РЕШЕНИЕ НА СЪДА (голям състав)

5 декември 2023 година ( *1 )

„Преюдициално запитване — Защита на личните данни — Регламент (ЕС) 2016/679 — Член 4, точки 2 и 7 — Понятията „обработване“ и „администратор“ — Разработване на мобилно информационно приложение — Член 26 — Съвместно администриране — Член 83 — Налагане на административно наказание „глоба“ или „имуществена санкция — Условия — Изискване нарушението да е извършено умишлено или по небрежност — Отговорност на администратор за обработване на лични данни, извършено от обработващ лични данни“

По дело C‑683/21

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Vilniaus apygardos administracinis teismas (Окръжен административен съд Вилнюс, Литва) с акт от 22 октомври 2021 г., постъпил в Съда на 12 ноември 2021 г., в рамките на производство по дело

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

срещу

Valstybinė duomenų apsaugos inspekcija,

при участието на:

UAB „IT sprendidiмай sėkmei“,

Lietuvos Respublikos sveikatos apsaugos ministerija

СЪДЪТ (голям състав),

състоящ се от: K. Lenaerts, председател, L. Bay Larsen, заместник-председател, Ал. Арабаджиев, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, O. Spineanu‑Matei, председатели на състави, M. Ilešič, J.‑C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (докладчик), N. Wahl и M. Gavalec, съдии,

генерален адвокат: N. Emiliou,

секретар: C. Strömholm, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 17 януари 2023 г.,

като има предвид становищата, представени:

– за Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, от G. Aleksienė,

– за Valstybinė duomenų apsaugos inspekcija, от R. Andrijauskas,

– за литовското правителство, от V. Kazlauskaitė-Švenčionienė, в качеството на представител,

– за нидерландското правителство, от C. S. Schillemans, в качеството на представител,

– за Съвета на Европейския съюз, от R. Liudvinavičiūtė и K. Pleśniak, в качеството на представители,

– за Европейската комисия, от A. Bouchagiar, H. Kranenborg и A. Steiblytė, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 4 май 2023 г.,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването на член 4, точки 2 и 7, член 26, параграф 1 и член 83, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2 Запитването е отправено в рамките на спор между Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Национален център по обществено здраве към Министерство на здравеопазването, Литва, наричан по-нататък „НЦОЗ“) и Valstybinė duomenų apsaugos inspekcija (Национален инспекторат за защита на данните, наричан по-нататък „НИЗД“) относно решение, с което последният налага на НЦОЗ административно наказание „имуществена санкция“ на основание член 83 от ОРЗД за нарушение на членове 5, 13, 24, 32 и 35 от този регламент.

Правна уредба

Правото на Съюза

3 Съображения 9, 10, 11, 13, 26, 74, 79, 129 и 148 от ОРЗД гласят:

„(9)

[…] Разликите в осигуреното в държавите членки ниво на защита на правата и свободите на физическите лица, по-специално на правото на защита на личните данни, във връзка с обработването на лични данни в държавите членки, могат да възпрепятстват свободното движение на лични данни в рамките на [Европейския съюз]. Поради това тези разлики може да представляват препятствие за осъществяването на икономически дейности на равнището на Съюза, да нарушават конкуренцията и да възпрепятстват органите при изпълнението на техните отговорности съгласно правото на Съюза. […]

(10)

За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […]

(11)

Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, както и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни и еквивалентни санкции за нарушенията в държавите членки.

[…] (13)

За да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на лични данни в рамките на вътрешния пазар, е необходим регламент, който да осигурява правна сигурност и прозрачност за икономическите оператори, включително за микропредприятията и малките и средните предприятия, и да предоставя на физическите лица във всички държави членки еднакви по степен законно приложими права и задължения и отговорности за администраторите и обработващите лични данни, както и да осигури последователно наблюдение на обработването на лични данни, еквивалентни санкции във всички държави членки и ефективно сътрудничество между надзорните органи на различните държави членки. […]

[…] (26)

Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. Личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. […] Поради това принципите на защита на данните не следва да се прилагат по отношение на анонимна информация, т.е. информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран. Ето защо настоящият регламент не се отнася за обработването на такава анонимна информация, включително за статистически или изследователски цели.

[…] (74)

Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално, администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица.

[…] (79)

Защитата на правата и свободите на субектите на данни, както и отговорността и задълженията на администраторите и обработващите лични данни […] изискват ясно определяне на отговорностите съгласно настоящия регламент, включително когато администраторът определя целите и средствата на обработването съвместно с други администратори или когато дадена операция по обработване се извършва от името на даден администратор.

[…] (129)

За да се гарантира последователно наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задачи и ефективни правомощия във всяка държава членка, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции […] Надзорните органи следва да упражняват правомощията си в съответствие с подходящите процедурни гаранции, определени в правото на Съюза и правото на държава членка, независимо, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е конкретна мярка, която би го засегнала неблагоприятно, и се избягват излишни разходи и прекалени неудобства за засегнатите лица. Правомощията за разследване по отношение на достъпа до помещения следва да се упражняват в съответствие със специфичните изисквания на процесуалното право на държавите членки, като например изискването за получаване на предварително съдебно разрешение. Всяка мярка със задължителен характер на надзорен орган следва да бъде в писмен вид, да бъде ясна и недвусмислена, да посочва надзорния орган, който е издал мярката, датата на издаване на мярката, да е подписана от ръководителя или член на надзорния орган, упълномощен от него, да посочва основанията за мярката и да се позовава на правото на ефективни правни средства за защита. Това не следва да възпрепятства поставянето на допълнителни изисквания съгласно процесуалното право на държавите членки. Приемането на такова решение със задължителен характер предполага, че то може да подлежи на съдебен контрол в държавата членка на надзорния орган, приел решението.

