Language of document : ECLI:EU:C:2023:745

Προσωρινό κείμενο

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (όγδοο τμήμα)

της 5ης Οκτωβρίου 2023 (*)

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕE) 2016/679 – Άρθρο 4, σημείο 2 – Έννοια της “επεξεργασίας” δεδομένων προσωπικού χαρακτήρα – Εφαρμογή για κινητά τηλέφωνα – Επαλήθευση της εγκυρότητας των “ψηφιακών πιστοποιητικών COVID της ΕΕ”, τα οποία έχουν εκδοθεί δυνάμει του κανονισμού (ΕΕ) 2021/953»

Στην υπόθεση C‑659/22,

με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, την οποία υπέβαλε το Nejvyšší správní soud (Ανώτατο Διοικητικό Δικαστήριο, Τσεχική Δημοκρατία) με απόφαση της 12ης Οκτωβρίου 2022, που περιήλθε στο Δικαστήριο στις 20 Οκτωβρίου 2022, στο πλαίσιο της δίκης

RK

κατά

Ministerstvo zdravotnictví,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (όγδοο τμήμα),

συγκείμενο από τους M. Safjan, πρόεδρο τμήματος, N. Piçarra και M. Gavalec (εισηγητή), δικαστές,

γενική εισαγγελέας: L. Medina

γραμματέας: A. Calot Escobar

έχοντας υπόψη την έγγραφη διαδικασία,

λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:

–        ο RK, εκπροσωπούμενος από την D. Sudolská, advokátka,

–        η Τσεχική Κυβέρνηση, εκπροσωπούμενη από τους M. Smolek, O. Serdula και J. Vláčil,

–        η Ολλανδική Κυβέρνηση, εκπροσωπούμενη από τις M. K. Bulterman και A. Hanje,

–        η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους Α. Μπουχάγιαρ, H. Kranenborg και P. Ondrůšek,

κατόπιν της αποφάσεως που έλαβε, αφού άκουσε τη γενική εισαγγελέα, να εκδικάσει την υπόθεση χωρίς ανάπτυξη προτάσεων,

εκδίδει την ακόλουθη

Απόφαση

1        Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 2, παράγραφος 1, και του άρθρου 4, σημείο 2, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ).

2        Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του RK και του Ministerstvo zdravotnictví  (Υπουργείου Υγείας, Τσεχική Δημοκρατία, στο εξής: Υπουργείο), με αντικείμενο τη λήψη, από το Υπουργείο, έκτακτου μέτρου για τη ρύθμιση της πρόσβασης σε ορισμένους χώρους και ορισμένες εκδηλώσεις, με σκοπό την προστασία του πληθυσμού από την εξάπλωση της επιδημίας του COVID‑19.

 Το νομικό πλαίσιο

 Ο ΓΚΠΔ

3        Κατά την αιτιολογική σκέψη 1 του ΓΚΠΔ, «[η] προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8, παράγραφος 1, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης [...] και το άρθρο 16, παράγραφος 1, της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν».

4        Το άρθρο 2 του ΓΚΠΔ φέρει τον τίτλο «Ουσιαστικό πεδίο εφαρμογής» και ορίζει στην παράγραφο 1 τα εξής:

«Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.»

5        Στην παράγραφο 2 του άρθρου αυτού απαριθμούνται τέσσερις περιπτώσεις στις οποίες ο ΓΚΠΔ «δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα».

6        Κατά το άρθρο 4 του ΓΚΠΔ:

«Για τους σκοπούς του παρόντος κανονισμού, νοούνται ως:

1)      “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

2)      “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

[...]».

7        Τα άρθρα 5 και 6 του ΓΚΠΔ έχουν ως αντικείμενο τις «[α]ρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα» και τη «[ν]ομιμότητα της επεξεργασίας» αντιστοίχως.

 Ο κανονισμός (ΕΕ) 2021/953

8        Η αιτιολογική σκέψη 48 του κανονισμού (ΕΕ) 2021/953 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Ιουνίου 2021, σχετικά με πλαίσιο για την έκδοση, την επαλήθευση και την αποδοχή διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή (Ψηφιακό Πιστοποιητικό COVID της ΕΕ) με σκοπό να διευκολυνθεί η ελεύθερη κυκλοφορία κατά τη διάρκεια της πανδημίας της COVID‑19 (ΕΕ 2021, L 211 σ. 1), έχει ως εξής:

«Ο [ΓΚΠΔ] εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται κατά την εφαρμογή του παρόντος κανονισμού. Ο παρών κανονισμός θεσπίζει τη νομική βάση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 6, παράγραφος 1, στοιχείο γʹ, και του άρθρου 9, παράγραφος 2, στοιχείο ζʹ, του [ΓΚΠΔ], τα οποία είναι αναγκαία για την έκδοση και την επαλήθευση των διαλειτουργικών πιστοποιητικών που προβλέπονται στον παρόντα κανονισμό. [...] Τα κράτη μέλη δύνανται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για άλλους σκοπούς, αν η νομική βάση για την επεξεργασία των δεδομένων αυτών για άλλους σκοπούς, συμπεριλαμβανομένων των σχετικών περιόδων διατήρησης, παρέχεται στο εθνικό δίκαιο, το οποίο πρέπει να συνάδει με το ενωσιακό δίκαιο για την προστασία των δεδομένων και τις αρχές της αποτελεσματικότητας, της αναγκαιότητας και της αναλογικότητας και θα πρέπει να περιλαμβάνει διατάξεις που να προσδιορίζουν σαφώς το αντικείμενο και την έκταση της επεξεργασίας, τον συγκεκριμένο σκοπό, τις κατηγορίες οντοτήτων που μπορούν να επαληθεύουν το πιστοποιητικό, καθώς και τις σχετικές εγγυήσεις για την πρόληψη των διακρίσεων και των καταχρήσεων, λαμβάνοντας υπόψη τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. [...]»

9        Το άρθρο 1 του κανονισμού αυτού, το οποίο φέρει τον τίτλο «Αντικείμενο», ορίζει τα εξής:

«Ο παρών κανονισμός θεσπίζει πλαίσιο για την έκδοση, την επαλήθευση και την αποδοχή διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή (Ψηφιακό Πιστοποιητικό COVID της ΕΕ), για τη διευκόλυνση της άσκησης του δικαιώματος ελεύθερης κυκλοφορίας των κατόχων τους κατά τη διάρκεια της πανδημίας της COVID‑19. Ο παρών κανονισμός συμβάλλει επίσης στη διευκόλυνση της σταδιακής άρσης των περιορισμών στην ελεύθερη κυκλοφορία που εφαρμόζονται από τα κράτη μέλη, σύμφωνα με το δίκαιο της Ένωσης, για τον περιορισμό της διασποράς του SARS‑CoV‑2, με συντονισμένο τρόπο.

Παρέχει τη νομική βάση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για την έκδοση των εν λόγω πιστοποιητικών και για την επεξεργασία των πληροφοριών που είναι αναγκαίες για την επαλήθευση και την επιβεβαίωση της γνησιότητας και της εγκυρότητας των εν λόγω πιστοποιητικών σε πλήρη συμμόρφωση προς τον [ΓΚΠΔ].»

10      Το άρθρο 3 του εν λόγω κανονισμού, το οποίο επιγράφεται «Ψηφιακό Πιστοποιητικό COVID της ΕΕ», προβλέπει στην παράγραφο 1 ότι το πλαίσιο για το Ψηφιακό Πιστοποιητικό COVID της ΕΕ καθιστά δυνατή τη διασυνοριακή έκδοση, επαλήθευση και αποδοχή των πιστοποιητικών εμβολιασμού, διαγνωστικού ελέγχου και ανάρρωσης. Επιπλέον, κατά την παράγραφο 2 του ίδιου άρθρου, «[τ]α κράτη μέλη ή εντεταλμένοι φορείς που ενεργούν εξ ονόματος κρατών μελών εκδίδουν τα πιστοποιητικά που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου σε ψηφιακή μορφή, έντυπη μορφή ή αμφότερες τις εν λόγω μορφές. Οι δικαιούχοι λαμβάνουν τα πιστοποιητικά στη μορφή της επιλογής τους. Τα εν λόγω πιστοποιητικά είναι εύχρηστα και περιέχουν διαλειτουργικό ραβδοκώδικα που καθιστά δυνατή την επαλήθευση της γνησιότητας, της εγκυρότητας και της ακεραιότητάς τους. Ο ραβδοκώδικας πληροί τις τεχνικές προδιαγραφές που καθορίζονται σύμφωνα με το άρθρο 9. Οι πληροφορίες που περιέχονται στα πιστοποιητικά αναγράφονται επίσης σε μορφή αναγνώσιμη από τον άνθρωπο και παρέχονται τουλάχιστον στην επίσημη γλώσσα ή τις επίσημες γλώσσες του κράτους μέλους έκδοσης και στα αγγλικά».

11      Το άρθρο 5, παράγραφος 2, στοιχείο αʹ, το άρθρο 6, παράγραφος 2, στοιχείο αʹ, και το άρθρο 7, παράγραφος 2, στοιχείο αʹ, του ως άνω κανονισμού προβλέπουν, αντιστοίχως, για το πιστοποιητικό εμβολιασμού, για το πιστοποιητικό διαγνωστικού ελέγχου και για το πιστοποιητικό ανάρρωσης ότι περιέχουν τα στοιχεία της ταυτότητας του κατόχου τους.

12      Το άρθρο 10 του ίδιου κανονισμού τιτλοφορείται «Προστασία δεδομένων προσωπικού χαρακτήρα» και ορίζει στις πρώτες τέσσερις παραγράφους του τα εξής:

«1.      Η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της εφαρμογής του παρόντος κανονισμού υπόκειται στις διατάξεις του [ΓΚΠΔ].

2.      Για τους σκοπούς του παρόντος κανονισμού, τα δεδομένα προσωπικού χαρακτήρα που περιέχονται στα πιστοποιητικά που εκδίδονται σύμφωνα με τον παρόντα κανονισμό υποβάλλονται σε επεξεργασία μόνο για τον σκοπό της πρόσβασης στις πληροφορίες που περιλαμβάνονται στο πιστοποιητικό και της επαλήθευσής τους, προκειμένου να διευκολυνθεί η άσκηση του δικαιώματος ελεύθερης κυκλοφορίας εντός της Ένωσης κατά τη διάρκεια της πανδημίας της COVID‑19. Μετά τη λήξη της περιόδου εφαρμογής του παρόντος κανονισμού, δεν πραγματοποιείται περαιτέρω επεξεργασία.

3.      Τα δεδομένα προσωπικού χαρακτήρα που περιέχονται στα πιστοποιητικά που αναφέρονται στο άρθρο 3, παράγραφος 1, υποβάλλονται σε επεξεργασία από τις αρμόδιες αρχές του κράτους μέλους προορισμού ή διέλευσης ή από τους παρόχους διασυνοριακών υπηρεσιών επιβατικών μεταφορών που υποχρεούνται, βάσει του εθνικού δικαίου, να εφαρμόζουν ορισμένα μέτρα δημόσιας υγείας κατά τη διάρκεια της πανδημίας COVID‑19 μόνο για να επαληθεύσουν και να επιβεβαιώσουν ότι ο κάτοχος εμβολιάστηκε, υποβλήθηκε σε διαγνωστικό έλεγχο ή ανάρρωσε. Για τον σκοπό αυτό, τα δεδομένα προσωπικού χαρακτήρα περιορίζονται στα απολύτως αναγκαία. Τα δεδομένα προσωπικού χαρακτήρα στα οποία αποκτάται πρόσβαση σύμφωνα με την παρούσα παράγραφο δεν διατηρούνται.

4.      Τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για τον σκοπό της έκδοσης των πιστοποιητικών που αναφέρονται στο άρθρο 3 παράγραφος 1, συμπεριλαμβανομένης της έκδοσης νέου πιστοποιητικού, δεν διατηρούνται από τον εκδότη για χρονικό διάστημα μεγαλύτερο από το αυστηρά αναγκαίο για τον σκοπό της επεξεργασίας τους και σε καμία περίπτωση δεν διατηρούνται για χρονικό διάστημα μεγαλύτερο από το διάστημα κατά το οποίο τα πιστοποιητικά είναι δυνατόν να χρησιμοποιηθούν για την άσκηση του δικαιώματος ελεύθερης κυκλοφορίας.»

 Η διαφορά της κύριας δίκης και το προδικαστικό ερώτημα

13      Το Υπουργείο, με έκτακτο μέτρο της 29ης Δεκεμβρίου 2021 (στο εξής: έκτακτο μέτρο), το οποίο ελήφθη για την προστασία του πληθυσμού από την περαιτέρω εξάπλωση της πανδημίας COVID‑19, έθεσε διάφορους όρους που θα ίσχυαν από 3ης Ιανουαρίου 2022 για τη ρύθμιση της πρόσβασης σε ορισμένους εσωτερικούς και εξωτερικούς χώρους, καθώς και της συμμετοχής σε μαζικές εκδηλώσεις ή άλλες δραστηριότητες. Ειδικότερα απαιτούνταν, πρώτον, αρνητικό αποτέλεσμα σε τεστ RT‑PCR για την ανίχνευση του ιού SARS‑CoV‑2 διενεργηθέν εντός των τελευταίων 72 ωρών, όσον αφορά τα άτομα τα οποία είτε δεν είχαν συμπληρώσει την ηλικία των 18 ετών, είτε δεν ήταν σε θέση να εμβολιαστούν έναντι της COVID‑19 λόγω αντένδειξης, είτε δεν καλύπτονταν από πλήρες εμβολιαστικό σχήμα· δεύτερον, παρέλευση χρονικού διαστήματος τουλάχιστον 14 ημερών από την ολοκλήρωση του εμβολιαστικού σχήματος με εγκεκριμένο σκεύασμα ή, τρίτον, εργαστηριακά επιβεβαιωμένη νόσηση με COVID‑19, εφόσον η περίοδος απομόνωσης είχε λήξει και δεν είχαν παρέλθει περισσότερες από 180 ημέρες από το πρώτο θετικό αποτέλεσμα διαγνωστικού ελέγχου (στο εξής: προϋποθέσεις για τη λεγόμενη «απουσία λοίμωξης»).

14      Κατ’ εφαρμογήν του έκτακτου αυτού μέτρου, οι μεν πελάτες (θεατές, συμμετέχοντες) ήταν υποχρεωμένοι να αποδεικνύουν ότι πληρούσαν τις ανωτέρω προϋποθέσεις, οι δε φορείς εκμετάλλευσης (διοργανωτές) όφειλαν να ελέγχουν τη συμμόρφωση με τις προϋποθέσεις αυτές χρησιμοποιώντας την ηλεκτρονική εφαρμογή του Υπουργείου με την ονομασία «čTečka». Εάν ο πελάτης δεν αποδείκνυε ότι πληρούσε τις προϋποθέσεις, απαγορευόταν στον φορέα εκμετάλλευσης να του παράσχει την υπηρεσία και του επιτρέψει την είσοδο στον χώρο ή στην εκδήλωση. Στο πλαίσιο του έκτακτου αυτού μέτρου, η ηλεκτρονική εφαρμογή διασφάλιζε την αξιόπιστη επαλήθευση της αυθεντικότητας και της εγκυρότητας του προσκομιζόμενου δικαιολογητικού με τον κωδικό QR.

15      Προκειμένου να αποφανθεί επί της προσφυγής την οποία άσκησε ο RK στις 20 Ιανουαρίου 2022 ζητώντας την ακύρωση του έκτακτου μέτρου, το Nejvyšší správní soud (Ανώτατο Διοικητικό Δικαστήριο, Τσεχική Δημοκρατία), ήτοι το αιτούν δικαστήριο, κρίνει ότι είναι αναγκαίο να εξετάσει, κατ’ αρχάς, αν ο έλεγχος των προϋποθέσεων για τη λεγόμενη «απουσία λοίμωξης» μέσω της εφαρμογής «čTečka» συνιστά αυτοματοποιημένη «επεξεργασία» δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ, διευκρινιζομένου ότι, σύμφωνα με την εκτίμηση του αιτούντος δικαστηρίου, οι πληροφορίες που περιέχονται στα ψηφιακά πιστοποιητικά της ΕΕ αποτελούν δεδομένα προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ. Σε περίπτωση καταφατικής απαντήσεως, ο ΓΚΠΔ τυγχάνει εφαρμογής δυνάμει του άρθρου του 2, παράγραφος 1.

16      Το αιτούν δικαστήριο επισημαίνει ότι η ηλεκτρονική εφαρμογή «čTečka» χρησιμεύει για τον έλεγχο και την επαλήθευση των ψηφιακών πιστοποιητικών COVID της ΕΕ που έχουν εκδοθεί δυνάμει του κανονισμού 2021/953. Η εφαρμογή σαρώνει τον κωδικό QR του πιστοποιητικού με την κάμερα του κινητού τηλεφώνου του προσώπου που έχει αναλάβει τη διενέργεια του ελέγχου. Το πρόσωπο αυτό αποκτά, κατόπιν τούτου, πρόσβαση σε μια επισκόπηση των βασικών στοιχείων ταυτοποίησης του κατόχου (επώνυμο, όνομα και ημερομηνία γέννησης) καθώς και εικόνα του αν το πιστοποιητικό είναι έγκυρο ή άκυρο. Κάνοντας κλικ σε ειδικό εικονίδιο της εφαρμογής, το πρόσωπο που έχει αναλάβει τη διενέργεια του ελέγχου αποκτά πρόσβαση στο σύνολο των πληροφοριών που αναγράφονται στο πιστοποιητικό, όπως οι σχετικές με τον εμβολιασμό, το είδος και τον παρασκευαστή του εμβολίου, τον αριθμό των δόσεων, την ημερομηνία του εμβολιασμού, την ημερομηνία του πρώτου θετικού αποτελέσματος και τον εκδότη του πιστοποιητικού. Η εφαρμογή «čTečka» εμφανίζει μόνο προσωρινά τα δεδομένα αυτά στην οθόνη του κινητού τηλεφώνου του αρμοδίου για τη διενέργεια του ελέγχου, όπερ σημαίνει ότι τα δεδομένα ούτε διατηρούνται ούτε διαβιβάζονται.

17      Το αιτούν δικαστήριο εξηγεί ότι, για τις ανάγκες της επαλήθευσης της εγκυρότητας των ψηφιακών πιστοποιητικών COVID της ΕΕ, η εφαρμογή μεταφορτώνει από τη διεπαφή του Υπουργείου, μία φορά ανά εικοσιτετράωρο ή κατόπιν αιτήματος, τα δημόσια κλειδιά των πιστοποιητικών των κρατών μελών και τους κανόνες επικύρωσής τους. Η διεργασία αυτή μπορεί να γίνει και εκτός δικτύου (off-line). Κατά την εγκατάσταση της εφαρμογής στο κινητό τηλέφωνο του προσώπου που έχει αναλάβει τη διενέργεια του ελέγχου, εμφανίζεται κείμενο στο οποίο αναγράφεται ότι «η εφαρμογή λειτουργεί σύμφωνα με το δίκαιο της Ένωσης και με το δίκαιο της Τσεχικής Δημοκρατίας και διευκολύνει την ελεύθερη κυκλοφορία των προσώπων και την πρόσβαση σε υπηρεσίες και σε εκδηλώσεις κατά την πανδημία του COVID‑19. Η εφαρμογή επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα των κατόχων ψηφιακών πιστοποιητικών COVID των κρατών μελών της Ένωσης ενόψει του ελέγχου τους από πρόσωπα εξουσιοδοτημένα βάσει του ενωσιακού κανονισμού, τυχόν έκτακτων μέτρων του [Υπουργείου] ή σε οικειοθελή βάση. Η εφαρμογή δεν διατηρεί και δεν διαβιβάζει περαιτέρω τα δεδομένα προσωπικού χαρακτήρα και τα δεδομένα της υγείας των ατόμων που ελέγχονται. Στις οδηγίες χρήσης περιλαμβάνονται λεπτομερείς πληροφορίες ως προς την επεξεργασία των δεδομένων προσωπικού χαρακτήρα».

18      Το αιτούν δικαστήριο διαπιστώνει επιπλέον ότι, βάσει του άρθρου 3, παράγραφος 2, του κανονισμού 2021/953, κάθε πιστοποιητικό που χορηγείται από κράτος μέλος πρέπει να περιέχει διαλειτουργικό ραβδοκώδικα, χάρη στον οποίο μπορεί να επαληθευθεί η γνησιότητα, η εγκυρότητα και η ακεραιότητά του. Επισημαίνει ότι η μετατροπή των δεδομένων προσωπικού χαρακτήρα που μνημονεύονται στη σκέψη 16 της παρούσας αποφάσεως από μηχαναγνώσιμη μορφή σε μορφή αναγνώσιμη από τον άνθρωπο πραγματοποιείται με τη συνδρομή ενός αυτοματοποιημένου μέσου, και πιο συγκεκριμένα μέσω της εφαρμογής «čTečka», όπερ θα μπορούσε να αποτελεί χαρακτηριστικό επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ.

19      Το αιτούν δικαστήριο διατηρεί ωστόσο αμφιβολίες περί του κατά πόσον η απλή μετατροπή που περιγράφηκε ανωτέρω και η εμφάνιση των εν λόγω δεδομένων στην οθόνη κινητού τηλεφώνου συνιστούν «επεξεργασία» κατά την έννοια της προαναφερθείσας διατάξεως, κατά μείζονα δε λόγο διότι δεν είναι δυνατόν οι δύο αυτές πράξεις να συνεπάγονται καταχρηστική χρήση ή εκμετάλλευση των δεδομένων, ούτε και επέμβαση στο δικαίωμα προστασίας των προσωπικών δεδομένων, αφού η εφαρμογή δεν διαβιβάζει περαιτέρω τα δεδομένα τα οποία λαμβάνονται κατ’ αυτόν τον τρόπο.

20      Το αιτούν δικαστήριο εκτιμά, εξάλλου, ότι η επαλήθευση της εγκυρότητας του πιστοποιητικού μέσω της εφαρμογής «čTečka» θα μπορούσε επίσης να χαρακτηριστεί ως επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς στο πλαίσιό της χρησιμοποιούνται τα δεδομένα προσωπικού χαρακτήρα τα οποία περιέχονται στο πιστοποιητικό και αφορούν την υγεία του ατόμου που ελέγχεται. Ειδικότερα, η εφαρμογή πρέπει κατ’ ανάγκην να συγκρίνει τις πληροφορίες που αφορούν την υγεία του υποκειμένου των δεδομένων, όπως η ημερομηνία εμβολιασμού, με τους ισχύοντες κατά τον χρόνο του ελέγχου κανόνες επικύρωσης, προκειμένου να αξιολογήσει κατά πόσον το πιστοποιητικό είναι έγκυρο και να επιβεβαιώσει ότι το υποκείμενο των δεδομένων πληροί τις προϋποθέσεις για τη λεγόμενη «απουσία λοίμωξης».

21      Τέλος, το αιτούν δικαστήριο είναι της γνώμης ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα μπορούσε να συνίσταται στον συνδυασμό των διαφόρων διεργασιών που λαμβάνουν χώρα κατά τον έλεγχο των πιστοποιητικών με την εφαρμογή «čTečka», δηλαδή της μετατροπής των προσωπικών δεδομένων από τον κώδικα QR σε τέτοια μορφή ώστε να μπορούν να διαβαστούν από τον άνθρωπο, της εμφάνισής τους στην οθόνη κινητού τηλεφώνου, της ανάγνωσής τους από τον ελεγκτή και της αξιολόγησης της εγκυρότητας του πιστοποιητικού με τη συνδρομή της εφαρμογής αυτής, μέσω της σύγκρισης των προσωπικών δεδομένων της υγείας με τους κανόνες επικύρωσης. Μολονότι, μεμονωμένα θεωρούμενες, οι πράξεις αυτές αποκλείεται να συνιστούν επεξεργασία κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ, η διαδοχική διενέργειά τους θα μπορούσε να δικαιολογεί τον ως άνω χαρακτηρισμό.

22      Υπό την οπτική αυτή, το αιτούν δικαστήριο τονίζει ότι το άρθρο 10, παράγραφοι 1 και 3, του κανονισμού 2021/953 προβλέπει ρητώς ότι, για τους σκοπούς της άσκησης του δικαιώματος ελεύθερης κυκλοφορίας εντός της Ένωσης, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που περιέχονται στα ψηφιακά πιστοποιητικά COVID της ΕΕ υπόκειται στις διατάξεις του ΓΚΠΔ. Επιπλέον, κατά την αιτιολογική σκέψη 48 του κανονισμού 2021/953, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που περιέχονται στα πιστοποιητικά πρέπει να υπόκειται σε ενιαίο νομικό καθεστώς.

23      Υπό τις συνθήκες αυτές, το Nejvyšší správní soud (Ανώτατο Διοικητικό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο το εξής προδικαστικό ερώτημα:

«Συνιστά η επαλήθευση, μέσω της εθνικής εφαρμογής (app) “čTečka”, της εγκυρότητας των διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή, τα οποία έχουν εκδοθεί σύμφωνα με τον κανονισμό [2021/953] και τα οποία χρησιμοποιεί η Τσεχική Δημοκρατία για εθνικούς σκοπούς, επεξεργασία δεδομένων προσωπικού χαρακτήρα με τη χρήση αυτοματοποιημένων μέσων κατά την έννοια του άρθρου 4, σημείο 2, του [ΓΚΠΔ], ώστε να εμπίπτει η πράξη αυτή στο ουσιαστικό πεδίο εφαρμογής του [ΓΚΠΔ], βάσει του άρθρου 2, παράγραφος 1, του κανονισμού αυτού;»

 Επί του προδικαστικού ερωτήματος

24      Με το προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν ο όρος «επεξεργασία» δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 4, σημείο 2, του ΓΚΠΔ έχει την έννοια ότι καλύπτει την επαλήθευση, μέσω εθνικής εφαρμογής για κινητά τηλέφωνα, της εγκυρότητας των διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή, τα οποία έχουν εκδοθεί δυνάμει του κανονισμού 2021/953 και χρησιμοποιούνται από κράτος μέλος για εθνικούς σκοπούς.

