Język postępowania: litewski(2022/C 84/34)
(Dz.U.UE C z dnia 21 lutego 2022 r.)
Sąd odsyłający
Vilniaus apygardos administracinis teismas
Strony w postępowaniu głównym
Strona skarżąca: Nacionalinis visuomenes sveikatos centras prie Sveikatos apsaugos ministerijos
Druga strona postępowania: Valstybine duomeny apsaugos inspekcija
Pytania prejudycjalne
1) Czy zawarte w art. 4 pkt 7 RODO 1 pojęcie "administratora" można interpretować w ten sposób, że osobę zamierzającą nabyć narzędzie do zbierania danych (aplikację mobilną) w drodze zamówienia publicznego, niezależnie od faktu, że zamówienie publiczne nie zostaje udzielone oraz że nie dochodzi do przekazania utworzonego produktu (aplikacji mobilnej), z myślą o nabyciu którego skorzystano z postępowania o udzielenie zamówienia publicznego, również należy uważać za administratora?
2) Czy zawarte w art. 4 pkt 7 RODO pojęcie "administratora" można interpretować w ten sposób, że instytucję zamawiającą, która nie nabyła prawa własności do utworzonego produktu informatycznego i nie weszła w jego posiadanie, choć ostateczna wersja utworzonej aplikacji zawiera odnośniki lub interfejsy do tego podmiotu publicznego lub choć w polityce prywatności, która nie została oficjalnie zatwierdzona ani uznana przez dany podmiot publiczny, wskazano, iż ów podmiot publiczny jest administratorem, również należy uważać za administratora?
3) Czy zawarte w art. 4 pkt 7 RODO pojęcie "administratora" można interpretować w ten sposób, że osobę, która nie wykonywała żadnych faktycznych operacji przetwarzania danych zdefiniowanych w art. 4 pkt 2 RODO lub nie udzieliła wyraźnego pozwolenia/wyraźnej zgody na wykonywanie takich operacji, również należy uważać za administratora? Czy okoliczność, że produkt informatyczny wykorzystywany do przetwarzania danych osobowych został utworzony zgodnie ze zleceniem sformułowanym przez instytucję zamawiającą, jest istotna dla wykładni pojęcia "administratora"?
4) Jeżeli rozstrzygnięcie w przedmiocie faktycznych operacji przetwarzania danych ma znaczenie dla wykładni pojęcia "administratora": czy zawartą w art. 4 pkt 2 RODO definicję "przetwarzania" należy interpretować w ten sposób, że obejmuje ona również sytuacje, w których kopie danych osobowych są wykorzystywane do testowania systemów informatycznych w toku procesu zmierzającego do nabycia aplikacji mobilnej?
5) Czy współadministrowanie danymi zgodnie z art. 4 pkt 7 i art. 26 ust. 1 RODO można interpretować wyłącznie w ten sposób, że polega ono na świadomie koordynowanych działaniach dotyczących ustalenia celu i sposobów przetwarzania danych, czy też pojęcie to można również interpretować w ten sposób, iż współadministrowanie obejmuje także sytuacje, w których brak jest wyraźnego "porozumienia" w odniesieniu do celu i sposobów przetwarzania lub w których podmioty nie koordynują ze sobą swoich działań? Czy okoliczność związana z etapem procesu tworzenia sposobu przetwarzania danych osobowych (aplikacji informatycznej), na którym dane osobowe były przetwarzane, oraz cel utworzenia aplikacji są z prawnego punktu widzenia istotne dla wykładni pojęcia współadministrowania danymi? Czy "porozumienie" między współadministratorami można rozumieć wyłącznie jako ustanowienie w jasny i określony sposób warunków regulujących współadministrowanie danymi?
6) Czy zawarty w art. 83 ust. 1 RODO przepis, zgodnie z którym "administracyjne kary pieniężne [...] [są] [...] skuteczne, proporcjonalne i odstraszające", należy interpretować w ten sposób, że obejmuje on również przypadki przypisania odpowiedzialności "administratorowi", gdy - w toku procesu tworzenia produktu informatycznego - deweloper wykonuje także czynności przetwarzania danych osobowych, oraz czy nieprawidłowe czynności przetwarzania danych osobowych dokonywane przez podmiot przetwarzający zawsze skutkują automatycznym powstaniem odpowiedzialności prawnej po stronie administratora? Czy ten przepis należy interpretować w ten sposób, że obejmuje on też przypadki odpowiedzialności administratora na zasadzie ryzyka?