[…] (148)

За да се укрепи прилагането на правилата на настоящия регламент, освен или вместо подходящи мерки, наложени от надзорния орган съгласно настоящия регламент, при нарушение на регламента следва да се налагат санкции, включително административни наказания „глоба“ или „имуществена санкция“. При леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание. Следва обаче да се отдаде надлежно внимание на естеството, тежестта и продължителността на нарушението, умишления характер на нарушението, действията за смекчаване на последиците от претърпените вреди, степента на отговорност или евентуални предишни нарушения от подобен характер, начина, по който нарушението е станало известно на надзорния орган, спазването на мерките, наложени на администратора или на обработващия лични данни, придържането към кодекс на поведение и всякакви други утежняващи или смекчаващи фактори. Налагането на санкции, включително административни наказания „глоба“ или „имуществена санкция“, следва да подлежи на подходящи процедурни мерки за защита в съответствие с общите принципи на правото на Съюза и Хартата, включително ефективна съдебна защита и справедлив съдебен процес“.

4 Съгласно член 4 от този регламент:

„За целите на настоящия регламент:

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…] 5) „псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

[…] 7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

8) „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

[…]“.

5 Член 26 от посочения регламент е озаглавен „Съвместни администратори“ и в параграф 1 предвижда:

„Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по настоящия регламент, по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информацията, посочена в членове 13 и 14, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо администраторите. В договореността може да се посочи точка за контакт за субектите на данни“.

6 Член 28 от същия регламент е озаглавен „Обработващ личните данни“ и в параграф 10 предвижда:

„Без да се засягат членове 82, 83 и 84, ако обработващ лични данни наруши настоящия регламент, определяйки целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване“.

7 Член 58 от ОРЗД е озаглавен „Правомощия“ и в параграф 2 предвижда:

„Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

а) да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;

б) да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;

[…] г) да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;

[…] е) да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;

[…] и) да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;

[…]“.

8 Член 83 от този регламент е озаглавен „Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“ и гласи:

„1.Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.

2.В зависимост от обстоятелствата във всеки конкретен случай административните наказания „глоба“ или „имуществена санкция“ се налагат в допълнение към мерките, посочени в член 58, параграф 2, букви а)—з) и й), или вместо тях. Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

а) естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б) дали нарушението е извършено умишлено или по небрежност;

в) действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;

г) степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с членове 25 и 32;

д) евентуални свързани предишни нарушения, извършени от администратора или обработващия лични данни;

е) степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;

ж) категориите лични данни, засегнати от нарушението;

з) начина, по който нарушението е станало известно на надзорния орган, по-специално дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението;

и) когато на засегнатия администратор или обработващ лични данни преди са налагани мерки, посочени в член 58, параграф 2, във връзка със същия предмет на обработването, дали посочените мерки са спазени;

й) придържането към одобрени кодекси на поведение съгласно член 40 или одобрени механизми за сертифициране съгласно член 42; и

к) всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.

3.Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

4.Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 10000000 [евро] или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

а) задълженията на администратора и обработващия лични данни съгласно членове 8, 11, 25—39 и 42 и 43;

[…] 5.Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20000000 [евро] или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

а) основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9;

б) правата на субектите на данни съгласно членове 12—22;

[…] г) всички задължения, произтичащи от правото на държавите членки, приети съгласно глава IX;

[…] 6.Неспазването на разпореждане на надзорния орган, както е посочено в член 58, параграф 2, подлежи, в съответствие с параграф 2 от настоящия член, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20000000 [евро] или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

7.Без да се засягат корективните правомощия на надзорните органи съгласно член 58, параграф 2, всяка държава членка може да определя правила за това дали и до каква степен могат да бъдат налагани административни наказания „глоба“ или „имуществена санкция“ на публични органи и структури, установени в тази държава членка.

8.Упражняването от надзорния орган на правомощията му по настоящия член зависи от съответните процедурни гаранции в съответствие с правото на Съюза и правото на държавата членка, включително ефективна съдебна защита и справедлив съдебен процес.

[…]“.

9 Член 84 от посочения регламент е озаглавен „Санкции“ и в параграф 1 предвижда:

„Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи“.

Литовското право

10 В член 29, параграф 3 от Viešαjų pirkimų įstatymas (Закон за обществените поръчки) се посочват някои обстоятелства, при които възлагащият орган има правото или задължението да оттегли откритите по негова инициатива процедури за възлагане на обществени поръчки или конкурси по всяко време преди сключването на договора (или на предварителния договор) или избора на изпълнител.

11 Член 72, параграф 2 от Закона за обществените поръчки предвижда етапите на преговорите, които възлагащият орган провежда в рамките на процедура на договаряне без предварително обявление.

Спорът в главното производство и преюдициалните въпроси

12 В контекста на пандемията, причинена от вируса COVID‑19, с първо решение от 24 март 2020 г. Lietuvos Respublikos sveikatos apsaugos ministras (министър на здравеопазването на Република Литва) възлага на директора на НЦОЗ спешно да организира придобиване на информационна система за записване и наблюдение на данни на изложени на този вирус лица с цел епидемиологично наблюдение.

13 С електронно писмо от 27 март 2020 г. лице, което твърди, че е представител на НЦОЗ (наричано по-нататък „A.S.“), уведомява дружеството UAB „IT sprendimai sėkmei“ (наричано по-нататък „дружеството ITSS“), че НЦОЗ го е избрало за разработчик на мобилно приложение със споменатата цел. Впоследствие A.S. изпраща редица електронни писма, свързани с различни аспекти на разработването на приложението, до дружеството ITSS с копие до директора на НЦОЗ.

