–

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos ved G. Aleksienė,

–

Valstybinė duomenų apsaugos inspekcija ved R. Andrijauskas,

–

den litauiske regering ved V. Kazlauskaitė-Švenčionienė, som befuldmægtiget,

–

den nederlandske regering ved C.S. Schillemans, som befuldmægtiget,

–

Rådet for Den Europæiske Union ved R. Liudvinavičiūtė og K. Pleśniak, som befuldmægtigede,

–

Europa-Kommissionen ved A. Bouchagiar, H. Kranenborg og A. Steiblytė, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 4, nr. 2) og 7), artikel 26, stk. 1, og artikel 83, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2

Anmodningen er blevet indgivet i forbindelse med en tvist mellem Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (det nationale folkesundhedscenter under sundhedsministeriet, Litauen, herefter »det nationale folkesundhedscenter«) og Valstybinė duomenų apsaugos inspekcija (det nationale datatilsyn, Litauen) vedrørende en afgørelse, hvorved sidstnævnte pålagde det nationale folkesundhedscenter en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83 for overtrædelse af denne forordnings artikel 5, 13, 24, 32 og 35.

3

Følgende fremgår af 9., 10., 11., 13., 26., 74., 79., 129. og 148. betragtning til databeskyttelsesforordningen:

[…]

[…]

[…]

[…]

[…]

[…]

4

Denne forordnings artikel 4 har følgende ordlyd:

»I denne forordning forstås ved:

[…]

[…]

[…]«

5

Databeskyttelsesforordningens artikel 26 med overskriften »Fælles dataansvarlige« bestemmer følgende i stk. 1:

»Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af forpligtelserne i henhold til denne forordning, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede.«

6

Samme forordnings artikel 28 med overskriften »Databehandler« fastsætter følgende i stk. 10:

»Hvis en databehandler overtræder denne forordning ved at fastlægge formålene med og hjælpemidlerne til behandling, anses databehandleren for at være en dataansvarlig for så vidt angår den pågældende behandling, uden at dette berører artikel 82, 83 og 84.«

7

Databeskyttelsesforordningens artikel 58 med overskriften »Beføjelser« bestemmer følgende i stk. 2:

»Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

[…]

[…]

[…]

[…]«

8

Forordningens artikel 83 med overskriften »Generelle betingelser for pålæggelse af administrative bøder« har følgende ordlyd:

»1.   Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.

2.   Afhængigt af omstændighederne i hver enkelt sag pålægges administrative bøder i tillæg til eller i stedet for foranstaltninger som omhandlet i artikel 58, stk. 2, litra a)-h) og j). Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:

3.   Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

4.   Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 10000000 EUR eller, hvis det drejer sig om en virksomhed, med op til 2% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

a) den dataansvarliges og databehandlerens forpligtelser i henhold til artikel 8, 11, 25-39 og 42 og 43

[…]

5.   Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20000000 EUR eller, hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

[…]

[…]

6.   Manglende overholdelse af et påbud fra tilsynsmyndigheden som omhandlet i artikel 58, stk. 2, straffes i overensstemmelse med nærværende artikels stk. 2 med administrative bøder på op til 20000000 EUR eller, hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere.

7.   Uden at det berører tilsynsmyndighedernes korrigerende beføjelser i henhold til artikel 58, stk. 2, kan hver medlemsstat fastsætte regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat.

8.   Tilsynsmyndighedens udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne proceduremæssige garantier i overensstemmelse med EU-retten og medlemsstaternes nationale ret, bl.a. effektive retsmidler og retfærdig procedure.

[…]«

9

Forordningens artikel 84 med overskriften »Sanktioner« bestemmer følgende i stk. 1:

»Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.«

10

I artikel 29, stk. 3, i Viešųjų pirkimų įstatymas (lov om offentlige udbud) er nævnt visse omstændigheder, hvorunder den ordregivende myndighed enten har ret eller pligt til at tilbagekalde udbudsprocedurer eller procedurer vedrørende projektkonkurrencer, som den har iværksat på eget initiativ, på et hvilket som helst tidspunkt inden indgåelsen af den offentlige kontrakt (eller den foreløbige kontrakt) eller udvælgelsen af vinderen af konkurrencen.

11

Artikel 72, stk. 2, i lov om offentlige udbud fastsætter faserne i de forhandlinger, som den ordregivende myndighed fører i forbindelse med udbud med forhandling om indgåelse af offentlige kontrakter uden forudgående offentliggørelse.

12

I forbindelse med den pandemi, der blev udløst af covid-19-virusset, pålagde Lietuvos Respublikos sveikatos apsaugos ministras (Republikken Litauens sundhedsminister) ved en første afgørelse af 24. marts 2020 direktøren for det nationale folkesundhedscenter at iværksætte en omgående erhvervelse af et IT-system til registrering og overvågning af oplysninger om personer, der var udsat for dette virus, med henblik på epidemiologisk overvågning.

13

Ved e-mail af 27. marts 2020 oplyste en person, der præsenterede sig om repræsentant for det nationale folkesundhedscenter (herefter »A.S.«), selskabet UAB »IT sprendimai sėkmei« (herefter »ITSS«) om, at folkesundhedscentret havde valgt det til at udvikle en mobilapplikation til dette formål. A.S. sendte herefter e-mails til ITSS vedrørende forskellige aspekter ved udviklingen af denne applikation, og kopi af disse e-mails blev rettet til direktøren for folkesundhedscentret.

14

Under forhandlingerne mellem ITSS og det nationale folkesundhedscenter sendte foruden A.S. også andre ansatte i centret e-mails til dette selskab vedrørende affattelsen af de spørgsmål, der skulle stilles i den omhandlede mobilapplikation.

15

I forbindelse med udviklingen af applikationen blev der udarbejdet en politik for beskyttelse af privatlivets fred, hvori ITSS og det nationale folkesundhedscenter var udpeget som dataansvarlige.

16

Den omhandlede mobilapplikation, hvori ITSS og det nationale folkesundhedscenter var nævnt, kunne downloades fra onlinebutikken Google Play Store fra den 4. april 2020 og i onlinebutikken Apple App Store fra den 6. april 2020. Den fungerede indtil den 26. maj 2020.

17

Mellem den 4. april 2020 og den 26. maj 2020 gjorde 3802 personer brug af applikationen og afgav de oplysninger om sig selv, som den krævede, såsom identitetsnummer, geografiske koordinater (længde- og breddegrad), land, by, kommune, postnummer, gadenavn, bygningsnummer, fornavn, efternavn, personlig identifikationskode, telefonnummer og adresse.

18

Ved en anden afgørelse af 10. april 2020 besluttede Republikken Litauens sundhedsminister at overdrage direktøren for det nationale folkesundhedscenter opgaven med at tilrettelægge erhvervelsen af den omhandlede mobilapplikation hos ITSS, og det blev med henblik herpå påtænkt at anvende artikel 72, stk. 2, i lov om offentlige udbud. ITSS fik imidlertid ikke tildelt nogen offentlig kontrakt vedrørende det nationale folkesundhedscenters officielle erhvervelse af denne applikation.

19

Den 15. maj 2020 anmodede det nationale folkesundhedscenter således ITSS om på ingen måde at nævne det i den pågældende mobilapplikation. Ved skrivelse af 4. juni 2020 meddelte det nationale folkesundhedscenter desuden selskabet, at folkesundhedscentret på grund af manglende finansiering til erhvervelse af applikationen havde afsluttet proceduren vedrørende en sådan erhvervelse i overensstemmelse med artikel 29, stk. 3, i lov om offentlige udbud.

20

Som led i en undersøgelse af behandlingen af personoplysninger, der blev indledt den 18. maj 2020, fastslog det nationale datatilsyn, at der var blevet indsamlet personoplysninger ved hjælp af den omhandlede mobilapplikation. Det blev endvidere konstateret, at de brugere, der havde valgt denne applikation som metode til overvågning af den isolation, der var blevet gjort obligatorisk på grund af covid-19-pandemien, havde besvaret spørgsmål, der medførte behandling af personoplysninger. Disse oplysninger var blevet givet i svarene på de spørgsmål, der blev stillet gennem applikationen, og vedrørte bl.a. den registreredes helbredstilstand og vedkommendes overholdelse af isolationsvilkårene.

21

Ved afgørelse af 24. februar 2021 pålagde det nationale datatilsyn i henhold til databeskyttelsesforordningens artikel 83 det nationale folkesundhedscenter en administrativ bøde på 12000 EUR på grund af dets overtrædelse af forordningens artikel 5, 13, 24, 32 og 35. Ved samme afgørelse blev ITSS ligeledes pålagt en administrativ bøde på 3000 EUR som fælles dataansvarlig.

22

Det nationale folkesundhedscenter har anlagt sag til prøvelse af denne afgørelse ved Vilniaus apygardos administracinis teismas (den regionale domstol i forvaltningsretlige sager i Vilnius, Litauen), som er den forelæggende ret, og herved gjort gældende, at ITSS skal anses for at være den eneste dataansvarlige som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7). ITSS har på sin side gjort gældende, at selskabet handlede som databehandler som omhandlet i databeskyttelsesforordningens artikel 4, nr. 8), efter instruks fra det nationale folkesundhedscenter, der ifølge ITSS er den eneste dataansvarlige.

23

Den forelæggende ret har anført, at ITSS har udviklet den omhandlede mobilapplikation, og at det nationale folkesundhedscenter rådgav selskabet om indholdet af de spørgsmål, der skulle stilles gennem applikationen. Der er imidlertid ikke indgået nogen offentlig kontrakt mellem det nationale folkesundhedscenter og ITSS. Desuden har folkesundhedscentret hverken givet samtykke til eller godkendt, at applikationen blev gjort tilgængelig via forskellige onlinebutikker.

24

Den forelæggende ret har præciseret, at udviklingen af den omhandlede mobilapplikation tog sigte på at opfylde det formål, som det nationale folkesundhedscenter havde fastsat, nemlig at håndtere covid-19-pandemien ved at udvikle et IT-værktøj, og at det var planlagt at behandle personoplysninger med henblik herpå. Hvad angår ITSS’ rolle var det ikke meningen, at dette selskab skulle forfølge andre formål end at oppebære et vederlag for det udviklede IT-produkt.

25

Den forelæggende ret har ligeledes anført, at det i forbindelse med det nationale datatilsyns undersøgelse blev konstateret, at det litauiske selskab Juvare Lithuania, der forvalter IT-systemet til overvågning af og kontrol med smitsomme sygdomme, der medfører en risiko for spredning, skulle modtage kopier af de personoplysninger, der blev indsamlet ved hjælp af den omhandlede mobilapplikation. Desuden blev der ved testningen af denne anvendt fiktive data, bortset fra telefonnumrene på dette selskabs ansatte.

26

På denne baggrund har Vilniaus apygardos administracinis teismas (den regionale domstol i forvaltningsretlige sager i Vilnius) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

27

Med det første til det tredje spørgsmål, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 4, nr. 7), skal fortolkes således, at en enhed, som har givet en virksomhed til opgave at udvikle en IT-mobilapplikation, kan anses for at være dataansvarlig som omhandlet i denne bestemmelse, selv om denne enhed ikke selv har udført aktiviteter til behandling af personoplysninger, ikke udtrykkeligt har givet samtykke til gennemførelsen af de konkrete aktiviteter i forbindelse med en sådan behandling eller til overladelsen af denne mobilapplikation til offentligheden og ikke har erhvervet applikationen.

28

I databeskyttelsesforordningens artikel 4, nr. 7), defineres begrebet »dataansvarlig« bredt som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre »afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling« af personoplysninger.

29

Formålet med denne brede definition er – i overensstemmelse med databeskyttelsesforordningens formål – at sikre en effektiv beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder samt bl.a. at sikre et højt beskyttelsesniveau for enhver persons ret til beskyttelse af personoplysninger vedrørende vedkommende (jf. i denne retning dom af 29.7.2019, Fashion ID, C-40/17, EU:C:2019:629, præmis 66, og af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 73 og den deri nævnte retspraksis).

30

Domstolen har allerede fastslået, at enhver fysisk eller juridisk person, der til eget formål udøver indflydelse på behandlingen af sådanne oplysninger og grundet den omstændighed deltager i fastlæggelsen af formålene med og hjælpemidlerne til denne behandling, kan anses for dataansvarlig. I denne henseende er det ikke nødvendigt, at formålet med og de anvendte hjælpemidler ved behandlingen er fastsat ved skriftlige retningslinjer eller anvisninger fra den dataansvarlige (jf. i denne retning dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 67 og 68), eller at den pågældende er formelt udpeget som dataansvarlig.

31

Med henblik på at fastslå, om en enhed som det nationale folkesundhedscenter kan anses for at være dataansvarlig som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), skal det derfor undersøges, om denne enhed til eget formål rent faktisk har udøvet indflydelse på fastlæggelsen af formålene med og hjælpemidlerne til denne behandling.

32

Med forbehold for den efterprøvelse, som det tilkommer den forelæggende ret at foretage, fremgår det i det foreliggende tilfælde af de sagsakter, som Domstolen råder over, at udviklingen af den omhandlede mobilapplikation blev bestilt af det nationale folkesundhedscenter og tog sigte på at opfylde det formål, som dette havde fastsat, nemlig at håndtere covid-19-pandemien ved hjælp af et IT-værktøj med henblik på registrering og overvågning af oplysninger om personer, der var udsat for covid-19-virusset. Det nationale folkesundhedscenter havde med henblik herpå forudset, at personoplysninger tilhørende brugerne af den omhandlede mobilapplikation ville blive behandlet. Det fremgår desuden af forelæggelsesafgørelsen, at parametrene for denne applikation, såsom de spørgsmål, der skulle stilles, og formuleringen heraf, blev tilpasset det nationale folkesundhedscenters behov, og at dette spillede en aktiv rolle ved fastlæggelsen heraf.

33

Under disse omstændigheder må det principielt lægges til grund, at det nationale folkesundhedscenter faktisk deltog i fastlæggelsen af formålene med og hjælpemidlerne til behandlingen.

34

Derimod kan den blotte omstændighed, at det nationale folkesundhedscenter blev nævnt som dataansvarlig i den omhandlede mobilapplikations politik for beskyttelse af privatlivets fred, og at applikationen indeholdt links til denne enhed, alene anses for relevant, for så vidt som det godtgøres, at folkesundhedscentret udtrykkeligt eller stiltiende havde samtykket til at blive nævnt eller til disse links.

35

Desuden udelukker de omstændigheder, som den forelæggende ret har nævnt i forbindelse med de betragtninger, der ligger til grund for dens tre første præjudicielle spørgsmål – nemlig at det nationale folkesundhedscenter ikke selv behandlede personoplysninger, at der ikke var indgået nogen kontrakt mellem dette og ITSS, at folkesundhedscentret ikke erhvervede den omhandlede mobilapplikation, og at udbredelsen af denne applikation gennem onlinebutikker ikke blev godkendt af centret – ikke, at centret kan kvalificeres som »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7).

36

Det fremgår nemlig af denne bestemmelse, sammenholdt med 74. betragtning til databeskyttelsesforordningen, at en enhed, når den opfylder betingelsen i artikel 4, nr. 7), er ansvarlig ikke blot for enhver behandling af personoplysninger, der foretages af enheden selv, men også for behandling, der foretages på dens vegne.

37

I denne henseende skal det dog præciseres, at det nationale folkesundhedscenter ikke kan anses for at være ansvarligt for den behandling af personoplysninger, der følger af, at den omhandlede mobilapplikation blev overladt til offentligheden, hvis folkesundhedscentret før overladelsen udtrykkeligt gjorde indsigelse mod denne, hvilket det tilkommer den forelæggende ret at efterprøve. I så fald kan den omhandlede behandling nemlig ikke anses for at være foretaget på det nationale folkesundhedscenters vegne.

38

Henset til ovenstående betragtninger skal det første til det tredje spørgsmål besvares med, at databeskyttelsesforordningens artikel 4, nr. 7), skal fortolkes således, at en enhed, der har givet en virksomhed til opgave at udvikle en IT-mobilapplikation, og som i denne forbindelse har deltaget i fastlæggelsen af formålene med og hjælpemidlerne til den behandling af personoplysninger, der foretages ved hjælp af denne applikation, kan anses for at være dataansvarlig som omhandlet i denne bestemmelse, selv om denne enhed ikke selv har foretaget behandling af oplysningerne, ikke udtrykkeligt har givet samtykke til gennemførelsen af de konkrete aktiviteter i forbindelse med en sådan behandling eller til overladelsen af denne mobilapplikation til offentligheden og ikke har erhvervet mobilapplikationen, medmindre enheden før denne overladelse til offentligheden udtrykkeligt har gjort indsigelse mod denne og mod den behandling af personoplysninger, der er fulgt heraf.

39

Med det femte spørgsmål, der skal behandles hernæst, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, skal fortolkes således, at kvalificering af to enheder som fælles dataansvarlige forudsætter, at der foreligger en ordning mellem disse enheder om fastlæggelse af formålene med og hjælpemidlerne til behandlingen af de omhandlede personoplysninger, eller at der foreligger en ordning, der fastlægger de vilkår, der regulerer det fælles dataansvar.

40

I henhold til databeskyttelsesforordningens artikel 26, stk. 1, er der »fælles dataansvarlige«, hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.

41

Som Domstolen har fastslået, skal en fysisk eller juridisk person for at kunne anses for at være fælles dataansvarlig derfor selvstændigt leve op til den definition af »dataansvarlig«, der er fastsat i databeskyttelsesforordningens artikel 4, nr. 7) (jf. i denne retning dom af 29.7.2019, Fashion ID, C-40/17, EU:C:2019:629, præmis 74).

42

Tilstedeværelsen af et fælles ansvar indebærer imidlertid ikke nødvendigvis, at de forskellige operatører, som er omfattet af en behandling af personoplysninger, har samme ansvar. De forskellige operatører kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen (dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 43). I øvrigt forudsætter et fælles ansvar for flere aktører for den samme behandling ikke, at hver af disse har adgang til de omhandlede personoplysninger (dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 69 og den deri nævnte retspraksis).

43

Som generaladvokaten har anført i punkt 38 i forslaget til afgørelse, kan deltagelse i fastlæggelsen af formålene med og hjælpemidlerne til behandling antage forskellige former, idet den kan følge af såvel en fælles beslutning truffet af to eller flere enheder som af sådanne enheders konvergerende beslutninger. I sidstnævnte tilfælde skal disse beslutninger imidlertid supplere hinanden på en sådan måde, at de har en mærkbar indvirkning på fastlæggelsen af formålene med og hjælpemidlerne til behandling.

44

Det kan derimod ikke kræves, at der foreligger en formel ordning mellem disse dataansvarlige om formålene med og hjælpemidlerne til behandling.

45

I henhold til databeskyttelsesforordningens artikel 26, stk. 1, sammenholdt med 79. betragtning hertil, skal de fælles dataansvarlige ganske vist ved hjælp af en ordning mellem dem på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til forordningen. En sådan ordning er imidlertid ikke en forudsætning for, at to eller flere enheder kan kvalificeres som fælles dataansvarlige, men en forpligtelse, som artikel 26, stk. 1, pålægger de fælles dataansvarlige, når de først er blevet kvalificeret som sådanne, med henblik på at sikre overholdelsen af de krav i databeskyttelsesforordningen, der påhviler dem. Kvalificeringen som fælles dataansvarlig følger således af den omstændighed alene, at flere enheder har deltaget i fastlæggelsen af formålene med og hjælpemidlerne til behandling.

46

Henset til ovenstående betragtninger skal det femte spørgsmål besvares med, at databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, skal fortolkes således, at kvalificering af to enheder som fælles dataansvarlige hverken forudsætter, at der foreligger en ordning mellem disse enheder om fastlæggelse af formålene med og hjælpemidlerne til behandling af de omhandlede personoplysninger, eller at der foreligger en ordning, der fastlægger de vilkår, der regulerer det fælles dataansvar.

47

Med det fjerde spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 4, nr. 2), skal fortolkes således, at brug af personoplysninger til IT-testning af en mobilapplikation udgør en »behandling« som omhandlet i denne bestemmelse.

48

I det foreliggende tilfælde skulle det litauiske selskab, der forvalter IT-systemet til overvågning af og kontrol med smitsomme sygdomme, der medfører en risiko for spredning, således som det fremgår af denne doms præmis 25, modtage kopier af de personoplysninger, der blev indsamlet ved hjælp af den omhandlede mobilapplikation. Med henblik på IT-testning blev der anvendt fiktive data bortset fra telefonnumrene på dette selskabs ansatte.

49

I denne henseende definerer databeskyttelsesforordningens artikel 4, nr. 2), for det første begrebet »behandling« som »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for«. I en ikke-udtømmende opregning, der indledes med udtrykket »f.eks.«, nævnes i denne bestemmelse som eksempler på behandling indsamling, overladelse og brug af personoplysninger.

50

Det fremgår således af denne bestemmelses ordlyd, navnlig af udtrykket »enhver aktivitet«, at EU-lovgiver har haft til hensigt at give begrebet »behandling« en vid rækkevidde (jf. i denne retning dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 35), og at grundene til, at en aktivitet eller række af aktiviteter gennemføres, ikke kan tages i betragtning ved afgørelsen af, om denne aktivitet eller række af aktiviteter udgør en »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2).

51

Spørgsmålet om, hvorvidt personoplysninger bruges til IT-testning eller til et andet formål, er derfor uden betydning for kvalificeringen af den omhandlede aktivitet som »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2).

52

For det andet skal det ikke desto mindre præciseres, at alene behandling, der vedrører »personoplysninger«, udgør en »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2).

53

I databeskyttelsesforordningens artikel 4, nr. 1), er det i denne henseende præciseret, at der ved »personoplysninger« forstås »enhver form for information om en identificeret eller identificerbar fysisk person«, dvs. »en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

54

Den omstændighed, som den forelæggende ret har henvist til i sit fjerde spørgsmål, nemlig at der er tale om »kopier af personoplysninger«, kan imidlertid ikke som sådan forhindre, at disse kopier kvalificeres som personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), forudsat at kopierne faktisk indeholder oplysninger, der vedrører en identificeret eller identificerbar fysisk person.

55

Det skal imidlertid fastslås, at fiktive oplysninger, eftersom de ikke vedrører en identificeret eller identificerbar fysisk person, men en person, som reelt ikke eksisterer, ikke udgør personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1).

56

Det samme gælder for oplysninger, der anvendes til IT-testning, og som er anonyme eller anonymiserede.

57

Det følger nemlig af 26. betragtning til databeskyttelsesforordningen og af selve definitionen af begrebet »personoplysninger« i forordningens artikel 4, nr. 1), at dette begreb hverken omfatter »anonyme oplysninger, dvs. oplysninger, der ikke vedrører en identificeret eller identificerbar fysisk person«, eller »personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres«.

58

Derimod følger det af databeskyttelsesforordningens artikel 4, nr. 5), sammenholdt med 26. betragtning hertil, at personoplysninger, der alene har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person, for hvilke databeskyttelsesprincipperne gælder.

59

Henset til ovenstående betragtninger skal det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 4, nr. 2), skal fortolkes således, at brug af personoplysninger til IT-testning af en mobilapplikation udgør en »behandling« som omhandlet i denne bestemmelse, medmindre oplysningerne er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres, eller der er tale om fiktive oplysninger, som ikke vedrører en eksisterende fysisk person.

60

Med det sjette spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 83 skal fortolkes således dels, at en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6, dels at en sådan bøde kan pålægges en dataansvarlig med hensyn til behandlingsaktiviteter, der er gennemført af en databehandler på den dataansvarliges vegne.

61

Hvad for det første angår spørgsmålet om, hvorvidt en administrativ bøde kun kan pålægges i henhold til databeskyttelsesforordningens artikel 83, for så vidt som det godtgøres, at den dataansvarlige eller databehandleren forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i artikel 83, stk. 4-6, fremgår det af denne artikels stk. 1, at administrative bøder skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Derimod er det ikke udtrykkeligt angivet i databeskyttelsesforordningens artikel 83, at en sådan overtrædelse kun kan straffes med en administrativ bøde, hvis den er begået forsætligt eller i det mindste uagtsomt.

62

Den litauiske regering og Rådet for Den Europæiske Union har heraf udledt, at EU-lovgiver har haft til hensigt at overlade medlemsstaterne en vis skønsmargen ved gennemførelsen af databeskyttelsesforordningens artikel 83, der gør det muligt for dem at fastsætte, at der kan pålægges administrative bøder i henhold til denne bestemmelse, efter omstændighederne uden at det er godtgjort, at den overtrædelse af databeskyttelsesforordningen, der straffes med den pågældende bøde, er begået forsætligt eller uagtsomt.

63

En sådan fortolkning af databeskyttelsesforordningens artikel 83 kan ikke tiltrædes.

64

Det skal i denne henseende bemærkes, at artikel 288 TEUF indebærer, at forordningers bestemmelser i almindelighed har umiddelbar virkning i de nationale retsordener, uden at det er nødvendigt for de nationale myndigheder at træffe gennemførelsesforanstaltninger. Visse bestemmelser i forordninger kan ikke desto mindre for at kunne blive gennemført kræve vedtagelse af gennemførelsesforanstaltninger i medlemsstaterne (jf. i denne retning dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 58 og den deri nævnte retspraksis).

65

Dette er bl.a. tilfældet med hensyn til databeskyttelsesforordningen, hvori visse bestemmelser åbner mulighed for, at medlemsstaterne kan fastsætte supplerende nationale regler, der er strengere, eller undtagelsesbestemmelser, som overlader medlemsstaterne et skøn med hensyn til, hvorledes disse bestemmelser kan gennemføres (dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 57).

66

På samme måde tilkommer det i mangel af specifikke procedureregler i databeskyttelsesforordningen hver enkelt medlemsstat i sin retsorden at fastsætte reglerne for sager til sikring af beskyttelsen af borgernes rettigheder i henhold til denne forordnings bestemmelser, idet ækvivalensprincippet og effektivitetsprincippet skal overholdes (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 53 og 54 og den deri nævnte retspraksis).

67

Der er imidlertid intet i ordlyden af databeskyttelsesforordningens artikel 83, stk. 1-6, der gør det muligt at lægge til grund, at EU-lovgiver har haft til hensigt at overlade medlemsstaterne en skønsmargen med hensyn til de materielle betingelser, som en tilsynsmyndighed skal overholde, når den beslutter at pålægge en dataansvarlig en administrativ bøde for en overtrædelse som omhandlet i denne artikels stk. 4-6.

68

For det første fastsætter databeskyttelsesforordningens artikel 83, stk. 7, ganske vist, at hver medlemsstat kan fastsætte regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat. For det andet fremgår det af denne forordnings artikel 83, stk. 8, sammenholdt med 129. betragtning hertil, at tilsynsmyndighedens udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne proceduremæssige garantier i overensstemmelse med EU-retten og medlemsstaternes nationale ret, bl.a. effektive retsmidler og retfærdig procedure.

69

Imidlertid betyder det forhold, at databeskyttelsesforordningen således giver medlemsstaterne mulighed for at fastsætte undtagelser for offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat, og krav vedrørende den procedure, som tilsynsmyndighederne skal følge ved pålæggelse af en administrativ bøde, på ingen måde, at medlemsstaterne – ud over sådanne undtagelser og krav af proceduremæssig karakter – også kan fastsætte materielle betingelser, der skal være overholdt, for at den dataansvarlige kan ifalde ansvar, og for at vedkommende kan pålægges en administrativ bøde i henhold til forordningens artikel 83. Desuden bekræfter det forhold, at EU-lovgiver har sørget for udtrykkeligt at fastsætte denne mulighed, men ikke en mulighed for at fastsætte sådanne materielle betingelser, at EU-lovgiver ikke har overladt medlemsstaterne en skønsmargen i denne henseende.

70

Denne konstatering understøttes ligeledes af en samlet læsning af databeskyttelsesforordningens artikel 83 og 84. Denne forordnings artikel 84, stk. 1, tillader nemlig, at medlemsstaterne bevarer kompetencen til at fastsætte regler om »andre sanktioner, der skal anvendes« i tilfælde af overtrædelser af denne forordning, »navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83«. Det følger således af en sådan samlet læsning af disse bestemmelser, at fastsættelse af de materielle betingelser for pålæggelse af sådanne administrative bøder ikke er omfattet af denne kompetence. Disse betingelser hører derfor udelukkende under EU-retten.

71

Hvad angår de nævnte betingelser bemærkes, at databeskyttelsesforordningens artikel 83, stk. 2, opregner de forhold, på baggrund af hvilke tilsynsmyndigheden pålægger den dataansvarlige en administrativ bøde. Blandt disse forhold nævnes i denne bestemmelses litra b), at der tages hensyn til, »hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt«. Derimod henvises der i ingen af de forhold, der er opregnet i den nævnte bestemmelse, til en eventuel mulighed for at drage den dataansvarlige til ansvar, hvis denne ikke har handlet culpøst.

72

Databeskyttelsesforordningens artikel 83, stk. 2, skal desuden sammenholdes med denne artikels stk. 3, der har til formål at fastsætte konsekvenserne af tilfælde af kumulerede overtrædelser af denne forordning, og som bestemmer, at »[h]vis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse«.

73

Det følger således af ordlyden af databeskyttelsesforordningens artikel 83, stk. 2, at det kun er overtrædelser af denne forordnings bestemmelser, der er begået culpøst af den dataansvarlige, dvs. overtrædelser begået forsætligt eller uagtsomt, der kan føre til, at denne pålægges en administrativ bøde i henhold til denne artikel.

74

Den almindelige opbygning af og formålet med databeskyttelsesforordningen understøtter denne fortolkning.

75

For det første har EU-lovgiver fastsat et sanktionssystem, der gør det muligt for tilsynsmyndighederne at pålægge de sanktioner, som efter omstændighederne i hvert enkelt tilfælde er de mest hensigtsmæssige.

76

Databeskyttelsesforordningens artikel 58, som fastsætter tilsynsmyndighedernes beføjelser, bestemmer nemlig i stk. 2, litra i), at tilsynsmyndighederne kan pålægge administrative bøder i henhold til denne forordnings artikel 83 »i tillæg til eller i stedet for« de andre korrigerende beføjelser, der er opregnet i artikel 58, stk. 2, såsom advarsler, udtalelse af kritik og påbud. På samme måde anføres det i 148. betragtning til forordningen bl.a., at tilsynsmyndighederne, når der er tale om en mindre overtrædelse, eller hvis den administrative bøde, der kunne blive pålagt, ville udgøre en uforholdsmæssig stor byrde for en fysisk person, kan afholde sig fra at pålægge en sådan bøde og i stedet udstede en irettesættelse.

77

For det andet fremgår det navnlig af 10. betragtning til databeskyttelsesforordningen, at bestemmelserne heri bl.a. har til formål at sikre et ensartet og højt niveau for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU og med henblik herpå at sikre en konsekvent og ensartet anvendelse af reglerne for beskyttelse af disse personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger overalt i EU. Desuden fremhæves det i 11. og 129. betragtning til databeskyttelsesforordningen, at det med henblik på at sikre en ensartet anvendelse af denne forordning er nødvendigt at sikre, at tilsynsmyndighederne har tilsvarende beføjelser til at føre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger, og at de kan pålægge tilsvarende sanktioner ved overtrædelser af forordningen.

78

Den omstændighed, at der findes en sanktionsordning, der – når de særlige omstændigheder i den enkelte sag begrunder det – gør det muligt at pålægge en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83, skaber et incitament for de dataansvarlige og databehandlerne til at overholde denne forordning. De administrative bøder bidrager på grund af deres afskrækkende virkning til at styrke beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger og udgør derfor et centralt element til at sikre overholdelsen af disse personers rettigheder i overensstemmelse med forordningens formål om at sikre et højt beskyttelsesniveau for sådanne personer i forbindelse med behandling af personoplysninger.

79

Med henblik på at sikre et sådant højt beskyttelsesniveau har EU-lovgiver imidlertid ikke fundet det nødvendigt at fastsætte pålæggelse af administrative bøder, når der ikke foreligger skyld. Henset til den omstændighed, at databeskyttelsesforordningen tager sigte på et beskyttelsesniveau, der både er tilsvarende og ensartet, og at den med henblik herpå skal anvendes på en ensartet måde i hele EU, ville det være i strid med dette formål at give medlemsstaterne mulighed for at fastsætte en sådan ordning for pålæggelse af en bøde i henhold til forordningens artikel 83. En sådan valgfrihed ville desuden kunne fordreje konkurrencen mellem de erhvervsdrivende i EU, hvilket ville være i strid med de formål, som EU-lovgiver har udtrykt i bl.a. 9. og 13. betragtning til forordningen.

80

Det skal følgelig fastslås, at databeskyttelsesforordningens artikel 83 ikke gør det muligt at pålægge en administrativ bøde for en overtrædelse som omhandlet i denne artikels stk. 4-6, uden at det er godtgjort, at denne overtrædelse er begået forsætligt eller uagtsomt af den dataansvarlige, og at det følgelig er en betingelse for pålæggelse af en sådan bøde, at der foreligger en culpøs overtrædelse.

81

I denne henseende skal det desuden med hensyn til spørgsmålet om, hvorvidt en overtrædelse er blevet begået forsætligt eller uagtsomt og derfor kan sanktioneres med en administrativ bøde i medfør af databeskyttelsesforordningens artikel 83, præciseres, at en dataansvarlig kan sanktioneres for en adfærd, der er omfattet af denne forordnings anvendelsesområde, når den pågældende ikke kunne være udvidende om, at vedkommendes adfærd udgjorde en overtrædelse, uanset om denne dataansvarlige måtte være klar over, at vedkommende hermed overtrådte databeskyttelsesforordningens bestemmelser (jf. analogt dom af 18.6.2013, Schenker & Co. m.fl., C-681/11, EU:C:2013:404, præmis 37 og den deri nævnte retspraksis, og domme af 25.3.2021, Lundbeck mod Kommissionen, C-591/16 P, EU:C:2021:243, præmis 156, og Arrow Group og Arrow Generics mod Kommissionen, C-601/16 P, EU:C:2021:244, præmis 97).

82

Det skal endvidere præciseres, at hvis den dataansvarlige er en juridisk person, er det ikke en betingelse for at anvende databeskyttelsesforordningens artikel 83, at der foreligger en handling begået af den juridiske persons ledelsesorgan, end ikke at dette har kendskab til en sådan handling (jf. analogt dom af 7.6.1983, Musique Diffusion française m.fl. mod Kommissionen,100/80-103/80, EU:C:1983:158, præmis 97, og af 16.2.2017, Tudapetrol Mineralölerzeugnisse Nils Hansen mod Kommissionen, C-94/15 P, EU:C:2017:124, præmis 28 og den deri nævnte retspraksis).

83

Hvad for det andet angår spørgsmålet om, hvorvidt en dataansvarlig kan pålægges en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83 for behandlingsaktiviteter, der er gennemført af en databehandler, skal det bemærkes, at ifølge definitionen i databeskyttelsesforordningens artikel 4, nr. 8), er en databehandler »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne«.

84

Eftersom en dataansvarlig, således som det er blevet anført i denne doms præmis 36, er ansvarlig ikke blot for enhver behandling af personoplysninger, der foretages af den dataansvarlige selv, men også for behandling, der foretages på vedkommendes vegne, kan denne dataansvarlige pålægges en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83 i en situation, hvor der er foretaget en ulovlig behandling af personoplysninger, og hvor det ikke er den dataansvarlige, men en databehandler, som den dataansvarlige har benyttet, der har foretaget denne behandling på den dataansvarliges vegne.

85

Den dataansvarliges ansvar for en databehandlers adfærd kan imidlertid ikke udvides til at omfatte situationer, hvor databehandleren har behandlet personoplysninger til egne formål, eller hvor databehandleren har behandlet dem på en måde, der er uforenelig med rammerne eller de nærmere regler for behandlingen, således som fastsat af den dataansvarlige, eller på en sådan måde, at det ikke med rimelighed kan antages, at den dataansvarlige har givet sit samtykke hertil. I overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 10, skal databehandleren nemlig i et sådant tilfælde anses for at være dataansvarlig for så vidt angår en sådan behandling.

86

Henset til ovenstående betragtninger skal det sjette spørgsmål besvares med, at databeskyttelsesforordningens artikel 83 skal fortolkes således dels, at en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6, dels at en sådan bøde kan pålægges en dataansvarlig med hensyn til aktiviteter til behandling af personoplysninger, der er gennemført af en databehandler på den dataansvarliges vegne, medmindre databehandleren i forbindelse med disse aktiviteter har behandlet oplysningerne til egne formål eller har behandlet dem på en måde, der er uforenelig med rammerne eller de nærmere regler for behandlingen, således som fastsat af den dataansvarlige, eller på en sådan måde, at det ikke med rimelighed kan antages, at den dataansvarlige har givet sit samtykke hertil.

87

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret: