[Odesłanie prejudycjalne - Ochrona danych osobowych - Rozporządzenie (UE) 2016/679 - Artykuł 4 pkt 2 i 7 - Pojęcia "przetwarzania" i "administratora" - Opracowanie mobilnej aplikacji informatycznej - Artykuł 26 - Współadministrowanie - Artykuł 83 - Nakładanie administracyjnych kar pieniężnych - Przesłanki - Wymóg umyślnego lub nieumyślnego charakteru naruszenia - Odpowiedzialność administratora za przetwarzania danych osobowych dokonane przez podmiot przetwarzający]

(C/2024/914)

Język postępowania: litewski

(Dz.U.UE C z dnia 29 stycznia 2024 r.)

Sąd odsyłający

Vilniaus apygardos administracinis teismas

Strony w postępowaniu głównym

Strona skarżąca: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Druga strona postępowania: Valstybinė duomenų apsaugos inspekcija

przy udziale: UAB "IT sprendimai sėkmei", Lietuvos Respublikos sveikatos apsaugos ministerija

Sentencja

1) Artykuł 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

za administratora w rozumieniu tego przepisu można uznać podmiot, który zlecił danemu przedsiębiorstwu opracowanie mobilnej aplikacji informatycznej i który w tym kontekście uczestniczył w określaniu celów i sposobów przetwarzania danych osobowych dokonywanego za pośrednictwem tej aplikacji, nawet jeśli ów podmiot sam nie przeprowadził operacji przetwarzania takich danych, nie udzielił wyraźnej zgody na realizację konkretnych operacji takiego przetwarzania lub na publiczne udostępnienie wspomnianej aplikacji mobilnej i nie nabył tejże aplikacji mobilnej, chyba że przed tym publicznym udostępnieniem wspomniany podmiot wyraźnie sprzeciwił się temu udostępnieniu i wynikłemu z niego przetwarzaniu danych osobowych.

2) Artykuł 4 pkt 7 i art. 26 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

uznanie dwóch podmiotów za współadministratorów nie zakłada ani istnienia uzgodnień między tymi podmiotami w przedmiocie określania celów i sposobów rozpatrywanego przetwarzania danych osobowych, ani istnienia uzgodnień ustalających warunki odnoszące się do współadministrowania danymi.

3) Artykuł 4 pkt 2 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

wykorzystywanie danych osobowych do celów testowania systemów informatycznych zintegrowanych z aplikacją mobilną stanowi "przetwarzanie" w rozumieniu tego przepisu, chyba że takie dane zostały zanonimizowane w taki sposób, że osoby, której te dane dotyczą, nie można lub już nie można zidentyfikować, lub chyba że chodzi o dane fikcyjne, które nie odnoszą się do istniejącej osoby fizycznej.

4) Artykuł 83 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

po pierwsze, administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4-6 tego artykułu, oraz

po drugie, taka kara pieniężna może zostać nałożona na administratora danych w związku z operacjami przetwarzania danych osobowych dokonywanymi przez podmiot przetwarzający w jego imieniu, z wyjątkiem sytuacji, gdy w ramach tych operacji podmiot przetwarzający dokonywał przetwarzania danych do swoich własnych celów lub przetwarzał te dane w sposób niezgodny z ramami lub sposobami przetwarzania określonymi przez administratora lub w taki sposób, że nie można racjonalnie uznać, że administrator ten wyraził na to zgodę.