ROZSUDOK SÚDNEHO DVORA (veľká komora)
z 5. decembra 2023 (*)
„Návrh na začatie prejudiciálneho konania – Ochrana osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 4 body 2 a 7 – Pojmy ‚spracúvanie‘ a ‚prevádzkovateľ‘ – Vývoj mobilnej IT aplikácie – Článok 26 – Spoločná zodpovednosť za spracúvanie – Článok 83 – Ukladanie správnych pokút – Podmienky – Požiadavka, aby k porušeniu došlo úmyselne alebo z nedbanlivosti – Zodpovednosť prevádzkovateľa za spracúvanie osobných údajov vykonávané sprostredkovateľom“
Vo veci C‑683/21,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Vilniaus apygardos administracinis teismas (Krajský správny súd Vilnius, Litva) z 22. októbra 2021 a doručený Súdnemu dvoru 12. novembra 2021, ktorý súvisí s konaním:
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
proti
Valstybinė duomenų apsaugos inspekcija,
za účasti:
UAB „IT sprendimai sėkmei“,
Lietuvos Respublikos sveikatos apsaugos ministerija,
SÚDNY DVOR (veľká komora),
v zložení: predseda K. Lenaerts, podpredseda L. Bay Larsen, predsedovia komôr A. Arabadžiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, O. Spineanu‑Matei, sudcovia M. Ilešič, J.‑C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (spravodajca), N. Wahl a M. Gavalec,
generálny advokát: N. Emiliou,
tajomník: C. Strömholm, referentka,
so zreteľom na písomnú časť konania a po pojednávaní zo 17. januára 2023,
so zreteľom na pripomienky, ktoré predložili:
– Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, v zastúpení: G. Aleksienė,
– Valstybinė duomenų apsaugos inspekcija, v zastúpení: R. Andrijauskas,
– litovská vláda, v zastúpení: V. Kazlauskaitė‑Švenčionienė, splnomocnená zástupkyňa,
– holandská vláda, v zastúpení: C. S. Schillemans, splnomocnená zástupkyňa,
– Rada Európskej únie, v zastúpení: R. Liudvinavičiūtė a K. Pleśniak, splnomocnení zástupcovia,
– Európska komisia, v zastúpení: A. Bouchagiar, H. Kranenborg a A. Steiblytė, splnomocnení zástupcovia,
po vypočutí návrhov generálneho advokáta na pojednávaní 4. mája 2023,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu článku 4 bodov 2 a 7, článku 26 ods. 1 a článku 83 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).
2 Tento návrh bol podaný v rámci sporu medzi Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Národné centrum verejného zdravotníctva pri ministerstve zdravotníctva, Litva; ďalej len „NVSC“) a Valstybinė duomenų apsaugos inspekcija (Štátny inšpektorát pre ochranu údajov, Litva; ďalej len „VDAI“) vo veci rozhodnutia, ktorým VDAI uložil NVSC správnu pokutu podľa článku 83 GDPR z dôvodu porušenia článkov 5, 13, 24, 32 a 35 tohto nariadenia.
Právny rámec
Právo Únie
3 Odôvodnenia 9, 10, 11, 13, 26, 74, 79, 129 a 148 GDPR stanovujú:
„(9) … Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, najmä práva na ochranu osobných údajov, môžu brániť voľnému toku osobných údajov v [Európskej ú]nii. Uvedené rozdiely preto môžu predstavovať prekážku pri vykonávaní hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie. …
(10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie. …
(11) Účinná ochrana osobných údajov v rámci celej Únie si vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracúvaní rozhodujú, ako aj zodpovedajúcich právomocí na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a zodpovedajúcich sankcií za porušenia pravidiel v členských štátoch.
…
(13) S cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty vrátane mikropodnikov a malých a stredných podnikov, a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch, ako aj účinná spolupráca dozorných orgánov rozličných členských štátov. …
…
(26) Zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe. … Zásady ochrany údajov by sa preto nemali uplatňovať na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná. Toto nariadenie sa preto netýka spracúvania takýchto anonymných informácií vrátane spracúvania na štatistické účely alebo účely výskumu.
…
(74) Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb.
…
(79) Ochrana práv a slobôd dotknutých osôb, ako aj povinnosti a zodpovednosť prevádzkovateľov a sprostredkovateľov… si vyžaduje jasné rozdelenie povinností podľa tohto nariadenia vrátane prípadov, v ktorých prevádzkovateľ určuje účely a prostriedky spracúvania spoločne s inými prevádzkovateľmi, alebo v prípadoch, v ktorých sa spracovateľská operácia vykonáva v mene prevádzkovateľa.
…
(129) S cieľom zabezpečiť konzistentné monitorovanie a presadzovanie tohto nariadenia v celej Únii by dozorné orgány mali mať vo všetkých členských štátoch rovnaké úlohy a účinné právomoci vrátane právomocí v oblasti vyšetrovania, nápravných opatrení a sankcií… Právomoci dozorných orgánov by sa mali vykonávať v súlade s primeranými procesnými zárukami stanovenými v práve Únie a v práve členského štátu, nestranne, spravodlivo a v primeranej lehote. Predovšetkým by každé opatrenie malo byť vhodné, potrebné a primerané vzhľadom na zabezpečenie súladu s týmto nariadením, berúc do úvahy okolnosti každého konkrétneho prípadu, malo by rešpektovať právo každej osoby na vypočutie pred prijatím akéhokoľvek individuálneho opatrenia, ktoré by pre ňu mohlo mať nepriaznivé dôsledky, a nemalo by dotknutým osobám spôsobovať zbytočné náklady a neprimerané ťažkosti. Vyšetrovacie právomoci týkajúce sa prístupu do priestorov, by sa mali uplatňovať v súlade s osobitnými požiadavkami stanovenými v procesnom práve členského štátu, ako je napríklad požiadavka získania predchádzajúceho súdneho povolenia. Každé právne záväzné opatrenie dozorného orgánu by malo byť v písomnej podobe, malo by byť jasné a jednoznačné, mal by sa v ňom uvádzať dozorný orgán, ktorý ho vydal, dátum jeho vydania, podpis vedúceho alebo ním povereného člena dozorného orgánu, odôvodnenie opatrenia a poučenie o práve na účinný prostriedok nápravy. To by nemalo vylučovať ďalšie požiadavky podľa procesného práva členského štátu. Z prijatia právne záväzného rozhodnutia vyplýva, že môže viesť k súdnemu preskúmaniu v členskom štáte dozorného orgánu, ktorý rozhodnutie prijal.
…
(148) S cieľom posilniť presadzovanie pravidiel tohto nariadenia by sa okrem primeraných opatrení, ktoré ukladá dozorný orgán podľa tohto nariadenia, alebo namiesto nich, mali ukladať za akékoľvek porušenie tohto nariadenia sankcie vrátane správnych pokút. V prípade menej závažného porušenia, alebo ak by pravdepodobne uložená pokuta predstavovala pre fyzickú osobu neprimeranú záťaž, možno namiesto uloženia pokuty udeliť napomenutie. Náležitým spôsobom by sa mala zohľadniť povaha, závažnosť a trvanie porušenia, jeho úmyselná povaha, opatrenia prijaté na zmiernenie spôsobenej škody, miera zodpovednosti alebo akékoľvek relevantné predchádzajúce porušenia, spôsob, akým sa o porušení dozvedel dozorný orgán, dodržiavanie opatrení uložených voči prevádzkovateľovi alebo sprostredkovateľovi, dodržiavanie kódexu správania a všetky ďalšie priťažujúce alebo poľahčujúce okolnosti. Ukladanie sankcií vrátane správnych pokút by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a [Charty základných práv Európskej únie] vrátane účinnej súdnej ochrany a riadneho procesu.“
4 Článok 4 tohto nariadenia stanovuje:
„Na účely tohto nariadenia:
1. ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;
2. ‚spracúvanie‘ je [každá – neoficiálny preklad] operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;
…
5. ‚pseudonymizácia‘ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;
…
7. ‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;
8. ‚sprostredkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;
…“
5 Článok 26 uvedeného nariadenia, nazvaný „Spoloční prevádzkovatelia“, v odseku 1 stanovuje:
„Ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi. Transparentne určia svoje príslušné zodpovednosti za plnenie povinností podľa tohto nariadenia, najmä pokiaľ ide o vykonávanie práv dotknutej osoby, a svoje povinnosti poskytovať informácie uvedené v článkoch 13 a 14, a to formou vzájomnej dohody, pokiaľ nie sú príslušné zodpovednosti prevádzkovateľov určené právom Únie alebo právom členskému štátu, ktorému prevádzkovatelia podliehajú. V dohode sa môže určiť kontaktné miesto pre dotknuté osoby.“
6 Článok 28 toho istého nariadenia s názvom „Sprostredkovateľ“ v odseku 10 stanovuje:
„Bez toho, aby dotknuté články 82, 83 a 84, ak sprostredkovateľ poruší toto nariadenie tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.“
7 Článok 58 nariadenia GDPR, nazvaný „Právomoci“, v odseku 2 stanovuje:
„Každý dozorný orgán má všetky tieto nápravné právomoci:
a) upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto nariadenia;
b) napomenúť prevádzkovateľova alebo sprostredkovateľova, ak spracovateľské operácie porušili ustanovenia tohto nariadenia;
…
d) nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto nariadenia;
…
f) nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania;
…
i) uložiť v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 83, a to popri opatreniach uvedených v tomto odseku alebo namiesto nich;
…“
8 Článok 83 tohto nariadenia s názvom „Všeobecné podmienky ukladania správnych pokút“ znie:
„1. Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce.
2. Správne pokuty sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 58 ods. 2 písm. a) až h) a j) alebo namiesto nich. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:
a) povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli;
b) úmyselný alebo nedbanlivostný charakter porušenia;
c) akékoľvek kroky, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli;
d) miera zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali podľa článkov 25 a 32;
e) akékoľvek relevantné predchádzajúce porušenia zo strany prevádzkovateľa alebo sprostredkovateľa;
f) miera spolupráce s dozorným orgánom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia;
g) kategórie osobných údajov, ktorých sa porušenie týka;
h) spôsob, akým sa dozorný orgán o porušení dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie oznámili, a ak áno, v akom rozsahu;
i) ak boli predtým voči dotknutému prevádzkovateľovi alebo sprostredkovateľovi v rovnakej veci prijaté opatrenia uvedené v článku 58 ods. 2, splnenie uvedených opatrení;
j) dodržiavanie schválených kódexov správania podľa článku 40 alebo schválených mechanizmov certifikácie podľa článku 42 a
k) akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením.
3. Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.
4. Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 10 000 000 [eur], alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:
a) povinnosti prevádzkovateľa a sprostredkovateľa podľa článkov 8, 11, 25 až 39 a 42 a 43;
…
5. Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20 000 000 [eur], alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:
a) základné zásady spracúvania vrátane podmienok súhlasu podľa článkov 5, 6, 7 a 9;
b) práva dotknutých osôb podľa článkov 12 až 22;
…
d) akékoľvek povinnosti podľa práva členského štátu prijatého podľa kapitoly IX;
…
6. Za nesplnenie príkazu dozorného orgánu podľa článku 58 ods. 2 sa podľa odseku 2 tohto článku uložia správne pokuty až do výšky 20 000 000 [eur], alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
7. Bez toho, aby boli dotknuté nápravné právomoci dozorných orgánov podľa článku 58 ods. 2, každý členský štát môže stanoviť pravidlá, či a v akom rozsahu sa môžu správne pokuty uložiť orgánom verejnej moci a verejnoprávnym subjektom zriadeným [usadeným – neoficiálny preklad] v danom členskom štáte.
8. Výkon právomocí dozorného orgánu podľa tohto článku podlieha primeraným procesným zárukám v súlade s právom Únie a právom členského štátu vrátane účinného súdneho prostriedku nápravy a riadneho procesu.
…“
9 Článok 84 uvedeného nariadenia s názvom „Sankcie“ v odseku 1 stanovuje:
„Členské štáty stanovia pravidlá pre iné sankcie za porušenia tohto nariadenia, predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Takéto sankcie musia byť účinné, primerané a odrádzajúce.“
Litovské právo
10 Ustanovenie § 29 ods. 3 Viešųjų pirkimų įstatymas (zákon o verejnom obstarávaní) uvádza určité okolnosti, za ktorých má verejný obstarávateľ právo, alebo povinnosť ukončiť postupy verejného obstarávania alebo výberové konania začaté na jeho podnet a kedykoľvek pred uzavretím zmluvy na základe verejného obstarávania (alebo predbežnej zmluvy) alebo určením úspešného uchádzača výberového konania.
11 Ustanovenie § 72 ods. 2 zákona o verejnom obstarávaní stanovuje fázy rokovaní, ktoré verejný obstarávateľ vedie v rámci rokovacieho konania verejného obstarávania bez predchádzajúceho zverejnenia.
Spor vo veci samej a prejudiciálne otázky
12 V kontexte pandémie spôsobenej vírusom COVID‑19 Lietuvos Respublikos sveikatos apsaugos ministras (minister zdravotníctva Litovskej republiky) prvým rozhodnutím z 24. marca 2020 poveril riaditeľa NVSC, aby na účely epidemiologického monitorovania bezodkladne zorganizoval obstaranie IT systému na účely zaznamenávania a monitorovania údajov o osobách vystavených tomuto vírusu.
13 E‑mailom z 27. marca 2020 osoba, ktorá sa predstavila ako zástupca NVSC (ďalej len „A.S.“) informovala UAB „IT sprendimai sėkmei“ (ďalej len „ITSS“), že NVSC ju vybralo, aby na tento účel vytvorila mobilnú aplikáciu. A.S. následne zaslal spoločnosti ITSS e‑maily týkajúce sa rôznych aspektov vytvorenia tejto aplikácie, pričom kópia týchto e‑mailov bola zaslaná riaditeľovi NVSC.
14 Počas rokovaní medzi spoločnosťou ITSS a NVSC aj ďalší zamestnanci NVSC okrem A.S. zaslali tejto spoločnosti e‑maily v súvislosti s vypracovaním otázok položených v predmetnej mobilnej aplikácii.
15 Pri vytváraní tejto mobilnej aplikácie sa vypracovala politika ochrany súkromia, v ktorej boli ITSS a NVSC určení za prevádzkovateľov.
16 Predmetná mobilná aplikácia, v ktorej sa uvádzali ITSS a NVSC, bola k dispozícii na stiahnutie v internetovom obchode Google Play od 4. apríla 2020 a v internetovom obchode Apple App Store od 6. apríla 2020. Bola funkčná do 26. mája 2020.
17 V období od 4. apríla 2020 do 26. mája 2020 využilo túto aplikáciu 3 802 osôb, ktoré poskytli svoje údaje požadované uvedenou aplikáciou, ako sú identifikačné číslo, zemepisné súradnice (zemepisná šírka a dĺžka), krajina, mesto, obec, poštové smerovacie číslo, názov ulice, číslo domu, priezvisko, meno, osobný kód, telefónne číslo a adresa.
18 Druhým rozhodnutím z 10. apríla 2020 minister zdravotníctva Litovskej republiky rozhodol, že poverí riaditeľa NVSC úlohou zorganizovať obstaranie predmetnej mobilnej aplikácie od spoločnosti ITSS a na tento účel sa mal uplatniť § 72 ods. 2 zákona o verejnom obstarávaní. NVSC však tejto spoločnosti nezadalo žiadnu verejnú zákazku na oficiálne obstaranie tejto aplikácie.
19 NVSC totiž 15. mája 2020 požiadalo uvedenú spoločnosť, aby ho v predmetnej mobilnej aplikácii žiadnym spôsobom neuvádzala. Okrem toho NVSC listom zo 4. júna 2020 informovalo tú istú spoločnosť, že z dôvodu nedostatku finančných prostriedkov na obstaranie tejto aplikácie ukončilo v súlade s § 29 ods. 3 zákona o verejnom obstarávaní konanie týkajúce sa takéhoto obstarania.
20 V rámci vyšetrovania týkajúceho sa spracúvania osobných údajov, ktoré sa začalo 18. mája 2020, VDAI zistil, že osobné údaje boli získané prostredníctvom predmetnej mobilnej aplikácie. Okrem toho sa zistilo, že používatelia, ktorí si zvolili túto aplikáciu ako spôsob monitorovania izolácie, ktorá bola povinná z dôvodu pandémie COVID‑19, odpovedali na otázky zahŕňajúce spracúvanie osobných údajov. Tieto údaje boli poskytnuté v odpovediach na otázky položené prostredníctvom uvedenej aplikácie a týkali sa najmä zdravotného stavu dotknutej osoby a dodržania podmienok izolácie touto osobou.
21 Rozhodnutím z 24. februára 2021 VDAI uložil NVSC správnu pokutu vo výške 12 000 eur podľa článku 83 GDPR za porušenie článkov 5, 13, 24, 32 a 35 tohto nariadenia. Týmto rozhodnutím bola spoločnosti ITSS ako spoločnému prevádzkovateľovi uložená správna pokuta vo výške 3 000 eur.
22 NVSC napadlo toto rozhodnutie na Vilniaus apygardos administracinis teismas (Krajský správny súd Vilnius, Litva), ktorý je vnútroštátnym súdom predkladajúcim návrh na začatie prejudiciálneho konania, pričom tvrdilo, že za jediného prevádzkovateľa v zmysle článku 4 bodu 7 nariadenia GDPR treba považovať ITSS. ITSS tvrdí, že konala ako sprostredkovateľ v zmysle článku 4 ods. 8 GDPR na základe pokynov NVSC, ktoré je podľa nej jediným prevádzkovateľom.
23 Vnútroštátny súd uvádza, že ITSS vytvorila predmetnú mobilnú aplikáciu a že NVSC jej prostredníctvom tejto aplikácie odporučilo obsah otázok kladených prostredníctvom tejto aplikácie. Medzi NVSC a spoločnosťou ITSS však neexistuje zmluva na základe verejného obstarávania. Okrem toho NVSC nesúhlasilo so sprístupnením tejto aplikácie prostredníctvom rôznych internetových obchodov, a ani na to nedalo povolenie.
24 Tento súd spresňuje, že vytvorenie predmetnej mobilnej aplikácie bolo určené na realizáciu cieľa, ktorý vytýčilo NVSC, a to zvládnutie pandémie COVID‑19 vytvorením IT nástroja, a že na tento účel sa počítalo so spracúvaním osobných údajov. Pokiaľ ide o úlohu spoločnosti ITSS, nepredpokladalo sa, že táto spoločnosť sleduje iné ciele ako získanie odmeny za vytvorený IT produkt.
25 Uvedený súd tiež poznamenáva, že počas vyšetrovania VDAI bolo preukázané, že litovská spoločnosť Juvare Lithuania spravujúca IT systém monitorovania a kontroly prenosných chorôb, ktoré predstavujú riziko šírenia, mala získavať kópie osobných údajov zhromaždených predmetnou mobilnou aplikáciou. Okrem toho boli na účely testovania tejto mobilnej aplikácie použité fiktívne údaje s výnimkou telefónnych čísel zamestnancov uvedenej spoločnosti.
26 Vzhľadom na tieto úvahy Vilniaus apygardos administracinis teismas (Krajský správny súd Vilnius) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Možno pojem ‚prevádzkovateľ‘ uvedený v článku 4 ods. 7 [GDPR] vykladať v tom zmysle, že za prevádzkovateľa sa má považovať aj osoba, ktorá plánuje získať nástroj na zber údajov (mobilnú aplikáciu) prostredníctvom verejného obstarávania, bez ohľadu na to, že nebola uzavretá zmluva na základe verejného obstarávania a že vytvorený produkt (mobilná aplikácia), na ktorého obstaranie sa použil postup verejného obstarávania, nebol prevedený?
2. Možno pojem ‚prevádzkovateľ‘ uvedený v článku 4 ods. 7 GDPR vykladať v tom zmysle, že za prevádzkovateľa sa má považovať aj verejný obstarávateľ, ktorý nenadobudol vlastnícke právo k vytvorenému IT produktu a neprevzal ho, pričom však konečná verzia vytvorenej aplikácie poskytuje prepojenia alebo rozhrania s týmto verejnoprávnym subjektom a/alebo v politike ochrany dôverných údajov, ktorá nebola oficiálne schválená alebo uznaná príslušným verejnoprávnym subjektom, bol ako prevádzkovateľ uvedený samotný verejnoprávny subjekt?
3. Možno pojem ‚prevádzkovateľ‘ uvedený v článku 4 ods. 7 GDPR vykladať v tom zmysle, že za prevádzkovateľa sa má považovať aj osoba, ktorá nevykonala žiadne skutočné operácie spracúvania údajov v zmysle článku 4 ods. 2 GDPR a/alebo neposkytla jasné povolenie/súhlas na vykonanie takýchto operácií? Je pre výklad pojmu ‚prevádzkovateľ‘ významná skutočnosť, že IT produkt používaný na spracúvanie osobných údajov bol vytvorený v súlade so zadaním sformulovaným verejným obstarávateľom?
4. Ak je určenie skutočných operácií spracúvania údajov relevantné pre výklad pojmu ‚prevádzkovateľ‘, má sa definícia pojmu ‚spracúvanie‘ osobných údajov podľa článku 4 ods. 2 GDPR vykladať v tom zmysle, že zahŕňa aj situácie, v ktorých boli kópie osobných údajov použité na testovanie IT systémov v procese obstarania mobilnej aplikácie?
5. Možno spoločnú zodpovednosť za spracúvanie údajov v súlade s článkom 4 ods. 7 a článkom 26 ods. 1 GDPR vykladať výlučne v tom zmysle, že zahŕňa zámerne koordinované činnosti, pokiaľ ide o určenie účelu a prostriedkov spracúvania údajov, alebo možno tento pojem vykladať tak, že spoločná zodpovednosť sa vzťahuje aj na situácie, v ktorých neexistuje jasná ‚dohoda‘, pokiaľ ide o účel a prostriedky spracúvania údajov, a/alebo činnosti medzi subjektmi nie sú koordinované? Sú okolnosti týkajúce sa štádia vytvárania prostriedkov spracúvania osobných údajov (IT aplikácia), v ktorom došlo k spracúvaniu osobných údajov, a účelu vytvorenia aplikácie právne významné pre výklad pojmu spoločná zodpovednosť za spracúvanie údajov? Možno ‚dohodu‘ medzi spoločnými prevádzkovateľmi chápať výlučne ako jasné a definované stanovenie podmienok upravujúcich spoločnú zodpovednosť za spracúvanie údajov?
6. Má sa ustanovenie článku 83 ods. 1 GDPR, podľa ktorého má byť ukladanie ‚správnych pokút… účinné, primerané a odrádzajúce‘, vykladať v tom zmysle, že sa vzťahuje aj na prípady vyvodenia zodpovednosti voči ‚prevádzkovateľovi‘, ak v procese vytvárania IT produktu vykonáva vývojár aj činnosti spracúvania osobných údajov, a zakladajú nesprávne úkony spracúvania osobných údajov vykonané sprostredkovateľom vždy automaticky právnu zodpovednosť prevádzkovateľa? Má sa toto ustanovenie vykladať v tom zmysle, že zahŕňa aj prípady objektívnej zodpovednosti prevádzkovateľa?“
O prejudiciálnych otázkach
O prvej až tretej otázke
27 Svojou prvou až treťou otázkou, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa má článok 4 bod 7 GDPR vykladať v tom zmysle, že za prevádzkovateľa v zmysle tohto ustanovenia možno považovať subjekt, ktorý poveril podnik vývojom mobilnej IT aplikácie, aj keď tento subjekt sám neuskutočnil spracovateľské operácie osobných údajov, výslovne neudelil svoj súhlas s uskutočnením konkrétnych operácií takéhoto spracúvania alebo so sprístupnením tejto mobilnej aplikácie verejnosti a uvedenú mobilnú aplikáciu neobstaral.
28 Článok 4 bod 7 GDPR definuje pojem „prevádzkovateľ“ široko ako fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo iný subjekt, ktorý sám alebo spoločne s inými „určí účely a prostriedky spracúvania“ osobných údajov.
29 Cieľ tejto širokej definície spočíva v súlade s cieľom GDPR v zabezpečení účinnej ochrany základných práv a slobôd fyzických osôb, ako aj najmä vysokej úrovne ochrany práva každej osoby na ochranu osobných údajov, ktoré sa jej týkajú (pozri v tomto zmysle rozsudky z 29. júla 2019, Fashion ID, C‑40/17, EU:C:2019:629, bod 66, a z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 73, ako aj citovanú judikatúru).
30 Súdny dvor už rozhodol, že každú fyzickú alebo právnickú osobu, ktorá na svoje vlastné účely ovplyvňuje spracúvanie takýchto údajov, a v dôsledku toho sa podieľa na určovaní účelov a prostriedkov tohto spracúvania, možno považovať za prevádzkovateľa uvedeného spracúvania. V tejto súvislosti nie je nevyhnutné, aby sa účely a prostriedky spracúvania údajov určili prostredníctvom písomných usmernení alebo pokynov od prevádzkovateľa (pozri v tomto zmysle rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, body 67 a 68), ani to, či bol prevádzkovateľ za prevádzkovateľa formálne určený.
31 Preto na účely určenia, či subjekt, akým je NVSC, možno považovať za prevádzkovateľa v zmysle článku 4 bodu 7 GDPR, treba preskúmať, či tento subjekt na svoje vlastné účely skutočne ovplyvnil určenie účelov a prostriedkov tohto spracúvania.
32 V prejednávanej veci s výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu, zo spisu, ktorý má Súdny dvor k dispozícii, vyplýva, že vytvorenie predmetnej mobilnej aplikácie objednalo NVSC a jej cieľom bola realizácia cieľa, ktorý vytýčilo NVSC, a to zvládnutie pandémie COVID‑19 prostredníctvom IT nástroja na účely zaznamenávania a monitorovania údajov o osobách, ktoré boli vystavené vírusu COVID‑19. NVSC na tento účel stanovilo, že osobné údaje používateľov predmetnej mobilnej aplikácie sa budú spracúvať. Z návrhu na začatie prejudiciálneho konania okrem toho vyplýva, že parametre tejto aplikácie, akými sú položené otázky a ich formulácia, boli prispôsobené potrebám NVSC a že NVSC zohrávalo pri ich určovaní aktívnu úlohu.
33 Za týchto podmienok sa v zásade treba domnievať, že NVSC sa skutočne podieľalo na určení účelov a prostriedkov spracúvania.
34 Naopak samotná skutočnosť, že NVSC bolo v politike ochrany súkromia predmetnej mobilnej aplikácie uvedené ako prevádzkovateľ a že táto aplikácia obsahovala odkazy na tento subjekt, by sa mohla považovať za relevantnú len vtedy, ak sa preukáže, že NVSC výslovne alebo implicitne súhlasilo s týmto uvedením alebo s týmito odkazmi.
35 Okrem toho okolnosti uvedené vnútroštátnym súdom v rámci úvah na podporu jeho prvých troch prejudiciálnych otázok, a to, že NVSC samo nespracúvalo osobné údaje, že medzi NVSC a spoločnosťou ITSS neexistovala zmluva, že NVSC neobstaralo predmetnú mobilnú aplikáciu, resp. že NVSC nedalo povolenie na šírenie tejto aplikácie prostredníctvom internetových obchodov, nevylučujú, aby NVSC mohlo byť kvalifikované ako „prevádzkovateľ“ v zmysle článku 4 bodu 7 GDPR.
