ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (όγδοο τμήμα)
27 Φεβρουαρίου 2025 ( * )
«Αίτηση για την έκδοση προδικαστικής απόφασης – Προστασία φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 4 παράγραφος 7 – Έννοια του «υπεύθυνου επεξεργασίας» – Άμεσος ορισμός του υπευθύνου της επεξεργασίας από το εθνικό δίκαιο – Βοηθητικό διοικητικό όργανο στην υπηρεσία περιφερειακής κυβέρνησης – Έλλειψη νομικής ιδιότητας – Έλλειψη νομικής προσωπικότητας – Έλλειψη νομικής προσωπικότητας
Στην υπόθεση C‑638/23,
Αναφορά για προκαταρκτική απόφαση σύμφωνα με το άρθρο 267 TFEU από το Verwaltungsgerichtshof (Διοικητικό Δικαστήριο, Αυστρία), που έγινε με απόφαση της 23ης Αυγούστου 2023, που ελήφθη στο δικαστήριο στις 24 Οκτωβρίου 2023, στη διαδικασία
Γραφείο της κρατικής κυβέρνησης του Τιρόλου
κατά
Αρχές προστασίας δεδομένων,
παρουσία:
Ομοσπονδιακός Υπουργός Δικαιοσύνης,
CW,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (όγδοο τμήμα),
απαρτιζόμενη από τον κ. N. Jääskinen, Πρόεδρο του ένατου τμήματος, ο οποίος ασκεί καθήκοντα προέδρου του όγδοου τμήματος, MM. Ο κ. Gavalec (εισηγητής) και ο N. Piçarra, δικαστές,
Γενικός Εισαγγελέας: κ. M. Campos Sánchez-Bordona,
υπάλληλος: κ. A. Calot Escobar,
έχοντας υπόψη την έγγραφη διαδικασία,
λαμβάνοντας υπόψη τις παρατηρήσεις που υποβλήθηκαν:
– για την Αρχή Προστασίας Δεδομένων, από τον κ. M. Schmidl και την κ. E. Wagner, που ενεργούν ως εκπρόσωποι,
– για τον Ομοσπονδιακό Υπουργό Δικαιοσύνης, από τον κ. E. Riedl, που ενεργεί ως πράκτορας,
– για την Αυστριακή Κυβέρνηση, από τον κ. A. Posch, την κα J. Schmoll και την κα C. Gabauer, εκπροσωπούντες,
– για την Ευρωπαϊκή Επιτροπή, από τον κ. A. Bouchagiar και την κ. M. Heller, που ενεργούν ως εκπρόσωποι,
έχοντας υπόψη την απόφαση που ελήφθη, αφού άκουσε τον γενικό εισαγγελέα, να κρίνει την υπόθεση χωρίς συμπεράσματα,
κάνει το παρόν
Στάση
1 Η παρούσα αίτηση για την έκδοση προδικαστικής απόφασης αφορά την ερμηνεία του άρθρου 4 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, καθώς και για την κατάργηση της Οδηγίας 95/406/ΕΕ (Ενέργεια 1,19/ΕΕΔ) για τα δεδομένα προσωπικού χαρακτήρα. 1, εφεξής «GDPR»).
2 Το αίτημα αυτό υποβλήθηκε στο πλαίσιο διαφωνίας μεταξύ του Amt der Tiroler Landesregierung (Γραφείο της Κυβέρνησης του Τιρόλου, Αυστρία) (εφεξής «Γραφείο») και του Datenschutzbehörde (Αρχή Προστασίας Δεδομένων, Αυστρία) σχετικά με την φερόμενη παράνομη επεξεργασία προσωπικών δεδομένων φυσικού προσώπου από το Γραφείο.
Το νομικό πλαίσιο
δίκαιο της Ένωσης
3 Οι αιτιολογικές σκέψεις 1, 7, 10, 45 και 74 του GDPR έχουν ως εξής:
«(1) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα αποτελεί θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του [Χάρτη] των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης […] και το άρθρο 16 παράγραφος 1 [ΣΛΕΕ] προβλέπουν ότι κάθε άτομο έχει δικαίωμα στην προστασία των προσωπικών δεδομένων που τον αφορούν.
[…]
(7) […] Τα άτομα θα πρέπει να έχουν τον έλεγχο των προσωπικών τους δεδομένων. Θα πρέπει να ενισχυθεί τόσο η νομική όσο και η πρακτική ασφάλεια για τα άτομα, τους οικονομικούς φορείς και τις δημόσιες αρχές.
[…]
(10) Προκειμένου να εξασφαλιστεί συνεπές και υψηλό επίπεδο προστασίας των φυσικών προσώπων και να αρθούν τα εμπόδια στις ροές δεδομένων προσωπικού χαρακτήρα εντός της [Ευρωπαϊκής] Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία τέτοιων δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Ως εκ τούτου, είναι σκόπιμο να διασφαλιστεί η συνεπής και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […]
[…]
(45) Όταν η επεξεργασία πραγματοποιείται σύμφωνα με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η επεξεργασία θα πρέπει να βασίζεται στο δίκαιο της Ένωσης ή του κράτους μέλους. Ο παρών κανονισμός δεν απαιτεί ειδική νομική διάταξη για κάθε μεμονωμένη πράξη επεξεργασίας. Μια νομική διάταξη μπορεί να αρκεί για τη θέσπιση πολλών εργασιών επεξεργασίας που βασίζονται σε νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας. Θα πρέπει επίσης να εναπόκειται στη νομοθεσία της Ένωσης ή του κράτους μέλους να καθορίσει τον σκοπό της επεξεργασίας. Επιπλέον, αυτό το δικαίωμα θα μπορούσε να καθορίζει τους γενικούς όρους του παρόντος κανονισμού που διέπουν τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, να καθορίζει προδιαγραφές για τον προσδιορισμό του υπεύθυνου επεξεργασίας, του είδους των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία, των υποκειμένων των δεδομένων, των οντοτήτων στις οποίες μπορούν να κοινοποιηθούν τα δεδομένα προσωπικού χαρακτήρα, τους περιορισμούς του σκοπού, την περίοδο διατήρησης και άλλα μέτρα για τη διασφάλιση νόμιμης και δίκαιης επεξεργασίας. Θα πρέπει επίσης να εναπόκειται στη νομοθεσία της Ένωσης ή του κράτους μέλους να καθορίσει εάν ο υπεύθυνος επεξεργασίας που εκτελεί καθήκοντα δημοσίου συμφέροντος ή κατά την άσκηση δημόσιας εξουσίας πρέπει να είναι δημόσια αρχή ή άλλο φυσικό ή νομικό πρόσωπο δημοσίου δικαίου ή, όπου το απαιτεί το δημόσιο συμφέρον, μεταξύ άλλων για λόγους υγείας, όπως δημόσια υγεία, κοινωνική προστασία και διαχείριση υπηρεσιών υγείας, ιδιωτικό δίκαιο, όπως επαγγελματική ένωση.
