This document is an excerpt from the EUR-Lex website
Document 62021CJ0683
Judgment of the Court (Grand Chamber) of 5 December 2023.#Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos v Valstybinė duomenų apsaugos inspekcija.#Request for a preliminary ruling from the Vilniaus apygardos administracinis teismas.#Reference for a preliminary ruling – Protection of personal data – Regulation (EU) 2016/679 – Article 4(2) and (7) – Concepts of ‘processing’ and ‘controller’ – Development of a mobile IT application – Article 26 – Joint control – Article 83 – Imposition of administrative fines – Conditions – Requirement that the infringement be intentional or negligent – Responsibility and liability of the controller for the processing of personal data carried out by a processor.#Case C-683/21.
Rozsudek Soudního dvora (velkého senátu) ze dne 5. prosince 2023.
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos v. Valstybinė duomenų apsaugos inspekcija.
Žádost o rozhodnutí o předběžné otázce podaná Vilniaus apygardos administracinis teismas.
Řízení o předběžné otázce – Ochrana osobních údajů – Nařízení (EU) 2016/679 – Článek 4 body 2 a 7 – Pojmy ‚zpracování‘ a ‚správce‘ – Vývoj mobilní IT aplikace – Článek 26 – Společná odpovědnost za zpracování – Článek 83 – Ukládání správních pokut – Podmínky – Požadavek, podle něhož musí k porušení dojít úmyslně nebo z nedbalosti – Odpovědnost správce za zpracování osobních údajů prováděné zpracovatelem.
Věc C-683/21.
Rozsudek Soudního dvora (velkého senátu) ze dne 5. prosince 2023.
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos v. Valstybinė duomenų apsaugos inspekcija.
Žádost o rozhodnutí o předběžné otázce podaná Vilniaus apygardos administracinis teismas.
Řízení o předběžné otázce – Ochrana osobních údajů – Nařízení (EU) 2016/679 – Článek 4 body 2 a 7 – Pojmy ‚zpracování‘ a ‚správce‘ – Vývoj mobilní IT aplikace – Článek 26 – Společná odpovědnost za zpracování – Článek 83 – Ukládání správních pokut – Podmínky – Požadavek, podle něhož musí k porušení dojít úmyslně nebo z nedbalosti – Odpovědnost správce za zpracování osobních údajů prováděné zpracovatelem.
Věc C-683/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:949
ROZSUDEK SOUDNÍHO DVORA (velkého senátu)
5. prosince 2023 ( *1 )
„Řízení o předběžné otázce – Ochrana osobních údajů – Nařízení (EU) 2016/679 – Článek 4 body 2 a 7 – Pojmy ‚zpracování‘ a ‚správce‘ – Vývoj mobilní IT aplikace – Článek 26 – Společná odpovědnost za zpracování – Článek 83 – Ukládání správních pokut – Podmínky – Požadavek, podle něhož musí k porušení dojít úmyslně nebo z nedbalosti – Odpovědnost správce za zpracování osobních údajů prováděné zpracovatelem“
Ve věci C‑683/21,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce podaná na základě článku 267 SFEU rozhodnutím Vilniaus apygardos administracinis teismas (Krajský správní soud ve Vilniusu, Litva) ze dne 22. října 2021, došlým Soudnímu dvoru dne 12. listopadu 2021, v řízení
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
proti
Valstybinė duomenų apsaugos inspekcija,
za účasti:
UAB „IT sprendimai sėkmei“,
Lietuvos Respublikos sveikatos apsaugos ministerija,
SOUDNÍ DVŮR (velký senát),
ve složení: K. Lenaerts, předseda, L. Bay Larsen, místopředseda, A. Arabadžev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, O. Spineanu-Matei, předsedové senátů, M. Ilešič, J.-C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (zpravodaj), N. Wahl a M. Gavalec, soudci,
generální advokát: N. Emiliou,
za soudní kancelář: C. Strömholm, radová,
s přihlédnutím k písemné části řízení a po jednání konaném dne 17. ledna 2023,
s ohledem na vyjádření, která předložili:
|
– |
za Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos: G. Aleksienė, |
|
– |
za Valstybinė duomenų apsaugos inspekcija: R. Andrijauskas, |
|
– |
za litevskou vládu: V. Kazlauskaitė-Švenčionienė, jako zmocněnkyně, |
|
– |
za nizozemskou vládu: C. S. Schillemans, jako zmocněnkyně, |
|
– |
za Radu Evropské unie: R. Liudvinavičiūtė a K. Pleśniak, jako zmocněnci, |
|
– |
za Evropskou komisi: A. Bouchagiar, H. Kranenborg a A. Steiblytė, jako zmocněnci, |
po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 4. května 2023,
vydává tento
Rozsudek
|
1 |
Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 4 bodů 2 a 7, čl. 26 odst. 1 a čl. 83 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, a oprava Úř. věst. 2018, L 127, s. 2, dále jen „nařízení GDPR“). |
|
2 |
Tato žádost byla předložena v rámci sporu mezi Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Národní středisko pro veřejné zdraví při ministerstvu zdravotnictví, Litva, dále jen „NVSC“) a Valstybinė duomenų apsaugos inspekcija (Státní inspekce pro ochranu údajů, Litva, dále jen „VDAI“) ve věci rozhodnutí, kterým VDAI uložila NVSC na základě článku 83 nařízení GDPR správní pokutu za porušení článků 5, 13, 24, 32 a 35 tohoto nařízení. |
Právní rámec
Unijní právo
|
3 |
Body 9, 10, 11, 13, 26, 74, 79, 129 a 148 odůvodnění nařízení GDPR uvádějí:
[…]
[…]
[…]
[…]
[…]
[…]
|
|
4 |
Článek 4 tohoto nařízení stanoví: „Pro účely tohoto nařízení se rozumí:
[…]
[…]
[…]“ |
|
5 |
Článek 26 uvedeného nařízení, nadepsaný „Společní správci“, v odstavci 1 stanoví: „Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, jsou společnými správci. Společní správci mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností podle tohoto nařízení, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článcích 13 a 14, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, které se na správce vztahuje. V ujednání může být určeno kontaktní místo pro subjekty údajů.“ |
|
6 |
Článek 28 téhož nařízení, nadepsaný „Zpracovatel“, v odstavci 10 stanoví: „Aniž jsou dotčeny články 82, 83 a 84, pokud zpracovatel poruší toto nařízení tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.“ |
|
7 |
Článek 58 nařízení GDPR, nadepsaný „Pravomoci“, v odstavci 2 stanoví: „Každý dozorový úřad má všechny tyto nápravné pravomoci:
[…]
[…]
[…]
[…]“ |
|
8 |
Článek 83 tohoto nařízení, nadepsaný „Obecné podmínky pro ukládání správních pokut“, zní: „1. Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující. 2. Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j). Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:
3. Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení. 4. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 10000000 [eur], nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší: a) povinnosti správce a zpracovatele podle článků 8, 11, 25 až 39, 42 a 43; […] 5. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20000000 [eur], nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:
[…]
[…] 6. Za nesplnění příkazu dozorového úřadu podle čl. 58 odst. 2 lze v souladu s odstavcem 2 tohoto článku uložit správní pokuty až do výše 20000000 [eur], nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší. 7. Aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle čl. 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě. 8. Na výkon pravomocí dozorovým úřadem podle tohoto článku se vztahují vhodné procesní záruky v souladu s právem Unie a členského státu, včetně účinné soudní ochrany a spravedlivého procesu. […]“ |
|
9 |
Článek 84 uvedeného nařízení, nadepsaný „Sankce“, v odstavci 1 stanoví: „Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.“ |
Litevské právo
|
10 |
Článek 29 odst. 3 Viešųjų pirkimų įstatymas (zákon o zadávání veřejných zakázek) uvádí některé okolnosti, za kterých má veřejný zadavatel právo nebo povinnost ukončit zahájená zadávací nebo výběrová řízení na základě vlastního uvážení a kdykoli před zadáním veřejné zakázky (nebo uzavřením rámcové dohody) nebo určením úspěšného uchazeče výběrového řízení. |
|
11 |
Článek 72 odst. 2 zákona o zadávání veřejných zakázek stanoví fáze jednání, která vede veřejný zadavatel v rámci jednacího řízení bez předchozího uveřejnění. |
Spor v původním řízení a předběžné otázky
|
12 |
V souvislosti s pandemií vyvolanou virem způsobujícím onemocnění covid-19 Lietuvos Respublikos sveikatos apsaugos ministras (ministr zdravotnictví Litevské republiky) prvním rozhodnutím ze dne 24. března 2020 pověřil ředitele NVSC, aby zorganizoval neprodlené pořízení informačního systému, v rámci kterého budou pro účely epidemiologického sledování evidovány a sledovány údaje o osobách vystavených tomuto viru. |
|
13 |
E-mailem ze dne 27. března 2020 osoba, která se představila jako zástupce NVSC (dále jen „A. S.“), informovala společnost UAB „IT sprendimai sėkmei“ (dále jen „společnost ITSS“), že ji NVSC vybralo, aby pro tento účel vytvořila mobilní aplikaci. A. S. následně zaslal společnosti ITSS e-maily týkající se různých aspektů vývoje této aplikace, přičemž kopie těchto e-mailů byly zaslány řediteli NVSC. |
|
14 |
Během jednání mezi společností ITSS a NVSC obdržela tato společnost e-maily týkající se formulace otázek pokládaných v předmětné mobilní aplikaci nejen od A. S., ale i od dalších zaměstnanců NVSC. |
|
15 |
Při vývoji této mobilní aplikace byla vypracována politika ochrany soukromí, v níž byly jako správci označeny společnost ITSS a NVSC. |
|
16 |
Předmětná mobilní aplikace, zmiňující společnost ITSS a NVSC, byla od 4. dubna 2020 k dispozici ke stažení v internetovém obchodě Google Play Store a od 6. dubna 2020 v internetovém obchodě Apple App Store. Tato aplikace byla funkční do 26. května 2020. |
|
17 |
V období od 4. dubna 2020 do 26. května 2020 využilo tuto aplikaci 3802 osob, jež poskytly své údaje požadované uvedenou aplikací, jako je identifikační číslo, zeměpisné souřadnice (zeměpisná šířka a zeměpisná délka), země, město, obec, poštovní směrovací číslo, název ulice, číslo domu, příjmení, jméno, osobní kód, telefonní číslo a adresa. |
|
18 |
Druhým rozhodnutím ze dne 10. dubna 2020 rozhodl ministr zdravotnictví Litevské republiky, že ředitele NVSC pověří zorganizováním pořízení předmětné mobilní aplikace od společnosti ITSS; k tomuto účelu měl být použít čl. 72 odst. 2 zákona o zadávání veřejných zakázek. NVSC však žádnou veřejnou zakázku na oficiální pořízení této aplikace této společnosti nezadalo. |
|
19 |
Dne 15. května 2020 totiž NVSC uvedenou společnost požádalo, aby jej v předmětné mobilní aplikaci žádným způsobem nezmiňovala. Kromě toho dopisem ze dne 4. června 2020 NVSC tutéž společnost informovalo, že z důvodu nedostatku finančních prostředků na pořízení této aplikace ukončilo v souladu s čl. 29 odst. 3 zákona o zadávání veřejných zakázek řízení týkající se takového pořízení. |
|
20 |
VDAI v rámci šetření, které se týkalo zpracování osobních údajů a bylo zahájeno dne 18. května 2020, zjistila, že pomocí předmětné mobilní aplikace byly shromažďovány osobní údaje. Navíc bylo shledáno, že uživatelé, kteří si tuto aplikaci zvolili jako způsob sledování izolace, jež byla povinná z důvodu pandemie covidu-19, odpovídali na otázky, s nimiž bylo spojeno zpracování osobních údajů. Tyto údaje byly podle VDAI poskytovány v odpovědích na otázky položené prostřednictvím uvedené aplikace a týkaly se zejména zdravotního stavu subjektu údajů a dodržování podmínek izolace ze strany tohoto subjektu. |
|
21 |
Rozhodnutím ze dne 24. února 2021 VDAI uložila NVSC správní pokutu ve výši 12000 eur podle článku 83 nařízení GDPR, a to za porušení článků 5, 13, 24, 32 a 35 tohoto nařízení. Tímto rozhodnutím byla správní pokuta uložena i společnosti ITSS jakožto společnému správci, a to ve výši 3000 eur. |
|
22 |
NVSC napadlo toto rozhodnutí u Vilniaus apygardos administracinis teismas (Krajský správní soud ve Vilniusu, Litva), který je předkládajícím soudem, a tvrdilo, že společnost ITSS musí být považována za jediného správce ve smyslu čl. 4 bodu 7 nařízení GDPR. Společnost ITSS zase tvrdí, že jednala jako zpracovatel ve smyslu čl. 4 bodu 8 nařízení GDPR na základě pokynů NVSC, které je podle jejího názoru jediným správcem. |
|
23 |
Předkládající soud uvádí, že společnost ITSS vyvinula předmětnou mobilní aplikaci a NVSC jí poskytlo poradenství ohledně obsahu otázek kladených prostřednictvím této aplikace. Mezi NVSC a společností ITSS však neexistovala smlouva na veřejnou zakázku. NVSC mimoto nesouhlasilo se zpřístupněním této aplikace v různých internetových obchodech a ani k tomu neudělilo povolení. |
|
24 |
Předkládající soud upřesňuje, že předmětná mobilní aplikace byla vytvořena k uskutečnění cíle vytýčeného NVSC, který spočíval ve vytvoření IT nástroje ke zvládnutí pandemie covidu-19, a že se počítalo s tím, že za tímto účelem budou zpracovávány osobní údaje. Pokud jde o úlohu společnosti ITSS, podle předkládajícího soudu se nepředpokládalo, že by tato společnost sledovala jiné cíle než získání odměny za vytvořený IT produkt. |
|
25 |
Uvedený soud rovněž poznamenává, že při šetření prováděném VDAI bylo zjištěno, že litevská společnost Juvare Lithuania, která spravuje IT systém pro sledování a kontrolu přenosných chorob s rizikem šíření, musí dostávat kopie osobních údajů shromážděných předmětnou mobilní aplikací. Kromě toho byly k testování této mobilní aplikace použity fiktivní údaje s výjimkou telefonních čísel zaměstnanců uvedené společnosti. |
|
26 |
Za těchto okolností se Vilniaus apygardos administracinis teismas (Krajský správní soud ve Vilniusu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
|
K předběžným otázkám
K první až třetí otázce
|
27 |
Podstatou první až třetí otázky předkládajícího soudu, které je třeba zkoumat společně, je, zda musí být čl. 4 bod 7 nařízení GDPR vykládán v tom smyslu, že za správce ve smyslu tohoto ustanovení lze považovat subjekt, který pověřil určitý podnik vývojem mobilní IT aplikace, ačkoli tento subjekt sám neprovedl žádné operace zpracování osobních údajů, neudělil výslovně souhlas s provedením konkrétních operací takového zpracování nebo se zpřístupněním této mobilní aplikace veřejnosti a uvedenou mobilní aplikaci nenabyl. |
|
28 |
Článek 4 bod 7 nařízení GDPR definuje pojem „správce“ široce jako fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jakýkoli jiný subjekt, který sám nebo společně s jinými „určuje účely a prostředky zpracování“ osobních údajů. |
|
29 |
V souladu s cílem nařízení GDPR je cílem této široké definice zajistit účinnou ochranu základních práv a svobod fyzických osob a zejména vysokou úroveň ochrany práva každého na ochranu osobních údajů, které se ho týkají (v tomto smyslu viz rozsudek ze dne 29. července 2019, Fashion ID,C‑40/17, EU:C:2019:629, bod 66, a rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, bod 73 a citovaná judikatura). |
|
30 |
Soudní dvůr již rozhodl, že každou fyzickou nebo právnickou osobu, která pro své vlastní účely ovlivňuje zpracování takových údajů, a v důsledku toho se podílí na určování účelů a prostředků tohoto zpracování, lze považovat za správce odpovědného za dané zpracování. V tomto ohledu není nutné, aby byly účely a prostředky zpracování určeny prostřednictvím písemných příkazů nebo pokynů správce (v tomto smyslu viz rozsudek ze dne 10. července 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, body 67 a 68), ani aby byl tento správce za takového formálně označen. |
|
31 |
Za účelem zjištění, zda takový subjekt, jako je NVSC, může být považován za správce ve smyslu čl. 4 bodu 7 nařízení GDPR, je tedy třeba zkoumat, zda tento subjekt skutečně pro své vlastní účely ovlivnil určení účelů a prostředků tohoto zpracování. |
|
32 |
S výhradou ověření, které musí provést předkládající soud, v projednávané věci ze spisu, jejž má Soudní dvůr k dispozici, vyplývá, že vytvoření předmětné mobilní aplikace bylo objednáno ze strany NVSC a směřovalo k dosažení cíle vytýčeného NVSC, a sice zvládnutí pandemie covidu-19 prostřednictvím IT nástroje pro evidenci a sledování údajů o osobách, které byly vystaveny viru způsobujícímu onemocnění covid-19. NVSC za tímto účelem stanovilo, že osobní údaje uživatelů předmětné mobilní aplikace budou zpracovávány. Z předkládacího rozhodnutí mimoto vyplývá, že parametry této aplikace, jako jsou pokládané otázky a jejich formulace, byly přizpůsobeny potřebám NVSC a že NVSC hrálo při jejich určování aktivní úlohu. |
|
33 |
Za těchto podmínek je třeba mít v zásadě za to, že se NVSC skutečně podílelo na určení účelů a prostředků zpracování. |
|
34 |
Naproti tomu pouhá skutečnost, že politika ochrany soukromí v předmětné mobilní aplikaci uváděla NVSC jako správce a že tato aplikace obsahovala odkazy na tento subjekt, by mohla být považována za relevantní pouze tehdy, pokud by bylo prokázáno, že NVSC výslovně nebo implicitně s tímto uvedením nebo těmito odkazy souhlasilo. |
|
35 |
Mimoto okolnosti, na které předkládající soud poukázal ve svých úvahách poskytnutých na podporu prvních tří předběžných otázek, tedy že NVSC samo nezpracovávalo osobní údaje, že mezi NVSC a společností ITSS nebyla uzavřena žádná smlouva, že NVSC nenabylo předmětnou mobilní aplikaci nebo že NVSC neudělilo povolení k šíření této aplikace prostřednictvím internetových obchodů, nebrání tomu, aby mohlo být NVSC kvalifikováno jako „správce“ ve smyslu čl. 4 bodu 7 nařízení GDPR. |
|
36 |
Z tohoto ustanovení, vykládaného ve světle bodu 74 odůvodnění nařízení GDPR, totiž vyplývá, že pokud subjekt splňuje podmínku stanovenou v uvedeném čl. 4 bodě 7, je odpovědný nejenom za zpracování osobních údajů, které provádí sám, ale i za zpracování osobních údajů, které je prováděno pro něj. |
|
37 |
V tomto ohledu je třeba nicméně uvést, že NVSC nelze považovat za odpovědné za zpracování osobních údajů plynoucí ze zpřístupnění předmětné mobilní aplikace veřejnosti, pokud s tímto zpřístupněním před jeho uskutečněním výslovně nesouhlasilo, což musí ověřit předkládající soud. V takovém případě totiž nelze mít za to, že dotčené zpracování bylo prováděno pro NVSC. |
|
38 |
S ohledem na výše uvedené důvody je třeba na první až třetí otázku odpovědět, že čl. 4 bod 7 nařízení GDPR musí být vykládán v tom smyslu, že za správce ve smyslu tohoto ustanovení lze považovat subjekt, který pověřil určitý podnik vývojem mobilní IT aplikace a v této souvislosti se podílel na určení účelů a prostředků zpracování osobních údajů prováděného prostřednictvím této aplikace, i když tento subjekt sám neprováděl operace zpracování takových údajů, neudělil výslovně souhlas s provedením konkrétních operací takového zpracování nebo se zpřístupněním uvedené mobilní aplikace veřejnosti a tuto mobilní aplikaci nenabyl, ledaže před tímto zpřístupněním veřejnosti uvedený subjekt výslovně nesouhlasil s daným zpřístupněním a z toho vyplývajícím zpracováním osobních údajů. |
K páté otázce
|
39 |
Podstatou páté otázky předkládajícího soudu, kterou je třeba zkoumat na druhém místě, je, zda musí být čl. 4 bod 7 a čl. 26 odst. 1 nařízení GDPR vykládány v tom smyslu, že předpokladem pro kvalifikaci dvou subjektů jako společných správců je existence dohody mezi těmito subjekty o určení účelů a prostředků zpracování předmětných osobních údajů nebo existence dohody stanovící podmínky společné odpovědnosti za zpracování. |
|
40 |
Podle čl. 26 odst. 1 nařízení GDPR se jedná o „společné správce“, pokud účely a prostředky zpracování stanoví společně dva nebo více správců. |
|
41 |
Jak rozhodl Soudní dvůr, fyzická nebo právnická osoba musí, aby mohla být považována za společného správce, samostatně splňovat definici „správce“ uvedenou v čl. 4 bodě 7 nařízení GDPR (v tomto smyslu viz rozsudek ze dne 29. července 2019, Fashion ID,C‑40/17, EU:C:2019:629, bod 74). |
|
42 |
Existence společné odpovědnosti však nemusí nutně znamenat, že jednotliví provozovatelé, jichž se zpracování osobních údajů týká, nesou stejný podíl odpovědnosti. Tito provozovatelé mohou být naopak zapojeni v různých fázích tohoto zpracování a v různé míře, takže míru odpovědnosti každého z nich je třeba hodnotit s přihlédnutím ke všem relevantním okolnostem projednávané věci (rozsudek ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein,C‑210/16, EU:C:2018:388, bod 43). Kromě toho společná odpovědnost několika subjektů za totéž zpracování nepředpokládá, že bude mít každý z nich přístup k dotčeným osobním údajům (rozsudek ze dne 10. července 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, bod 69 a citovaná judikatura). |
|
43 |
Jak uvedl generální advokát v bodě 38 svého stanoviska, účast na určení účelů a prostředků zpracování může mít různou podobu; tato účast může být výsledkem jak společného rozhodnutí dvou či více subjektů, tak konvergujících rozhodnutí takových subjektů. V posledně uvedeném případě se uvedená rozhodnutí musí doplňovat, aby každé z nich mělo konkrétní účinek na určení účelů a prostředků zpracování. |
|
44 |
Naproti tomu nelze požadovat, aby mezi těmito správci existovala formální dohoda o účelech a prostředcích zpracování. |
|
45 |
Je pravda, že podle čl. 26 odst. 1 nařízení GDPR, vykládaného ve světle bodu 79 odůvodnění tohoto nařízení, musí společní správci mezi sebou transparentním ujednáním vymezit své podíly na odpovědnosti za plnění povinností podle tohoto nařízení. Existence takové dohody však nepředstavuje předpoklad pro to, aby dva nebo více subjektů bylo kvalifikováno jako společní správci, ale povinnost, kterou tento čl. 26 odst. 1 ukládá společným správcům, jakmile jsou takto kvalifikováni, za účelem zajištění dodržování požadavků, které na ně klade nařízení GDPR. Tato kvalifikace tedy vyplývá ze samotné skutečnosti, že se několik subjektů podílelo na určení účelů a prostředků zpracování. |
|
46 |
S ohledem na výše uvedené důvody je třeba na pátou otázku odpovědět, že čl. 4 bod 7 a čl. 26 odst. 1 nařízení GDPR musí být vykládány v tom smyslu, že předpokladem pro kvalifikaci dvou subjektů jako společných správců není existence dohody mezi těmito subjekty o určení účelů a prostředků zpracování předmětných osobních údajů ani existence dohody stanovící podmínky společné odpovědnosti za zpracování. |
Ke čtvrté otázce
|
47 |
Podstatou čtvrté otázky předkládajícího soudu je, zda musí být čl. 4 bod 2 nařízení GDPR vykládán v tom smyslu, že „zpracováním“ ve smyslu tohoto ustanovení je i používání osobních údajů k počítačovému testování mobilní aplikace. |
|
48 |
V projednávané věci, jak vyplývá z bodu 25 tohoto rozsudku, měla litevská společnost, která spravuje IT systém pro sledování a kontrolu přenosných nemocí představujících riziko šíření, obdržet kopie osobních údajů shromážděných prostřednictvím předmětné mobilní aplikace. Pro účely počítačového testování byly použity fiktivní údaje s výjimkou telefonních čísel zaměstnanců uvedené společnosti. |
|
49 |
V tomto ohledu je třeba zaprvé uvést, čl. 4 bod 2 nařízení GDPR definuje pojem „zpracování“ jako „[jakoukoliv operaci] nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů“. Toto ustanovení v demonstrativním výčtu, který je uvozen slovním spojením „jako je“, mezi příklady zpracování uvádí shromáždění, zpřístupnění a použití osobních údajů. |
|
50 |
Ze znění tohoto ustanovení, zejména z výrazu „jakákoliv operace“, tedy vyplývá, že unijní normotvůrce zamýšlel přiznat pojmu „zpracování“ široký dosah [v tomto smyslu viz rozsudek ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely),C‑175/20, EU:C:2022:124, bod 35] a že důvody, proč jsou operace nebo soubor operací prováděny, nemohou být zohledněny pro účely určení, zda tato operace nebo tento soubor operací představují „zpracování“ ve smyslu čl. 4 bodu 2 nařízení GDPR. |
|
51 |
Otázka, zda jsou osobní údaje používány pro účely počítačového testování nebo pro jiný účel, tedy nemá vliv na kvalifikaci dotčené operace jako „zpracování“ ve smyslu čl. 4 bodu 2 nařízení GDPR. |
|
52 |
Zadruhé je třeba nicméně upřesnit, že pouze zpracování, jež se týká „osobních údajů“, je „zpracováním“ ve smyslu čl. 4 bodu 2 nařízení GDPR. |
|
53 |
Článek 4 bod 1 nařízení GDPR v tomto ohledu uvádí, že „osobními údaji“ se rozumí „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“, tedy „[fyzické osobě], kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“. |
|
54 |
Okolnost, na kterou odkazuje předkládající soud ve své čtvrté otázce, tedy že se jedná o „kopie osobních údajů“, přitom nemůže jako taková bránit tomu, aby byly tyto kopie kvalifikovány jako osobní údaje ve smyslu čl. 4 bodu 1 nařízení GDPR, pokud takové kopie skutečně obsahují informace o identifikované nebo identifikovatelné fyzické osobě. |
|
55 |
Je však třeba konstatovat, že fiktivní údaje, pokud se netýkají identifikované nebo identifikovatelné fyzické osoby, ale osoby, která ve skutečnosti neexistuje, nepředstavují osobní údaje ve smyslu čl. 4 bodu 1 nařízení GDPR. |
|
56 |
Totéž platí pro údaje používané pro účely počítačového testování, které jsou anonymní nebo byly anonymizovány. |
|
57 |
Z bodu 26 odůvodnění nařízení GDPR, jakož i ze samotné definice pojmu „osobní údaje“ uvedené v čl. 4 bodu 1 tohoto nařízení vyplývá, že pod tento pojem nespadají „anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby“, ani „osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným“. |
|
58 |
Naproti tomu z čl. 4 bodu 5 nařízení GDPR ve spojení s bodem 26 jeho odůvodnění vyplývá, že osobní údaje, na něž byla uplatněna pouze pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, musí být považovány za informace o identifikovatelné fyzické osobě, na něž se vztahují zásady ochrany údajů. |
|
59 |
S ohledem na výše uvedené důvody je třeba na čtvrtou otázku odpovědět, že čl. 4 bod 2 nařízení GDPR musí být vykládán v tom smyslu, že „zpracováním“ ve smyslu tohoto ustanovení je i používání osobních údajů k počítačovému testování mobilní aplikace, ledaže takové údaje byly anonymizovány tak, že subjekt těchto údajů není nebo již přestal být identifikovatelným, nebo se jedná o fiktivní údaje, které se netýkají existující fyzické osoby. |
K šesté otázce
|
60 |
Podstatou šesté otázky předkládajícího soudu je, zda musí být článek 83 nařízení GDPR vykládán v tom smyslu, že správní pokutu lze na základě tohoto ustanovení uložit pouze tehdy, je-li prokázáno, že se správce dopustil porušení uvedeného v odstavcích 4 až 6 tohoto článku úmyslně nebo z nedbalosti, a dále v tom smyslu, že takovou pokutu lze správci uložit v souvislosti s operacemi zpracování, které pro něj provedl zpracovatel. |
|
61 |
Pokud jde na prvním místě o otázku, zda lze správní pokutu uložit na základě článku 83 nařízení GDPR pouze tehdy, je-li prokázáno, že se správce nebo zpracovatel dopustil porušení uvedeného v odstavcích 4 až 6 tohoto článku úmyslně nebo z nedbalosti, z odstavce 1 uvedeného článku vyplývá, že tyto pokuty musí být účinné, přiměřené a odrazující. Článek 83 nařízení GDPR naproti tomu výslovně neuvádí, že za takové porušení lze uložit takovou pokutu pouze tehdy, pokud k němu došlo úmyslně nebo přinejmenším z nedbalosti. |
|
62 |
Litevská vláda a Rada Evropské unie z toho dovozují, že unijní normotvůrce zamýšlel ponechat členským státům určitý prostor pro uvážení při provádění článku 83 nařízení GDPR, a umožnit jim tak stanovit, že správní pokuty lze uložit na základě tohoto ustanovení, aniž je případně prokázáno, že k porušení nařízení GDPR sankcionovaného touto pokutou došlo úmyslně nebo z nedbalosti. |
|
63 |
Takový výklad článku 83 nařízení GDPR nelze přijmout. |
|
64 |
V tomto ohledu je třeba připomenout, že podle článku 288 SFEU mají ustanovení nařízení ve vnitrostátních právních řádech obecně bezprostřední účinek, aniž je třeba, aby vnitrostátní orgány přijaly prováděcí opatření. Nicméně některá ustanovení nařízení mohou pro účely svého uplatnění vyžadovat přijetí prováděcích opatření členskými státy (v tomto smyslu viz rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, bod 58 a citovaná judikatura). |
|
65 |
Tak je tomu zejména v případě nařízení GDPR, jehož některá ustanovení umožňují členským státům stanovit další přísnější nebo odchylná vnitrostátní pravidla, která ponechávají členským státům prostor pro uvážení ohledně způsobu, jakým mohou být tato ustanovení uplatňována (rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, bod 57). |
|
66 |
Stejně tak při neexistenci konkrétních procesních pravidel v nařízení GDPR přísluší právnímu řádu každého členského státu, aby s výhradou dodržení zásad rovnocennosti a efektivity stanovil podmínky žalob určených k zajištění ochrany práv, která jednotlivcům vyplývají z ustanovení tohoto nařízení [v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 53 a 54 a citovaná judikatura]. |
|
67 |
Nic ve znění čl. 83 odst. 1 až 6 nařízení GDPR však neumožňuje mít za to, že unijní normotvůrce zamýšlel ponechat členským státům určitý prostor pro uvážení, pokud jde o hmotněprávní podmínky, které musí dozorový úřad dodržet, rozhodne-li se uložit správci správní pokutu za porušení uvedené v odstavcích 4 až 6 tohoto článku. |
|
68 |
Je pravda, že čl. 83 odst. 7 nařízení GDPR stanoví, že každý členský stát může stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě. Dále z čl. 83 odst. 8 tohoto nařízení, vykládaného ve světle bodu 129 jeho odůvodnění, vyplývá, že na výkon pravomocí dozorovým úřadem podle tohoto článku se vztahují vhodné procesní záruky v souladu s právem Unie a členského státu, včetně účinné soudní ochrany a spravedlivého procesu. |
|
69 |
Skutečnost, že uvedené nařízení členským státům umožňuje stanovit výjimky pro orgány veřejné moci a veřejné subjekty usazené v daném členském státě, jakož i požadavky týkající se postupu, který mají dozorové úřady uplatnit při ukládání správní pokuty, však v žádném případě neznamená, že kromě takových výjimek a požadavků procesní povahy by tyto státy mohly stanovit i hmotněprávní podmínky pro založení odpovědnosti správce a pro uložení správní pokuty na základě uvedeného článku 83. Skutečnost, že unijní normotvůrce výslovně stanovil tuto možnost, ale nikoli možnost stanovit takové hmotněprávní podmínky, mimoto potvrzuje, že v tomto ohledu neponechal členským státům prostor pro uvážení. |
|
70 |
Tento závěr je rovněž potvrzen společným výkladem článků 83 a 84 nařízení GDPR. Článek 84 odst. 1 tohoto nařízení totiž uznává, že si členské státy ponechávají pravomoc stanovit pravidla pro „jiné sankce, jež se mají ukládat“ za porušení tohoto nařízení, „zejména za porušení, na něž se nevztahují správní pokuty podle článku 83“. Z takového společného výkladu těchto ustanovení tak vyplývá, že se tato pravomoc nevztahuje na hmotněprávní podmínky umožňující uložit takové správní pokuty. Tyto podmínky jsou tedy upraveny výlučně unijním právem. |
|
71 |
Pokud jde o uvedené podmínky, je třeba poznamenat, že čl. 83 odst. 2 nařízení GDPR uvádí okolnosti, které má dozorový úřad zohlednit při ukládání správní pokuty správci. Mezi těmito okolnostmi figuruje pod písmenem b) tohoto ustanovení skutečnost, „zda k porušení došlo úmyslně nebo z nedbalosti“. Naproti tomu žádná z okolností uvedených v daném ustanovení neodkazuje na možnost založit odpovědnost správce při neexistenci zavinění z jeho strany. |
|
72 |
Článek 83 odst. 2 nařízení GDPR je mimoto třeba vykládat ve spojení s odstavcem 3 tohoto článku, jehož cílem je stanovit důsledky případů kumulace porušení tohoto nařízení a který stanoví, že „pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení“. |
|
73 |
Ze znění čl. 83 odst. 2 nařízení GDPR tedy vyplývá, že správní pokuta může být správci na základě tohoto článku uložena pouze za porušení ustanovení tohoto nařízení, kterých se dopustil zaviněně, tedy za porušení, kterých se dopustil úmyslně nebo z nedbalosti. |
|
74 |
Obecná systematika a účel nařízení GDPR tento výklad potvrzují. |
|
75 |
Zaprvé unijní normotvůrce stanovil systém sankcí, který dozorovým úřadům umožňuje ukládat sankce, jež jsou podle okolností každého případu nejvhodnější. |
|
76 |
Článek 58 nařízení GDPR, který stanoví pravomoci dozorových úřadů, totiž v odst. 2 písm. i) stanoví, že tyto úřady mohou ukládat správní pokuty podle článku 83 tohoto nařízení „vedle či namísto“ jiných nápravných opatření uvedených v tomto čl. 58 odst. 2, jako jsou upozornění, napomenutí nebo příkazy. Stejně tak bod 148 odůvodnění uvedeného nařízení mimo jiné uvádí, že jedná-li se o méně závažný případ porušení nebo pokud by pokuta, která bude pravděpodobně uložena, představovala pro fyzickou osobu nepřiměřenou zátěž, mohou dozorové úřady upustit od uložení správní pokuty a namísto ní uložit napomenutí. |
|
77 |
Zadruhé z bodu 10 odůvodnění nařízení GDPR zejména vyplývá, že cílem jeho ustanovení je mimo jiné zajistit soudržnou a vysokou úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů v Unii, a za tímto účelem v celé Unii zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod těchto osob v souvislosti se zpracováním takových údajů. Body 11 a 129 odůvodnění nařízení GDPR dále zdůrazňují, že je nutné zajistit, aby v zájmu jednotného uplatňování tohoto nařízení měly dozorové úřady rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a aby mohly ukládat rovnocenné sankce za porušení uvedeného nařízení. |
|
78 |
Existence systému sankcí, který umožňuje uložit správní pokutu podle článku 83 nařízení GDPR, je-li to odůvodněno konkrétními okolnostmi každého případu, podněcuje správce a zpracovatele k dodržování tohoto nařízení. Správní pokuty svým odrazujícím účinkem přispívají k posílení ochrany fyzických osob v souvislosti se zpracováním osobních údajů, a jsou tedy klíčovým prvkem pro zajištění dodržování práv těchto osob v souladu s účelem tohoto nařízení, kterým je zajistit vysokou úroveň ochrany takových osob v souvislosti se zpracováním osobních údajů. |
|
79 |
Unijní normotvůrce nicméně pro účely zajištění takové vysoké úrovně ochrany nepovažoval za nutné stanovit uložení správních pokut při neexistenci zavinění. S ohledem na skutečnost, že nařízení GDPR usiluje o rovnocennou a zároveň jednotnou úroveň ochrany a musí být za tímto účelem uplatňováno soudržně v celé Unii, by bylo v rozporu s tímto účelem, kdyby členské státy mohly stanovit taková pravidla pro ukládání pokut podle článku 83 tohoto nařízení. Taková svoboda volby by mimoto mohla narušit hospodářskou soutěž mezi hospodářskými subjekty v rámci Unie, což by bylo v rozporu s cíli vyjádřenými unijním normotvůrcem zejména v bodech 9 a 13 odůvodnění uvedeného nařízení. |
|
80 |
Je proto třeba konstatovat, že článek 83 nařízení GDPR neumožňuje uložit správní pokutu za porušení uvedené v jeho odstavcích 4 až 6, aniž je prokázáno, že se správce tohoto porušení dopustil úmyslně nebo z nedbalosti, a že tudíž zaviněné porušení představuje podmínku pro uložení takové pokuty. |
|
81 |
Pokud jde o otázku, zda k porušení došlo úmyslně nebo z nedbalosti, a zda je tedy možné za něj uložit správní pokutu podle článku 83 nařízení GDPR, je třeba v tomto ohledu dále upřesnit, že správce může být sankcionován za jednání spadající do působnosti nařízení GDPR, pokud tento správce nemohl nevědět o protiprávní povaze svého jednání bez ohledu na to, zda věděl, či nevěděl o tom, že porušuje ustanovení nařízení GDPR (obdobně viz rozsudek ze dne 18. června 2013, Schenker & Co. a další, C‑681/11, EU:C:2013:404, bod 37 a citovaná judikatura, rozsudek ze dne 25. března 2021, Lundbeck v. Komise,C‑591/16 P, EU:C:2021:243, bod 156, a rozsudek ze dne 25. března 2021, Arrow Group a Arrow Generics v. Komise, C‑601/16 P, EU:C:2021:244, bod 97). |
|
82 |
Je-li správcem právnická osoba, je třeba dále upřesnit, že předpokladem pro použití článku 83 nařízení GDPR není jednání nebo pouhá informovanost řídícího orgánu této právnické osoby (obdobně viz rozsudek ze dne 7. června 1983, Musique Diffusion française a další v. Komise, 100/80 až 103/80, EU:C:1983:158, bod 97, a rozsudek ze dne 16. února 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen v. Komise,C‑94/15 P, EU:C:2017:124, bod 28 a citovaná judikatura). |
|
83 |
Pokud jde na druhém místě o otázku, zda lze správci uložit správní pokutu podle článku 83 nařízení GDPR v souvislosti s operacemi zpracování prováděnými zpracovatelem, je třeba připomenout, že podle definice uvedené v čl. 4 bodě 8 nařízení GDPR se zpracovatelem rozumí „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce“. |
|
84 |
Vzhledem k tomu, že jak bylo uvedeno v bodě 36 tohoto rozsudku, správce je odpovědný nejen za každé zpracování osobních údajů, které provádí on sám, ale i za zpracování, které je prováděno pro něj, může být tomuto správci uložena správní pokuta podle článku 83 nařízení GDPR v situaci, kdy jsou osobní údaje zpracovávány protiprávně a kdy uvedené zpracování neprovedl tento správce, ale provedl jej pro něj zpracovatel, na kterého se tento správce obrátil. |
|
85 |
Odpovědnost správce za jednání zpracovatele se však nemůže vztahovat na situace, kdy zpracovatel osobní údaje zpracoval pro vlastní účely nebo kdy tyto údaje zpracoval způsobem neslučitelným s rámcem nebo postupy zpracování, jak byly stanoveny správcem, nebo takovým způsobem, že nelze mít důvodně za to, že by s ním tento správce souhlasil. Podle čl. 28 odst. 10 nařízení GDPR totiž musí být zpracovatel v takovém případě považován v souvislosti s takovým zpracováním za správce. |
|
86 |
S ohledem na výše uvedené je třeba na šestou otázku odpovědět, že článek 83 nařízení GDPR musí být vykládán v tom smyslu, že správní pokutu lze na základě tohoto ustanovení uložit pouze tehdy, je-li prokázáno, že se správce dopustil porušení uvedeného v odstavcích 4 až 6 tohoto článku úmyslně nebo z nedbalosti, a dále v tom smyslu, že takovou pokutu lze správci uložit v souvislosti s operacemi zpracování osobních údajů, které pro něj provedl zpracovatel, ledaže tento zpracovatel v rámci těchto operací provedl zpracování pro vlastní účely nebo zpracoval tyto údaje způsobem neslučitelným s rámcem nebo postupy zpracování, jak byly stanoveny správcem, nebo takovým způsobem, že nelze mít důvodně za to, že by s ním tento správce souhlasil. |
K nákladům řízení
|
87 |
Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují. |
|
Z těchto důvodů Soudní dvůr (velký senát) rozhodl takto: |
|
|
|
|
|
Podpisy |
( *1 ) – Jednací jazyk: litevština.