36 Z tohto ustanovenia v spojení s odôvodnením 74 GDPR totiž vyplýva, že subjekt, pokiaľ spĺňa podmienku stanovenú v uvedenom článku 4 bode 7, je zodpovedný nielen za každé spracúvanie osobných údajov, ktoré vykonáva sám, ale aj za spracúvanie osobných údajov, ktoré sa vykonáva v jeho mene.
37 V tejto súvislosti však treba spresniť, že NVSC nemožno považovať za prevádzkovateľa osobných údajov vyplývajúcich zo sprístupnenia predmetnej mobilnej aplikácie verejnosti, ak pred týmto sprístupnením výslovne nesúhlasilo s týmto sprístupnením, čo prináleží overiť vnútroštátnemu súdu. V takom prípade sa totiž nemožno domnievať, že predmetné spracúvanie bolo vykonané v mene NVSC.
38 Vzhľadom na predchádzajúce dôvody treba na prvú až tretiu otázku odpovedať tak, že článok 4 bod 7 GDPR sa má vykladať v tom zmysle, že za prevádzkovateľa v zmysle tohto ustanovenia možno považovať subjekt, ktorý poveril podnik vývojom mobilnej IT aplikácie a ktorý sa v tejto súvislosti podieľal na určení účelov a prostriedkov spracúvania osobných údajov vykonávaného prostredníctvom tejto aplikácie, aj keď tento subjekt sám neuskutočnil spracovateľské operácie takýchto údajov, výslovne neudelil svoj súhlas s uskutočnením konkrétnych operácií takéhoto spracúvania alebo so sprístupnením uvedenej mobilnej aplikácie verejnosti a túto mobilnú aplikáciu neobstaral, s výnimkou toho, že by pred týmto sprístupnením verejnosti uvedený subjekt výslovne nesúhlasil s týmto sprístupnením a z toho vyplývajúcim spracúvaním osobných údajov.
O piatej otázke
39 Svojou piatou otázkou, ktorú treba preskúmať v druhom rade, sa vnútroštátny súd v podstate pýta, či sa článok 4 bod 7 a článok 26 ods. 1 GDPR majú vykladať v tom zmysle, že kvalifikácia dvoch subjektov ako spoločných prevádzkovateľov predpokladá existenciu dohody medzi týmito subjektmi o určení účelov a prostriedkov spracúvania predmetných osobných údajov alebo existenciu dohody, ktorá stanovuje podmienky týkajúce sa spoločnej zodpovednosti za spracúvanie.
40 Podľa článku 26 ods. 1 GDPR o „spoločných prevádzkovateľov“ ide v prípade, ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania.
41 Ako Súdny dvor rozhodol, na to, aby sa fyzická alebo právnická osoba mohla považovať za spoločného prevádzkovateľa, musí samostatne spĺňať definíciu „prevádzkovateľa“ uvedenú v článku 4 bode 7 GDPR (pozri v tomto zmysle rozsudok z 29. júla 2019, Fashion ID, C‑40/17, EU:C:2019:629, bod 74).
42 Existencia spoločnej zodpovednosti však neznamená nevyhnutne rovnakú zodpovednosť rôznych subjektov, ktorých sa týka spracúvania osobných údajov. Tieto subjekty môžu byť naopak zapojené do tohto spracúvania v rôznych fázach a stupňoch, takže mieru zodpovednosti každého z nich treba hodnotiť z hľadiska všetkých relevantných okolností prejednávanej veci (rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, bod 43). Okrem toho spoločná zodpovednosť viacerých subjektov za to isté spracúvanie nepredpokladá, aby mal každý z nich prístup k dotknutým osobným údajom (rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 69 a citovaná judikatúra).
43 Ako uviedol generálny advokát v bode 38 svojich návrhov, účasť na určení účelov a prostriedkov spracúvania môže mať rôzne formy, pričom táto účasť môže vyplývať tak zo spoločného rozhodnutia prijatého dvoma alebo viacerými subjektmi, ako aj zo zbiehajúcich sa rozhodnutí takých subjektov. V tomto poslednom uvedenom prípade sa však uvedené rozhodnutia musia dopĺňať tak, aby každé z nich malo konkrétny účinok na určenie účelov a prostriedkov spracúvania.
44 Naopak, nemožno vyžadovať, aby medzi týmito prevádzkovateľmi existovala formálna dohoda, pokiaľ ide o účely a prostriedky spracúvania osobných údajov.
45 Je pravda, že podľa článku 26 ods. 1 GDPR v spojení s jeho odôvodnením 79 musia spoloční prevádzkovatelia formou vzájomnej dohody transparentne určiť svoje príslušné zodpovednosti na účely zabezpečenia dodržiavania požiadaviek tohto nariadenia. Existencia takejto dohody však nepredstavuje predpoklad toho, aby boli dva alebo viaceré subjekty kvalifikované ako spoloční prevádzkovatelia, ale povinnosť, ktorú tento článok 26 ods. 1 ukladá spoločným prevádzkovateľom, ak už sú takto kvalifikovaní, na účely zabezpečenia dodržiavania požiadaviek GDPR, ktoré sú im uložené. Táto kvalifikácia tak vyplýva zo samotnej skutočnosti, že na určení účelov a prostriedkov spracúvania sa podieľali viaceré subjekty.
46 Vzhľadom na predchádzajúce dôvody treba na piatu otázku odpovedať tak, že článok 4 bod 7 a článok 26 ods. 1 GDPR sa majú vykladať v tom zmysle, že kvalifikácia dvoch subjektov ako spoločných prevádzkovateľov nepredpokladá existenciu dohody medzi týmito subjektmi o určení účelov a prostriedkov spracúvania predmetných osobných údajov, ani existenciu dohody, ktorá stanovuje podmienky týkajúce sa spoločnej zodpovednosti za spracúvanie.
O štvrtej otázke
47 Svojou štvrtou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 4 bod 2 nariadenia GDPR vykladať v tom zmysle, že „spracúvanie“ v zmysle tohto ustanovenia predstavuje používanie osobných údajov na IT testovanie mobilnej aplikácie.
48 V prejednávanej veci, ako vyplýva z bodu 25 tohto rozsudku, litovská spoločnosť spravujúca IT systém monitorovania a kontroly prenosných chorôb, ktoré predstavujú riziko šírenia, mala získavať kópie osobných údajov zhromaždených predmetnou mobilnou aplikáciou. Na účely IT testovania sa použili fiktívne údaje s výnimkou telefónnych čísel zamestnancov uvedenej spoločnosti.
49 V tejto súvislosti v prvom rade článok 4 bod 2 GDPR definuje pojem „spracúvanie“ ako „[každú] operáci[u] alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov… bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami“. V demonštratívnom výpočte, ktorý je uvedený slovným spojením „napríklad“, toto ustanovenie uvádza ako príklady spracúvania získavanie, poskytovanie a využívanie osobných údajov.
50 Zo znenia tohto ustanovenia, a najmä z výrazu „[každá] operácia“ vyplýva, že normotvorca Únie zamýšľal priznať pojmu „spracúvanie“ široký rozsah [pozri v tomto zmysle rozsudok z 24. februára 2022, Valsts ieņēmumu dienests (Spracovanie osobných údajov na daňové účely), C‑175/20, EU:C:2022:124, bod 35] a že dôvody, pre ktoré sa uskutočňuje operácia alebo súbor operácií, nemožno zohľadniť pri určení, či táto operácia alebo tento súbor operácií predstavuje „spracúvanie“ v zmysle článku 4 bodu 2 GDPR.
51 Preto otázka, či sa osobné údaje používajú na IT testovanie alebo na iný účel, nemá vplyv na kvalifikáciu predmetnej operácie ako „spracúvania“ v zmysle článku 4 bodu 2 GDPR.
52 V druhom rade však treba spresniť, že len spracúvanie, ktoré sa týka „osobných údajov“, predstavuje „spracúvanie“ v zmysle článku 4 bodu 2 GDPR.
53 V článku 4 bode 1 GDPR sa v tejto súvislosti spresňuje, že pod „osobnými údajmi“ treba chápať „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby“, t. j. „osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby“.
54 Okolnosť, na ktorú odkazuje vnútroštátny súd vo svojej štvrtej otázke, teda že ide o „kópie osobných údajov“, však sama osebe nie je taká, aby týmto kópiám odoprela kvalifikáciu osobných údajov v zmysle článku 4 bodu 1 GDPR, pokiaľ takéto kópie skutočne obsahujú informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.
55 Treba však konštatovať, že fiktívne údaje, keďže sa netýkajú identifikovanej alebo identifikovateľnej fyzickej osoby, ale osoby, ktorá v skutočnosti neexistuje, nepredstavujú osobné údaje v zmysle článku 4 bodu 1 GDPR.
56 To isté platí pre údaje používané na účely IT testovania, ktoré sú anonymné alebo boli anonymizované.
57 Z odôvodnenia 26 GDPR, ako aj zo samotnej definície pojmu „osobné údaje“ uvedenej v článku 4 bode 1 tohto nariadenia totiž vyplýva, že pod tento pojem nepatria „anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu“, ani „osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná“.
58 Naproti tomu z článku 4 bodu 5 GDPR v spojení s odôvodnením 26 tohto nariadenia vyplýva, že osobné údaje, ktoré boli iba pseudonymizované a ktoré by mohli byť priradené k fyzickej osobe za pomoci dodatočných informácií, sa musia považovať za informácie týkajúce sa identifikovateľnej fyzickej osoby, na ktoré sa uplatňujú zásady týkajúce sa ochrany údajov.
59 Vzhľadom na predchádzajúce dôvody treba na štvrtú otázku odpovedať tak, že článok 4 bod 2 GDPR sa má vykladať v tom zmysle, že „spracúvanie“ v zmysle tohto ustanovenia predstavuje používanie osobných údajov na IT testovanie mobilnej aplikácie, pokiaľ takéto údaje neboli anonymizované takým spôsobom, že osoba dotknutá týmito údajmi nie je alebo už nie je identifikovateľná, alebo ak nejde o fiktívne údaje, ktoré sa netýkajú existujúcej fyzickej osoby.
O šiestej otázke
60 Svojou šiestou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 83 GDPR vykladať v tom zmysle, že na jednej strane správnu pokutu možno uložiť podľa tohto ustanovenia len vtedy, ak sa preukáže, že prevádzkovateľ sa dopustil porušenia uvedeného v odsekoch 4 až 6 tohto článku úmyselne alebo z nedbanlivosti, a na druhej strane, že takúto pokutu možno uložiť prevádzkovateľovi v súvislosti so spracovateľskými operáciami, ktoré v jeho mene vykonal sprostredkovateľ.
61 Pokiaľ ide v prvom rade o otázku, či správnu pokutu možno uložiť podľa článku 83 GDPR len vtedy, ak sa preukáže, že prevádzkovateľ alebo sprostredkovateľ sa dopustil porušenia uvedeného v odsekoch 4 až 6 tohto článku úmyselne alebo z nedbanlivosti, z odseku 1 uvedeného článku vyplýva, že tieto pokuty musia byť účinné, primerané a odrádzajúce. Naproti tomu článok 83 GDPR výslovne nespresňuje, že toto porušenie možno sankcionovať takouto pokutou len vtedy, ak k nemu došlo úmyselne alebo prinajmenšom z nedbanlivosti.
62 Litovská vláda a Rada Európskej únie z toho vyvodzujú, že normotvorca Únie mal v úmysle ponechať členským štátom určitú mieru voľnej úvahy pri vykonávaní článku 83 GDPR, ktorý im umožňuje v prípade potreby stanoviť uloženie správnych pokút podľa tohto ustanovenia bez toho, aby bolo preukázané, že porušenie GDPR sankcionované touto pokutou bolo spáchané úmyselne alebo z nedbanlivosti.
63 Takýto výklad článku 83 GDPR nemožno prijať.
64 V tejto súvislosti treba pripomenúť, že podľa článku 288 ZFEÚ majú ustanovenia nariadení vo všeobecnosti bezprostredný účinok vo vnútroštátnych právnych poriadkoch, a to bez toho, aby vnútroštátne orgány museli prijať vykonávacie predpisy. Niektoré ustanovenia nariadení však na svoje vykonávanie môžu vyžadovať prijatie vykonávacích predpisov členskými štátmi (pozri v tomto zmysle rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 58 a citovanú judikatúru).
65 Je to tak najmä v prípade GDPR, ktorého niektoré ustanovenia dávajú členským štátom možnosť stanoviť dodatočné prísnejšie alebo odchylné vnútroštátne pravidlá, ktoré im ponechávajú mieru voľnej úvahy, pokiaľ ide o spôsob, akým sa môžu tieto ustanovenia vykonávať (rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 57).
66 Rovnako v prípade neexistencie osobitných procesných pravidiel v GDPR prináleží právnemu poriadku každého členského štátu, aby pri dodržaní zásad ekvivalencie a efektivity stanovil podmienky týkajúce sa žalôb určených na zaručenie ochrany práv, ktoré osobám podliehajúcim súdnej právomoci vyplývajú z ustanovení tohto nariadenia [pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 53 a 54, ako aj citovanú judikatúru].
67 Nič v znení článku 83 ods. 1 až 6 GDPR však neumožňuje domnievať sa, že normotvorca Únie mal v úmysle ponechať členským štátom mieru voľnej úvahy, pokiaľ ide o hmotnoprávne podmienky, ktoré musí dozorný orgán dodržať, keď sa rozhodne uložiť prevádzkovateľovi správnu pokutu za porušenie uvedené v odsekoch 4 až 6 tohto článku.
68 Je pravda, že na jednej strane článok 83 ods. 7 GDPR stanovuje, že každý členský štát môže stanoviť pravidlá, či a v akom rozsahu sa môžu správne pokuty uložiť orgánom verejnej moci a verejnoprávnym subjektom usadeným v danom členskom štáte. Na druhej strane z článku 83 ods. 8 tohto nariadenia v spojení s jeho odôvodnením 129 vyplýva, že výkon právomocí dozorného orgánu podľa tohto článku podlieha primeraným procesným zárukám v súlade s právom Únie a právom členského štátu vrátane účinného súdneho prostriedku nápravy a riadneho procesu.
69 Skutočnosť, že uvedené nariadenie tak dáva členským štátom možnosť stanoviť výnimky vo vzťahu k orgánom verejnej moci a verejnoprávnym subjektom usadeným na ich území, ako aj požiadavky týkajúce sa postupu, ktorý majú dozorné orgány dodržať pri ukladaní správnej pokuty, však vôbec neznamená, že by boli tieto štáty tiež oprávnené stanoviť okrem takýchto výnimiek a požiadaviek procesnej povahy aj hmotnoprávne podmienky, ktoré musia byť splnené, aby vznikla zodpovednosť prevádzkovateľa a aby mu bola uložená správna pokuta podľa uvedeného článku 83. Okrem toho skutočnosť, že normotvorca Únie výslovne stanovil túto možnosť, ale nie možnosť stanoviť takéto hmotnoprávne podmienky, potvrdzuje, že členským štátom v tejto súvislosti neponechal mieru voľnej úvahy.
70 Toto konštatovanie potvrdzuje aj znenie článku 83 v spojení s článkom 84 GDPR. Článok 84 ods. 1 tohto nariadenia totiž pripúšťa, že členské štáty si ponechávajú právomoc stanoviť pravidlá „pre iné sankcie“ za porušenia tohto nariadenia, „predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83“. Z takéhoto spoločného výkladu týchto ustanovení teda vyplýva, že určenie hmotnoprávnych podmienok umožňujúcich uloženie takýchto správnych pokút nepatrí do tejto právomoci. Na tieto podmienky sa preto vzťahuje výlučne právo Únie.
71 Pokiaľ ide o uvedené podmienky, treba uviesť, že článok 83 ods. 2 GDPR vymenúva skutočnosti, ktoré má dozorný orgán zohľadniť pri ukladaní správnej pokuty prevádzkovateľovi. Medzi týmito skutočnosťami sa v písmene b) tohto ustanovenia uvádza „úmyselný alebo nedbanlivostný charakter porušenia“. Naproti tomu žiadna zo skutočností vymenovaných v uvedenom ustanovení neuvádza žiadnu možnosť na vznik zodpovednosti prevádzkovateľa v prípade, že nedošlo k zavineniu z jeho strany.
72 Okrem toho treba článok 83 ods. 2 GDPR vykladať v spojení s odsekom 3 tohto článku, ktorého cieľom je stanoviť dôsledky prípadov kumulácie porušení tohto nariadenia a podľa ktorého „ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie“.
73 Zo znenia článku 83 ods. 2 GDPR tak vyplýva, že iba porušenia ustanovení tohto nariadenia, ktorých sa dopustil prevádzkovateľ zavinene, teda porušenia, ktorých sa dopustil úmyselne alebo z nedbanlivosti, môžu viesť k uloženiu správnej pokuty tomuto prevádzkovateľovi podľa tohto článku.
74 Všeobecná štruktúra a účel GDPR tento výklad potvrdzujú.
75 Na jednej strane normotvorca Únie stanovil systém sankcií umožňujúci dozorným orgánom uložiť najvhodnejšie sankcie v závislosti od okolností každého prípadu.
76 Článok 58 GDPR, ktorý stanovuje právomoci dozorných orgánov, totiž vo svojom odseku 2 písm. i) stanovuje, že tieto orgány môžu ukladať správne pokuty podľa článku 83 tohto nariadenia „popri… alebo namiesto“ iných nápravných opatrení vymenovaných v tomto článku 58 ods. 2, ako sú upozornenia, napomenutia alebo príkazy. Rovnako odôvodnenie 148 uvedeného nariadenia najmä uvádza, že v prípade menej závažného porušenia, alebo ak by pravdepodobne uložená pokuta predstavovala pre fyzickú osobu neprimeranú záťaž, dozorné orgány môžu upustiť od uloženia správnej pokuty a namiesto nej udeliť napomenutie.
77 Na druhej strane najmä z odôvodnenia 10 GDPR vyplýva, že jeho ustanovenia majú za cieľ najmä zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb pri spracúvaní osobných údajov v rámci Únie a na tento účel zabezpečiť konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd týchto osôb pri spracúvaní takýchto osobných údajov v rámci celej Únie. Odôvodnenia 11 a 129 GDPR okrem toho zdôrazňujú, že na zabezpečenie jednotného uplatňovania tohto nariadenia je potrebné zabezpečiť, aby dozorné orgány mali rovnocenné právomoci na monitorovanie a kontrolu dodržiavania pravidiel ochrany osobných údajov a aby mohli ukladať rovnocenné sankcie v prípade porušenia uvedeného nariadenia.
78 Existencia systému sankcií, ktorý umožňuje uložiť, ak to odôvodňujú osobitné okolnosti každého jednotlivého prípadu, správnu pokutu podľa článku 83 GDPR, podnecuje prevádzkovateľov a sprostredkovateľov k dodržiavaniu tohto nariadenia. Správne pokuty svojím odradzujúcim účinkom prispievajú k posilneniu ochrany fyzických osôb pri spracúvaní osobných údajov, a preto predstavujú kľúčový prvok na zabezpečenie dodržiavania práv týchto osôb v súlade s účelom tohto nariadenia, ktorým je zabezpečiť vysokú úroveň ochrany týchto osôb pri spracúvaní osobných údajov.
79 Normotvorca Únie však nepovažoval za potrebné na zabezpečenie takejto vysokej úrovne ochrany stanoviť uloženie správnych pokút v prípade neexistencie zavinenia. Vzhľadom na skutočnosť, že GDPR sa usiluje o rovnocennú a zároveň jednotnú úroveň ochrany a na tento účel sa musí uplatňovať konzistentne v celej Únii, bolo by v rozpore s týmto účelom umožniť členským štátom stanoviť takýto režim ukladania pokút podľa článku 83 tohto nariadenia. Takáto sloboda voľby by okrem toho mohla narušiť hospodársku súťaž medzi hospodárskymi subjektmi v rámci Únie, čo by bolo v rozpore s cieľmi, ktoré normotvorca Únie vyjadril najmä v odôvodneniach 9 a 13 uvedeného nariadenia.
80 V dôsledku toho treba konštatovať, že článok 83 GDPR neumožňuje uložiť správnu pokutu za porušenie uvedené v jeho odsekoch 4 až 6 bez toho, aby sa preukázalo, že prevádzkovateľ sa tohto porušenia dopustil úmyselne alebo z nedbanlivosti, a teda že zavinené porušenie je podmienkou uloženia takejto pokuty.
81 V tejto súvislosti, pokiaľ ide o otázku, či k porušeniu došlo úmyselne alebo z nedbanlivosti, a teda či môže byť z tohto dôvodu sankcionované správnou pokutou podľa článku 83 GDPR, treba ešte spresniť, že prevádzkovateľ môže byť sankcionovaný za správanie patriace do pôsobnosti GDPR, pokiaľ tento prevádzkovateľ nemohol nevedieť o protiprávnej povahe svojho správania, či už by si uvedomoval porušenie ustanovení GDPR, alebo nie (pozri analogicky rozsudky z 18. júna 2013, Schenker & Co. a i., C‑681/11, EU:C:2013:404, bod 37, ako aj citovanú judikatúru; z 25. marca 2021, Lundbeck/Komisia, C‑591/16 P, EU:C:2021:243, bod 156, a z 25. marca 2021, Arrow Group a Arrow Generics/Komisia, C‑601/16 P, EU:C:2021:244, bod 97).
82 Ak je prevádzkovateľom právnická osoba, treba ešte spresniť, že uplatnenie článku 83 GDPR nepredpokladá konanie ani vedomosť riadiaceho orgánu tejto právnickej osoby (pozri analogicky rozsudky zo 7. júna 1983, Musique Diffusion française a i./Komisia, 100/80 až 103/80, EU:C:1983:158, bod 97, ako aj zo 16. februára 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Komisia, C‑94/15 P, EU:C:2017:124, bod 28 a citovanú judikatúru).
83 Pokiaľ ide v druhom rade o otázku, či možno prevádzkovateľovi uložiť správnu pokutu podľa článku 83 GDPR v súvislosti so spracovateľskými operáciami vykonávanými sprostredkovateľom, treba pripomenúť, že podľa definície uvedenej v článku 4 bode 8 GDPR je sprostredkovateľ „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“.
84 Keďže, ako bolo uvedené v bode 36 tohto rozsudku, prevádzkovateľ je zodpovedný nielen za každé spracúvanie osobných údajov, ktoré vykonáva sám, ale aj za spracúvanie, ktoré sa vykonáva v jeho mene, tomuto prevádzkovateľovi možno uložiť správnu pokutu podľa článku 83 GDPR v situácii, keď sú osobné údaje spracúvané nezákonne, a keď uvedené spracúvanie nevykonal takýto prevádzkovateľ, ale vykonal ho v jeho mene sprostredkovateľ, na ktorého sa tento prevádzkovateľ obrátil.
85 Zodpovednosť prevádzkovateľa za správanie sprostredkovateľa sa však nemôže rozšíriť na situácie, v ktorých sprostredkovateľ spracúval osobné údaje na svoje vlastné účely alebo v ktorých sprostredkovateľ spracúval tieto údaje spôsobom nezlučiteľným s rámcom alebo spôsobmi spracúvania, ako boli určené prevádzkovateľom, alebo takým spôsobom, o ktorom sa nemožno rozumne domnievať, že by s ním tento prevádzkovateľ súhlasil. V súlade s článkom 28 ods. 10 GDPR sa totiž sprostredkovateľ musí v takomto prípade, pokiaľ ide o takéto spracúvanie, považovať za prevádzkovateľa.
86 Vzhľadom na predchádzajúce úvahy treba na šiestu otázku odpovedať tak, že článok 83 GDPR sa má vykladať v tom zmysle, že jednak správnu pokutu možno uložiť podľa tohto ustanovenia len vtedy, ak sa preukáže, že prevádzkovateľ sa dopustil porušenia uvedeného v odsekoch 4 až 6 tohto článku úmyselne alebo z nedbanlivosti, a jednak takúto pokutu možno uložiť prevádzkovateľovi v súvislosti so spracovateľskými operáciami, ktoré v jeho mene vykonal sprostredkovateľ, okrem prípadov, v ktorých tento sprostredkovateľ v rámci týchto operácií vykonal spracúvanie na svoje vlastné účely alebo spracúval tieto údaje spôsobom nezlučiteľným s rámcom alebo spôsobmi spracúvania, ako boli určené prevádzkovateľom, alebo takým spôsobom, o ktorom sa nemožno rozumne domnievať, že by s ním tento prevádzkovateľ súhlasil.
O trovách
87 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (veľká komora) rozhodol takto:
1. Článok 4 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
sa má vykladať v tom zmysle, že:
za prevádzkovateľa v zmysle tohto ustanovenia možno považovať subjekt, ktorý poveril podnik vývojom mobilnej IT aplikácie a ktorý sa v tejto súvislosti podieľal na určení účelov a prostriedkov spracúvania osobných údajov vykonávaného prostredníctvom tejto aplikácie, aj keď tento subjekt sám neuskutočnil spracovateľské operácie takýchto údajov, výslovne neudelil svoj súhlas s uskutočnením konkrétnych operácií takéhoto spracúvania alebo so sprístupnením uvedenej mobilnej aplikácie verejnosti a túto mobilnú aplikáciu neobstaral, s výnimkou toho, že by pred týmto sprístupnením verejnosti uvedený subjekt výslovne nesúhlasil s týmto sprístupnením a z toho vyplývajúcim spracúvaním osobných údajov.
2. Článok 4 bod 7 a článok 26 ods. 1 nariadenia 2016/679
sa majú vykladať v tom zmysle, že:
kvalifikácia dvoch subjektov ako spoločných prevádzkovateľov nepredpokladá existenciu dohody medzi týmito subjektmi o určení účelov a prostriedkov spracúvania predmetných osobných údajov, ani existenciu dohody, ktorá stanovuje podmienky týkajúce sa spoločnej zodpovednosti za spracúvanie.
3. Článok 4 bod 2 nariadenia 2016/679
sa má vykladať v tom zmysle, že:
„spracúvanie“ v zmysle tohto ustanovenia predstavuje používanie osobných údajov na IT testovanie mobilnej aplikácie, pokiaľ takéto údaje neboli anonymizované takým spôsobom, že osoba dotknutá týmito údajmi nie je alebo už nie je identifikovateľná, alebo ak nejde o fiktívne údaje, ktoré sa netýkajú existujúcej fyzickej osoby.
4. Článok 83 nariadenia 2016/679
sa má vykladať v tom zmysle, že:
jednak správnu pokutu možno uložiť podľa tohto ustanovenia len vtedy, ak sa preukáže, že prevádzkovateľ sa dopustil porušenia uvedeného v odsekoch 4 až 6 tohto článku úmyselne alebo z nedbanlivosti, a
jednak takúto pokutu možno uložiť prevádzkovateľovi v súvislosti so spracovateľskými operáciami s osobnými údajmi, ktoré v jeho mene vykonal sprostredkovateľ, okrem prípadov, v ktorých tento sprostredkovateľ v rámci týchto operácií vykonal spracúvanie na svoje vlastné účely alebo spracúval tieto údaje spôsobom nezlučiteľným s rámcom alebo spôsobmi spracúvania, ako boli určené prevádzkovateľom, alebo takým spôsobom, o ktorom sa nemožno rozumne domnievať, že by s ním tento prevádzkovateľ súhlasil.
Podpisy