DOMSTOLENS DOM (Ottende Afdeling)
5. oktober 2023 (*)
»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 4, nr. 2) – begrebet »behandling« af personoplysninger – mobilapplikation – verificering af gyldigheden af »EU’s digitale covidcertifikater« udstedt i henhold til forordning (EU) 2021/953«
I sag C-659/22,
angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Nejvyšší správní soud (øverste domstol i forvaltningsretlige sager, Den Tjekkiske Republik) ved afgørelse af 12. oktober 2022, indgået til Domstolen den 20. oktober 2022, i sagen
RK
mod
Ministerstvo zdravotnictví,
har
DOMSTOLEN (Ottende Afdeling),
sammensat af afdelingsformanden, M. Safjan, og dommerne N. Piçarra og M. Gavalec (refererende dommer),
generaladvokat: L. Medina,
justitssekretær: A. Calot Escobar,
på grundlag af den skriftlige forhandling,
efter at der er afgivet indlæg af:
– RK ved advokátka D. Sudolská,
– den tjekkiske regering ved M. Smolek, O. Serdula og J. Vláčil, som befuldmægtigede,
– den nederlandske regering ved M.K. Bulterman og A. Hanje, som befuldmægtigede,
– Europa-Kommissionen ved A. Bouchagiar, H. Kranenborg og P. Ondrůšek, som befuldmægtigede,
og idet Domstolen efter at have hørt generaladvokaten har besluttet, at sagen skal pådømmes uden forslag til afgørelse,
afsagt følgende
Dom
1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 2, stk. 1, og artikel 4, nr. 2), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).
2 Denne anmodning er blevet indgivet i forbindelse med en tvist mellem RK og Ministerstvo zdravotnictví (sundhedsministeriet, Den Tjekkiske Republik, herefter »ministeriet«) vedrørende denne myndigheds vedtagelse af en ekstraordinær foranstaltning om regulering af personers adgang til visse steder og begivenheder med henblik på at beskytte befolkningen mod spredning af covid-19-epidemien.
Retsforskrifter
Databeskyttelsesforordningen
3 Første betragtning til databeskyttelsesforordningen har følgende ordlyd: »Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder […] og i artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.«
4 Denne forordnings artikel 2, der har overskriften »Materielt anvendelsesområde«, bestemmer i stk. 1 følgende:
»Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.«
5 Denne artikels stk. 2 opregner fire tilfælde, hvor databeskyttelsesforordningen »ikke [gælder] for behandling af personoplysninger«.
6 Den nævnte forordnings artikel 4 har følgende ordlyd:
»I denne forordning forstås ved:
1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse
[…]«
7 Samme forordnings artikel 5 og 6 angår henholdsvis »[p]rincipper for behandling af personoplysninger« og »[l]ovlig behandling«.
Forordning (EU) 2021/953
8 48. betragtning til Europa-Parlamentets og Rådets forordning (EU) 2021/953 af 14. juni 2021 om en ramme for udstedelse, kontrol og accept af interoperable covid-19-vaccinations-, test- og restitutionscertifikater (EU’s digitale covidcertifikat) for at lette fri bevægelighed under covid-19-pandemien (EUT 2021, L 211, s. 1) har følgende ordlyd:
»[Databeskyttelsesforordningen] finder anvendelse på behandlingen af personoplysninger i forbindelse med gennemførelsen af nærværende forordning. Nærværende forordning danner retsgrundlaget for den behandling af personoplysninger som omhandlet i [databeskyttelsesforordningens] artikel 6, stk. 1, litra c), og artikel 9, stk. 2, litra g), […] som er nødvendig for udstedelsen af og kontrollen med de interoperable certifikater, der indføres ved nærværende forordning. […] Medlemsstaterne kan behandle personoplysninger med henblik på andre formål, hvis retsgrundlaget for behandling af sådanne personoplysninger til andre formål, herunder de relaterede datalagringsperioder, er fastsat i national ret, som skal overholde EU-databeskyttelsesretten og principperne om effektivitet, nødvendighed og proportionalitet, og som bør indeholde bestemmelser, der klart fastlægger anvendelsesområdet og omfanget af behandlingen, det specifikke formål, de kategorier af enheder, der kan kontrollere certifikatet, og de relevante garantier med henblik på at forhindre forskelsbehandling og misbrug, idet risiciene for de registreredes rettigheder og frihedsrettigheder tages i betragtning. […]«
9 Denne forordnings artikel 1 med overskriften »Genstand« bestemmer følgende:
»Ved denne forordning fastlægges en ramme for udstedelse, kontrol og accept af interoperable covid-19-vaccinations-, test- og restitutionscertifikater (EU’s digitale covidcertifikat) med det formål at gøre det lettere for indehaverne at udøve deres ret til fri bevægelighed under covid-19-pandemien. Denne forordning bidrager også til at lette den gradvise ophævelse af restriktioner for den frie bevægelighed, der i overensstemmelse med EU-retten er indført af medlemsstaterne med henblik på at begrænse spredningen af sars-CoV-2, på en koordineret måde.
Den udgør retsgrundlaget for behandling af de personoplysninger, der er nødvendige for udstedelse af sådanne certifikater, og for behandling af de oplysninger, der er nødvendige for at kontrollere og bekræfte sådanne certifikaters ægthed og gyldighed, i fuld overensstemmelse med [databeskyttelsesforordningen].«
10 Denne forordnings artikel 3 med overskriften »EU’s digitale covidcertifikat« fastsætter i stk. 1, at rammen for EU’s digitale covidcertifikat skal muliggøre udstedelse, grænseoverskridende kontrol og accept af vaccinationscertifikater, testcertifikater og restitutionscertifikater. Forordningens artikel 3, stk. 2, bestemmer desuden følgende:
»Medlemsstaterne eller udpegede organer, der handler på vegne af medlemsstaterne, udsteder de i denne artikels stk. 1 omhandlede certifikater i et digitalt eller papirbaseret format eller begge dele. De potentielle indehavere har ret til at modtage certifikaterne i et format efter eget valg. Disse certifikater skal være brugervenlige og indeholde en interoperabel stregkode, der gør det muligt at kontrollere deres ægthed, gyldighed og integritet. Stregkoden skal overholde de tekniske specifikationer, der er fastsat i henhold til artikel 9. Oplysningerne i certifikaterne skal også vises i et for mennesker læsbart format og være affattet på som minimum den udstedende medlemsstats officielle sprog og på engelsk.«
11 Den nævnte forordnings artikel 5, stk. 2, litra a), artikel 6, stk. 2, litra a), og artikel 7, stk. 2, litra a), bestemmer henholdsvis, at et vaccinationscertifikat, et testcertifikat og et restitutionscertifikat skal omfatte indehaverens identitet.
12 Samme forordnings artikel 10 med overskriften »Databeskyttelse« fastsætter i sine fire første stykker følgende:
»1. [Databeskyttelsesforordningen] finder anvendelse på behandling af personoplysninger i forbindelse med gennemførelsen af nærværende forordning.
2. Med henblik på denne forordning behandles personoplysningerne i de certifikater, der udstedes i henhold til denne forordning, udelukkende med det formål at få adgang til og kontrollere de oplysninger, der er medtaget i certifikatet, for at lette udøvelsen af retten til fri bevægelighed inden for Unionen under covid-19-pandemien. Efter udløbet af denne forordnings anvendelsesperiode må der ikke foretages yderligere behandling.
3. De personoplysninger, der medtages i de i artikel 3, stk. 1, omhandlede certifikater, behandles af bestemmelses- eller transitmedlemsstatens kompetente myndigheder eller af operatører af grænseoverskridende passagertransporttjenester, der i henhold til national ret er forpligtet til at gennemføre visse folkesundhedsmæssige foranstaltninger under covid-19-pandemien, udelukkende med det formål at kontrollere og bekræfte indehaverens vaccination, testresultat eller restitution. Med henblik herpå begrænses personoplysningerne til, hvad der er strengt nødvendigt. De personoplysninger, hvortil der gives adgang i henhold til dette stykke, må ikke opbevares.
4. De personoplysninger, der behandles med henblik på udstedelse [af] de i artikel 3, stk. 1, omhandlede certifikater, herunder udstedelse af et nyt certifikat, må ikke opbevares af udstederen længere, end hvad der er strengt nødvendigt af hensyn til formålet, og under ingen omstændigheder længere end den periode, inden for hvilken certifikaterne kan anvendes til at udøve retten til fri bevægelighed.«
Tvisten i hovedsagen og det præjudicielle spørgsmål
13 Ved en ekstraordinær foranstaltning af 29. december 2021 (herefter »den ekstraordinære foranstaltning«), der blev vedtaget med henblik på at beskytte befolkningen mod yderligere spredning af covid-19-pandemien, opstillede ministeriet med virkning fra den 3. januar 2022 forskellige betingelser for personers adgang til visse indendørs- og udendørsområder samt deres deltagelse i massebegivenheder eller andre aktiviteter. Der blev således bl.a. stillet krav om for det første en mindre end 72 timer gammel negativ RT-PCR-test til påvisning af forekomsten af SARS-CoV-2-virussen for personer under 18 år, personer, der ikke kunne vaccineres mod covid-19 på grund af en kontraindikation, samt personer, der ikke var fuldt vaccinerede. For det andet blev der opstillet et krav om, at der skulle være forløbet en periode på mindst 14 dage fra opnåelsen af en fuld vaccinationsserie med et godkendt lægemiddel, eller for det tredje at der skulle foreligge en laboratoriebekræftet smitte med covid-19, såfremt isolationsperioden var ophørt, og der ikke var forløbet mere end 180 dage fra den første positive test (herefter »de såkaldte betingelser om »fravær af infektion««).
14 Den ekstraordinære foranstaltning forpligtede kunderne (tilskuerne, deltagerne) til at fremvise bevis for, at disse betingelser var opfyldt, og pålagde operatørerne (arrangørerne) ved hjælp af ministeriets mobilapplikation med navnet »čTečka« at kontrollere, at betingelserne var opfyldt. Hvis en kunde ikke dokumenterede, at vedkommende overholdt de nævnte betingelser, var det forbudt for operatøren at levere tjenesteydelsen til kunden og at give denne adgang til området eller begivenheden. Ifølge den ekstraordinære foranstaltning sikrede denne applikation en pålidelig verificering af ægtheden og gyldigheden af det fremviste bevisdokument, som indeholdt en QR-kode.
15 Nejvyšší správní soud (øverste domstol i forvaltningsretlige sager, Den Tjekkiske Republik), som er den forelæggende ret, er af den opfattelse, at det med henblik på at træffe afgørelse i det annullationssøgsmål til prøvelse af den ekstraordinære foranstaltning, som RK har anlagt den 20. januar 2022, er nødvendigt først at undersøge, om kontrollen af de såkaldte betingelser om »fravær af infektion« ved hjælp af applikationen »čTečka« udgør en automatisk »behandling« af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), idet det præciseres, at denne ret er af den opfattelse, at de oplysninger, der er indeholdt i EU’s digitale certifikater, udgør personoplysninger som omhandlet i denne forordnings artikel 4, nr. 1). I bekræftende fald finder den nævnte forordning anvendelse i medfør af dennes artikel 2, stk. 1.
16 Den forelæggende ret har præciseret, at applikationen »čTečka« gør det muligt at kontrollere og verificere gyldigheden af EU’s digitale covidcertifikater, der er udstedt i henhold til forordning 2021/953. Denne applikation scanner certifikatets QR-kode med kameraet på mobiltelefonen tilhørende den person, der er ansvarlig for at udføre kontrollen. Denne person råder derefter over en oversigt over certifikatets indehavers grundlæggende identifikationsoplysninger (efternavn, fornavn og fødselsdato) og over dette certifikats gyldige eller ugyldige status. Ved at klikke på en bestemt tast på applikationen kan den person, der er ansvarlig for at udføre kontrollen, få adgang til alle de oplysninger, der er nævnt i certifikatet, såsom vaccinationen, vaccinetypen, vaccinefabrikanten, antallet af modtagne doser, vaccinationsdatoen, datoen for det første positive resultat samt udstederen af certifikatet. Applikationen »čTečka« begrænser sig til midlertidigt at vise disse oplysninger på den kontrollerende persons mobiltelefonskærm, således at de nævnte oplysninger hverken lagres eller overføres.
17 Den forelæggende ret har anført, at denne applikation med henblik på at verificere gyldigheden af et digitalt EU-covidcertifikat hver 24. time eller efter anmodning downloader de offentlige nøgler til medlemsstaternes certifikater og medlemsstaternes valideringsregler fra ministeriets grænseflade. Denne proces kan ligeledes foregå offline. Når applikationen installeres på den kontrollerende persons mobiltelefon, vises en tekst, der angiver, at »čTečka-applikationen drives i overensstemmelse med EU-retten og Den Tjekkiske Republiks lovgivning og letter den frie bevægelighed for personer og adgangen til tjenester og begivenheder under covid-19-pandemien. Applikationen behandler personoplysninger om indehaverne af de digitale covidcertifikater fra EU-medlemsstaterne med henblik på kontrol af disse oplysninger foretaget af personer, der er bemyndiget på grundlag af EU-forordningen, [ministeriets] ekstraordinære foranstaltninger eller på frivillig basis. Applikationen må ikke lagre og videregive personoplysninger og oplysninger om de kontrollerede personers helbred. Detaljerede oplysninger om behandling af personoplysninger kan findes i anvendelsesbetingelserne«.
18 Den forelæggende ret har endvidere anført, at et certifikat udstedt af en medlemsstat i henhold til artikel 3, stk. 2, i forordning 2021/953 skal indeholde en interoperabel stregkode, der gør det muligt at kontrollere dets ægthed, gyldighed og integritet. Denne ret har anført, at konverteringen af de personoplysninger, der er nævnt i nærværende doms præmis 16, fra et maskinlæsbart format til et menneskelæsbart format sker ved hjælp af en automatiseret proces, nemlig »čTečka«-applikationen, hvilket kan karakterisere en behandling af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2).
19 Den forelæggende ret er imidlertid i tvivl om, hvorvidt denne blotte konverteringsoperation og visningen af disse oplysninger på en mobiltelefon udgør en »behandling« som omhandlet i denne bestemmelse, så meget desto mere som disse to operationer hverken kan medføre en misbrugspræget anvendelse eller udnyttelse af personoplysninger eller et indgreb i retten til beskyttelse af disse oplysninger, eftersom applikationen ikke overfører de således indhentede oplysninger.
20 Den forelæggende ret er i øvrigt af den opfattelse, at verificeringen af attestens gyldighed ved applikationen »čTečka« ligeledes kunne udgøre en behandling af personoplysninger, eftersom denne operation fører til at anvende de personoplysninger, som er indeholdt i dette certifikat, og som vedrører den kontrollerede persons helbred. For at kunne vurdere, om certifikatet er gyldigt, og afgøre, om de betingelser, der er fastsat i den ekstraordinære foranstaltning om, at der ikke må forekomme infektion, er opfyldt af den berørte person, skal applikationen nemlig nødvendigvis sammenligne oplysningerne om denne persons helbred, såsom vaccinationsdatoen, med de valideringsregler, der er gældende på dette tidspunkt.
21 Endelig er den forelæggende ret af den opfattelse, at der kan ske en behandling af personoplysninger gennem en kombination af de processer, der finder sted i forbindelse med kontrollen af certifikaterne ved applikationen »čTečka«, dvs. konverteringen af personoplysninger fra QR-koden til et menneskeligt læsbart format, visningen af disse oplysninger på en mobiltelefon, kontrollørens gennemgang af oplysningerne og vurderingen af certifikatets gyldighed via denne applikation ved en sammenligning af de personlige helbredsoplysninger med valideringsreglerne. Selv om disse operationer individuelt betragtet muligvis ikke kan udgøre en behandling som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), kan deres sammenstilling føre til denne kvalificering.
22 Ud fra dette synspunkt har den forelæggende ret anført, at artikel 10, stk. 1 og 3, i forordning 2021/953 udtrykkeligt fastsætter, at databeskyttelsesforordningen med henblik på udøvelse af retten til fri bevægelighed inden for Unionen finder anvendelse på behandling af personoplysninger, der er indeholdt i EU’s digitale covidcertifikater. Ifølge 48. betragtning til forordning 2021/953 bør behandlingen af de i certifikaterne indeholdte personoplysninger desuden have en ensartet retlig ordning.
23 Under disse omstændigheder har Nejvyšší správní soud (øverste domstol i forvaltningsretlige sager) besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:
»Er der i forbindelse med verificering af gyldigheden af interoperable covid-19-vaccinations-, test- og restitutionscertifikater, udstedt i overensstemmelse med [forordning 2021/953], som Den Tjekkiske Republik anvender til nationale formål, tale om automatisk behandling af personoplysninger som omhandlet i [databeskyttelsesforordningens] artikel 4, nr. 2), […] i forbindelse med anvendelsen af den nationale »čTečka«-applikation, således at denne aktivitet falder inden for databeskyttelsesforordningens materielle anvendelsesområde i henhold til denne forordnings artikel 2, stk. 2?«
Det præjudicielle spørgsmål
24 Med sit spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om begrebet »behandling« af personoplysninger, der er omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), skal fortolkes således, at det omfatter en verificering ved hjælp af en national mobilapplikation af gyldigheden af interoperable covid-19-vaccinations-, test- og restitutionscertifikater, der er udstedt i henhold til forordning 2021/953 og anvendes af en medlemsstat til nationale formål.
25 Det er ubestridt, at flere af de oplysninger, som den kontrollerende person får adgang til i forbindelse med kontrollen af gyldigheden af et EU’s digitale covidcertifikat, således som de er fremstillet i nærværende doms præmis 15, udgør »personoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1). Det fremgår nemlig af denne bestemmelse, at begrebet »personoplysninger« betegner »enhver form for information om en identificeret eller identificerbar fysisk person«, og at denne identifikation bl.a. kan følge af anvendelsen af den registreredes navn.
26 I denne sidstnævnte henseende er det tilstrækkeligt at fastslå, at artikel 5, stk. 2, litra a), artikel 6, stk. 2, litra a), og artikel 7, stk. 2, litra a), i forordning 2021/953 bestemmer henholdsvis, at et vaccinationscertifikat, et testcertifikat og et restitutionscertifikat skal omfatte indehaverens identitet.
27 Efter denne præcisering skal det bemærkes, at databeskyttelsesforordningens artikel 4, nr. 2), definerer begrebet »behandling« som »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for«. I en ikke-udtømmende opregning, der indledes med udtrykket »f.eks.«, nævner denne bestemmelse søgning og brug af personoplysninger som eksempler på behandling. Det fremgår således af denne bestemmelses ordlyd, navnlig af udtrykket »enhver aktivitet«, at EU-lovgiver har haft til hensigt at give begrebet »behandling« en vid rækkevidde (jf. i denne retning dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 35).
28 Denne vide fortolkning af begreberne »personoplysninger« og »behandling« er i overensstemmelse med målsætningen om at sikre effektiviteten af den grundlæggende ret til beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, som er nævnt i første betragtning til databeskyttelsesforordningen, og som har afgørende indflydelse på anvendelsen af denne forordning.
29 I det foreliggende tilfælde scanner en national mobilapplikation som applikationen »čTečka« den QR-kode, der fremgår af det digitale EU-covidcertifikat, med henblik på at konvertere de personoplysninger, som denne kode indeholder, til et læsbart format for den person, der er ansvarlig for at kontrollere dette certifikats gyldighed. Herved gør en sådan applikation det muligt for den kontrollerende person – efter en automatiseret proces, nemlig en scanning – at søge i personoplysninger og anvende dem med henblik på at vurdere, om den registreredes situation er i overensstemmelse med valideringsreglerne, dvs. med de gældende sundhedskrav. Resultatet af denne vurdering er også automatiseret, eftersom der vises et grønt flueben på kontrollørernes mobiltelefon, når sundhedskravene er opfyldt, mens der i modsat fald vises et rødt kryds.
30 Det må derfor fastslås, at en verificering ved hjælp af applikationen »čTečka« af gyldigheden af interoperable covid-19-vaccinations-, test- og restitutionscertifikater, der er udstedt i henhold til forordning 2021/953, udgør en »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), og i overensstemmelse med denne forordnings artikel 2, stk. 1, er omfattet af denne forordnings materielle anvendelsesområde.
31 Den fortolkning, der er angivet i nærværende doms præmis 30, understøttes af forordning 2021/953, som bestemmer, at anvendelsen af EU’s digitale covidcertifikat udgør en behandling som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2). Artikel 1, stk. 2, i forordning 2021/953 bestemmer nemlig, at denne forordning »udgør retsgrundlaget for behandling af de personoplysninger, der er nødvendige for udstedelse af sådanne certifikater, og for behandling af de oplysninger, der er nødvendige for at kontrollere og bekræfte sådanne certifikaters ægthed og gyldighed, i fuld overensstemmelse med [databeskyttelsesforordningen]«. Det følger desuden af 48. betragtning til forordning 2021/953, dels at databeskyttelsesforordningen finder anvendelse på behandlingen af personoplysninger i forbindelse med gennemførelsen af forordning 2021/953, dels at sidstnævnte forordning danner retsgrundlaget for den behandling af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra c), og artikel 9, stk. 2, litra g), som er nødvendig for udstedelsen af og kontrollen med de interoperable certifikater, der indføres ved forordning 2021/953. Denne forordnings artikel 10, stk. 1, bekræfter ligeledes, at databeskyttelsesforordningen finder anvendelse på behandling af personoplysninger i forbindelse med gennemførelsen af forordning 2021/953.
32 Den forelæggende ret vil følgelig skulle efterprøve, om den behandling, der indføres ved den ekstraordinære foranstaltning, dels er i overensstemmelse med de principper for behandling af oplysninger, der er opregnet i databeskyttelsesforordningens artikel 5, dels overholder et af de principper om behandlingens lovlighed, som er opstillet i nævnte forordnings artikel 6 (jf. bl.a. dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 96, og af 4.5.2023, Bundesrepublik Deutschland, C-60/22, EU:C:2023:373, præmis 57).
33 Henset til ovenstående betragtninger skal begrebet »behandling« af personoplysninger, der er omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), fortolkes således, at det omfatter en verificering ved hjælp af en national mobilapplikation af gyldigheden af interoperable covid-19-vaccinations-, test- og restitutionscertifikater, der er udstedt i henhold til forordning 2021/953 og anvendes af en medlemsstat til nationale formål.
Sagsomkostninger
34 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.
På grundlag af disse præmisser kender Domstolen (Ottende Afdeling) for ret:
Begrebet »behandling« af personoplysninger, der er omhandlet i artikel 4, nr. 2), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse),
skal fortolkes således, at
det omfatter en verificering ved hjælp af en national mobilapplikation af gyldigheden af interoperable covid-19-vaccinations-, test- og restitutionscertifikater, der er udstedt i henhold til Europa-Parlamentets og Rådets forordning (EU) 2021/953 af 14. juni 2021 om en ramme for udstedelse, kontrol og accept af interoperable covid-19-vaccinations-, test- og restitutionscertifikater (EU’s digitale covidcertifikat) for at lette fri bevægelighed under covid-19-pandemien, og anvendes af en medlemsstat til nationale formål.
Underskrifter