EUROOPA KOHTU OTSUS (kaheksas koda)

5. oktoober 2023 ( *1 )

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 4 punkt 2 – Mõiste „isikuandmete töötlemine“ – Mobiilirakendus – Määruse (EL) 2021/953 alusel väljastatud ELi digitaalsete COVID‑tõendite kehtivuse kontrollimine

Kohtuasjas C‑659/22,

mille ese on ELTL artikli 267 alusel Nejvyšší správní soudi (Tšehhi Vabariigi kõrgeim halduskohus) 12. oktoobri 2022. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 20. oktoobril 2022, menetluses

RK

versus

Ministerstvo zdravotnictví,

EUROOPA KOHUS (kaheksas koda),

koosseisus: koja president M. Safjan ning kohtunikud N. Piçarra ja M. Gavalec (ettekandja),

kohtujurist: L. Medina,

kohtusekretär: A. Calot Escobar,

arvestades kirjalikku menetlust,

arvestades seisukohti, mille esitasid:

RK, esindaja: advokátka D. Sudolská,

Tšehhi valitsus, esindajad: M. Smolek, O. Serdula ja J. Vláčil,

Madalmaade valitsus, esindajad: M. K. Bulterman ja A. Hanje,

Euroopa Komisjon, esindajad: A. Bouchagiar, H. Kranenborg ja P. Ondrůšek,

arvestades pärast kohtujuristi ärakuulamist tehtud otsust lahendada kohtuasi ilma kohtujuristi ettepanekuta,

on teinud järgmise

otsuse

1

Eelotsusetaotlus käsitleb Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 2 lõike 1 ja artikli 4 punkti 2 tõlgendamist.

2

Taotlus on esitatud RK ja Ministerstvo Zdravotnictví (Tšehhi Vabariigi tervishoiuministeerium, edaspidi „ministeerium“) vahelises kohtuvaidluses erakorralise meetme üle, millega ministeerium reguleeris isikute pääsu teatavatesse kohtadesse ja teatavatele üritustele, et kaitsta elanikkonda COVID‑19 epideemia leviku eest.

Õiguslik raamistik

Isikuandmete kaitse üldmäärus

3

Isikuandmete kaitse üldmääruse põhjenduses 1 on märgitud, et „[f]üüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta […] artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu […] artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele“.

4

Nimetatud määruse artikli 2 „Sisuline kohaldamisala“ lõikes 1 on ette nähtud:

„Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.“ Sama artikli lõikes 2 on loetletud neli juhtumit, mil isikuandmete kaitse üldmäärust ei kohaldata isikuandmete töötlemise suhtes.“

5

Nimetatud artikli lõikes 2 on loetletud neli olukorda, mille korral isikuandmete kaitse üldmäärust „[isikuandmete töötlemisele] ei kohaldata“.

6

Kõnealuse määruse artiklis 4 on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1)

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2)

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]“.

7

Sama määruse artiklid 5 ja 6 käsitlevad vastavalt „[i]sikuandmete töötlemise põhimõtteid“ ja „[i]sikuandmete töötlemise seaduslikkust“.

Määrus (EL) 2021/953

8

Euroopa Parlamendi ja nõukogu 14. juuni 2021. aasta määruse (EL) 2021/953, millega kehtestatakse koostalitlusvõimeliste COVID‑19 vaktsineerimis-, testimis- ja läbipõdemistõendite (ELi digitaalne COVID-tõend) väljaandmise, kontrollimise ja aktsepteerimise raamistik, et hõlbustada vaba liikumist COVID‑19 pandeemia ajal (ELT 2021, L 211, lk 1), põhjenduses 48 on märgitud:

„Käesoleva määruse rakendamisel kohaldatakse [isikuandmete kaitse üldmäärust]. Käesoleva määrusega luuakse õiguslik alus isikuandmete töötlemiseks [isikuandmete kaitse üldmääruse] artikli 6 lõike 1 punkti c ja artikli 9 lõike 2 punkti g tähenduses, mis on vajalik käesolevas määruses sätestatud koostalitlusvõimeliste tõendite väljastamise ja kontrollimise eesmärgil. […] Liikmesriigid võivad töödelda selliseid isikuandmeid muul põhjusel, kui õiguslik alus selliste isikuandmete töötlemiseks muul põhjusel, sealhulgas sellega seotud säilitamistähtajad, on sätestatud liikmesriigi õiguses, mis peab olema kooskõlas liidu andmekaitseõigusega ning tulemuslikkuse, vajalikkuse ja proportsionaalsuse põhimõttega ja peaks sisaldama sätteid, milles on selgelt kindlaks määratud töötlemise ulatus ja määr, konkreetne eesmärk, üksuste kategooriad, kes võivad tõendit kontrollida, samuti asjakohased kaitsemeetmed diskrimineerimise ja kuritarvitamise vältimiseks, võttes arvesse ohtu andmesubjektide õigustele ja vabadustele. […]“.

9

Määruse artiklis 1 „Reguleerimisese“ on sätestatud:

„Käesoleva määrusega kehtestatakse COVID‑19 vastu vaktsineerimist, testimist ja läbipõdemist kinnitavate koostalitlusvõimeliste tõendite (ELi digitaalne COVID‑tõend) väljaandmise, kontrollimise ja aktsepteerimise raamistik, eesmärgiga hõlbustada tõendi omajale vaba liikumise õiguse kasutamist COVID‑19 pandeemia ajal. Käesolev määrus aitab samuti hõlbustada SARS‑CoV‑2 leviku piiramiseks kooskõlas liidu õigusega liikmesriikide kehtestatud vaba liikumise piirangute järkjärgulist kaotamist kooskõlastatud viisil.

Käesolevas määruses sätestatakse õiguslik alus tõendite väljaandmiseks vajalike isikuandmete töötlemiseks ning tõendite ehtsuse ja kehtivuse kontrollimiseks ja kinnitamiseks vajaliku teabe töötlemiseks täielikus kooskõlas [isikuandmete kaitse üldmäärusega].“

10

Selle määruse artikli 3 „ELi digitaalne COVID-tõend“ lõikes 1 on sätestatud, et ELi digitaalse COVID-tõendi raamistik võimaldab vaktsineerimistõendeid, testimistõendeid ja läbipõdemistõendeid välja anda ning piiriüleselt kontrollida ja aktsepteerida. Lisaks on selle artikli lõikes 2 ette nähtud, et

„[l]iikmesriigid või nende nimel tegutsevad määratud asutused annavad käesoleva artikli lõikes 1 osutatud tõendid välja digitaalsena või paberil või mõlemal kujul. Tulevastel tõendi omajatel on õigus saada tõendeid nende valitud vormingus. Tõendid peavad olema kasutajasõbralikud ja sisaldama koostalitlusvõimelist vöötkoodi, mis võimaldab kontrollida tõendi ehtsust, kehtivust ja terviklust. Vöötkood peab vastama artikli 9 kohaselt kehtestatud tehnilistele spetsifikatsioonidele. Tõendites sisalduv teave esitatakse ka inimloetaval kujul ning see peab olema vähemalt tõendi väljastanud liikmesriigi ametlikus keeles või ametlikes keeltes ja inglise keeles.“

11

Nimetatud määruse artikli 5 lõike 2 punktis a, artikli 6 lõike 2 punktis a ja artikli 7 lõike 2 punktis a on ette nähtud, et vaktsineerimistõend, testimistõend ja läbipõdemistõend peavad sisaldama tõendi omaniku isikuandmeid.

12

Sama määruse artikli 10 „Isikuandmete kaitse“ neljas esimeses lõikes on ette nähtud:

„1.   Käesoleva määruse rakendamisel toimuva isikuandmete töötlemise suhtes kohaldatakse [isikuandmete kaitse üldmäärust].

2.   Käesoleva määruse kohaldamisel töödeldakse käesoleva määruse kohaselt välja antud tõendites sisalduvaid isikuandmeid üksnes tõendile kantud teabele juurdepääsuks ja selle kontrollimiseks, et hõlbustada vaba liikumise õiguse kasutamist liidus COVID‑19 pandeemia ajal. Käesoleva määruse kohaldamisaja lõppedes lõpeb ka isikuandmete töötlemine.

3.   Artikli 3 lõikes 1 osutatud tõenditele kantud isikuandmeid töötlevad siht- või transiitliikmesriigi pädevad asutused või piiriülese reisijateveo teenuse osutajad, kes peavad riigisisese õiguse kohaselt COVID‑19 pandeemia ajal rakendama teatavaid rahvatervisealaseid meetmeid, üksnes selleks, et kontrollida ja kinnitada tõendi omaja vaktsineerimisstaatust, testi tulemust või läbipõdemist. Sel eesmärgil piirduvad isikuandmed rangelt vajalikuga. Käesoleva lõike kohaselt töödeldud isikuandmeid ei säilitata.

4.   Tõendi väljaandja ei säilita artikli 3 lõikes 1 osutatud tõendite väljaandmiseks, sealhulgas uue tõendi väljaandmiseks töödeldavaid isikuandmeid kauem, kui on tingimata vaja selle eesmärgi saavutamiseks, ning mitte ühelgi juhul kauem kui ajavahemik, mille jooksul tõendeid võib kasutada vaba liikumise õiguse kasutamiseks.“

Põhikohtuasi ja eelotsuse küsimus

13

Ministeerium kehtestas 29. detsembri 2021. aasta erakorralise meetmega (edaspidi „erakorraline meede“), mis võeti selleks, et kaitsta elanikkonda COVID‑19 pandeemia leviku laienemise eest, alates 3. jaanuarist 2022 mitmesugused tingimused isikute pääsuks teatavatesse sise- ja välisruumidesse ning isikute osalemiseks massiüritustel või muudes tegevustes. Muu hulgas nõuti esiteks SARS‑CoV‑2 viiruse esinemise tuvastamiseks alla 18‑aastaste isikute puhul, isikute puhul, kes ei saanud vastunäidustuse tõttu vaktsineerida COVID‑19 vastu, ja isikute puhul, kes ei olnud läbinud täielikku vaktsineerimiskuuri, viimase 72 tunni jooksul tehtud negatiivset RT‑PCR testi, või teiseks vähemalt 14 päeva möödumist täieliku vaktsineerimiskuuri läbimisest heakskiidetud ravimiga või kolmandaks laboratoorselt kinnitatud nakatumisest COVID‑19-ga, kui isolatsiooniperiood oli lõppenud ja esimesest positiivsest testist ei olnud möödunud rohkem kui 180 päeva (edaspidi „nn nakkuse puudumise tingimused“).

14

Erakorraline meede kohustas kliente (vaatajaid, osalejaid) esitama tõendi nende tingimuste täidetuse kohta ja haldajaid (korraldajaid) kontrollima tingimuste täidetust ministeeriumi mobiilirakenduse čTečka abil. Kui klient ei tõendanud, et tema puhul on need tingimused täidetud, oli haldajal keelatud talle teenust osutada ja teda ruumi või üritusele lubada. Erakorralise meetme kohaselt võimaldas see rakendus usaldusväärselt kontrollida QR‑koodi sisaldava tõendava dokumendi autentsust ja kehtivust.

15

Selleks, et lahendada RK 20. jaanuaril 2022 esitatud kaebus erakorralise meetme tühistamiseks, peab Nejvyšší správní soud (Tšehhi Vabariigi kõrgeim halduskohus), kes on eelotsusetaotluse esitanud kohus, vajalikuks kõigepealt analüüsida, kas nn nakkuse puudumise tingimuste jälgimine rakenduse čTečka abil kujutab endast isikuandmete automatiseeritud töötlemist isikuandmete kaitse üldmääruse artikli 4 lõike 2 tähenduses, kuna see kohus leiab, et ELi digitaalsetes tõendites sisalduv teave on isikuandmed selle määruse artikli 4 lõike 1 tähenduses. Jaatava vastuse korral oleks see määrus kohaldatav vastavalt selle artikli 2 lõikele 1.

16

Eelotsusetaotluse esitanud kohus täpsustab, et rakendus čTečka on mõeldud määruse 2021/953 alusel välja antud ELi digitaalsete COVID-tõendite kontrollimiseks ja nende kehtivuses veendumiseks. See rakendus skaneerib tõendi QR‑koodi kontrolli teostava isiku mobiiltelefoni kaamera abil. Kontrolli läbiviimise eest vastutav isik saab seeläbi ülevaate tõendi omaniku põhilistest isikuandmetest (perekonnanimi, eesnimi ja sünnikuupäev) ning sellest, kas tõend on kehtiv või kehtetu. Kontrollija saab rakenduse teatud nupule vajutades tutvuda kogu selles tõendis sisalduva teabega, nagu vaktsineerimine, vaktsiini tüüp, vaktsiini tootja, manustatud dooside arv, vaktsineerimise kuupäev, esimese positiivse tulemuse kuupäev ja tõendi väljaandja. Rakendus čTečka piirdub nende andmete ajutise kuvamisega kontrolli teostamise eest vastutava isiku mobiiltelefoni ekraanil, nõnda et neid andmeid ei säilitata ega edastata.

17

See kohus märgib, et ELi digitaalse COVID-tõendi kehtivuse kontrollimiseks laadib see rakendus iga 24 tunni järel või käsu alusel ministeeriumi liidesest alla liikmesriikide tõendite avalikud võtmed ja liikmesriikide valideerimisreeglid. See protsess võib toimuda ka veebiühenduseta. Rakenduse installimisel kuvatakse kontrolli teostamise eest vastutava isiku mobiiltelefoni tekst, mis ütleb, et „rakendust čTečka hallatakse vastavalt liidu õigusele ja Tšehhi Vabariigi õigusele ning see hõlbustab COVID‑19 pandeemia ajal isikute vaba liikumist ja võimalust kasutada teenuseid ning pääseda üritustele. Rakendus töötleb liidu liikmesriikide digitaalsetesse COVID-tõenditesse kantud isikuandmeid, et volitatud isikud saaksid neid kontrollida liidu õiguse, [ministeeriumi] erakorraliste meetmete või vabatahtlikkuse alusel. Rakenduses ei säilitata ega edastata kontrollitud isikute isikuandmeid ja terviseandmeid. Üksikasjalik teave isikuandmete töötlemise kohta on kirjas kasutustingimustes“.

18

Eelotsusetaotluse esitanud kohus märgib lisaks, et määruse 2021/953 artikli 3 lõike 2 kohaselt peab liikmesriigi väljastatud tõend sisaldama koostalitlusvõimelist vöötkoodi, mis võimaldab kontrollida tõendi ehtsust, kehtivust ja terviklust. Ta märgib, et käesoleva kohtuotsuse punktis 16 nimetatud isikuandmete teisendamine masinloetavast vormingust inimesele loetavaks vorminguks toimub automatiseeritud protsessi, nimelt rakenduse čTečka abil, see aga võib olla iseloomulik isikuandmete töötlemisele isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses.

19

Eelotsusetaotluse esitanud kohus kahtleb siiski, kas see lihtne teisendus ja nende andmete kuvamine mobiiltelefonis kujutavad endast „töötlemist“ selle sätte tähenduses, seda enam, et need kaks toimingut ei saa kaasa tuua isikuandmete kuritarvitamist või ärakasutamist ega õiguse nende andmete kaitsele rikkumist, kuna rakendus ei edasta sel viisil saadud andmeid.

20

Teisalt leiab eelotsusetaotluse esitanud kohus, et tõendi kehtivuse kontrollimist rakenduse čTečka abil võib pidada ka isikuandmete töötlemiseks, kuivõrd selle toimingu käigus kasutatakse selles tõendis sisalduvaid isikuandmeid, mis on seotud kontrollitava isiku tervisega. Selleks, et hinnata, kas tõend on kehtiv või mitte, ja teha kindlaks, kas andmesubjekt vastab erakorralises meetmes ette nähtud nn nakkuse puudumise tingimustele, peab rakendus nimelt tingimata võrdlema selle isiku tervist käsitlevat teavet, näiteks vaktsineerimise kuupäeva, sel ajahetkel kehtivate valideerimisreeglitega.

21

Viimaks leiab eelotsusetaotluse esitanud kohus, et isikuandmete töötlemiseks võib pidada nende protsesside kombinatsiooni, mis toimuvad sertifikaatide kontrollimisel rakenduse čTečka poolt, nimelt isikuandmete teisendamist QR‑koodist inimese jaoks loetavasse vormi, nende kuvamist mobiiltelefonis, nende lugemist kontrolli läbi viiva isiku poolt ja tõendi kehtivuse kontrollimist selle rakenduse poolt ehk terviseseisundit puudutavate isikuandmete võrdlemist valideerimisreeglitega. Kuigi eraldi vaadelduna ei pruugi need toimingud kujutada endast töötlemist isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses, võib nende koos esinemine viia sellise kvalifikatsioonini.

22

Selles kontekstis märgib eelotsusetaotluse esitanud kohus, et määruse 2021/953 artikli 10 lõigetes 1 ja 3 on sõnaselgelt ette nähtud, et vaba liikumise õiguse kasutamiseks liidus kohaldatakse ELi digitaalsesse COVID-tõendisse kantud isikuandmete töötlemise suhtes isikuandmete kaitse üldmäärust. Peale selle peab määruse 2021/953 põhjenduse 48 kohaselt olema tõendisse kantud isikuandmete töötlemisel ühtne õiguslik alus.

23

Nendel asjaoludel otsustas Nejvyšší správní soud (kõrgeim halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmise eelotsuse küsimuse:

„Kas määruse [2021/953] alusel välja antud koostalitlusvõimeliste COVID‑19 vaktsineerimis-, testimis- ja läbipõdemistõendite kehtivuse kontrollimisel olukorras, kus Tšehhi Vabariik kasutab neid riigisisestel eesmärkidel, toimub riigisiseses rakenduses čTečka isikuandmete automatiseeritud töötlemine [isikuandmete kaitse üldmääruse] artikli 4 punkti 2 tähenduses, mistõttu kuulub see tegevus [isikuandmete kaitse üldmääruse] esemelisse kohaldamisalasse vastavalt selle määruse artikli 2 lõikele 1?“

Eelotsuse küsimuse analüüs

24

Oma küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 4 punktis 2 kasutatud mõistet „isikuandmete töötlemine“ tuleb tõlgendada nii, et see hõlmab määruse 2021/953 alusel välja antud ja liikmesriigi poolt riigisisestel eesmärkidel kasutatavate koostalitlusvõimeliste COVID‑19 vaktsineerimis-, testimis- ja läbipõdemistõendite kehtivuse kontrollimist riikliku mobiilirakenduse abil.

25

Vaidlust ei ole selles, et osa teabest, millega kontrollimise eest vastutav isik saab ELi digitaalse COVID-tõendi kehtivuse kontrollimisel tutvuda ja mis on esitatud käesoleva kohtuotsuse punktis 16, kujutab endast „isikuandmeid“ isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses. Sellest sättest nähtub nimelt, et mõiste „isikuandmed“ tähendab „igasugust teavet tuvastatud või tuvastatava füüsilise isiku kohta“ ning see tuvastamine võib tuleneda eelkõige andmesubjekti nime kasutamisest.

26

Viimase aspekti kohta piisab, kui tõdeda, et määruse 2021/953 artikli 5 lõike 2 punktis a, artikli 6 lõike 2 punktis a ja artikli 7 lõike 2 punktis a on ette nähtud, et vaktsineerimistõendist, testimistõendist ja läbipõdemistõendist peab ilmnema selle omaniku isik.

27

Pärast seda täpsustust tuleb märkida, et isikuandmete kaitse üldmääruse artikli 4 punktis 2 on mõiste „töötlemine“ määratletud kui „isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum“. Selle sätte mitteammendavas loetelus, mille juhatab sisse sõna „nagu“, on töötlemise näidetena mainitud isikuandmete lugemist ja kasutamist. Selle sätte sõnastusest ja eelkõige väljendist „[mis tahes] toiming“ nähtub seega, et liidu seadusandja on soovinud anda mõistele „töötlemine“ laia ulatuse (vt selle kohta 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punkt 35).

28

Selline mõistete „isikuandmed“ ja „töötlemine“ lai tõlgendus on kooskõlas eesmärgiga tagada isikute põhiõiguse kaitse tõhusus isikuandmete töötlemisel, millele on viidatud isikuandmete kaitse üldmääruse põhjenduses 1, millest tuleb selle määruse kohaldamisel juhinduda.

29

Käesoleval juhul aga skaneerib selline riiklik mobiilirakendus nagu čTečka ELi digitaalsel COVID-tõendil olevat QR‑koodi, et teisendada selles koodis sisalduvad isikuandmed vormi, mis on loetav selle tõendi kehtivuse kontrollimise eest vastutava isiku poolt. Seejuures võimaldab see rakendus kontrolli teostaval isikul tutvuda isikuandmetega automatiseeritud protsessi ehk skaneerimise tulemusel ja kasutada neid selleks, et hinnata, kas andmesubjekti olukord vastab valideerimiseeskirjadele ehk teisisõnu kohaldatavatele tervisenõuetele. Selle hindamise tulemus on samuti automatiseeritud, sest kui tervisenõuded on täidetud, kuvatakse kontrollija mobiiltelefonis roheline linnuke, samas kui vastasel juhul ilmub ekraanile punane rist.

