Sprawa C-683/21: Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Vilniaus apygardos administracinis teismas (Litwa) w dniu 12 listopada 2021 r. - Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinė duomenų apsaugos inspekcija

Dzienniki UE

Dz.U.UE.C.2022.84.26

Akt nienormatywny
Wersja od: 21 lutego 2022 r.

Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Vilniaus apygardos administracinis teismas (Litwa) w dniu 12 listopada 2021 r. - Nacionalinis visuomenes sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybine duomeny apsaugos inspekcija
(Sprawa C-683/21)

Język postępowania: litewski

(2022/C 84/34)

(Dz.U.UE C z dnia 21 lutego 2022 r.)

Sąd odsyłający

Vilniaus apygardos administracinis teismas

Strony w postępowaniu głównym

Strona skarżąca: Nacionalinis visuomenes sveikatos centras prie Sveikatos apsaugos ministerijos

Druga strona postępowania: Valstybine duomeny apsaugos inspekcija

Pytania prejudycjalne

1) Czy zawarte w art. 4 pkt 7 RODO 1  pojęcie "administratora" można interpretować w ten sposób, że osobę zamierzającą nabyć narzędzie do zbierania danych (aplikację mobilną) w drodze zamówienia publicznego, niezależnie od faktu, że zamówienie publiczne nie zostaje udzielone oraz że nie dochodzi do przekazania utworzonego produktu (aplikacji mobilnej), z myślą o nabyciu którego skorzystano z postępowania o udzielenie zamówienia publicznego, również należy uważać za administratora?

2) Czy zawarte w art. 4 pkt 7 RODO pojęcie "administratora" można interpretować w ten sposób, że instytucję zamawiającą, która nie nabyła prawa własności do utworzonego produktu informatycznego i nie weszła w jego posiadanie, choć ostateczna wersja utworzonej aplikacji zawiera odnośniki lub interfejsy do tego podmiotu publicznego lub choć w polityce prywatności, która nie została oficjalnie zatwierdzona ani uznana przez dany podmiot publiczny, wskazano, iż ów podmiot publiczny jest administratorem, również należy uważać za administratora?

3) Czy zawarte w art. 4 pkt 7 RODO pojęcie "administratora" można interpretować w ten sposób, że osobę, która nie wykonywała żadnych faktycznych operacji przetwarzania danych zdefiniowanych w art. 4 pkt 2 RODO lub nie udzieliła wyraźnego pozwolenia/wyraźnej zgody na wykonywanie takich operacji, również należy uważać za administratora? Czy okoliczność, że produkt informatyczny wykorzystywany do przetwarzania danych osobowych został utworzony zgodnie ze zleceniem sformułowanym przez instytucję zamawiającą, jest istotna dla wykładni pojęcia "administratora"?

4) Jeżeli rozstrzygnięcie w przedmiocie faktycznych operacji przetwarzania danych ma znaczenie dla wykładni pojęcia "administratora": czy zawartą w art. 4 pkt 2 RODO definicję "przetwarzania" należy interpretować w ten sposób, że obejmuje ona również sytuacje, w których kopie danych osobowych są wykorzystywane do testowania systemów informatycznych w toku procesu zmierzającego do nabycia aplikacji mobilnej?

5) Czy współadministrowanie danymi zgodnie z art. 4 pkt 7 i art. 26 ust. 1 RODO można interpretować wyłącznie w ten sposób, że polega ono na świadomie koordynowanych działaniach dotyczących ustalenia celu i sposobów przetwarzania danych, czy też pojęcie to można również interpretować w ten sposób, iż współadministrowanie obejmuje także sytuacje, w których brak jest wyraźnego "porozumienia" w odniesieniu do celu i sposobów przetwarzania lub w których podmioty nie koordynują ze sobą swoich działań? Czy okoliczność związana z etapem procesu tworzenia sposobu przetwarzania danych osobowych (aplikacji informatycznej), na którym dane osobowe były przetwarzane, oraz cel utworzenia aplikacji są z prawnego punktu widzenia istotne dla wykładni pojęcia współadministrowania danymi? Czy "porozumienie" między współadministratorami można rozumieć wyłącznie jako ustanowienie w jasny i określony sposób warunków regulujących współadministrowanie danymi?

6) Czy zawarty w art. 83 ust. 1 RODO przepis, zgodnie z którym "administracyjne kary pieniężne [...] [są] [...] skuteczne, proporcjonalne i odstraszające", należy interpretować w ten sposób, że obejmuje on również przypadki przypisania odpowiedzialności "administratorowi", gdy - w toku procesu tworzenia produktu informatycznego - deweloper wykonuje także czynności przetwarzania danych osobowych, oraz czy nieprawidłowe czynności przetwarzania danych osobowych dokonywane przez podmiot przetwarzający zawsze skutkują automatycznym powstaniem odpowiedzialności prawnej po stronie administratora? Czy ten przepis należy interpretować w ten sposób, że obejmuje on też przypadki odpowiedzialności administratora na zasadzie ryzyka?

1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016 L 119, s. 1).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .