–

RK, atstovaujamo advokátka D. Sudolská,

–

Čekijos vyriausybės, atstovaujamos M. Smolek, O. Serdula ir J. Vláčil,

–

Nyderlandų vyriausybės, atstovaujamos K. Bulterman ir A. Hanje,

–

Europos Komisijos, atstovaujamos A. Bouchagiar, H. Kranenborg ir P. Ondrůšek,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1) 2 straipsnio 1 dalies ir 4 straipsnio 2 punkto aiškinimo.

2

Šis prašymas pateiktas nagrinėjant RK ir Ministerstvo Zdravotnictví (Sveikatos ministerija, Čekijos Respublika, toliau – ministerija) ginčą dėl šios ministerijos priimtos išimtinės priemonės, reglamentuojančios asmenų patekimą į tam tikras vietas ir renginius, siekiant apsaugoti gyventojus nuo COVID-19 pandemijos protrūkio.

3

Pagal BDAR 1 konstatuojamąją dalį „fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos <…> 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą.“

4

Šio reglamento 2 straipsnio „Materialinė taikymo sritis“ 1 dalyje numatyta:

„Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.“

5

Šio straipsnio 2 dalyje išvardyti keturi atvejai, kai BDAR „netaikomas asmens duomenų tvarkymui“.

6

Minėto reglamento 4 straipsnyje nustatyta:

„Šiame reglamente:

<…>“

7

To paties reglamento 5 straipsnis skirtas „[s]u asmens duomenų tvarkymu susijusiems principams“, o 6 straipsnis – „tvarkymo teisėtumui“.

8

2021 m. birželio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2021/953 dėl sąveikiųjų COVID-19 skiepijimo, tyrimo ir persirgimo pažymėjimų (ES skaitmeninio COVID pažymėjimo) išdavimo, tikrinimo ir pripažinimo sistemos, kuria siekiama sudaryti palankesnes sąlygas asmenims laisvai judėti COVID-19 pandemijos metu (OL L 211, 2021, p. 1), 48 konstatuojamojoje dalyje nustatyta:

„įgyvendinant šį reglamentą tvarkomiems asmens duomenims taikomas [BDAR]. Šiuo reglamentu nustatomas asmens duomenų, būtinų šiame reglamente numatytiems sąveikiesiems pažymėjimas išduoti ir patikrinti, tvarkymo teisinis pagrindas, kaip tai suprantama [pagal BDAR] 6 straipsnio 1 dalies c punkte [punktą] ir 9 straipsnio 2 dalies g punkte [punktą]. <…> Valstybės narės gali tvarkyti asmens duomenis kitais tikslais, jei tokių duomenų tvarkymo kitais tikslais teisinis pagrindas, įskaitant susijusius saugojimo laikotarpius, numatytas nacionalinėje teisėje, kuria turi būti laikomasi Sąjungos duomenų apsaugos teisės bei veiksmingumo, būtinumo ir proporcingumo principų, ir kurioje turėtų būti įtvirtintos nuostatos, kuriose aiškiai nurodoma duomenų tvarkymo aprėptis ir mastas, konkretus susijęs tikslas, subjektų, kurie gali pažymėjimą patikrinti, kategorijos, taip pat atitinkamos apsaugos priemonės, kuriomis užkertamas kelias diskriminacijai ir piktnaudžiavimui, atsižvelgiant į riziką duomenų subjektų teisėms ir laisvėms. <…>“

9

Šio reglamento 1 straipsnyje „Dalykas“ numatyta:

„Šiuo reglamentu nustatoma sąveikiųjų COVID-19 skiepijimo, tyrimo ir persirgimo pažymėjimų (ES skaitmeninio COVID pažymėjimo) išdavimo, tikrinimo ir pripažinimo sistema siekiant sudaryti palankesnes sąlygas tokių pažymėjimų turėtojams naudotis savo teise laisvai judėti COVID-19 pandemijos metu. Šiuo reglamentu taip pat padedama sudaryti palankesnes sąlygas valstybėms narėms laipsniškai ir koordinuotai panaikinti laisvo judėjimo apribojimus laikantis Sąjungos teisės, kad būtų apribotas SARS-CoV-2 plitimas.

Juo nustatomas tokiems pažymėjimams išduoti būtinų asmens duomenų ir tokių pažymėjimų autentiškumui ir galiojimui patikrinti ir patvirtinti reikalingos informacijos tvarkymo teisinis pagrindas, visapusiškai laikantis [BDAR].“

10

Šio reglamento 3 straipsnio „ES skaitmeninis COVID pažymėjimas“ 1 dalyje numatyta, kad pagal ES skaitmeninio COVID pažymėjimo sistemą leidžiama išduoti, tikrinti ir pripažinti skiepijimo pažymėjimus, tyrimo pažymėjimus ir persirgimo pažymėjimus tarpvalstybiniu mastu. Be to, jo 2 dalyje numatyta, kad „[v]alstybės narės arba paskirtosios įstaigos, veikiančios valstybių narių vardu, šio straipsnio 1 dalyje nurodytus pažymėjimus išduoda skaitmeniniu arba popieriniu formatu arba abiem formatais. Būsimi turėtojai turi teisę gauti pažymėjimus jų pasirinktu formatu. Šie pažymėjimai turi būti patogūs naudoti, juose turi būti sąveikusis brūkšninis kodas, leidžiantis patikrinti jų autentiškumą, galiojimą ir vientisumą. Brūkšninis kodas turi atitikti pagal 9 straipsnį nustatytas technines specifikacijas. Informacija pažymėjimuose taip pat pateikiama žmogaus skaitoma forma ir yra bent jau išduodančiosios valstybės narės oficialia kalba ar kalbomis ir anglų kalba.“

11

Minėto reglamento 5 straipsnio 2 dalies a punkte, 6 straipsnio 2 dalies a punkte ir 7 straipsnio 2 dalies a punkte atitinkamai numatyta, kad skiepijimo pažymėjime, tyrimo pažymėjime ir persirgimo pažymėjime turi būti nurodyta turėtojo tapatybė.

12

To paties reglamento 10 straipsnio „Asmens duomenų apsauga“ pirmose keturiose dalyse nustatyta:

„1.   Įgyvendinant šį reglamentą tvarkomiems asmens duomenims taikomas Reglamentas (ES) 2016/679.

2.   Asmens duomenys, pateikti pagal šį reglamentą išduodamuose pažymėjimuose, šio reglamento tikslais tvarkomi tik siekiant susipažinti su pažymėjime pateikta informacija ir ją patikrinti, kad COVID-19 pandemijos metu būtų sudarytos palankesnės sąlygos naudotis teise laisvai judėti Sąjungoje. Pasibaigus šio reglamento taikymo laikotarpiui, duomenys nebegali būti tvarkomi.

3.   Į 3 straipsnio 1 dalyje nurodytus pažymėjimus įtrauktus asmens duomenis tvarko kelionės tikslo ar tranzito valstybės narės kompetentingos institucijos arba tarpvalstybinių keleivių pervežimo paslaugų teikėjai, kurie pagal nacionalinę teisę COVID-19 pandemijos metu turi įgyvendinti tam tikras visuomenės sveikatos priemones, vien tik tam, kad tikrintų ir tvirtintų informaciją apie turėtojo skiepijimo būklę, tyrimo rezultatų ar persirgimo būklę. Tuo tikslu asmens duomenys apima tik tai, kas tikrai būtina. Asmens duomenys, su kuriais susipažinta pagal šią dalį, nesaugomi.

4.   Asmens duomenų, tvarkomų siekiant išduoti 3 straipsnio 1 dalyje nurodytus pažymėjimus, įskaitant naujo pažymėjimo išdavimą, pažymėjimus išduodantis subjektas negali saugoti ilgiau, nei tikrai būtina tuo tikslu, ir jokiu būdu ne ilgiau nei laikotarpį, per kurį pažymėjimai gali būti naudojami naudojantis laisvo judėjimo teise.“

