C-683/21
Podsumowanie
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni przepisów RODO w sprawie aplikacji mobilnej stworzonej w celu monitorowania pandemii COVID-19. Głównym pytaniem było, czy instytucja publiczna (NVSC), która zleciła opracowanie aplikacji mobilnej i uczestniczyła w ustalaniu jej celów i sposobów przetwarzania danych, może być uznana za administratora danych, nawet jeśli sama nie przeprowadziła faktycznych operacji przetwarzania, nie nabyła aplikacji ani nie udzieliła wyraźnej zgody na jej publiczne udostępnienie. Trybunał Sprawiedliwości UE (wielka izba) orzekł, że taka instytucja może być uznana za administratora, pod warunkiem że nie sprzeciwiła się publicznemu udostępnieniu aplikacji przed jego dokonaniem. Wyjaśniono również, że współadministrowanie nie wymaga formalnych uzgodnień między podmiotami, a wystarczy, że wspólnie ustalają cele i sposoby przetwarzania. Ponadto, wykorzystywanie danych osobowych do testowania systemów informatycznych jest uznawane za przetwarzanie, chyba że dane są zanonimizowane lub fikcyjne. W kwestii kar pieniężnych, Trybunał podkreślił, że mogą być one nakładane jedynie za naruszenia popełnione umyślnie lub nieumyślnie, a administrator ponosi odpowiedzialność za działania podmiotu przetwarzającego, chyba że ten ostatni działał we własnych celach lub poza ustalonymi ramami.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaWykładnia kluczowych pojęć RODO (administrator, przetwarzanie, współadministrowanie) oraz warunków nakładania kar pieniężnych, szczególnie w kontekście zlecania tworzenia aplikacji i odpowiedzialności za działania podmiotów przetwarzających.
Orzeczenie dotyczy specyficznych okoliczności faktycznych związanych z aplikacją mobilną i pandemią, ale jego zasady są szeroko stosowalne do innych przypadków zlecania przetwarzania danych.
Zagadnienia prawne (5)
Kto jest administratorem danych osobowych w rozumieniu RODO, gdy instytucja publiczna zleca opracowanie aplikacji mobilnej, ale sama nie przetwarza danych, nie nabywa aplikacji ani nie udziela wyraźnej zgody na jej udostępnienie?Ratio decidendi
Odpowiedź sądu
Instytucja publiczna, która zleciła opracowanie aplikacji mobilnej i uczestniczyła w określaniu celów i sposobów przetwarzania danych, może być uznana za administratora, nawet jeśli sama nie przeprowadziła operacji przetwarzania, nie udzieliła zgody na udostępnienie ani nie nabyła aplikacji, chyba że wyraźnie sprzeciwiła się jej udostępnieniu przed tym faktem.
Uzasadnienie
Definicja administratora jest szeroka i obejmuje podmiot, który wpływa na cele i sposoby przetwarzania dla własnych interesów. Nawet brak faktycznego przetwarzania danych czy formalnego nabycia aplikacji nie wyklucza statusu administratora, jeśli podmiot ten aktywnie uczestniczył w procesie decyzyjnym dotyczącym przetwarzania.
Czy współadministrowanie danymi osobowymi w rozumieniu RODO wymaga formalnych uzgodnień między podmiotami?Ratio decidendi
Odpowiedź sądu
Nie, uznanie dwóch podmiotów za współadministratorów nie wymaga istnienia formalnych uzgodnień między nimi dotyczących określania celów i sposobów przetwarzania ani warunków współadministrowania.
Uzasadnienie
Współadministrowanie wynika z faktu wspólnego ustalania celów i sposobów przetwarzania. Obowiązek określenia zakresu odpowiedzialności w drodze uzgodnień pojawia się po zakwalifikowaniu podmiotów jako współadministratorów, a nie jako warunek wstępny.
Czy wykorzystywanie danych osobowych do testowania systemów informatycznych stanowi przetwarzanie w rozumieniu RODO?Ratio decidendi
Odpowiedź sądu
Tak, wykorzystywanie danych osobowych do testowania systemów informatycznych stanowi przetwarzanie w rozumieniu RODO, chyba że dane zostały zanonimizowane lub są fikcyjne.
Uzasadnienie
Definicja przetwarzania jest szeroka i obejmuje wszelkie operacje na danych osobowych. Cel operacji (np. testowanie) nie ma znaczenia dla zakwalifikowania jej jako przetwarzania, o ile dane są danymi osobowymi.
Czy administracyjne kary pieniężne na mocy RODO mogą być nakładane tylko za naruszenia umyślne lub nieumyślne?Ratio decidendi
Odpowiedź sądu
Tak, administracyjne kary pieniężne na mocy art. 83 RODO mogą być nakładane wyłącznie wtedy, gdy zostanie wykazane, że administrator dopuścił się naruszenia umyślnie lub nieumyślnie.
Uzasadnienie
Przepisy RODO, w tym art. 83 ust. 2 lit. b), wskazują na umyślny lub nieumyślny charakter naruszenia jako czynnik brany pod uwagę przy nakładaniu kar. Brak winy wyklucza nałożenie kary pieniężnej.
Czy administrator danych ponosi odpowiedzialność za naruszenia popełnione przez podmiot przetwarzający?Ratio decidendi
Odpowiedź sądu
Tak, administrator ponosi odpowiedzialność za operacje przetwarzania dokonywane przez podmiot przetwarzający w jego imieniu, chyba że podmiot przetwarzający działał we własnych celach lub poza ramami ustalonymi przez administratora.
Uzasadnienie
Administrator jest odpowiedzialny za przetwarzanie dokonywane w jego imieniu. Jeśli podmiot przetwarzający przekroczy swoje uprawnienia lub działa we własnym celu, sam staje się administratorem w odniesieniu do tego przetwarzania.
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos | organ_krajowy | skarżący |
| Valstybinė duomenų apsaugos inspekcija | organ_krajowy | pozwany |
| UAB „IT sprendimai sėkmei” | spolka | interwenient |
| Lietuvos Respublikos sveikatos apsaugos ministerija | organ_krajowy | interwenient |
| Rząd litewski | organ_krajowy | interwenient |
| Rząd niderlandzki | organ_krajowy | interwenient |
| Rada Unii Europejskiej | instytucja_ue | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (14)
Główne
RODO art. 4 § 2
Ogólne rozporządzenie o ochronie danych
Definicja 'przetwarzania' jest szeroka i obejmuje wszelkie operacje na danych osobowych, w tym wykorzystanie ich do testowania systemów informatycznych, chyba że dane są zanonimizowane lub fikcyjne.
RODO art. 4 § 7
Ogólne rozporządzenie o ochronie danych
Definicja 'administratora' jest szeroka i obejmuje podmiot, który zlecił opracowanie aplikacji i uczestniczył w ustalaniu celów i sposobów przetwarzania, nawet jeśli sam nie przetwarzał danych ani nie nabył aplikacji.
RODO art. 26 § 1
Ogólne rozporządzenie o ochronie danych
Współadministrowanie nie wymaga formalnych uzgodnień między podmiotami, wystarczy wspólne ustalanie celów i sposobów przetwarzania.
RODO art. 83 § 1-8
Ogólne rozporządzenie o ochronie danych
Administracyjne kary pieniężne mogą być nakładane tylko za naruszenia umyślne lub nieumyślne. Administrator odpowiada za działania podmiotu przetwarzającego, chyba że ten działał we własnym celu lub poza ramami.
Pomocnicze
TFUE art. 267
Traktat o funkcjonowaniu Unii Europejskiej
RODO art. 5
Ogólne rozporządzenie o ochronie danych
RODO art. 13
Ogólne rozporządzenie o ochronie danych
RODO art. 24
Ogólne rozporządzenie o ochronie danych
RODO art. 32
Ogólne rozporządzenie o ochronie danych
RODO art. 35
Ogólne rozporządzenie o ochronie danych
RODO art. 28 § 10
Ogólne rozporządzenie o ochronie danych
RODO art. 58 § 2
Ogólne rozporządzenie o ochronie danych
Prawo zamówień publicznych art. 29 § 3
Ustawa – prawo zamówień publicznych
Prawo zamówień publicznych art. 72 § 2
Ustawa – prawo zamówień publicznych
Argumenty
Skuteczne argumenty
Szeroka definicja administratora danych obejmuje podmioty zlecające i wpływające na cele i sposoby przetwarzania, nawet bez bezpośredniego przetwarzania. • Współadministrowanie nie wymaga formalnych uzgodnień, wystarczy wspólne ustalanie celów i sposobów przetwarzania. • Testowanie systemów z użyciem danych osobowych jest przetwarzaniem, chyba że dane są zanonimizowane lub fikcyjne. • Kary pieniężne można nakładać tylko za naruszenia umyślne lub nieumyślne. • Administrator odpowiada za działania podmiotu przetwarzającego, chyba że ten działał we własnym celu lub poza ramami.
Godne uwagi sformułowania
za administratora w rozumieniu tego przepisu można uznać podmiot, który zlecił danemu przedsiębiorstwu opracowanie mobilnej aplikacji informatycznej i który w tym kontekście uczestniczył w określaniu celów i sposobów przetwarzania danych osobowych • uznanie dwóch podmiotów za współadministratorów nie zakłada ani istnienia uzgodnień między tymi podmiotami • wykorzystywanie danych osobowych do celów testowania systemów informatycznych zintegrowanych z aplikacją mobilną stanowi „przetwarzanie” • administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator dopuścił się, umyślnie lub nieumyślnie, naruszenia
Skład orzekający
K. Lenaerts
prezes
L. Bay Larsen
wiceprezes
A. Arabadjiev
prezes izby
C. Lycourgos
prezes izby
E. Regan
prezes izby
T. von Danwitz
prezes izby
Z. Csehi
prezes izby
O. Spineanu-Matei
prezes izby
M. Ilešič
sędzia
J.-C. Bonichot
sędzia
L.S. Rossi
sędzia
A. Kumin
sędzia
N. Jääskinen
sprawozdawca
N. Wahl
sędzia
M. Gavalec
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Wykładnia kluczowych pojęć RODO (administrator, przetwarzanie, współadministrowanie) oraz warunków nakładania kar pieniężnych, szczególnie w kontekście zlecania tworzenia aplikacji i odpowiedzialności za działania podmiotów przetwarzających."
Ograniczenia: Orzeczenie dotyczy specyficznych okoliczności faktycznych związanych z aplikacją mobilną i pandemią, ale jego zasady są szeroko stosowalne do innych przypadków zlecania przetwarzania danych.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy powszechnie stosowanego RODO i wyjaśnia kluczowe, często niejasne kwestie dotyczące odpowiedzialności za dane, co jest niezwykle istotne dla praktyków prawa i biznesu.
“Kto odpowiada za dane w aplikacji? TSUE rozstrzyga: nawet jeśli nie przetwarzasz, możesz być administratorem!”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny