ROZSUDEK SOUDNÍHO DVORA (osmého senátu)
5. října 2023(*)
„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 4 bod 2 – Pojem ‚zpracování‘ osobních údajů – Mobilní aplikace – Ověřování platnosti ‚digitálních certifikátů EU COVID‘ vydávaných podle nařízení (EU) 2021/953“
Ve věci C‑659/22,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce podaná na základě článku 267 SFEU Nejvyšším správním soudem (Česká republika) rozhodnutím ze dne 12. října 2022, došlým Soudnímu dvoru dne 20. října 2022, v řízení
RK
proti
Ministerstvu zdravotnictví,
SOUDNÍ DVŮR (osmý senát),
ve složení: M. Safjan, předseda senátu, N. Piçarra a M. Gavalec (zpravodaj), soudci,
generální advokátka: L. Medina,
za soudní kancelář: A. Calot Escobar, vedoucí,
s přihlédnutím k písemné části řízení,
s ohledem na vyjádření, která předložili:
– za RK: D. Sudolská, advokátka,
– za českou vládu: M. Smolek, O. Serdula a J. Vláčil, jako zmocněnci,
– za nizozemskou vládu: M. K. Bulterman a A. Hanje, jako zmocněnkyně,
– za Evropskou komisi: A. Bouchagiar, H. Kranenborg a P. Ondrůšek, jako zmocněnci,
s přihlédnutím k rozhodnutí, přijatému po vyslechnutí generální advokátky, rozhodnout věc bez stanoviska,
vydává tento
Rozsudek
1 Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 2 odst. 1 a čl. 4 bodu 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „nařízení GDPR“).
2 Tato žádost byla předložena v rámci sporu mezi RK a Ministerstvem zdravotnictví (Česká republika, dále jen „ministerstvo“) ve věci mimořádného opatření, kterým ministerstvo stanovilo k ochraně obyvatelstva před šířením pandemie covidu-19 podmínky pro vstup osob do některých prostor a pro účast na některých akcích.
Právní rámec
Nařízení GDPR
3 Bod 1 odůvodnění nařízení GDPR uvádí, že „[o]chrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie [...] a čl. 16 odst. 1 Smlouvy o fungování Evropské unie [...] přiznávají každému právo na ochranu osobních údajů, které se jej týkají“.
4 Článek 2 tohoto nařízení, nadepsaný „Věcná působnost“, v odstavci 1 stanoví:
„Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.“
5 Odstavec 2 tohoto článku uvádí čtyři případy, kdy se nařízení GDPR „nevztahuje na zpracování osobních údajů“.
6 Článek 4 uvedeného nařízení stanoví:
„Pro účely tohoto nařízení se rozumí:
1) ‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen ‚subjekt údajů‘); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
2) ‚zpracováním‘ jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
[...]“
7 Předmětem článku 5 téhož nařízení jsou „[z]ásady zpracování osobních údajů“ a předmětem jeho článku 6 je „[z]ákonnost zpracování“.
Nařízení (EU) 2021/953
8 Bod 48 odůvodnění nařízení Evropského parlamentu a Rady (EU) 2021/953 ze dne 14. června 2021 o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, o testu a o zotavení v souvislosti s onemocněním COVID-19 (digitální certifikát EU COVID) za účelem usnadnění volného pohybu během pandemie COVID-19 (Úř. věst. 2021, L 211, s. 1) uvádí:
„Na zpracování osobních údajů při provádění tohoto nařízení se použije [nařízení GDPR]. Toto nařízení stanoví právní základ pro zpracování osobních údajů ve smyslu čl. 6 odst. 1 písm. c) a čl. 9 odst. 2 písm. g) nařízení [GDPR], nezbytné pro vydávání a ověřování interoperabilních certifikátů stanovených v tomto nařízení. [...] Členské státy mohou osobní údaje pro jiné účely zpracovávat, pokud je právní základ pro zpracování těchto údajů pro jiné účely, včetně souvisejících lhůt pro jejich uchovávání, stanoven ve vnitrostátním právu, které musí být v souladu s právními předpisy Unie na ochranu údajů a se zásadami účinnosti, nezbytnosti a proporcionality a které by mělo obsahovat ustanovení, jež jasně stanoví oblast a rozsah zpracování, konkrétní účel, kategorie subjektů, které mohou certifikát ověřit, a příslušné záruky pro předcházení diskriminaci a zneužívání, s přihlédnutím k rizikům pro práva a svobody subjektů údajů. [...]“
9 Článek 1 tohoto nařízení, nadepsaný „Předmět“, stanoví:
„Toto nařízení stanoví rámec pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, testu a zotavení v souvislosti s onemocněním COVID-19 (digitální certifikát EU COVID) za účelem usnadnění výkonu práva jejich držitelů na volný pohyb během pandemie COVID-19. Toto nařízení přispěje rovněž k usnadnění postupného zrušení omezení volného pohybu, jež byla zavedena členskými státy v souladu s právem Unie za účelem koordinovaného omezení šíření SARS-CoV-2.
Toto nařízení stanoví právní základ pro zpracování osobních údajů nezbytných k vydávání těchto certifikátů a ke zpracování informací nezbytných k ověření a potvrzení pravosti a platnosti těchto certifikátů v plném souladu s [nařízením GDPR].“
10 Článek 3 tohoto nařízení, nadepsaný „Digitální certifikát EU COVID“, v odstavci 1 stanoví, že rámec digitálního certifikátu EU COVID umožňuje vydávání a přeshraniční ověřování a uznávání certifikátů o očkování, certifikátů o testu a certifikátů o zotavení. Uvedený článek mimoto v odstavci 2 stanoví, že „[č]lenské státy nebo určené subjekty jednající jménem členských států vydávají certifikáty uvedené v odstavci 1 tohoto článku v digitálním nebo tištěném formátu nebo v obou formátech. Potenciální držitelé mají nárok na získání certifikátu ve formátu, který si zvolí. Tyto certifikáty musí být uživatelsky vstřícné a musí obsahovat interoperabilní čárový kód umožňující ověření jejich pravosti, platnosti a integrity. Čárový kód splňuje technické specifikace stanovené v článku 9. Informace obsažené v certifikátech musí být rovněž uvedeny ve formátu čitelném pro člověka a musí být poskytnuty alespoň v úředním jazyce nebo úředních jazycích vydávajícího členského státu a v angličtině“.
11 Článek 5 odst. 2 písm. a), čl. 6 odst. 2 písm. a) a čl. 7 odst. 2 písm. a) uvedeného nařízení stanoví, že certifikát o očkování, certifikát o testu a certifikát o zotavení obsahují totožnost svého držitele.
12 Článek 10 téhož nařízení, nadepsaný „Ochrana osobních údajů“, v prvních čtyřech odstavcích stanoví:
„1. Na zpracování osobních údajů při provádění tohoto nařízení se použije [nařízení GDPR].
2. Pro účely tohoto nařízení se osobní údaje obsažené v certifikátech vydaných podle tohoto nařízení zpracovávají pouze pro účely přístupu k informacím uvedeným v certifikátu a jejich ověření, aby se usnadnil výkon práva na volný pohyb v Unii během pandemie COVID-19. Po uplynutí doby použitelnosti tohoto nařízení nesmí být prováděno žádné další zpracování osobních údajů.
3. Osobní údaje uvedené v certifikátech podle čl. 3 odst. 1 zpracovávají příslušné orgány členského státu určení či tranzitu nebo provozovatelé služeb přeshraniční přepravy cestujících, kteří jsou podle vnitrostátního práva povinni provádět během pandemie COVID-19 určitá opatření v oblasti veřejného zdraví, pouze k tomu, aby ověřili a potvrdili očkování, výsledek testu nebo zotavení držitele. Proto se osobní údaje omezí na to, co je nezbytně nutné. Osobní údaje zpřístupněné podle tohoto odstavce se neuchovávají.
4. Osobní údaje zpracovávané za účelem vydání certifikátů podle čl. 3 odst. 1, včetně vydání nového certifikátu, nesmí vydavatel uchovávat po dobu delší, než je pro jejich účel nezbytně nutné, a v žádném případě ne déle, než je doba, po niž mohou být použity k výkonu práva na volný pohyb.“
Spor v původním řízení a předběžná otázka
13 Ministerstvo mimořádným opatřením ze dne 29. prosince 2021 (dále jen „mimořádné opatření“), vydaným k ochraně obyvatelstva před dalším rozšířením pandemie covidu-19, stanovilo s účinností od 3. ledna 2022 různé podmínky pro vstup osob do některých vnitřních a venkovních prostor a pro jejich účast na hromadných akcích nebo na jiných činnostech. Bylo mimo jiné vyžadováno zaprvé absolvování RT-PCR vyšetření na přítomnost viru SARS-CoV-2 s negativním výsledkem nejdéle před 72 hodinami, jde-li o osobu do dovršení 18 let věku, osobu, která se nemůže podrobit očkování proti onemocnění covid-19 pro kontraindikaci, nebo osobu tzv. rozočkovanou; zadruhé uplynutí nejméně 14 dní od dokončeného očkovacího schématu, a to schváleným léčivým přípravkem, nebo zatřetí prodělání laboratorně potvrzeného onemocnění covid-19, jestliže uplynula doba izolace a od prvního pozitivního testu neuplynulo více než 180 dní (dále jen „podmínky tzv. bezinfekčnosti“).
14 Mimořádné opatření stanovilo zákazníkům (divákům, účastníkům) povinnost prokázat splnění těchto podmínek a provozovatelům (organizátorům) povinnost splnění těchto podmínek kontrolovat prostřednictvím mobilní aplikace ministerstva zvané „čTečka“. Neprokázal-li zákazník splnění uvedených podmínek, bylo provozovateli zakázáno poskytnout zákazníkovi službu a vpustit ho do prostor nebo na akci. Podle mimořádného opatření tato aplikace zaručovala spolehlivé ověření pravosti a platnosti prokazovaného dokladu obsahujícího QR kód.
15 Pro účely rozhodnutí o návrhu na zrušení mimořádného opatření, který podal RK dne 20. ledna 2022, považuje Nejvyšší správní soud (Česká republika), který je předkládajícím soudem, za nezbytné předně posoudit, zda při kontrole podmínek tzv. „bezinfekčnosti“ pomocí aplikace „čTečka“ dochází k automatizovanému „zpracování“ osobních údajů ve smyslu čl. 4 bodu 2 nařízení GDPR, přičemž má za to, že informace obsažené v digitálních certifikátech EU představují osobní údaje ve smyslu čl. 4 bodu 1 tohoto nařízení. Je-li tomu tak, použije se podle jeho názoru uvedené nařízení v souladu s jeho čl. 2 odst. 1.
16 Předkládající soud upřesňuje, že aplikace „čTečka“ umožňuje provést kontrolu a ověření platnosti digitálních certifikátů EU COVID vydávaných podle nařízení 2021/953. Tato aplikace načte QR kód certifikátu kamerou mobilního telefonu kontrolující osoby. Této osobě se následně zobrazí náhled na základní identifikační údaje držitele certifikátu (jméno, příjmení a datum narození) a stav tohoto certifikátu, tedy zda je platný, či neplatný. Po kliknutí na příslušné tlačítko aplikace může kontrolující osoba získat přístup ke kompletní sadě informací uvedených v daném certifikátu, jako jsou očkování, typ vakcíny, výrobce vakcíny, počet obdržených dávek, datum očkování, datum prvního pozitivního výsledku a vydavatel certifikátu. Aplikace „čTečka“ tyto údaje pouze dočasně zobrazuje na obrazovce mobilního telefonu kontrolující osoby, takže uvedené údaje nejsou uchovávány ani nikam odesílány.
17 Předkládající soud uvádí, že za účelem ověření platnosti digitálního certifikátu EU COVID tato aplikace jednou za 24 hodin nebo na vyžádání stahuje veřejné klíče certifikátů členských států a validační pravidla členských států z rozhraní ministerstva. Tento proces může probíhat i off-line. Při instalaci aplikace na mobilní telefon kontrolující osoby se zobrazí text, ve kterém se uvádí, že „aplikace čTečka je provozována v souladu s právem EU a ČR a usnadňuje volný pohyb osob a přístup ke službám a akcím během pandemie covidu-19. Aplikace zpracovává osobní údaje držitelů Digitálních COVID certifikátů členských států EU za účelem jejich kontroly osobami oprávněnými na základě nařízení EU, mimořádných opatření [ministerstva] nebo na dobrovolné bázi. Aplikace neuchovává ani nikam neodesílá osobní ani zdravotní údaje kontrolovaných osob. Detailní informace o zpracování osobních údajů najdete v podmínkách používání“.
18 Předkládající soud mimoto uvádí, že podle čl. 3 odst. 2 nařízení 2021/953 musí certifikát vydávaný členským státem obsahovat interoperabilní čárový kód umožňující ověření jeho pravosti, platnosti a integrity. Poznamenává, že přeložení osobních údajů, uvedených v bodě 16 tohoto rozsudku, ze strojové podoby do podoby čitelné pro člověka se děje pomocí automatizovaného postupu, tj. aplikace „čTečka“, což může představovat zpracování osobních údajů ve smyslu čl. 4 bodu 2 nařízení GDPR.
19 Předkládající soud má nicméně pochybnosti o tom, zda tento pouhý překlad uvedených údajů a jejich zobrazení na mobilním telefonu představují „zpracování“ ve smyslu tohoto ustanovení, a to tím spíše že při těchto dvou operacích nemůže dojít ke zneužití osobních údajů ani k zásahu do práva na ochranu těchto údajů, neboť aplikace takto získané údaje nikam neodesílá.
20 Předkládající soud má dále za to, že zpracování osobních údajů by mohlo představovat také ověření platnosti certifikátu aplikací „čTečka“, jelikož při této operaci dochází k použití osobních údajů stran zdravotního stavu kontrolované osoby obsažených v tomto certifikátu. Aby totiž mohla aplikace vyhodnotit, zda je certifikát platný, či nikoliv, a bylo možné zjistit, zda dotyčná osoba splňuje podmínky tzv. „bezinfekčnosti“ stanovené mimořádným opatřením, musí nutně porovnat údaje o zdravotním stavu této osoby, jako je např. datum očkování, s validačními pravidly platnými v dané době.
21 Uvedený soud má konečně za to, že zpracování osobních údajů by mohla představovat kombinace procesů, které při kontrole certifikátů aplikací „čTečka“ probíhají, tj. převedení osobních údajů z QR kódu do lidsky čitelné podoby, jejich promítnutí na mobilní telefon, nahlédnutí do nich kontrolující osobou a vyhodnocení platnosti certifikátu touto aplikací porovnáním osobních údajů o zdravotním stavu s validačními pravidly. Přestože jednotlivě tyto procesy nemusí představovat zpracování ve smyslu čl. 4 bodu 2 nařízení GDPR, v souhrnu by takto kvalifikovány být mohly.
22 S ohledem na to předkládající soud uvádí, že čl. 10 odst. 1 a 3 nařízení 2021/953 výslovně stanoví, že pro účely výkonu práva na volný pohyb v EU se na zpracování osobních údajů obsažených v digitálních certifikátech EU COVID použije nařízení GDPR. Dále je toho názoru, že podle bodu 48 odůvodnění nařízení 2021/953 by zpracování osobních údajů obsažených v certifikátech mělo mít jednotný právní režim.
23 Za těchto podmínek se Nejvyšší správní soud rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžnou otázku:
„Dochází při ověřování platnosti interoperabilních certifikátů o očkování, testu a zotavení v souvislosti s onemocněním covid-19 vydávaných podle nařízení [2021/953], které jsou Českou republikou používány pro vnitrostátní účely, národní aplikací ‚čTečka‘ k automatizovanému zpracování osobních údajů ve smyslu čl. 4 [bodu 2] [nařízení GDPR], a je tak dána věcná působnost [posledně uvedeného] nařízení podle [jeho] čl. 2 odst. 1?“
K předběžné otázce
24 Podstatou otázky předkládajícího soudu je, zda pojem „zpracování“ osobních údajů uvedený v čl. 4 bodě 2 nařízení GDPR musí být vykládán v tom smyslu, že se vztahuje i na situaci, kdy členský stát prostřednictvím národní mobilní aplikace ověřuje platnost interoperabilních certifikátů o očkování, testu a zotavení v souvislosti s onemocněním covid-19 vydávaných na základě nařízení 2021/953 a používaných členským státem pro vnitrostátní účely.
25 Je nesporné, že některé informace, k nimž má kontrolující osoba přístup při kontrole platnosti digitálního certifikátu EU COVID, jako jsou informace uvedené v bodě 16 tohoto rozsudku, představují „osobní údaje“ ve smyslu čl. 4 bodu 1 nařízení GDPR. Z tohoto ustanovení totiž vyplývá, že pojmem „osobní údaje“ se rozumí „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“ a že tato identifikace může vyplývat mimo jiné z použití jména dotyčné osoby.
26 K posledně uvedenému aspektu postačí konstatovat, že čl. 5 odst. 2 písm. a), čl. 6 odst. 2 písm. a) a čl. 7 odst. 2 písm. a) nařízení 2021/953 stanoví, že certifikát o očkování, certifikát o testu i certifikát o zotavení obsahují totožnost svého držitele.
27 Dále je nutno poukázat na to, že v čl. 4 bodě 2 nařízení GDPR je pojem „zpracování“ definován jako „jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů“. Toto ustanovení v demonstrativním výčtu, který je uvozen slovním spojením „jako je“, mezi příklady zpracování uvádí nahlédnutí do osobních údajů a jejich použití. Ze znění uvedeného ustanovení, zejména z výrazu „jakákoliv operace“, tudíž vyplývá, že unijní normotvůrce zamýšlel přiznat pojmu „zpracování“ široký dosah [v tomto smyslu viz rozsudek ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely), C‑175/20, EU:C:2022:124, bod 35].
28 Tento široký výklad pojmů „osobní údaje“ a „zpracování“ je v souladu s cílem zajistit účinnost základního práva na ochranu fyzických osob v souvislosti se zpracováním osobních údajů uvedeného v bodě 1 odůvodnění nařízení GDPR, kterýmžto cílem je vedeno použití tohoto nařízení.
29 V projednávané věci přitom národní mobilní aplikace, v daném případě aplikace „čTečka“, naskenuje QR kód z digitálního certifikátu EU COVID za účelem převedení osobních údajů obsažených v tomto kódu do podoby čitelné pro osobu kontrolující platnost tohoto certifikátu. Taková aplikace tím kontrolující osobě umožní nahlédnout na základě automatizovaného postupu, a sice skenování, do osobních údajů a použít je k posouzení, zda je situace dané osoby v souladu s validačními pravidly, jinými slovy s použitelnými zdravotními požadavky. Výsledek tohoto vyhodnocení je rovněž zautomatizovaný, neboť jsou-li zdravotní požadavky splněny, zobrazí se na mobilním telefonu kontrolující osoby zelený symbol zaškrtnutí, zatímco nejsou-li tyto požadavky splněny, zobrazí se červený křížek.
30 Je tedy třeba mít za to, že ověřování platnosti interoperabilních certifikátů o očkování, testu a zotavení v souvislosti s onemocněním covid-19 vydávaných podle nařízení 2021/953, k němuž dochází prostřednictvím aplikace „čTečka“, představuje „zpracování“ ve smyslu čl. 4 bodu 2 nařízení GDPR a v souladu s čl. 2 odst. 1 tohoto nařízení spadá do jeho věcné působnosti.
31 Výklad uvedený v bodě 30 tohoto rozsudku je podpořen nařízením 2021/953, které stanoví, že při operacích spojených s digitálním certifikátem EU COVID dochází ke zpracování ve smyslu čl. 4 bodu 2 nařízení GDPR. Článek 1 odst. 2 nařízení 2021/953 totiž stanoví, že toto nařízení „stanoví právní základ pro zpracování osobních údajů nezbytných k vydávání těchto certifikátů a ke zpracování informací nezbytných k ověření a potvrzení pravosti a platnosti těchto certifikátů v plném souladu s [nařízením GDPR]“. Mimoto z bodu 48 odůvodnění nařízení 2021/953 vyplývá, že na zpracování osobních údajů při provádění nařízení 2021/953 se použije nařízení GDPR a že nařízení 2021/953 stanoví právní základ pro zpracování osobních údajů ve smyslu čl. 6 odst. 1 písm. c) a čl. 9 odst. 2 písm. g) nařízení GDPR, nezbytné pro vydávání a ověřování interoperabilních certifikátů stanovených v nařízení 2021/953. Článek 10 odst. 1 posledně uvedeného nařízení rovněž potvrzuje, že na zpracování osobních údajů při provádění nařízení 2021/953 se použije nařízení GDPR.
32 Předkládajícímu soudu proto přísluší ověřit, zda je zpracování zavedené mimořádným opatřením v souladu se zásadami zpracování osobních údajů uvedenými v článku 5 nařízení GDPR a odpovídá některé ze zásad zákonnosti zpracování uvedených v článku 6 tohoto nařízení [viz zejména rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 96, a rozsudek ze dne 4. května 2023, Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, bod 57].
33 S ohledem na výše uvedené musí být pojem „zpracování“ osobních údajů uvedený v čl. 4 bodě 2 nařízení GDPR vykládán v tom smyslu, že se vztahuje i na situaci, kdy členský stát prostřednictvím národní mobilní aplikace ověřuje platnost interoperabilních certifikátů o očkování, testu a zotavení v souvislosti s onemocněním covid-19 vydávaných na základě nařízení 2021/953 a používaných členským státem pro vnitrostátní účely.
K nákladům řízení
34 Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.
Z těchto důvodů Soudní dvůr (osmý senát) rozhodl takto:
Pojem „zpracování“ osobních údajů uvedený v čl. 4 bodě 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
musí být vykládán v tom smyslu, že
se vztahuje i na situaci, kdy členský stát prostřednictvím národní mobilní aplikace ověřuje platnost interoperabilních certifikátů o očkování, testu a zotavení v souvislosti s onemocněním covid-19 vydávaných na základě nařízení Evropského parlamentu a Rady (EU) 2021/953 ze dne 14. června 2021 o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, o testu a o zotavení v souvislosti s onemocněním COVID-19 (digitální certifikát EU COVID) za účelem usnadnění volného pohybu během pandemie COVID-19 a používaných členským státem pro vnitrostátní účely.
Podpisy