–

za Nemzeti Adatvédelmi és Információszabadság Hatóság: G. J. Dudás, ügyvéd,

–

za UC: D. Karsai a V. Łuszcz, ügyvédek,

–

za maďarskou vládu: Zs. Biró-Tóth a M. Z. Fehér, jako zmocněnci,

–

za českou vládu: L. Březinová, M. Smolek a J. Vláčil, jako zmocněnci,

–

za Evropskou komisi: A. Bouchagiar, C. Kovács a H. Kranenborg, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 14 odst. 1 a odst. 5 písm. c), článku 32, jakož i čl. 77 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, oprava Úř. věst. 2021, L 74, s. 35, oprava Úř. věst. 2018, L 127, s. 2, dále jen „GDPR“).

2

Tato žádost byla předložena v rámci sporu mezi Nemzeti Adatvédelmi és Információszabadság Hatóság (Národní úřad pro ochranu údajů a svobodu informací, Maďarsko) (dále jen „vnitrostátní orgán“) a UC, jehož předmětem je otázka, zda má Budapest Főváros Kormányhivatala (správní úřad hlavního města Budapešti, Maďarsko) (dále jen „vydávající orgán“), který je pověřen vydáváním osvědčení o imunitě osobám očkovaným proti covidu-19 nebo osobám, které tuto nemoc prodělaly, povinnost informovat o zpracování osobních údajů v této souvislosti.

3

Body 1, 10 a 61 až 63 odůvodnění GDPR zní:

[…]

[…]

4

Článek 1 tohoto nařízení, nadepsaný „Předmět a cíle“, v odstavci 2 stanoví:

„Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.“

5

V článku 4 uvedeného nařízení, nadepsaném „Definice“, je stanoveno:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]“

6

Článek 6 odst. 1 GDPR, nadepsaný „Zákonnost zpracování“, stanoví:

„Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]

[…]

[…]“

7

Článek 9 tohoto nařízení, nadepsaný „Zpracování zvláštních kategorií osobních údajů“, v odstavcích 1 a 2 stanoví:

„1.   Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

2.   Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

[…]

[…]“

8

Kapitola III GDPR, nadepsaná „Práva subjektu údajů“, obsahuje několik oddílů, mezi nimi oddíl 2, nadepsaný „Informace a přístup k osobním údajům“.

9

V tomto oddíle 2 GDPR je obsažen článek 13 týkající se „Informací poskytovaných v případě, že osobní údaje jsou získány od subjektu údajů“, článek 14 týkající se „Informací poskytovaných v případě, že osobní údaje nebyly získány od subjektu údajů“ a článek 15 týkající se „Práva subjektu údajů na přístup“.

10

V článku 14 tohoto nařízení je stanoveno:

„1.   Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:

2.   Kromě informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro [tyto další informace nezbytné pro] zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:

[…]

4.   Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

5.   Odstavce 1 až 4 se nepoužijí, pokud a do té míry, v níž:

11

Článek 32 uvedeného nařízení, nadepsaný „Zabezpečení zpracování“, zní následovně:

„1.   S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

2.   Při posuzování vhodné úrovně zabezpečení se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

3.   K doložení plnění požadavků stanovených v odstavci 1 tohoto článku lze použít i dodržování schváleného kodexu chování uvedeného v článku 40 nebo schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42.

4.   Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.“

12

V článku 55 téhož nařízení, nadepsaném „Příslušnost“, je v odstavci 1 stanoveno:

„Každý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením.“

13

Článek 57 GDPR, nadepsaný „Úkoly“, v odstavci 1 stanoví:

„Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:

[…]

[…]“

14

Článek 58 tohoto nařízení, nadepsaný „Pravomoci“, v odstavci 3 stanoví:

„Každý dozorový úřad má všechny tyto povolovací a poradní pravomoci:

[…]

[…]“

15

Článek 77 uvedeného nařízení, nadepsaný „Právo podat stížnost u dozorového úřadu“, v odstavci 1 stanoví:

„Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.“

16

Článek 78 GDPR, nadepsaný „Právo na účinnou soudní ochranu vůči dozorovému úřadu“, zní takto:

„1.   Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

2.   Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku.

3.   Řízení proti dozorovému úřadu se zahajuje u soudů toho členského státu, v němž je daný dozorový úřad zřízen.

4.   Je-li zahájeno řízení proti rozhodnutí dozorového úřadu, kterému předcházelo stanovisko nebo rozhodnutí sboru v rámci mechanismu jednotnosti, dozorový úřad toto stanovisko nebo rozhodnutí předloží soudu.“

17

Článek 10 nařízení Evropského parlamentu a Rady (EU) 2021/953 ze dne 14. června 2021 o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, o testu a o zotavení v souvislosti s onemocněním covidem-19 (digitální certifikát EU COVID) za účelem usnadnění volného pohybu během pandemie covidu-19 (Úř. věst. 2021, L 211, s. 1), nadepsaný „Ochran osobních údajů“, v odstavci 1 stanovil:

„Na zpracování osobních údajů při provádění tohoto nařízení se použije [GDPR].“

18

Ustanovení § 2 odst. 1 a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet [nařízení vlády č. 60/2021 (II.12) o osvědčení o imunitě proti koronaviru], ze dne 12. února 2021, ve znění použitelném na spor v původním řízení (dále jen „nařízení č. 60/2021“), stanoví:

„Osvědčení o imunitě obsahuje:

19

Podle § 2 odst. 6 a 7 nařízení č. 60/2021 vydává osvědčení o imunitě vydávající správní orgán buď z úřední povinnosti, nebo na žádost každé fyzické osobě, která má na jeho vydání nárok.

20

V § 3 odst. 3 tohoto nařízení se stanoví:

„V případech uvedených v § 2 odst. 6 písm. c) a d) shromažďuje [vydávající orgán] automatickým přenosem informací – v případě potřeby prostřednictvím příslušných služeb registru elektronické správy identifikačních údajů – tyto informace

21

UC, fyzické osobě, vydal vydávající orgán podle nařízení č. 60/2021 osvědčení o imunitě, které potvrzovalo její očkování proti covidu-19.

22

Dne 30. dubna 2021 zahájil UC správní řízení týkající se ochrany jeho osobních údajů u vnitrostátního orgánu, když podal stížnost na základě čl. 77 odst. 1 GDPR s cílem nařídit vydávajícímu orgánu, aby uvedl své operace zpracování do souladu s ustanoveními GDPR. Ve stížnosti mimo jiné vydávajícímu orgánu vytýkal, že nevypracoval a nezveřejnil prohlášení o ochraně osobních údajů souvisejících s vydáváním osvědčení o imunitě, a tvrdil, že nebyly poskytnuty informace o účelu a právním základu zpracování těchto údajů a o tom, jaká mají subjekty údajů práva a jak je mohou uplatnit.

23

V rámci řízení zahájeného na základě této stížnosti vydávající orgán prohlásil, že plní úkoly související s vydáváním osvědčení o imunitě na základě § 2 nařízení č. 60/2021, přičemž právním základem zpracování osobních údajů je čl. 6 odst. 1 písm. e) GDPR a čl. 9 odst. 2 písm. i) tohoto nařízení, pokud jde o zpracování osobních údajů spadajících do zvláštních kategorií.

24

Kromě toho vydávající orgán uvedl, že osobní údaje, které zpracovává, získává od jiného subjektu v souladu s ustanoveními nařízení č. 60/2021. Na tomto základě tvrdil, že podle čl. 14 odst. 5 písm. c) GDPR není povinen poskytovat informace o zpracování těchto údajů. Na svých internetových stránkách však vypracoval a zveřejnil požadované prohlášení o ochraně osobních údajů.

25

Rozhodnutím ze dne 15. listopadu 2021 vnitrostátní orgán stížnost UC zamítl s tím, že vydávající orgán nemá informační povinnost, jelikož se na dotčené zpracování osobních údajů vztahuje výjimka stanovená v čl. 14 odst. 5 písm. c) GDPR.

26

Tento orgán měl zejména za to, že právním základem pro zpracování je nařízení č. 60/2021 a toto nařízení výslovně ukládá vydávajícímu orgánu povinnost shromažďovat dotčené údaje. Podle uvedeného orgánu představovalo zveřejnění informací o zpracování osobních údajů vydávajícím orgánem na jeho internetových stránkách osvědčenou praxi, a nikoli zákonnou povinnost.

27

Kromě toho vnitrostátní orgán z moci úřední zkoumal, zda existují vhodná opatření na ochranu oprávněných zájmů subjektu údajů ve smyslu čl. 14 odst. 5 písm. c) druhé části věty GDPR, a měl za to, že za taková opatření musí být považována ustanovení § 2, § 3 a § 5 až 7 nařízení č. 60/2021.

28

UC podal proti tomuto rozhodnutí správní žalobu k Fővárosi Törvényszék (Soud hlavního města Budapešti, Maďarsko), který uvedené rozhodnutí zrušil a nařídil tomuto orgánu, aby zahájil nové řízení.

29

Tento soud měl ve svém rozsudku za to, že výjimka stanovená v čl. 14 odst. 5 písm. c) GDPR se neuplatní, neboť některé osobní údaje poskytnuté v souvislosti s osvědčeními o imunitě správce nezískal od jiného subjektu, ale vytvořil je sám v rámci plnění svých úkolů. Podle uvedeného soudu se to týkalo sériového čísla osvědčení o imunitě, data platnosti osvědčení vydaného osobě, která prodělala onemocnění, QR kódu na osvědčení, čárového kódu a dalších alfanumerických kódů na dopise o vydání osvědčení, jakož i osobních údajů vytvořených při spravování souborů správcem. Podle názoru téhož soudu se výjimka stanovená v čl. 14 odst. 5 písm. c) GDPR může vztahovat pouze na osobní údaje získané od jiného subjektu.

30

Vnitrostátní orgán podal proti tomuto rozsudku mimořádný opravný prostředek ke Kúria (Nejvyšší soud, Maďarsko), který je předkládajícím soudem.

31

V tomto kontextu má uvedený soud především pochybnosti ohledně toho, zda se výjimka stanovená v čl. 14 odst. 5 písm. c) GDPR může vztahovat na všechna zpracování osobních údajů s výjimkou zpracování osobních údajů získaných od subjektu údajů.

32

V případě kladné odpovědi si uvedený soud klade otázku, zda má dozorový úřad v rámci řízení o stížnosti podle čl. 77 odst. 1 GDPR pravomoc za účelem rozhodnutí o použitelnosti této výjimky ověřit, zda vnitrostátní právo, které se na správce vztahuje, stanoví vhodná opatření na ochranu oprávněných zájmů subjektu údajů.

33

V případě kladné odpovědi si pak předkládající soud klade otázku, zda se toto ověření týká rovněž vhodnosti opatření, která je správce povinen provést podle článku 32 GDPR, aby zajistil zabezpečení zpracování osobních údajů.

34

Za těchto podmínek se Kúria (Nejvyšší soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

35

Dne 16. ledna 2024 vyzval Soudní dvůr účastníky řízení a zúčastněné uvedené v článku 23 statutu Soudního dvora Evropské unie, aby v souladu s článkem 61 jednacího řádu Soudního dvora písemně odpověděli na některé otázky. Na tyto otázky odpověděli žalobce a žalovaný v původním řízení, česká a maďarská vláda, jakož i Evropská komise.

36

Podstatou první otázky předkládajícího soudu je, zda musí být čl. 14 odst. 5 písm. c) GDPR vykládán v tom smyslu, že se výjimka z povinnosti informovat subjekt údajů stanovená v tomto ustanovení týká pouze osobních údajů, které správce získal od jiné osoby než od subjektu údajů, nebo zda se týká rovněž osobních údajů, které tento správce sám vytvořil v rámci plnění svých úkolů.

37

Článek 14 odst. 1, 2 a 4 tohoto nařízení stanoví, které informace je správce povinen poskytnout subjektu údajů ve smyslu čl. 4 bodu 1 uvedeného nařízení, pokud osobní údaje nebyly získány od subjektu údajů.

38

Článek 14 odst. 5 téhož nařízení stanoví výjimky z této povinnosti. Mezi těmito výjimkami písmeno c) tohoto odstavce 5 stanoví, že uvedená povinnost se neuplatní, pokud a do té míry, v níž je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů.

39

Za účelem určení, zda se tato výjimka vztahuje na osobní údaje vytvořené samotným správcem v rámci plnění jeho úkolů na základě údajů získaných od jiné osoby než od subjektu údajů, je třeba podle ustálené judikatury vzít v úvahu nejen znění ustanovení, které ji stanoví, ale i kontext tohoto ustanovení a cíle sledované právní úpravou, jejíž je součástí (v tomto smyslu viz rozsudek ze dne 12. ledna 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, bod 32 a citovaná judikatura).

40

Na prvním místě je třeba s ohledem na znění čl. 14 odst. 5 písm. c) GDPR určit předmět „získávání nebo zpřístupnění“ uvedený v tomto ustanovení.

41

Zaprvé totiž existují rozdíly mezi jednotlivými jazykovými verzemi uvedeného ustanovení. Francouzská jazyková verze téhož ustanovení odkazuje na získávání nebo zpřístupnění „informací“, zatímco maďarská („adat“), estonská („isikuandmed“), chorvatská („podataka“), litevská („duomenų“), nizozemská („gegevens“), portugalská („dados“), rumunská („datelor“), jakož i švédská jazyková verze („uppgifter“) jazyková verze hovoří o získávání nebo zpřístupnění „údajů“, dále finská jazyková verze obsahuje výraz („tietojen“), který může označovat jak „údaje“ tak „informace“, a konečně bulharská, španělská, česká, dánská, německá, řecká, anglická, italská, lotyšská, maltská, polská, slovenská a slovinská verze neuvádí, co je předmětem získávání nebo zpřístupnění.

42

Podle rovněž ustálené judikatury přitom platí, že formulace použitá v jedné z jazykových verzí ustanovení unijního práva nemůže sloužit jako jediný základ pro výklad tohoto ustanovení, ani jí nemůže být přiznána přednost před jinými jazykovými verzemi. Ustanovení unijního práva musí být totiž vykládána a používána jednotně na základě znění vypracovaných ve všech unijních jazycích. V případě rozdílů mezi různými jazykovými verzemi unijního práva musí být dotčené ustanovení vykládáno podle celkové systematiky a účelu právní úpravy, jejíž je součástí (rozsudek ze dne 21. března 2024, Cobult,C‑76/23, EU:C:2024:253, bod 25 a citovaná judikatura).

43

Pokud jde o obecnou systematiku GDPR, čl. 14 odst. 5 tohoto nařízení je třeba vykládat ve světle bodů 61 a 62 odůvodnění tohoto nařízení, které odkazují zaprvé na to, že „osobní údaje […] jsou získávány [a] […] sděleny“, jakož i na „zaznamenání či zpřístupnění osobních údajů […] výslovně stanoven[é] právními předpisy“, a zadruhé na „poskytnut[é] […] informace“ nebo „[které by měly být poskytnuty]“. Výklad, podle kterého se „získávání nebo zpřístupnění“ ve smyslu čl. 14 odst. 5 písm. c) GDPR vztahuje na osobní údaje, je mimoto potvrzen širokým významem pojmu „zpracování“ ve smyslu čl. 4 bodu 2 GDPR, který se vztahuje na jakoukoli operaci s osobními údaji [v tomto smyslu rozsudek viz rozsudek ze dne 5. října 2023, Ministerstvo zdravotnictví (Mobilní aplikace covid-19), C‑659/22, EU:C:2023:745, bod 27 a citovaná judikatura].

44

Pokud jde o účel právní úpravy, jejíž součástí je čl. 14 odst. 5 písm. c) GDPR, stačí poznamenat, podobně jako to učinila generální advokátka v bodě 31 svého stanoviska, že ratio legis této výjimky spočívá v tom, že povinnost informovat subjekt údajů uložená článkem 14 odst. 1, 2 a 4 tohoto nařízení není důvodná, pokud jiné ustanovení unijního práva nebo práva členského státu ukládá správci dostatečně širokou a závaznou povinnost poskytnout této osobě informace týkající se získávání nebo zpřístupnění osobních údajů. V případě, na který se vztahuje čl. 14 odst. 5 písm. c), musí totiž být subjekty údajů dostatečně obeznámeny s postupy a účely získávání nebo zpřístupnění údajů.

45

S ohledem na znění čl. 14 odst. 5 písm. c) GDPR ve všech jazykových verzích je tedy třeba mít za to, že toto ustanovení musí být chápáno tak, že odkazuje na získávání nebo zpřístupnění osobních údajů.

