DOMSTOLENS DOM (Tredje Afdeling)

28. november 2024 ( *1 )

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af sådanne oplysninger – forordning (EU) 2016/679 – oplysninger, der er blevet behandlet i forbindelse med udstedelse af et covid-19-certifikat – oplysninger, der ikke er indsamlet hos den registrerede – oplysningspligt – undtagelse fra oplysningspligten – artikel 14, stk. 5, litra c) – oplysninger, der genereres i forbindelse med den dataansvarliges behandling – ret til at indgive klage – tilsynsmyndighedens kompetence – artikel 77, stk. 1 – passende foranstaltninger til beskyttelse af den registreredes legitime interesser fastsat i medlemsstatens nationale ret, som den dataansvarlige er underlagt – foranstaltninger vedrørende behandlingssikkerhed – artikel 32«

I sag C-169/23 [Másdi] ( i ),

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Kúria (øverste domstol, Ungarn) ved afgørelse af 8. februar 2023, indgået til Domstolen den 17. marts 2023, i sagen

Nemzeti Adatvédelmi és Információszabadság Hatóság

mod

UC,

har

DOMSTOLEN (Tredje Afdeling),

sammensat af formanden for Anden Afdeling, K. Jürimäe, som fungerende formand for Tredje Afdeling, Domstolens præsident, K. Lenaerts, som fungerende dommer i Tredje Afdeling, og dommerne N. Jääskinen, M. Gavalec (refererende dommer) og N. Piçarra,

generaladvokat: L. Medina,

justitssekretær: A. Calot Escobar,

på grundlag af den skriftlige forhandling,

efter at der er afgivet indlæg af:

–	Nemzeti Adatvédelmi és Információszabadság Hatóság ved ügyvéd G.J. Dudás,

–	UC ved ügyvédek D. Karsai og V. Łuszcz,

–	den ungarske regering ved Zs. Biró-Tóth og M.Z. Fehér, som befuldmægtigede,

–	den tjekkiske regering ved L. Březinová, M. Smolek og J. Vláčil, som befuldmægtigede,

–	Europa-Kommissionen ved A. Bouchagiar, C. Kovács og H. Kranenborg, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 6. juni 2024,

afsagt følgende

Dom

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 14, stk. 1, artikel 14, stk. 5, litra c), artikel 32 og artikel 77, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

Anmodningen er blevet indgivet i forbindelse med en tvist mellem Nemzeti Adatvédelmi és Információszabadság Hatóság (national myndighed for databeskyttelse og informationsfrihed, Ungarn) (herefter »den nationale myndighed«) og UC vedrørende spørgsmålet, om der består en oplysningspligt vedrørende behandling af personoplysninger for Budapest Főváros Kormányhivatala (regeringskontoret i Budapest, Ungarn) (herefter »udstedelsesmyndigheden«), der er ansvarligt for udstedelse af immunitetscertifikater til personer, der er vaccinerede mod covid-19 eller har haft denne sygdom.

Retsforskrifter

EU-retten

Databeskyttelsesforordningen

1. og 10. samt 61.-63. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»(1)

Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder [...] og i artikel 16, stk. 1, [TEUF] fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

[...]

(10)

For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for [Den Europæiske Union] bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. I forbindelse med behandling af personoplysninger for at overholde en retlig forpligtelse eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør medlemsstaterne kunne opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af denne forordnings bestemmelser. [...]

[...]

(61)

Oplysninger om behandling af personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen fra den registrerede, eller hvis personoplysningerne indhentes fra en anden kilde, inden for en rimelig periode afhængigt af de konkrete omstændigheder. Hvis personoplysninger lovligt kan videregives til en anden modtager, bør den registrerede informeres, når personoplysningerne første gang videregives til modtageren. Hvis den dataansvarlige agter at behandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, bør den dataansvarlige forud for denne viderebehandling give den registrerede oplysninger om dette andet formål og andre nødvendige oplysninger. Hvis den registrerede ikke kan informeres om personoplysningernes oprindelse, fordi der er anvendt forskellige kilder, bør der gives generelle oplysninger.

(62)

Det er imidlertid ikke nødvendigt at pålægge forpligtelsen til at give information, hvis den registrerede allerede er bekendt med oplysningerne, hvis registrering eller videregivelse af personoplysningerne udtrykkelig er fastsat ved lov, eller hvis det viser sig at være umuligt eller vil kræve en uforholdsmæssigt stor indsats at underrette den registrerede. [...]

(63)	En registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en behandlings lovlighed. [...]«

4	Denne forordnings artikel 1 med overskriften »Genstand og formål« bestemmer følgende i stk. 2: »Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.«

Forordningens artikel 4 med overskriften »Definitioner« bestemmer følgende:

»I denne forordning forstås ved:

1)	»personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«) [...]

»behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[...]

7)	»dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger [...]

[...]«

Databeskyttelsesforordningens artikel 6 med overskriften »Lovlig behandling« bestemmer følgende i stk. 1:

»Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

[...]

c)	Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

[...]

e)	Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

[...]«

Forordningens artikel 9, der har overskriften »Behandling af særlige kategorier af personoplysninger«, bestemmer følgende i stk. 1 og 2:

»1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:

[...]

Behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder for sundhedspleje og lægemidler eller medicinsk udstyr på grundlag af EU-retten eller medlemsstaternes nationale ret, som fastsætter passende og specifikke foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder, navnlig tavshedspligt.

[...]«

8	Databeskyttelsesforordningens kapitel III med overskriften »Den registreredes rettigheder« omfatter flere afdelinger, herunder afdeling 2 med overskriften »Oplysning og indsigt i personoplysninger«.

9	I denne afdeling 2 findes databeskyttelsesforordningens artikel 13 om »Oplysningspligt ved indsamling af personoplysninger hos den registrerede«, artikel 14 om »Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede«, og artikel 15 om »Den registreredes indsigtsret«.

Forordningens artikel 14 har følgende ordlyd:

»1. Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger:

a)	identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant

b)	kontaktoplysninger for en eventuel databeskyttelsesrådgiver

c)	formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen

d)	de berørte kategorier af personoplysninger

e)	eventuelle modtagere eller kategorier af modtagere af personoplysningerne

f)	hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation [...]

2. Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede:

a)	det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

b)	de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)

c)	retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede og til at gøre indsigelse mod behandling samt retten til dataportabilitet

d)	når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf

e)	retten til at indgive en klage til en tilsynsmyndighed

f)	hvilken kilde personoplysningerne hidrører fra, og eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder

g)	forekomsten af automatiske afgørelser [...]

[...]

4. Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål samt andre relevante yderligere oplysninger, jf. stk. 2.

5. Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:

a)	den registrerede allerede er bekendt med oplysningerne

meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats, navnlig i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål underlagt de betingelser og garantier, der er omhandlet i artikel 89, stk. 1, eller i det omfang den forpligtelse, der er omhandlet i nærværende artikels stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med denne behandling. I sådanne tilfælde træffer den dataansvarlige passende foranstaltninger for at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, herunder ved at gøre oplysningerne offentligt tilgængelige

c)	indsamling eller videregivelse udtrykkelig er fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, eller

d)	personoplysningerne skal forblive fortrolige som følge af tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret, herunder lovbestemt tavshedspligt.«

Databeskyttelsesforordningens artikel 32 med overskriften »Behandlingssikkerhed« har følgende ordlyd:

»1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

a)	pseudonymisering og kryptering af personoplysninger

b)	evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og ‑tjenester

c)	evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d)	en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

3. Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1.

4. Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret.«

12	Samme forordnings artikel 55 med overskriften »Kompetence« bestemmer følgende i stk. 1: »Hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.«

Databeskyttelsesforordningens artikel 57 med overskriften »Opgaver« fastsætter følgende i stk. 1:

»Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:

a)	føre tilsyn med og håndhæve anvendelsen af denne forordning

[...]

c)	i henhold til medlemsstaternes nationale ret rådgive det nationale parlament, regeringen og andre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling

[...]«

Denne forordnings artikel 58 med overskriften »Beføjelser« bestemmer følgende i stk. 3:

»Hver tilsynsmyndighed har alle af følgende godkendelses- og rådgivningsbeføjelser:

[...]

b)	på eget initiativ eller på anmodning at afgive udtalelser til det nationale parlament, medlemsstatens regering eller i overensstemmelse med medlemsstaternes nationale ret til andre institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger

[...]«

Forordningens artikel 77 med overskriften »Ret til at indgive klage til en tilsynsmyndighed« fastsætter følgende i stk. 1:

»Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.«

Databeskyttelsesforordningens artikel 78 med overskriften »Adgang til effektive retsmidler over for en tilsynsmyndighed« har følgende ordlyd:

»1. Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller juridisk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.

2. Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 55 og 56, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage, der er indgivet i henhold til artikel 77, inden for tre måneder.

3. En sag mod en tilsynsmyndighed anlægges ved en domstol i den medlemsstat, hvor tilsynsmyndigheden er etableret.

4. Hvis sag anlægges mod en afgørelse fra en tilsynsmyndighed, der er truffet efter en udtalelse eller en afgørelse fra Databeskyttelsesrådet i forbindelse med sammenhængsmekanismen, fremsender tilsynsmyndigheden denne udtalelse eller afgørelse til domstolen.«

Forordning (EU) 2021/953

Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2021/953 af 14. juni 2021 om en ramme for udstedelse, kontrol og accept af interoperable covid-19-vaccinations-, test- og restitutionscertifikater (EU’s digitale covidcertifikat) for at lette fri bevægelighed under covid-19-pandemien (EUT 2021, L 211, s. 1) med overskriften »Databeskyttelse« fastsatte følgende i stk. 1:

»[Databeskyttelsesforordningen] finder anvendelse på behandling af personoplysninger i forbindelse med gennemførelsen af nærværende forordning.«

Ungarsk ret

§ 2, stk. 1, i koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet (regeringsdekret nr. 60/2021 (II.12.) om immunitetscertifikatet vedrørende coronavirus) af 12. februar 2021 i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »dekret nr. 60/2021«), bestemmer følgende:

»Immunitetsbeviset indeholder:

a)	den pågældende persons navn

b)	den pågældende persons pasnummer, hvis vedkommende har et pas

c)	nummer på den pågældende persons permanente identitetskort, hvis den pågældende person har et sådant

d)	immunitetscertifikatets serienummer

e)	hvis der foreligger et vaccinationsbevis, datoen for vaccinationen

f)	hvis der foreligger bevis for restitution, udløbsdatoen for certifikatets gyldighed

g)	en kode dannet ud fra de i litra a)-f) omhandlede oplysninger, der kan læses optisk ved hjælp af IT-udstyr

følgende angivelser:

ha)	»Dette kort er gyldigt ved fremvisning af et identitetskort eller pas«

hb)	»Kortet kan ikke overdrages«

hc)	»På webstedet koronavirus.gov.hu kan der læses om de rettigheder, der er knyttet til kortet«.«

19	I henhold til § 2, stk. 6 og 7, i dekret nr. 60/2021 udsteder udstedelsesmyndigheden immunitetscertifikatet til alle berettigede fysiske personer, enten ex officio eller efter ansøgning.

Dette dekrets § 3, stk. 3, bestemmer følgende:

»I de i § 2, stk. 6, litra c) og d), nævnte tilfælde indsamler udstedelsesmyndigheden ved automatisk transmission af oplysninger, eventuelt gennem de relevante tjenester i registret for elektronisk lagring af identifikationsoplysninger,

a)	fra operatøren af EESZT-platformen [(Elektronikus Egészségügyi Szolgáltatási Tér (elektronisk platform for sundhedstjenester))]: den pågældende persons socialsikringsnummer, de i § 2, stk. 1, litra e) og g), omhandlede oplysninger samt de i stk. 1 omhandlede oplysninger

b)	fra det organ, der fører registret over personoplysninger og adresser: den pågældende persons navn, nummer eller identifikatorer på den pågældendes pas og permanente identitetskort samt vedkommendes adresse.«

Tvisten i hovedsagen og de præjudicielle spørgsmål

21	UC, der er en fysisk person, har af udstedelsesmyndigheden fået udstedt et immunitetscertifikat som bevis for sin covid-19-vaccination i henhold til dekret nr. 60/2021.

Den 30. april 2021 indledte UC en administrativ procedure vedrørende behandling af personoplysninger om ham, idet han indgav en klage til den nationale myndighed på grundlag af databeskyttelsesforordningens artikel 77, stk. 1, med henblik på at det blev pålagt udstedelsesmyndigheden af bringe sine behandlingsaktiviteter i overensstemmelse med databeskyttelsesforordningens bestemmelser. Sagsøgeren foreholdt bl.a. i sin klage den udstedende myndighed, at den ikke havde udarbejdet og offentliggjort en erklæring om beskyttelse af personoplysninger i forbindelse med udstedelsen af immunitetscertifikater, og gjorde gældende, at der ikke var givet oplysninger om formålet med og retsgrundlaget for behandlingen af disse oplysninger eller om den registreredes rettigheder og om, hvordan disse kunne udøves.

I den procedure, der blev indledt vedrørende denne klage, erklærede den udstedende myndighed, at den udførte sine opgaver i forbindelse med udstedelse af immunitetscertifikater i henhold til § 2 i dekret nr. 60/2021, og at retsgrundlaget for behandlingen af personoplysninger var databeskyttelsesforordningens artikel 6, stk. 1, litra e), og – for så vidt angår behandlingen af særlige kategorier af personoplysninger – denne forordnings artikel 9, stk. 2, litra i).

Udstedelsesmyndigheden anførte desuden, at den indhentede de personoplysninger, som den behandlede, hos et andet organ i overensstemmelse med bestemmelserne i dekret nr. 60/2021. På grundlag heraf konstaterede den, at den i henhold til databeskyttelsesforordningens artikel 14, stk. 5, litra c), ikke havde pligt til at give oplysninger om behandlingen. Den udarbejdede dog den krævede erklæring om beskyttelse af personoplysninger og offentliggjorde den på sit websted.

Ved afgørelse af 15. november 2021 afslog den nationale myndighed UC’s anmodning og fastslog, at udstedelsesmyndigheden ikke havde oplysningspligt, eftersom den omhandlede behandling af personoplysninger var omfattet af undtagelsen i henhold til databeskyttelsesforordningens artikel 14, stk. 5, litra c).

Den nationale myndighed fandt navnlig, at dekret nr. 60/2021 udgjorde retsgrundlaget for behandlingen, og at dette dekret udtrykkeligt pålagde udstedelsesmyndigheden at indsamle de omhandlede oplysninger. Ifølge den nationale myndighed var udstedelsesmyndighedens offentliggørelse af oplysningerne om behandlingen af personoplysningerne på sit websted udtryk for god praksis og ikke for en retlig forpligtelse.

Den nationale myndighed undersøgte desuden ex officio, om der var fastsat passende foranstaltninger til beskyttelse af den registreredes legitime interesser som omhandlet i databeskyttelsesforordningens artikel 14, stk. 5, litra c), andet sætningsled, og fandt, at bestemmelserne i artikel 2, 3 og 5-7 i dekret nr. 60/2021 skulle anses for at være sådanne foranstaltninger.

28	UC påklagede denne afgørelse til Fővárosi Törvényszék (retten i første instans i Budapest, Ungarn), som annullerede afgørelsen og pålagde den nationale myndighed at indlede en ny procedure.

Retten i første instans fastslog i sin dom, at undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra c), ikke fandt anvendelse, eftersom visse personoplysninger, der blev tilvejebragt i forbindelse med immunitetscertifikaterne, ikke blev indhentet af den dataansvarlige hos et andet organ, men genereret af den dataansvarlige selv i forbindelse med dennes udførelse af sine opgaver. Dette var ifølge retten tilfældet med immunitetscertifikatets serienummer, udløbsdatoen for certifikater udstedt til personer, der havde haft sygdommen, QR-koden på kortet, stregkoderne og de andre alfanumeriske koder, der fremgik af følgeskrivelsen til certifikatet, samt de personoplysninger, der blev genereret under den dataansvarliges sagsforvaltningsproces. Efter samme rets opfattelse kunne kun personoplysninger, der var indhentet hos et andet organ, være omfattet af undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra c).

30	Den nationale myndighed har iværksat et særligt retsmiddel til prøvelse af denne dom ved Kúria (øverste domstol, Ungarn), som er den forelæggende ret.

Det er på denne baggrund, at den forelæggende ret først ønsker oplyst, om den undtagelse, der er fastsat i databeskyttelsesforordningens artikel 14, stk. 5, litra c), kan finde anvendelse på alle behandlinger af personoplysninger med undtagelse af dem, der vedrører personoplysninger, som er indsamlet hos den registrerede.

I bekræftende fald ønsker den forelæggende ret oplyst, om tilsynsmyndigheden i forbindelse med en klageprocedure i henhold til databeskyttelsesforordningens artikel 77, stk. 1, med henblik på at afgøre, om denne undtagelse finder anvendelse, har kompetence til at efterprøve, om den nationale ret, som den dataansvarlige er underlagt, fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser.

Hvis dette er tilfældet, ønsker den forelæggende ret endelig oplyst, om denne efterprøvelse også vedrører spørgsmålet om den passende karakter af de foranstaltninger, som den dataansvarlige i henhold til databeskyttelsesforordningens artikel 32 skal gennemføre for at opretholde sikkerheden i forbindelse med behandling af personoplysninger.

Under disse omstændigheder har Kúria (øverste domstol) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)

Skal [databeskyttelsesforordningens] artikel 14, stk. 5, litra c), sammenholdt med artikel 14, stk. 1, og 62. betragtning [hertil], fortolkes således, at undtagelsen i denne forordnings artikel 14, stk. 5, litra c), ikke vedrører oplysninger, der genereres i forbindelse med den dataansvarliges behandling, men udelukkende oplysninger, som den dataansvarlige udtrykkeligt har indhentet fra en anden person?

Såfremt databeskyttelsesforordningens artikel 14, stk. 5, litra c), også finder anvendelse på oplysninger, der genereres i forbindelse med den dataansvarliges behandling, skal retten til at indgive klage til en tilsynsmyndighed, som er fastsat i databeskyttelsesforordningens artikel 77, stk. 1, da fortolkes således, at en fysisk person, der gør gældende, at oplysningspligten ikke er blevet overholdt, i forbindelse med udøvelsen af sin ret til at indgive klage [ligeledes] kan anmode om, at det efterprøves, om lovgivningen i medlemsstaten i overensstemmelse med databeskyttelsesforordningens artikel 14, stk. 5, litra c), fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser?

Såfremt det andet spørgsmål besvares bekræftende, kan databeskyttelsesforordningens artikel 14, stk. 5, litra c), da fortolkes således, at de »passende foranstaltninger«, der er nævnt i denne bestemmelse, indebærer, at den nationale lovgiver (ved lov) skal gennemføre foranstaltningerne med hensyn til oplysningernes sikkerhed, som er fastlagt i databeskyttelsesforordningens artikel 32?«

Den 16. januar 2024 har Domstolen i henhold til artikel 61, stk. 1, i Domstolens procesreglement anmodet de berørte, som er omfattet af artikel 23 i statutten for Den Europæiske Unions Domstol, om at besvare nærmere angivne spørgsmål skriftligt. Sagsøgeren og sagsøgte i hovedsagen, den ungarske og den tjekkiske regering samt Europa-Kommissionen har besvaret disse spørgsmål.

Om de præjudicielle spørgsmål

Det første spørgsmål

Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 14, stk. 5, litra c), skal fortolkes således, at den undtagelse fra den dataansvarliges oplysningspligt over for den registrerede, der er fastsat i denne bestemmelse, udelukkende vedrører de personoplysninger, som den dataansvarlige har indsamlet fra en anden person end den registrerede, eller om den ligeledes vedrører de personoplysninger, som den dataansvarlige selv har genereret i forbindelse med udførelsen af sine opgaver.

37	Databeskyttelsesforordningens artikel 14, stk. 1, 2 og 4, fastsætter, hvilke oplysninger den dataansvarlige skal give den registrerede, jf. forordningens artikel 4, nr. 1), hvis personoplysningerne ikke er indsamlet hos den registrerede.

Samme forordnings artikel 14, stk. 5, fastsætter undtagelser til denne forpligtelse. Blandt disse undtagelser fastsætter stk. 5, litra c), at denne forpligtelse ikke finder anvendelse, hvis og i det omfang indsamling eller videregivelse udtrykkeligt er fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser.

Med henblik på at afgøre, om denne undtagelse omfatter personoplysninger, der er genereret af den dataansvarlige selv i forbindelse med dennes udførelse af sine opgaver, ud fra oplysninger, der er indhentet fra en anden person end den registrerede, skal der i henhold til fast retspraksis ikke blot tages hensyn til ordlyden af den bestemmelse, der fastsætter undtagelsen, men også til den sammenhæng, hvori denne bestemmelse indgår, og til de mål, der forfølges med den ordning, som den er en del af (jf. i denne retning dom af 12.1.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, præmis 32 og den deri nævnte retspraksis).

40	Henset til ordlyden af databeskyttelsesforordningens artikel 14, stk. 5, litra c), skal det i første række afgøres, hvad genstanden for den »indsamling eller videregivelse«, der er omhandlet i denne bestemmelse, er.

Der er nemlig for det første en vis uoverensstemmelse mellem de forskellige sprogversioner af nævnte bestemmelse. I den franske sprogversion af bestemmelsen henvises der til indsamling eller videregivelse af »informations« (information), mens der i den ungarske (»adat«), estiske (»isikuandmed«), kroatiske (»podataka«), litauiske (»duomenų«), nederlandske »gegevens«), portugisiske (»dados«), rumænske (»datelor«) samt svenske (»uppgifter«) sprogversion henvises til indsamling eller videregivelse af »oplysninger«, i den finske sprogversion er anvendt en term (»tietojen«), der både kan henvise til »oplysninger« og »information«, og det endelig i den bulgarske, spanske, tjekkiske, danske, tyske, græske, engelske, italienske, lettiske, maltesiske, polske, slovakiske og slovenske sprogversion ikke er angivet, hvad genstanden for indsamlingen eller videregivelsen er.

Ifølge en lige så fast retspraksis kan den formulering, som er anvendt i én af sprogversionerne af en EU-retlig bestemmelse, ikke tjene som eneste grundlag for bestemmelsens fortolkning eller tillægges større betydning end de øvrige sprogversioner. EU-retlige bestemmelser skal nemlig fortolkes og anvendes ensartet i lyset af de versioner, der er udfærdiget på alle EU’s sprog. I tilfælde af uoverensstemmelse mellem de forskellige sprogversioner af en EU-retsakt skal den pågældende bestemmelse fortolkes på baggrund af den almindelige opbygning af og formålet med den ordning, som den er en del af (dom af 21.3.2024, Cobult, C-76/23, EU:C:2024:253, præmis 25 og den deri nævnte retspraksis).

Hvad angår den generelle opbygning af databeskyttelsesforordningen skal dens artikel 14, stk. 5, læses i lyset af 61. og 62. betragtning hertil, hvori der henvises til dels »personoplysninger[, der er] indhente[t,] [og] personoplysninger[, der videregives]«, samt til »registrering eller videregivelse af personoplysningerne[, der] udtrykkelig er fastsat ved lov«, dels til, at »[o]plysninger [...] [gives]«. Den fortolkning, hvorefter »indsamling eller videregivelse« som omhandlet i databeskyttelsesforordningens artikel 14, stk. 5, litra c), vedrører personoplysninger, bekræftes desuden af den vide rækkevidde af begrebet »behandling« som omhandlet i forordningens artikel 4, nr. 2), der omfatter enhver aktivitet, som personoplysninger gøres til genstand for (jf. i denne retning dom af 5.10.2023, Ministerstvo zdravotnictví (Covid-19-mobilapplikation), C-659/22, EU:C:2023:745, præmis 27 og den deri nævnte retspraksis).

Hvad angår formålet med den ordning, som databeskyttelsesforordningens artikel 14, stk. 5, litra c), er en del af, er det tilstrækkeligt at bemærke, at denne undtagelses ratio legis, i lighed med hvad generaladvokaten har anført i punkt 31 i forslaget til afgørelse, ligger i det forhold, at der ikke er grundlag for oplysningspligten over for den registrerede som fastsat i forordningens artikel 14, stk. 1, 2 og 4, når en anden bestemmelse i EU-retten eller en medlemsstats ret på en tilstrækkeligt fuldstændig og bindende måde pålægger den dataansvarlige at give den registrerede oplysninger om indsamlingen eller videregivelsen af personoplysningerne. I tilfælde, der er omfattet af artikel 14, stk. 5, litra c), skal de registrerede nemlig have et tilstrækkeligt kendskab til de nærmere regler for og formålet med indsamlingen eller videregivelsen af disse oplysninger.

45	Henset til ordlyden af databeskyttelsesforordningens artikel 14, stk. 5, litra c), i samtlige sprogversioner skal det følgelig fastslås, at denne bestemmelse skal forstås således, at den henviser til indsamling eller videregivelse af personoplysninger.

For det andet skal det fastslås, at ordlyden af databeskyttelsesforordningens artikel 14, stk. 5, litra c), ikke begrænser den undtagelse, der er fastsat heri, til alene at omfatte personoplysninger, som den dataansvarlige har indsamlet fra en anden person end den registrerede, og den udelukker heller ikke oplysninger, som den dataansvarlige selv har genereret ud fra sådanne oplysninger i forbindelse med udførelsen af sine opgaver.

Det følger heraf, at personoplysninger, der har været genstand for den dataansvarliges »indsamling« som omhandlet i den nævnte bestemmelse, er alle personoplysninger, som den dataansvarlige indsamler fra andre end den registrerede, og alle personoplysninger, som den dataansvarlige selv har genereret i forbindelse med udførelsen af sine opgaver ud fra oplysninger, der er indhentet fra en anden person end den registrerede.

I anden række bemærkes, at det materielle anvendelsesområde for databeskyttelsesforordningens artikel 14 er defineret negativt i forhold til forordningens artikel 13. Som det fremgår af selve overskrifterne til disse bestemmelser, vedrører artikel 13 de oplysninger, der skal gives ved indsamling af personoplysninger hos den registrerede, mens artikel 14 vedrører de oplysninger, der skal gives, hvis personoplysningerne ikke er indsamlet hos den registrerede. Henset til denne modsætning er alle tilfælde, hvor oplysningerne ikke er indsamlet hos den registrerede, omfattet af det materielle anvendelsesområde for artikel 14.

Det følger derfor af en samlet fortolkning af databeskyttelsesforordningens artikel 13 og 14, at både personoplysninger, som den dataansvarlige har indhentet fra en anden person end den registrerede, og oplysninger, der er genereret af den dataansvarlige selv, og som i sagens natur heller ikke er indhentet fra den registrerede, er omfattet af anvendelsesområdet for artikel 14. Det følger heraf, at den undtagelse, der er fastsat i artikel 14, stk. 5, litra c), omfatter disse to kategorier af oplysninger.

I tredje række skal databeskyttelsesforordningens artikel 14, stk. 5, litra c), fortolkes på en måde, som er i overensstemmelse med det formål, der forfølges med denne forordning, og som – således som det fremgår af forordningens artikel 1, sammenholdt med første og tiende betragtning hertil – bl.a. består i at sikre et højt beskyttelsesniveau for fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til privatliv i forbindelse med behandlingen af personoplysninger, som er fastsat i artikel 8, stk. 1, i chartret om grundlæggende rettigheder og i artikel 16, stk. 1, TEUF (jf. i denne retning dom af 7.3.2024, IAB Europe, C-604/22, EU:C:2024:214, præmis 53 og den deri nævnte retspraksis).

I denne henseende fremgår det af 63. betragtning til databeskyttelsesforordningen, at EU-lovgiver har ønsket, at en registreret som omhandlet i denne forordning har ret til indsigt i personoplysninger, der er indsamlet om vedkommende, med henblik på at få kendskab til behandlingen og kontrollere dens lovlighed.

52	Den dataansvarlige kan således fritages for den oplysningspligt, som normalt påhviler vedkommende over for en registreret, forudsat at den registrerede er i stand til at udøve kontrol med sine personoplysninger og udøve sine rettigheder i henhold til databeskyttelsesforordningen.

I overensstemmelse med det formål, der forfølges med denne forordning, kræver den undtagelse fra oplysningspligten over for den registrerede, der er fastsat i databeskyttelsesforordningens artikel 14, stk. 5, litra c), for det første, at den dataansvarliges indsamling eller videregivelse af personoplysningerne udtrykkeligt er fastsat i EU-ret eller medlemsstaternes nationale ret, som denne dataansvarlige er underlagt. For det andet skal der heri være fastsat passende foranstaltninger til beskyttelse af den registreredes legitime interesser.

Det følger heraf, at hvis anvendelsen af databeskyttelsesforordningens artikel 14, stk. 5, litra c), skal være i fuld overensstemmelse med det formål, der forfølges med denne forordning, skal de betingelser, der er fastsat i denne bestemmelse, overholdes strengt, idet der nemlig bl.a. skal være et beskyttelsesniveau for den registrerede, der mindst svarer til det, der er sikret ved forordningens artikel 14, stk. 1-4.

Henset til ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 14, stk. 5, litra c), skal fortolkes således, at den undtagelse fra den dataansvarliges oplysningspligt over for den registrerede, der er fastsat i denne bestemmelse, uden forskel vedrører alle de personoplysninger, som den dataansvarlige ikke har indsamlet direkte hos den registrerede, uanset om den dataansvarlige har indhentet oplysningerne fra en anden person end den registrerede eller selv har genereret dem i forbindelse med udførelsen af sine opgaver.

Det andet og det tredje spørgsmål

Med det andet og det tredje spørgsmål, der skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 14, stk. 5, litra c), og artikel 77, stk. 1, skal fortolkes således, at tilsynsmyndigheden i forbindelse med en klageprocedure har kompetence til at efterprøve, om den nationale ret i den medlemsstat, som den dataansvarlige er underlagt, fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, med henblik på anvendelsen af den undtagelse, der er fastsat i forordningens artikel 14, stk. 5, litra c), og, hvis dette er tilfældet, om denne efterprøvelse også vedrører spørgsmålet om den passende karakter af de foranstaltninger, som den dataansvarlige i henhold til forordningens artikel 32 skal gennemføre for at opretholde sikkerheden i forbindelse med behandling af personoplysninger.

Det bemærkes for det første, at enhver registreret i henhold til databeskyttelsesforordningens artikel 77, stk. 1, har ret til at indgive klage til en tilsynsmyndighed hvis den pågældende finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning, uden at det berører andre administrative klageadgange eller adgang til retsmidler.

58	Hvad angår tilsynsmyndighedernes kompetence bestemmer forordningens artikel 55, stk. 1, at hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med samme forordning, på sin egen medlemsstats område.

59	Hvad angår disse opgaver bestemmer databeskyttelsesforordningens artikel 57, stk. 1, litra a), at hver tilsynsmyndighed på sit område skal føre tilsyn med og håndhæve anvendelsen af denne forordning.

60	Databeskyttelsesforordningen indeholder ingen bestemmelse, der kan bevirke, at visse aspekter af anvendelsen af den undtagelse, der er fastsat i forordningens artikel 14, stk. 5, litra c), falder uden for disse tilsynsmyndigheders kompetence.

I henhold til denne bestemmelse er den dataansvarlige fritaget for at give den registrerede de oplysninger, der er omhandlet i forordningens artikel 14, stk. 1, 2 og 4, hvis og i det omfang indsamling eller videregivelse af personoplysningerne for det første udtrykkeligt er fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og denne ret for det andet fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser.

62	En klage i henhold til databeskyttelsesforordningens artikel 77, stk. 1, kan derfor støttes på den dataansvarliges tilsidesættelse af oplysningspligten som følge af manglende overholdelse af betingelserne for anvendelse af undtagelsen i forordningens artikel 14, stk. 5, litra c).

63	Hvad angår den første betingelse, der er nævnt i denne doms præmis 61, vil den tilsynsmyndighed, der skal behandle en sådan klage, eventuelt skulle efterprøve, om EU-retten eller national ret fastsætter, at den dataansvarlige skal indhente eller videregive personoplysninger.

Hvad angår den anden betingelse skal det, i lighed med hvad generaladvokaten har anført i punkt 67 og 69 i forslaget til afgørelse, fastslås, at rækkevidden af udtrykket »passende foranstaltninger til beskyttelse af den registreredes legitime interesser« ikke er præciseret i databeskyttelsesforordningen. Når dette er sagt, skal de bestemmelser i EU-retten eller medlemsstaternes nationale ret, som fastsætter sådanne foranstaltninger, og som den dataansvarlige er underlagt, som anført i denne doms præmis 54 sikre et beskyttelsesniveau for den registreredes personoplysninger, der mindst svarer til det, der er fastsat ved forordningens artikel 14, stk. 1-4. Disse bestemmelser skal således kunne sætte den registrerede i stand til at udøve kontrol med sine personoplysninger og udøve sine rettigheder i henhold til databeskyttelsesforordningen.

65	Med henblik herpå er det navnlig vigtigt, at de pågældende bestemmelser klart og forudsigeligt angiver, fra hvilken kilde den registrerede kan få oplysninger om behandlingen af personoplysninger vedrørende vedkommende.

I forbindelse med videregivelse af personoplysninger mellem organer i en medlemsstat og en dataansvarligs generering af sådanne oplysninger ud fra oplysninger, der er indsamlet hos en anden person end den registrerede, bemærkes, at det, såfremt den registrerede indgiver en klage, tilkommer tilsynsmyndigheden at efterprøve, bl.a. om den relevante nationale ret eller EU-ret tilstrækkeligt præcist definerer de forskellige typer personoplysninger, der skal indhentes eller videregives, samt de personoplysninger, tilsynsmyndigheden skal generere i forbindelse med udførelsen af sine opgaver, og om denne ret fastsætter, hvordan den registrerede faktisk har adgang til de oplysninger, der er omhandlet i databeskyttelsesforordningens artikel 14, stk. 1, 2 og 4.

Som Kommissionen har fremhævet i sit skriftlige indlæg, henhører en tilsynsmyndigheds efterprøvelse af, om alle betingelserne for anvendelse af den undtagelse, der er fastsat i databeskyttelsesforordningens artikel 14, stk. 5, litra c), er opfyldt, imidlertid ikke under en undersøgelse af gyldigheden af de relevante bestemmelser i national ret. Tilsynsmyndigheden træffer udelukkende afgørelse om, hvorvidt den dataansvarlige i et konkret tilfælde kan eller ikke kan påberåbe sig undtagelsen i denne bestemmelse over for den registrerede.

Hvad angår resultatet af en sådan efterprøvelse bemærkes, at det følger af denne forordnings artikel 78, at når tilsynsmyndigheden i en given sag træffer afgørelse om, at der ikke er grundlag for den registreredes klage, skal den registrerede i sin medlemsstat have adgang til effektive retsmidler til prøvelse af denne afgørelse om afslag.

Når tilsynsmyndigheden derimod finder, at klagen er velbegrundet, og at betingelserne for anvendelse af den undtagelse, der er fastsat i nævnte forordnings artikel 14, stk. 5, litra c), ikke er opfyldt, pålægger den den dataansvarlige at give oplysninger til den registrerede i overensstemmelse med samme forordnings artikel 14, stk. 1, 2 og 4.

Hvad for det andet angår spørgsmålet om, hvorvidt denne efterprøvelse ligeledes skal vedrøre spørgsmålet om den passende karakter, jf. databeskyttelsesforordningens artikel 32, af de foranstaltninger, som den dataansvarlige skal gennemføre for at sikre behandlingssikkerheden, skal det fremhæves, at forordningens artikel 14, stk. 5, litra c), alene fastsætter en undtagelse fra den i artikel 14, stk. 1, 2 og 4, fastsatte oplysningspligt, men ikke en fravigelse af de forpligtelser, der er indeholdt i andre bestemmelser i samme forordning, herunder forordningens artikel 32.

Forordningens artikel 32 forpligter den dataansvarlige og dennes eventuelle databehandler til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau ved behandlingen af personoplysninger, som er tilstrækkeligt. Spørgsmålet om, hvorvidt de pågældende foranstaltninger er passende, skal vurderes konkret under hensyntagen til de risici, der er forbundet med den pågældende behandling, og idet det vurderes, om arten, indholdet og gennemførelsen af disse foranstaltninger er tilpasset disse risici (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 42, 46 og 47, og af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 37 og 38).

Henset til den respektive ordlyd af disse to bestemmelser skal det bemærkes, at de forpligtelser, der er fastsat i databeskyttelsesforordningens artikel 32, og som altid, og uafhængigt af om der foreligger oplysningspligt i henhold til forordningens artikel 14, skal overholdes, er af en anden karakter og rækkevidde end den oplysningspligt, der er fastsat i denne artikel 14.

Såfremt der indgives en klage i henhold til databeskyttelsesforordningens artikel 77, stk. 1, med den begrundelse, at den dataansvarlige med urette har henvist til den undtagelse, der er fastsat i denne forordnings artikel 14, stk. 5, litra c), er genstanden for tilsynsmyndighedens efterprøvelse således afgrænset af anvendelsesområdet for alene forordningens artikel 14, idet overholdelsen af artikel 32 ikke indgår i denne efterprøvelse.

Henset til ovenstående betragtninger skal det andet og det tredje spørgsmål besvares med, at databeskyttelsesforordningens artikel 14, stk. 5, litra c), og artikel 77, stk. 1, skal fortolkes således, at tilsynsmyndigheden i forbindelse med en klageprocedure har kompetence til at efterprøve, om den nationale ret i den medlemsstat, som den dataansvarlige er underlagt, fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, med henblik på anvendelsen af den undtagelse, der er fastsat i forordningens artikel 14, stk. 5, litra c). Denne efterprøvelse vedrører dog ikke spørgsmålet om den passende karakter af de foranstaltninger, som den dataansvarlige i henhold til forordningens artikel 32 skal gennemføre for at opretholde sikkerheden i forbindelse med behandling af personoplysninger.

Sagsomkostninger

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

Artikel 14, stk. 5, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

den undtagelse fra den dataansvarliges oplysningspligt over for den registrerede, der er fastsat i denne bestemmelse, uden forskel vedrører alle de personoplysninger, som den dataansvarlige ikke har indsamlet direkte hos den registrerede, uanset om den dataansvarlige har indhentet oplysningerne fra en anden person end den registrerede eller selv har genereret dem i forbindelse med udførelsen af sine opgaver.

Artikel 14, stk. 5, litra c), og artikel 77, stk. 1, i forordning 2016/679

skal fortolkes således, at

tilsynsmyndigheden i forbindelse med en klageprocedure har kompetence til at efterprøve, om den nationale ret i den medlemsstat, som den dataansvarlige er underlagt, fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, med henblik på anvendelsen af den undtagelse, der er fastsat i forordningens artikel 14, stk. 5, litra c). Denne efterprøvelse vedrører dog ikke spørgsmålet om den passende karakter af de foranstaltninger, som den dataansvarlige i henhold til forordningens artikel 32 skal gennemføre for at opretholde sikkerheden i forbindelse med behandling af personoplysninger.

Underskrifter

( *1 ) – Processprog: ungarsk.

( i ) – Den foreliggende sags navn er et vedtaget navn. Det svarer ikke til et navn på en part i sagen.