25      Δεν αμφισβητείται ότι πολλές από τις προεκτεθείσες στη σκέψη 16 της παρούσας αποφάσεως πληροφορίες στις οποίες έχει πρόσβαση το πρόσωπο που έχει αναλάβει τη διενέργεια του ελέγχου κατά την επαλήθευση της εγκυρότητας του ψηφιακού πιστοποιητικού COVID της ΕΕ συνιστούν «δεδομένα προσωπικού χαρακτήρα» κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ. Πράγματι, από την ως άνω διάταξη προκύπτει ότι ο όρος «δεδομένα προσωπικού χαρακτήρα» αναφέρεται «σε κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο» και ότι η ταυτοποίηση αυτή μπορεί να γίνεται, μεταξύ άλλων, μέσω της χρήσης του ονόματος του υποκειμένου των δεδομένων.

26      Συναφώς αρκεί η διαπίστωση ότι το άρθρο 5, παράγραφος 2, στοιχείο αʹ, το άρθρο 6, παράγραφος 2, στοιχείο αʹ, και το άρθρο 7, παράγραφος 2, στοιχείο αʹ, του κανονισμού 2021/953 προβλέπουν, αντιστοίχως, για το πιστοποιητικό εμβολιασμού, για το πιστοποιητικό διαγνωστικού ελέγχου και για το πιστοποιητικό ανάρρωσης ότι περιέχουν τα στοιχεία της ταυτότητας του κατόχου τους.

27      Κατόπιν της διευκρίνισης αυτής, επισημαίνεται ότι το άρθρο 4, σημείο 2, του ΓΚΠΔ ορίζει την «επεξεργασία» ως «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα». Στο πλαίσιο μιας ενδεικτικής απαρίθμησης που εισάγεται με τη λέξη «όπως», η διάταξη μνημονεύει ως παραδείγματα επεξεργασίας την αναζήτηση και τη χρήση δεδομένων προσωπικού χαρακτήρα. Επομένως, από το γράμμα της διατάξεως, και ιδίως από την έκφραση «κάθε πράξη», προκύπτει ότι ο ενωσιακός νομοθέτης θέλησε να προσδώσει ευρύ περιεχόμενο στην έννοια της «επεξεργασίας» [πρβλ. απόφαση της 24ης Φεβρουαρίου 2022, Valsts ieņēmumu dienests (Επεξεργασία των δεδομένων προσωπικού χαρακτήρα για φορολογικούς σκοπούς), C‑175/20, EU:C:2022:124, σκέψη 35].

28      Η ευρεία αυτή ερμηνεία των όρων «δεδομένα προσωπικού χαρακτήρα» και «επεξεργασία» συνάδει με τον διαλαμβανόμενο στην αιτιολογική σκέψη 1 του ΓΚΠΔ σκοπό της διασφάλισης της αποτελεσματικότητας του θεμελιώδους δικαιώματος της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ο οποίος αποτελεί σημείο αναφοράς για την εφαρμογή του ΓΚΠΔ.

29      Εν προκειμένω, μια εθνική εφαρμογή για κινητά τηλέφωνα, όπως η εφαρμογή «čTečka», σαρώνει τον κώδικα QR που βρίσκεται επάνω στο ψηφιακό πιστοποιητικό COVID της ΕΕ, προκειμένου να μετατρέψει τα κωδικοποιημένα προσωπικά δεδομένα σε μορφή αναγνώσιμη από το πρόσωπο που έχει αναλάβει τον έλεγχο της εγκυρότητας του πιστοποιητικού. Κατ’ αυτόν τον τρόπο, το πρόσωπο που έχει αναλάβει τη διενέργεια του ελέγχου μπορεί, χάρη στην εφαρμογή, να διαβάσει, κατόπιν μιας αυτοματοποιημένης διεργασίας, ήτοι της σάρωσης, τα δεδομένα προσωπικού χαρακτήρα και να τα χρησιμοποιήσει ώστε να αξιολογήσει αν η κατάσταση του υποκειμένου των δεδομένων είναι σύμφωνη με τους κανόνες επικύρωσης, άλλως ειπείν, με τις ισχύουσες υγειονομικές απαιτήσεις. Το αποτέλεσμα της αξιολόγησης είναι επίσης αυτοματοποιημένο αφού, σε περίπτωση που πληρούνται οι υγειονομικές απαιτήσεις, εμφανίζεται στην οθόνη ένα πράσινο τικ ενώ, σε αντίθετη περίπτωση, εμφανίζεται ένα κόκκινο «Χ».