[…]
(74) Ο υπεύθυνος επεξεργασίας θα πρέπει να θεωρείται υπεύθυνος για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του. Ειδικότερα, είναι σημαντικό να απαιτείται από τον υπεύθυνο επεξεργασίας να εφαρμόζει κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδείξει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα μέτρα αυτά θα πρέπει να λαμβάνουν υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας και τον κίνδυνο που ενέχει για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. »
4 Το άρθρο 1 του παρόντος κανονισμού, με τίτλο «Σκοπός και στόχοι», προβλέπει, στην παράγραφο 2:
«Ο παρών κανονισμός προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων, και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα. »
5 Το άρθρο 4 του εν λόγω κανονισμού, με τίτλο «Ορισμοί» έχει ως εξής:
«Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:
[…]
2) «επεξεργασία» σημαίνει οποιαδήποτε λειτουργία ή σύνολο λειτουργιών που εκτελείται σε προσωπικά δεδομένα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, είτε με αυτοματοποιημένα μέσα είτε όχι, όπως συλλογή, καταγραφή, οργάνωση, δομή, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, χρήση, αποκάλυψη με μετάδοση, διάδοση ή με άλλον τρόπο διάθεση, καταστροφή, ευθυγράμμιση ή συνδυασμός.
[…]
7) «υπεύθυνος επεξεργασίας» σημαίνει το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας· όταν οι σκοποί και τα μέσα αυτής της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον ορισμό του μπορεί να προβλέπονται από το δίκαιο της Ένωσης ή του κράτους μέλους·
[…] »
6 Σύμφωνα με το άρθρο 5 του ίδιου κανονισμού, με τίτλο «Αρχές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα»:
«1. Τα προσωπικά δεδομένα πρέπει να είναι:
(α) υποβάλλονται σε νόμιμη, δίκαιη και διαφανή επεξεργασία όσον αφορά το υποκείμενο των δεδομένων (νομιμότητα, δικαιοσύνη, διαφάνεια)·
(β) συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο με αυτούς τους σκοπούς· Η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης για σκοπούς δημοσίου συμφέροντος, επιστημονικούς ή ιστορικούς ερευνητικούς σκοπούς ή στατιστικούς σκοπούς δεν θεωρείται, σύμφωνα με το άρθρο 89 παράγραφος 1, ως ασυμβίβαστη με τους αρχικούς σκοπούς (περιορισμός σκοπού).
(γ) επαρκείς, σχετικές και περιορισμένες σε ό,τι είναι απαραίτητο σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (ελαχιστοποίηση δεδομένων)·
(δ) ακριβείς και, όπου χρειάζεται, επικαιροποιημένοι· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για να διασφαλιστεί ότι τα προσωπικά δεδομένα που είναι ανακριβή, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, διαγράφονται ή διορθώνονται χωρίς καθυστέρηση (ακρίβεια)·
ε) διατηρούνται σε μορφή που να επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων για όχι περισσότερο από όσο είναι απαραίτητο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία· Τα προσωπικά δεδομένα μπορούν να αποθηκεύονται για μεγαλύτερες περιόδους στο βαθμό που υποβάλλονται σε επεξεργασία αποκλειστικά για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1, υπό την προϋπόθεση ότι εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτούνται από τον παρόντα κανονισμό για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων (περιορισμός διατήρησης).
(στ) υποβάλλονται σε επεξεργασία με τρόπο που διασφαλίζει την κατάλληλη ασφάλεια των προσωπικών δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή ζημιά, χρησιμοποιώντας κατάλληλα τεχνικά ή οργανωτικά μέτρα (ακεραιότητα και εμπιστευτικότητα)·
2. Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για τη διασφάλιση της συμμόρφωσης με την παράγραφο 1 και είναι σε θέση να αποδείξει τη συμμόρφωση με αυτήν (λογοδοσία). »
7 Το άρθρο 6 του GDPR, με τίτλο «Νομιμότητα της επεξεργασίας», προβλέπει, στις παραγράφους 1 και 3:
«1. Η επεξεργασία είναι νόμιμη μόνο εάν και στον βαθμό που πληρούται τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
[…]
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας·
[…]
ε) η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση επίσημης εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας·
[…]
3. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται από:
α) το δίκαιο της Ένωσης· Ή
β) το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.
Οι σκοποί της επεξεργασίας ορίζονται σε αυτή τη νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι απαραίτητοι για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Αυτή η νομική βάση μπορεί να περιέχει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, συμπεριλαμβανομένων: των γενικών όρων που διέπουν τη νομιμότητα της επεξεργασίας από τον υπεύθυνο επεξεργασίας· τους τύπους δεδομένων που υποβάλλονται σε επεξεργασία· τα ενδιαφερόμενα πρόσωπα· τις οντότητες στις οποίες μπορούν να κοινοποιηθούν τα προσωπικά δεδομένα και τους σκοπούς για τους οποίους μπορούν να κοινοποιηθούν· ο περιορισμός των σκοπών· περίοδοι διατήρησης· και διαδικασίες και διαδικασίες επεξεργασίας, συμπεριλαμβανομένων μέτρων για τη διασφάλιση νόμιμης και δίκαιης επεξεργασίας, όπως αυτές που προβλέπονται σε άλλες ειδικές καταστάσεις επεξεργασίας, όπως προβλέπεται στο Κεφάλαιο IX. […] »
αυστριακό δίκαιο
Κανονισμός του Κράτους του Τιρόλου του 1989
8 Παράγραφος 56 του Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) [Περιφερειακός νόμος για το Σύνταγμα του ομόσπονδου κράτους του Τιρόλου (Κανονισμός του ομόσπονδου κράτους του Τιρόλου 1989)] της 21ης Σεπτεμβρίου 1988 στην κύρια έκδοση του ομόσπονδου κράτους ol 1989»), με τίτλο «Landeshauptmann (Land Governor, Αυστρία) (εφεξής «ο Κυβερνήτης»)», προβλέπει, στην παράγραφο 1:
«Ο [κυβερνήτης] εκπροσωπεί το κράτος του Τιρόλου. »
9 Το άρθρο 58 του κανονισμού του Τιρόλου του 1989, με τίτλο «[Office]», ορίζει στην παράγραφο 1:
«Ο [κυβερνήτης], η πολιτειακή κυβέρνηση και τα μέλη της πρέπει να καταφύγουν στο [Γραφείο] για να χειριστούν τις υποθέσεις τους. Ο [Κυβερνήτης] είναι ο Πρόεδρος του [Γραφείου]. »
Το TDVG
10 Το άρθρο 2 του Tiroler Datenverarbeitungsgesetz (Tyrolean Data Processing Act, στο εξής «TDVG») ορίζει:
«1. Ο υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 4 παράγραφος 7 του [GDPR] είναι:
(α) το [Γραφείο]·
[…]
3. Όταν η επεξεργασία δεδομένων πραγματοποιείται ή ανατίθεται από το Κράτος του Τιρόλου, το [Γραφείο] θεωρείται πάντοτε ότι είναι υπεύθυνο για την επεξεργασία αυτή στο βαθμό που
(α) δεν υπάρχει κοινή ευθύνη κατά την έννοια της παραγράφου 1 στοιχεία β) ή γ) και
β) δεν έχει ανατεθεί επεξεργασία κατά την έννοια του άρθρου 5.»
Η κύρια διαφορά και το προκαταρκτικό ερώτημα
11 Ως μέρος των μέτρων για την καταπολέμηση της πανδημίας COVID-19, το Γραφείο, μια βοηθητική διοικητική οντότητα που υπηρετεί τον Κυβερνήτη και την Πολιτειακή Κυβέρνηση του Τιρόλου, έστειλε μια «επιστολή υπενθύμισης εμβολιασμού» σε όλους τους ενήλικες που διαμένουν στην Πολιτεία του Τιρόλου και δεν έχουν ακόμη εμβολιαστεί κατά του ιού. Προκειμένου να εντοπιστούν οι παραλήπτες αυτών των επιστολών, το Γραφείο ανέθεσε σε δύο ιδιωτικές εταιρείες, οι οποίες διασταύρωσαν τα δεδομένα που περιέχονταν στο κεντρικό μητρώο εμβολιασμών και στο μητρώο ασθενών, όπου αναγραφόταν η διεύθυνση κατοικίας τους.
12 Στις 21 Δεκεμβρίου 2021, η CW, ένας από αυτούς τους παραλήπτες, υπέβαλε καταγγελία στην Αρχή Προστασίας Δεδομένων κατά της Υπηρεσίας για παράνομη επεξεργασία των προσωπικών της δεδομένων. Ενώπιον αυτής της αρχής, το Γραφείο ανέφερε ότι είχε την ιδιότητα του “υπεύθυνου επεξεργασίας δεδομένων” και ότι ήταν ο συντάκτης της επιστολής που εστάλη στη CW.
13 Με απόφαση της 22ας Αυγούστου 2022, η εν λόγω αρχή διαπίστωσε ότι το Γραφείο είχε παραβιάσει το δικαίωμα του CW για την προστασία των προσωπικών του δεδομένων, στο μέτρο που, για να του στείλει μια «επιστολή υπενθύμισης εμβολιασμού», το Γραφείο είχε συμβουλευτεί τα δεδομένα του ενδιαφερομένου που εμφανίζεται στο μητρώο εμβολιασμών, αν και δεν είχε δικαίωμα πρόσβασης σε αυτό το μητρώο ή στον ασθενή. Συνεπώς, η επεξεργασία των προσωπικών δεδομένων της CW θα ήταν παράνομη.
14 Το Γραφείο άσκησε έφεση κατά της αποφάσεως αυτής στο Bundesverwaltungsgericht (Ομοσπονδιακό Διοικητικό Δικαστήριο, Αυστρία). Το τελευταίο έκρινε ότι, βάσει του εφαρμοστέου εθνικού δικαίου, το Γραφείο είχε την ιδιότητα του υπευθύνου επεξεργασίας δεδομένων, αλλά δεν είχε το δικαίωμα να συμβουλευτεί το μητρώο εμβολιασμών για τους σκοπούς της αποστολής επιστολής υπενθύμισης όπως αυτή που απευθύνεται στη CW. Αφού αυτό το δικαστήριο απέρριψε την έφεση του Γραφείου, το Γραφείο άσκησε προσφυγή επί νομικού ζητήματος κατά της εν λόγω απόφασης ενώπιον του Verwaltungsgerichtshof (Διοικητικό Δικαστήριο, Αυστρία), το οποίο είναι το αιτούν δικαστήριο.
15 Το δικαστήριο αυτό θεωρεί ότι, για να μπορέσει να αποφανθεί στην υπόθεση που εκκρεμεί, είναι απαραίτητο να καθοριστεί εάν το Γραφείο, στο πλαίσιο της παρούσας υπόθεσης, έχει την ιδιότητα του «ελεγκτή», κατά την έννοια του άρθρου 4, σημείο 7, του GDPR.