13

2021 m. gruodžio 29 d. išimtine priemone (toliau – išimtinė priemonė), priimta siekiant apsaugoti gyventojus nuo COVID-19 pandemijos plitimo, ministerija nuo 2022 m. sausio 3 d. nustatė įvairių sąlygų, žmonėms siekiant patekti į tam tikras vidaus ir išorės erdves ir dalyvauti masiniuose renginiuose ar kitoje veikloje. Buvo reikalaujama, kad, pirma, jaunesni nei 18 metų asmenys, kurie dėl kontraindikacijų negalėjo būti skiepijami nuo COVID-19, ir asmenys, kurie nebuvo paskiepyti pagal visą skiepijimo schemą, turėtų neigiamą RT-PCR testą dėl SARS-CoV-2 viruso, atliktą mažiau nei prieš 72 valandas; antra, būtų pasibaigęs ne trumpesnis kaip 14 dienų laikotarpis nuo to, kai įvykdyta visa vakcinacijos schema, arba, trečia, būtų laboratoriškai patvirtintas užsikrėtimas COVID-19, jei pasibaigė izoliavimo laikotarpis ir nuo pirmojo teigiamo testo praėjo ne daugiau kaip 180 dienų (toliau – infekcijos nebuvimo sąlygos).

14

Pagal išimtinę priemonę klientai (žiūrovai, dalyviai) buvo įpareigoti įrodyti, kad laikomasi šių sąlygų, o veiklos vykdytojai (organizatoriai) – patikrinti, ar laikomasi šių sąlygų, naudojant ministerijos mobiliąją programėlę „čTečka“. Klientui neįrodžius, kad šis laikėsi minėtų sąlygų, veiklos vykdytojui buvo uždrausta teikti paslaugą ir suteikti jam galimybę patekti į tam tikrą erdvę ar renginį. Remiantis išimtine priemone, ši programėlė turėjo užtikrinti patikimą pateikto patvirtinamojo dokumento, kuriame yra QR kodas, autentiškumo ir galiojimo patikrinimą.

15

Nejvyšší sprįvní soud (Aukščiausiasis administracinis teismas, Čekijos Respublika), kuris yra prašymą priimti prejudicinį sprendimą pateikęs teismas, mano, kad, norint priimti sprendimą dėl 2022 m. sausio 20 d. RK pateikto skundo dėl išimtinės priemonės panaikinimo, pirmiausia reikia išnagrinėti, ar vadinamųjų infekcijos nebuvimo sąlygų patikrinimas, taikant programėlę „čTečka“, yra automatizuotas asmens „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, ir pažymi, kad, jo nuomone, ES skaitmeniniuose pažymėjimuose pateikta informacija yra asmens duomenys, kaip tai suprantama pagal šio reglamento 4 straipsnio 1 punktą. Jei atsakymas būtų teigiamas, šis reglamentas būtų taikomas pagal jo 2 straipsnio 1 dalį.

16

Prašymą priimti prejudicinį sprendimą pateikęs teismas patikslina, kad taikant programėlę „čTečka“ galima kontroliuoti ir patikrinti pagal Reglamentą 2021/953 išduotų ES skaitmeninių COVID pažymėjimų galiojimą. Ši programėlė leidžia su asmens, atsakingo už patikrinimą, mobiliojo telefono fotoaparatu skenuoti pažymėjimo QR kodą. Tuomet šis asmuo turi galimybę susipažinti su pagrindiniais pažymėjimo turėtojo tapatybės duomenimis (pavarde, vardu ir gimimo data), taip pat su šio pažymėjimo statusu – galiojantis ar negaliojantis. Paspaudęs tam tikrą mygtuką programėlėje, už patikrinimą atsakingas asmuo gali susipažinti su visa tokiame pažymėjime nurodyta informacija, pavyzdžiui, ar asmuo buvo skiepytas, vakcinos rūšimi, vakcinos gamintoju, gautų dozių skaičiumi, skiepijimo data, pirmojo teigiamo rezultato data ir pažymėjimą išdavusiu asmeniu. Naudojantis programėle „čTečka“ šie duomenys tik laikinai rodomi už patikrinimą atsakingo asmens mobiliojo telefono ekrane, todėl jie nėra nei saugomi, nei perduodami.

17

Tas teismas nurodo, kad, siekiant patikrinti ES skaitmeninio COVID pažymėjimo galiojimą, ši programėlė kartą per 24 valandas arba gavus prašymą parsisiunčia valstybių narių pažymėjimų viešuosius raktus ir valstybių narių patvirtinimo taisykles iš ministerijos sistemos. Šis procesas taip pat gali vykti nesant prisijungus prie interneto. Įdiegus programėlę į už patikrinimą atsakingo asmens mobilųjį telefoną, rodomas tekstas, kuriame nurodoma, kad „programėlė čTečka veikia pagal Sąjungos ir Čekijos Respublikos teisę ir palengvina laisvą asmenų judėjimą bei galimybę naudotis paslaugomis ir renginiais COVID-19 pandemijos metu. Programėlėje tvarkomi ES valstybių narių skaitmeninių COVID pažymėjimų turėtojų asmens duomenys, siekiant, kad juos patikrintų įgalioti asmenys, remdamiesi ES reglamentu, išimtinėmis [Ministerijos] priemonėmis arba savanoriškai. Programėlėje nėra saugomi ar perduodami jokie asmens duomenys ar duomenys, susiję su tikrinamų asmenų sveikata. Išsamią informaciją apie asmens duomenų tvarkymą rasite naudojimo sąlygose.“

18

Be to, prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad pagal Reglamento 2021/953 3 straipsnio 2 dalį valstybės narės išduotame pažymėjime turi būti sąveikusis brūkšninis kodas, leidžiantis patikrinti pažymėjimo autentiškumą, galiojimą ir vientisumą. Jis nurodo, kad šio sprendimo 16 punkte nurodyti asmens duomenys konvertuojami iš mašinos į žmogaus skaitomą formatą, vykstant automatizuotam procesui, t. y. taikant programėlę „čTečka“, o tai galėtų reikšti asmens duomenų tvarkymą, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą.

19

Vis dėlto prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla abejonė, ar paprastas šių duomenų konvertavimas ir rodymas mobiliajame telefone yra „duomenų tvarkymas“, kaip tai suprantama pagal šią nuostatą, juo labiau kad šios dvi operacijos negali lemti jokio netinkamo asmens duomenų naudojimo ar panaudojimo arba teisės į šių duomenų apsaugą pažeidimo, nes programėle neperduodami tokiu būdu gauti duomenys.

20

Be to, prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad pažymėjimo galiojimo patikrinimas naudojant programėlę „čTečka“ taip pat galėtų reikšti asmens duomenų tvarkymą, nes atliekant šią operaciją naudojami šiame pažymėjime nurodyti asmens duomenys, susiję su tikrinamo asmens sveikata. Iš tiesų tam, kad būtų galima įvertinti, ar pažymėjimas yra galiojantis, ir nustatyti, ar duomenų subjektas atitinka vadinamąsias infekcijos nebuvimo sąlygas, numatytas išimtinėje priemonėje, reikia būtinai palyginti informaciją apie tokio asmens sveikatą, t. y. skiepijimo datą, su tuo metu galiojančiomis patvirtinimo taisyklėmis.

21

Galiausiai tas teismas mano, kad asmens duomenų tvarkymą galėtų sudaryti procesų, atliekamų tikrinant pažymėjimus naudojant programėlę „čTečka“, derinys, t. y. asmens duomenų pakeitimas iš QR kodo į žmogaus skaitomą formatą, jų rodymas mobiliajame telefone, jų peržiūrėjimas ir šios programėlės atliekamas pažymėjimo galiojimo vertinimas, lyginant sveikatos duomenis su patvirtinimo taisyklėmis. Nors šios operacijos, vertinamos atskirai, gali nebūti laikomos duomenų tvarkymu, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, jų sugretinimas galėtų lemti tokį kvalifikavimą.

22

Šiuo klausimu tas teismas pažymėjo, kad Reglamento 2021/953 10 straipsnio 1 ir 3 dalyse aiškiai numatyta, jog naudojimosi teise laisvai judėti Sąjungoje tikslais BDAR taikomas ES skaitmeniniuose COVID pažymėjimuose esančių asmens duomenų tvarkymui. Be to, pagal Reglamento 2021/953 48 konstatuojamąją dalį pažymėjimuose esančių asmens duomenų tvarkymui turėtų būti taikomas vienodas teisinis režimas.

