikaw dan, multa amministrattiva toħloq, għall-kontrolluri u għall-proċessuri, inċentiv sabiex jikkonformaw ruħhom ma’ dan ir-regolament u li, permezz tal-effett dissważiv tagħhom, il-multi amministrattivi jikkontribwixxu għat-tisħiħ tal-protezzjoni tal-persuni kkonċernati. Madankollu, il-leġiżlatur tal-Unjoni ma qiesx li kien neċessarju li jipprevedi l-impożizzjoni ta’ multi amministrattivi fl-assenza ta’ ħtija. Fid-dawl tal-fatt li l-GDPR għandu livell ta’ protezzjoni kemm ekwivalenti kif ukoll omoġenju u li, għal dan l-għan, għandu jiġi applikat b’mod koerenti fl-Unjoni kollha, ikun kuntrarju għal dan l-għan li l-Istati Membri jkunu jistgħu jipprevedu tali sistema għall-impożizzjoni ta’ multa.
Barra minn hekk, il-Qorti tal-Ġustizzja tikkonkludi li tali multa tista’ tiġi imposta fuq kontrollur fir-rigward tal-operazzjonijiet ta’ pproċessar ta’ data personali mwettqa minn proċessur f’ismu, ħlief jekk, fil-kuntest ta’ dawn l-operazzjonijiet, dan il-proċessur ikun wettaq ipproċessar għal finijiet tiegħu stess jew ikun ipproċessa din id-data b’mod inkompatibbli mal-kuntest jew mal-modalitajiet tal-ipproċessar kif kienu ddeterminati mill-kontrollur jew b’mod li ma jistax raġonevolment jitqies li dan il-kontrollur ta l-kunsens tiegħu. F’dan il-każ, il-proċessur għandu jitqies bħala l-kontrollur ta’ tali pproċessar.