30

Seega tuleb asuda seisukohale, et määruse 2021/953 alusel välja antud koostalitlusvõimeliste COVID‑19 vaktsineerimis-, testimis- ja läbipõdemistõendite kehtivuse kontrollimine rakenduse čTečka abil kujutab endast „töötlemist“ isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses ja kuulub selle määruse artikli 2 lõike 1 kohaselt selle määruse esemelisse kohaldamisalasse.

31

Käesoleva kohtuotsuse punktis 30 esitatud tõlgendust kinnitab määrus 2021/953, milles on ette nähtud, et ELi digitaalse COVID-tõendi rakendamine on töötlemine isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses. Määruse 2021/953 artikli 1 lõikes 2 on nimelt sätestatud, et selles määruses „sätestatakse õiguslik alus tõendite väljaandmiseks vajalike isikuandmete töötlemiseks ning tõendite ehtsuse ja kehtivuse kontrollimiseks ja kinnitamiseks vajaliku teabe töötlemiseks täielikus kooskõlas [isikuandmete kaitse üldmäärusega]“. Lisaks tuleneb määruse 2021/953 põhjendusest 48 ühelt poolt, et määruse 2021/953 rakendamisel kohaldatakse isikuandmete töötlemise suhtes isikuandmete kaitse üldmäärust, ja teiselt poolt, et sellega luuakse õiguslik alus isikuandmete töötlemiseks isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti c ja artikli 9 lõike 2 punkti g tähenduses, mis on vajalik määruses 2021/953 ette nähtud koostalitlusvõimeliste tõendite väljastamiseks ja kontrollimiseks. Selle määruse artikli 10 lõige 1 kinnitab samuti, et määruse 2021/953 rakendamisel toimuva isikuandmete töötlemise suhtes kohaldatakse isikuandmete kaitse üldmäärust.

32

Järelikult peab eelotsusetaotluse esitanud kohus kontrollima, kas erakorralise meetmega sisse viidud töötlemine on ühelt poolt kooskõlas isikuandmete kaitse üldmääruse artiklis 5 sätestatud andmetöötluse põhimõtetega ja teiselt poolt vastab ühele selle määruse artiklis 6 loetletud töötlemise seaduslikkuse tingimustest (vt eelkõige 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 96, ja 4. mai 2023. aasta kohtuotsus Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, punkt 57).

33

Eeltoodud kaalutlusi arvestades tuleb isikuandmete kaitse üldmääruse artikli 4 punktis 2 kasutatud mõistet isikuandmete „töötlemine“ tõlgendada nii, et see hõlmab määruse 2021/953 alusel välja antud ja liikmesriigi poolt riigisisestel eesmärkidel kasutatavate koostalitlusvõimeliste COVID‑19 vaktsineerimis-, testimis- ja läbipõdemistõendite kehtivuse kontrollimist riikliku mobiilirakenduse abil.

Kohtukulud

34

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

 

Esitatud põhjendustest lähtudes Euroopa Kohus (kaheksas koda) otsustab:

 

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 4 punktis 2 kasutatud mõistet isikuandmete „töötlemine“

 

tuleb tõlgendada nii, et

 

see hõlmab Euroopa Parlamendi ja nõukogu 14. juuni 2021. aasta määruse (EL) 2021/953, millega kehtestatakse koostalitlusvõimeliste COVID‑19 vaktsineerimis-, testimis- ja läbipõdemistõendite (ELi digitaalne COVID-tõend) väljaandmise, kontrollimise ja aktsepteerimise raamistik, et hõlbustada vaba liikumist COVID‑19 pandeemia ajal, alusel välja antud ja liikmesriigi poolt riigisisestel eesmärkidel kasutatavate koostalitlusvõimeliste COVID‑19 vaktsineerimis-, testimis- ja läbipõdemistõendite kehtivuse kontrollimist riikliku mobiilirakenduse abil.

 

Allkirjad


( *1 ) Kohtumenetluse keel: tšehhi.