23

Šiomis aplinkybėmis Nejvyšší správní soud (Vyriausiasis administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:

„Ar, tikrinant sąveikiųjų COVID-19 skiepijimo, tyrimo ir persirgimo pažymėjimų, išduotų pagal [Reglamentą 2021/953], kuriuos Čekijos Respublika naudoja nacionaliniais tikslais, galiojimą, nacionalinėje programėlėje „čTečka“ automatizuotomis priemonėmis tvarkomi asmens duomenys, kaip tai suprantama pagal [BDAR] reglamento 4 straipsnio 2 punktą, taip, kad ši veikla patenka į materialinę [šio] reglamento taikymo sritį pagal minėto reglamento 2 straipsnio 1 dalį?“

24

Savo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 2 punkte nurodyta sąvoka „duomenų tvarkymas“ turi būti aiškinama taip, kad ji apima sąveikiųjų COVID-19 skiepijimo, tyrimo ir persirgimo pažymėjimų, valstybės narės išduotų pagal Reglamentą 2021/953 ir naudojamų nacionaliniais tikslais, galiojimo patikrinimą, pasitelkiant nacionalinę mobiliąją programėlę.

25

Neginčijama, kad šio sprendimo 16 punkte nurodyta tam tikra informacija, prie kurios turi prieigą už patikrinimą atsakingas asmuo, tikrindamas ES skaitmeninio COVID pažymėjimo galiojimą, yra „asmens duomenys“, kaip jie suprantami pagal BDAR 4 straipsnio 1 punktą. Iš tiesų iš šios nuostatos matyti, kad sąvoka „asmens duomenys“ reiškia „bet kokią informaciją apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“, ir kad tapatybė, be kita ko, gali būti nustatyta naudojant duomenų subjekto vardą ir pavardę.

26

Šiuo klausimu pakanka konstatuoti, kad Reglamento 2021/953 5 straipsnio 2 dalies a punkte, 6 straipsnio 2 dalies a punkte ir 7 straipsnio 2 dalies a punkte atitinkamai numatyta, kad skiepijimo pažymėjime, tyrimo pažymėjime ir persirgimo pažymėjime turi būti nurodyta jo turėtojo tapatybė.

27

Atsižvelgiant į tai, reikia pažymėti, kad BDAR 4 straipsnio 2 punkte sąvoka „duomenų tvarkymas“ apibrėžta kaip „bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka“. Šioje nuostatoje pateiktame nebaigtiniame sąraše, kuris pradedamas žodžiais „kaip antai“, kaip asmens duomenų tvarkymo pavyzdžiai minimi susipažinimas su asmens duomenimis ir jų naudojimas. Iš šios nuostatos formuluotės, visų pirma žodžių junginio „bet kokia <…> operacija“, matyti, kad Sąjungos teisės aktų leidėjas siekė suteikti sąvokai „duomenų tvarkymas“ plačią taikymo sritį (šiuo klausimu žr. 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 35 punktą).

28

Toks platus sąvokų „asmens duomenys“ ir „duomenų tvarkymas“ aiškinimas atitinka BDAR 1 konstatuojamojoje dalyje nurodytą tikslą užtikrinti veiksmingą pagrindinę teisę į fizinių asmenų apsaugą tvarkant asmens duomenis, kuri yra šio reglamento taikymo pagrindas.

29

Nagrinėjamu atveju nacionalinė mobilioji programėlė, kaip antai programėlė „čTečka“, leidžia skenuoti ES skaitmeniniame COVID pažymėjime esantį QR kodą, kad šiame kode užšifruoti asmens duomenys būtų konvertuoti į asmeniui, kuriam pavesta tikrinti šio pažymėjimo galiojimą, įskaitomą formatą. Taigi tokia programėlė leidžia už patikrinimą atsakingam asmeniui, taikant automatizuotą procesą, t. y. nuskaitymą, susipažinti su asmens duomenimis ir juos naudoti, siekiant įvertinti, ar atitinkamo asmens padėtis atitinka patvirtinimo taisykles, kitaip tariant, taikomus sveikatos reikalavimus. Šio vertinimo rezultatas taip pat yra automatizuotas, nes už patikrinimą atsakingo žmogaus mobiliajame telefone pasirodo žalia varnelė, kai sveikatos reikalavimai yra įvykdyti, o kai jie neįvykdyti, pasirodo raudonas kryžiukas.

30

Taigi reikia konstatuoti, kad sąveikiųjų COVID-19 skiepijimo, tyrimo ir persirgimo pažymėjimų, išduotų pagal Reglamentą 2021/953, galiojimo patikrinimas naudojant programėlę „čTečka“ yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, ir pagal šio reglamento 2 straipsnio 1 dalį patenka į šio reglamento materialinę taikymo sritį.

31

Šio sprendimo 30 punkte nurodytą aiškinimą patvirtina Reglamentas 2021/953, kuriame numatyta, kad ES skaitmeninio COVID pažymėjimo taikymas yra duomenų tvarkymas, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą. Iš tiesų Reglamento 2021/953 1 straipsnio 2 dalyje nustatyta, kad šiuo reglamentu „nustatomas tokiems pažymėjimams išduoti būtinų asmens duomenų ir tokių pažymėjimų autentiškumui ir galiojimui patikrinti ir patvirtinti reikalingos informacijos tvarkymo teisinis pagrindas, visapusiškai laikantis [BDAR]“. Be to, iš Reglamento 2021/953 48 konstatuojamosios dalies matyti, kad, pirma, BDAR taikomas asmens duomenų tvarkymui, atliekamam įgyvendinant Reglamentą 2021/953, ir, antra, juo nustatomas asmens duomenų, būtinų Reglamente 2021/953 numatytiems sąveikiesiems pažymėjimas išduoti ir patikrinti, tvarkymo teisinis pagrindas, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies c punktą ir 9 straipsnio 2 dalies g punktą. Reglamento 2021/953 10 straipsnio 1 dalyje taip pat patvirtinta, kad įgyvendinant šį reglamentą tvarkomiems asmens duomenims taikomas BDAR.

32

Taigi prašymą priimti prejudicinį sprendimą pateikęs teismas turės patikrinti, ar taikant išimtinę priemonę nustatytas duomenų tvarkymas atitinka, pirma, BDAR 5 straipsnyje nustatytus duomenų tvarkymo principus ir, antra, vieną iš šio reglamento 6 straipsnyje išvardytų duomenų tvarkymo teisėtumo principų (žr., be kita ko, 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 96 punktą ir 2023 m. gegužės 4 d. Sprendimo Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, 57 punktą).

33

Atsižvelgiant į tai, kas išdėstyta, BDAR 4 straipsnio 2 punkte nurodyta sąvoka „duomenų tvarkymas“ turi būti aiškinama taip, kad ji apima sąveikiųjų COVID-19 skiepijimo, tyrimo ir persirgimo pažymėjimų, valstybės narės išduotų pagal Reglamentą 2021/953 ir naudojamų nacionaliniais tikslais, galiojimo patikrinimą, pasitelkiant nacionalinę mobiliąją programėlę.

34

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (aštuntoji kolegija) nusprendžia:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 4 straipsnio 2 punkte nurodyta sąvoka „duomenų tvarkymas“

turi būti aiškinama taip:

ji apima sąveikiųjų COVID-19 skiepijimo, tyrimo ir persirgimo pažymėjimų, valstybės narės išduotų pagal 2021 m. birželio 14 d. Europos Parlamento ir Tarybos reglamentą (ES) 2021/953 dėl sąveikiųjų COVID-19 skiepijimo, tyrimo ir persirgimo pažymėjimų (ES skaitmeninio COVID pažymėjimo) išdavimo, tikrinimo ir pripažinimo sistemos, kuria siekiama sudaryti palankesnes sąlygas asmenims laisvai judėti COVID-19 pandemijos metu, ir naudojamų nacionaliniais tikslais, galiojimo patikrinimą, pasitelkiant nacionalinę mobiliąją programėlę.