46

Zadruhé je třeba konstatovat, že znění čl. 14 odst. 5 písm. c) GDPR neomezuje výjimku, kterou stanoví, pouze na osobní údaje získané správcem od jiné osoby než od subjektu údajů, ani nevylučuje údaje, které vytvořil sám správce z takových údajů v rámci plnění svých úkolů.

47

Z toho vyplývá, že osobními údaji, které správce „získával“ ve smyslu uvedeného ustanovení, jsou všechny ty, které správce shromáždil od jiné osoby než od subjektu údajů, a ty, které sám vytvořil v rámci plnění svého úkolu z údajů získaných od jiné osoby než od subjektu údajů.

48

Na druhém místě je třeba poznamenat, že věcná působnost článku 14 GDPR je vymezena negativně ve vztahu k článku 13 tohoto nařízení. Jak vyplývá ze samotného nadpisu těchto ustanovení, tento článek 13 se týká informací poskytovaných v případě, že osobní údaje jsou získány od subjektu údajů, zatímco tento článek 14 se týká informací, které musí být poskytnuty, pokud osobní údaje nebyly získány od subjektu údajů. S ohledem na tuto dichotomii spadají všechny případy, kdy údaje nejsou získány od subjektu údajů, do věcné působnosti uvedeného článku 14.

49

Z výkladu článku 13 ve spojení s článkem 14 GDPR tudíž vyplývá, že jak osobní údaje získané správcem od jiné osoby než od subjektu údajů, tak údaje vytvořené samotným správcem, které ze své povahy rovněž nebyly získány od subjektu údajů, spadají do působnosti tohoto článku 14. Z toho vyplývá, že výjimka stanovená v uvedeném čl. 14 odst. 5 písm. c) se vztahuje na obě tyto kategorie údajů.

50

Na třetím místě je třeba čl. 14 odst. 5 písm. c) GDPR vykládat v souladu s cílem sledovaným tímto nařízením, který spočívá, jak vyplývá z jeho článku 1 ves pojení s body 1 a 10 jeho odůvodnění, zejména v zajištění vysoké úrovně ochrany základních práv a svobod fyzických osob, zejména jejich práva na soukromí v souvislosti se zpracováním osobních údajů, zakotveného v čl. 8 odst. 1 Listiny základních práv a v čl. 16 odst. 1 SFEU (v tomto smyslu viz rozsudek ze dne 7. března 2024, IAB Europe,C‑604/22, EU:C:2024:214, bod 53 a citovaná judikatura).

51

V tomto ohledu z bodu 63 odůvodnění GDPR vyplývá, že unijní normotvůrce chtěl, aby subjekt údajů ve smyslu tohoto nařízení měl právo na přístup ke shromážděným osobním údajům, které se ho týkají, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost.

52

Správce tak může být zproštěn své informační povinnosti, kterou obvykle má vůči subjektu údajů, za podmínky, že tento subjekt je schopen vykonávat kontrolu nad svými osobními údaji a uplatňovat práva, která mu GDPR přiznává.

53

V souladu s cílem sledovaným tímto nařízením výjimka z povinnosti informovat subjekt údajů stanovená v čl. 14 odst. 5 písm. c) GDPR vyžaduje, aby získávání nebo zpřístupnění osobních údajů správcem bylo výslovně stanoveno unijním právem nebo právem členského státu, které se na tohoto správce vztahuje. Kromě toho musí toto právo stanovit vhodná opatření na ochranu oprávněných zájmů subjektu údajů.

54

Z toho vyplývá, že aby bylo použití čl. 14 odst. 5 písm. c) GDPR plně v souladu s cílem sledovaným tímto nařízením, musí být důsledně dodrženy podmínky stanovené v tomto ustanovení, zejména úroveň ochrany subjektu údajů musí být přinejmenším rovnocenná úrovni zaručené v čl. 14 odst. 1 až 4 uvedeného nařízení.

55

S ohledem na výše uvedené důvody je třeba na první otázku odpovědět tak, že čl. 14 odst. 5 písm. c) GDPR musí být vykládán v tom smyslu, že výjimka z povinnosti správce informovat subjekt údajů stanovená v tomto ustanovení se týká bez rozdílu všech osobních údajů, které správce nezíská přímo od subjektu údajů, bez ohledu na to, zda tyto údaje správce získal od jiné osoby než od subjektu údajů, nebo zda je správce vytvořil sám v rámci plnění svých úkolů.

56

Podstatou druhé a třetí otázky předkládajícího soudu, které je třeba posoudit společně, je, zda musí být čl. 14 odst. 5 písm. c) a čl. 77 odst. 1 GDPR vykládány v tom smyslu, že v rámci řízení o stížnosti má dozorový úřad pravomoc ověřit, zda právo členského státu, které se na správce vztahuje, stanoví vhodná opatření na ochranu oprávněných zájmů subjektu údajů pro účely uplatnění výjimky stanovené v tomto čl. 14 odst. 5 písm. c), a pokud ano, zda se toto ověření týká rovněž vhodnosti opatření, která je správce povinen provést podle článku 32 tohoto nařízení, aby zajistil zabezpečení zpracování osobních údajů.

57

Na prvním místě je třeba připomenout, že podle čl. 77 odst. 1 GDPR platí, že aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, pokud se domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.

58

Pokud jde o pravomoc dozorových úřadů, čl. 55 odst. 1 uvedeného nařízení stanoví, že každý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením.

59

Pokud jde o tyto úkoly, čl. 57 odst. 1 písm. a) GDPR stanoví, že každý dozorový úřad na svém území monitoruje a vymáhá uplatňování tohoto nařízení.

60

GDPR neobsahuje žádné ustanovení, které by mohlo vyjmout některé aspekty uplatňování výjimky stanovené v čl. 14 odst. 5 písm. c) tohoto nařízení z pravomoci těchto dozorových úřadů.

61

Podle tohoto ustanovení je správce zproštěn povinnosti poskytnout subjektu údajů informace uvedené v čl. 14 odst. 1, 2 a 4 GDPR, pokud je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje, a pokud toto právo stanoví vhodná opatření na ochranu oprávněných zájmů subjektu údajů.

62

Stížnost podle čl. 77 odst. 1 GDPR tedy může být založena na porušení informační povinnosti ze strany správce, které vychází z nedodržení podmínek pro uplatnění výjimky stanovené v čl. 14 odst. 5 písm. c) tohoto nařízení.

63

Pokud jde o první podmínku připomenutou v bodě 61 tohoto rozsudku, dozorový úřad, k němuž byla taková stížnost podána, může být nucen ověřit, zda unijní nebo vnitrostátní právo stanoví, že správce musí získat nebo zpřístupnit osobní údaje.

64

Pokud jde o druhou podmínku, je třeba konstatovat, podobně jako to učinila generální advokátka v bodech 67 a 69 svého stanoviska, že rozsah výrazu „vhodná opatření na ochranu oprávněných zájmů subjektu údajů“ není v GDPR upřesněn. Ustanovení unijního práva nebo práva členského státu, která stanoví taková opatření a která se vztahují na správce, však musí zajistit, jak je uvedeno v bodě 54 tohoto rozsudku, úroveň ochrany subjektu údajů v souvislosti se zpracováním jeho osobních údajů, která je přinejmenším rovnocenná úrovni ochrany stanovené v čl. 14 odst. 1 až 4 tohoto nařízení. Tato ustanovení tak musí být takové povahy, aby umožnila subjektu údajů vykonávat kontrolu nad jeho osobními údaji a uplatňovat práva, která mu přiznává GDPR.

65

Za tímto účelem je zejména důležité, aby uvedená ustanovení jasně a srozumitelně uváděla zdroj, ze kterého subjekt údajů získá informace o zpracování svých osobních údajů.

66

V souvislosti s předáváním osobních údajů mezi subjekty členského státu a vytvářením takových údajů správcem na základě údajů získaných od jiné osoby, než je subjekt údajů, je třeba uvést, že v případě stížnosti ze strany tohoto subjektu je na dozorovém úřadu, aby zejména ověřil, zda relevantní vnitrostátní právo nebo unijní právo dostatečně přesně vymezuje různé druhy osobních údajů, které mají být získávány nebo zpřístupněny, jakož i osobní údaje, které musí vytvářet v rámci plnění svých úkolů, a zda toto právo stanoví, jakým způsobem má subjekt údajů účinný přístup k informacím uvedeným v čl. 14 odst. 1, 2 a 4 GDPR.

67

Jak zdůrazňuje Komise ve svém písemném vyjádření, ověřování ze strany dozorového úřadu otázky, zda jsou splněny všechny podmínky pro uplatnění výjimky stanovené v čl. 14 odst. 5 písm. c) GDPR, však nezahrnuje zkoumání platnosti příslušných ustanovení vnitrostátního práva. Tento orgán se vyjadřuje pouze k otázce, zda je v daném případě správce oprávněn uplatnit vůči subjektu údajů výjimku stanovenou v tomto ustanovení.

68

Pokud jde o výsledek takového ověření, je třeba připomenout, že podle článku 78 tohoto nařízení platí, že pokud dozorový úřad v konkrétním případě rozhodne, že stížnost subjektu údajů není opodstatněná, musí mít tento subjekt ve svém členském státě právo na účinnou soudní ochranu proti tomuto zamítavému rozhodnutí.

69

Naproti tomu, pokud má tento orgán za to, že stížnost je opodstatněná a nejsou splněny podmínky pro uplatnění výjimky stanovené v čl. 14 odst. 5 písm. c) uvedeného nařízení, uloží správci, aby v souladu s čl. 14 odst. 1, 2 a 4 téhož nařízení poskytl subjektu údajů informace.

70

Na druhém místě, pokud jde o otázku, zda se toto ověření musí týkat rovněž vhodnosti opatření, která je správce povinen provést, aby zajistil zabezpečení zpracování, s ohledem na článek 32 GDPR, je třeba zdůraznit, že čl. 14 odst. 5 písm. c) tohoto nařízení stanoví výjimku pouze z informační povinnosti stanovené v čl. 14 odst. 1, 2 a 4 uvedeného nařízení, aniž stanoví výjimku z povinností obsažených v jiných ustanoveních téhož nařízení, mezi něž patří článek 32 GDPR.

71

Tento článek 32 ukládá správci a jeho případnému zpracovateli povinnost provést vhodná technická a organizační opatření, aby zajistili odpovídající úroveň zabezpečení osobních údajů. Vhodnost takových opatření musí být posouzena konkrétně s přihlédnutím k rizikům plynoucím z tohoto zpracování, a s posouzením, zda povaha, obsah a provádění těchto opatření jsou přizpůsobeny těmto rizikům (v tomto smyslu viz rozsudky ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 42, 46 a 47, jakož i ze dne 25. ledna 2024, MediaMarktSaturn,C‑687/21, EU:C:2024:72, body 37 a 38).

72

S ohledem na znění těchto dvou ustanovení je třeba uvést, že povinnosti zakotvené v článku 32 GDPR, které musí být splněny v každém případě a nezávisle na existenci či neexistenci informační povinnosti podle článku 14 tohoto nařízení, mají odlišnou povahu a rozsah ve srovnání s informační povinností stanovenou v tomto článku 14.

73

V případě stížnosti na základě čl. 77 odst. 1 GDPR z důvodu, že se správce nesprávně dovolával výjimky stanovené v čl. 14 odst. 5 písm. c) tohoto nařízení, je předmět ověření, které má provést dozorový úřad, vymezen pouze oblastí působnosti článku 14 uvedeného nařízení, přičemž dodržení článku 32 tohoto nařízení není součástí tohoto ověření.

74

S ohledem na výše uvedené důvody je třeba na druhou a třetí otázku odpovědět tak, že čl. 14 odst. 5 písm. c) a čl. 77 odst. 1 GDPR musí být vykládány v tom smyslu, že v rámci řízení o stížnosti má dozorový úřad pravomoc ověřit, zda právo členského státu, které se na správce vztahuje, stanoví vhodná opatření na ochranu oprávněných zájmů subjektu údajů pro účely uplatnění výjimky stanovené v tomto čl. 14 odst. 5 písm. c). Toto ověření se však netýká vhodnosti opatření, která je správce povinen provést podle článku 32 tohoto nařízení, aby zajistil zabezpečení zpracování osobních údajů.

75

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (třetí senát) rozhodl takto: