CJEU: Zakonska določitev upravljavca
Sodišče EU je odločilo, da lahko nacionalna zakonodaja imenuje upravljavca, če lahko zakonito izpolnjuje obveznosti upravljavca in je obseg njegove odgovornosti za obdelavo na splošno določen z zakonom.
Odločitev je bila objavljena 27.2.2025
Med pandemijo COVID-19 je administrativni urad v službi guvernerja in deželne vlade Tirolske vsem odraslim, ki prebivajo v deželi Tirolski in še niso bili cepljeni proti temu virusu, poslal "opomnik o cepljenju". Urad je za identifikacijo prejemnikov zadolžil dve zasebni podjetji, ki sta opravili navzkrižno preverjanje podatkov v centralnem registru cepljenja in registru pacientov, ki vključuje njihov domači naslov. Eden od teh naslovnikov (posameznik, na katerega se nanašajo osebni podatki) je pri nadzornem organu vložil pritožbo zoper urad zaradi nezakonite obdelave osebnih podatkov. Urad je v odzivu na prijavo izpostavil, da ima status upravljavca in da je odgovoren za poslan dopis.
Nadzorni organ je odločil, da je urad kršil GDPR, ko je pregledal podatke posameznika v registru cepljenja, saj za dostop do registrov ni imel pravne podlage. Urad se je na to odločitev pritožil pri zveznem upravnem sodišču (BVwG), ki je razsodilo, da ima urad status upravljavca na podlagi nacionalne zakonodaje, vendar nima pravice vpogleda v register cepljenja za namene pošiljanja opomina. Urad je zato vložil pritožbo pri vrhovnem upravnem sodišču (VwGH).
To sodišče je odločilo, da je treba za odločanje v zadevi najprej ugotoviti, ali ima urad v okviru te zadeve status upravljavca v smislu člena 4(7) GDPR, in se odločilo, da bo prekinilo postopek in sodišču EU poslalo zahtevo za predhodno odločitev glede vprašanja, ali je treba člen 4(7) GDPR razlagati tako, da ne dovoljuje, da nacionalna zakonodaja kot upravljavca lahko imenuje pomožni upravni subjekt, ki nima opravilne sposobnosti, ne da bi natančno navedel posebne postopke obdelave osebnih podatkov, za katere je ta subjekt odgovoren, ali namen teh postopkov.
Sodišče EU je odločalo tudi, ali je treba člen 4(7) GDPR razlagati tako, da mora subjekt, ki je v skladu s to določbo po nacionalni zakonodaji imenovan za upravljavca, dejansko odločati o namenu in sredstvih obdelave osebnih podatkov, in se mora kot upravljavec odzvati na zahteve posameznikov za izpolnjevanje njihovih pravic, ki jih izhajajo iz GDPR.
Odločitev Sodišča EU
V kolikšni meri lahko nacionalni zakonodajalec veljavno določi pomožni upravni subjekt
Sodišče EU je navedlo, da je v C-231/22, État belge, 11. januarja 2024 razsodilo, da status pravne osebe ni nujen pogoj za vlogo upravljavca. Sodišče je izpostavilo, da člen 5(2) GDPR vzpostavlja načelo odgovornosti, v skladu s katerim je upravljavec odgovoren za skladnost z načeli v zvezi z obdelavo osebnih podatkov iz člena 5(1) GDPR, in določa, da mora biti ta upravljavec sposoben dokazati skladnost s temi načeli. Sodišče je tako razsodilo, da mora biti upravljavec v skladu z nacionalno zakonodajo sposoben dejansko in pravno izpolniti te obveznosti, ne da bi bilo v zvezi s tem pomembno, ali je ta subjekt pravno oseba oziroma je opravilno sposoben.
Sodišče je navedlo, da lahko predložitveno sodišče zlasti upošteva, da lahko Urad vloži tožbo zoper odločitev nadzornega organa, enako kot je lahko vložena tudi tožba zoper njih. Poleg tega je Urad za izvajanje zadevne obdelave imenoval dve zasebni podjetji.
Ni potrebe po natančni določitvi obdelave
Sodišče je odločilo, da kadar nacionalna zakonodaja določa upravljavca, mora določitev namenov in sredstev obdelave s to zakonodajo v bistvu izhajati iz določb nacionalne zakonodaje, ki ureja dejavnost tega subjekta. Sodišču pa se ni zdelo potrebno, da bi ta zakonodajalec izčrpno navedel vse postopke obdelave, za katere je ta subjekt pooblaščen.
V zvezi s tem primerom je sodišče opozorilo, da samo dejstvo, da veljavne nacionalne določbe ne določajo natančno postopkov obdelave, za katere je urad pooblaščen, ne more preprečiti razvrstitve subjekta, kot je urad, kot upravljavca v smislu člena 4(7) GDPR.
Brez potrebe po vplivu na namene in sredstva
Sodišče je odločilo, da je treba za določitev statusa subjekta kot upravljavca preveriti le določila člena 4(7) GDPR, torej ali je ta subjekt za lastne namene vplival na določanje namenov in sredstev obdelave, ki niso v skladu z drugim stavkom tega člena v zvezi z upravljavci, določenimi z nacionalno zakonodajo.
Tako je sodišče navedlo, da na veljavnost neposredne določitve upravljavca ne vpliva popolno pomanjkanje nadzora subjektov nad osebnimi podatki, ki jih mora upravljavec obdelovati. Sodišče je menilo, da je takšna razlaga v skladu s ciljem pravne varnosti, ki mu sledi GDPR. To bi bilo ogroženo, če bi morali posamezniki preveriti, ali ima subjekt, ki ga je nacionalni zakonodajalec imenoval za upravljavca njihovih osebnih podatkov, pooblastilo, da sam določi namene in sredstva takšne obdelave.
Vendar pa je sodišče dodalo, da to posameznikom ne odvzame možnosti, da zahteve po GDPR pošljejo drugemu subjektu, za katerega menijo, da je odgovoren ali soodgovoren za obdelavo zaradi vpliva, ki ga je ta subjekt izvajal na določanje namenov in sredstev zadevne obdelave.
Celotna odločitev je dostopna tukaj
Vir: GDPRHub
Naslovna slika: RawPixel