30      Επιβάλλεται συνεπώς το συμπέρασμα ότι η επαλήθευση, με την εφαρμογή «čTečka», της εγκυρότητας των εκδιδόμενων δυνάμει του κανονισμού 2021/953 διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή, συνιστά «επεξεργασία» κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ και εμπίπτει, βάσει του άρθρου 2, παράγραφος 1, του ΓΚΠΔ, στο ουσιαστικό πεδίο εφαρμογής του κανονισμού αυτού.

31      Η ερμηνεία που εκτέθηκε στη σκέψη 30 της παρούσας αποφάσεως ενισχύεται από τον κανονισμό 2021/953, ο οποίος προβλέπει ότι η λειτουργία του ψηφιακού πιστοποιητικού COVID της ΕΕ συνιστά επεξεργασία κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ. Το άρθρο 1, παράγραφος 2, του κανονισμού 2021/953 ορίζει, ειδικότερα, ότι ο κανονισμός αυτός «[π]αρέχει τη νομική βάση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για την έκδοση των εν λόγω πιστοποιητικών και για την επεξεργασία των πληροφοριών που είναι αναγκαίες για την επαλήθευση και την επιβεβαίωση της γνησιότητας και της εγκυρότητας των εν λόγω πιστοποιητικών σε πλήρη συμμόρφωση προς τον [ΓΚΠΔ]». Επιπλέον, από την αιτιολογική σκέψη 48 του κανονισμού 2021/953 καθίσταται σαφές, αφενός, ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται κατά την εφαρμογή του κανονισμού 2021/953 υπόκειται στις διατάξεις του ΓΚΠΔ και, αφετέρου, ότι ο κανονισμός 2021/953 παρέχει τη νομική βάση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που είναι, κατά την έννοια του άρθρου 6, παράγραφος 1, στοιχείο γʹ, και του άρθρου 9, παράγραφος 2, στοιχείο ζʹ, του ΓΚΠΔ, αναγκαία για την έκδοση και την επαλήθευση των προβλεπόμενων από τον κανονισμό 2021/953 διαλειτουργικών πιστοποιητικών. Το άρθρο 10, παράγραφος 1, του κανονισμού 2021/953 επιβεβαιώνει επίσης ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της εφαρμογής του κανονισμού αυτού υπόκειται στις διατάξεις του ΓΚΠΔ.

32      Κατά συνέπεια, εναπόκειται στο αιτούν δικαστήριο να ελέγξει αν η επεξεργασία η οποία πραγματοποιείται δυνάμει του έκτακτου μέτρου, αφενός, είναι σύμφωνη με τις διαλαμβανόμενες στο άρθρο 5 του ΓΚΠΔ αρχές που διέπουν την επεξεργασία των δεδομένων και, αφετέρου, συνάδει με κάποια από τις απαριθμούμενες στο άρθρο 6 του ΓΚΠΔ αρχές που αφορούν τη νομιμότητα της επεξεργασίας [βλ., μεταξύ άλλων, αποφάσεις της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 96, και της 4ης Μαΐου 2023, Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, σκέψη 57].

33      Κατόπιν όλων των ανωτέρω, στο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι ο όρος «επεξεργασία» δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 4, σημείο 2, του ΓΚΠΔ έχει την έννοια ότι καλύπτει την επαλήθευση, μέσω εθνικής εφαρμογής για κινητά τηλέφωνα, της εγκυρότητας των διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή, τα οποία έχουν εκδοθεί δυνάμει του κανονισμού 2021/953 και χρησιμοποιούνται από κράτος μέλος για εθνικούς σκοπούς.

 Επί των δικαστικών εξόδων

34      Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (όγδοο τμήμα) αποφαίνεται:

Ο όρος «επεξεργασία» δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 4, σημείο 2, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),

έχει την έννοια ότι:

καλύπτει την επαλήθευση, μέσω εθνικής εφαρμογής για κινητά τηλέφωνα, της εγκυρότητας των διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή, τα οποία έχουν εκδοθεί δυνάμει του κανονισμού (ΕΕ) 2021/953 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Ιουνίου 2021, σχετικά με πλαίσιο για την έκδοση, την επαλήθευση και την αποδοχή διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή (Ψηφιακό Πιστοποιητικό COVID της ΕΕ) με σκοπό να διευκολυνθεί η ελεύθερη κυκλοφορία κατά τη διάρκεια της πανδημίας της COVID19, και χρησιμοποιούνται από κράτος μέλος για εθνικούς σκοπούς.

(υπογραφές)

*      Γλώσσα διαδικασίας: η τσεχική.