ROZSUDOK SÚDNEHO DVORA (ôsma komora)
z 5. októbra 2023 (*)
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 4 bod 2 – Pojem ‚spracúvanie osobných údajov‘ – Mobilná aplikácia – Overovanie platnosti ‚digitálnych COVID preukazov EÚ‘ vydaných podľa nariadenia (EÚ) 2021/953“
Vo veci C‑659/22,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Nejvyššího správního soudu (Česká republika) z 12. októbra 2022 a doručený Súdnemu dvoru 20. októbra 2022, ktorý súvisí s konaním:
RK
proti
Ministerstvu zdravotnictví,
SÚDNY DVOR (ôsma komora),
v zložení: predseda ôsmej komory M. Safjan, sudcovia N. Piçarra a M. Gavalec (spravodajca),
generálna advokátka: L. Medina,
tajomník: A. Calot Escobar,
so zreteľom na písomnú časť konania,
so zreteľom na pripomienky, ktoré predložili:
– RK, v zastúpení: D. Sudolská, advokátka,
– česká vláda, v zastúpení: M. Smolek, O. Serdula a J. Vláčil, splnomocnení zástupcovia,
– holandská vláda, v zastúpení: M. K. Bulterman a A. Hanje, splnomocnené zástupkyne,
– Európska komisia, v zastúpení: A. Bouchagiar, H. Kranenborg a P. Ondrůšek, splnomocnení zástupcovia,
so zreteľom na rozhodnutie prijaté po vypočutí generálnej advokátky, že vec bude prejednaná bez jej návrhov,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu článku 2 ods. 1 a článku 4 bodu 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).
2 Tento návrh bol podaný v rámci sporu medzi RK a Ministerstvom zdravotnictví (Česká republika, ďalej len „ministerstvo“) týkajúceho sa toho, že ministerstvo prijalo výnimočné opatrenie upravujúce vstup osôb na určité miesta a podujatia s cieľom chrániť obyvateľstvo pred šírením epidémie COVID‑19.
Právny rámec
GDPR
3 Podľa odôvodnenia 1 GDPR „ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie… a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ) sa stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú“.
4 Článok 2 tohto nariadenia s názvom „Vecná pôsobnosť“ v odseku 1 stanovuje:
„Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.“
5 Odsek 2 tohto článku vymenúva štyri prípady, v ktorých sa GDPR „nevzťahuje na spracúvanie osobných údajov“.
6 Podľa článku 4 uvedeného nariadenia:
„Na účely tohto nariadenia:
1. ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;
2. ‚spracúvanie‘ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;
…“
7 Predmetom článkov 5 a 6 toho istého nariadenia sú „zásady spracúvania osobných údajov“ a „zákonnosť spracúvania“.
Nariadenie (EÚ) 2021/953
8 Odôvodnenie 48 nariadenia Európskeho parlamentu a Rady (EÚ) 2021/953 zo 14. júna 2021 o rámci pre vydávanie, overovanie a uznávanie interoperabilných potvrdení o očkovaní proti ochoreniu COVID‑19, o vykonaní testu a prekonaní tohto ochorenia (digitálny COVID preukaz EÚ) s cieľom uľahčiť voľný pohyb počas pandémie ochorenia COVID‑19 (Ú. v. EÚ L 211, 2021, s. 1) stanovuje:
„[GDPR] sa vzťahuje na spracúvanie osobných údajov vykonávané pri uplatňovaní tohto nariadenia. Týmto nariadením sa stanovuje právny základ na spracúvanie osobných údajov v zmysle článku 6 ods. 1 písm. c) a článku 9 ods. 2 písm. g) [GDPR], ktoré je potrebné na vydávanie a overovanie interoperabilných potvrdení stanovených v tomto nariadení. … Členské štáty môžu spracúvať osobné údaje na iné účely, ak je právny základ na spracúvanie takýchto údajov na iné účely vrátane súvisiacich období uchovávania stanovený vo vnútroštátnom práve, ktoré musí byť v súlade s právom Únie v oblasti ochrany údajov, a so zásadami účinnosti, nevyhnutnosti a proporcionality a ktoré by malo obsahovať ustanovenia, v ktorých sa jasne určí pôsobnosť a rozsah spracúvania, konkrétny účel, kategórie subjektov, ktoré môžu potvrdenie overovať, ako aj príslušné záruky na zabránenie diskriminácii a zneužívaniu, pričom sa zohľadnia riziká pre práva a slobody dotknutých osôb. …“
9 Článok 1 tohto nariadenia s názvom „Predmet úpravy“ stanovuje:
„Týmto nariadením sa stanovuje rámec pre vydávanie, overovanie a uznávanie interoperabilných potvrdení o očkovaní proti ochoreniu COVID‑19, o vykonaní testu a prekonaní tohto ochorenia (digitálny COVID preukaz EÚ) na účely toho, aby sa držiteľom takýchto potvrdení uľahčilo uplatňovanie ich práva na voľný pohyb počas pandémie ochorenia COVID‑19. Toto nariadenie prispieva tiež k uľahčeniu koordinovaného, postupného rušenia obmedzení voľného pohybu zavedených členskými štátmi v súlade s právom Únie na obmedzenie šírenia vírusu SARS‑CoV‑2.
Stanovuje sa v ňom právny základ na spracúvanie osobných údajov potrebných na vydanie takýchto potvrdení a na spracúvanie informácií potrebných na overenie a potvrdenie pravosti a platnosti takýchto potvrdení v plnom súlade s [GDPR].“
10 Článok 3 tohto nariadenia s názvom „Digitálny COVID preukaz EÚ“ v odseku 1 stanovuje, že rámec digitálneho COVID preukazu EÚ umožňuje vydávať, cezhranične overovať a uznávať potvrdenia o očkovaní, potvrdenia o vykonaní testu a potvrdenia o prekonaní ochorenia. Okrem toho podľa jeho odseku 2 „členské štáty alebo určené subjekty konajúce v mene členských štátov vydávajú potvrdenia uvedené v odseku 1 tohto článku v digitálnom alebo papierovom formáte, alebo v oboch formátoch. Potenciálni držitelia majú nárok získať potvrdenia vo formáte podľa vlastného výberu. Uvedené potvrdenia musia byť ľahko používateľsky ústretové a musia obsahovať interoperabilný čiarový kód umožňujúci overiť ich pravosť, platnosť a integritu. Čiarový kód musí byť v súlade s technickými špecifikáciami stanovenými podľa článku 9. Informácie obsiahnuté v potvrdeniach sa uvádzajú aj v podobe čitateľnej ľudským okom a musia byť poskytnuté aspoň v úradnom jazyku alebo jazykoch vydávajúceho členského štátu a v angličtine“.
11 Článok 5 ods. 2 písm. a), článok 6 ods. 2 písm. a), ako aj článok 7 ods. 2 písm. a) uvedeného nariadenia stanovujú, že potvrdenie o očkovaní, potvrdenie o vykonaní testu a potvrdenie o prekonaní ochorenia obsahujú totožnosť jeho držiteľa.
12 Článok 10 toho istého nariadenia s názvom „Ochrana osobných údajov“ v prvých štyroch odsekoch stanovuje:
„1. Na spracúvanie osobných údajov pri vykonávaní tohto nariadenia sa vzťahuje [GDPR].
2. Na účely toho nariadenia osobné údaje uvedené v potvrdeniach vydaných podľa tohto nariadenia sa spracúvajú iba na účely prístupu k informáciám uvedeným v potvrdení a ich overovania s cieľom uľahčiť uplatňovanie práva na voľný pohyb v rámci Únie počas pandémie ochorenia COVID‑19. Po skončení obdobia uplatňovania tohto nariadenia nesmie dôjsť k žiadnemu ďalšiemu spracúvaniu.
3. Osobné údaje uvedené v potvrdeniach podľa článku 3 ods. 1 spracúvajú príslušné orgány členského štátu určenia alebo tranzitu, alebo prevádzkovatelia služieb cezhraničnej osobnej dopravy, od ktorých sa podľa vnútroštátneho práva vyžaduje vykonávanie určitých opatrení v oblasti verejného zdravia počas pandémie ochorenia COVID‑19, len na účely overenia a potvrdenia stavu očkovania, výsledku testu alebo prekonania ochorenia držiteľa. Na uvedený účel sa osobné údaje obmedzujú na to, čo je nevyhnutne potrebné. Osobné údaje, ku ktorým sa pristupuje podľa tohto odseku, sa neuchovávajú.
4. Osobné údaje spracúvané na účely vydávania potvrdení uvedených v článku 3 ods. 1 vrátane vydania nového potvrdenia vystaviteľ neuchováva dlhšie, než je nevyhnutne potrebné na daný účel a v žiadnom prípade nie dlhšie než na obdobie, počas ktorého sa potvrdenia môžu použiť na uplatňovanie práva na voľný pohyb.“
Spor vo veci samej a prejudiciálna otázka
13 Ministerstvo prostredníctvom mimoriadneho opatrenia z 29. decembra 2021 (ďalej len „výnimočné opatrenie“) prijatého na ochranu obyvateľstva pred rozšírením šírenia pandémie COVID‑19 podriadilo od 3. januára 2022 rôznym podmienkam vstup osôb do určitých vnútorných a vonkajších priestorov, ako aj ich účasť na hromadných podujatiach alebo iných činnostiach. Konkrétne sa po prvé vyžadoval negatívny test RT‑PCR na zistenie prítomnosti vírusu SARS‑CoV‑2 nie starší ako 72 hodín, pre osoby mladšie ako 18 rokov, osoby, ktoré sa nemohli podrobiť očkovaniu proti ochoreniu COVID‑19 z dôvodu kontraindikácie, ako aj osoby, ktoré neukončili úplnú očkovaciu schému, po druhé uplynutie obdobia najmenej 14 dní od ukončenia očkovacej schémy schváleným liekom alebo po tretie prekonanie laboratórne potvrdeného ochorenia COVID 19 po ukončení doby izolácie do uplynutia lehoty 180 dní od prvého pozitívneho testu (ďalej len „podmienky takzvanej bezinfekčnosti“).
14 Mimoriadne opatrenie zaväzovalo klientov (diváci, účastníci), aby predložili dôkaz o splnení týchto podmienok, a ukladalo prevádzkovateľom (organizátorom) povinnosť kontrolovať ich dodržiavanie prostredníctvom mobilnej aplikácie ministerstva nazvanej „čTečka“. Ak klient nepreukázal, že dodržal uvedené podmienky, prevádzkovateľovi bolo zakázané poskytnúť mu službu a umožniť mu prístup do priestoru alebo na podujatie. Podľa mimoriadneho opatrenia toto uplatňovanie zabezpečilo spoľahlivé overenie pravosti a platnosti predloženého podporného dokumentu obsahujúceho QR kód.
15 Nejvyšší správní soud (Česká republika), ktorý podal návrh na začatie prejudiciálneho konania, považuje na účely rozhodnutia o žalobe o neplatnosť mimoriadneho opatrenia, ktorú podal RK 20. januára 2022, za potrebné začať preskúmaním toho, či kontrola takzvaných podmienok „bezinfekčnosti“ prostredníctvom aplikácie „čTečka“ predstavuje automatizované „spracúvanie“ osobných údajov v zmysle článku 4 bodu 2 GDPR, pričom spresňuje, že informácie obsiahnuté v digitálnych preukazoch EÚ predstavujú osobné údaje v zmysle článku 4 bodu 1 tohto nariadenia. V prípade kladnej odpovede by sa uvedené nariadenie v súlade s jeho článkom 2 ods. 1 uplatňovalo.
16 Vnútroštátny súd spresňuje, že aplikácia „čTečka“ umožňuje kontrolovať a overovať platnosť digitálnych COVID preukazov EÚ vydaných podľa nariadenia 2021/953. Táto aplikácia skenuje QR kód potvrdenia prostredníctvom fotoaparátu mobilného telefónu osoby poverenej vykonaním kontroly. Táto osoba má následne k dispozícii prehľad základných identifikačných údajov držiteľa potvrdenia (meno, priezvisko a dátum narodenia), ako aj o tom, či je toto potvrdenie platné alebo neplatné. Kliknutím na konkrétne tlačidlo aplikácie môže osoba zodpovedná za vykonanie kontroly získať prístup ku všetkým informáciám uvedeným v tomto potvrdení, ako je očkovanie, typ očkovacej látky, výrobca očkovacej látky, počet dávok, dátum očkovania, dátum prvého pozitívneho výsledku a vydavateľ osvedčenia. Aplikácia „čTečka“ sa obmedzuje na dočasné zobrazenie týchto údajov na obrazovke mobilného telefónu osoby poverenej vykonaním kontroly, takže uvedené údaje nie sú uchovávané ani prenášané.
17 Tento súd uvádza, že s cieľom overiť platnosť digitálneho COVID preukazu EÚ táto aplikácia nahráva vždy každých 24 hodín alebo na požiadanie verejné kľúče potvrdení členských štátov a pravidlá validácie členských štátov z rozhrania ministerstva. Tento proces sa môže uskutočniť aj offline. Pri inštalácii aplikácie do mobilného telefónu osoby zodpovednej za vykonanie kontroly sa zobrazí text, v ktorom sa uvádza, že „aplikácia čTečka je prevádzkovaná v súlade s právom Únie a právom Českej republiky a uľahčuje voľný pohyb osôb a prístup k službám a podujatiam počas pandémie COVID‑19. Aplikácia spracúva osobné údaje držiteľov digitálnych COVID preukazov z členských štátov Únie na účely ich kontroly oprávnenými osobami na základe nariadenia Únie, mimoriadnych opatrení [ministerstva] alebo na dobrovoľnom základe. Aplikácia neuchováva a nikde neprenáša osobné údaje týkajúce sa zdravia kontrolovaných osôb. Podrobné informácie o spracúvaní osobných údajov možno nájsť v podmienkach používania“.
18 Vnútroštátny súd okrem toho uvádza, že podľa článku 3 ods. 2 nariadenia 2021/953 potvrdenie vydané členským štátom musí obsahovať interoperabilný čiarový kód umožňujúci overiť jeho pravosť, platnosť a integritu. Uvádza, že konverzia osobných údajov uvedených v bode 15 tohto rozsudku zo strojovo do ľudsky čitateľného formátu sa uskutočňuje automatizovaným procesom, a to aplikáciou „čTečka“, čo by mohlo predstavovať spracúvanie osobných údajov v zmysle článku 4 bodu 2 GDPR.
19 Vnútroštátny súd však pochybuje, že táto jednoduchá operácia konverzie a zobrazenia týchto údajov na mobilnom telefóne predstavuje „spracúvanie“ v zmysle tohto ustanovenia, a to tým skôr, že tieto dve operácie nemôžu viesť k neoprávnenému použitiu alebo zneužitiu osobných údajov ani k zasahovaniu do práva na ochranu týchto údajov, pretože aplikácia neprenáša takto získané údaje.
20 Vnútroštátny súd sa okrem toho domnieva, že overenie platnosti potvrdenia prostredníctvom aplikácie „čTečka“ by mohlo predstavovať aj spracúvanie osobných údajov, keďže táto operácia vedie k použitiu osobných údajov, ktoré sú obsiahnuté v tomto potvrdení a týkajú sa zdravia kontrolovanej osoby. Na to, aby bolo možné posúdiť, či je alebo nie je potvrdenie platné, a určiť, či dotknutá osoba spĺňa takzvané podmienky „bezinfekčnosti“ stanovené mimoriadnym opatrením, aplikácia musí nevyhnutne porovnať informácie týkajúce sa zdravotného stavu tejto osoby, ako je dátum očkovania, s pravidlami validácie platnými v danom čase.
21 Napokon sa tento súd domnieva, že spracúvanie osobných údajov by mohlo byť tvorené kombináciou postupov, ktoré prebiehajú pri kontrole potvrdení, aplikáciou „čTečka“, teda konverziou osobných údajov z QR kódu na ľudsky čitateľný formát, ich zobrazením na mobilnom telefóne, nahliadnutím do nich kontrolórom a posúdením platnosti potvrdenia prostredníctvom tejto aplikácie porovnaním osobných údajov týkajúcich sa zdravia s pravidlami validácie. Hoci tieto operácie posudzované jednotlivo nemusia predstavovať spracúvanie v zmysle článku 4 bodu 2 GDPR, ich vzájomné spojenie by mohlo viesť k tejto kvalifikácii.
22 V tejto súvislosti tento súd uvádza, že článok 10 ods. 1 a 3 nariadenia 2021/953 výslovne stanovuje, že na účely výkonu práva na voľný pohyb v rámci Únie sa GDPR uplatňuje na spracúvanie osobných údajov obsiahnutých v digitálnych COVID preukazoch EÚ. Okrem toho podľa odôvodnenia 48 nariadenia 2021/953 by spracúvanie osobných údajov obsiahnutých v potvrdeniach malo mať jednotný právny režim.
23 Za týchto podmienok Nejvyšší správní soud rozhodol prerušiť konanie a položiť Súdnemu dvoru túto prejudiciálnu otázku:
„Dochádza pri overovaní platnosti interoperabilných potvrdení o očkovaní, teste a prekonaní ochorenia v súvislosti s ochorením COVID 19 vydávaných podľa nariadenia [2021/953], ktoré používa Česká republika na vnútroštátne účely, prostredníctvom vnútroštátnej aplikácie ‚čTečka‘ k automatizovanému spracúvaniu osobných údajov v zmysle článku 4 bodu 2 [GDPR], a teda je tým založená vecná pôsobnosť [tohto] nariadenia podľa článku 2 ods. 1 uvedeného nariadenia?“
O prejudiciálnej otázke
24 Svojou otázkou sa vnútroštátny súd v podstate pýta, či sa má pojem „spracúvanie“ osobných údajov uvedený v článku 4 bode 2 GDPR vykladať v tom zmysle, že zahŕňa overenie prostredníctvom vnútroštátnej mobilnej aplikácie platnosti interoperabilných potvrdení o očkovaní proti ochoreniu COVID‑19, o vykonaní testu a prekonaní tohto ochorenia vydaných podľa nariadenia 2021/953 a používaných členským štátom na vnútroštátne účely.
25 Je nesporné, že viaceré informácie, ku ktorým má osoba poverená vykonaním kontroly prístup pri kontrole platnosti digitálneho COVID preukazu EÚ, ako sú uvedené v bode 15 tohto rozsudku, predstavujú „osobné údaje“ v zmysle článku 4 bodu 1 GDPR. Z tohto ustanovenia totiž vyplýva, že pojem „osobné údaje“ označuje „akúkoľvek informáciu týkajúcu sa identifikovanej alebo identifikovateľnej fyzickej osoby“ a že táto identifikácia môže vyplývať najmä z použitia mena dotknutej osoby.
26 V tejto súvislosti stačí konštatovať, že článok 5 ods. 2 písm. a), článok 6 ods. 2 písm. a), ako aj článok 7 ods. 2 písm. a) nariadenia 2021/953 stanovujú, že potvrdenie o očkovaní, potvrdenie o vykonaní testu a potvrdenie o prekonaní ochorenia obsahujú totožnosť jeho držiteľa.
27 Po tomto spresnení treba uviesť, že článok 4 bod 2 GDPR definuje pojem „spracúvanie“ ako „operáciu alebo súbor operácií s osobnými údajmi alebo súborom osobných údajov bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami“. V demonštratívnom výpočte, ktorý je uvedený slovným spojením „napríklad“, toto ustanovenie uvádza ako príklady spracúvania prehliadanie a využívanie osobných údajov. Zo znenia uvedeného ustanovenia, najmä z výrazu „[akákoľvek] operácia“, teda vyplýva, že normotvorca Únie zamýšľal priznať pojmu „spracúvanie“ široký rozsah [pozri v tomto zmysle rozsudok z 24. februára 2022, Valsts ieņēmumu dienests (Spracovanie osobných údajov na daňové účely), C‑175/20, EU:C:2022:124, bod 35].
28 Tento široký výklad pojmov „osobné údaje“ a „spracúvanie“ je v súlade s cieľom zabezpečiť účinnosť základného práva na ochranu fyzických osôb pri spracúvaní osobných údajov, uvedeným v odôvodnení 1 nariadenia GDPR, ktorým sa riadi uplatňovanie tohto nariadenia.
29 V prejednávanej veci však vnútroštátna mobilná aplikácia, akou je aplikácia „čTečka“, skenuje QR kód uvedený na digitálnom COVID preukaze EÚ s cieľom konvertovať osobné údaje, ktoré tento kód obsahuje, na ľudsky čitateľný formát osobou poverenou kontrolou platnosti tohto preukazu. Takéto uplatnenie tak umožňuje osobe poverenej vykonaním kontroly nahliadnuť v nadväznosti na automatizovaný proces, teda po naskenovaní, do osobných údajov a použiť ich na účel posúdenia, či je situácia dotknutej osoby v súlade s pravidlami validácie, inými slovami s uplatniteľnými hygienickými požiadavkami. Výsledok tohto posúdenia je tiež automatizovaný, pretože na mobilnom telefóne kontrolóra sa zobrazí zelená plocha, ak sú splnené hygienické požiadavky, zatiaľ čo v opačnom prípade sa objavuje červený kríž.
30 Treba teda konštatovať, že overenie platnosti interoperabilných potvrdení o očkovaní proti ochoreniu COVID‑19, o vykonaní testu a prekonaní tohto ochorenia vydaných podľa nariadenia 2021/953 prostredníctvom aplikácie „čTečka“ predstavuje „spracúvanie“ v zmysle článku 4 bodu 2 GDPR a v súlade s článkom 2 ods. 1 tohto nariadenia patrí do vecnej pôsobnosti tohto nariadenia.
31 Výklad uvedený v bode 30 tohto rozsudku podporuje nariadenie 2021/953, ktoré stanovuje, že zavedenie digitálneho COVID preukazu EÚ predstavuje spracúvanie v zmysle článku 4 bodu 2 GDPR. Článok 1 druhý odsek nariadenia 2021/953 totiž stanovuje, že toto nariadenie „stanovuje právny základ na spracúvanie osobných údajov potrebných na vydanie takýchto potvrdení a na spracúvanie informácií potrebných na overenie a potvrdenie pravosti a platnosti takýchto potvrdení v plnom súlade s [GDPR]“. Okrem toho z odôvodnenia 48 nariadenia 2021/953 na jednej strane vyplýva, že GDPR sa uplatňuje na spracúvanie osobných údajov, ku ktorému dochádza pri vykonávaní nariadenia 2021/953, a na druhej strane, že toto nariadenie stanovuje právny základ pre spracúvanie osobných údajov v zmysle článku 6 ods. 1 písm. c) a článku 9 ods. 2 písm. g) GDPR, ktoré je potrebné na vydanie a overovanie interoperabilných potvrdení upravených v nariadení 2021/953. Článok 10 ods. 1 tohto nariadenia tiež potvrdzuje, že GDPR sa uplatňuje na spracúvanie osobných údajov, ku ktorému dochádza pri vykonávaní nariadenia 2021/953.
32 V dôsledku toho prináleží vnútroštátnemu súdu overiť, či spracúvanie zavedené mimoriadnym opatrením je jednak v súlade so zásadami týkajúcimi sa spracúvania údajov uvedenými v článku 5 GDPR a jednak zodpovedá jednej zo zásad týkajúcich sa zákonnosti spracúvania uvedených v článku 6 tohto nariadenia [pozri najmä rozsudky z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 96, a zo 4. mája 2023, Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, bod 57].
33 Vzhľadom na predchádzajúce úvahy sa má pojem „spracúvanie“ osobných údajov uvedený v článku 4 bode 2 GDPR vykladať v tom zmysle, že zahŕňa overenie prostredníctvom vnútroštátnej mobilnej aplikácie platnosti interoperabilných potvrdení o očkovaní proti ochoreniu COVID‑19, o vykonaní testu a prekonaní tohto ochorenia vydaných podľa nariadenia 2021/953 a používaných členským štátom na vnútroštátne účely.
O trovách
34 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (ôsma komora) rozhodol takto:
Pojem „spracúvanie“ osobných údajov uvedený v článku 4 bode 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
sa má vykladať v tom zmysle, že:
zahŕňa overenie prostredníctvom vnútroštátnej mobilnej aplikácie platnosti interoperabilných potvrdení o očkovaní proti ochoreniu COVID‑19, o vykonaní testu a prekonaní tohto ochorenia vydaných podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2021/953 zo 14. júna 2021 o rámci pre vydávanie, overovanie a uznávanie interoperabilných potvrdení o očkovaní proti ochoreniu COVID‑19, o vykonaní testu a prekonaní tohto ochorenia (digitálny COVID preukaz EÚ) s cieľom uľahčiť voľný pohyb počas pandémie ochorenia COVID‑19 a používaných členským štátom na vnútroštátne účely.
Podpisy