–

Nemzeti Adatvédelmi és Információszabadság Hatóság vārdā – G. J. Dudás, ügyvéd,

–

UC vārdā – D. Karsai un V. Łuszcz, ügyvédek,

–

Ungārijas valdības vārdā – Zs. Biró‑Tóth un M. Z. Fehér, pārstāvji,

–

Čehijas valdības vārdā – L. Březinová, M. Smolek un J. Vláčil, pārstāvji,

–

Eiropas Komisijas vārdā – A. Bouchagiar, C. Kovács un H. Kranenborg, pārstāvji,

1

Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 14. panta 1. punktu un 5. punkta c) apakšpunktu, 32. pantu, kā arī 77. panta 1. punktu.

2

Šis lūgums iesniegts tiesvedībā starp Nemzeti Adatvédelmi és Információszabadság Hatóság (Datu aizsardzības un informācijas brīvības valsts iestāde, Ungārija, turpmāk tekstā – “valsts iestāde”) un UC par to, vai Budapest Főváros Kormányhivatala (Decentralizētais valdības dienests galvaspilsētā Budapeštā, Ungārija; turpmāk tekstā – “izsniedzējiestāde”), kas ir atbildīga par imunitātes sertifikātu izsniegšanu personām, kuras ir vakcinētas pret Covid‑19 vai ir slimojušas ar šo slimību, ir pienākums sniegt informāciju par personas datu apstrādi.

3

Saskaņā ar VDAR 1., 10. un 61.–63. apsvērumu:

[..]

[..]

4

Šīs regulas 1. panta “Priekšmets un mērķi” 2. punktā noteikts:

“Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.”

5

Minētās regulas 4. pantā “Definīcijas” paredzēts:

“Šajā regulā:

[..]

[..].”

6

VDAR 6. panta “Apstrādes likumīgums” 1. punktā noteikts:

“Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

[..]

[..]

[..].”

7

Minētās regulas 9. panta “Īpašu kategoriju personas datu apstrāde” 1. un 2. punktā paredzēts:

“1.   Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.

2.   Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:

[..]

[..].”

8

VDAR III nodaļā “Datu subjekta tiesības” ir vairākas iedaļas, tostarp tās 2. iedaļa “Informācija un piekļuve personas datiem”.

9

Minētajā 2. iedaļā ir iekļauts VDAR 13. pants “Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta”, 14. pants “Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta” un 15. pants “Datu subjekta piekļuves tiesības”.

10

Saskaņā ar šīs regulas 14. pantu:

“1.   Ja personas dati nav iegūti no datu subjekta, pārzinis datu subjektam sniedz šādu informāciju:

2.   Papildus 1. punktā minētajai informācijai, pārzinis datu subjektam sniedz turpmāk norādīto informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu:

[..].

4.   Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

5.   Šā panta 1.–4. punktu nepiemēro, ja un ciktāl:

11

Minētās regulas 32. pantā “Apstrādes drošība” noteikts:

“1.   Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā:

2.   Novērtējot atbilstīgo drošības līmeni, ņem vērā jo īpaši riskus, ko rada apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

3.   Atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. punktā izklāstīto prasību izpildi.

4.   Pārzinis un apstrādātājs veic pasākumus, lai nodrošinātu, ka jebkura fiziska persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, tos neapstrādā bez pārziņa norādījumiem, izņemot, ja minētajai personai tas jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem.”

12

Šīs pašas regulas 55. panta “Kompetence” 1. punktā paredzēts:

“Katra uzraudzības iestāde savas dalībvalsts teritorijā ir kompetenta pildīt uzticētos uzdevumus un īstenot pilnvaras, ko tai piešķir saskaņā ar šo regulu.”

13

VDAR 57. panta “Uzdevumi” 1. punktā noteikts:

“Neskarot citus uzdevumus, kas noteikti ar šo regulu, ikviena uzraudzības iestāde savā teritorijā:

[..]

[..].”

14

Šīs regulas 58. panta “Pilnvaras” 3. punktā paredzēts:

“Katrai uzraudzības iestādei ir visas šādas atļauju izsniegšanas un padomdevēja pilnvaras:

[..]

[..].”

15

Minētās regulas 77. panta “Tiesības iesniegt sūdzību uzraudzības iestādē” 1. punktā noteikts:

“Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, jo īpaši tajā dalībvalstī, kurā ir viņa pastāvīgā dzīvesvieta, darbavieta vai iespējamā pārkāpuma izdarīšanas vieta, ja datu subjekts uzskata, ka viņa personas datu apstrāde pārkāpj šo regulu.”

16

VDAR 78. panta “Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi” teksts ir šāds:

“1.   Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katrai fiziskai vai juridiskai personai ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas skar minētās personas.

2.   Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katram datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja uzraudzības iestāde, kas ir kompetenta, ievērojot 55. un 56. pantu, trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības, kas iesniegta, ievērojot 77. pantu, izskatīšanas virzību vai rezultātiem.

3.   Tiesvedību pret uzraudzības iestādi uzsāk tās dalībvalsts tiesā, kurā atrodas uzraudzības iestāde.

4.   Ja tiesvedību sāk par uzraudzības iestādes lēmumu, pirms kura pieņemšanas kolēģija saistībā ar konsekvences mehānismu bija nākusi klajā ar atzinumu vai pieņēmusi lēmumu, tad uzraudzības iestāde minēto atzinumu vai lēmumu nosūta tiesai.”

17

Eiropas Parlamenta un Padomes Regulas (ES) 2021/953 (2021. gada 14. jūnijs) par sadarbspējīgu Covid‑19 vakcinācijas, testa un pārslimošanas sertifikātu izdošanas, verifikācijas un akceptēšanas satvaru nolūkā atvieglot brīvu pārvietošanos Covid‑19 pandēmijas laikā (OV 2021, L 211, 1. lpp.) 10. panta 1. punktā bija paredzēts:

“Personas datu apstrādei, ko veic, īstenojot šo regulu, piemēro [VDAR].”

18

Saskaņā ar 2021. gada 12. februārakoronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet (Valdības dekrēts Nr. 60/2021 (II.12.) par koronavīrusa imunitātes sertifikātu), redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “Dekrēts Nr. 60/2021”), 2. panta 1. punktu:

“Imunitātes sertifikātā ietver šādu informāciju:

19

Atbilstoši Dekrēta Nr. 60/2021 2. panta 6. un 7. punktam imunitātes sertifikātu izsniedzējiestāde vai nu pēc savas ierosmes, vai pēc pieprasījuma izsniedz ikvienai fiziskai personai, kurai ir tiesības to saņemt.

20

Šī dekrēta 3. panta 3. punktā noteikts:

“Gadījumos, kas minēti 2. panta 6. punkta c) un d) apakšpunktā, izsniedzējiestāde ar automātisku informācijas nosūtīšanu – vajadzības gadījumā izmantojot atbilstošos Elektroniskās identifikācijas datu pārvaldības reģistra pakalpojumus – ievāc:

21

Fiziskai personai UC izsniedzējiestāde saskaņā ar Dekrētu Nr. 60/2021 izsniedza imunitātes sertifikātu, kas apliecina viņa vakcināciju pret Covid‑19.

22

2021. gada 30. aprīlī UC valsts iestādē administratīvo sāka procedūru par viņa personas datu apstrādi, iesniedzot valsts iestādei sūdzību uz VDAR 77. panta 1. punkta pamata un lūdzot uzdot izsniedzējiestādei nodrošināt apstrādes darbību atbilstību VDAR normām. Sūdzībā viņš citastarp pārmeta, ka izsniedzējiestāde nav izstrādājusi un publicējusi paziņojumu par datu apstrādi saistībā ar imunitātes sertifikātu izsniegšanu un apgalvo, ka viņam nav bijusi informācija par šo datu apstrādes mērķi un juridisko pamatu, ne arī par to, kādas ir datu subjektu tiesības un kā tās var īstenot.

23

Uz šīs sūdzības pamata sāktajā procedūrā izsniedzējiestāde paziņoja, ka tā savus uzdevumus pilda saistībā ar imunitātes sertifikāta izsniegšanu, pamatojoties uz Dekrēta Nr. 60/2021 2. pantu, jo personas datu apstrādes juridiskais pamats ir VDAR 6. panta 1. punkta e) apakšpunkts un šīs regulas 9. panta 2. punkta i) apakšpunkts attiecībā uz īpašu kategoriju personas datu apstrādi.

24

Turklāt izsniedzējiestāde norādīja, ka tā iegūst personas datus, kurus tā apstrādā citā struktūrā atbilstoši Dekrētam Nr. 60/2021. Pamatojoties uz minēto, tā apgalvoja, ka saskaņā ar VDAR 14. panta 5. punkta c) apakšpunktu tai neesot pienākuma informēt par šo datu apstrādi. Tomēr tā ir izstrādājusi un savā tīmekļvietnē publicējusi prasīto paziņojumu par personas datu aizsardzību.

25

Ar 2021. gada 15. novembra lēmumu valsts iestāde noraidīja UC pieprasījumu un secināja, ka izsniedzējiestādei nav pienākuma sniegt informāciju, jo uz attiecīgo personas datu apstrādi attiecas VDAR 14. panta 5. punkta c) apakšpunktā paredzētais izņēmums.

26

It īpaši šī iestāde uzskatīja, ka Dekrēts Nr. 60/2021 ir apstrādes juridiskais pamats un ka tas skaidri uzliek pienākumu izsniedzējiestādei ievākt attiecīgos datus. Minētās iestādes skatījumā informācijas par personas datu apstrādi, ko veic izsniedzējiestāde, publicēšana tās tīmekļvietnē ir laba prakse, nevis juridisks pienākums.

27

Turklāt valsts iestāde pēc savas ierosmes pārbaudīja, vai pastāv atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai VDAR 14. panta 5. punkta c) apakšpunkta teikuma otrās daļas izpratnē, un norādīja, ka par šādiem pasākumiem jāuzskata Dekrēta Nr. 60/2021 2., 3. un 5.–7. panta noteikumi.

28

UC par šo lēmumu iesniedza administratīvu sūdzību Fővárosi Törvényszék (Galvaspilsētas Budapeštas tiesa, Ungārija), kura atcēla minēto lēmumu un uzdeva šai iestādei sākt jaunu procedūru.

29

Spriedumā šī tiesa uzskatīja, ka VDAR 14. panta 5. punkta c) apakšpunktā paredzētais izņēmums nav piemērojams, jo dažus personas datus, kas iegūti saistībā ar imunitātes sertifikātiem, pārzinis ir nevis ieguvis no citas struktūras, bet gan pats tos ģenerējis, pildot savus uzdevumus. Minētā tiesa uzskata, ka tā tas bija gadījumos ar imunitātes sertifikāta sērijas numuru, personai, kas saslimusi ar slimību, izsniegtā sertifikāta derīguma termiņa beigu datumu, kartē norādīto QR kodu, svītrkodu un citiem burtciparu kodiem, kuri norādīti sertifikāta saņemšanas vēstulē, kā arī personas datiem, kas ģenerēti pārziņa dokumentu apstrādes procesā. Šī tiesa uzskata, ka VDAR 14. panta 5. punkta c) apakšpunktā paredzētais izņēmums varēja attiekties tikai uz personas datiem, kas iegūti no citas struktūras.

30

Valsts iestāde vērsās Kúria (Augstākā tiesa, Ungārija), kas ir iesniedzējtiesa, ar ārkārtas pārsūdzību par šo spriedumu.

31

Šajā kontekstā šī tiesa vispirms vēlas noskaidrot, vai VDAR 14. panta 5. punkta c) apakšpunktā paredzētais izņēmums var tikt piemērots visai personas datu apstrādei, izņemot to, kas attiecas uz personas datiem, kuri ievākti no datu subjekta.

32

Apstiprinošas atbildes gadījumā minētā tiesa vēlas noskaidrot, vai sūdzības procedūrā saskaņā ar VDAR 77. panta 1. punktu uzraudzības iestādes kompetencē – lai lemtu par šī izņēmuma piemērojamību – ir pārbaudīt, vai pārziņa valsts tiesībās ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai.

33

Apstiprinošas atbildes gadījumā iesniedzējtiesa visbeidzot vēlas zināt, vai šī pārbaude attiecas arī uz to pasākumu atbilstību, kuri pārzinim jāīsteno saskaņā ar VDAR 32. pantu, lai nodrošinātu personas datu apstrādes drošību.

34

Šādos apstākļos Kúria (Augstākā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

35

2024. gada 16. janvārī Tiesa saskaņā ar Eiropas Tiesas Reglamenta 61. pantu aicināja lietas dalībniekus un ieinteresētās personas, kas minētas Eiropas Savienības Tiesas statūtu 23. pantā, rakstveidā atbildēt uz dažiem jautājumiem. Uz šiem jautājumiem atbildes sniedza prasītāja un atbildētāja pamatlietā, Ungārijas un Čehijas valdības, kā arī Eiropas Komisija.

36

Ar pirmo jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 14. panta 5. punkta c) apakšpunkts jāinterpretē tādējādi, ka šajā tiesību normā paredzētais izņēmums no pārziņa pienākuma informēt datu subjektu attiecas tikai uz personas datiem, kurus pārzinis ir ievācis no personas, kas nav datu subjekts, vai arī tas attiecas arī uz personas datiem, kurus, pildot savus uzdevumus, ir ģenerējis pārzinis pats.

37

Šīs regulas 14. panta 1., 2. un 4. punktā ir noteikta tā informācija, kas pārzinim jāsniedz datu subjektam minētās regulas 4. panta 1. punkta izpratnē, ja personas dati nav iegūti no šī datu subjekta.

38

Šīs pašas regulas 14. panta 5. punktā ir paredzēti izņēmumi no šī pienākuma. Viens no šiem izņēmumiem ir paredzēts minētā 5. punkta c) apakšpunktā, atbilstoši kuram šo pienākumu nepiemēro, ja un ciktāl informācijas iegūšana vai izpaušana ir skaidri paredzēta Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim un kuros paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai.

39

Lai noteiktu, vai šis izņēmums attiecas uz personas datiem, kurus, pildot savus uzdevumus, ir ģenerējis pārzinis pats no datiem, kas iegūti no personas, kura nav datu subjekts, saskaņā ar pastāvīgo judikatūru ir jāņem vērā ne tikai to paredzošās tiesību normas teksts, bet arī šīs normas konteksts un to ietverošā tiesiskā regulējuma mērķi (šajā nozīmē skat. spriedumu, 2023. gada 12. janvāris, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 32. punkts un tajā norādītā judikatūra).

40

Pirmām kārtām, ņemot vērā VDAR 14. panta 5. punkta c) apakšpunkta formulējumu, jānosaka šajā tiesību normā paredzētais “iegūšanas vai izpaušanas” mērķis.

41

Proti, pirmkārt, pastāv atšķirības starp minētās tiesību normas dažādu valodu versijām. Šīs pašas tiesību normas franču valodas versijā ir atsauce uz “informācijas” iegūšanu vai izpaušanu, lai gan – vispirms – ungāru (“adat”), igauņu (“isikuandmed”), horvātu (“podataka”), lietuviešu (“duomenų”), holandiešu (“gegevens”), portugāļu (“dados”), rumāņu (“datelor”), kā arī zviedru (“uppgifter”) valodu versijās ir atsauce uz “datu” iegūšanu vai izpaušanu, turpinot – somu valodas versijā ir ietverts termins (“tietojen”), kas var attiekties gan uz “datiem” vai “informāciju”, un visbeidzot – bulgāru, spāņu, čehu, dāņu, vācu, grieķu, angļu, itāļu, latviešu, maltiešu, poļu, slovāku un slovēņu valodu versijās iegūšanas vai izpaušanas mērķis nav minēts.

42

Saskaņā ar pastāvīgo judikatūru Savienības tiesību normas interpretāciju nevar balstīt tikai uz tās formulējumu, kas izmantots vienā valodas versijā, un tas nevar būt prioritārs salīdzinājumā ar pārējām valodu versijām. Proti, Savienības tiesību normas ir jāinterpretē un jāpiemēro vienveidīgi, ņemot vērā to versijas visās Savienības valodās. Ja pastāv pretrunas starp Savienības tiesību akta teksta dažādām valodu versijām, attiecīgā norma ir jāinterpretē atbilstoši tā regulējuma vispārējai sistēmai un mērķim, kura sastāvdaļa tā ir (spriedums, 2024. gada 21. marts, Cobult, C‑76/23, EU:C:2024:253, 25. punkts un tajā minētā judikatūra).

43

Runājot par VDAR vispārējo sistēmu, šīs regulas 14. panta 5. punkts jālasa, ņemot vērā tās 61. un 62. apsvērumu, kuros ir atsauce gan uz to, ka “personas datus iegūst [..] [un] personas dati tiek izpausti”, uz to, ka “personas datu reģistrācija vai izpaušana ir skaidri paredzēta likumā”, gan uz to, ka “jāsniedz [..] informācija” vai uz “[informāciju,] kas jāsniedz”. Interpretāciju, saskaņā ar kuru “iegūšana vai izpaušana” VDAR 14. panta 5. punkta c) apakšpunkta izpratnē attiecas uz personas datiem, turklāt apstiprina jēdziena “apstrāde” plašais tvērums VDAR 4. panta 2. punkta izpratnē, kas aptver visas darbības, kuras tiek veiktas ar personas datiem (šajā nozīmē skat. spriedumu, 2023. gada 5. oktobris, Ministerstvo zdravotnictví (Covid‑19 mobilā lietotne) (C‑659/22, EU:C:2023:745, 27. punkts un tajā minētā judikatūra).

44

Attiecībā uz tā tiesiskā regulējuma mērķi, kurā ietilpst VDAR 14. panta 5. punkta c) apakšpunkts, pietiek norādīt, kā ģenerāladvokāte to ir darījusi secinājumu 31. punktā, ka šī izņēmuma ratio legis ir tajā, ka šīs regulas 14. panta 1., 2. un 4. punktā paredzētais pienākums sniegt informāciju datu subjektam nav pamatots, ja kādā citā Savienības vai dalībvalsts tiesību normā pārzinim ir noteikts pietiekami pilnīgs un saistošs pienākums sniegt šai personai informāciju par personas datu iegūšanu vai izpaušanu. Gadījumā, uz kuru attiecas šī 14. panta 5. punkta c) apakšpunkts, datu subjektiem ir jābūt pietiekamām zināšanām par šo datu iegūšanas vai izpaušana kārtību un mērķiem.

45

Līdz ar to, ņemot vērā VDAR 14. panta 5. punkta c) apakšpunkta formulējumu visās valodu versijās, jāuzskata, ka šī tiesību norma jāsaprot kā atsauce uz personas datu iegūšanu vai izpaušanu.

46

Otrkārt, jākonstatē, ka VDAR 14. panta 5. punkta c) apakšpunkta formulējums tajā paredzēto izņēmumu neattiecina tikai uz personas datiem, kurus pārzinis ir ieguvis no personas, kas nav datu subjekts, tas arī neizslēdz datus, kurus, pildot savus uzdevumus, no šādiem datiem ir ģenerējis pārzinis pats.

47

No tā izriet, ka personas dati, kurus pārzinis ir “ieguvis” minētās tiesību normas izpratnē, ir visi dati, ko pārzinis ir ieguvis no personas, kura nav datu subjekts, un personas dati, kurus, pildot savu uzdevumu, pārzinis ģenerējis pats no datiem, kas iegūti no personas, kura nav datu subjekts.

48

Otrām kārtām, jānorāda, ka VDAR 14. panta materiālā piemērošanas joma ir definēta negatīvi salīdzinājumā ar šīs regulas 13. pantu. Kā izriet no šiem tiesību normu virsrakstiem, 13. pants attiecas uz informāciju, kas jāsniedz, ja personas dati ir iegūti no datu subjekta, savukārt 14. pants – uz informāciju, kura jāsniedz, ja personas dati nav iegūti no datu subjekta. Ņemot vērā šo dihotomiju, visi gadījumi, kad dati nav iegūti no datu subjekta, ietilpst minētā 14. panta materiālajā piemērošanas jomā.

49

Tālab no VDAR 13. un 14. panta kopīgas interpretācijas izriet, ka gan personas dati, kurus pārzinis ir ieguvis no personas, kas nav datu subjekts, gan pārziņa paša ģenerēti dati, kuri pēc savas būtības arī nav iegūti no datu subjekta, ietilpst 14. panta piemērošanas jomā. No tā izriet, ka minētā 14. panta 5. punkta c) apakšpunktā noteiktais izņēmums attiecas uz šīm abām datu kategorijām.

50

Trešām kārtām, VDAR 14. panta 5. punkta c) apakšpunkts jāinterpretē atbilstoši šīs regulas mērķim, kas, kā izriet no tās 1. panta, lasot to kopsakarā ar tās 1. un 10. apsvērumu, ir nodrošināt fizisko personu pamattiesību un brīvību, it īpaši viņu tiesību uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi, augstu aizsardzības līmeni, kas nostiprināts Pamattiesību hartas 8. panta 1. punktā un LESD 16. panta 1. punktā (šajā nozīmē skat. spriedumu, 2024. gada 7. marts, IAB Europe, C‑604/22, EU:C:2024:214, 53. punkts un tajā minētā judikatūra).

51

Šajā ziņā no VDAR 63. apsvēruma izriet, ka Savienības likumdevējs ir vēlējies, lai datu subjektam šīs regulas izpratnē būtu tiesības piekļūt personas datiem, kas par to ir ievākti, lai uzzinātu par to apstrādi un pārbaudītu tās likumību.

52

Tādējādi pārzini var atbrīvot no pienākuma sniegt informāciju, kas tam parasti ir pret datu subjektu, ar nosacījumu, ka šis datu subjekts spēj īstenot kontroli pār saviem personas datiem un īstenot tiesības, kas tam noteiktas VDAR.

53

Atbilstoši šīs regulas mērķim VDAR 14. panta 5. punkta c) apakšpunktā paredzētais izņēmums no pienākuma sniegt informāciju datu subjektam prasa, pirmkārt, lai pārziņa veiktā personas datu iegūšana vai izpaušana būtu skaidri paredzēta Savienības vai dalībvalsts tiesību aktos, kas attiecas uz šo pārzini. Otrkārt, šajos tiesību aktos jāparedz atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai.

54

No minētā izriet, ka, lai pilnībā atbilstu VDAR mērķim, šīs regulas 14. panta 5. punkta c) apakšpunkta piemērošanā stingri jāievēro šajā tiesību normā paredzētie nosacījumi, proti, tostarp, tas, ka pastāv tāds datu subjekta aizsardzības līmenis, kas ir vismaz līdzvērtīgs minētās regulas 14. panta 1.–4. punktā nodrošinātajam.

55

Ņemot vērā iepriekš minētos apsvērumus, uz pirmo jautājumu jāatbild, ka VDAR 14. panta 5. punkta c) apakšpunkts jāinterpretē tādējādi, ka šajā tiesību normā paredzētais izņēmums no pārziņa pienākuma sniegt informāciju datu subjektam vienlīdz attiecas uz visiem personas datiem, kurus pārzinis nav ieguvis tieši no datu subjekta, neatkarīgi no tā, vai pārzinis šos datus ieguvis no personas, kas nav datu subjekts, vai, pildot savus uzdevumus, ģenerējis pats.

56

Ar otro un trešo jautājumu, kas jāizskata kopā, iesniedzējtiesa būtībā vaicā, vai VDAR 14. panta 5. punkta c) apakšpunkts un 77. panta 1. punkts jāinterpretē tādējādi, ka uzraudzības iestādes kompetencē sūdzības procedūrā ir pārbaudīt, vai dalībvalsts tiesību aktos, kas attiecas uz pārzini, ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai, lai piemērotu minētajā 14. panta 5. punkta c) apakšpunktā paredzēto izņēmumu, un – apstiprinošas atbildes gadījumā – vai šī pārbaude attiecas arī uz to pasākumu atbilstību, kas pārzinim jāīsteno saskaņā ar šīs regulas 32. pantu, lai nodrošinātu personas datu apstrādes drošību.

57

Pirmām kārtām, jāatgādina, ka saskaņā ar VDAR 77. panta 1. punktu, neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, ja tas uzskata, ka viņa personas datu apstrāde pārkāpj šo regulu.

58

Attiecībā uz uzraudzības iestāžu kompetenci minētās regulas 55. panta 1. punktā paredzēts, ka katra uzraudzības iestāde savas dalībvalsts teritorijā ir kompetenta pildīt tai ar šo regulu uzticētos uzdevumus un īstenot pilnvaras.

59

Par tās uzdevumiem runājot – saskaņā ar VDAR 57. panta 1. punkta a) apakšpunktu katrai uzraudzības iestādei jāuzrauga un jāīsteno šīs regulas piemērošana.

60

VDAR nav nevienas tiesību normas, ar kuru šīs regulas 14. panta 5. punkta c) apakšpunktā paredzētā izņēmuma daži piemērošanas aspekti būtu izslēgti no šo uzraudzības iestāžu kompetences.

61

Atbilstoši šai tiesību normai pārzinim nav jāsniedz datu subjektam VDAR 14. panta 1., 2., un 4. punkta norādītā informācija, ja un ciktāl, pirmkārt, iegūšana vai izpaušana ir skaidri paredzēta Savienības vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim, un, otrkārt, šajos tiesību aktos ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai.

62

Tālab sūdzība atbilstoši VDAR 77. panta 1. punktam var tikt pamatota ar pārziņa pienākuma sniegt informāciju neizpildi, kas izriet no šīs regulas 14. panta 5. punkta c) apakšpunktā paredzētā izņēmuma piemērošanas nosacījumu neievērošanas.

63

Attiecībā uz pirmo nosacījumu, kas atgādināts šī sprieduma 61. punktā, uzraudzības iestādei, kurai iesniegta šāda sūdzība, var nākties pārbaudīt, vai Savienības vai valsts tiesību aktos ir paredzēts, ka pārzinim jāiegūst vai jāizpauž personas dati.

64

Saistībā ar otro nosacījumu jākonstatē – kā ģenerāladvokāte darījusi secinājumu 67. un 69. punktā –, ka frāzes “atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai” tvērums VDAR nav precizēts. Tomēr Savienības vai dalībvalsts tiesību normām, kurās ir paredzēti šādi pasākumi un kuras ir piemērojamas pārzinim, kā norādīts šī sprieduma 54. punktā, jānodrošina tāds datu subjekta aizsardzības līmenis attiecībā uz viņa personas datu apstrādi, kas būtu vismaz līdzvērtīgs šīs regulas 14. panta 1.–4. punktā paredzētajam. Tādējādi šīm tiesību normām jābūt tādām, kas datu subjektam ļauj īstenot kontroli pār saviem personas datiem un īstenot tam VDAR piešķirtās tiesības.

65

Šajā nolūkā it īpaši ir svarīgi, lai minētajās tiesību normās skaidri un paredzami būtu norādīts datu avots, no kura datu subjekts saņems informāciju par savu personas datu apstrādi.

66

Saistībā ar personas datu nosūtīšanu starp dalībvalsts struktūrām un to, ka pārzinis tos ģenerē no datiem, kas iegūti no personas, kura nav datu subjekts, jānorāda, ka gadījumā, ja pēdējais minētais iesniedz sūdzību, uzraudzības iestādei it īpaši būs jāpārbauda, vai attiecīgajos valsts vai Savienības tiesību aktos ir pietiekami precīzi definēti dažāda veida personas dati, kas jāiegūst vai jāizpauž, kā arī personas dati, kuri tam ir jāģenerē, pildot savus uzdevumus, un vai šajos tiesību aktos ir paredzēts, kā datu subjekts faktiski piekļūst VDAR 14. panta 1., 2. un 4. punktā minētajai informācijai.

