UNIONIN TUOMIOISTUIMEN TUOMIO (kahdeksas jaosto)
5 päivänä lokakuuta 2023 (*)
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 4 artiklan 2 alakohta – Henkilötietojen käsittelyn käsite – Mobiilisovellus – Asetuksen (EU) 2021/953 nojalla annettujen EU:n digitaalisten koronatodistusten pätevyyden tarkastaminen
Asiassa C‑659/22,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Nejvyšší správní soud (ylin hallintotuomioistuin, Tšekki) on esittänyt 12.10.2022 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 20.10.2022, saadakseen ennakkoratkaisun asiassa
RK
vastaan
Ministerstvo zdravotnictví,
UNIONIN TUOMIOISTUIN (kahdeksas jaosto),
toimien kokoonpanossa: jaoston puheenjohtaja M. Safjan sekä tuomarit N. Piçarra ja M. Gavalec (esittelevä tuomari),
julkisasiamies: L. Medina,
kirjaaja: A. Calot Escobar,
ottaen huomioon kirjallisessa käsittelyssä esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– RK, edustajanaan D. Sudolská, advokátka,
– Tšekin hallitus, asiamiehinään M. Smolek, O. Serdula ja J. Vláčil,
– Alankomaiden hallitus, asiamiehinään M. K. Bulterman ja A. Hanje,
– Euroopan komissio, asiamiehinään A. Bouchagiar, H. Kranenborg ja P. Ondrůšek,
päätettyään julkisasiamiestä kuultuaan ratkaista asian ilman ratkaisuehdotusta,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 2 artiklan 1 kohdan ja 4 artiklan 2 alakohdan tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa vastakkain ovat RK ja Ministerstvo Zdravotnictví (terveysministeriö, Tšekki; jäljempänä ministeriö) ja joka koskee ministeriön toteuttamaa poikkeustoimenpidettä, jolla säänneltiin henkilöiden pääsyä tiettyihin paikkoihin ja tapahtumiin väestön suojelemiseksi covid-19-epidemian leviämiseltä.
Asiaa koskevat oikeussäännöt
Yleinen tietosuoja-asetus
3 Yleisen tietosuoja-asetuksen johdanto-osan ensimmäisen perustelukappaleen mukaan ”luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan – – 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan”.
4 Tämän asetuksen 2 artiklan, jonka otsikko on ”Aineellinen soveltamisala”, 1 kohdassa säädetään seuraavaa:
”Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.”
5 Kyseisen artiklan 2 kohdassa luetellaan neljä tilannetta, joissa yleistä tietosuoja-asetusta ”ei sovelleta henkilötietojen käsittelyyn”.
6 Mainitun asetuksen 4 artiklassa säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan:
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,
– –”
7 Saman asetuksen 5 artikla koskee ”henkilötietojen käsittelyä koskevia periaatteita” ja 6 artikla ”käsittelyn lainmukaisuutta”.
Asetus (EU) 2021/953
8 Kehyksestä covid-19-tautiin liittyvien yhteentoimivien rokotusta, testausta ja taudista parantumista koskevien todistusten (EU:n digitaalinen koronatodistus) myöntämiseksi, todentamiseksi ja hyväksymiseksi helpottamaan henkilöiden vapaata liikkuvuutta covid-19-pandemian aikana 14.6.2021 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2021/953 (EUVL 2021, L 211, s. 1) johdanto-osan 48 perustelukappaleen sanamuoto on seuraava:
”Tämän asetuksen täytäntöönpanon yhteydessä suoritettavaan henkilötietojen käsittelyyn sovelletaan [yleistä tietosuoja-asetusta]. Tällä asetuksella vahvistetaan laillinen peruste [yleisen tietosuoja-asetuksen] 6 artiklan 1 kohdan c alakohdan ja 9 artiklan 2 kohdan g alakohdassa tarkoitetulle henkilötietojen käsittelylle, joka on tarpeen tässä asetuksessa säädettyjen yhteentoimivien todistusten myöntämiseksi ja todentamiseksi. – – Jäsenvaltiot voivat käsitellä henkilötietoja muihin tarkoituksiin, jos oikeusperusteesta tällaisten tietojen käsittelylle muihin tarkoituksiin, myös asiaan liittyvistä säilytysajoista, säädetään kansallisessa lainsäädännössä, jossa on noudatettava unionin tietosuojalainsäädäntöä sekä vaikuttavuus-, tarpeellisuus- ja suhteellisuusperiaatteita, ja siihen olisi sisällyttävä säännöksiä, joissa täsmennetään käsittelyn laajuus, sen erityinen tarkoitus, niiden tahojen ryhmät, jotka voivat todentaa todistuksen, sekä asiaankuuluvat suojatoimet syrjinnän ja väärinkäytösten estämiseksi, rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit huomioon ottaen. – –”
9 Kyseisen asetuksen 1 artiklassa, jonka otsikko on ”Kohde”, säädetään seuraavaa:
”Tässä asetuksessa vahvistetaan kehys covid-19-tautiin liittyvien yhteentoimivien rokotusta, testausta ja taudista parantumista koskevien todistusten (EU:n digitaalinen koronatodistus) myöntämiseksi, todentamiseksi ja hyväksymiseksi, jotta voidaan helpottaa todistusten haltijoiden vapaata liikkuvuutta koskevan oikeuden käyttämistä covid-19-pandemian aikana. Tällä asetuksella myös osaltaan helpotetaan SARS-CoV-2:n leviämisen rajoittamiseksi unionin oikeuden vaatimuksia noudattaen käyttöön otettujen vapaata liikkuvuutta koskevien jäsenvaltioiden rajoitusten vähittäistä purkamista koordinoidulla tavalla.
Siinä säädetään laillisesta perusteesta tällaisten todistusten myöntämiseksi tarvittavien henkilötietojen käsittelylle sekä tällaisten todistusten aitouden ja pätevyyden todentamiseksi ja vahvistamiseksi tarvittavien tietojen käsittelylle asetusta (EU) 2016/679 kaikilta osin noudattaen.”
10 Asetuksen 3 artiklan, jonka otsikko on ”EU:n digitaalinen koronatodistus”, 1 kohdassa säädetään, että EU:n digitaalista koronatodistusta koskeva kehys mahdollistaa rokotustodistusten, testaustodistusten ja taudista parantumista koskevien todistusten myöntämisen sekä niiden rajatylittävän todentamisen ja hyväksymisen. Sen 2 kohdassa säädetään lisäksi, että ”jäsenvaltioiden tai jäsenvaltioiden lukuun toimivien nimettyjen elinten on myönnettävä tämän artiklan 1 kohdassa tarkoitetut todistukset digitaalisessa tai paperimuodossa tai molemmissa. Todistusten tulevilla haltijoilla on oikeus saada todistukset valitsemassaan muodossa. Kyseisten todistusten on oltava käyttäjäystävällisiä, ja niissä on oltava yhteentoimiva viivakoodi, jonka avulla voidaan todentaa niiden aitous, pätevyys ja eheys. Viivakoodin on oltava 9 artiklan nojalla vahvistettujen teknisten eritelmien mukainen. Todistuksiin sisältyvät tiedot on esitettävä myös ihmisen luettavissa olevassa muodossa ja vähintään todistuksen myöntävän jäsenvaltion virallisella kielellä tai virallisilla kielillä sekä englanniksi”.
11 Mainitun asetuksen 5 artiklan 2 kohdan a alakohdassa, 6 artiklan 2 kohdan a alakohdassa ja 7 artiklan 2 kohdan a alakohdassa säädetään, että rokotustodistuksessa, testaustodistuksessa ja taudista parantumista koskevassa todistuksessa on mainittava todistuksen haltijan henkilöllisyys.
12 Saman asetuksen 10 artiklan, jonka otsikko on ”Henkilötietojen suoja”, neljässä ensimmäisessä kohdassa säädetään seuraavaa:
”1. Tämän asetuksen täytäntöönpanon yhteydessä suoritettavaan henkilötietojen käsittelyyn sovelletaan [yleistä tietosuoja-asetusta].
2. Tätä asetusta sovellettaessa tämän asetuksen nojalla myönnettyihin todistuksiin sisältyviä henkilötietoja käsitellään ainoastaan todistukseen sisältyvien tietojen käyttämiseksi ja todentamiseksi, jotta voidaan helpottaa vapaata liikkuvuutta unionissa koskevan oikeuden käyttämistä covid-19-pandemian aikana. Henkilötietoja ei saa käsitellä tämän asetuksen soveltamiskauden päätyttyä.
3. Määrä- tai kauttakulkujäsenvaltion toimivaltaiset viranomaiset tai rajatylittävien henkilöliikennepalvelujen tarjoajat, jotka ovat kansallisen lainsäädännön nojalla velvollisia panemaan täytäntöön tiettyjä kansanterveystoimenpiteitä covid-19-pandemian aikana, käsittelevät 3 artiklan 1 kohdassa tarkoitettuihin todistuksiin sisältyviä henkilötietoja ainoastaan todistuksen haltijan rokotuksen, testituloksen tai taudista parantumisen todentamiseksi ja vahvistamiseksi. Tätä varten henkilötiedot on rajoitettava siihen, mikä on ehdottoman välttämätöntä. Tämän kohdan nojalla käytettyjä henkilötietoja ei saa säilyttää.
4. Todistuksen myöntäjä ei saa säilyttää 3 artiklan 1 kohdassa tarkoitettujen todistusten myöntämiseksi, mukaan lukien uuden todistuksen myöntäminen, käsiteltyjä henkilötietoja pidempään kuin on ehdottoman välttämätöntä niiden käyttötarkoitusta varten eikä missään tapauksessa pidempään kuin sen ajan, jona todistuksia voidaan käyttää vapaata liikkuvuutta koskevan oikeuden käyttämiseksi.”
Pääasia ja ennakkoratkaisukysymys
13 Ministeriö asetti 29.12.2021 määrätyllä poikkeustoimenpiteellä (jäljempänä poikkeustoimenpide), joka toteutettiin väestön suojelemiseksi covid-19-pandemian leviämiseltä, 3.1.2022 alkaen erilaisia ehtoja ihmisten pääsylle tiettyihin sisä- ja ulkotiloihin sekä heidän osallistumiselleen joukkotapahtumiin tai muuhun toimintaan. Täten edellytettiin muun muassa ensinnäkin alle 18-vuotiailta henkilöiltä, henkilöiltä, joilla oli syy, jonka vuoksi rokotetta covid-19‑tautia vastaan ei voitu antaa, ja henkilöiltä, jotka eivät olleet saaneet täyttä rokotussarjaa, SARS-CoV-2-viruksen osoittavaa RT-PCR-testiä, jonka tulos oli negatiivinen ja jonka ottamisesta oli kulunut enintään 72 tuntia; toiseksi edellytettiin hyväksytyllä rokotteella toteutettua täyttä rokotussarjaa, jonka saamisesta oli kulunut vähintään 14 päivää, tai kolmanneksi laboratoriotutkimuksissa vahvistettua covid-19-tartuntaa, jos eristysjakso oli päättynyt ja enintään 180 päivää oli kulunut ensimmäisestä positiivisesta testituloksesta (jäljempänä ns. tartuntavaarattomuutta koskevat edellytykset).
14 Poikkeustoimenpiteellä velvoitettiin asiakkaat (katsojat, osallistujat) esittämään todisteet näiden edellytysten noudattamisesta ja toiminnanharjoittajat (järjestäjät) valvomaan tätä noudattamista ministeriön čTečka-mobiilisovelluksen avulla. Jos asiakas ei osoittanut noudattavansa mainittuja edellytyksiä, toiminnanharjoittajaa kiellettiin tarjoamasta hänelle palvelua ja päästämästä häntä tilaan tai tapahtumaan. Poikkeustoimenpiteen mukaan tällä sovelluksella voitiin todentaa luotettavasti QR-koodin sisältävän todistuksen aitous ja pätevyys.
15 Voidakseen ratkaista RK:n 20.1.2022 esittämän poikkeustoimenpiteen kumoamista koskevan vaatimuksen Nejvyšší správní soud (ylin hallintotuomioistuin, Tšekki), joka on ennakkoratkaisua pyytänyt tuomioistuin, katsoo tarpeelliseksi, että ensin tarkastellaan, onko ns. tartuntavaarattomuutta koskevien edellytysten valvonta čTečka-sovelluksen avulla yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua henkilötietojen automaattista ”käsittelyä”, ja on täsmennettävä, että kyseinen tuomioistuin katsoo, että EU:n digitaalisiin todistuksiin sisältyvät tiedot ovat kyseisen asetuksen 4 artiklan 1 alakohdassa tarkoitettuja henkilötietoja. Jos näin on, tätä asetusta sovelletaan sen 2 artiklan 1 kohdan mukaisesti.
16 Ennakkoratkaisua pyytänyt tuomioistuin täsmentää, että čTečka-sovelluksella voidaan valvoa asetuksen 2021/953 nojalla annettujen EU:n digitaalisten koronatodistusten pätevyyttä ja todentaa se. Tämä sovellus lukee todistuksen QR-koodin tarkastuksesta vastaavan henkilön matkapuhelimen kameran avulla. Sen jälkeen tälle henkilölle näytetään yhteenveto todistuksen haltijan perushenkilötiedoista (sukunimi, etunimi ja syntymäaika) ja todistuksen tila eli se, onko se pätevä vai ei. Sovelluksen tiettyä painiketta napsauttamalla tarkastuksesta vastaava henkilö pääsee tutustumaan kaikkiin kyseisessä todistuksessa ilmoitettuihin tietoihin, joita ovat esimerkiksi rokotus, rokotteen tyyppi, rokotteen valmistaja, saatujen annosten määrä, rokotuspäivä, ensimmäisen positiivisen tuloksen päivämäärä ja todistuksen myöntäjä. čTečka-sovellus näyttää nämä tiedot vain väliaikaisesti tarkastuksesta vastaavan henkilön matkapuhelimen näytöllä siten, että mainittuja tietoja ei tallenneta eikä lähetetä mihinkään.
17 Ennakkoratkaisua pyytänyt tuomioistuin toteaa, että EU:n digitaalisen koronatodistuksen pätevyyden tarkistamiseksi tämä sovellus lataa 24 tunnin välein tai pyynnöstä ministeriön käyttöliittymästä jäsenvaltioiden myöntämien todistusten julkiset avaimet ja jäsenvaltioiden validointisäännöt. Tämä prosessi voidaan toteuttaa myös ilman verkkoyhteyttä. Kun sovellus ladataan tarkastuksesta vastaavan henkilön matkapuhelimelle, näkyviin tulee teksti, jossa mainitaan, että ”čTečka-sovelluksen käyttö tapahtuu unionin oikeuden ja Tšekin oikeuden mukaisesti ja sillä helpotetaan henkilöiden vapaata liikkumista sekä pääsyä palveluihin ja tapahtumiin covid-19-pandemian aikana. Sovellus käsittelee unionin jäsenvaltioiden digitaalisten koronatodistusten haltijoiden henkilötietoja, jotta valtuutetut henkilöt voivat tarkistaa ne unionin asetuksen tai [ministeriön] poikkeustoimenpiteiden nojalla tai vapaaehtoisuuteen perustuen. Sovellus ei tallenna tarkistettujen henkilöiden henkilö- ja terveystietoja eikä lähetä niitä mihinkään. Yksityiskohtaiset tiedot henkilötietojen käsittelystä löytyvät käyttöehdoista”.
18 Ennakkoratkaisua pyytänyt tuomioistuin katsoo lisäksi, että asetuksen 2021/953 3 artiklan 2 kohdan mukaan jäsenvaltion antamassa todistuksessa on oltava yhteentoimiva viivakoodi, jonka avulla voidaan todentaa sen aitous, pätevyys ja eheys. Se toteaa, että tämän tuomion 15 kohdassa mainittujen henkilötietojen muokkaaminen koneellisesti luettavasta muodosta ihmiselle luettavaan muotoon tapahtuu automatisoidusti eli čTečka-sovelluksen avulla, mikä voisi merkitä yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua henkilötietojen käsittelyä.
19 Ennakkoratkaisua pyytänyt tuomioistuin epäilee kuitenkin sitä, että tällainen pelkkä kyseisten tietojen muokkaaminen ja näyttäminen matkapuhelimella ovat kyseisessä säännöksessä tarkoitettua ”käsittelyä”, varsinkin kun nämä kaksi toimintoa eivät voi johtaa henkilötietojen väärinkäyttöön tai niiden väärinkäytösluonteiseen hyödyntämiseen tai niiden suojaa koskevaan oikeuteen puuttumiseen, koska sovellus ei lähetä täten saatuja tietoja.
20 Ennakkoratkaisua pyytänyt tuomioistuin katsoo myös, että henkilötietojen käsittelyä voisi olla myös todistuksen pätevyyden tarkistaminen čTečka-sovelluksella, koska tämä toimenpide johtaa tähän todistukseen sisältyvien henkilötietojen, joka liittyvät tarkastettavan henkilön terveyteen, käyttämiseen. Jotta voidaan arvioida, onko todistus pätevä vai ei, ja määrittää, täyttääkö asianomainen henkilö poikkeustoimenpiteessä vahvistetut ns. tartuntavaarattomuutta koskevat edellytykset, sovelluksella olisi välttämättä vertailtava asianomaisen henkilön terveystietoja, kuten rokotuspäivää, kyseisenä ajankohtana voimassa oleviin validointisääntöihin.
21 Ennakkoratkaisua pyytänyt tuomioistuin katsoo lopuksi, että henkilötietojen käsittely voisi muodostua todistusten čTečka-sovelluksella tarkastamisen yhteydessä tapahtuvien prosessien yhdistelmästä eli henkilötietojen muuntamisesta QR-koodista ihmisen luettavaan muotoon ja näyttämisestä matkapuhelimella, tarkastajan tutustumisesta niihin ja todistuksen pätevyyden arvioimisesta tällä sovelluksella vertailemalla terveyttä koskevia henkilötietoja validointisääntöihin. Vaikka nämä toimenpiteet eivät erikseen tarkasteltuina välttämättä merkitse yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua käsittelyä, niiden rinnakkaisuus saattaa johtaa tällaiseen luokitteluun.
22 Edellä esitetty huomioon ottaen kyseinen tuomioistuin toteaa, että asetuksen 2021/953 10 artiklan 1 ja 3 kohdassa säädetään nimenomaisesti, että vapaata liikkuvuutta unionissa koskevan oikeuden käyttämiseksi yleistä tietosuoja-asetusta sovelletaan EU:n digitaalisiin koronatodistuksiin sisältyvien henkilötietojen käsittelyyn. Lisäksi asetuksen 2021/953 johdanto-osan 48 kohdan mukaan todistuksiin sisältyvien henkilötietojen käsittelyyn olisi sovellettava yhtenäistä oikeudellista järjestelmää.
23 Nejvyšší správní soud on päättänyt näin ollen lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavan ennakkoratkaisukysymyksen:
”Merkitseekö [asetuksen 2021/953] nojalla annettujen, covid-19-tautiin liittyvien rokotusta, testausta ja taudista parantumista koskevien yhteentoimivien todistusten, joita Tšekin tasavalta käyttää kansallisiin tarkoituksiin, pätevyyden kansallisen čTečka-sovelluksen avulla tapahtuva todennus yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdan mukaista henkilötietojen automaattista käsittelyä, joten kyseinen toiminta kuuluu siten [tämän asetuksen] 2 artiklan 1 kohdan aineelliseen soveltamisalaan?”
Ennakkoratkaisukysymyksen tarkastelu
24 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kysymyksellään lähinnä, onko yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua henkilötietojen ”käsittelyn” käsitettä tulkittava siten, että se kattaa asetuksen 2021/953 nojalla annettujen covid-19-tautiin liittyvien yhteentoimivien rokotusta, testausta ja taudista parantumista koskevien todistusten, joita jäsenvaltio käyttää kansallisiin tarkoituksiin, pätevyyden tarkistamisen kansallisen mobiilisovelluksen avulla.
25 On selvää, että useat tiedot, joihin tarkastuksesta vastaava henkilö pääsee tutustumaan EU:n digitaalisen koronatodistuksen pätevyyden tarkastuksen yhteydessä, sellaisina kuin ne on esitetty tämän tuomion 16 kohdassa, ovat yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuja henkilötietoja. Tästä säännöksestä käy nimittäin selvästi ilmi, että henkilötietojen käsitteellä tarkoitetaan ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön – – liittyviä tietoja” ja että tämä tunnistaminen voi ilmetä muun muassa asianomaisen henkilön nimen käyttämisestä.
26 Tältä osin on riittävää todeta, että asetuksen 2021/953 5 artiklan 2 kohdan a alakohdassa, 6 artiklan 2 kohdan a alakohdassa ja 7 artiklan 2 kohdan a alakohdassa säädetään, että rokotustodistuksessa, testaustodistuksessa ja taudista parantumista koskevassa todistuksessa on mainittava todistuksen haltijan henkilöllisyys.
27 Tämän täsmennyksen jälkeen on syytä tuoda esiin, että yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa määritellään käsittelyn käsite siten, että sillä tarkoitetaan ”[jokaista] toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti”. Tässä säännöksessä mainitaan luettelossa, joka ei ole tyhjentävä ja joka alkaa ilmaisulla ”kuten”, esimerkkeinä henkilötietojen kysely ja käyttö. Kyseisen säännöksen sanamuodosta ja erityisesti ilmaisusta ”[jokaista] toimintoa” ilmenee, että unionin lainsäätäjän tarkoituksena on ollut antaa käsittelyn käsitteelle laaja merkitys (ks. vastaavasti tuomio 24.2.2022, Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten), C‑175/20, EU:C:2022:124, 35 kohta).
28 Tämä henkilötietojen ja käsittelyn käsitteiden laaja tulkinta vastaa yleisen tietosuoja-asetuksen johdanto-osan ensimmäisessä perustelukappaleessa mainittua tavoitetta varmistaa luonnollisten henkilöiden suojelua henkilötietojen käsittelyn yhteydessä koskevan perusoikeuden tehokkuus, joka on kyseisen asetuksen soveltamisen lähtökohta.
29 Käsiteltävässä asiassa čTečka-sovelluksen kaltainen kansallinen mobiilisovellus lukee EU:n digitaalisessa koronatodistuksessa olevan QR-koodin muuntaakseen kyseisen koodin sisältämät henkilötiedot tällaisen todistuksen pätevyyden tarkastuksesta vastaavalle henkilölle luettavaan muotoon. Tällainen sovellus mahdollistaa näin ollen tarkastuksesta vastaavalle henkilölle pääsyn henkilötietoihin automatisoidun prosessin eli skannauksen päätteeksi ja niiden käyttämisen sen arvioimiseksi, onko asianomaisen henkilön tilanne validointisääntöjen, toisin sanoen sovellettavien terveysvaatimusten, mukainen. Myös arvioinnin tulos on automatisoitu, koska tarkastajan matkapuhelimen näytölle ilmestyy vihreä valintamerkki, kun terveysvaatimukset täyttyvät, kun taas päinvastaisessa tapauksessa näytölle ilmestyy punainen rasti.
30 Näin ollen on katsottava, että asetuksen 2021/953 nojalla annettujen covid-19-tautiin liittyvien yhteentoimivien rokotusta, testausta ja taudista parantumista koskevien todistusten pätevyyden todentaminen čTečka-sovelluksella on yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua ”käsittelyä”, ja se kuuluu kyseisen asetuksen 2 artiklan 1 kohdan mukaisesti kyseisen asetuksen aineelliseen soveltamisalaan.
31 Asetus 2021/953, jossa säädetään, että EU:n digitaalisen koronatodistuksen täytäntöönpano merkitsee yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua käsittelyä, tukee tämän tuomion 30 kohdassa tarkoitettua tulkintaa. Asetuksen 2021/953 1 artiklan toisessa kohdassa nimittäin säädetään, että tässä asetuksessa ”säädetään laillisesta perusteesta tällaisten todistusten myöntämiseksi tarvittavien henkilötietojen käsittelylle sekä tällaisten todistusten aitouden ja pätevyyden todentamiseksi ja vahvistamiseksi tarvittavien tietojen käsittelylle [yleistä tietosuoja-asetusta] kaikilta osin noudattaen”. Lisäksi asetuksen 2021/953 johdanto-osan 48 perustelukappaleesta ilmenee yhtäältä, että yleistä tietosuoja-asetusta sovelletaan asetuksen 2021/953 täytäntöönpanon yhteydessä suoritettavaan henkilötietojen käsittelyyn, ja toisaalta, että tällä viimeksi mainitulla vahvistetaan oikeusperusta yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa ja 9 artiklan 2 kohdan g alakohdassa tarkoitetulle henkilötietojen käsittelylle, joka on tarpeen asetuksessa 2021/953 säädettyjen yhteentoimivien todistusten myöntämiseksi ja todentamiseksi. Kyseisen asetuksen 10 artiklan 1 kohdassa vahvistetaan myös, että yleistä tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn asetuksen 2021/953 täytäntöönpanon yhteydessä.
32 Ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä on näin ollen tarkistaa, noudatetaanko poikkeustoimenpiteellä käyttöön otetussa käsittelyssä yhtäältä tietojen käsittelyä koskevia periaatteita, jotka mainitaan yleisen tietosuoja-asetuksen 5 artiklassa, ja täyttyykö sen osalta toisaalta jokin tietojen käsittelyn lainmukaisuutta koskevista periaatteista, jotka luetellaan mainitun asetuksen 6 artiklassa (ks. mm. tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 96 kohta ja tuomio 4.5.2023, Saksan liittotasavalta, C‑60/22, EU:C:2023:373, 57 kohta).
33 Edellä esitetyn perusteella on todettava, että yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua henkilötietojen käsittelyn käsitettä on tulkittava siten, että se kattaa asetuksen 2021/953 nojalla annettujen covid-19-tautiin liittyvien yhteentoimivien rokotusta, testausta ja taudista parantumista koskevien todistusten, joita jäsenvaltio käyttää kansallisiin tarkoituksiin, tarkistamisen kansallisen mobiilisovelluksen avulla.
Oikeudenkäyntikulut
34 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (kahdeksas jaosto) on ratkaissut asian seuraavasti:
Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 4 artiklan 2 alakohdassa tarkoitettua henkilötietojen käsittelyn käsitettä
on tulkittava siten, että
se kattaa kehyksestä covid-19-tautiin liittyvien yhteentoimivien rokotusta, testausta ja taudista parantumista koskevien todistusten (EU:n digitaalinen koronatodistus) myöntämiseksi, todentamiseksi ja hyväksymiseksi helpottamaan henkilöiden vapaata liikkuvuutta covid-19-pandemian aikana 14.6.2021 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2021/953 nojalla annettujen covid-19-tautiin liittyvien yhteentoimivien rokotusta, testausta ja taudista parantumista koskevien todistusten, joita jäsenvaltio käyttää kansallisiin tarkoituksiin, pätevyyden tarkistamisen kansallisen mobiilisovelluksen avulla.
Allekirjoitukset