Foreløbig udgave
FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
L. MEDINA
fremsat den 6. juni 2024 (1)
Sag C-169/23 [Másdi] (i)
Nemzeti Adatvédelmi és Információszabadság Hatóság
mod
UC
(anmodning om præjudiciel afgørelse indgivet af Kúria (øverste domstol, Ungarn))
»Præjudiciel forelæggelse – beskyttelse af personoplysninger – forordning (EU) 2016/679 – behandling af oplysninger med henblik på udstedelse af et covid-19-bevis – oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede – artikel 14, stk. 1 – undtagelser fra oplysningspligten – indsamling eller videregivelse, der udtrykkeligt er fastsat i EU-retten eller medlemsstaternes nationale ret – passende foranstaltninger til beskyttelse af den registreredes legitime interesser – artikel 14, stk. 5, litra c) – ret til at indgive klage til en tilsynsmyndighed – artikel 77«
I. Indledning
1. En af de vigtigste forpligtelser, den dataansvarlige har, er forpligtelsen til at give oplysninger til den registrerede. I sit forslag til afgørelse i Bara-sagen udtrykte generaladvokat Cruz Villalón det elegant, da han sagde, at kravet om at underrette den registrerede »sikrer hele behandlingens gennemsigtighed« (2). Oplysningspligten er en grundlæggende ret for den registrerede til at blive informeret om behandlingen af vedkommendes oplysninger. Det fremgår af den retsvidenskabelige litteratur (3), at retten til oplysninger »eksemplificerer« princippet om gennemsigtighed og »udgør omdrejningspunktet« for alle andre rettigheder. De omfattende oplysningskrav gør det nemlig muligt for den registrerede at udøve andre vigtige rettigheder, der er anerkendt i forordning (EU) 2016/679 (4).
2. Den foreliggende sag opstod i forbindelse med udstedelsen af covid-19-beviser. Den giver for første gang Domstolen anledning til at fortolke en væsentlig undtagelse fra den oplysningspligt, der påhviler den dataansvarlige i henhold til databeskyttelsesforordningens artikel 14, stk. 5, litra c). Den relevante undtagelse vil blive analyseret i forbindelse med tilsynsmyndighedens beføjelser i forbindelse med en klage indgivet af den registrerede.
II. Retsforskrifter
A. EU-retten
3. Databeskyttelsesforordningens artikel 14 med overskriften »Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede«, bestemmer i stk. 1, 2 og 5:
»1. Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger:
a) identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant
b) kontaktoplysninger for en eventuel databeskyttelsesrådgiver
c) formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen
d) de berørte kategorier af personoplysninger
e) eventuelle modtagere eller kategorier af modtagere af personoplysningerne
f) hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, og om hvorvidt [Europa-]Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet [...]
»2. Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede:
a) det tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum
b) de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)
c) retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede og til at gøre indsigelse mod behandling samt retten til dataportabilitet
d) når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf
e) retten til at indgive en klage til en tilsynsmyndighed
f) hvilken kilde personoplysningerne hidrører fra, og eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder
g) forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
[...]
5. Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:
[...]
c) indsamling eller videregivelse udtrykkelig er fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, eller
[...]«
4. Databeskyttelsesforordningens artikel 32 med overskriften »Behandlingssikkerhed« bestemmer i stk. 1:
»Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici [...]
[...]«
5. Databeskyttelsesforordningens artikel 77 med overskriften »Ret til at indgive klage til en tilsynsmyndighed« bestemmer i stk. 1:
»Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.«
B. Ungarsk ret
6. § 2, stk. 1, litra a)-g), i koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. Rendelet (regeringsdekret nr. 60/2021 af 12.2.2021 om immunitetsbeviset vedrørende coronavirus, herefter »dekret nr. 60/2021«) i den affattelse, der finder anvendelse på tvisten i hovedsagen, foreskriver:
»Immunitetsbeviset indeholder:
a) den registreredes navn
b) den registreredes pasnummer, hvis vedkommende har et pas
c) nummer og identifikator for den registreredes permanente identitetsdokument, hvis vedkommende har et sådant dokument
d) immunitetsbevisets serienummer
e) datoen for vaccination, hvis der foreligger et vaccinationsbevis
f) datoen for bevisets gyldighed, hvis der foreligger et bevis for immunitet efter smitte
g) en kode til datalagring, der kan læses optisk ved hjælp af IT-udstyr, og som er genereret på grundlag af de i litra a)-f) nævnte oplysninger
[...]
7. I henhold til § 2, stk. 6 og 7, i dekret nr. 60/2021 skulle beviset for immunitet udstedes af Budapest Főváros Kormányhivatala (regeringens delegation i Budapest, Ungarn, herefter »Budapest-kontoret«) til fordel for den berettigede fysiske person, enten ex officio eller efter ansøgning.
8. Følgende fremgår af § 3, stk. 3, i dekret nr. 60/2021:
»I de i § 2, stk. 6, litra c) og d), nævnte tilfælde indsamler [Budapest-kontoret] via en automatisk transmission af oplysninger – om nødvendigt gennem de relevante tjenester i összerendelési nyilvántartás [registret for elektronisk lagring af identifikationsoplysninger, Ungarn] –
a) fra operatøren af EESZT [Elektronikus Egészségügyi Szolgáltatási Tér (området for elektroniske sundhedstjenester)]: den registreredes socialsikringsnummer, de i § 2, stk. 1, litra e) og g), omhandlede oplysninger samt de i stk. 1 omhandlede oplysninger
b) fra det ansvarlige organ for registrering af personoplysninger og adresser: den pågældende persons navn, identifikatorerne for dennes pas, permanente identitetsdokumenter samt adresse.«
III. Tvisten i hovedsagen og de præjudicielle spørgsmål
9. UC, der er en fysisk person, modtog et immunitetsbevis fra Budapest-kontoret, der bekræftede, at han var vaccineret mod covid-19.
10. Den 30. april 2021 indgav UC en klage til Nemzeti Adatvédelmi és Információszabadság Hatóság (den nationale myndighed for databeskyttelse og informationsfrihed, Ungarn, herefter »den ungarske tilsynsmyndighed«) på grundlag af databeskyttelsesforordningens artikel 77, stk. 1. UC anmodede denne myndighed om at pålægge Budapest-kontoret at bringe dets behandlingsaktiviteter i overensstemmelse med databeskyttelsesforordningens bestemmelser. Sagsøgeren gjorde i sin klage bl.a. gældende, at Budapest-kontoret ikke havde udarbejdet eller offentliggjort en meddelelse om databeskyttelse vedrørende behandling af oplysninger i forbindelse med udstedelsen af immunitetsbeviser, og at der ikke forelå tilstrækkelige oplysninger om formålet med og retsgrundlaget for behandlingen eller om de registreredes rettigheder samt om udøvelsen af disse.
11. I den procedure, der blev indledt som følge af den indgivne klage, erklærede Budapest-kontoret, at det udførte sine opgaver i forbindelse med udstedelsen af immunitetsbeviser i henhold til § 2 i dekret nr. 60/2021, og at retsgrundlaget for behandlingen var databeskyttelsesforordningens artikel 6, stk. 1, litra e), og for så vidt angår behandlingen af særlige kategorier af personoplysninger databeskyttelsesforordningens artikel 9, stk. 2, litra i).
12. Budapest-kontoret anførte, at det i overensstemmelse med § 3, stk. 2 og 3, i dekret nr. 60/2021 havde indsamlet de oplysninger, der blev behandlet, via en automatisk transmission af oplysninger fra operatøren af området for elektroniske sundhedstjenester og fra det ansvarlige organ for registrering af personoplysninger og adresser. Budapest-kontoret anførte, at det i medfør af databeskyttelsesforordningens artikel 14, stk. 5, litra c), ikke var forpligtet til at give oplysninger om behandlingen. Under disse omstændigheder havde Budapest-kontoret udarbejdet en meddelelse om databeskyttelse i forbindelse med den pågældende behandling og offentliggjort denne erklæring på sit websted.
13. Ved afgørelse af 15. november 2021 afviste den ungarske tilsynsmyndighed klagen med den begrundelse, at Budapest-kontoret ikke var forpligtet til at give oplysninger, eftersom undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra c), fandt anvendelse på databehandlingen. Nærmere bestemt var tilsynsmyndigheden af den opfattelse, at dekret nr. 60/2021 udgjorde retsgrundlaget for behandlingen, og at Budapest-kontoret ikke selv havde indhentet oplysningerne om de registrerede. Tilsynsmyndigheden anførte desuden, at § 3, stk. 1, i dekret nr. 60/2021 udtrykkeligt pålagde Budapest-kontoret at indsamle dataene. Den omstændighed, at Budapest-kontoret offentliggjorde oplysninger om behandlingen af oplysningerne på sit websted, selv om det ikke var retligt forpligtet hertil, blev anset for god praksis.
14. Den ungarske tilsynsmyndighed undersøgte af egen drift spørgsmålet om passende foranstaltninger til beskyttelse af den registreredes legitime interesser, som er nævnt i databeskyttelsesforordningens artikel 14, stk. 5, litra c), og fastslog, at §§ 2, 3, 5 og 7 i dekret nr. 60/2021 skulle betragtes som sådanne foranstaltninger.
15. UC anfægtede den ungarske tilsynsmyndigheds afgørelse ved Fővárosi Törvényszék (retten i første instans i Budapest, Ungarn). Denne ret gav sagsøgeren medhold, annullerede den ungarske tilsynsmyndigheds afgørelse og pålagde myndigheden at indlede en ny procedure.
16. I begrundelsen for sin dom anførte Fővárosi Törvényszék (retten i første instans i Budapest), at undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra c), ikke fandt anvendelse, fordi nogle af oplysningerne vedrørende immunitetsbeviser ikke var blevet indsamlet hos et andet organ, men var blevet genereret af den dataansvarlige. Disse oplysninger omfatter immunitetsbevisets løbenummer, bevisets gyldighedsperiode, QR-koden, der indgår i beviset, samt streg- og andre alfanumeriske koder, der er genereret af den dataansvarlige under dennes behandling.
17. Den ungarske tilsynsmyndighed iværksatte en ekstraordinær kassationsappel til prøvelse af denne endelige dom afsagt af Fővárosi Törvényszék (retten i første instans i Budapest) ved Kúria (øverste domstol, Ungarn).
18. Den forelæggende ret er med hensyn til anvendelsen af undtagelsen i henhold til databeskyttelsesforordningens artikel 14, stk. 5, litra c), af den opfattelse, at undtagelsen kan vedrøre alle former for behandling, der ikke drejer sig om oplysninger, der er indsamlet hos den registrerede i henhold til databeskyttelsesforordningens artikel 13, herunder oplysninger, der er genereret af den dataansvarlige.
19. Hvis denne fortolkning af databeskyttelsesforordningens artikel 14, stk. 5, litra c), lægges til grund, er den forelæggende ret i tvivl om omfanget af de korrigerende beføjelser, som de nationale tilsynsmyndigheder har i forbindelse med en klage indgivet i henhold til databeskyttelsesforordningens artikel 77, stk. 1. Den forelæggende ret er nærmere bestemt i tvivl om, hvorvidt tilsynsmyndigheden i forbindelse med en sådan klage har beføjelse til at undersøge spørgsmålet om passende foranstaltninger i henhold til national ret til beskyttelse af den registreredes legitime interesser som omhandlet i databeskyttelsesforordningens artikel 14, stk. 5, litra c).
20. Såfremt det fastslås, at tilsynsmyndigheden råder over denne beføjelse, er den forelæggende ret i tvivl om den nøjagtige betydning af begrebet »passende foranstaltninger til beskyttelse af den registreredes legitime interesser«. I denne forbindelse bemærker den, at det kan konstateres, at »passende foranstaltninger« for det første indebærer gennemførelse i national ret af de ting, der er opregnet i databeskyttelsesforordningens artikel 14, stk. 1, litra a)-f). På den anden side kan disse foranstaltninger indebære en ret til at anmode om en undersøgelse af behandlingssikkerheden i henhold til databeskyttelsesforordningens artikel 32. Denne fortolkning af »passende foranstaltninger« risikerer imidlertid at belaste lovgivningen med tekniske bestemmelser, hvilket ville være i strid med kravet om, at retsakterne skal være forståelige og klare. Det kunne også være en tilstrækkelig garanti, hvis datasikkerhedsforanstaltningerne overholdes, selv om de ikke specifikt er blevet gennemført.
21. Kúria (øverste domstol) har på denne baggrund besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
»1) Skal [databeskyttelsesforordningens] artikel 14, stk. 5, litra c), sammenholdt med artikel 14, stk. 1, og 62. betragtning [hertil] [...] fortolkes således, at undtagelsen i denne forordnings artikel 14, stk. 5, litra c), ikke vedrører oplysninger, der genereres i forbindelse med den dataansvarliges behandling, men udelukkende oplysninger, som den dataansvarlige udtrykkeligt har indhentet fra en anden person?
2) Såfremt databeskyttelsesforordningens artikel 14, stk. 5, litra c), også finder anvendelse på oplysninger, der genereres i forbindelse med den dataansvarliges behandling, skal retten til at indgive klage til en tilsynsmyndighed, som er fastsat i databeskyttelsesforordningens artikel 77, stk. 1, da fortolkes således, at en fysisk person, der gør gældende, at oplysningspligten ikke er blevet overholdt, i forbindelse med udøvelsen af sin ret til at indgive klage kan anmode om, at det efterprøves, om lovgivningen i medlemsstaten i overensstemmelse med databeskyttelsesforordningens artikel 14, stk. 5, litra c), fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser?
3) Såfremt det andet spørgsmål besvares bekræftende, kan databeskyttelsesforordningens artikel 14, stk. 5, litra c), da fortolkes således, at de »passende foranstaltninger«, der er nævnt i denne bestemmelse, indebærer, at den nationale lovgiver (ved lov) skal gennemføre foranstaltningerne med hensyn til oplysningernes sikkerhed, som er fastlagt i databeskyttelsesforordningens artikel 32?
22. Der er indgivet skriftlige indlæg af UC, den ungarske tilsynsmyndighed, den ungarske regering og Kommissionen. Domstolen har sendt spørgsmål til skriftlig besvarelse til parterne og de interesserede parter i henhold til artikel 23 i statutten for Den Europæiske Unions Domstol, hvilke spørgsmål UC, den tjekkiske regering, den ungarske regering og Kommissionen har besvaret.
IV. Bedømmelse
A. Indledende bemærkninger om oplysningspligten og undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra c)
23. Underretning af den registrerede er et centralt element i princippet om gennemsigtighed, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra a). Gennemsigtighed »giver registrerede mulighed for at stille dataansvarlige og databehandlere til ansvar«, idet den styrker deres mulighed for at kontrollere deres data (5). Som det fremgår af dommen i sagen Bara m.fl., »er dette krav om underretning af de registrerede, hvis personoplysninger behandles, så meget desto vigtigere, som det er en nødvendig betingelse for, at de pågældende personer kan udøve deres ret til indsigt i og til at foretage berigtigelse af de behandlede oplysninger« (6). De vigtigste bestemmelser i denne henseende er databeskyttelsesforordningens artikel 12, 13 og 14.
24. I henhold til databeskyttelsesforordningens artikel 12, stk. 1, skal den dataansvarlige træffe passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 13 og 14 »i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog«. Oplysningerne gives normalt som led i en databeskyttelsespolitik, meddelelse om databeskyttelse eller databeskyttelseserklæring (7).
25. Indholdet og rækkevidden af oplysningspligten er defineret i databeskyttelsesforordningens artikel 13 og 14. Artikel 13 regulerer de oplysninger, der skal gives, når personoplysninger indsamles fra den registrerede (direkte indsamling), mens artikel 14 regulerer de oplysninger, der skal gives, når personoplysningerne ikke er indsamlet hos den registrerede (indirekte indsamling) (8). De oplysninger, der skal gives i henhold til disse to bestemmelser, overlapper hinanden betydeligt (9).
26. For så vidt angår indirekte dataindsamling medtager databeskyttelsesforordningens artikel 14, stk. 1, i »kataloget af standardoplysninger« (10), oplysninger om den dataansvarliges identitet, formålet med databehandlingen, modtagerne af oplysningerne og muligheden for overførsel af oplysninger til en modtager i et tredjeland. Blandt de yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, henvises der i databeskyttelsesforordningens artikel 14, stk. 2, udtrykkeligt til det tidsrum, hvor personoplysningerne vil blive opbevaret, de legitime interesser, som forfølges af den dataansvarlige (11), og retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger.
27. Den dataansvarliges oplysningspligt i tilfælde af indirekte indsamling i henhold til databeskyttelsesforordningens artikel 14 er genstand for fire undtagelser, jf. denne artikels stk. 5. Den undtagelse, der er relevant for hovedsagen, er undtagelsen i artikel 14, stk. 5, litra c), der indeholder en »åbningsklausul« (12). Den dataansvarlige er fritaget for at give oplysninger, hvis og i det omfang »indsamling eller videregivelse udtrykkelig er fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt«, og hvor denne ret fastsætter »passende foranstaltninger til beskyttelse af den registreredes legitime interesser«.
28. Den engelske udgave af databeskyttelsesforordningens artikel 14, stk. 5, litra c), samt andre sprogversioner heraf (13) henviser ikke udtrykkeligt til, hvad der er genstand for »indsamling eller videregivelse«. Flere andre sprogversioner henviser udtrykkeligt til indsamling eller videregivelse af »oplysninger« (14). Det fremgår, at det kun er den franske version, der henviser til indsamling eller videregivelse af »information« (15).
29. Eftersom samtlige sproglige versioner af en EU-retsakt imidlertid har den samme værdi, skal den pågældende bestemmelse, når der er uoverensstemmelse mellem versionerne, fortolkes på baggrund af den almindelige opbygning af og formålet med det regelsæt, som den indgår i (16).
30. I denne henseende fremgår det af den generelle opbygning af den ordning, som databeskyttelsesforordningens artikel 14, stk. 5, litra c), udgør en del af, at indsamlingen eller videregivelsen vedrører personoplysninger (i modsætning til information). Det fremgår allerede af overskriften til artikel 14, at der foreligger »oplysningspligt«, mens den handling, der består i indsamling, vedrører »personoplysninger«. Denne fortolkning understøttes af 61. betragtning, som henviser til »personoplysninger«, der indhentes fra en anden kilde, og af 62. betragtning, der henviser til registrering eller videregivelse af »personoplysninger«. Henset til den brede betydning af begrebet »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, stk. 2, dvs. enhver operation eller række af operationer, der udføres i forbindelse med personoplysninger (17), skal »indsamling eller videregivelse« kvalificeres som en behandlings-aktivitet, der udføres på personoplysninger.
31. Hvad angår formålet med den ordning, som artikel 14, stk. 5, litra c), udgør en del af, lader den antagelse, der ligger til grund for den pågældende undtagelse, til at være, at EU-retten eller national ret erstatter eller træder i stedet for den oplysningspligt, der normalt påhviler den dataansvarlige vedrørende indsamling eller videregivelse af oplysninger (18). I henhold til den relevante lov vil de registrerede allerede have tilstrækkeligt kendskab til indsamlingen eller videregivelsen af oplysningerne (19). En sådan lovgivning, som den dataansvarlige er underlagt, bør udtrykkeligt vedrøre indsamling eller videregivelse af oplysninger, og den pågældende indsamling eller videregivelse bør være obligatorisk for den dataansvarlige (20).
32. Det fremgår således klart af det ovenstående, at formålet med undtagelsen med hensyn til indsamling eller videregivelse vedrører personoplysninger.
33. Det er i lyset af disse bemærkninger, at jeg vil undersøge undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra c), nærmere i forbindelse med analysen af de forelagte spørgsmål.
B. Det første spørgsmål
34. Med sit første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 14, stk. 5, litra c), skal fortolkes således, at undtagelsen fra den dataansvarliges pligt til at give den registrerede oplysninger alene finder anvendelse på oplysninger, som den dataansvarlige udtrykkeligt har indhentet fra en anden person, hvorved oplysninger, der genereres i forbindelse med den dataansvarliges behandling, er udelukket.
35. Dette spørgsmål følger af den omstændighed, at visse oplysninger i covid-19-beviserne i hovedsagen ikke var blevet indsamlet af et andet organ, men var blevet genereret af Budapest-kontoret (21).
36. Det skal derfor fastslås, om begrebet »indsamling« som omhandlet i databeskyttelsesforordningens artikel 14, stk. 5, litra c), udelukker oplysninger, der er genereret af den dataansvarlige.
37. Med henblik på besvarelsen af dette spørgsmål skal det indledningsvis bemærkes, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og de mål, der forfølges med den ordning, som den udgør en del af (22).
38. Hvad angår ordlyden af databeskyttelsesforordningens artikel 14, stk. 5, litra c), fastsætter denne bestemmelse ikke nogen begrænsning for så vidt angår en bestemt type behandling eller den nøjagtige metode, hvorved den dataansvarlige indsamler oplysningerne. Oplysningerne kan indhentes ved hjælp af en teknisk fremgangsmåde, som f.eks. den dataansvarliges generering af oplysningerne.
39. Den brede forståelse af »indsamling« bekræftes af 62. betragtning til databeskyttelsesforordningen. Denne betragtning anvender udtrykket »registrering« af oplysninger, der, som den forelæggende ret har anført, omfatter en bredere vifte af behandlingsaktiviteter, som den dataansvarlige kan udføre. Artikel 14, nr. 5), litra c), kan derfor ikke fortolkes således, at bestemmelsen kun finder anvendelse på oplysninger, der er indsamlet fra en anden enhed, og ikke på oplysninger, der er genereret af den dataansvarlige.
40. Denne fortolkning af databeskyttelsesforordningens artikel 14, stk. 5, litra c), bekræftes ligeledes af den sammenhæng, hvori denne bestemmelse indgår, og de formål, der forfølges hermed.
41. I denne forbindelse bemærkes, at undtagelserne i artikel 14, stk. 5, vedrører samme artikels stk. 1-4. Det materielle anvendelsesområde for artikel 14 (som den pågældende undtagelse udgør en del af) er defineret negativt sammenlignet med artikel 13. Mens artikel 13 regulerer de oplysninger, der skal gives, når personoplysninger indsamles fra den registrerede, regulerer artikel 14 de oplysninger, der skal gives, når personoplysningerne ikke er indsamlet hos den registrerede. Det følger af modsætningen mellem direkte og indirekte indsamling af oplysninger, at alle tilfælde, hvor oplysningerne ikke er indsamlet hos den registrerede, er omfattet af artikel 14’s anvendelsesområde. Det er irrelevant, om oplysningerne generes af den dataansvarlige, således at de ikke er indsamlet hos den registrerede. Det brede materielle anvendelsesområde for artikel 14 bekræftes også af 61. betragtning, der omhandler oplysninger, der indhentes »fra en anden kilde«, dvs. fra en anden kilde end den registrerede.
42. Som Kommissionen og den ungarske tilsynsmyndighed i det væsentlige har anført, udgør reglerne i databeskyttelsesforordningens artikel 13 og 14 i øvrigt en samlet ordning, der regulerer underretningen af den registrerede i alle mulige situationer. Såfremt begrebet »indsamling« i databeskyttelsesforordningens artikel 14, nr. 5), litra c), skulle fortolkes således, at den udelukker oplysninger, der genereres af den dataansvarlige, ville denne bestemmelse have et mere indskrænket anvendelsesområde end artikel 14, som den udgør en del af.
43. Hvad angår det specifikke formål med den omhandlede undtagelse er fritagelsen af den dataansvarlige fra at give oplysninger, som anført i de indledende bemærkninger i dette forslag til afgørelse, baseret på den antagelse, at loven erstatter den oplysningspligt, der normalt påhviler den dataansvarlige (23). Undtagelsen i artikel 14, stk. 5, litra c), giver medlemsstaterne en skønsmargen med henblik på at fastlægge en anden måde, hvorpå den registrerede kan gives oplysninger, og at sikre en rimelig og gennemsigtig behandling sammenlignet med de oplysninger, som den dataansvarlige giver på individuel basis. Den anden juridiske mulighed skal stadig føre til det samme resultat. Den lov, der erstatter den oplysningspligt, der påhviler de dataansvarlige, skal gøre det muligt for den registrerede at kontrollere sine oplysninger og udøve sine rettigheder i henhold til databeskyttelsesforordningen (24).
44. En fortolkning af artikel 14, nr. 5), litra c), hvorefter den dataansvarliges generering af oplysninger udelukkes fra bestemmelsens anvendelsesområde, ville begrænse den skønsmargen, der er overladt medlemsstaterne på grundlag af et forhold, som ikke synes at være relevant for beskyttelsen af den registreredes legitime interesser.
45. En anden fortolkning – der ville indføre en undtagelse fra undtagelsen i artikel 14, stk. 5, litra c), når oplysningerne genereres af den dataansvarlige – ville derudover risikere at tilføje et ekstra lag af kompleksitet i forhold til den registrerede. Den registrerede skal være i stand til at vide, fra hvilken kilde den pågældende kan få oplysninger om behandlingen af vedkommendes oplysninger, når disse oplysninger ikke indsamles hos den registrerede selv. Den relevante lov skal gøre behandlingen forudsigelig for den registrerede i alle disse situationer (25).
46. Det følger af det ovenstående, at databeskyttelsesforordningens artikel 14, stk. 5, litra c), skal fortolkes således, at undtagelsen fra den dataansvarliges pligt til at give den registrerede oplysninger finder anvendelse på samtlige oplysninger, som den dataansvarlige ikke har indsamlet hos den registrerede. Det er i denne forbindelse ikke relevant, om oplysningerne udtrykkeligt indhentes fra en anden enhed, eller om de genereres i forbindelse med den dataansvarliges behandling.
C. Det andet spørgsmål
47. Med sit andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 77, stk. 1, skal fortolkes således, at tilsynsmyndigheden inden for rammerne af en klageprocedure har beføjelse til at undersøge, hvorvidt den nationale lovgivning, som den dataansvarlige er underlagt, fastlægger passende foranstaltninger til at beskytte den registreredes legitime interesser med henblik på anvendelsen af undtagelsen i forordningens artikel 14, stk. 5, litra c).
48. Der må i denne henseende mindes om, at det fremgår af databeskyttelsesforordningens artikel 77, stk. 1, at enhver registreret har ret til at indgive klage til en tilsynsmyndighed, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning (26).
49. Endvidere bestemmer den nævnte forordnings artikel 55, stk. 1, at hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område (27). Det følger endvidere af databeskyttelsesforordningens artikel 57, stk. 1, litra a), at de nationale tilsynsmyndigheder skal føre tilsyn med og håndhæve anvendelsen af databeskyttelsesforordningen.
50. De bestemmelser, der er nævnt i de to ovenstående punkter, udelukker ikke betingelserne for anvendelse af undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra c), fra de nationale tilsynsmyndigheders kompetenceområde.
51. Som den ungarske regering og Kommissionen i det væsentlige har gjort gældende, har tilsynsmyndighederne i forbindelse med en klage indgivet i henhold til databeskyttelsesforordningens artikel 77, stk. 1, således beføjelse til at kontrollere, om alle betingelserne i artikel 14, stk. 5, litra c), er opfyldt. Som det fremgår af artikel 14, stk. 5, første punktum, finder alle de undtagelser, der er fastsat heri, anvendelse, »hvis og i det omfang« de deri fastsatte betingelser er opfyldt.
52. I denne henseende skal tilsynsmyndighederne have beføjelse til mere specifikt at undersøge, dels om loven er rettet direkte til den dataansvarlige, og om det er obligatorisk for den dataansvarlige at indsamle eller videregive oplysningerne (28). For det andet skal tilsynsmyndighederne kunne undersøge, om den lovgivning, som den dataansvarlige har påberåbt sig, indeholder »passende foranstaltninger til beskyttelse af den registreredes legitime interesser«, og om den dataansvarlige er i stand til at påvise, at indsamlingen eller videregivelsen af personoplysninger er i overensstemmelse med disse foranstaltninger (29).
53. Den ungarske tilsynsmyndighed har gjort gældende, at prøvelsen af, om national ret fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, overskrider dens opgaver og beføjelser i henhold til henholdsvis databeskyttelsesforordningens artikel 57 og 58. Denne myndighed er af den opfattelse, at disse bestemmelser ikke tillægger national ret korrigerende beføjelser, og at det ikke er muligt at udøve sådanne beføjelser over for en dataansvarlig, som blot har overholdt national ret.
54. I denne forbindelse skal det bemærkes, at en national tilsynsmyndigheds undersøgelse af spørgsmålet om, hvorvidt alle betingelserne for anvendelse af undtagelsen i artikel 14, stk. 5, litra c), er opfyldt, ikke, som Kommissionen med rette har anført, indebærer en undersøgelse af gyldigheden af national ret. Tilsynsmyndigheden undersøger alene, om den dataansvarlige har ret til at påberåbe sig undtagelsen for så vidt angår en bestemt registreret i en bestemt situation.
55. Det påhviler derfor den nationale tilsynsmyndighed at behandle et udsagn fra en registreret om, at den dataansvarlige ikke bør fritages for at give oplysninger med den begrundelse, at den relevante lov ikke fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser.
56. Hvis den nationale tilsynsmyndighed konkluderer, at klagen er ugrundet, skal den person, der har indgivet klagen, og som anfægter denne konstatering, således som det fremgår af databeskyttelsesforordningens artikel 78, have adgang til de retsmidler, der gør det muligt for den pågældende at anfægte en sådan afgørelse ved de nationale domstole.
57. Såfremt den nationale tilsynsmyndighed finder, at klagen er velbegrundet, og at betingelserne for undtagelsen ikke er opfyldt, har den, således som den ungarske regering og Kommissionen i det væsentlige har gjort gældende, beføjelse til at pålægge den dataansvarlige at efterkomme den registreredes anmodning. I så fald skal den dataansvarlige give oplysningerne i overensstemmelse med artikel 14, stk. 1-4.
58. Som svar på Domstolens skriftlige spørgsmål har den tjekkiske regering gjort gældende, at det ikke er muligt at undersøge, om foranstaltningerne til beskyttelse af den registreredes legitime interesser er passende, når der i national ret målrettet og med hensyn til en konkret situation er fastsat en undtagelse fra oplysningspligten. Med støtte i Schrems-dommen (30)har denne regering i det væsentlige anført, at undersøgelsen af, om en retskilde er forenelig med en anden retskilde, alene henhører under domstolenes og ikke en administrativ myndigheds kompetence.
59. Det skal i denne forbindelse bemærkes, at et af de vigtigste spørgsmål, der blev rejst i Schrems-dommen, vedrørte de nationale tilsynsmyndigheders beføjelser til at behandle en persons klage vedrørende beskyttelse af dennes rettigheder og friheder, henset til en afgørelse fra Kommissionen, hvori det fastslås, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau (31). Domstolen fastslog i det væsentlige, at når de nationale tilsynsmyndigheder behandler en sådan klage, har de ikke ret til selv at erklære denne afgørelse ugyldig (32). Hvis den nationale tilsynsmyndighed finder, at de klagepunkter, som den person, der har indgivet klagen, har fremsat, er begrundede, skal denne myndighed kunne anlægge sag (33).
60. Schrems -dommen synes imidlertid ikke at være direkte relevant for spørgsmålet om tilsynsmyndighedernes beføjelser i forbindelse med undersøgelsen af undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra c). Det bemærkes indledningsvis, at tilsynsmyndigheden i forbindelse med denne undersøgelse ikke griber ind i den retlige forpligtelse, der er pålagt den dataansvarlige, til at indhente eller videregive personoplysninger. Tilsynsmyndigheden pålægger med andre ord ikke den dataansvarlige at undlade at anvende en retlig forpligtelse til at indsamle eller videregive, hvilken den dataansvarlige fortsat er forpligtet til at overholde. Som Kommissionen og den ungarske regering i det væsentlige har gjort gældende, består den nationale tilsynsmyndigheds beføjelse i en sådan situation i at pålægge den dataansvarlige at angive de nødvendige oplysninger om sin meddelelse om databeskyttelse (34), såfremt betingelserne for den pågældende undtagelse ikke er opfyldt. Som anført ovenfor berører et sådant pålæg nemlig ikke gyldigheden af den lovgivning, som den dataansvarlige er omfattet af.
61. Tilsynsmyndighedens beføjelse til at pålægge den dataansvarlige at give oplysninger berører ikke denne myndigheds beføjelse til, hvis den finder, at den pågældende lovgivningsforanstaltning er ugyldig, at anlægge sag som fastsat i national ret med påstand herom i henhold til databeskyttelsesforordningens artikel 58, stk. 5
62. Endelig har tilsynsmyndigheden på et mere systemisk plan, som alle interesserede parter har gjort gældende, beføjelse til at rådgive den lovgivende eller den udøvende magt til at ændre den relevante retlige foranstaltning, hvis den finder, at den ikke fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser. I den forbindelse bør der mindes om, at tilsynsmyndighederne har til opgave at rådgive det nationale parlament, regeringen og andre institutioner og organer i overensstemmelse med databeskyttelsesforordningens artikel 57, stk. 1, litra c). De har også rådgivende beføjelser i henhold til databeskyttelsesforordningens artikel 58, stk. 3, litra b).
63. Det følger af det ovenstående, at databeskyttelsesforordningens artikel 77, stk. 1, skal fortolkes således, at tilsynsmyndigheden inden for rammerne af en klageprocedure har beføjelse til at undersøge, om alle de betingelser, der er fastsat i artikel 14, stk. 5, litra c), er opfyldt. Den har nærmere bestemt beføjelse til at undersøge, om medlemsstaternes nationale ret, som den dataansvarlige er underlagt, fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser.
D. Det tredje spørgsmål
64. Med det tredje spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 14, stk. 5, litra c), skal fortolkes således, at de »passende foranstaltninger«, der er nævnt i denne bestemmelse, kræver, at den nationale lovgiver gennemfører de foranstaltninger med hensyn til oplysningernes sikkerhed, som er fastlagt i forordningens artikel 32.
65. Der skal i denne forbindelse for det første mindes om, at anvendeligheden af undtagelsen fra oplysningspligten i henhold til databeskyttelsesforordningens artikel 14, stk. 5, litra c), afhænger af, at der foreligger »passende foranstaltninger« til at beskytte den registreredes legitime interesser. For det andet følger det af databeskyttelsesforordningens artikel 32, at den dataansvarlige og databehandleren skal gennemføre »passende tekniske og organisatoriske foranstaltninger« for at sikre datasikkerheden.
66. Som Kommissionen har gjort gældende, har artikel 14 og 32 imidlertid et særskilt anvendelsesområde. Rækkevidden af »passende foranstaltninger« skal undersøges inden for rammerne af databeskyttelsesforordningens artikel 14. Det er derfor ikke muligt at fastslå en af betingelserne for anvendelse af undtagelsen i artikel 14, stk. 5, litra c), ved at overføre begrebet »passende tekniske og organisatoriske foranstaltninger«, der anvendes i en anden bestemmelse. Inden for rammerne af databeskyttelsesforordningens artikel 32 er det desuden ikke relevant, om det er den dataansvarlige, der giver oplysningerne, eller om indsamlingen eller videregivelsen er fastsat ved lov. Genstanden for tilsynsmyndighedens undersøgelse skal følgelig afgrænses af anvendelsesområdet for artikel 14.
67. Det nøjagtige indhold af de »passende foranstaltninger« er ikke præciseret i databeskyttelsesforordningens artikel 14, stk. 5, litra c). Det er tilstrækkelig bredt til at omfatte enhver foranstaltning, som lovgiveren finder nødvendig og passende. Begrebet »passende foranstaltninger« skal, som Kommissionen i det væsentlige har gjort gældende, fortolkes i lyset af gennemsigtighedsprincippet som omhandlet i databeskyttelsesforordningens artikel 5, stk. 1, litra a). I denne henseende skal der tages hensyn til den omstændighed, at den relevante retsakt, således som det er anført i de indledende bemærkninger i dette forslag til afgørelse (35), »erstatter« den oplysningspligt, der normalt påhviler den dataansvarlige. Det er op til lovgiver at fastlægge, hvilke foranstaltninger der er passende, f.eks. under hensyn til den kategori af oplysninger, der indsamles, og den sammenhæng, hvori behandlingen finder sted.
68. Den tjekkiske regering har i sit svar på Domstolens spørgsmål gjort gældende, at rækkevidden af de passende foranstaltninger er bredere end den liste over informationer, der er indeholdt i databeskyttelsesforordningens artikel 14, stk. 1, 2 og 4.
69. Jeg er enig i, at foranstaltningernes hensigtsmæssighed ikke udelukkende kan vurderes ved hjælp af en »mekanisk« sammenligning med den dataansvarliges oplysningsforpligtelser, som harmoniseret ved databeskyttelsesforordningen. Det forekommer meningsløst at indføre en »åbningsklausul« i henhold til databeskyttelsesforordningens artikel 14, stk. 5, litra c) (36), samtidig med at nøjagtig de samme forpligtelser pålægges, uden at lovgiveren overlades nogen skønsmargen. Når dette er sagt, skal den relevante lov sikre en standard for rimelig og gennemsigtig behandling, der svarer til den, der er sikret ved artikel 14, stk. 1-4 (37). For at den registrerede kan vurdere enhver risiko i forbindelse med indsamling og behandling af oplysningerne (38), skal det fremgå klart ved en simpel læsning af den relevante lovbestemmelse, hvem der behandler oplysningerne, af hvilken grund og på hvilken måde (39). Som jeg har anført ovenfor (40), skal en anden juridisk mulighed opnå det samme resultat, nemlig at sætte den registrerede i stand til at kontrollere sine oplysninger og udøve sine rettigheder i henhold til databeskyttelsesforordningen.
70. Det specifikke retsgrundlag for behandlingen har også betydning for fastlæggelsen af »passende foranstaltninger« i forhold til de særlige omstændigheder i forbindelse med behandlingen. I denne forbindelse bør der mindes om, at det følger af databeskyttelsesforordningens artikel 6, stk. 1, litra c), at behandlingen er lovlig, hvis og i det omfang den er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, og når behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse. Med hensyn til denne behandling kan medlemsstaterne i henhold til artikel 6, stk. 2, opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af databeskyttelsesforordningens bestemmelser om behandling ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling (41). Det følger derudover af databeskyttelsesforordningens artikel 9, stk. 2, litra i), at hvis behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, skal medlemsstaternes ret (eller EU-retten) fastsætte passende og specifikke foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder.
71. I hovedsagen var indsamlingen af oplysninger påkrævet i henhold til dekret nr. 60/2021, der, som det fremgår af sagsakterne, blev vedtaget på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, litra c) og e), samt artikel 9, stk. 2, litra i). Den ungarske regering har gjort gældende, at dekret nr. 60/2021, bortset fra de generelle garantier, der finder anvendelse i henhold til de retlige rammer, der er vedtaget for at sikre behandlingens lovlighed, fastsatte yderligere garantier. I denne henseende har denne regering anført, at en af disse garantier består i den omstændighed, at de underleverandører, der er udpeget ved dette dekret, ejes af staten og skal overholde de lovgivningsmæssige rammer for datasikkerhed, der finder anvendelse på statslige organer og den lokale forvaltning. Det påhviler den forelæggende ret at undersøge disse argumenter og vurdere, om den nationale lovgivning fastsætter passende foranstaltninger, i lyset af ovenstående betragtninger.
72. I lyset af det ovenstående er jeg af den opfattelse, at databeskyttelsesforordningens artikel 14, stk. 5, litra c), skal fortolkes således, at de »passende foranstaltninger«, der er omhandlet i denne bestemmelse, ikke pålægger den nationale lovgiver at gennemføre de foranstaltninger med hensyn til oplysningernes sikkerhed, som er fastlagt i forordningens artikel 32.
V. Forslag til afgørelse
73. I lyset af ovenstående betragtninger vil jeg foreslå, at Domstolen besvarer de præjudicielle spørgsmål fra Kúria (øverste domstol, Ungarn) som følger:
»1) Artikel 14, stk. 5, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
skal fortolkes således, at
undtagelsen fra den dataansvarliges pligt til at give den registrerede oplysninger finder anvendelse på samtlige oplysninger, som den dataansvarlige ikke har indsamlet hos den registrerede. Det er i denne forbindelse ikke relevant, om oplysningerne udtrykkeligt indhentes fra en anden enhed, eller om de genereres i forbindelse med den dataansvarliges behandling.
2) Artikel 77, stk. 1, i direktiv 2016/679
skal fortolkes således, at
tilsynsmyndigheden inden for rammerne af en klageprocedure har beføjelse til at undersøge, om alle de betingelser, der er fastsat i artikel 14, stk. 5, litra c), er opfyldt. Den har nærmere bestemt beføjelse til at undersøge, om medlemsstaternes nationale ret, som den dataansvarlige er underlagt, fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser.
3) Artikel 14, stk. 5, litra c), i direktiv 2016/679
skal fortolkes således, at
de »passende foranstaltninger«, der er omhandlet i denne bestemmelse, ikke pålægger den nationale lovgiver at gennemføre de foranstaltninger med hensyn til oplysningernes sikkerhed, som er fastlagt i forordningens artikel 32.«