16 Συναφώς, το αιτούν δικαστήριο υπογραμμίζει το γεγονός ότι το Γραφείο απλώς υπέβαλε στον Κυβερνήτη πρόταση για αποστολή «επιστολής υπενθύμισης εμβολιασμού», πρόταση την οποία ο Διοικητής ενέκρινε ως Πρόεδρος του Γραφείου και ως εκπρόσωπος του ομόσπονδου κράτους του Τιρόλου, σύμφωνα με, αντίστοιχα, το άρθρο 58 και το άρθρο 56, παράγραφος 1, του κανονισμού του Γραφείου του 1989 προτεινόμενη επεξεργασία προσωπικών δεδομένων, δηλαδή αύξηση του ποσοστού εμβολιασμού, και, δεύτερον, τα μέσα που θα εφαρμόζονταν βάσει αυτής της επεξεργασίας, δηλαδή η αποστολή μιας τέτοιας «επιστολής υπενθύμισης εμβολιασμού» χρησιμοποιώντας δεδομένα από το κεντρικό μητρώο εμβολιασμών και το μητρώο ασθενών.
17 Σύμφωνα με το αιτούν δικαστήριο, δεδομένης της έγκρισης του Κυβερνήτη, μόνο ο τελευταίος αποφάσισε τόσο τον σκοπό όσο και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οπότε το Γραφείο δεν μπορεί να έχει την ιδιότητα του «υπεύθυνου επεξεργασίας» κατά την έννοια του άρθρου 4, παράγραφος 7, πρώτη περίοδος, του GDPR.
18 Ωστόσο, το εν λόγω δικαστήριο αμφισβητεί αν το Γραφείο θα μπορούσε εγκύρως να έχει οριστεί ως τέτοιο από διάταξη του εθνικού δικαίου, ήτοι το άρθρο 2, παράγραφος 1, στοιχείο α΄, του TDVG.
19 Πράγματι, το Γραφείο δεν θα ήταν νομικό πρόσωπο ή αρχή υπεύθυνη για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που οδήγησαν στην αποστολή «επιστολής υπενθύμισης εμβολιασμού» στη CW. Το Γραφείο θα είχε παρέμβει σε αυτήν την επεξεργασία μόνο ως επικουρική διοικητική οντότητα που θα εξυπηρετεί μια δημόσια αρχή. Θα στερούνταν νομικής προσωπικότητας και δικής του δικαιοπρακτικής ικανότητας. Ως εκ τούτου, θα ήταν σκόπιμο να καθοριστεί εάν το Γραφείο μπορεί, υπό αυτές τις συνθήκες, να θεωρηθεί ως «τμήμα ή άλλος φορέας», κατά την έννοια του άρθρου 4 παράγραφος 7, πρώτη πρόταση, του GDPR, ο οποίος μπορεί να οριστεί ως υπεύθυνος επεξεργασίας σύμφωνα με το εθνικό δίκαιο, σύμφωνα με το άρθρο 4 παράγραφος 7 δεύτερη πρόταση του εν λόγω κανονισμού.
20 Επιπλέον, το εν λόγω δικαστήριο υπενθυμίζει ότι, σύμφωνα με το άρθρο 4, σημείο 7, δεύτερη πρόταση, του GDPR, ο υπεύθυνος επεξεργασίας δεδομένων μπορεί να οριστεί απευθείας μόνο στο βαθμό που οι σκοποί και τα μέσα επεξεργασίας των οικείων προσωπικών δεδομένων καθορίζονται από το εθνικό δίκαιο. Ωστόσο, παρόλο που το άρθρο 2 παράγραφος 1 στοιχείο α) του TDVG ορίζει το Γραφείο ως υπεύθυνο επεξεργασίας, δεν αναφέρει συγκεκριμένα τους τύπους επεξεργασίας δεδομένων προσωπικού χαρακτήρα που μπορεί να πραγματοποιήσει το Γραφείο, τους σκοπούς που πρέπει να επιδιώκει η εν λόγω επεξεργασία ή τα μέσα που μπορεί να εφαρμόσει το Γραφείο για τον σκοπό αυτό.
21 Το αιτούν δικαστήριο προσθέτει ότι από το άρθρο 6 παράγραφος 1 στοιχεία γ) και ε) του GDPR προκύπτει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι νόμιμη εάν είναι απαραίτητη για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή εάν είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση επίσημης εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Από αυτές τις προϋποθέσεις νομιμότητας και από τον στόχο που επιδιώκεται από το άρθρο 4, σημείο 7, του GDPR για τη διασφάλιση αποτελεσματικής και εκτεταμένης προστασίας των υποκειμένων των δεδομένων, τα κράτη μέλη θα μπορούσαν να ορίσουν ως υπεύθυνο επεξεργασίας μόνο ένα πρόσωπο ή οντότητα που είναι σε θέση να καθορίσει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα ή, τουλάχιστον, να συμμετάσχει σε αυτόν τον προσδιορισμό.
22 Υπό τις συνθήκες αυτές, το Verwaltungsgerichtshof (διοικητικό δικαστήριο) αποφάσισε να αναστείλει τη διαδικασία και να υποβάλει στο Δικαστήριο το ακόλουθο προδικαστικό ερώτημα:
«Πρέπει να ερμηνευθεί το άρθρο 4 παράγραφος 7 του [GDPR] ότι αποκλείει την εφαρμογή διάταξης του εθνικού δικαίου (όπως στην προκειμένη περίπτωση το άρθρο 2 παράγραφος 1 του [TDVG]) που, αν και προβλέπει έναν υπεύθυνο επεξεργασίας που ορίζεται κατά την έννοια του άρθρου 4 παράγραφος 7, δεύτερη πρόταση, του GDPR,
– το οποίο είναι απλό αξίωμα (όπως εν προκειμένω το [Γραφείο]) το οποίο, αν και ιδρύθηκε από το νόμο, δεν είναι φυσικό ή νομικό πρόσωπο και, εν προκειμένω, δεν είναι ούτε δημόσια αρχή, αλλά λειτουργεί μόνο ως βοηθητικό όργανό του και δεν έχει (μερική) δικαιοπρακτική ικανότητα·
– του οποίου ο ορισμός πραγματοποιείται χωρίς αναφορά σε συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα και για τον οποίο, κατά συνέπεια, δεν προβλέπεται συγκεκριμένος σκοπός ή τρόπος επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τη νομοθεσία του κράτους μέλους·
– ποιος, στην προκειμένη περίπτωση, δεν αποφάσισε, είτε μόνος είτε από κοινού με άλλους, για τους σκοπούς και τα μέσα επεξεργασίας των εν λόγω προσωπικών δεδομένων; »
Επί της προκαταρκτικής ερώτησης
23 Με το ερώτημά του, το αιτούν δικαστήριο ερωτά, κατ’ ουσίαν, εάν το άρθρο 4, παράγραφος 7, του GDPR πρέπει να ερμηνευθεί ως αποκλείοντας την εθνική νομοθεσία η οποία ορίζει, ως υπεύθυνο επεξεργασίας, μια επικουρική διοικητική οντότητα χωρίς νομική προσωπικότητα ή δικαιοπρακτική ικανότητα, χωρίς να προσδιορίζει συγκεκριμένα τις συγκεκριμένες πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες είναι υπεύθυνες οι εργασίες αυτές. Αυτό το δικαστήριο επιθυμεί επίσης να μάθει εάν το άρθρο 4 παράγραφος 7 του GDPR πρέπει να ερμηνευθεί ότι σημαίνει ότι μια οντότητα που ορίζεται από το εθνικό δίκαιο ως υπεύθυνος επεξεργασίας, σύμφωνα με αυτή τη διάταξη, πρέπει πράγματι να αποφασίσει για τους σκοπούς και τα μέσα επεξεργασίας προσωπικών δεδομένων προκειμένου να απαιτείται να ανταποκρίνεται, ως υπεύθυνος επεξεργασίας, σε αιτήματα που του απευθύνονται από τα υποκείμενα των δεδομένων βάσει των δικαιωμάτων που απορρέουν από το GDPR.
24 Προκαταρκτικά, πρέπει να υπενθυμιστεί ότι, σύμφωνα με το άρθρο 4 παράγραφος 7 του GDPR, η έννοια του «υπεύθυνου επεξεργασίας» καλύπτει φυσικά ή νομικά πρόσωπα, δημόσιες αρχές, υπηρεσίες ή άλλους φορείς που, μόνα τους ή από κοινού με άλλους, καθορίζουν τους σκοπούς και τα μέσα επεξεργασίας. Η διάταξη αυτή ορίζει επίσης ότι, όταν οι σκοποί και τα μέσα αυτής της επεξεργασίας καθορίζονται ιδίως από το δίκαιο ενός κράτους μέλους, ο υπεύθυνος επεξεργασίας μπορεί να οριστεί ή τα ειδικά κριτήρια για τον ορισμό του μπορούν να προβλέπονται από τον εν λόγω νόμο.
25 Από τη νομολογία του Δικαστηρίου προκύπτει ότι η διάταξη αυτή αποσκοπεί στη διασφάλιση, μέσω ενός ευρύτερου ορισμού της έννοιας του «υπεύθυνου επεξεργασίας», αποτελεσματική και ολοκληρωμένη προστασία των υποκειμένων των δεδομένων (βλ., για το σκοπό αυτό, αποφάσεις της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, παράγραφοι 22,9 και 29,33, ΕΕ: 5 Δεκεμβρίου 2023, Deutsche Wohnen , C‑807/21, EU:C:2023:950, παράγραφος 40).
26 Ο στόχος που επιδιώκεται από τον ΓΚΠΔ, όπως ορίζεται στο άρθρο 1 και στις αιτιολογικές σκέψεις 1 και 10 του, συνίσταται ιδίως στη διασφάλιση υψηλού επιπέδου προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, ιδίως του δικαιώματός τους στην ιδιωτική ζωή όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, που κατοχυρώνεται στο άρθρο 8 παράγραφος 1 του Χάρτη των Δικαιωμάτων (1) του Ταμείου (1) του Ταμείου 201 της ΕΕ 4, IAB Europe , C‑604/22, EU:C:2024:214, σκέψη 53 και παρατιθέμενη νομολογία).
27 Λαμβάνοντας υπόψη τη διατύπωση του άρθρου 4 παράγραφος 7 του GDPR, λαμβανομένου υπόψη αυτού του στόχου, προκειμένου να καθοριστεί εάν ένα πρόσωπο ή οντότητα πρέπει να ταξινομηθεί ως «υπεύθυνος επεξεργασίας» κατά την έννοια της εν λόγω διάταξης, είναι απαραίτητο να εξεταστεί εάν αυτό το πρόσωπο ή η οντότητα καθορίζει, μόνο ή από κοινού με άλλους, τους σκοπούς και τα μέσα της επεξεργασίας ή αν αυτά καθορίζονται από την εθνική νομοθεσία. Όταν μια τέτοια απόφαση λαμβάνεται από το εθνικό δίκαιο, τότε είναι σκόπιμο να επαληθεύεται εάν ο νόμος αυτός ορίζει τον υπεύθυνο επεξεργασίας ή προβλέπει τα ειδικά κριτήρια που ισχύουν για τον ορισμό του [απόφαση της 11ης Ιανουαρίου 2024, Βελγικό Κράτος (Δεδομένα επεξεργασμένα από επίσημη εφημερίδα) , C‑231/22, EU:C:2024:297, παράγραφος 2.
28 Λαμβάνοντας υπόψη τον ευρύ ορισμό της έννοιας «υπεύθυνος επεξεργασίας» κατά την έννοια του άρθρου 4 παράγραφος 7 του GDPR, ο καθορισμός των σκοπών και των μέσων επεξεργασίας και, κατά περίπτωση, ο ορισμός αυτού του υπευθύνου επεξεργασίας από το εθνικό δίκαιο μπορεί να είναι όχι μόνο ρητός αλλά και σιωπηρός. Στην τελευταία περίπτωση, απαιτείται ωστόσο ο προσδιορισμός αυτός να προκύπτει με επαρκή βεβαιότητα από τον ρόλο, την αποστολή και τις εξουσίες που έχουν ανατεθεί στο ενδιαφερόμενο πρόσωπο ή οντότητα (απόφαση της 11ης Ιανουαρίου 2024, Βελγικό Κράτος (Δεδομένα επεξεργασμένα από επίσημη εφημερίδα) , C‑231/22, EU:30,20 παράγραφος 2).
29 Υπό το φως αυτών των προκαταρκτικών σκέψεων πρέπει να εξεταστεί το υποβληθέν ερώτημα. Για το σκοπό αυτό, είναι σκόπιμο, πρώτον, να καθοριστεί σε ποιο βαθμό ο εθνικός νομοθέτης μπορεί εγκύρως να ορίσει ένα βοηθητικό διοικητικό όργανο που υπηρετεί τις δημόσιες αρχές ως υπεύθυνο επεξεργασίας, κατά την έννοια του άρθρου 4 παράγραφος 7, δεύτερη πρόταση, του GDPR, όταν το όργανο αυτό στερείται νομικής προσωπικότητας και δικαιοπρακτικής ικανότητας.
30 Συναφώς, πρέπει να σημειωθεί, πρώτον, ότι το Δικαστήριο έχει ήδη κρίνει ότι είναι σαφές από τη σαφή διατύπωση του άρθρου 4 παράγραφος 7 του GDPR ότι ο υπεύθυνος επεξεργασίας μπορεί να είναι όχι μόνο φυσικό ή νομικό πρόσωπο, αλλά και δημόσια αρχή, υπηρεσία ή φορέας, οι οντότητες αυτές δεν έχουν απαραίτητα νομική προσωπικότητα σύμφωνα με το εθνικό δίκαιο (βλ. C ‑231/22, EU:C:2024:7, παράγραφος 36).
31 Επομένως, δεν μπορεί να αποκλειστεί ότι μια οντότητα μπορεί να χαρακτηριστεί ως «υπεύθυνος επεξεργασίας δεδομένων», κατά την έννοια της παρούσας διάταξης, ακόμη και αν στερείται νομικής προσωπικότητας.
32 Επιπλέον, όσον αφορά το ερώτημα εάν ο χαρακτηρισμός μιας οντότητας ως «υπεύθυνος επεξεργασίας» απαιτεί την ύπαρξη δικής της νομικής ικανότητας εκ μέρους της εν λόγω οντότητας ή εάν αρκεί για τον σκοπό αυτό η οικεία οντότητα να έχει κάποια ικανότητα να λαμβάνει αποφάσεις και να λαμβάνει μέτρα στο πλαίσιο της προστασίας των δεδομένων προσωπικού χαρακτήρα, θα πρέπει να υπενθυμιστεί ότι η επιδιωκόμενη από τη νομοθεσία PR είναι σαφής από την PR πανομοιότυπη ανεξάρτητα από την επεξεργασία προσωπικών δεδομένων που διενεργεί, είτε από μόνη της είτε μέσω τρίτου, αλλά για λογαριασμό της. Αυτός ο νομοθέτης είχε επίσης σκοπό να διασφαλίσει ότι ο υπεύθυνος επεξεργασίας υποχρεούται να εφαρμόζει κατάλληλα και αποτελεσματικά μέτρα και είναι σε θέση να αποδείξει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των εν λόγω μέτρων.
33 Σε αυτόν τον βαθμό, το άρθρο 5 παράγραφος 2 του GDPR θεσπίζει μια αρχή λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για τη διασφάλιση της συμμόρφωσης με τις αρχές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ορίζονται στην παράγραφο 1 του άρθρου 5, και προβλέπει ότι ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι αυτές οι αρχές τηρούνται.
34 Λαμβανομένων υπόψη των νομικών υποχρεώσεων στις οποίες υπόκειται ο υπεύθυνος επεξεργασίας που αναφέρεται στο άρθρο 4 παράγραφος 7 του GDPR, ο υπεύθυνος επεξεργασίας πρέπει, σύμφωνα με τις διαδικασίες που ορίζονται από τους κανονισμούς του κράτους μέλους στο οποίο υπόκειται, να είναι σε θέση να εκπληρώσει, ουσιαστικά και νομικά, αυτές τις υποχρεώσεις, χωρίς να έχει σημασία ως προς το αν η εν λόγω οντότητα έχει νομική ικανότητα ή όχι.
35 Εν προκειμένω, εναπόκειται στο αιτούν δικαστήριο να επαληθεύσει εάν το Γραφείο εξουσιοδοτείται από το αυστριακό δίκαιο να αναλάβει τις ευθύνες και τις υποχρεώσεις που επιβάλλει ο GDPR στον υπεύθυνο επεξεργασίας, λαμβανομένου ιδίως υπόψη του γεγονότος, που δεν αμφισβητείται ενώπιον των εθνικών δικαστηρίων που εκδικάζουν τη διαφορά στην κύρια δίκη, ώστε το Γραφείο μπορεί να ασκήσει προσφυγή κατά της αρχής καταγγελίας ενώπιον της αρχής των δεδομένων. Το αιτούν δικαστήριο μπορεί επίσης να λάβει υπόψη το γεγονός ότι το Γραφείο ανέθεσε σε δύο ιδιωτικές εταιρείες την επεξεργασία δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στο κεντρικό μητρώο εμβολιασμών και στο μητρώο ασθενών που διαμένουν στο ομόσπονδο κράτος του Τιρόλου.
36 Δεύτερον, το αιτούν δικαστήριο διερωτάται εάν ένας εθνικός νομοθέτης μπορεί να ορίσει μια οντότητα ως υπεύθυνο επεξεργασίας, σύμφωνα με το άρθρο 4, παράγραφος 7, δεύτερη περίοδος του GDPR, χωρίς να προσδιορίζει, συγκεκριμένα, ούτε την επεξεργασία δεδομένων προσωπικού χαρακτήρα που μπορεί να απαιτείται να πραγματοποιήσει η εν λόγω οντότητα ή τον σκοπό τους ή τα ακριβή μέσα που μπορεί να εφαρμόσει για τους σκοπούς αυτής της επεξεργασίας.
37 Όπως υπενθυμίζεται στη σκέψη 28 της παρούσας απόφασης, όταν το εθνικό δίκαιο ορίζει μια οντότητα ως υπεύθυνο επεξεργασίας, ο καθορισμός των σκοπών και των μέσων επεξεργασίας από τη νομοθεσία αυτή μπορεί να είναι σιωπηρός, υπό τον όρο ότι ο προσδιορισμός αυτός απορρέει με αρκετή βεβαιότητα από τον ρόλο, την αποστολή και τις εξουσίες που έχουν ανατεθεί σε αυτήν την οντότητα. Η προϋπόθεση αυτή πληρούται εάν αυτοί οι σκοποί και τα μέσα προκύπτουν, κατ’ ουσίαν, από τις διατάξεις του εθνικού δικαίου που διέπουν τη δραστηριότητα της εν λόγω οντότητας.
38 Ο άμεσος ορισμός από τον εθνικό νομοθέτη μιας οντότητας ως υπεύθυνου επεξεργασίας συμβάλλει στον στόχο της ασφάλειας δικαίου που επιδιώκει ο GDPR, όπως προκύπτει από την αιτιολογική σκέψη 7, επιτρέποντας στα φυσικά πρόσωπα των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία να προσδιορίζουν εύκολα την οντότητα που είναι υπεύθυνη για τη διασφάλιση της συμμόρφωσης με τα δικαιώματα που τους παρέχει ο κανονισμός.
39 Ωστόσο, η εγκυρότητα μιας τέτοιας ονομασίας εξαρτάται από την προϋπόθεση ότι οι εθνικοί κανονισμοί καθορίζουν την έκταση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την οποία η εν λόγω οντότητα ορίζεται ως υπεύθυνη, χωρίς να είναι απαραίτητο ο νομοθέτης αυτός να έχει απαριθμήσει εξαντλητικά όλες τις εργασίες επεξεργασίας για τις οποίες έχει οριστεί η εν λόγω οντότητα. Όπως αναφέρεται στην αιτιολογική σκέψη 45 του παρόντος κανονισμού, «[μία] ενιαία νομική διάταξη μπορεί να αρκεί για τη θέσπιση πολλών εργασιών επεξεργασίας που βασίζονται σε νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή όπου η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας».
40 Επομένως, η εθνική νομοθεσία που ορίζει μια οντότητα ως υπεύθυνο επεξεργασίας χωρίς να απαριθμεί ρητά όλες τις συγκεκριμένες λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες είναι υπεύθυνη ή ο σκοπός αυτών των εργασιών επεξεργασίας είναι συμβατή με το άρθρο 4 παράγραφος 7 του GDPR, υπό τον όρο ότι η νομοθεσία αυτή καθορίζει, ρητά ή τουλάχιστον σιωπηρά, την έκταση της επεξεργασίας ως σχεδιασμού προσωπικών δεδομένων από τον υπεύθυνο ελέγχου.
41 Εν προκειμένω, εναπόκειται στο αιτούν δικαστήριο να εξακριβώσει, πρώτον, εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από το Γραφείο για τους σκοπούς της προετοιμασίας και αποστολής των επίμαχων στην κύρια δίκη «επιστολών υπενθύμισης εμβολιασμού» είναι συμβατή με τους σκοπούς που πρέπει να εκπληρωθούν από τις εργασίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες το Γραφείο έχει οριστεί ως υπεύθυνος επεξεργασίας λυ, τα μέσα που μπορεί να εφαρμόσει για το σκοπό αυτό. Το γεγονός και μόνο ότι αυτές οι εθνικές διατάξεις δεν προσδιορίζουν, όπου ενδείκνυται, με συγκεκριμένους όρους, τις εργασίες επεξεργασίας που εξουσιοδοτείται να πραγματοποιεί το Γραφείο, δεν μπορεί να αποκλείσει τον χαρακτηρισμό μιας οντότητας όπως το Γραφείο ως υπεύθυνου επεξεργασίας δεδομένων, κατά την έννοια του άρθρου 4, σημείο 7, του GDPR.
42 Τρίτον, το αιτούν δικαστήριο διερωτάται εάν μια οντότητα που ορίζεται από την εθνική νομοθεσία ως υπεύθυνος επεξεργασίας, σύμφωνα με το άρθρο 4 παράγραφος 7 δεύτερη πρόταση του GDPR, πρέπει επίσης να αποφασίσει η ίδια ή μαζί με άλλες αρμόδιες αρχές για τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων για τα οποία ορίζεται ως υπεύθυνος επεξεργασίας, προκειμένου να απαιτείται να ανταποκριθεί, με βάση τα δικαιώματα που απορρέουν από το GDPR.
43 Συναφώς, αρκεί να σημειωθεί ότι, προκειμένου να διαπιστωθεί η ιδιότητα του υπευθύνου της επεξεργασίας μιας οντότητας, κατά την έννοια του άρθρου 4 παράγραφος 7, πρώτη πρόταση του ΓΚΠΔ, είναι απαραίτητο να εξεταστεί εάν η οντότητα αυτή έχει πράγματι επηρεάσει, για τους δικούς της σκοπούς, τον προσδιορισμό των σκοπών και των μέσων αυτής της επεξεργασίας (βλ., για το σκοπό αυτό, tos centras , C‑683/21, EU:C:2023:949, παράγραφοι 30 και 31).
44 Αφετέρου, για να θεμελιωθεί η ιδιότητα του υπευθύνου επεξεργασίας μιας οντότητας, κατά την έννοια του άρθρου 4, σημείο 7, δεύτερη περίοδος, του GDPR, όπως προκύπτει από τη σαφή διατύπωση της εν λόγω διάταξης, δεν είναι απαραίτητο η οντότητα αυτή να ασκεί επιρροή στον καθορισμό των σκοπών και των μέσων αυτής της επεξεργασίας.
45 Μια τέτοια οντότητα, που ορίζεται από το εθνικό δίκαιο ως υπεύθυνος επεξεργασίας, δεν πρέπει να αποφασίζει η ίδια για τους σκοπούς και τα μέσα επεξεργασίας προσωπικών δεδομένων προκειμένου να πρέπει να ανταποκρίνεται, ως υπεύθυνος επεξεργασίας, στα αιτήματα που απευθύνονται στα υποκείμενα των δεδομένων σε αυτήν βάσει των δικαιωμάτων που απορρέουν από τον GDPR.
46 Συναφώς, το Δικαστήριο έχει ήδη κρίνει ότι η εγκυρότητα μιας άμεσης ονομασίας δεν επηρεάζεται από το γεγονός ότι, σύμφωνα με το εθνικό δίκαιο, η οντότητα που ορίζεται ως υπεύθυνος επεξεργασίας δεν ασκεί κανέναν έλεγχο επί των δεδομένων προσωπικού χαρακτήρα που καλείται να επεξεργαστεί (βλ., για το σκοπό αυτό, απόφαση της 11ης Ιανουαρίου 2024, Βελγικό Κράτος (Δεδομένα επεξεργασμένα από επίσημη εφημερίδα C2:2,2,3). 37 και 38).
47 Μια τέτοια ερμηνεία συνάδει με τον στόχο της ασφάλειας δικαίου που επιδιώκει ο GDPR. Όπως επεσήμανε η Ευρωπαϊκή Επιτροπή στις γραπτές παρατηρήσεις της, αυτός ο στόχος θα διακυβευόταν εάν, για να μπορέσουν να θεωρήσουν ότι αυτός ο χαρακτηρισμός έγινε έγκυρος από τον εθνικό νομοθέτη, τα υποκείμενα των δεδομένων έπρεπε να επαληθεύσουν ότι η οντότητα που ορίζεται ως υπεύθυνος επεξεργασίας των προσωπικών τους δεδομένων έχει την εξουσία να καθορίζει η ίδια τους σκοπούς και τα μέσα αυτής της επεξεργασίας.
48 Είναι επίσης σημαντικό να προστεθεί ότι το γεγονός ότι δεν είναι απαραίτητο για μια οντότητα που ορίζεται από το εθνικό δίκαιο ως υπεύθυνος επεξεργασίας να εξουσιοδοτείται να αποφασίζει η ίδια τους σκοπούς και τα μέσα επεξεργασίας προσωπικών δεδομένων προκειμένου να πρέπει να ανταποκρίνεται, ως υπεύθυνος επεξεργασίας, στα αιτήματα που απευθύνονται στα υποκείμενα των δεδομένων με βάση τα δικαιώματα που απορρέουν από τον GDPR, δεν θεωρεί, ωστόσο, ότι άλλο πρόσωπο το ζητά να στερήσει τον έλεγχο από κοινού υπεύθυνος επεξεργασίας της επεξεργασίας των προσωπικών τους δεδομένων λόγω της επιρροής που έχει ασκήσει αυτή η άλλη οντότητα στον καθορισμό των σκοπών και των μέσων της εν λόγω επεξεργασίας.
49 Λαμβάνοντας υπόψη τους προαναφερθέντες λόγους, η απάντηση στο υποβληθέν ερώτημα είναι ότι το άρθρο 4 παράγραφος 7 του GDPR πρέπει να ερμηνευθεί ότι δεν αποκλείει την εθνική νομοθεσία που ορίζει, ως υπεύθυνο επεξεργασίας, ένα βοηθητικό διοικητικό όργανο χωρίς νομική προσωπικότητα ή νομική ικανότητα, χωρίς να προσδιορίζει, συγκεκριμένα, τις συγκεκριμένες λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τον σκοπό του εν λόγω φορέα αυτή η εθνική νομοθεσία, οι υποχρεώσεις που υπέχει ο υπεύθυνος επεξεργασίας έναντι των υποκειμένων των δεδομένων σε σχέση με την προστασία των προσωπικών δεδομένων και, δεύτερον, ότι η εν λόγω εθνική νομοθεσία καθορίζει, ρητά ή τουλάχιστον σιωπηρά, την έκταση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την οποία είναι υπεύθυνος αυτός ο φορέας.
Επί του κόστους
50 Δεδομένου ότι η διαδικασία έχει, ως προς τους διαδίκους της κύριας δίκης, τον χαρακτήρα παρεμπίπτοντος που ασκήθηκε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα για την υποβολή παρατηρήσεων στο Δικαστήριο, πλην αυτών των εν λόγω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (όγδοο τμήμα) αποφασίζει:
Το άρθρο 4 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),
θα πρέπει να ερμηνευθεί ως εξής:
δεν αποκλείει εθνική νομοθεσία που ορίζει, ως υπεύθυνο επεξεργασίας, μια βοηθητική διοικητική οντότητα χωρίς νομική προσωπικότητα ή δική της νομική ικανότητα, χωρίς να προσδιορίζει, συγκεκριμένα, τις συγκεκριμένες λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες είναι υπεύθυνη αυτή η οντότητα, υπό τον όρο, αφενός, ότι μια τέτοια οντότητα μπορεί να ανταποκριθεί, σύμφωνα με την υποχρέωση προστασίας δεδομένων προσωπικού χαρακτήρα, σύμφωνα με την εθνική νομοθεσία , αφετέρου, ότι η εν λόγω εθνική νομοθεσία καθορίζει, ρητά ή τουλάχιστον σιωπηρά, την έκταση της επεξεργασίας των προσωπικών δεδομένων για την οποία είναι υπεύθυνος αυτός ο φορέας.
Υπογραφές
