CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:949

HOTĂRÂREA CURȚII (Marea Cameră)

5 decembrie 2023(*)

„Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 4 punctele 2 și 7 – Noțiunile de «prelucrare» și de «operator» – Dezvoltarea unei aplicații informatice mobile – Articolul 26 – Responsabilitate comună privind prelucrarea – Articolul 83 – Impunerea unor amenzi administrative – Condiții – Cerința ca încălcarea să fie comisă intenționat sau din neglijență – Răspunderea operatorului pentru prelucrarea datelor cu caracter personal efectuată de o persoană împuternicită de operator”

În cauza C‑683/21,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Vilniaus apygardos administracinis teismas (Tribunalul Administrativ Regional din Vilnius, Lituania), prin decizia din 22 octombrie 2021, primită de Curte la 12 noiembrie 2021, în procedura

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

împotriva

Valstybinė duomenų apsaugos inspekcija,

cu participarea:

UAB „IT sprendimai sėkmei”,

Lietuvos Respublikos sveikatos apsaugos ministerija,

CURTEA (Marea Cameră),

compusă din domnul K. Lenaerts, președinte, domnul L. Bay Larsen, vicepreședinte, domnii A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz și Z. Csehi și doamna O. Spineanu Matei, președinți de cameră, domnii M. Ilešič și J. C. Bonichot, doamna L. S. Rossi și domnii A. Kumin, N. Jääskinen (raportor), N. Wahl și M. Gavalec, judecători,

avocat general: domnul N. Emiliou,

grefier: doamna C. Strömholm, administratoare,

având în vedere procedura scrisă și în urma ședinței din 17 ianuarie 2023,

luând în considerare observațiile prezentate:

– pentru Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, de G. Aleksienė;

– pentru Valstybinė duomenų apsaugos inspekcija, de R. Andrijauskas;

– pentru guvernul lituanian, de V. Kazlauskaitė-Švenčionienė, în calitate de agent;

– pentru guvernul neerlandez, de C. S. Schillemans, în calitate de agent;

– pentru Consiliul Uniunii Europene, de R. Liudvinavičiūtė și K. Pleśniak, în calitate de agenți;

– pentru Comisia Europeană, de A. Bouchagiar, H. Kranenborg și A. Steiblytė, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 4 mai 2023,

pronunță prezenta

Hotărâre

1 Cererea de decizie preliminară privește interpretarea articolului 4 punctele 2 și 7, a articolului 26 alineatul (1), precum și a articolului 83 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

2 Această cerere a fost formulată în cadrul unui litigiu între Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centrul Național de Sănătate Publică din cadrul Ministerului Sănătății, Lituania, denumit în continuare „CNSP”), pe de o parte, și Valstybinė duomenų apsaugos inspekcija (Inspectoratul Național pentru Protecția Datelor, Lituania, denumit în continuare „INPD”), pe de altă parte, în legătură cu o decizie prin care acesta din urmă a impus CNSP o amendă administrativă în temeiul articolului 83 din RGPD pentru încălcarea articolelor 5, 13, 24, 32 și 35 din acest regulament.

Cadrul juridic

Dreptul Uniunii

3 Considerentele (9), (10), (11), (13), (26), (74), (79), (129) și (148) ale RGPD au următorul cuprins:

„(9) […] Diferențele dintre nivelurile de protecție a drepturilor și libertăților persoanelor fizice, în special a dreptului la protecția datelor cu caracter personal, în ceea ce privește prelucrarea datelor cu caracter personal din statele membre pot împiedica libera circulație a datelor cu caracter personal în întreaga Uniune [Europeană]. Aceste diferențe pot constitui, prin urmare, un obstacol în desfășurarea de activități economice la nivelul Uniunii, pot denatura concurența și pot împiedica autoritățile să îndeplinească responsabilitățile care le revin în temeiul dreptului Uniunii. […]

(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […]

(11) Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru infracțiuni în statele membre.

[…]

(13) În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderi și întreprinderi mici și mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi, obligații și responsabilități opozabile din punct de vedere juridic pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni echivalente în toate statele membre, precum și cooperarea eficace a autorităților de supraveghere ale diferitelor state membre. […]

[…]

(26) Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. […] Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare.

[…]

(74) Ar trebui să se stabilească responsabilitatea și răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să fie obligat să implementeze măsuri adecvate și eficace și să fie în măsură să demonstreze conformitatea activităților de prelucrare cu prezentul regulament, inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să țină seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor fizice.

[…]

(79) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanelor împuternicite de operator, […] necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator.

[…]

(129) Pentru a se asigura consecvența monitorizării și a aplicării prezentului regulament în întreaga Uniune, autoritățile de supraveghere ar trebui să aibă în fiecare stat membru aceleași sarcini și competențe efective, inclusiv competențe de investigare, competențe corective și [competențe de a aplica] sancțiuni […] Competențele autorităților de supraveghere ar trebui exercitate în conformitate cu garanții procedurale adecvate prevăzute în dreptul Uniunii și în dreptul intern, în mod imparțial, echitabil și într‑un termen rezonabil. În special, fiecare măsură ar trebui să fie adecvată, necesară și proporțională în scopul de a asigura conformitatea cu dispozițiile prezentului regulament, luând în considerare circumstanțele fiecărui caz în parte, să respecte dreptul oricărei persoane de a fi ascultată înainte de luarea oricărei măsuri individuale care ar putea să îi aducă atingere și să evite costurile inutile și inconvenientele excesive pentru persoanele în cauză. Competențele de investigare în ceea ce privește accesul în incinte ar trebui exercitate în conformitate cu cerințele specifice din dreptul procedural național, cum ar fi obligația de a obține în prealabil o autorizare judiciară. Fiecare măsură obligatorie din punct de vedere juridic luată de autoritatea de supraveghere ar trebui să fie prezentată în scris, să fie clară și lipsită de ambiguitate, să indice autoritatea de supraveghere care a emis măsura, data emiterii măsurii, să poarte semnătura șefului sau a unui membru al autorității de supraveghere autorizat de acesta, să furnizeze motivele pentru care s‑a luat măsura și să facă trimitere la dreptul la o cale de atac eficientă. Acest lucru nu ar trebui să excludă cerințe suplimentare în conformitate cu dreptul procedural național. Adoptarea unor astfel de decizii obligatorii din punct de vedere juridic implică faptul că se poate da naștere unui control jurisdicțional în statul membru al autorității de supraveghere care a adoptat decizia.

[…]

(148) Pentru a consolida respectarea aplicării normelor prevăzute în prezentul regulament, ar trebui impuse sancțiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului regulament, pe lângă sau în locul măsurilor adecvate impuse de autoritatea de supraveghere în temeiul prezentului regulament. În cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică, poate fi emis un avertisment în locul unei amenzi. Cu toate acestea, ar trebui să se ia în considerare în mod corespunzător natura, gravitatea și durata încălcării, caracterul deliberat al încălcării, acțiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere, conformitatea cu măsurile adoptate împotriva operatorului sau a persoanei împuternicite de operator, aderarea la un cod de conduită și orice alt factor agravant sau atenuant. Impunerea de sancțiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu [Carta drepturilor fundamentale a Uniunii Europene], inclusiv o protecție judiciară eficientă și un proces echitabil.”

4 Potrivit articolului 4 din acest regulament:

„În sensul prezentului regulament:

1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

5. «pseudonimizare» înseamnă prelucrarea datelor cu caracter personal într‑un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

[…]

7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

8. «persoană împuternicită de operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

[…]”

5 Articolul 26 din regulamentul menționat, intitulat „Operatori asociați”, prevede la alineatul (1):

„În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într‑un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la articolele 13 și 14, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.”

6 Articolul 28 din același regulament, intitulat „Persoana împuternicită de operator”, prevede la alineatul (10):

„Fără a aduce atingere articolelor 82, 83 și 84, în cazul în care o persoană împuternicită de operator încălcă prezentul regulament, prin stabilirea scopurilor și mijloacelor de prelucrare a datelor cu caracter personal, persoana împuternicită de operator este considerată a fi un operator în ceea ce privește prelucrarea respectivă.”

7 Articolul 58 din RGPD, intitulat „Competențe”, prevede la alineatul (2):

„Fiecare autoritate de supraveghere are toate următoarele competențe corective:

(a) de a emite avertizări în atenția unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile prezentului regulament;

(b) de a emite mustrări adresate unui operator sau unei persoane împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile prezentului regulament;

[…]

(d) de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând, după caz, modalitatea și termenul‑limită pentru aceasta;

[…]

(f) de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării;

[…]

(i) de a impune amenzi administrative în conformitate cu articolul 83, în completarea sau în locul măsurilor menționate la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte;

[…]”

8 Articolul 83 din acest regulament, intitulat „Condiții generale pentru impunerea amenzilor administrative”, are următorul cuprins:

„(1) Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menționate la alineatele (4), (5) și, (6) este, în fiecare caz, eficace, proporțională și disuasivă.

(2) În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2) literele (a)-(h) și (j). Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:

(a) natura, gravitatea și durata încălcării, ținându‑se seama de natura, domeniul de aplicare sau scopul prelucrării în cauză, precum și de numărul persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea;

(b) dacă încălcarea a fost comisă intenționat sau din neglijență;

(c) orice acțiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul suferit de persoana vizată;

(d) gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ținându‑se seama de măsurile tehnice și organizatorice implementate de aceștia în temeiul articolelor 25 și 32;

(e) eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator;

(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcării;

(g) categoriile de date cu caracter personal afectate de încălcare;

(h) modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere, în special dacă și în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea;

(i) în cazul în care măsurile menționate la articolul 58 alineatul (2) au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator în cauză cu privire la același obiect, respectarea respectivelor măsuri;

(j) aderarea la coduri de conduită aprobate, în conformitate cu articolul 40, sau la mecanisme de certificare aprobate, în conformitate cu articolul 42; și

(k) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.

(3) În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare.

(4) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 10 000 000 [de euro] sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare:

(a) obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu articolele 8, 11, 25-39, 42 și 43;

[…]

(5) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 20 000 000 [de euro] sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare:

(a) principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu articolele 5, 6, 7 și 9;

(b) drepturile persoanelor vizate în conformitate cu articolele 12-22;

[…]

(d) orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;

[…]

(6) Pentru încălcarea unui ordin emis de autoritatea de supraveghere în conformitate cu articolul 58 alineatul (2) se aplică, în conformitate cu alineatul (2) din prezentul articol, amenzi administrative de până la 20 000 000 [de euro] sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare.

(7) Fără a aduce atingere competențelor corective ale autorităților de supraveghere menționate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și organismelor publice stabilite în statul membru respectiv.

(8) Exercitarea de către autoritatea de supraveghere a competențelor sale în temeiul prezentului articol are loc cu condiția existenței unor garanții procedurale adecvate în conformitate cu dreptul Uniunii și cu dreptul intern, inclusiv căi de atac judiciare eficiente și dreptul la un proces echitabil.

[…]”

9 Articolul 84 din regulamentul menționat, intitulat „Sancțiuni”, prevede la alineatul (1):

„Statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.”

Dreptul lituanian

10 Articolul 29 alineatul 3 din Viešujų pirkimų įstatymas (Legea privind achizițiile publice) menționează anumite împrejurări în care autoritatea contractantă are fie dreptul, fie obligația de a înceta procedurile inițiate de atribuire a contractelor de achiziții publice sau de concurs de proiecte, din oficiu și în orice moment înainte de atribuirea contractului de achiziții publice (ori a acordului‑cadru) sau de stabilirea candidatului câștigător al concursului.

11 Articolul 72 alineatul 2 din Legea privind achizițiile publice prevede etapele negocierilor pe care autoritatea contractantă le desfășoară în cadrul unei proceduri negociate de achiziții publice fără publicare prealabilă.

Litigiul principal și întrebările preliminare

12 În contextul pandemiei provocate de virusul COVID–19, Lietuvos Respublikos sveikatos apsaugos ministras (ministrul sănătății al Republicii Lituania), printr‑o primă decizie din 24 martie 2020, l‑a însărcinat pe directorul CNSP să organizeze achiziționarea imediată a unui sistem informatic în vederea înregistrării și a monitorizării datelor persoanelor expuse virusului respectiv, în scopul unei monitorizări epidemiologice.

13 Prin e‑mailul din 27 martie 2020, o persoană, care s‑a prezentat ca reprezentant al CNSP (denumită în continuare „A.S.”), a informat societatea UAB „IT sprendimai sėkmei” (denumită în continuare „societatea ITSS”) că CNSP a selectat‑o pentru a crea o aplicație mobilă în acest scop. Ulterior, A.S. a trimis societății ITSS e‑mailuri referitoare la diverse aspecte ale creării acestei aplicații, o copie a e‑mailurilor respective fiind adresată directorului CNSP.

14 În cursul negocierilor dintre societatea ITSS și CNSP, pe lângă A.S., alți angajați ai CNSP au trimis de asemenea e‑mailuri acestei societăți cu privire la redactarea întrebărilor adresate în aplicația mobilă în cauză.

15 La crearea acestei aplicații mobile a fost elaborată o politică de confidențialitate în cadrul căreia societatea ITSS și CNSP erau desemnate ca fiind operatori.

16 Aplicația mobilă în cauză, care menționa societatea ITSS și CNSP, era disponibilă în vederea descărcării în magazinul online Google Play Store începând cu 4 aprilie 2020 și în magazinul online Apple App Store începând cu 6 aprilie 2020. Aceasta a fost funcțională până la 26 mai 2020.

17 În perioada 4 aprilie 2020-26 mai 2020, 3 802 persoane au utilizat această aplicație și au furnizat datele care le vizează solicitate de aplicația menționată, precum numărul de identitate, coordonatele geografice (latitudine și longitudine), țara, orașul, comuna, codul poștal, numele străzii, numărul imobilului, numele, prenumele, codul personal, numărul de telefon și adresa.

18 Printr‑o a doua decizie din 10 aprilie 2020, ministrul sănătății al Republicii Lituania a decis să încredințeze directorului CNSP sarcina de a organiza achiziționarea aplicației mobile în cauză de la societatea ITSS și, în acest scop, s‑a avut în vedere recurgerea la articolul 72 alineatul 2 din Legea privind achizițiile publice. Cu toate acestea, niciun contract de achiziții publice având ca obiect achiziționarea oficială a acestei aplicații de către CNSP nu a fost atribuit societății amintite.

19 Astfel, la 15 mai 2020, CNSP a solicitat respectivei societăți să nu îl menționeze în niciun mod în aplicația mobilă în cauză. În plus, prin scrisoarea din 4 iunie 2020, CNSP a informat aceeași societate că, din cauza unei lipse de finanțare pentru achiziționarea acestei aplicații, conform articolului 29 alineatul 3 din Legea privind achizițiile publice, a pus capăt procedurii privind o asemenea achiziție.

20 În cadrul unei investigații privind prelucrarea datelor cu caracter personal inițiată la 18 mai 2020, INPD a stabilit că au fost colectate date cu caracter personal cu ajutorul aplicației mobile în cauză. În plus, s‑a constatat că utilizatorii care au ales această aplicație ca metodă de monitorizare a izolării devenite obligatorii din cauza pandemiei de COVID-19 au răspuns la întrebări care implică prelucrarea unor date cu caracter personal. Aceste date ar fi fost furnizate în răspunsurile la întrebările adresate prin intermediul aplicației menționate și priveau în special starea de sănătate a persoanei în cauză și respectarea de către aceasta a condițiilor de izolare.

21 Prin decizia din 24 februarie 2021, INPD a impus CNSP o amendă administrativă de 12 000 de euro în temeiul articolului 83 din RGPD, având în vedere încălcarea de către acesta a articolelor 5, 13, 24, 32 și 35 din respectivul regulament. Prin această decizie, o amendă administrativă de 3 000 de euro a fost de asemenea impusă societății ITSS în calitate de operator asociat.

22 CNSP a contestat această decizie în fața Vilniaus apygardos administracinis teismas (Tribunalul Administrativ Regional din Vilnius, Lituania), care este instanța de trimitere, arătând că societatea ITSS este cea care trebuie considerată ca fiind unicul operator, în sensul articolului 4 punctul 7 din RGPD. La rândul său, societatea ITSS susține că a acționat în calitate de persoană împuternicită de operator în sensul articolului 4 punctul 8 din RGPD urmând instrucțiunile CNSP care este, în opinia sa, unicul operator.

23 Instanța de trimitere arată că societatea ITSS a creat aplicația mobilă în cauză și că CNSP i‑a oferit consultanță cu privire la conținutul întrebărilor adresate prin intermediul acestei aplicații. Cu toate acestea, nu ar exista un contract de achiziții publice între CNSP și societatea ITSS. În plus, CNSP nici nu ar fi consimțit, nici nu ar fi autorizat punerea la dispoziție a acestei aplicații prin intermediul a diverse magazine online.

24 Această instanță precizează că crearea aplicației mobile în cauză urmărea să pună în aplicare obiectivul atribuit de CNSP, și anume gestionarea pandemiei de COVID-19 prin crearea unui instrument informatic, și că în acest scop era prevăzută prelucrarea unor date cu caracter personal. În ceea ce privește rolul societății ITSS, nu s‑ar fi prevăzut ca această societate să urmărească alte obiective decât cel de a primi o remunerație pentru produsul informatic creat.

25 Instanța menționată observă de asemenea că, în cadrul investigației INPD, s‑a stabilit că societatea lituaniană Juvare Lithuania, administratoarea sistemului informatic de monitorizare și de control al bolilor transmisibile care prezintă un risc de răspândire, trebuia să primească copiile datelor cu caracter personal colectate de aplicația mobilă în cauză. În plus, în scopul testării acesteia, au fost utilizate date fictive, cu excepția numerelor de telefon ale angajaților societății amintite.

26 În aceste condiții, Vilniaus apygardos administracinis teismas (Tribunalul Administrativ Regional din Vilnius), a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) Noțiunea de «operator» de la articolul 4 punctul 7 din RGPD poate fi interpretată în sensul că o persoană care intenționează să achiziționeze un instrument de colectare a datelor (aplicație mobilă) prin intermediul unei achiziții publice trebuie considerată de asemenea ca fiind un operator chiar dacă nu a fost încheiat un contract de achiziții publice și nu a fost transferat produsul creat (aplicația mobilă) pentru achiziționarea căruia a fost utilizată o procedură de achiziții publice?

2) Noțiunea de «operator» de la articolul 4 punctul 7 din RGPD poate fi interpretată în sensul că o autoritate contractantă care nu a dobândit dreptul de proprietate asupra produsului informatic creat și care nu a preluat administrarea acestuia trebuie considerată de asemenea ca fiind un operator în cazul în care versiunea finală a aplicației create menționează respectiva entitate publică ori furnizează linkuri către aceasta și/sau în cazul în care politica de confidențialitate, care nu a fost aprobată oficial sau recunoscută de entitatea publică în discuție, precizează că entitatea publică respectivă este ea însăși operator?

3) Noțiunea de «operator» de la articolul 4 punctul 7 din RGPD poate fi interpretată în sensul că o persoană care nu a realizat nicio operațiune efectivă de prelucrare a datelor, astfel cum a fost definită la articolul 4 alineatul punctul 2 din RGPD, și/sau care nu a dat o permisiune/un consimțământ clar pentru realizarea unor astfel de operațiuni trebuie considerată de asemenea ca fiind un operator? Faptul că produsul informatic utilizat pentru prelucrarea datelor cu caracter personal a fost creat în conformitate cu sarcina trasată de autoritatea contractantă este semnificativ pentru interpretarea noțiunii de «operator»?

4) În cazul în care stabilirea operațiunilor efective de prelucrare a datelor este pertinentă pentru interpretarea noțiunii de «operator», definiția «prelucrării» datelor cu caracter personal de la articolul 4 punctul 2 din RGPD trebuie interpretată în sensul că se referă și la situațiile în care, la testarea sistemelor informatice în procesul de achiziționare a unei aplicații mobile, au fost utilizate copii ale unor date cu caracter personal?

5) O prelucrare în comun a datelor în conformitate cu articolul 4 punctul 7 și cu articolul 26 alineatul (1) din RGPD poate fi interpretată exclusiv în sensul că presupune acțiuni coordonate în mod intenționat în ceea ce privește stabilirea scopurilor și a mijloacelor de prelucrare a datelor sau această noțiune poate fi interpretată și în sensul în care luarea în comun a deciziilor include și situațiile în care nu există un «acord» clar cu privire la scopurile și mijloacele de prelucrare a datelor și/sau acțiunile nu sunt coordonate între entități? Împrejurarea referitoare la stadiul la care, în cursul creării mijloacelor de prelucrare a datelor cu caracter personal (aplicația informatică), au fost prelucrate date cu caracter personal și la scopul creării aplicației este importantă din punct de vedere juridic pentru interpretarea noțiunii de prelucrare în comun a datelor? Un «acord» între operatorii asociați poate fi înțeles exclusiv ca o fiind o stabilire clară și definită a condițiilor care reglementează prelucrarea în comun a datelor?

6) Dispoziția cuprinsă la articolul 83 alineatul (1) din RGPD, potrivit căreia «[impunerea unor] amenzi administrative […] este […] eficace, proporțională și disuasivă», trebuie interpretată în sensul că include și cazurile care atrag răspunderea «operatorului» atunci când, în procesul de creare a unui produs informatic, dezvoltatorul realizează și acțiuni de prelucrare a datelor cu caracter personal, iar acțiunile inadecvate de prelucrare a datelor cu caracter personal efectuate de persoana împuternicită de operator determină întotdeauna în mod automat răspunderea juridică a operatorului? Această dispoziție trebuie interpretată în sensul că include și cazurile de răspundere obiectivă a operatorului?”

Cu privire la întrebările preliminare

Cu privire la prima, a doua și a treia întrebare

27 Prin intermediul primelor trei întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 4 punctul 7 din RGPD trebuie interpretat în sensul că poate fi considerată operator, în sensul acestei dispoziții, o entitate care a însărcinat o întreprindere să dezvolte o aplicație informatică mobilă, în condițiile în care această entitate nu a efectuat ea însăși operațiuni de prelucrare de date cu caracter personal, nu și‑a dat în mod explicit acordul pentru realizarea unor operațiuni concrete ale unei astfel de prelucrări sau pentru punerea la dispoziția publicului a acestei aplicații mobile și nu a achiziționat respectiva aplicație mobilă.

28 Articolul 4 punctul 7 din RGPD definește în mod larg noțiunea de „operator” ca vizând persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, „stabilește scopurile și mijloacele de prelucrare” a datelor cu caracter personal.

29 Obiectivul acestei definiții largi constă, în conformitate cu cel al RGPD, în a asigura o protecție eficientă a drepturilor și a libertăților fundamentale ale persoanelor fizice, precum și în special un nivel ridicat de protecție a dreptului oricărei persoane la protecția datelor cu caracter personal care o privesc (a se vedea în acest sens Hotărârea din 29 iulie 2019, Fashion ID, C‑40/17, EU:C:2019:629, punctul 66, și Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctul 73, precum și jurisprudența citată).

30 Curtea a statuat deja că orice persoană fizică sau juridică ce influențează, în scopuri proprii, prelucrarea unor astfel de date și participă, ca urmare a acestui fapt, la stabilirea scopurilor și a mijloacelor acestei prelucrări poate fi considerată ca fiind operatorul acesteia. În acest sens, nu este necesar ca scopurile și mijloacele de prelucrare să fie stabilite prin orientări scrise sau prin instrucțiuni din partea operatorului (a se vedea în acest sens Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctele 67 și 68) și nici ca acesta să fi fost desemnat în mod formal ca atare.

31 Prin urmare, pentru a stabili dacă o entitate precum CNSP poate fi considerată operator în sensul articolului 4 punctul 7 din RGPD, trebuie să se examineze dacă această entitate a influențat efectiv, în scopuri proprii, stabilirea scopurilor și a mijloacelor acestei prelucrări.

32 În speță, sub rezerva verificărilor care trebuie efectuate de instanța de trimitere, din dosarul de care dispune Curtea reiese că crearea aplicației mobile în cauză a fost comandată de CNSP și urmărea să pună în aplicare obiectivul atribuit de acesta, și anume gestionarea pandemiei de COVID-19 prin intermediul unui instrument informatic în scopul înregistrării și al monitorizării datelor persoanelor expuse virusului COVID-19. CNSP prevăzuse în acest scop ca datele cu caracter personal ale utilizatorilor aplicației mobile în discuție să fie prelucrate. În plus, din decizia de trimitere reiese că parametrii acestei aplicații, precum întrebările adresate și formularea lor, au fost adaptați nevoilor CNSP și că acesta a jucat un rol activ în stabilirea lor.

33 În aceste condiții, trebuie să se considere în principiu că CNSP a participat efectiv la stabilirea scopurilor și a mijloacelor prelucrării.

34 În schimb, simplul fapt că CNSP a fost menționat ca operator în cadrul politicii de confidențialitate a aplicației mobile în cauză și că linkurile către această entitate au fost incluse în această aplicație ar putea fi considerate relevante numai în măsura în care se stabilește că CNSP a consimțit, în mod expres sau implicit, la această mențiune sau la aceste linkuri.

35 În plus, împrejurările menționate de instanța de trimitere în cadrul considerațiilor care vin în susținerea primelor trei întrebări preliminare, și anume că CNSP nu a prelucrat el însuși date cu caracter personal, că nu exista un contract între CNSP și societatea ITSS, că CNSP nu a achiziționat aplicația mobilă în cauză sau că difuzarea acestei aplicații prin intermediul unor magazine online nu a făcut obiectul unei autorizări din partea CNSP, nu exclud posibilitatea ca acesta să fie calificat drept „operator” în sensul articolului 4 punctul 7 din RGPD.

36 Astfel, din această dispoziție, interpretată în lumina considerentului (74) al RGPD, reiese că o entitate, în măsura în care îndeplinește condiția prevăzută la articolul 4 punctul 7 menționat, este responsabilă nu numai pentru orice prelucrare de date cu caracter personal pe care o efectuează ea însăși, ci și pentru cea efectuată în numele său.

37 În această privință, trebuie totuși precizat că CNSP nu poate fi considerat drept operatorul datelor cu caracter personal care rezultă din punerea la dispoziția publicului a aplicației mobile în cauză dacă, înainte de această punere la dispoziție, s‑a opus în mod expres acesteia, aspect a cărui verificare revine instanței de trimitere. Astfel, într‑o asemenea ipoteză, nu se poate considera că prelucrarea în cauză a fost efectuată în numele CNSP.

38 Având în vedere motivele care precedă, este necesar să se răspundă la prima, la a doua și la a treia întrebare că articolul 4 punctul 7 din RGPD trebuie interpretat în sensul că poate fi considerată operator, în sensul acestei dispoziții, o entitate care a însărcinat o întreprindere să dezvolte o aplicație informatică mobilă și care, în acest context, a participat la stabilirea scopurilor și a mijloacelor prelucrării datelor cu caracter personal realizate prin intermediul acestei aplicații, chiar dacă această entitate nu a efectuat ea însăși operațiuni de prelucrare a unor astfel de date, nu și‑a dat în mod explicit acordul pentru realizarea unor operațiuni concrete ale unei astfel de prelucrări sau pentru punerea la dispoziția publicului a respectivei aplicații mobile și nu a achiziționat aceeași aplicație mobilă, cu excepția cazului în care, înainte de această punere la dispoziția publicului, entitatea menționată s‑a opus în mod expres acesteia și prelucrării datelor cu caracter personal care au rezultat din aceasta.

Cu privire la a cincea întrebare

39 Prin intermediul celei de a cincea întrebări, care trebuie analizată în al doilea rând, instanța de trimitere solicită în esență să se stabilească dacă articolul 4 punctul 7 și articolul 26 alineatul (1) din RGPD trebuie interpretate în sensul că o calificare a două entități drept operatori asociați presupune existența unui acord între aceste entități cu privire la stabilirea scopurilor și a mijloacelor prelucrării datelor cu caracter personal în cauză sau existența unui acord care stabilește condițiile referitoare la responsabilitatea comună privind prelucrarea.

40 În conformitate cu articolul 26 alineatul (1) din RGPD, există „operatori asociați” în cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare.

41 Astfel cum a statuat Curtea, pentru a putea fi considerată operator asociat, o persoană fizică sau juridică trebuie, așadar, să intre sub incidența definiției „operatorului” prevăzută la articolul 4 punctul 7 din RGPD (a se vedea în acest sens Hotărârea din 29 iulie 2019, Fashion ID, C‑40/17, EU:C:2019:629, punctul 74).

42 Cu toate acestea, existența unei responsabilități comune nu înseamnă în mod necesar o răspundere echivalentă a diferitor operatori vizați de o prelucrare a datelor cu caracter personal. Dimpotrivă, acești operatori pot fi implicați în diferite stadii ale acestei prelucrări și în diferite grade, astfel încât nivelul de răspundere a fiecăruia dintre ei trebuie să fie evaluat ținând seama de toate împrejurările pertinente ale speței (Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, punctul 43). Pe de altă parte, responsabilitatea comună a mai multor actori pentru aceeași prelucrare nu presupune ca fiecare dintre aceștia să aibă acces la datele cu caracter personal vizate (Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctul 69 și jurisprudența citată).

43 După cum a arătat domnul avocat general la punctul 38 din concluzii, participarea la stabilirea scopurilor și a mijloacelor de prelucrare se poate regăsi sub diferite forme, această participare putând rezulta atât dintr‑o decizie comună luată de două sau mai multe entități, cât și din decizii convergente ale unor asemenea entități. Or, în acest ultim caz, deciziile menționate trebuie să se completeze, astfel încât fiecare dintre ele să aibă un efect concret asupra stabilirii scopurilor și a mijloacelor prelucrării.

44 În schimb, nu se poate impune existența unui acord formal între acești operatori în ceea ce privește scopurile și mijloacele prelucrării.

45 Desigur, în temeiul articolului 26 alineatul (1) din RGPD, interpretat în lumina considerentului (79) al acestuia, operatorii asociați trebuie, prin intermediul unui acord între ei, să stabilească într‑un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul acestui regulament. Cu toate acestea, existența unui asemenea acord nu constituie o condiție prealabilă pentru ca două sau mai multe entități să fie calificate drept operatori asociați, ci o obligație pe care acest articol 26 alineatul (1) o impune operatorilor asociați, odată calificați ca atare, în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul RGPD. Astfel, această calificare decurge din simplul fapt că mai multe entități au participat la stabilirea scopurilor și a mijloacelor prelucrării.

46 Având în vedere motivele care precedă, este necesar să se răspundă la a cincea întrebare că articolul 4 punctul 7 și articolul 26 alineatul (1) din RGPD trebuie interpretate în sensul că o calificare a două entități drept operatori asociați nu presupune nici existența unui acord între aceste entități cu privire la stabilirea scopurilor și a mijloacelor prelucrării datelor cu caracter personal în cauză, nici existența unui acord care stabilește condițiile referitoare la responsabilitatea comună privind prelucrarea.

Cu privire la a patra întrebare

47 Prin intermediul celei de a patra întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 4 punctul 2 din RGPD trebuie interpretat în sensul că constituie o „prelucrare”, în sensul acestei dispoziții, utilizarea datelor cu caracter personal în scopul testării informatice a unei aplicații mobile.

48 În speță, așa cum reiese din cuprinsul punctului 25 din prezenta hotărâre, societatea lituaniană administratoare a sistemului informatic de monitorizare și de control al bolilor transmisibile care prezintă un risc de răspândire trebuia să primească copiile datelor cu caracter personal colectate de aplicația mobilă în cauză. În scopul testării informatice, au fost utilizate date fictive, cu excepția numerelor de telefon ale angajaților societății menționate.

49 În această privință, în primul rând, articolul 4 punctul 2 din RGPD definește noțiunea de „prelucrare” ca fiind „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate”. Într‑o enumerare neexhaustivă, introdusă prin locuțiunea „cum ar fi”, această dispoziție menționează ca exemple de prelucrare colectarea, punerea la dispoziție și utilizarea datelor cu caracter personal.

50 Reiese astfel din modul de redactare a dispoziției menționate, în special din expresia „orice operațiune”, că legiuitorul Uniunii a intenționat să confere noțiunii de „prelucrare” un domeniu de aplicare larg [a se vedea în acest sens Hotărârea din 24 februarie 2022, Valsts ieņēmumu dienests (Prelucrarea datelor cu caracter personal în scopuri fiscale), C‑175/20, EU:C:2022:124, punctul 35] și că motivele pentru care sunt efectuate o operațiune sau un ansamblu de operațiuni nu pot fi luate în considerare pentru a stabili dacă această operațiune sau acest ansamblu de operațiuni constituie o „prelucrare” în sensul articolului 4 punctul 2 din RGPD.

51 În consecință, aspectul dacă datele cu caracter personal sunt utilizate pentru teste informatice sau în alt scop nu are incidență asupra calificării operațiunii în cauză drept „prelucrare” în sensul articolului 4 punctul 2 din RGPD.

52 În al doilea rând, trebuie totuși precizat că numai o prelucrare care vizează „date cu caracter personal” constituie o „prelucrare” în sensul articolului 4 punctul 2 din RGPD.

53 Articolul 4 punctul 1 din RGPD precizează că „date cu caracter personal” înseamnă „orice informații privind o persoană fizică identificată sau identificabilă”, adică „o persoană fizică […] care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

54 Or, împrejurarea la care se referă instanța de trimitere în cea de a patra întrebare că este vorba despre „copii ale unor date cu caracter personal” nu este, ca atare, de natură să înlăture în privința acestor copii calificarea drept date cu caracter personal în sensul articolului 4 punctul 1 din RGPD, cu condiția ca astfel de copii să conțină efectiv informații care se referă la o persoană fizică identificată sau identificabilă.

55 Cu toate acestea, trebuie să se constate că datele fictive, din moment ce nu se raportează la o persoană fizică identificată sau identificabilă, ci la o persoană care în realitate nu există, nu constituie date cu caracter personal în sensul articolului 4 punctul 1 din RGPD.

56 Același lucru este valabil și în ceea ce privește datele utilizate în scopul testării informatice care sunt anonime sau au fost anonimizate.

57 Astfel, din considerentul (26) al RGPD, precum și din însăși definiția noțiunii de „date cu caracter personal” prevăzută la articolul 4 punctul 1 din acest regulament rezultă că nu intră în sfera acestei noțiuni nici „informații[le] anonime, adică informații[le] care nu sunt legate de o persoană fizică identificată sau identificabilă”, nici „datel[e] cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă”.

58 În schimb, din articolul 4 punctul 5 din RGPD coroborat cu considerentul (26) al acestui regulament rezultă că datele cu caracter personal care doar au făcut obiectul unei pseudonimizări și care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare trebuie să fie considerate informații referitoare la o persoană fizică identificabilă, cărora li se aplică principiile protecției datelor.

59 Având în vedere motivele care precedă, este necesar să se răspundă la a patra întrebare că articolul 4 punctul 2 din RGPD trebuie interpretat în sensul că constituie o „prelucrare” în sensul acestei dispoziții utilizarea unor date cu caracter personal în scopul testării informatice a unei aplicații mobile, cu excepția cazului în care asemenea date au fost anonimizate astfel încât persoana vizată de aceste date nu este sau nu mai este identificabilă ori este vorba despre date fictive care nu se referă la o persoană fizică existentă.

Cu privire la a șasea întrebare

60 Prin intermediul celei de a șasea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 83 din RGPD trebuie interpretat în sensul că, pe de o parte, o amendă administrativă poate fi impusă în temeiul acestei dispoziții numai dacă se dovedește că operatorul a săvârșit, intenționat sau din neglijență, o încălcare prevăzută la alineatele (4)-(6) ale acestui articol și, pe de altă parte, o astfel de amendă poate fi impusă unui operator în raport cu operațiunile de prelucrare efectuate de o persoană împuternicită de operator în numele acestuia.

61 În ceea ce privește, în primul rând, aspectul dacă o amendă administrativă poate fi impusă în temeiul articolului 83 din RGPD numai în măsura în care se dovedește că operatorul sau persoana împuternicită de operator a săvârșit, intenționat sau din neglijență, o încălcare prevăzută la alineatele (4)-(6) ale acestui articol, din alineatul (1) al articolului menționat reiese că aceste amenzi trebuie să fie eficace, proporționale și disuasive. În schimb, articolul 83 din RGPD nu precizează în mod expres că o asemenea încălcare nu poate fi sancționată printr‑o astfel de amendă decât dacă a fost săvârșită intenționat sau, cel puțin, din neglijență.

62 Guvernul lituanian și Consiliul Uniunii Europene deduc de aici că legiuitorul Uniunii a intenționat să lase statelor membre o anumită marjă de apreciere în punerea în aplicare a articolului 83 din RGPD, care să le permită să prevadă impunerea unor amenzi administrative în temeiul acestei dispoziții, dacă este cazul, fără a se stabili că încălcarea RGPD sancționată prin această amendă a fost săvârșită cu intenție sau din neglijență.

63 O asemenea interpretare a articolului 83 din RGPD nu poate fi reținută.

64 În această privință, trebuie amintit că, în temeiul articolului 288 TFUE, dispozițiile unui regulament au în general un efect imediat în ordinile juridice naționale, fără a fi necesar ca autoritățile naționale să adopte măsuri de aplicare. Cu toate acestea, unele dispoziții ale regulamentelor pot necesita, pentru punerea lor în aplicare, adoptarea unor măsuri de aplicare de către statele membre (a se vedea în acest sens Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctul 58 și jurisprudența citată).

65 Aceasta este în special situația RGPD, anumite dispoziții ale acestuia deschizând posibilitatea ca statele membre să prevadă norme naționale suplimentare, mai stricte sau derogatorii, care lasă acestora o marjă de apreciere asupra modului în care pot fi puse în aplicare aceste dispoziții (Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctul 57).

66 De asemenea, în lipsa unor norme procedurale specifice în RGPD, revine sistemului juridic al fiecărui stat membru sarcina de a stabili, sub rezerva respectării principiilor echivalenței și efectivității, modalitățile de reglementare a acțiunilor menite să garanteze drepturile pe care justițiabilii le derivă din dispozițiile acestui regulament [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 53 și 54, precum și jurisprudența citată].

67 Cu toate acestea, niciun aspect al modului de redactare a articolului 83 alineatele (1)-(6) din RGPD nu permite să se considere că legiuitorul Uniunii ar fi intenționat să lase o marjă de apreciere statelor membre în ceea ce privește condițiile de fond care trebuie respectate de o autoritate de supraveghere atunci când aceasta decide să impună o amendă administrativă unui operator pentru o încălcare menționată la alineatele (4)-(6) ale acestui articol.

68 Desigur, pe de o parte, articolul 83 alineatul (7) din RGPD prevede că fiecare stat membru poate stabili normele care determină dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și organismelor publice stabilite pe teritoriul său. Pe de altă parte, din articolul 83 alineatul (8) din acest regulament, interpretat în lumina considerentului (129) al acestuia, reiese că exercitarea de către autoritatea de supraveghere a competențelor sale în temeiul acestui articol are loc cu condiția existenței unor garanții procedurale adecvate în conformitate cu dreptul Uniunii și cu dreptul statelor membre, inclusiv o cale de atac jurisdicțională eficientă și un proces echitabil.

69 Cu toate acestea, faptul că regulamentul menționat oferă astfel statelor membre posibilitatea de a prevedea excepții în raport cu autoritățile publice și cu organismele publice stabilite pe teritoriul lor, precum și cerințe privind procedura care trebuie urmată de autoritățile de supraveghere pentru impunerea unei amenzi administrative nu înseamnă nicidecum că aceste state ar fi de asemenea abilitate să prevadă, dincolo de asemenea excepții și cerințe de natură procedurală, condiții de fond care trebuie respectate pentru tragerea la răspundere a operatorului și pentru a‑i impune o amendă administrativă în temeiul articolului 83 menționat. În plus, faptul că legiuitorul Uniunii a avut grijă să prevadă în mod expres această posibilitate, iar nu să prevadă asemenea condiții de fond confirmă că nu a lăsat statelor membre o marjă de apreciere în această privință.

70 Această constatare este de asemenea confirmată de o interpretare coroborată a articolelor 83 și 84 din RGPD. Astfel, articolul 84 alineatul (1) din acest regulament recunoaște că statele membre păstrează competența de a stabili regimul „alt[or] sancțiuni aplicabile” în cazul încălcării acestui regulament, „în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83”. Rezultă deci dintr‑o asemenea interpretare coroborată a acestor dispoziții că nu intră în această competență stabilirea condițiilor de fond care permit impunerea unor asemenea amenzi administrative. Condițiile menționate intră, așadar, numai sub incidența dreptului Uniunii.

71 În ceea ce privește condițiile amintite, este necesar să se arate că articolul 83 alineatul (2) din RGPD enumeră elementele în temeiul cărora autoritatea de supraveghere impune o amendă administrativă operatorului. Printre aceste elemente figurează, la litera (b) a acestei dispoziții, cel referitor la faptul „dacă încălcarea a fost comisă intenționat sau din neglijență”. În schimb, niciunul dintre elementele enumerate în cuprinsul dispoziției respective nu menționează vreo posibilitate de a trage la răspundere operatorul în lipsa unui comportament culpabil din partea sa.

72 În plus, articolul 83 alineatul (2) din RGPD trebuie interpretat în coroborare cu alineatul (3) al acestui articol, al cărui obiect este de a prevedea consecințele cazurilor de cumul de încălcări ale respectivului regulament și potrivit căruia, „[î]n cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare”.

73 Rezultă, așadar, din modul de redactare a articolului 83 alineatul (2) din RGPD că numai încălcările dispozițiilor acestui regulament comise în mod culpabil de operator, și anume cele comise în mod intenționat sau din neglijență, pot conduce la impunerea unei amenzi administrative acestuia din urmă în temeiul articolului menționat.

74 Economia generală și scopul RGPD confirmă această interpretare.

75 Pe de o parte, legiuitorul Uniunii a prevăzut un sistem de sancțiuni care să permită autorităților de supraveghere să impună sancțiunile cele mai adecvate în funcție de circumstanțele fiecărui caz.

76 Astfel, articolul 58 din RGPD, care stabilește competențele autorităților de supraveghere, prevede la alineatul (2) litera (i) că aceste autorități pot impune amenzile administrative în conformitate cu articolul 83 din acest regulament, „în completarea sau în locul” celorlalte măsuri corective enumerate la respectivul articol 58 alineatul (2), cum ar fi avertizări, mustrări sau ordine. De asemenea, considerentul (148) al regulamentului menționat enunță printre altele că autoritățile de supraveghere pot, în cazul unei încălcări minore sau în cazul în care amenda administrativă susceptibilă de a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică, să se abțină de la impunerea unei amenzi administrative și, în locul acesteia, să aplice o mustrare.

77 Pe de altă parte, reiese în special din considerentul (10) al RGPD că dispozițiile acestuia au printre altele ca obiective să asigure un nivel consecvent și ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în cadrul Uniunii și, în acest scop, să asigure aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale acestor persoane în ceea ce privește prelucrarea unor astfel de date în întreaga Uniune. Considerentele (11) și (129) ale RGPD subliniază, pe de altă parte, necesitatea de a asigura, pentru a garanta o aplicare consecventă acestui regulament, că autoritățile de supraveghere dispun de competențe echivalente de monitorizare și de supraveghere a respectării normelor privind protecția datelor cu caracter personal și că pot impune sancțiuni echivalente în cazul încălcărilor regulamentului menționat.

78 Existența unui sistem de sancțiuni care permite să se impună, atunci când împrejurările specifice fiecărei spețe justifică acest lucru, o amendă administrativă în temeiul articolului 83 din RGPD creează, pentru operatori și pentru persoanele împuternicite de operatori, un stimulent pentru a se conforma acestui regulament. Prin efectul lor disuasiv, amenzile administrative contribuie la consolidarea protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și constituie, prin urmare, un element‑cheie pentru garantarea respectării drepturilor acestor persoane, în conformitate cu scopul acestui regulament de a asigura un nivel ridicat de protecție a unor astfel de persoane în ceea ce privește prelucrarea datelor cu caracter personal.

79 Cu toate acestea, legiuitorul Uniunii nu a considerat necesar, pentru a asigura un atare nivel ridicat de protecție, să prevadă impunerea unor amenzi administrative în lipsa vinovăției. Ținând seama de faptul că RGPD vizează un nivel de protecție în același timp echivalent și omogen și că trebuie, în acest scop, să fie aplicat în mod coerent în întreaga Uniune, ar fi contrar acestui scop să se permită statelor membre să prevadă un atare regim pentru aplicarea unei amenzi în temeiul articolului 83 din regulamentul amintit. O asemenea libertate de alegere ar fi în plus de natură să denatureze concurența dintre operatorii economici în cadrul Uniunii, ceea ce ar fi contrar obiectivelor exprimate de legiuitorul Uniunii, în special în considerentele (9) și (13) ale regulamentului menționat.

80 În consecință, este necesar să se constate că articolul 83 din RGPD nu permite aplicarea unei amenzi administrative pentru o încălcare prevăzută la alineatele (4)-(6) ale acestuia fără a se stabili că respectiva încălcare a fost comisă în mod intenționat sau din neglijență de operator și că, prin urmare, o încălcare culpabilă constituie o condiție pentru impunerea unei asemenea amenzi.

81 În această privință, trebuie să se mai precizeze, în ceea ce privește aspectul dacă o încălcare a fost comisă în mod intenționat sau din neglijență și, ca urmare a acestui fapt, poate fi sancționată printr‑o amendă administrativă în temeiul articolului 83 din RGPD, că un operator poate fi sancționat pentru un comportament care intră în domeniul de aplicare al RGPD atunci când acest operator nu putea să nu cunoască natura ilicită a comportamentului său, indiferent dacă era sau nu conștient că încălca dispozițiile RGPD (a se vedea prin analogie Hotărârea din 18 iunie 2013, Schenker & Co. și alții, C‑681/11, EU:C:2013:404, punctul 37, precum și jurisprudența citată, Hotărârea din 25 martie 2021, Lundbeck/Comisia, C‑591/16 P, EU:C:2021:243, punctul 156, și Hotărârea din 25 martie 2021, Arrow Group și Arrow Generics/Comisia, C‑601/16 P, EU:C:2021:244, punctul 97).

82 În cazul în care operatorul este o persoană juridică, mai trebuie precizat că aplicarea articolului 83 din RGPD nu implică o acțiune sau măcar o cunoaștere a organului de administrare al persoanei juridice respective (a se vedea prin analogie Hotărârea din 7 iunie 1983, Musique Diffusion française și alții/Comisia, 100/80-103/80, EU:C:1983:158, punctul 97, precum și Hotărârea din 16 februarie 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Comisia, C‑94/15 P, EU:C:2017:124, punctul 28 și jurisprudența citată).

83 Referitor, în al doilea rând, la aspectul dacă poate fi impusă o amendă administrativă unui operator în temeiul articolului 83 din RGPD în ceea ce privește operațiunile de prelucrare efectuate de o persoană împuternicită de operator, trebuie amintit că, potrivit definiției care figurează la articolul 4 punctul 8 din RGPD, persoana împuternicită de operator înseamnă „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului”.

84 Întrucât, astfel cum s‑a arătat la punctul 36 din prezenta hotărâre, un operator este responsabil nu numai pentru orice prelucrare a datelor cu caracter personal pe care o efectuează el însuși, ci și pentru prelucrările realizate în numele său, acestui operator i se poate impune o amendă administrativă în temeiul articolului 83 din RGPD într‑o situație în care date cu caracter personal fac obiectul unei prelucrări ilegale și în care nu un asemenea operator, ci o persoană împuternicită de operator la care el a apelat, este cea care a efectuat prelucrarea menționată în numele acestuia din urmă.

85 Cu toate acestea, răspunderea operatorului pentru comportamentul unei persoane împuternicite de operator nu poate fi extinsă la situațiile în care persoana împuternicită de operator a prelucrat date cu caracter personal în scopuri care îi sunt proprii sau în care aceasta din urmă a prelucrat datele respective într‑un mod incompatibil cu cadrul sau cu modalitățile de prelucrare așa cum au fost stabilite de operator sau într‑un fel în care nu se poate considera în mod rezonabil că acest operator și‑ar fi dat consimțământul în acest sens. Astfel, conform articolului 28 alineatul (10) din RGPD, într‑o asemenea ipoteză, persoana împuternicită de operator trebuie să fie considerată un operator în ceea ce privește o asemenea prelucrare.

86 Având în vedere considerațiile care precedă, este necesar să se răspundă la a șasea întrebare că articolul 83 din RGPD trebuie interpretat în sensul că, pe de o parte, o amendă administrativă poate fi impusă în temeiul acestei dispoziții numai dacă se stabilește că operatorul a săvârșit, intenționat sau din neglijență, o încălcare prevăzută la alineatele (4)-(6) ale acestui articol și, pe de altă parte, o asemenea amendă poate fi impusă unui operator în ceea ce privește operațiunile de prelucrare a datelor cu caracter personal efectuate de o persoană împuternicită de operator în numele acestuia, cu excepția cazului în care, în cadrul acestor operațiuni, persoana împuternicită de operator a efectuat prelucrări în scopuri proprii sau a prelucrat aceste date într‑un fel incompatibil cu cadrul sau cu modalitățile de prelucrare așa cum au fost stabilite de operator sau într‑un fel cu privire la care nu se poate considera în mod rezonabil că operatorul respectiv și‑ar fi dat consimțământul.

Cu privire la cheltuielile de judecată

87 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară:

1) Articolul 4 punctul 7 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretat în sensul că

poate fi considerată operator, în sensul acestei dispoziții, o entitate care a însărcinat o întreprindere să dezvolte o aplicație informatică mobilă și care, în acest context, a participat la stabilirea scopurilor și a mijloacelor prelucrării datelor cu caracter personal realizate prin intermediul acestei aplicații, chiar dacă această entitate nu a efectuat ea însăși operațiuni de prelucrare a unor astfel de date, nu și‑a dat în mod explicit acordul pentru realizarea unor operațiuni concrete ale unei astfel de prelucrări sau pentru punerea la dispoziția publicului a respectivei aplicații mobile și nu a achiziționat aceeași aplicație mobilă, cu excepția cazului în care, înainte de această punere la dispoziția publicului, entitatea menționată s‑a opus în mod expres acesteia și prelucrării datelor cu caracter personal care au rezultat din aceasta.

2) Articolul 4 punctul 7 și articolul 26 alineatul (1) din Regulamentul 2016/679

trebuie interpretate în sensul că

o calificare a două entități drept operatori asociați nu presupune nici existența unui acord între aceste entități cu privire la stabilirea scopurilor și a mijloacelor prelucrării datelor cu caracter personal în cauză, nici existența unui acord care stabilește condițiile referitoare la responsabilitatea comună privind prelucrarea.

3) Articolul 4 punctul 2 din Regulamentul 2016/679

trebuie interpretat în sensul că

constituie o „prelucrare” în sensul acestei dispoziții utilizarea unor date cu caracter personal în scopul testării informatice a unei aplicații mobile, cu excepția cazului în care asemenea date au fost anonimizate astfel încât persoana vizată de aceste date nu este sau nu mai este identificabilă ori este vorba despre date fictive care nu se referă la o persoană fizică existentă.

4) Articolul 83 din Regulamentul 2016/679

trebuie interpretat în sensul că,

pe de o parte, o amendă administrativă poate fi impusă în temeiul acestei dispoziții numai dacă se stabilește că operatorul a săvârșit, intenționat sau din neglijență, o încălcare prevăzută la alineatele (4)-(6) ale acestui articol și,

pe de altă parte, o asemenea amendă poate fi impusă unui operator în ceea ce privește operațiunile de prelucrare a datelor cu caracter personal efectuate de o persoană împuternicită de operator în numele acestuia, cu excepția cazului în care, în cadrul acestor operațiuni, persoana împuternicită de operator a efectuat prelucrări în scopuri proprii sau a prelucrat aceste date într‑un fel incompatibil cu cadrul sau cu modalitățile de prelucrare așa cum au fost stabilite de operator sau într‑un fel cu privire la care nu se poate considera în mod rezonabil că operatorul respectiv și‑ar fi dat consimțământul.

Semnături

* Limba de procedură: lituaniana.