–

за RK, от D. Sudolská, advokátka,

–

за чешкото правителство, от M. Smolek, O. Serdula и J. Vláčil, в качеството на представители,

–

за нидерландското правителство, от M. K. Bulterman и A. Hanje, в качеството на представители,

–

за Европейската комисия, от A. Bouchagiar, H. Kranenborg и P. Ondrůšek, в качеството на представители,

1

Преюдициалното запитване се отнася до тълкуването на член 2, параграф 1 и член 4, точка 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2

Запитването е отправено в рамките на спор между RK и Ministerstvo zdravotnictví (Министерство на здравеопазването, Чешка република, наричано по-нататък „Министерството“) по повод приемането от него на извънредна мярка, уреждаща достъпа на лицата до определени места и събития с цел да се защити населението от разпространението на епидемията от COVID‑19.

3

Съгласно съображение 1 от ОРЗД „[з]ащитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз […] и член 16, параграф 1 от Договора за функционирането на Европейския съюз […] предвиждат, че всеки има право на защита на личните му данни“.

4

Член 2 („Материален обхват“) от този регламент предвижда в параграф 1:

„Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни“.

5

В параграф 2 от този член са изброени четири хипотези, при които ОРЗД „не се прилага за обработването на лични данни“.

6

Съгласно член 4 от посочения регламент:

„За целите на настоящия регламент:

[…]“.

7

Членове 5 и 6 от същия регламент имат за предмет съответно „[п]ринципи[те], свързани с обработването на лични данни“ и „[з]аконосъобразност[та] на обработването“.

8

Съображение 48 от Регламент (ЕС) 2021/953 на Европейския парламент и на Съвета от 14 юни 2021 година относно рамка за издаването, проверката и приемането на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID‑19 (Цифров COVID сертификат на ЕС) с цел улесняване на свободното движение по време на пандемията от COVID‑19 (ОВ L 211, 2021 г., стр. 1) гласи:

„[ОРЗД] се прилага за обработването на лични данни, извършвано при изпълнението на настоящия регламент. Настоящият регламент установява правното основание за обработването на лични данни по смисъла на член 6, параграф 1, буква в) и член 9, параграф 2, буква ж) от [ОРЗД], необходимо за издаването и проверката на оперативно съвместимите сертификати, уредени с настоящия регламент. […] Държавите членки могат да обработват лични данни за други цели, ако правното основание за обработването на тези данни за други цели е предвидено в националното право, което трябва да е в съответствие с правото на Съюза за защита на данните и с принципите на ефективност, необходимост и пропорционалност и следва да включва разпоредби, в които ясно се посочват обхватът и степента на обработването на данните, конкретната цел, категориите субекти, които могат да проверяват сертификата, както и съответните гаранции за предотвратяване на дискриминация и злоупотреби, като се вземат предвид рисковете за правата и свободите на субектите на данни. […]“.

9

Член 1 („Предмет“) от този регламент предвижда:

„С настоящия регламент се установява рамка за издаването, проверката и приемането на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID‑19 (Цифров COVID сертификат на ЕС) с цел улесняване на упражняването от страна на притежателите им на правото на свободно движение по време на пандемията от COVID‑19. Настоящият регламент допринася и за улесняване на постепенното и координирано премахване на ограниченията на свободното движение, въведени от държавите членки, в съответствие с правото на Съюза с цел да се ограничи разпространението на SARS-CoV-2.

В него се предвижда правното основание за обработването на личните данни, необходими за издаването на такива сертификати, и за обработването на информацията, необходима за проверка и потвърждаване на автентичността и валидността на тези сертификати в пълно съответствие с [ОРЗД]“.

