Wyrok Trybunału (wielka izba) z dnia 5 grudnia 2023 r. Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos przeciwko Valstybinė duomenų apsaugos inspekcija., sygn. C-683/21

Artykuł 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)należy interpretować w ten sposób, że:za administratora w rozumieniu tego przepisu można uznać podmiot, który zlecił danemu przedsiębiorstwu opracowanie mobilnej aplikacji informatycznej i który w tym kontekście uczestniczył w określaniu celów i sposobów przetwarzania danych osobowych dokonywanego za pośrednictwem tej aplikacji, nawet jeśli ów podmiot sam nie przeprowadził operacji przetwarzania takich danych, nie udzielił wyraźnej zgody na realizację konkretnych operacji takiego przetwarzania lub na publiczne udostępnienie wspomnianej aplikacji mobilnej i nie nabył tejże aplikacji mobilnej, chyba że przed tym publicznym udostępnieniem wspomniany podmiot wyraźnie sprzeciwił się temu udostępnieniu i wynikłemu z niego przetwarzaniu danych osobowych.Artykuł 4 pkt 7 i art. 26 ust. 1 rozporządzenia 2016/679należy interpretować w ten sposób, że:uznanie dwóch podmiotów za współadministratorów nie zakłada ani istnienia uzgodnień między tymi podmiotami w przedmiocie ustalania celów i sposobów przetwarzania danych osobowych, ani istnienia uzgodnień ustalających warunki odnoszące się do współadministrowania danymi.Artykuł 4 pkt 2 rozporządzenia 2016/679należy interpretować w ten sposób, że:wykorzystywanie danych osobowych do celów testowania systemów informatycznych zintegrowanych z aplikacją mobilną stanowi „przetwarzanie” w rozumieniu tego przepisu, chyba że takie dane zostały zanonimizowane w taki sposób, że osoby, której te dane dotyczą, nie można lub już nie można zidentyfikować, lub chyba że chodzi o dane fikcyjne, które nie odnoszą się do istniejącej osoby fizycznej.Artykuł 83 rozporządzenia 2016/679należy interpretować w ten sposób, że:po pierwsze, administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu, apo drugie, taka kara pieniężna może zostać nałożona na administratora danych w związku z operacjami przetwarzania danych osobowych dokonywanymi przez podmiot przetwarzający w jego imieniu, z wyjątkiem sytuacji, gdy w ramach tych operacji podmiot przetwarzający dokonywał przetwarzania danych do swoich własnych celów lub przetwarzał te dane w sposób niezgodny z ramami lub sposobami przetwarzania określonymi przez administratora lub w taki sposób, że nie można racjonalnie uznać, że administrator ten wyraził na to zgodę.