14 По време на преговорите между дружеството ITSS и НЦОЗ, освен A.S., други служители на НЦОЗ също изпращат до това дружество електронни писма, свързани с формулирането на въпросите, които да се задават в мобилното приложение.

15 При разработването на мобилното приложение е приета политика за защита на правото на неприкосновеност на личния живот, в която за администратори са определени дружеството ITSS и НЦОЗ.

16 Разглежданото мобилно приложение, в което са упоменати дружеството ITSS и НЦОЗ, става достъпно за изтегляне в Google Play Store на 4 април 2020 г., а в Apple App store — на 6 април 2020 г. То работи до 26 май 2020 г.

17 В периода от 4 април 2020 г. до 26 май 2020 г.3802 лица използват това приложение и въвеждат в него исканите данни, сред които по-специално идентификационен номер, географски координати (ширина и дължина), страна, град, община, пощенски код, име на улица, номер на имота, фамилно име, собственото име, личен код, телефонен номер и адрес.

18 С второ решение от 10 април 2020 г. министърът на здравеопазването на Република Литва възлага на директора на НЦОЗ да организира придобиването на разглежданото мобилно приложение от дружеството ITSS, като за целта приложи член 72, параграф 2 от Закона за обществените поръчки. На това дружество обаче не е възложена никаква обществена поръчка за официално придобиване на приложението от НЦОЗ.

19 Всъщност на 15 май 2020 г. НЦОЗ иска от това дружество да не го упоменава по никакъв начин в разглежданото мобилно приложение. Освен това с писмо от 4 юни 2020 г. НЦОЗ уведомява това дружество, че поради липса на финансиране прекратява процедурата за придобиване на приложението на основание член 29, параграф 3 от Закона за обществените поръчки.

20 На 18 май 2020 г. НИЗД започва проверка относно обработването на лични данни, при която се установява, че с разглежданото мобилно приложение са събирани лични данни. Констатира се също и че потребителите, които са избрали приложението като метод за наблюдение на наложената поради пандемията от COVID‑19 задължителна изолация, са отговорили на въпроси, предполагащи обработването на лични данни. Тези данни са предоставени в отговорите на въпросите в приложението и се отнасят по-специално до здравословното състояние на съответното лице и до спазването от негова страна на условията на изолация.

21 С решение от 24 февруари 2021 г. НИЗД налага на НЦОЗ административно наказание „имуществена санкция“ в размер на 12000 евро на основание член 83 от ОРЗД за нарушение на членове 5, 13, 24, 32 и 35 от този регламент. Със същото решение той налага административно наказание „имуществена санкция“ в размер на 3000 евро на дружеството ITSS в качеството му на съвместен администратор.

22 НЦОЗ обжалва това решение пред запитващата юрисдикция — Vilniaus apygardos administracinis teismas (Окръжен административен съд Вилнюс, Литва), като твърди, че администратор по смисъла на член 4, точка 7 от ОРЗД е само дружеството ITSS. Дружеството ITSS обаче счита, че е действало от името на НЦОЗ като обработващ лични данни по смисъла на член 4, точка 8 от ОРЗД и че само НЦОЗ е администратор.

23 Запитващата юрисдикция отбелязва, че разглежданото мобилно приложение е разработено от дружеството ITSS, а НЦОЗ му е давал препоръки за съдържанието на поставяните с това приложение въпроси. НЦОЗ и дружеството ITSS обаче нямат сключен договор за възлагане на обществена поръчка. Освен това НЦОЗ не е давал съгласие или разрешение за пускането на това приложение в различните онлайн магазини.

24 Запитващата юрисдикция уточнява, че разглежданото мобилно приложение е разработено, за да изпълни поставена от НЦОЗ цел, а именно управление на пандемията от COVID‑19 чрез ИТ инструмент, и че това предполага обработване на лични данни. Що се отнася до ролята на дружеството ITSS, то е искало само да получи възнаграждение за създадения информационен продукт.

25 Запитващата юрисдикция отбелязва също, че съгласно установеното при проверката на НИЗД литовското дружество Juvare Lithuania, което управлява информационна система за наблюдение и контрол на заразните болести, носещи риск от разпространение, е трябвало да получава копие от събираните с мобилното приложение лични данни. Освен това за изпитването на приложението са били използвани данни, които, като се изключат телефонните номера на служителите на споменатото дружество, са били фиктивни.

26 При тези обстоятелства Vilniaus apygardos administracinis teismas (Окръжен административен съд Вилнюс) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1) Може ли понятието „администратор“ по член 4, точка 7 от ОРЗД да се тълкува в смисъл, че за администратор трябва да се счита и лице, което възнамерява да придобие инструмент за събиране на данни (мобилно приложение) посредством обществена поръчка, независимо от това, че не е бил сключен договор за обществена поръчка и че не е била прехвърлена собствеността върху създадения продукт (мобилно приложение), за чието придобиване е била използвана процедура за възлагане на обществена поръчка?

2) Може ли понятието „администратор“ по член 4, точка 7 от ОРЗД да се тълкува в смисъл, че за администратор трябва да се счита и възлагащият орган, който не е придобил собствеността и владението върху създадения ИТ продукт, когато окончателната версия на създаденото приложение има хипервръзки или интерфейси към този публичноправен субект и/или [когато] политиката на поверителност, която не е официално одобрена или призната от въпросния публичноправен субект, определя същия като администратор?

3) Може ли понятието „администратор“ по член 4, точка 7 от ОРЗД да се тълкува в смисъл, че за администратор трябва да се счита и лицето, което не е извършило никакви реални операции по обработване на данни по смисъла на член 4, точка 2 от ОРЗД и/или което не е дало ясно разрешение/съгласие за извършването на такива операции? От значение ли е за тълкуването на понятието „администратор“ обстоятелството, че ИТ продуктът, използван за обработването на лични данни, е създаден в съответствие с дадено от възлагащия орган задание?

4) Ако наличието на реални операции по обработване на данни е от значение за тълкуването на понятието „администратор“, следва ли понятието „обработване“ на лични данни съгласно член 4, точка 2 от ОРЗД да се тълкува в смисъл, че обхваща и случаите, в които копия на лични данни са използвани за изпитването на ИТ системи в процеса на придобиването на мобилни приложения?

5) Може ли съвместното администриране на данни съгласно член 4, точка 7 и член 26, параграф 1 от ОРЗД да се тълкува в смисъл, че е налице само при умишлено съгласувани действия за определяне на целта и средствата на обработването на данни, или това понятие може да се тълкува и като обхващащо също и случаите, в които няма ясна „договореност“ по отношение на целта и средствата на обработването на данни и/или съгласувани действия между субектите? От правна гледна точка има ли значение за тълкуването на понятието „съвместно администриране на данни“ на кой етап от процеса на създаване на средството за обработване на лични данни (ИТ приложението) са обработени личните данни и с каква цел се създава приложението? Може ли под „договореност“ между съвместните администратори да се разбира единствено ясното и изрично определяне на условията за съвместното администриране на данни?

6) Трябва ли разпоредбата на член 83, параграф 1 от ОРЗД, съгласно която „административни[те] наказания „глоба“ или „имуществена санкция“ […] са ефективни, пропорционални и възпиращи“, да се тълкува в смисъл, че обхваща и хипотезата на отговорност на „администратора“, когато в процеса на създаване на ИТ продукт разработчикът извършва и действия по обработване на лични данни, и водят ли неправомерно извършените от обработващия лични данни действия по обработването им винаги автоматично до правна отговорност на администратора? Трябва ли тази разпоредба да се тълкува в смисъл, че обхваща и случаите на обективна отговорност на администратора?“.

По преюдициалните въпроси

По първия, втория и третия въпрос

27 С първия, втория и третия си въпрос, които следва да се разгледат заедно, запитващата юрисдикция иска по същество да се установи дали член 4, точка 7 от ОРЗД трябва да се тълкува в смисъл, че субект, възложил на предприятие да разработи мобилно информационно приложение, може да се счита за администратор по смисъла на тази разпоредба, въпреки че сам не е извършвал операции по обработване на лични данни, не е давал изрично съгласие за извършването на такива конкретни операции или за предоставяне на публичен достъп до това мобилно приложение и не е придобивал това приложение.

28 Член 4, точка 7 от ОРЗД определя широко понятието „администратор“ като физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други „определя целите и средствата за обработването“ на лични данни.

29 Целта на това широко определение е в съответствие с целта на ОРЗД да се осигури ефективна защита на основните права и свободи на физическите лица, и в частност да се гарнира високо равнище на защита на правото на всяко лице на защита на личните данни (вж. в този смисъл решения от 29 юли 2019 г., Fashion ID, C‑40/17, EU:C:2019:629, т. 66, и от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 73 и цитираната съдебна практика).

30 Съдът вече е постановил, че физическо или юридическо лице, което за собствени цели влияе върху обработването на лични данни и по този начин участва в определянето на целите и средствата за обработка на тези данни, може да се разглежда като администратор. В това отношение не е необходимо целите и средствата на обработката да се определят чрез писмени указания или нареждания от страна на администратора (вж. в този смисъл решение от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 67 и 68), нито това лице формално да е било посочено като такова.

31 Ето защо, за да се установи дали субект като НЦОЗ може да се счита за администратор по смисъла на член 4, точка 7 от ОРЗД, следва да се провери дали този субект действително е оказал за свои цели влияние върху определянето на целите и средствата на обработването на данните.

32 В случая, освен ако не се установи друго при проверките, които запитващата юрисдикция следва да извърши, от материалите по делото, с които разполага Съдът, става ясно, че НЦОЗ е възложил разработването на разглежданото мобилно приложение с определена от него цел, а именно за управление на пандемията от COVID‑19 посредством ИТ инструмент за записване и наблюдение на данни на изложени на вируса COVID‑19 лица. Поради това НЦОЗ е възнамерявал да обработва лични данни на потребителите на въпросното мобилно приложение. От акта за преюдициално запитване става ясно и че параметрите на приложението, като например задаваните въпроси и тяхната формулировка, са били адаптирани към нуждите на НЦОЗ, като последният е играл активна роля при определянето им.

33 При тези обстоятелства по принцип трябва да се приеме, че НЦОЗ действително е участвал при определянето на целите и средствата на обработването.

34 При все това обаче посочването на НЦОЗ като администратор в политиката за защита на правото на неприкосновеност на личния живот на разглежданото мобилно приложение и включването в това приложение на хипервръзки към НЦОЗ, биха могли да се считат за относими обстоятелства само ако се установи, че НЦОЗ изрично или имплицитно е дал съгласие за тях.

35 Освен това обстоятелствата, които запитващата юрисдикция посочва в изложението на съображенията си в подкрепа на първите три преюдициални въпроса, а именно че самият НЦОЗ не е обработвал лични данни, че НЦОЗ и дружеството ITSS нямат сключен договор, че НЦОЗ не е придобил разглежданото мобилно приложение и че не е давал разрешение за разпространението му чрез онлайн магазини, не изключват квалифицирането на НЦОЗ като администратор по смисъла на член 4, точка 7 от ОРЗД.

36 Всъщност от тази разпоредба, разглеждана във връзка със съображение 74 от ОРЗД, следва, че ако отговаря на условието по член 4, точка 7, съответният субект е администратор, независимо дали обработването на личните данни се извършва от самия него или от негово име.

37 В това отношение обаче е важно да се уточни, че НЦОЗ не може да се счита за администратор на лични данни поради предоставяне на публичен достъп до разглежданото мобилно приложение, ако преди това предоставяне изрично му се е противопоставил, като запитващата юрисдикция следва да провери дали това е така. Всъщност, ако това е така, не би могло да се приеме, че разглежданото обработване е извършено от името на НЦОЗ.

38 С оглед на изложените съображения на първия, втория и третия въпрос следва да се отговори, че член 4, точка 7 от ОРЗД трябва да се тълкува в смисъл, че субект, който е възложил на предприятие да разработи мобилно информационно приложение и в този контекст е участвал в определянето на целите и средствата за извършваното посредством това приложение обработване на лични данни, дори и самият той да не е извършвал операции по обработване на такива данни, да не е давал изрично съгласие за извършването на конкретни такива операции или за предоставянето на публичен достъп до мобилното приложение, както и да не е придобивал приложението, може да се счита за администратор по смисъла на тази разпоредба, освен ако преди предоставянето на публичния достъп до приложението изрично не се е противопоставил както на това предоставяне, така и на последвалото го обработване на лични данни.

По петия въпрос

39 С петия си въпрос, който следва да се разгледа на второ място, запитващата юрисдикция иска по същество да се установи дали член 4, точка 7 и член 26, параграф 1 от ОРЗД трябва да се тълкуват в смисъл, че за квалифицирането на два субекта като съвместни администратори се изисква да имат споразумение, което да определя целите и средствата на съответното обработване на лични данни, или споразумение, което да урежда условията за съвместната им отговорност за това обработване.

40 Член 26, параграф 1 от ОРЗД предвижда, че когато двама или повече администратори съвместно определят целите и средствата на обработването, те са „съвместни администратори“.

41 Както е постановил Съдът, за да може да се счита за съвместен администратор, дадено физическо или юридическо лице трябва само по себе си да отговаря на определението за „администратор“ по член 4, точка 7 от ОРЗД (вж. в този смисъл решение от 29 юли 2019 г., Fashion ID, C‑40/17, EU:C:2019:629, т. 74).

42 При все това обаче наличието на съвместна отговорност не се изразява непременно в равна отговорност на различните оператори, свързани с определено обработване на лични данни. Тъкмо обратното, тези оператори могат да участват на различни етапи от обработването и в различна степен, поради което размерът на отговорността на всеки от тях трябва да се преценява с оглед на всички релевантни обстоятелства по случая (решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 43). Освен това съвместната отговорност на няколко субекта за една и съща обработка не изисква всеки от тях да има достъп до съответните лични данни (решение от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 69 и цитираната съдебна практика).

43 Както отбелязва генералният адвокат в точка 38 от заключението си, участието в определянето на целите и средствата за обработването може да бъде в различни форми, като например може да е резултат от съвместно решение или на съвпадащи решения на два или повече субекта. В последния случай решенията трябва да са взаимно допълващи се и да са необходими за извършването на обработването по такъв начин, така че всяко едно от тях да има осезаемо въздействие върху определянето на целите и средствата за обработването.

44 Не би могло обаче се изисква между тези администратори да съществува формално споразумение относно целите и средствата за обработването.

45 Вярно е наистина, че съгласно член 26, параграф 1 във връзка със съображение 79 от ОРЗД съвместните администратори трябва чрез споразумение помежду си да определят по прозрачен начин съответните си задължения, за да гарантират спазването на изискванията на този регламент. Наличието на такова споразумение представлява обаче не предварително условие, за да могат два или повече субекта да бъдат квалифицирани като съвместни администратори, а задължение, което член 26, параграф 1 налага на съвместните администратори, след като бъдат квалифицирани като такива, за да се гарантира спазването на наложените им с ОРЗД изисквания. Квалифицирането се основава следователно само на факта, че при определянето на целите и средствата на обработването на данните са участвали няколко субекта.

46 С оглед на изложените съображения на петия въпрос следва да се отговори, че член 4, точка 7 и член 26, параграф 1 от ОРЗД трябва да се тълкуват в смисъл, че за квалифицирането на два субекта като съвместни администратори не се изисква нито да имат споразумение, което да определя целите и средствата на съответното обработване на лични данни, нито да имат споразумение, което да урежда условията за съвместната им отговорност за това обработване.

По четвъртия въпрос

47 С четвъртия си въпрос запитващата юрисдикция иска по същество да се установи дали член 4, точка 2 от ОРЗД трябва да се тълкува в смисъл, че използването на лични данни за изпитване на мобилно приложение представлява „обработване“ по смисъла на тази разпоредба.

48 В случая, както следва от точка 25 от настоящото решение, литовското дружество, управляващо информационна система за наблюдение и контрол на заразните болести, носещи риск от разпространение, е трябвало да получава копие от събираните с мобилното приложение лични данни. За целите на изпитването на приложението са били използвани данни, които, като се изключат телефонните номера на служителите на споменатото дружество, са били фиктивни.

49 В това отношение, на първо място, член 4, точка 2 от ОРЗД определя понятието „обработване“ като „всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства“. В неизчерпаем списък, въведен с израза „като“, тази разпоредба посочва като примери за обработване събирането, предоставянето на достъп и употребата на лични данни.

50 От текста на тази разпоредба, и по-специално от израза „всяка операция“ следва, че законодателят на Съюза е искал да придаде широк обхват на понятието „обработване“ (вж. в този смисъл решение от 24 февруари 2022 г., Valsts ieņēmumu dienests (Обработка на лични данни за данъчни цели),C‑175/20, EU:C:2022:124, т. 35) и че причините, поради които се извършва операция или съвкупност от операции, не могат да се вземат предвид, за да се определи дали тази операция или съвкупност от операции представлява „обработване“ по смисъла на член 4, точка 2 от ОРЗД.

51 Следователно въпросът дали личните данни се използват за изпитване на информационно приложение или за друга цел е без значение за квалифицирането на разглежданата операция като „обработване“ по смисъла на член 4, точка 2 от ОРЗД.

52 На второ място, важно е все пак да се уточни, че само обработването на „лични данни“ представлява „обработване“ по смисъла на член 4, точка 2 от ОРЗД.

53 В това отношение член 4, точка 1 от ОРЗД уточнява, че „лични данни“ означава „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“; тоест „физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“.

54 Посоченото от запитващата юрисдикция в четвъртия въпрос обстоятелство, че става въпрос за „копия на лични данни“, не би могло само по себе си да изключи квалифицирането на тези копия като лични данни по смисъла на член 4, точка 1 от ОРЗД, ако тези копия действително съдържат информация, свързана с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.

55 Следва обаче да се констатира, че тъй като се отнасят не до идентифицирано физическо лице или до физическо лице, което може да бъде идентифицирано, а до лице, което в действителност не съществува, фиктивните данни не представляват лични данни по смисъла на член 4, точка 1 от ОРЗД.

56 Същото се отнася и за данните, които се използват за целите на изпитване на информационно приложение и които са анонимни или анонимизирани.

57 Всъщност от съображение 26 от ОРЗД, както и от самото определение на понятието „лични данни“ в член 4, точка 1 от този регламент следва, че в обхвата на това понятие не попадат както „анонимна информация, т.е. информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице“, така и „лични данни, които са анонимизирани по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран“.

58 Видно обаче от член 4, точка 5 във връзка със съображение 26 от ОРЗД личните данни, които са били подложени на псевдонимизация и които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано, и по отношение на тях се прилагат принципите за защита на данните.

59 С оглед на изложените съображения на четвъртия въпрос следва да се отговори, че член 4, точка 2 от ОРЗД трябва да се тълкува в смисъл, че използването на лични данни за изпитване на мобилно информационно приложение представлява „обработване“ по смисъла на тази разпоредба, освен ако данните са анонимизирани по такъв начин, че субектът на данните не може или вече не може да бъде идентифициран, или ако данните са фиктивни и не се отнасят за съществуващо физическо лице.

По шестия въпрос

60 С шестия си въпрос запитващата юрисдикция иска по същество да се установи дали член 83 от ОРЗД трябва да се тълкува в смисъл, от една страна, че дава основание за налагане на административно наказание „глоба“ или „имуществена санкция“ само ако се установи, че администраторът на данни умишлено или по небрежност е извършил нарушение по параграфи 4—6 от този член, и от друга страна, че такова административно наказание „глоба“ или „имуществена санкция“ може да се наложи на администратор на данни за извършени от негово име от обработващ лични данни операции по обработване.

61 Що се отнася, на първо място, до въпроса дали член 83 от ОРЗД дава основание за налагане на административно наказание „глоба“ или „имуществена санкция“ само ако се установи, че администраторът или обработващият лични данни умишлено или по небрежност е извършил нарушение по параграфи 4—6 от този член, от параграф 1 от посочения член следва, че наказанията трябва да бъдат ефективни, пропорционални и възпиращи. Член 83 от ОРЗД не уточнява обаче изрично, че нарушенията подлежат на санкциониране с такова наказание само ако са извършени умишлено или най-малкото по небрежност.

62 С оглед на това литовското правителство и Съветът на Европейския съюз заключават, че законодателят на Съюза е искал да остави на държавите членки известна свобода на преценка при прилагането на член 83 от ОРЗД, като допуска да предвидят налагане на административно наказание „глоба“ или „имуществена санкция“ на основание на тази разпоредба евентуално без да изискват да се установи, че санкционираното нарушение на ОРЗД е извършено умишлено или по небрежност.

63 Такова тълкуване на член 83 от ОРЗД не би могло да се приеме.

64 В това отношение е важно да се припомни, че по силата на член 288 ДФЕС разпоредбите на регламентите по общо правило имат непосредствено действие в националните правни системи, без да е необходимо националните органи да приемат мерки за прилагането им. При все това някои от тези разпоредби могат да налагат приемането на национални мерки за прилагане от държавите членки (вж. в този смисъл решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 58 и цитираната съдебна практика).

65 Такъв е по-специално случаят с ОРЗД, някои от чиито разпоредби допускат държавите членки да предвидят допълнителни, по-строги или дерогиращи, национални правила, които им оставят свобода на преценка относно начина на прилагане на тези разпоредби (решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 57).

66 При това, когато ОРЗД не предвижда специални процедурни правила, всяка държава членка трябва, като спазва принципите на равностойност и ефективност, да уреди във вътрешния си правен ред съдебни производства за гарантиране на защитата на правата, които правните субекти черпят от разпоредбите на този регламент (вж. в този смисъл решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 53 и 54 и цитираната съдебна практика).

67 От текста на член 83, параграфи 1—6 от ОРЗД не би могло обаче да се направи извод, че законодателят на Съюза е искал да остави свобода на преценка на държавите членки за материалноправните условия, при които надзорният орган може да наложи административно наказание „глоба“ на администратор за нарушение по параграфи 4—6 от този член.

68 Действително, от една страна, член 83, параграф 7 от ОРЗД предвижда, че всяка държава членка може да определя правила за това дали и до каква степен административното наказание „глоба“ или „имуществена санкция“ може да се налага на установени в нея публични органи и структури. От друга страна, от член 83, параграф 8 във връзка със съображение 129 от този регламент следва, че упражняването от надзорния орган на правомощията му по този член зависи от съответните процедурни гаранции в съответствие с правото на Съюза и правото на държавата членка, включително ефективна съдебна защита и справедлив съдебен процес.

69 Фактът, че така този регламент предоставя на държавите членки възможност да предвидят както изключения за установени в тях публични органи и структури, така и процедурни изисквания за надзорните органи при налагането на административно наказание „глоба“, по никакъв начин не означава обаче, че освен такива изключения и процедурни изисквания държавите членки имат право да предвиждат и материалноправни условия за ангажиране на отговорността на администратори и за налагане на административно наказание „глоба“ или „имуществена санкция“ на основание на споменатия член 83. Освен това фактът, че законодателят на Съюза изрично е предвидил споменатата възможност, но не и правото за уреждане на такива материалноправни условия, потвърждава, че в това отношение не е оставил свобода на преценка на държавите членки.

70 Тази констатация се потвърждава и от съвместния прочит на членове 83 и 84 от ОРЗД. Всъщност член 84, параграф 1 от този регламент предвижда, че държавите членки запазват компетентността си да определят правила за „други санкции“, приложими за нарушения на същия регламент, и „по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83“. От съвместния прочит на тези разпоредби следва, че определянето на материалноправните условия за налагане на административно наказание „глоба“ или „имуществена санкция“ не попада в обхвата на тази компетентност. Следователно тези условия са предмет само на правото на Съюза.

71 Що се отнася до посочените условия, следва да се отбележи, че член 83, параграф 2 от ОРЗД изброява елементите, които надзорният орган следва да разгледа, когато налага административно наказание „глоба“ или „имуществена санкция“ на администратор. Един от тези елементи съгласно буква б) от споменатата разпоредба е „дали нарушението е извършено умишлено или по небрежност“. Нито един от изброените в тази разпоредба елементи обаче не посочва възможност да се ангажира отговорността на администратора при липса вина от негова страна.

72 Освен това член 83, параграф 2 от ОРЗД следва да се разглежда във връзка със съдържащия се в същия член параграф 3, който урежда последиците от извършване на няколко нарушения на този регламент и съгласно който, „ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение“.

73 Видно от текста му, член 83, параграф 2 от ОРЗД предвижда основание за налагане на административно наказание „глоба“ или „имуществена санкция“ само за нарушения на разпоредби на този регламент, които администраторът е извършил виновно, а именно тези, които е извършил умишлено или по небрежност.

74 Общата структура и целта на ОРЗД потвърждават това тълкуване.

75 От една страна, законодателят на Съюза е предвидил система от санкции, позволяваща на надзорните органи да налагат най-подходящите санкции в зависимост от обстоятелствата във всеки конкретен случай.

76 Всъщност член 58 от ОРЗД, който определя правомощията на надзорните органи, предвижда в параграф 2, буква и), че всеки такъв орган може да налага административното наказание „глоба“ или „имуществена санкция“ по член 83 от същия регламент „в допълнение към […] или вместо“ други корективни мерки, изброени в този член 58, параграф 2, след които по-специално са отправянето на предупреждение, порицание или разпореждане. Освен това съображение 148 от посочения регламент предвижда, че при леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание.

77 От друга страна, по-специално от съображение 10 от ОРЗД следва, че разпоредбите на този регламент имат за цел по-специално да се гарантира последователно и високо ниво на защита на физическите лица при обработването на лични данни в Съюза и с оглед на това да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на тези лица във връзка с обработването на такива данни. Освен това в съображения 11 и 129 от ОРЗД се подчертава необходимостта с оглед на последователното прилагане на този регламент да се гарантира, че надзорните органи разполагат с еквивалентни правомощия за наблюдение и надзор за спазването на правилата за защита на личните данни и че могат да налагат еквивалентни санкции за нарушения на споменатия регламент.

78 Наличието на система от санкции, която допуска с оглед на обстоятелствата във всеки конкретен случай да се наложи предвиденото в член 83 от ОРЗД административно наказание „глоба“ или „имуществена санкция“, мотивира администраторите на данни и обработващите лични данни да спазват Регламента. Чрез възпиращия си ефект административното наказание „глоба“ или „имуществена санкция“ спомага за засилване на защитата на физическите лица във връзка с обработването на лични данни и представлява следователно ключов елемент за осигуряване на спазването на правата на тези лица, съответстващ на целта на този регламент за гарантиране на високо равнище на защита на такива лица във връзка с обработването на лични данни.

79 За гарантирането на такава висока степен на защита законодателят на Съюза обаче не е счел за необходимо да предвиди налагане на административно наказание „глоба“ или „имуществена санкция“ и при липса на вина. Предоставянето на възможност на държавите членки да приемат уредба за налагане на административно наказание „глоба“ или „имуществена санкция“ по член 83 от ОРЗД би било в противоречие с целта на този регламент, която е чрез последователното му прилагане в рамките на целия Съюз да се постигне еквивалентно и еднородно равнище на защита. Предоставянето на такава възможност би могло да наруши и конкуренцията между икономическите оператори в Съюза в противоречие с указаните от законодателя на Съюза по-специално в съображения 9 и 13 от Регламента цели.

80 С оглед на това следва да се констатира, че член 83 от ОРЗД не допуска налагане на предвиденото в параграфи 4—6 от него административно наказание „глоба“ или „имуществена санкция“, без да е установен умисъл или небрежност от страна на администратора, и че следователно виновното нарушение представлява условие за налагането на такова наказание.

81 В това отношение по въпроса дали дадено нарушение е извършено умишлено или по небрежност и дали с оглед на това подлежи на административно наказание „глоба“ или „имуществена санкция“ на основание член 83 от ОРЗД следва да се уточни, че администратор може да бъде санкциониран за действия, които попадат в приложното поле на ОРЗД, ако не е можел да не разбира противоправния им характер, независимо дали е знаел, че с тях нарушава разпоредбите на ОРЗД (вж. по аналогия решения от 18 юни 2013 г., Schenker & Co. и др., C‑681/11, EU:C:2013:404, т. 37 и цитираната съдебна практика, от 25 март 2021 г., Lundbeck/Комисия, C‑591/16 P, EU:C:2021:243, т. 156, и от 25 март 2021 г., Arrow Group и Arrow Generics/Комисия, C‑601/16 P, EU:C:2021:244, т. 97).

82 Когато администраторът е юридическо лице, следва също да се уточни, че прилагането на член 83 от ОРЗД не предполага действие или дори знание на управителния орган на това юридическо лице (вж. по аналогия решения от 7 юни 1983 г., Musique Diffusion française и др./Комисия, 100/80—103/80, EU:C:1983:158, т. 97, и от 16 февруари 2017 г., Tudapetrol Mineralölerzeugnisse Nils Hansen/Комисия, C‑94/15 P, EU:C:2017:124, т. 28 и цитираната съдебна практика).

83 Що се отнася, на второ място, до въпроса дали на основание член 83 от ОРЗД може да се наложи административно наказание „глоба“ или „имуществена санкция“ на администратор за операции по обработване, които са извършени от обработващ лични данни, важно е да се припомни, че съгласно определението в член 4, точка 8 от ОРЗД обработващ лични данни означава „физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“.

84 След като, както бе посочено в точка 36 от настоящото решение, администраторът носи отговорност за обработването на лични данни не само когато самият той го е извършил, а и когато то е извършено от негово име, на този администратор може да се наложи административно наказание „глоба“ или „имуществена санкция“ на основание член 83 от ОРЗД, когато личните данни са обработени неправомерно и когато не той, а обработващ лични данни е извършил обработването от негово име.

85 Отговорността на администратора за действията на обработващия лични данни не може да обхване обаче и случаите, при които обработващият лични данни е обработил личните данни за свои собствени цели или по начин, който е несъвместим с определените от администратора рамка, ред и условия, или с който не би могло разумно да се приеме, че би се съгласил. Всъщност съгласно член 28, параграф 10 от ОРЗД в тази хипотеза обработващият личните данни се счита за администратор по отношение на това обработване.

86 С оглед на изложените съображения на шестия въпрос следва да се отговори, че член 83 от ОРЗД трябва да се тълкува в смисъл, че от една страна, дава основание за налагане на административно наказание „глоба“ или „имуществена санкция“ само ако се установи, че администраторът умишлено или по небрежност е извършил нарушение по параграфи 4—6 от този член, и от друга страна, такова наказание може да се наложи на администратор за извършени от негово име от обработващ лични данни операции по обработване, освен ако при тези операции обработващият лични данни е действал за изпълнение на свои собствени цели или по начин, който е несъвместим с определените от администратора рамка, ред и условия или с който не би могло разумно да се приеме, че администраторът би се съгласил.

По съдебните разноски

87 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (голям състав) реши:

1) Член 4, точка 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

субект, който е възложил на предприятие да разработи мобилно информационно приложение и в този контекст е участвал в определянето на целите и средствата за извършваното посредством това приложение обработване на лични данни, дори и самият той да не е извършвал операции по обработване на такива данни, да не е давал изрично съгласие за извършването на конкретни такива операции или за предоставянето на публичен достъп до мобилното приложение, както и да не е придобивал приложението, може да се счита за администратор по смисъла на тази разпоредба, освен ако преди предоставянето на публичния достъп до приложението изрично не се е противопоставил както на това предоставяне, така и на последвалото го обработване на лични данни.

2) Член 4, точка 7 и член 26, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

за квалифицирането на два субекта като съвместни администратори не се изисква нито да имат споразумение, което да определя целите и средствата на съответното обработване на лични данни, нито да имат споразумение, което да урежда условията за съвместната им отговорност за това обработване.

3) Член 4, параграф 2 от Регламент 2016/679

трябва да се тълкува в смисъл, че

използването на лични данни за изпитване на мобилно информационно приложение представлява „обработване“ по смисъла на тази разпоредба, освен ако данните са анонимизирани по такъв начин, че субектът на данните не може или вече не може да бъде идентифициран, или ако данните са фиктивни и не се отнасят за съществуващо физическо лице.

4) Член 83 от Регламент 2016/679

трябва да се тълкува в смисъл, че

от една страна, дава основание за налагане на административно наказание „глоба“ или „имуществена санкция“ само ако се установи, че администраторът умишлено или по небрежност е извършил нарушение по параграфи 4—6 от този член, и

от друга страна, такова наказание може да се наложи на администратор за извършени от негово име от обработващ лични данни операции по обработване, освен ако при тези операции обработващият лични данни е действал за изпълнение на свои собствени цели или по начин, който е несъвместим с определените от администратора рамка, ред и условия или с който не би могло разумно да се приеме, че администраторът би се съгласил.

Подписи

( *1 ) Език на производството: литовски.