10

Член 3 („Цифров COVID сертификат на ЕС“) от този регламент предвижда в параграф 1, че рамката на Цифровия COVID сертификат на ЕС позволява трансгранично издаване, проверка и приемане на сертификати за ваксинация, сертификати за извършено изследване и сертификати за преболедуване. Освен това съгласно параграф 2 „[д]ържавите членки или определени структури, действащи от името на държавите членки, издават сертификатите, посочени в параграф 1 от настоящия член, в цифров формат или на хартиен носител, или по двата начина. Бъдещите притежатели имат право да получат сертификатите в избран от тях формат. Тези сертификати са лесни за ползване и съдържат оперативно съвместим баркод, позволяващ да бъдат проверени автентичността, валидността и целостта им. Баркодът отговаря на техническите спецификации, установени съгласно член 9. Информацията, съдържаща се в сертификатите, се представя и в четима от човека форма и поне на официалния език или езици на издаващата държава членка, както и на английски език“.

11

Член 5, параграф 2, буква а), член 6, параграф 2, буква а) и член 7, параграф 2, буква а) от посочения регламент предвиждат съответно, че сертификатът за ваксинация, сертификатът за извършено изследване и сертификатът за преболедуване съдържат самоличността на своя притежател.

12

Член 10 („Защита на личните данни“) от същия регламент предвижда в първите си четири параграфа:

„1.   [ОРЗД] се прилага за обработването на лични данни, извършвано при изпълнението на настоящия регламент.

2.   За целите на настоящия регламент личните данни, съдържащи се в сертификатите, издадени съгласно настоящия регламент, се обработват единствено с цел достъп до и проверка на информацията, съдържаща се в сертификата, за да се улесни упражняването на правото на свободно движение в Съюза по време на пандемията от COVID‑19. След изтичането на срока на прилагане на настоящия регламент не се извършва по-нататъшно обработване.

3.   Личните данни, включени в сертификатите, посочени в член 3, параграф 1, се обработват от компетентните органи на държавата членка на местоназначение или транзит или от операторите на трансгранични услуги за превоз на пътници, от които съгласно националното законодателство се изисква да прилагат определени мерки в областта на общественото здраве по време на пандемията от COVID‑19, единствено за проверка и потвърждаване на ваксинацията, резултата от направено изследване или преболедуване от притежателя на сертификата. За тази цел личните данни се ограничават до строго необходимото. Личните данни, до които е осъществен достъп съгласно настоящия параграф, не се запазват.

4.   Личните данни, обработвани за целите на издаването на сертификатите, посочени в член 3, параграф 1, включително за издаването на нов сертификат, не се съхраняват от издаващия орган по-дълго от строго необходимото за целта му и в никакъв случай за по-дълго от срока, през който сертификатите могат да се използват за упражняване на правото на свободно движение“.

13

С извънредна мярка от 29 декември 2021 г. (наричана по-нататък „извънредната мярка“), приета с цел защита на населението от разширяване на разпространението на пандемията от COVID‑19, Министерството обвързва с различни условия, считано от 3 януари 2022 г., достъпа на лицата до определени вътрешни и външни пространства, както и участието им в масови събития или в други дейности. По този начин се изисква по-специално, първо, изследване RT-PCR с отрицателен резултат за откриване на наличието на вирус SARS-CoV-2, извършено не повече от 72 часа по-рано, за лицата под 18 години, тези, които не са могли да се подложат на ваксинация срещу COVID‑19 поради противопоказание, както и тези, които не са преминали пълен ваксинационен курс, второ, изтичането на срок от най-малко 14 дни от преминаването на пълен ваксинационен курс с одобрен лекарствен продукт или, трето, заразяване, потвърдено от лаборатория, с COVID‑19, ако периодът на изолиране е приключил и не са изтекли повече от 180 дни от първото изследване с положителен резултат (наричани по-нататък „т.нар. условия за „неинфекциозност“).

14

Извънредната мярка задължава клиентите (зрители, участници) да представят доказателство за спазването на тези условия, и задължава операторите (организаторите) да контролират спазването им чрез мобилното приложение на Министерството, наречено „čTečka“. Ако клиентът не докаже, че отговаря на посочените условия, на оператора е забранено да му предостави услугата и да му даде достъп до пространството или до събитието. Съгласно извънредната мярка това прилагане гарантира надеждна проверка на автентичността и валидността на представения документ, съдържащ QR код.

15

За да се произнесе по жалбата, подадена от RK на 20 януари 2022 г., за отмяна на извънредната мярка, запитващата юрисдикция Nejvyšší správní soud (Върховен административен съд, Чешка република) счита за необходимо да започне с проверка по въпроса дали контролът на т.нар. условия за „неинфекциозност“ чрез приложението „čTečka“ представлява „обработване“ на лични данни с автоматични средства по смисъла на член 4, точка 2 от ОРЗД, като се уточнява, че според нея информацията, съдържаща се в цифровите COVID сертификати на ЕС, представлява лични данни по смисъла на член 4, точка 1 от този регламент. При положителен отговор посоченият регламент би се прилагал съгласно член 2, параграф 1.

16

Запитващата юрисдикция уточнява, че приложението „čTečka“ позволява да се контролира и провери валидността на цифровите COVID сертификати на ЕС, издадени съгласно Регламент 2021/953. Това приложение сканира QR кода на сертификата с камерата на мобилния телефон на лицето, отговарящо за извършването на контрола. След това посоченото лице разполага със справка за основните данни за идентифицирането на притежателя на сертификата (фамилно име, собствено име и дата на раждане), както и със статута, валиден или невалиден, на този сертификат. При кликване върху определен бутон на приложението лицето, отговарящо за извършването на контрола, може да получи достъп до цялата информация, посочена в този сертификат, например ваксинацията, вида ваксина, производителя на ваксината, броя на получените дози, датата на ваксинацията, датата на първия положителен резултат, както и издателя на сертификата. Приложението „čTečka“ само временно показва тези данни на екрана на мобилния телефон на лицето, отговарящо за извършването на контрола, така че посочените данни нито се съхраняват, нито се изпращат.

17

Тази юрисдикция посочва, че за да се провери валидността на Цифров COVID сертификат на ЕС, това приложение сваля веднъж на 24 часа или при поискване публичните ключове на сертификатите на държавите членки и правилата за валидност на държавите членки от интерфейса на Министерството. Този процес може да се изпълнява и офлайн. При инсталирането на приложението на мобилния телефон на лицето, отговарящо за извършването на контрола, се появява текст, в който се посочва, че „приложението čTečka се използва в съответствие с правото на Съюза и правото на Чешката република и улеснява свободното движение на хора и достъпа до услуги и събития по време на пандемията от COVID‑19. Приложението обработва личните данни на притежателите на цифрови COVID сертификати на ЕС с оглед на контрола върху тях от лица, които имат право да го упражняват въз основа на регламент на Съюза, извънредни мерки на [Министерството] или на доброволна основа. Приложението не съхранява и не изпраща никъде личните данни, свързани със здравето на контролираните лица. Подробна информация за обработването на лични данни може да бъде намерена в условията за използване“.

18

Освен това запитващата юрисдикция отбелязва, че по силата на член 3, параграф 2 от Регламент 2021/953 сертификат, издаден от държава членка, трябва да съдържа оперативно съвместим баркод, позволяващ да бъдат проверени автентичността, валидността и целостта на сертификата. Тя посочва, че преобразуването на посочените в точка 16 от настоящото решение лични данни от машинночитаема форма в четима за човек форма се извършва чрез автоматизиран процес, а именно приложението „čTečka“, което би могло да е характерно за обработването на лични данни по смисъла на член 4, точка 2 от ОРЗД.

19

Запитващата юрисдикция обаче се съмнява, че тази обикновена операция по превръщане и показване на тези данни на мобилен телефон представлява „обработване“ по смисъла на посочената разпоредба, още повече че тези две операции не могат да доведат до неправомерна употреба или използване на лични данни, нито до намеса в правото на защита на тези данни, тъй като приложението не изпраща така получените данни.

20

Освен това запитващата юрисдикция счита, че може да представлява обработване на лични данни и проверката на валидността на сертификата чрез приложението „čTečka“, тъй като тази операция води до използването на личните данни, които се съдържат в този сертификат и се отнасят до здравословното състояние на проверяваното лице. Всъщност, за да може да се прецени дали сертификатът е валиден или не и да се определи дали съответното лице отговаря на т.нар. условия за „неинфекциозност“, предвидени в извънредната мярка, приложението трябвало непременно да сравни информацията относно здравословното състояние на това лице, например датата на ваксинацията, с действащите към този момент правила за валидност.

21

Накрая, тази юрисдикция счита, че обработването на лични данни би могло да се състои от съчетанието на процеси, които протичат при контрола на сертификатите чрез приложението „čTečka“, а именно преобразуването на личните данни от QR код в четима за човек форма, показването им на мобилен телефон, справката с тях от извършващото контрола лице и преценката на валидността на сертификата чрез това приложение посредством сравняване на личните данни за здравословното състояние с правилата за валидност. Въпреки че разгледани поотделно, тези операции могат да не представляват обработване по смисъла на член 4, точка 2 от ОРЗД, наслагването им би могло да доведе до тази квалификация.

22

От тази гледна точка посочената юрисдикция отбелязва, че член 10, параграфи 1 и 3 от Регламент 2021/953 изрично предвижда, че за целите на упражняването на правото на свободно движение в рамките на Съюза ОРЗД се прилага за обработването на личните данни, съдържащи се в цифровите COVID сертификати на ЕС. Освен това съгласно съображение 48 от Регламент 2021/953 обработването на личните данни, съдържащи се в сертификатите, следва да се урежда от единен правен режим.

23

При тези обстоятелства Nejvyšší správní soud (Върховен административен съд) решава да спре производството и да постави на Съда следния преюдициален въпрос:

„Когато чрез националното приложение „čTečka“ се проверява валидността на оперативно съвместимите сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID‑19, издавани съгласно Регламент [2021/953] и използвани от Чешката република за национални цели, тази проверка представлява ли обработване на лични данни с автоматични средства по смисъла на член 4, точка 2 от [ОРЗД] и съответно попада ли в материалния обхват на [този регламент] в съответствие с член 2, параграф 1 от него?“.

24

С въпроса си запитващата юрисдикция по същество иска да се установи дали понятието „обработване“ на лични данни, посочено в член 4, точка 2 от ОРЗД, трябва да се тълкува в смисъл, че включва проверката чрез национално мобилно приложение на валидността на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID‑19, издавани съгласно Регламент 2021/953 и използвани от държава членка за национални цели.

25

Безспорно е, че част от информацията, до която лицето, отговарящо за извършването на контрола, получава достъп при проверката на валидността на Цифров COVID сертификат на ЕС, като например посочената в точка 16 от настоящото решение информация, представлява „лични данни“ по смисъла на член 4, точка 1 от ОРЗД. Всъщност от тази разпоредба е видно, че понятието „лични данни“ обозначава „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“, и че това идентифициране може да произтича по-специално от използването на името на съответното лице.

26

В това отношение е достатъчно да се установи, че член 5, параграф 2, буква а), член 6, параграф 2, буква а) и член 7, параграф 2, буква а) от Регламент 2021/953 предвиждат съответно, че сертификатът за ваксинация, сертификатът за извършено изследване и сертификатът за преболедуване съдържат самоличността на своя притежател.

27

При това уточнение следва да се отбележи, че член 4, точка 2 от ОРЗД определя понятието „обработване“ като „всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства“. При неизчерпателно изброяване, въведено с думата „като“, тази разпоредба посочва като примери за обработване консултирането и употребата на лични данни. От текста на тази разпоредба, по-специално от израза „всяка операция“, следва, че законодателят на Съюза е искал да придаде широк обхват на понятието „обработване“ (вж. в този смисъл решение от 24 февруари 2022 г., Valsts ieņēmumu dienests (Обработка на лични данни за данъчни цели), C‑175/20, EU:C:2022:124, т. 35).

28

Това широко тълкуване на понятията „лични данни“ и „обработване“ е в съответствие с целта да се гарантира ефективността на основното право на защита на физическите лица във връзка с лични данни, което е посочено в съображение 1 от ОРЗД и на което почива прилагането на този регламент.

29

В случая обаче национално мобилно приложение като приложението „čTečka“ сканира QR кода върху Цифровия COVID сертификат на ЕС, за да преобразува съдържащите се в този код лични данни във форма, четима за лицето, отговарящо за контрола на валидността на този сертификат. По този начин такова приложение позволява на лицето, отговарящо за извършването на контрола, да се консултира в рамките на автоматизиран процес, а именно сканиране, с лични данни и да ги употреби, за да прецени дали положението на съответното лице е в съответствие с приложимите правила за валидност, т.е. с приложимите здравни изисквания. Резултатът от тази оценка също е автоматизиран, тъй като на мобилния телефон на извършващото контрола лице се появява зелена отметка, когато са изпълнени здравните изисквания, докато в противен случай се показва червен кръст.

30

Ето защо следва да се приеме, че проверката чрез приложението „čTečka“ на валидността на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID‑19, издавани съгласно Регламент 2021/953, представлява „обработване“ по смисъла на член 4, точка 2 от ОРЗД и съгласно член 2, параграф 1 от този регламент попада в неговото материално приложно поле.

31

Посоченото в точка 30 от настоящото решение тълкуване се потвърждава от Регламент 2021/953, който предвижда, че въвеждането на Цифровия COVID сертификат на ЕС представлява обработване по смисъла на член 4, точка 2 от ОРЗД. Всъщност член 1, параграф 2 от Регламент 2021/953 гласи, че в този регламент „се предвижда правното основание за обработването на личните данни, необходими за издаването на такива сертификати, и за обработването на информацията, необходима за проверка и потвърждаване на автентичността и валидността на тези сертификати в пълно съответствие с [ОРЗД]“. Освен това от съображение 48 от Регламент 2021/953 следва, от една страна, че ОРЗД се прилага за обработването на лични данни, извършвано при прилагането на Регламент 2021/953, и от друга страна, че последният установява правното основание за обработването на лични данни по смисъла на член 6, параграф 1, буква в) и член 9, параграф 2, буква ж) от ОРЗД, необходимо за издаването и проверката на оперативно съвместимите сертификати, уредени с Регламент 2021/953. Член 10, параграф 1 от този регламент също потвърждава, че ОРЗД се прилага за обработването на лични данни, извършвано при изпълнението на Регламент 2021/953.

32

Ето защо запитващата юрисдикция ще трябва да провери дали въведеното с извънредната мярка обработване, от една страна, съответства на принципите относно обработването на данни, прогласени в член 5 от ОРЗД, и от друга страна, дали отговаря на един от принципите относно законосъобразността на обработването, изброени в член 6 от този регламент. (вж. по-специално решения от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 96, и от 4 май 2023 г., Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, т. 57).

33

Предвид изложените по-горе съображения понятието „обработване“ на лични данни, посочено в член 4, точка 2 от ОРЗД, трябва да се тълкува в смисъл, че включва проверката чрез национално мобилно приложение на валидността на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID‑19, издавани съгласно Регламент 2021/953 и използвани от държава членка за национални цели.

34

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (осми състав) реши:

Понятието „обработване“ на лични данни, посочено в член 4, точка 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните),

трябва да се тълкува в смисъл, че

включва проверката чрез национално мобилно приложение на валидността на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID‑19, издавани съгласно Регламент (ЕС) 2021/953 на Европейския парламент и на Съвета от 14 юни 2021 година относно рамка за издаването, проверката и приемането на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID‑19 (Цифров COVID сертификат на ЕС) с цел улесняване на свободното движение по време на пандемията от COVID‑19 и използвани от държава членка за национални цели.