67

Kā rakstveida apsvērumos uzsver Komisija, tas, vai uzraudzības iestāde pārbauda, vai ir izpildīti visi VDAR 14. panta 5. punkta c) apakšpunktā paredzētā izņēmuma piemērošanas nosacījumi, tomēr neietilpst attiecīgo valsts tiesību normu spēkā esamības pārbaudē. Šī iestāde lemj tikai par to, vai konkrētā gadījumā pārzinim ir vai nav tiesības attiecībā uz datu subjektu atsaukties uz šajā tiesību normā paredzēto izņēmumu.

68

Attiecībā uz šādas pārbaudes iznākumu jāatgādina, ka saskaņā ar šīs regulas 78. pantu – ja uzraudzības iestāde konkrētā gadījumā nolemj, ka datu subjekta sūdzība nav pamatota, datu subjektam savā dalībvalstī jābūt tiesībām uz efektīvu tiesību aizsardzību tiesā pret šo noraidošo lēmumu.

69

Savukārt, ja šī iestāde uzskata, ka sūdzība ir pamatota un minētās regulas 14. panta 5. punkta c) apakšpunktā paredzētā izņēmuma piemērošanas nosacījumi nav izpildīti, tā uzdod pārzinim sniegt datu subjektam informāciju saskaņā ar šīs pašas regulas 14. panta 1., 2. un 4. punktu.

70

Otrām kārtām, attiecībā uz to, vai šai pārbaudei jāietver arī to pasākumu atbilstība, kuri, ņemot vērā VDAR 32. pantu, pārzinim jāīsteno, lai nodrošinātu apstrādes drošību, jāuzsver, ka šīs regulas 14. panta 5. punkta c) apakšpunktā paredzēts izņēmums tikai no minētās regulas 14. panta 1., 2. un 4. punktā paredzētā pienākuma sniegt informāciju un nav paredzēta atkāpe no citās šīs pašas regulas tiesību normās, tostarp tās 32. pantā, ietvertajiem pienākumiem.

71

Pārzinim un varbūtējam apstrādātājam 32. pantā noteikts pienākums īstenot atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu pienācīgu personas datu apstrādes drošības līmeni. Šādu pasākumu atbilstība jāizvērtē konkrēti, ņemot vērā ar attiecīgo apstrādi saistītos riskus un novērtējot, vai šo pasākumu raksturs, saturs un īstenošana ir piemēroti šiem riskiem (šajā nozīmē skat. spriedumus, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 42., 46. un 47. punkts, kā arī 2024. gada 25. janvāris, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 37. un 38. punkts).

72

Ņemot vērā attiecīgos šo abu tiesību normu formulējumus, jānorāda, ka VDAR 32. pantā nostiprinātie pienākumi, kas jāievēro katrā ziņā un neatkarīgi no tā, vai pastāv vai nepastāv pienākums sniegt informāciju saskaņā ar šīs regulas 14. pantu, pēc to rakstura un tvēruma atšķiras no 14. pantā paredzētā pienākuma sniegt informāciju.

73

Tādējādi sūdzības saskaņā ar VDAR 77. panta 1. punktu gadījumā, pamatojoties uz to, ka pārzinis ir kļūdaini atsaucies uz šīs regulas 14. panta 5. punkta c) apakšpunktā paredzēto izņēmumu, uzraudzības iestādei veicamo pārbaužu priekšmetu ierobežo tikai minētās regulas 14. panta piemērošanas joma, jo tās 32. panta ievērošana šajās pārbaudēs neietilpst.

74

Ņemot vērā iepriekš minētos apsvērumus, uz otro un trešo jautājumu jāatbild, ka VDAR 14. panta 5. punkta c) apakšpunkts un 77. panta 1. punkts jāinterpretē tādējādi, ka sūdzības procedūrā uzraudzības iestādes kompetencē ir pārbaudīt, vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim, ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai, lai piemērotu 14. panta 5. punkta c) apakšpunktā paredzēto izņēmumu. Šī pārbaude tomēr neattiecas uz to pasākumu atbilstību, kuri, lai nodrošinātu personas datu apstrādes drošību, pārzinim jāīsteno saskaņā ar šīs regulas 32. pantu.

75

Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (trešā palāta) nospriež: