CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:949

DOMSTOLENS DOM (Store Afdeling)

5. december 2023 (*)

»Præjudiciel forelæggelse – beskyttelse af personoplysninger – forordning (EU) 2016/679 – artikel 4, nr. 2) og 7) – begreberne »behandling« og »dataansvarlig« – udvikling af en IT-mobilapplikation – artikel 26 – fælles dataansvar – artikel 83 – pålæggelse af administrative bøder – betingelser – krav om, at overtrædelsen skal være forsætlig eller uagtsom – den dataansvarliges ansvar for en databehandlers behandling af personoplysninger«

I sag C-683/21,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Vilniaus apygardos administracinis teismas (den regionale domstol i forvaltningsretlige sager i Vilnius, Litauen) ved afgørelse af 22. oktober 2021, indgået til Domstolen den 12. november 2021, i sagen

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

mod

Valstybinė duomenų apsaugos inspekcija,

procesdeltagere:

UAB »IT sprendimai sėkmei«,

Lietuvos Respublikos sveikatos apsaugos ministerija,

har

DOMSTOLEN (Store Afdeling),

sammensat af præsidenten, K. Lenaerts, vicepræsidenten, L. Bay Larsen, afdelingsformændene A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi og O. Spineanu-Matei samt dommerne M. Ilešič, J.-C. Bonichot, L.S. Rossi, A. Kumin, N. Jääskinen (refererende dommer), N. Wahl og M. Gavalec,

generaladvokat: N. Emiliou,

justitssekretær: fuldmægtig C. Strömholm,

på grundlag af den skriftlige forhandling og efter retsmødet den 17. januar 2023,

efter at der er afgivet indlæg af:

– Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos ved G. Aleksienė,

– Valstybinė duomenų apsaugos inspekcija ved R. Andrijauskas,

– den litauiske regering ved V. Kazlauskaitė-Švenčionienė, som befuldmægtiget,

– den nederlandske regering ved C.S. Schillemans, som befuldmægtiget,

– Rådet for Den Europæiske Union ved R. Liudvinavičiūtė og K. Pleśniak, som befuldmægtigede,

– Europa-Kommissionen ved A. Bouchagiar, H. Kranenborg og A. Steiblytė, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 4. maj 2023,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 4, nr. 2) og 7), artikel 26, stk. 1, og artikel 83, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2 Anmodningen er blevet indgivet i forbindelse med en tvist mellem Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (det nationale folkesundhedscenter under sundhedsministeriet, Litauen, herefter »det nationale folkesundhedscenter«) og Valstybinė duomenų apsaugos inspekcija (det nationale datatilsyn, Litauen) vedrørende en afgørelse, hvorved sidstnævnte pålagde det nationale folkesundhedscenter en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83 for overtrædelse af denne forordnings artikel 5, 13, 24, 32 og 35.

Retsforskrifter

EU-retten

3 Følgende fremgår af 9., 10., 11., 13., 26., 74., 79., 129. og 148. betragtning til databeskyttelsesforordningen:

»(9) […] Forskelle i niveauet for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder, navnlig retten til beskyttelse af personoplysninger, i forbindelse med behandling af personoplysninger i medlemsstaterne, kan forhindre fri udveksling af personoplysninger i [Den Europæiske Union]. Disse forskelle kan derfor udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på EU-plan, virke konkurrenceforvridende og hindre myndighederne i at varetage de opgaver, de er pålagt i medfør af EU-retten. […]

(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. […]

(11) For at sikre effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke og præcisere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om behandling af personoplysninger, samt at der gives tilsvarende beføjelser til at føre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger og indføres tilsvarende sanktioner ved overtrædelser i medlemsstaterne.

[…]

(13) For at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og for at hindre, at forskelle hæmmer den frie udveksling af personoplysninger på det indre marked, er der behov for en forordning for at skabe retssikkerhed og gennemsigtighed for erhvervsdrivende, herunder mikrovirksomheder og små og mellemstore virksomheder, at give fysiske personer i alle medlemsstaterne det samme niveau af rettigheder, som kan håndhæves, og forpligtelser og ansvar for dataansvarlige og databehandlere og at sikre konsekvent tilsyn med behandling af personoplysninger og tilsvarende sanktioner i alle medlemsstaterne samt effektivt samarbejde mellem tilsynsmyndighederne i de forskellige medlemsstater. […]

[…]

(26) Principperne for databeskyttelse bør gælde for enhver information om en identificeret eller identificerbar fysisk person. Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person. […] Databeskyttelsesprincipperne bør derfor ikke gælde for anonyme oplysninger, dvs. oplysninger, der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Denne forordning vedrører derfor ikke behandling af sådanne anonyme oplysninger, herunder til statistiske eller forskningsmæssige formål.

[…]

(74) Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for enhver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltninger og til at påvise, at behandlingsaktiviteter overholder denne forordning, herunder foranstaltningernes effektivitet. Disse foranstaltninger bør tage højde for behandlingens karakter, omfang, sammenhæng og formål og risikoen for fysiske personers rettigheder og frihedsrettigheder.

[…]

(79) Beskyttelse af registreredes rettigheder og frihedsrettigheder samt de dataansvarliges og databehandlernes ansvar, herunder erstatningsansvar, […] kræver en klar fordeling af ansvarsområderne i medfør af denne forordning, herunder når en dataansvarlig fastlægger formålene med og hjælpemidlerne til behandling sammen med andre dataansvarlige, eller når en behandlingsaktivitet foretages på vegne af en dataansvarlig.

[…]

(129) For at sikre ensartet tilsyn med og håndhævelse af denne forordning i hele Unionen bør tilsynsmyndighederne i hver medlemsstat have samme opgaver og effektive beføjelser, herunder undersøgelsesbeføjelser og beføjelser til at fastsætte korrigerende foranstaltninger og sanktioner […] Tilsynsmyndighedernes beføjelser bør udøves i overensstemmelse med de fornødne proceduremæssige garantier, der er fastsat i EU-retten og medlemsstaternes nationale ret, uvildigt, retfærdigt og inden for en rimelig frist. Hver foranstaltning bør især være passende, nødvendig og forholdsmæssig for at sikre overholdelse af denne forordning, idet der tages hensyn til omstændighederne i hver enkelt sag, bør overholde enhver persons ret til at blive hørt, inden der træffes en individuel foranstaltning, som vil berøre den pågældende negativt, og bør undgå overflødige udgifter og urimelige ulemper for de berørte personer. Hvad angår adgang til lokaler bør undersøgelsesbeføjelserne udøves i overensstemmelse med specifikke krav i medlemsstaternes retspleje, f.eks. krav om en forudgående retskendelse. Hver juridisk bindende foranstaltning, der træffes af en tilsynsmyndighed, bør være skriftlig, klar og utvetydig, angive navnet på den tilsynsmyndighed, der har truffet foranstaltningen, og datoen for iværksættelse af foranstaltningen, være underskrevet af chefen for eller et medlem af tilsynsmyndigheden, som vedkommende har givet bemyndigelse hertil, angive begrundelsen for foranstaltningen og indeholde en henvisning til adgang til effektive retsmidler. Dette bør ikke udelukke yderligere krav i medfør af medlemsstaternes retspleje. Vedtagelse af en juridisk bindende afgørelse indebærer, at den kan undergives domstolskontrol i medlemsstaten for den tilsynsmyndighed, der har vedtaget afgørelsen.

[…]

(148) For at styrke håndhævelsen af reglerne i denne forordning bør der pålægges sanktioner, herunder administrative bøder, for overtrædelse af denne forordning i tillæg til eller i stedet for passende foranstaltninger, som tilsynsmyndigheden har pålagt i henhold til denne forordning. I tilfælde af en mindre overtrædelse, eller hvis den bøde, der kunne blive pålagt, ville udgøre en uforholdsmæssig stor byrde for en fysisk person, kan der udstedes en irettesættelse i stedet for en bøde. Der bør dog tages behørigt hensyn til overtrædelsens karakter, alvor og varighed, overtrædelsens eventuelle forsætlige karakter, foranstaltninger, der er truffet for at begrænse den forvoldte skade, graden af ansvar eller eventuelle relevante tidligere overtrædelser, måden, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen, overholdelse af foranstaltninger truffet over for den dataansvarlige eller databehandleren, overholdelse af en adfærdskodeks samt andre skærpende eller formildende faktorer. Pålæggelse af sanktioner, herunder administrative bøder, bør være omfattet af fornødne proceduremæssige garantier i overensstemmelse med de generelle principper i EU-retten og [Den Europæiske Unions charter om grundlæggende rettigheder], herunder effektiv retsbeskyttelse og en retfærdig procedure.«

4 Denne forordnings artikel 4 har følgende ordlyd:

»I denne forordning forstås ved:

1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[…]

5) »pseudonymisering«: behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person

[…]

7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

8) »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

[…]«

5 Databeskyttelsesforordningens artikel 26 med overskriften »Fælles dataansvarlige« bestemmer følgende i stk. 1:

»Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af forpligtelserne i henhold til denne forordning, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede.«

6 Samme forordnings artikel 28 med overskriften »Databehandler« fastsætter følgende i stk. 10:

»Hvis en databehandler overtræder denne forordning ved at fastlægge formålene med og hjælpemidlerne til behandling, anses databehandleren for at være en dataansvarlig for så vidt angår den pågældende behandling, uden at dette berører artikel 82, 83 og 84.«

7 Databeskyttelsesforordningens artikel 58 med overskriften »Beføjelser« bestemmer følgende i stk. 2:

»Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

a) at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning

b) at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning

[…]

d) at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist

[…]

f) midlertidigt eller definitivt at begrænse, herunder forbyde, behandling

[…]

i) at pålægge en administrativ bøde i henhold til artikel 83 i tillæg til eller i stedet for foranstaltningerne i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde, og

[…]«

8 Forordningens artikel 83 med overskriften »Generelle betingelser for pålæggelse af administrative bøder« har følgende ordlyd:

»1. Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.

2. Afhængigt af omstændighederne i hver enkelt sag pålægges administrative bøder i tillæg til eller i stedet for foranstaltninger som omhandlet i artikel 58, stk. 2, litra a)-h) og j). Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:

a) overtrædelsens karakter, alvor og varighed under hensyntagen til pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt

b) hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt

c) eventuelle foranstaltninger, der er truffet af den dataansvarlige eller databehandleren for at begrænse den skade, som den registrerede har lidt

d) den dataansvarliges eller databehandlerens grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført i henhold til artikel 25 og 32

e) den dataansvarliges eller databehandlerens eventuelle relevante tidligere overtrædelser

f) graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til

g) de kategorier af personoplysninger, der er berørt af overtrædelsen

h) den måde, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen, navnlig om den dataansvarlige eller databehandleren har underrettet om overtrædelsen, og i givet fald i hvilket omfang

i) overholdelse af de foranstaltninger, der er omhandlet i artikel 58, stk. 2, hvis der tidligere over for den pågældende dataansvarlige eller databehandler er blevet truffet sådanne foranstaltninger med hensyn til samme genstand

j) overholdelse af godkendte adfærdskodekser i henhold til artikel 40 eller godkendte certificeringsmekanismer i henhold til artikel 42, og

k) om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.

3. Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

4. Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 10 000 000 EUR eller, hvis det drejer sig om en virksomhed, med op til 2% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

a) den dataansvarliges og databehandlerens forpligtelser i henhold til artikel 8, 11, 25-39 og 42 og 43

[…]

5. Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20 000 000 EUR eller, hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

a) de grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 5, 6, 7 og 9

b) de registreredes rettigheder i henhold til artikel 12-22

[…]

d) eventuelle forpligtigelser i medfør af medlemsstaternes nationale ret vedtaget i henhold til kapitel IX

[…]

6. Manglende overholdelse af et påbud fra tilsynsmyndigheden som omhandlet i artikel 58, stk. 2, straffes i overensstemmelse med nærværende artikels stk. 2 med administrative bøder på op til 20 000 000 EUR eller, hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere.

7. Uden at det berører tilsynsmyndighedernes korrigerende beføjelser i henhold til artikel 58, stk. 2, kan hver medlemsstat fastsætte regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat.

8. Tilsynsmyndighedens udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne proceduremæssige garantier i overensstemmelse med EU-retten og medlemsstaternes nationale ret, bl.a. effektive retsmidler og retfærdig procedure.

[…]«

9 Forordningens artikel 84 med overskriften »Sanktioner« bestemmer følgende i stk. 1:

»Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.«

Litauisk ret

10 I artikel 29, stk. 3, i Viešųjų pirkimų įstatymas (lov om offentlige udbud) er nævnt visse omstændigheder, hvorunder den ordregivende myndighed enten har ret eller pligt til at tilbagekalde udbudsprocedurer eller procedurer vedrørende projektkonkurrencer, som den har iværksat på eget initiativ, på et hvilket som helst tidspunkt inden indgåelsen af den offentlige kontrakt (eller den foreløbige kontrakt) eller udvælgelsen af vinderen af konkurrencen.

11 Artikel 72, stk. 2, i lov om offentlige udbud fastsætter faserne i de forhandlinger, som den ordregivende myndighed fører i forbindelse med udbud med forhandling om indgåelse af offentlige kontrakter uden forudgående offentliggørelse.

Tvisten i hovedsagen og de præjudicielle spørgsmål

12 I forbindelse med den pandemi, der blev udløst af covid-19-virusset, pålagde Lietuvos Respublikos sveikatos apsaugos ministras (Republikken Litauens sundhedsminister) ved en første afgørelse af 24. marts 2020 direktøren for det nationale folkesundhedscenter at iværksætte en omgående erhvervelse af et IT-system til registrering og overvågning af oplysninger om personer, der var udsat for dette virus, med henblik på epidemiologisk overvågning.

13 Ved e-mail af 27. marts 2020 oplyste en person, der præsenterede sig om repræsentant for det nationale folkesundhedscenter (herefter »A.S.«), selskabet UAB »IT sprendimai sėkmei« (herefter »ITSS«) om, at folkesundhedscentret havde valgt det til at udvikle en mobilapplikation til dette formål. A.S. sendte herefter e-mails til ITSS vedrørende forskellige aspekter ved udviklingen af denne applikation, og kopi af disse e-mails blev rettet til direktøren for folkesundhedscentret.

14 Under forhandlingerne mellem ITSS og det nationale folkesundhedscenter sendte foruden A.S. også andre ansatte i centret e-mails til dette selskab vedrørende affattelsen af de spørgsmål, der skulle stilles i den omhandlede mobilapplikation.

15 I forbindelse med udviklingen af applikationen blev der udarbejdet en politik for beskyttelse af privatlivets fred, hvori ITSS og det nationale folkesundhedscenter var udpeget som dataansvarlige.

16 Den omhandlede mobilapplikation, hvori ITSS og det nationale folkesundhedscenter var nævnt, kunne downloades fra onlinebutikken Google Play Store fra den 4. april 2020 og i onlinebutikken Apple App Store fra den 6. april 2020. Den fungerede indtil den 26. maj 2020.

17 Mellem den 4. april 2020 og den 26. maj 2020 gjorde 3 802 personer brug af applikationen og afgav de oplysninger om sig selv, som den krævede, såsom identitetsnummer, geografiske koordinater (længde- og breddegrad), land, by, kommune, postnummer, gadenavn, bygningsnummer, fornavn, efternavn, personlig identifikationskode, telefonnummer og adresse.

18 Ved en anden afgørelse af 10. april 2020 besluttede Republikken Litauens sundhedsminister at overdrage direktøren for det nationale folkesundhedscenter opgaven med at tilrettelægge erhvervelsen af den omhandlede mobilapplikation hos ITSS, og det blev med henblik herpå påtænkt at anvende artikel 72, stk. 2, i lov om offentlige udbud. ITSS fik imidlertid ikke tildelt nogen offentlig kontrakt vedrørende det nationale folkesundhedscenters officielle erhvervelse af denne applikation.

19 Den 15. maj 2020 anmodede det nationale folkesundhedscenter således ITSS om på ingen måde at nævne det i den pågældende mobilapplikation. Ved skrivelse af 4. juni 2020 meddelte det nationale folkesundhedscenter desuden selskabet, at folkesundhedscentret på grund af manglende finansiering til erhvervelse af applikationen havde afsluttet proceduren vedrørende en sådan erhvervelse i overensstemmelse med artikel 29, stk. 3, i lov om offentlige udbud.

20 Som led i en undersøgelse af behandlingen af personoplysninger, der blev indledt den 18. maj 2020, fastslog det nationale datatilsyn, at der var blevet indsamlet personoplysninger ved hjælp af den omhandlede mobilapplikation. Det blev endvidere konstateret, at de brugere, der havde valgt denne applikation som metode til overvågning af den isolation, der var blevet gjort obligatorisk på grund af covid-19-pandemien, havde besvaret spørgsmål, der medførte behandling af personoplysninger. Disse oplysninger var blevet givet i svarene på de spørgsmål, der blev stillet gennem applikationen, og vedrørte bl.a. den registreredes helbredstilstand og vedkommendes overholdelse af isolationsvilkårene.

21 Ved afgørelse af 24. februar 2021 pålagde det nationale datatilsyn i henhold til databeskyttelsesforordningens artikel 83 det nationale folkesundhedscenter en administrativ bøde på 12 000 EUR på grund af dets overtrædelse af forordningens artikel 5, 13, 24, 32 og 35. Ved samme afgørelse blev ITSS ligeledes pålagt en administrativ bøde på 3 000 EUR som fælles dataansvarlig.

22 Det nationale folkesundhedscenter har anlagt sag til prøvelse af denne afgørelse ved Vilniaus apygardos administracinis teismas (den regionale domstol i forvaltningsretlige sager i Vilnius, Litauen), som er den forelæggende ret, og herved gjort gældende, at ITSS skal anses for at være den eneste dataansvarlige som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7). ITSS har på sin side gjort gældende, at selskabet handlede som databehandler som omhandlet i databeskyttelsesforordningens artikel 4, nr. 8), efter instruks fra det nationale folkesundhedscenter, der ifølge ITSS er den eneste dataansvarlige.

23 Den forelæggende ret har anført, at ITSS har udviklet den omhandlede mobilapplikation, og at det nationale folkesundhedscenter rådgav selskabet om indholdet af de spørgsmål, der skulle stilles gennem applikationen. Der er imidlertid ikke indgået nogen offentlig kontrakt mellem det nationale folkesundhedscenter og ITSS. Desuden har folkesundhedscentret hverken givet samtykke til eller godkendt, at applikationen blev gjort tilgængelig via forskellige onlinebutikker.

24 Den forelæggende ret har præciseret, at udviklingen af den omhandlede mobilapplikation tog sigte på at opfylde det formål, som det nationale folkesundhedscenter havde fastsat, nemlig at håndtere covid-19-pandemien ved at udvikle et IT-værktøj, og at det var planlagt at behandle personoplysninger med henblik herpå. Hvad angår ITSS’ rolle var det ikke meningen, at dette selskab skulle forfølge andre formål end at oppebære et vederlag for det udviklede IT-produkt.

25 Den forelæggende ret har ligeledes anført, at det i forbindelse med det nationale datatilsyns undersøgelse blev konstateret, at det litauiske selskab Juvare Lithuania, der forvalter IT-systemet til overvågning af og kontrol med smitsomme sygdomme, der medfører en risiko for spredning, skulle modtage kopier af de personoplysninger, der blev indsamlet ved hjælp af den omhandlede mobilapplikation. Desuden blev der ved testningen af denne anvendt fiktive data, bortset fra telefonnumrene på dette selskabs ansatte.

26 På denne baggrund har Vilniaus apygardos administracinis teismas (den regionale domstol i forvaltningsretlige sager i Vilnius) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en person, der har til hensigt igennem et offentligt udbud at erhverve et værktøj til dataindsamling (mobilapplikation), også skal anses [for] dataansvarlig, selv om en offentlig indkøbskontrakt ikke er blev[et] indgået, og det skabte produkt (mobilapplikation), til købet af hvilket et offentligt udbud var blevet anvendt, ikke er blevet overdraget?

2) Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en ordregivende myndighed, som ikke har erhvervet ejendomsretten til det skabte [IT]-produkt, og som ikke har taget det i besiddelse, men hvor den endelige version af den skabte applikation indeholder links eller forbindelser til denne offentlige enhed[,] og/eller hvor [applikationens politik for beskyttelse af privatlivets fred], som ikke var officielt godkendt eller anerkendt af den pågældende offentlige myndighed, angav denne offentlige enhed som dataansvarlig, også skal anses for at være dataansvarlig?

3) Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en person, der ikke har foretaget nogen egentlig databehandling som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), og/eller ikke har givet en klar tilladelse/samtykke til udførelsen af sådanne behandlinger, også skal anses for at være dataansvarlig? Har det betydning for fortolkningen af begrebet »dataansvarlig«, at det [IT]-produkt, som blev anvendt til behandlingen af personoplysninger, blev udviklet i overensstemmelse med den ordregivende myndigheds formulering af opgaven?

4) Såfremt en fastlæggelse af de faktiske databehandlingsaktiviteter er relevant for fortolkningen af begrebet »dataansvarlig«, skal definitionen af »behandling« af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), da fortolkes således, at den også omfatter situationer, hvor kopier af personoplysninger undervejs i forløbet omkring erhvervelsen af en mobilapplikation er blevet anvendt til testning af IT-systemer?

5) Skal fælles dataansvar i henhold til databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, fortolkes således, at det alene omfatter bevidst koordinerede handlinger i forbindelse med fastlæggelsen af formålet med og hjælpemidlerne til behandlingen af personoplysninger, eller kan dette begreb også fortolkes således, at fælles dataansvar også omfatter situationer, hvor der ikke foreligger en klar »ordning« vedrørende formålet med og hjælpemidlerne til databehandling[,] og/eller handlinger ikke er koordineret mellem parterne? Er omstændighederne vedrørende det stadie i udviklingen af hjælpemidlerne til behandlingen af personoplysninger (IT-applikation)[,] hvor personoplysninger blev behandlet[,] og formålet med udviklingen af applikationen af juridisk betydning for fortolkningen af begrebet fælles dataansvar? Skal en »ordning« mellem fælles dataansvarlige forstås som udelukkende værende en klar og defineret fastlæggelse af de vilkår, som regulerer det fælles dataansvar?

6) Skal bestemmelsen i databeskyttelsesforordningens artikel 83, stk. 1, hvorefter »administrative bøder […] [skal være] effektiv[e], [stå] i et rimeligt forhold til overtrædelsen og [have] afskrækkende virkning«, fortolkes således, at den også omfatter tilfælde, hvor den »dataansvarlige« pålægges ansvar, når udvikleren i forbindelse med udviklingen af et IT-produkt også behandler personoplysninger, og fører de uretmæssige behandlinger af personoplysninger foretaget af databehandleren altid automatisk til, at den dataansvarlige ifalder et juridisk ansvar? Skal denne bestemmelse fortolkes således, at den også omfatter tilfælde, hvor den dataansvarlige har et objektivt ansvar?«

Om de præjudicielle spørgsmål

Det første til det tredje spørgsmål

27 Med det første til det tredje spørgsmål, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 4, nr. 7), skal fortolkes således, at en enhed, som har givet en virksomhed til opgave at udvikle en IT-mobilapplikation, kan anses for at være dataansvarlig som omhandlet i denne bestemmelse, selv om denne enhed ikke selv har udført aktiviteter til behandling af personoplysninger, ikke udtrykkeligt har givet samtykke til gennemførelsen af de konkrete aktiviteter i forbindelse med en sådan behandling eller til overladelsen af denne mobilapplikation til offentligheden og ikke har erhvervet applikationen.

28 I databeskyttelsesforordningens artikel 4, nr. 7), defineres begrebet »dataansvarlig« bredt som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre »afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling« af personoplysninger.

29 Formålet med denne brede definition er – i overensstemmelse med databeskyttelsesforordningens formål – at sikre en effektiv beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder samt bl.a. at sikre et højt beskyttelsesniveau for enhver persons ret til beskyttelse af personoplysninger vedrørende vedkommende (jf. i denne retning dom af 29.7.2019, Fashion ID, C-40/17, EU:C:2019:629, præmis 66, og af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 73 og den deri nævnte retspraksis).

30 Domstolen har allerede fastslået, at enhver fysisk eller juridisk person, der til eget formål udøver indflydelse på behandlingen af sådanne oplysninger og grundet den omstændighed deltager i fastlæggelsen af formålene med og hjælpemidlerne til denne behandling, kan anses for dataansvarlig. I denne henseende er det ikke nødvendigt, at formålet med og de anvendte hjælpemidler ved behandlingen er fastsat ved skriftlige retningslinjer eller anvisninger fra den dataansvarlige (jf. i denne retning dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 67 og 68), eller at den pågældende er formelt udpeget som dataansvarlig.

31 Med henblik på at fastslå, om en enhed som det nationale folkesundhedscenter kan anses for at være dataansvarlig som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), skal det derfor undersøges, om denne enhed til eget formål rent faktisk har udøvet indflydelse på fastlæggelsen af formålene med og hjælpemidlerne til denne behandling.

32 Med forbehold for den efterprøvelse, som det tilkommer den forelæggende ret at foretage, fremgår det i det foreliggende tilfælde af de sagsakter, som Domstolen råder over, at udviklingen af den omhandlede mobilapplikation blev bestilt af det nationale folkesundhedscenter og tog sigte på at opfylde det formål, som dette havde fastsat, nemlig at håndtere covid-19-pandemien ved hjælp af et IT-værktøj med henblik på registrering og overvågning af oplysninger om personer, der var udsat for covid-19-virusset. Det nationale folkesundhedscenter havde med henblik herpå forudset, at personoplysninger tilhørende brugerne af den omhandlede mobilapplikation ville blive behandlet. Det fremgår desuden af forelæggelsesafgørelsen, at parametrene for denne applikation, såsom de spørgsmål, der skulle stilles, og formuleringen heraf, blev tilpasset det nationale folkesundhedscenters behov, og at dette spillede en aktiv rolle ved fastlæggelsen heraf.

33 Under disse omstændigheder må det principielt lægges til grund, at det nationale folkesundhedscenter faktisk deltog i fastlæggelsen af formålene med og hjælpemidlerne til behandlingen.

34 Derimod kan den blotte omstændighed, at det nationale folkesundhedscenter blev nævnt som dataansvarlig i den omhandlede mobilapplikations politik for beskyttelse af privatlivets fred, og at applikationen indeholdt links til denne enhed, alene anses for relevant, for så vidt som det godtgøres, at folkesundhedscentret udtrykkeligt eller stiltiende havde samtykket til at blive nævnt eller til disse links.

35 Desuden udelukker de omstændigheder, som den forelæggende ret har nævnt i forbindelse med de betragtninger, der ligger til grund for dens tre første præjudicielle spørgsmål – nemlig at det nationale folkesundhedscenter ikke selv behandlede personoplysninger, at der ikke var indgået nogen kontrakt mellem dette og ITSS, at folkesundhedscentret ikke erhvervede den omhandlede mobilapplikation, og at udbredelsen af denne applikation gennem onlinebutikker ikke blev godkendt af centret – ikke, at centret kan kvalificeres som »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7).

36 Det fremgår nemlig af denne bestemmelse, sammenholdt med 74. betragtning til databeskyttelsesforordningen, at en enhed, når den opfylder betingelsen i artikel 4, nr. 7), er ansvarlig ikke blot for enhver behandling af personoplysninger, der foretages af enheden selv, men også for behandling, der foretages på dens vegne.

37 I denne henseende skal det dog præciseres, at det nationale folkesundhedscenter ikke kan anses for at være ansvarligt for den behandling af personoplysninger, der følger af, at den omhandlede mobilapplikation blev overladt til offentligheden, hvis folkesundhedscentret før overladelsen udtrykkeligt gjorde indsigelse mod denne, hvilket det tilkommer den forelæggende ret at efterprøve. I så fald kan den omhandlede behandling nemlig ikke anses for at være foretaget på det nationale folkesundhedscenters vegne.

38 Henset til ovenstående betragtninger skal det første til det tredje spørgsmål besvares med, at databeskyttelsesforordningens artikel 4, nr. 7), skal fortolkes således, at en enhed, der har givet en virksomhed til opgave at udvikle en IT-mobilapplikation, og som i denne forbindelse har deltaget i fastlæggelsen af formålene med og hjælpemidlerne til den behandling af personoplysninger, der foretages ved hjælp af denne applikation, kan anses for at være dataansvarlig som omhandlet i denne bestemmelse, selv om denne enhed ikke selv har foretaget behandling af oplysningerne, ikke udtrykkeligt har givet samtykke til gennemførelsen af de konkrete aktiviteter i forbindelse med en sådan behandling eller til overladelsen af denne mobilapplikation til offentligheden og ikke har erhvervet mobilapplikationen, medmindre enheden før denne overladelse til offentligheden udtrykkeligt har gjort indsigelse mod denne og mod den behandling af personoplysninger, der er fulgt heraf.

Det femte spørgsmål

39 Med det femte spørgsmål, der skal behandles hernæst, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, skal fortolkes således, at kvalificering af to enheder som fælles dataansvarlige forudsætter, at der foreligger en ordning mellem disse enheder om fastlæggelse af formålene med og hjælpemidlerne til behandlingen af de omhandlede personoplysninger, eller at der foreligger en ordning, der fastlægger de vilkår, der regulerer det fælles dataansvar.

40 I henhold til databeskyttelsesforordningens artikel 26, stk. 1, er der »fælles dataansvarlige«, hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.

41 Som Domstolen har fastslået, skal en fysisk eller juridisk person for at kunne anses for at være fælles dataansvarlig derfor selvstændigt leve op til den definition af »dataansvarlig«, der er fastsat i databeskyttelsesforordningens artikel 4, nr. 7) (jf. i denne retning dom af 29.7.2019, Fashion ID, C-40/17, EU:C:2019:629, præmis 74).

42 Tilstedeværelsen af et fælles ansvar indebærer imidlertid ikke nødvendigvis, at de forskellige operatører, som er omfattet af en behandling af personoplysninger, har samme ansvar. De forskellige operatører kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen (dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 43). I øvrigt forudsætter et fælles ansvar for flere aktører for den samme behandling ikke, at hver af disse har adgang til de omhandlede personoplysninger (dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 69 og den deri nævnte retspraksis).

43 Som generaladvokaten har anført i punkt 38 i forslaget til afgørelse, kan deltagelse i fastlæggelsen af formålene med og hjælpemidlerne til behandling antage forskellige former, idet den kan følge af såvel en fælles beslutning truffet af to eller flere enheder som af sådanne enheders konvergerende beslutninger. I sidstnævnte tilfælde skal disse beslutninger imidlertid supplere hinanden på en sådan måde, at de har en mærkbar indvirkning på fastlæggelsen af formålene med og hjælpemidlerne til behandling.

44 Det kan derimod ikke kræves, at der foreligger en formel ordning mellem disse dataansvarlige om formålene med og hjælpemidlerne til behandling.

45 I henhold til databeskyttelsesforordningens artikel 26, stk. 1, sammenholdt med 79. betragtning hertil, skal de fælles dataansvarlige ganske vist ved hjælp af en ordning mellem dem på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til forordningen. En sådan ordning er imidlertid ikke en forudsætning for, at to eller flere enheder kan kvalificeres som fælles dataansvarlige, men en forpligtelse, som artikel 26, stk. 1, pålægger de fælles dataansvarlige, når de først er blevet kvalificeret som sådanne, med henblik på at sikre overholdelsen af de krav i databeskyttelsesforordningen, der påhviler dem. Kvalificeringen som fælles dataansvarlig følger således af den omstændighed alene, at flere enheder har deltaget i fastlæggelsen af formålene med og hjælpemidlerne til behandling.

46 Henset til ovenstående betragtninger skal det femte spørgsmål besvares med, at databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, skal fortolkes således, at kvalificering af to enheder som fælles dataansvarlige hverken forudsætter, at der foreligger en ordning mellem disse enheder om fastlæggelse af formålene med og hjælpemidlerne til behandling af de omhandlede personoplysninger, eller at der foreligger en ordning, der fastlægger de vilkår, der regulerer det fælles dataansvar.

Det fjerde spørgsmål

47 Med det fjerde spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 4, nr. 2), skal fortolkes således, at brug af personoplysninger til IT-testning af en mobilapplikation udgør en »behandling« som omhandlet i denne bestemmelse.

48 I det foreliggende tilfælde skulle det litauiske selskab, der forvalter IT-systemet til overvågning af og kontrol med smitsomme sygdomme, der medfører en risiko for spredning, således som det fremgår af denne doms præmis 25, modtage kopier af de personoplysninger, der blev indsamlet ved hjælp af den omhandlede mobilapplikation. Med henblik på IT-testning blev der anvendt fiktive data bortset fra telefonnumrene på dette selskabs ansatte.

49 I denne henseende definerer databeskyttelsesforordningens artikel 4, nr. 2), for det første begrebet »behandling« som »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for«. I en ikke-udtømmende opregning, der indledes med udtrykket »f.eks.«, nævnes i denne bestemmelse som eksempler på behandling indsamling, overladelse og brug af personoplysninger.

50 Det fremgår således af denne bestemmelses ordlyd, navnlig af udtrykket »enhver aktivitet«, at EU-lovgiver har haft til hensigt at give begrebet »behandling« en vid rækkevidde (jf. i denne retning dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 35), og at grundene til, at en aktivitet eller række af aktiviteter gennemføres, ikke kan tages i betragtning ved afgørelsen af, om denne aktivitet eller række af aktiviteter udgør en »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2).

51 Spørgsmålet om, hvorvidt personoplysninger bruges til IT-testning eller til et andet formål, er derfor uden betydning for kvalificeringen af den omhandlede aktivitet som »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2).

52 For det andet skal det ikke desto mindre præciseres, at alene behandling, der vedrører »personoplysninger«, udgør en »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2).

53 I databeskyttelsesforordningens artikel 4, nr. 1), er det i denne henseende præciseret, at der ved »personoplysninger« forstås »enhver form for information om en identificeret eller identificerbar fysisk person«, dvs. »en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

54 Den omstændighed, som den forelæggende ret har henvist til i sit fjerde spørgsmål, nemlig at der er tale om »kopier af personoplysninger«, kan imidlertid ikke som sådan forhindre, at disse kopier kvalificeres som personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), forudsat at kopierne faktisk indeholder oplysninger, der vedrører en identificeret eller identificerbar fysisk person.

55 Det skal imidlertid fastslås, at fiktive oplysninger, eftersom de ikke vedrører en identificeret eller identificerbar fysisk person, men en person, som reelt ikke eksisterer, ikke udgør personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1).

56 Det samme gælder for oplysninger, der anvendes til IT-testning, og som er anonyme eller anonymiserede.

57 Det følger nemlig af 26. betragtning til databeskyttelsesforordningen og af selve definitionen af begrebet »personoplysninger« i forordningens artikel 4, nr. 1), at dette begreb hverken omfatter »anonyme oplysninger, dvs. oplysninger, der ikke vedrører en identificeret eller identificerbar fysisk person«, eller »personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres«.

58 Derimod følger det af databeskyttelsesforordningens artikel 4, nr. 5), sammenholdt med 26. betragtning hertil, at personoplysninger, der alene har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person, for hvilke databeskyttelsesprincipperne gælder.

59 Henset til ovenstående betragtninger skal det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 4, nr. 2), skal fortolkes således, at brug af personoplysninger til IT-testning af en mobilapplikation udgør en »behandling« som omhandlet i denne bestemmelse, medmindre oplysningerne er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres, eller der er tale om fiktive oplysninger, som ikke vedrører en eksisterende fysisk person.

Det sjette spørgsmål

60 Med det sjette spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 83 skal fortolkes således dels, at en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6, dels at en sådan bøde kan pålægges en dataansvarlig med hensyn til behandlingsaktiviteter, der er gennemført af en databehandler på den dataansvarliges vegne.

61 Hvad for det første angår spørgsmålet om, hvorvidt en administrativ bøde kun kan pålægges i henhold til databeskyttelsesforordningens artikel 83, for så vidt som det godtgøres, at den dataansvarlige eller databehandleren forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i artikel 83, stk. 4-6, fremgår det af denne artikels stk. 1, at administrative bøder skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Derimod er det ikke udtrykkeligt angivet i databeskyttelsesforordningens artikel 83, at en sådan overtrædelse kun kan straffes med en administrativ bøde, hvis den er begået forsætligt eller i det mindste uagtsomt.

62 Den litauiske regering og Rådet for Den Europæiske Union har heraf udledt, at EU-lovgiver har haft til hensigt at overlade medlemsstaterne en vis skønsmargen ved gennemførelsen af databeskyttelsesforordningens artikel 83, der gør det muligt for dem at fastsætte, at der kan pålægges administrative bøder i henhold til denne bestemmelse, efter omstændighederne uden at det er godtgjort, at den overtrædelse af databeskyttelsesforordningen, der straffes med den pågældende bøde, er begået forsætligt eller uagtsomt.

63 En sådan fortolkning af databeskyttelsesforordningens artikel 83 kan ikke tiltrædes.

64 Det skal i denne henseende bemærkes, at artikel 288 TEUF indebærer, at forordningers bestemmelser i almindelighed har umiddelbar virkning i de nationale retsordener, uden at det er nødvendigt for de nationale myndigheder at træffe gennemførelsesforanstaltninger. Visse bestemmelser i forordninger kan ikke desto mindre for at kunne blive gennemført kræve vedtagelse af gennemførelsesforanstaltninger i medlemsstaterne (jf. i denne retning dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 58 og den deri nævnte retspraksis).

65 Dette er bl.a. tilfældet med hensyn til databeskyttelsesforordningen, hvori visse bestemmelser åbner mulighed for, at medlemsstaterne kan fastsætte supplerende nationale regler, der er strengere, eller undtagelsesbestemmelser, som overlader medlemsstaterne et skøn med hensyn til, hvorledes disse bestemmelser kan gennemføres (dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 57).

66 På samme måde tilkommer det i mangel af specifikke procedureregler i databeskyttelsesforordningen hver enkelt medlemsstat i sin retsorden at fastsætte reglerne for sager til sikring af beskyttelsen af borgernes rettigheder i henhold til denne forordnings bestemmelser, idet ækvivalensprincippet og effektivitetsprincippet skal overholdes (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 53 og 54 og den deri nævnte retspraksis).

67 Der er imidlertid intet i ordlyden af databeskyttelsesforordningens artikel 83, stk. 1-6, der gør det muligt at lægge til grund, at EU-lovgiver har haft til hensigt at overlade medlemsstaterne en skønsmargen med hensyn til de materielle betingelser, som en tilsynsmyndighed skal overholde, når den beslutter at pålægge en dataansvarlig en administrativ bøde for en overtrædelse som omhandlet i denne artikels stk. 4-6.

68 For det første fastsætter databeskyttelsesforordningens artikel 83, stk. 7, ganske vist, at hver medlemsstat kan fastsætte regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat. For det andet fremgår det af denne forordnings artikel 83, stk. 8, sammenholdt med 129. betragtning hertil, at tilsynsmyndighedens udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne proceduremæssige garantier i overensstemmelse med EU-retten og medlemsstaternes nationale ret, bl.a. effektive retsmidler og retfærdig procedure.

69 Imidlertid betyder det forhold, at databeskyttelsesforordningen således giver medlemsstaterne mulighed for at fastsætte undtagelser for offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat, og krav vedrørende den procedure, som tilsynsmyndighederne skal følge ved pålæggelse af en administrativ bøde, på ingen måde, at medlemsstaterne – ud over sådanne undtagelser og krav af proceduremæssig karakter – også kan fastsætte materielle betingelser, der skal være overholdt, for at den dataansvarlige kan ifalde ansvar, og for at vedkommende kan pålægges en administrativ bøde i henhold til forordningens artikel 83. Desuden bekræfter det forhold, at EU-lovgiver har sørget for udtrykkeligt at fastsætte denne mulighed, men ikke en mulighed for at fastsætte sådanne materielle betingelser, at EU-lovgiver ikke har overladt medlemsstaterne en skønsmargen i denne henseende.

70 Denne konstatering understøttes ligeledes af en samlet læsning af databeskyttelsesforordningens artikel 83 og 84. Denne forordnings artikel 84, stk. 1, tillader nemlig, at medlemsstaterne bevarer kompetencen til at fastsætte regler om »andre sanktioner, der skal anvendes« i tilfælde af overtrædelser af denne forordning, »navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83«. Det følger således af en sådan samlet læsning af disse bestemmelser, at fastsættelse af de materielle betingelser for pålæggelse af sådanne administrative bøder ikke er omfattet af denne kompetence. Disse betingelser hører derfor udelukkende under EU-retten.

71 Hvad angår de nævnte betingelser bemærkes, at databeskyttelsesforordningens artikel 83, stk. 2, opregner de forhold, på baggrund af hvilke tilsynsmyndigheden pålægger den dataansvarlige en administrativ bøde. Blandt disse forhold nævnes i denne bestemmelses litra b), at der tages hensyn til, »hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt«. Derimod henvises der i ingen af de forhold, der er opregnet i den nævnte bestemmelse, til en eventuel mulighed for at drage den dataansvarlige til ansvar, hvis denne ikke har handlet culpøst.

72 Databeskyttelsesforordningens artikel 83, stk. 2, skal desuden sammenholdes med denne artikels stk. 3, der har til formål at fastsætte konsekvenserne af tilfælde af kumulerede overtrædelser af denne forordning, og som bestemmer, at »[h]vis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse«.

73 Det følger således af ordlyden af databeskyttelsesforordningens artikel 83, stk. 2, at det kun er overtrædelser af denne forordnings bestemmelser, der er begået culpøst af den dataansvarlige, dvs. overtrædelser begået forsætligt eller uagtsomt, der kan føre til, at denne pålægges en administrativ bøde i henhold til denne artikel.

74 Den almindelige opbygning af og formålet med databeskyttelsesforordningen understøtter denne fortolkning.

75 For det første har EU-lovgiver fastsat et sanktionssystem, der gør det muligt for tilsynsmyndighederne at pålægge de sanktioner, som efter omstændighederne i hvert enkelt tilfælde er de mest hensigtsmæssige.

76 Databeskyttelsesforordningens artikel 58, som fastsætter tilsynsmyndighedernes beføjelser, bestemmer nemlig i stk. 2, litra i), at tilsynsmyndighederne kan pålægge administrative bøder i henhold til denne forordnings artikel 83 »i tillæg til eller i stedet for« de andre korrigerende beføjelser, der er opregnet i artikel 58, stk. 2, såsom advarsler, udtalelse af kritik og påbud. På samme måde anføres det i 148. betragtning til forordningen bl.a., at tilsynsmyndighederne, når der er tale om en mindre overtrædelse, eller hvis den administrative bøde, der kunne blive pålagt, ville udgøre en uforholdsmæssig stor byrde for en fysisk person, kan afholde sig fra at pålægge en sådan bøde og i stedet udstede en irettesættelse.

77 For det andet fremgår det navnlig af 10. betragtning til databeskyttelsesforordningen, at bestemmelserne heri bl.a. har til formål at sikre et ensartet og højt niveau for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU og med henblik herpå at sikre en konsekvent og ensartet anvendelse af reglerne for beskyttelse af disse personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger overalt i EU. Desuden fremhæves det i 11. og 129. betragtning til databeskyttelsesforordningen, at det med henblik på at sikre en ensartet anvendelse af denne forordning er nødvendigt at sikre, at tilsynsmyndighederne har tilsvarende beføjelser til at føre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger, og at de kan pålægge tilsvarende sanktioner ved overtrædelser af forordningen.

78 Den omstændighed, at der findes en sanktionsordning, der – når de særlige omstændigheder i den enkelte sag begrunder det – gør det muligt at pålægge en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83, skaber et incitament for de dataansvarlige og databehandlerne til at overholde denne forordning. De administrative bøder bidrager på grund af deres afskrækkende virkning til at styrke beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger og udgør derfor et centralt element til at sikre overholdelsen af disse personers rettigheder i overensstemmelse med forordningens formål om at sikre et højt beskyttelsesniveau for sådanne personer i forbindelse med behandling af personoplysninger.

79 Med henblik på at sikre et sådant højt beskyttelsesniveau har EU-lovgiver imidlertid ikke fundet det nødvendigt at fastsætte pålæggelse af administrative bøder, når der ikke foreligger skyld. Henset til den omstændighed, at databeskyttelsesforordningen tager sigte på et beskyttelsesniveau, der både er tilsvarende og ensartet, og at den med henblik herpå skal anvendes på en ensartet måde i hele EU, ville det være i strid med dette formål at give medlemsstaterne mulighed for at fastsætte en sådan ordning for pålæggelse af en bøde i henhold til forordningens artikel 83. En sådan valgfrihed ville desuden kunne fordreje konkurrencen mellem de erhvervsdrivende i EU, hvilket ville være i strid med de formål, som EU-lovgiver har udtrykt i bl.a. 9. og 13. betragtning til forordningen.

80 Det skal følgelig fastslås, at databeskyttelsesforordningens artikel 83 ikke gør det muligt at pålægge en administrativ bøde for en overtrædelse som omhandlet i denne artikels stk. 4-6, uden at det er godtgjort, at denne overtrædelse er begået forsætligt eller uagtsomt af den dataansvarlige, og at det følgelig er en betingelse for pålæggelse af en sådan bøde, at der foreligger en culpøs overtrædelse.

81 I denne henseende skal det desuden med hensyn til spørgsmålet om, hvorvidt en overtrædelse er blevet begået forsætligt eller uagtsomt og derfor kan sanktioneres med en administrativ bøde i medfør af databeskyttelsesforordningens artikel 83, præciseres, at en dataansvarlig kan sanktioneres for en adfærd, der er omfattet af denne forordnings anvendelsesområde, når den pågældende ikke kunne være udvidende om, at vedkommendes adfærd udgjorde en overtrædelse, uanset om denne dataansvarlige måtte være klar over, at vedkommende hermed overtrådte databeskyttelsesforordningens bestemmelser (jf. analogt dom af 18.6.2013, Schenker & Co. m.fl., C-681/11, EU:C:2013:404, præmis 37 og den deri nævnte retspraksis, og domme af 25.3.2021, Lundbeck mod Kommissionen, C-591/16 P, EU:C:2021:243, præmis 156, og Arrow Group og Arrow Generics mod Kommissionen, C-601/16 P, EU:C:2021:244, præmis 97).

82 Det skal endvidere præciseres, at hvis den dataansvarlige er en juridisk person, er det ikke en betingelse for at anvende databeskyttelsesforordningens artikel 83, at der foreligger en handling begået af den juridiske persons ledelsesorgan, end ikke at dette har kendskab til en sådan handling (jf. analogt dom af 7.6.1983, Musique Diffusion française m.fl. mod Kommissionen, 100/80-103/80, EU:C:1983:158, præmis 97, og af 16.2.2017, Tudapetrol Mineralölerzeugnisse Nils Hansen mod Kommissionen, C-94/15 P, EU:C:2017:124, præmis 28 og den deri nævnte retspraksis).

83 Hvad for det andet angår spørgsmålet om, hvorvidt en dataansvarlig kan pålægges en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83 for behandlingsaktiviteter, der er gennemført af en databehandler, skal det bemærkes, at ifølge definitionen i databeskyttelsesforordningens artikel 4, nr. 8), er en databehandler »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne«.

84 Eftersom en dataansvarlig, således som det er blevet anført i denne doms præmis 36, er ansvarlig ikke blot for enhver behandling af personoplysninger, der foretages af den dataansvarlige selv, men også for behandling, der foretages på vedkommendes vegne, kan denne dataansvarlige pålægges en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83 i en situation, hvor der er foretaget en ulovlig behandling af personoplysninger, og hvor det ikke er den dataansvarlige, men en databehandler, som den dataansvarlige har benyttet, der har foretaget denne behandling på den dataansvarliges vegne.

85 Den dataansvarliges ansvar for en databehandlers adfærd kan imidlertid ikke udvides til at omfatte situationer, hvor databehandleren har behandlet personoplysninger til egne formål, eller hvor databehandleren har behandlet dem på en måde, der er uforenelig med rammerne eller de nærmere regler for behandlingen, således som fastsat af den dataansvarlige, eller på en sådan måde, at det ikke med rimelighed kan antages, at den dataansvarlige har givet sit samtykke hertil. I overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 10, skal databehandleren nemlig i et sådant tilfælde anses for at være dataansvarlig for så vidt angår en sådan behandling.

86 Henset til ovenstående betragtninger skal det sjette spørgsmål besvares med, at databeskyttelsesforordningens artikel 83 skal fortolkes således dels, at en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6, dels at en sådan bøde kan pålægges en dataansvarlig med hensyn til aktiviteter til behandling af personoplysninger, der er gennemført af en databehandler på den dataansvarliges vegne, medmindre databehandleren i forbindelse med disse aktiviteter har behandlet oplysningerne til egne formål eller har behandlet dem på en måde, der er uforenelig med rammerne eller de nærmere regler for behandlingen, således som fastsat af den dataansvarlige, eller på en sådan måde, at det ikke med rimelighed kan antages, at den dataansvarlige har givet sit samtykke hertil.

Sagsomkostninger

87 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

1) Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

en enhed, der har givet en virksomhed til opgave at udvikle en IT-mobilapplikation, og som i denne forbindelse har deltaget i fastlæggelsen af formålene med og hjælpemidlerne til den behandling af personoplysninger, der foretages ved hjælp af denne applikation, kan anses for at være dataansvarlig som omhandlet i denne bestemmelse, selv om denne enhed ikke selv har foretaget behandling af oplysningerne, ikke udtrykkeligt har givet samtykke til gennemførelsen af de konkrete aktiviteter i forbindelse med en sådan behandling eller til overladelsen af denne mobilapplikation til offentligheden og ikke har erhvervet mobilapplikationen, medmindre enheden før denne overladelse til offentligheden udtrykkeligt har gjort indsigelse mod denne og mod den behandling af personoplysninger, der er fulgt heraf.

2) Artikel 4, nr. 7), og artikel 26, stk. 1, i forordning 2016/679

skal fortolkes således, at

kvalificering af to enheder som fælles dataansvarlige hverken forudsætter, at der foreligger en ordning mellem disse enheder om fastlæggelse af formålene med og hjælpemidlerne til behandling af de omhandlede personoplysninger, eller at der foreligger en ordning, der fastlægger de vilkår, der regulerer det fælles dataansvar.

3) Artikel 4, nr. 2), i forordning 2016/679

skal fortolkes således, at

brug af personoplysninger til IT-testning af en mobilapplikation udgør en »behandling« som omhandlet i denne bestemmelse, medmindre oplysningerne er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres, eller der er tale om fiktive oplysninger, som ikke vedrører en eksisterende fysisk person.

4) Artikel 83 i forordning 2016/679

skal fortolkes således dels, at

en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6,

dels at en sådan bøde kan pålægges en dataansvarlig med hensyn til aktiviteter til behandling af personoplysninger, der er gennemført af en databehandler på den dataansvarliges vegne, medmindre databehandleren i forbindelse med disse aktiviteter har behandlet oplysningerne til egne formål eller har behandlet dem på en måde, der er uforenelig med rammerne eller de nærmere regler for behandlingen, således som fastsat af den dataansvarlige, eller på en sådan måde, at det ikke med rimelighed kan antages, at den dataansvarlige har givet sit samtykke hertil.

Underskrifter

* Processprog: litauisk.