–

w imieniu RK – D. Sudolská, advokátka,

–

w imieniu rządu czeskiego – M. Smolek, O. Serdula i J. Vláčil, w charakterze pełnomocników,

–

w imieniu rządu niderlandzkiego – M.K. Bulterman i A. Hanje, w charakterze pełnomocników,

–

w imieniu Komisji Europejskiej – A. Bouchagiar, H. Kranenborg i P. Ondrůšek, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 2 ust. 1 i art. 4 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

2

Wniosek ten został złożony w ramach sporu między RK a Ministerstvo zdravotnictví (ministerstwem zdrowia, Republika Czeska, zwanym dalej „ministerstwem”) w przedmiocie przyjęcia przez ministerstwo środka nadzwyczajnego regulującego dostęp osób do określonych miejsc i imprez w celu ochrony ludności w obliczu rozprzestrzeniania się epidemii COVID-19.

3

Zgodnie z motywem 1 RODO „ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej […] oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących”.

4

Artykuł 2 tego rozporządzenia, zatytułowany „Materialny zakres stosowania”, stanowi w ust. 1:

„Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”.

5

W ustępie 2 tego artykułu wymieniono cztery sytuacje, w których RODO „nie ma zastosowania do przetwarzania danych osobowych”.

6

Zgodnie z art. 4 wspomnianego rozporządzenia:

„Na użytek niniejszego rozporządzenia:

[…]”.

7

Artykuły 5 i 6 tego rozporządzenia mają za przedmiot, odpowiednio, „[z]asady dotyczące przetwarzania danych osobowych” i „[z]godność przetwarzania z prawem”.

8

Zgodnie z motywem 48 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/953 z dnia 14 czerwca 2021 r. w sprawie ram wydawania, weryfikowania i uznawania interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 (unijne cyfrowe zaświadczenie COVID) w celu ułatwienia swobodnego przemieszczania się w czasie pandemii COVID-19 (Dz.U. 2021, L 211, s. 1):

„Do przetwarzania danych osobowych w ramach wykonywania niniejszego rozporządzenia zastosowanie ma [RODO]. W niniejszym rozporządzeniu ustanawia się podstawę prawną przetwarzania danych osobowych w rozumieniu art. 6 ust. 1 lit. c) i art. 9 ust. 2 lit. g) [RODO], niezbędnych do wydawania i weryfikowania interoperacyjnych zaświadczeń przewidzianych w niniejszym rozporządzeniu. […] Państwa członkowskie mogą przetwarzać dane osobowe do innych celów, jeżeli podstawa prawna przetwarzania takich danych do innych celów, w tym podstawa prawna odnosząca się do okresów zatrzymywania, jest przewidziana w prawie krajowym, które musi być zgodne z unijnym prawem o ochronie danych oraz z zasadami skuteczności, konieczności i proporcjonalności, a także powinno obejmować przepisy jasno określające zakres przetwarzania, konkretny cel, kategorie podmiotów, które mogą weryfikować zaświadczenie, a także odpowiednie zabezpieczenia przed dyskryminacją i nadużyciami, z uwzględnieniem zagrożeń dla praw i wolności osób, których dane dotyczą. […]”.

9

Artykuł 1 tego rozporządzenia, zatytułowany „Przedmiot”, stanowi:

„Niniejsze rozporządzenie określa ramy wydawania, weryfikowania i uznawania interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 (unijne cyfrowe zaświadczenie COVID) w celu ułatwienia ich posiadaczom korzystania z prawa do swobodnego przemieszczania się w czasie pandemii COVID-19. Niniejsze rozporządzenie przyczynia się również do ułatwienia stopniowego znoszenia ograniczeń swobodnego przemieszczania się wprowadzonych przez państwa członkowskie, zgodnie z prawem Unii, w celu ograniczenia rozprzestrzeniania się SARS-CoV-2, w skoordynowany sposób.

Stanowi ono podstawę prawną przetwarzania danych osobowych niezbędnych do wydawania takich zaświadczeń oraz podstawę prawną przetwarzania informacji niezbędnych do weryfikacji i potwierdzania autentyczności i ważności takich zaświadczeń z zachowaniem pełnej zgodności z [RODO]”.

10

Artykuł 3 tego rozporządzenia, zatytułowany „Unijne cyfrowe zaświadczenie COVID”, przewiduje w ust. 1, że ramy unijnego cyfrowego zaświadczenia COVID umożliwiają wydawanie, transgraniczne weryfikowanie i uznawanie zaświadczeń o szczepieniu, zaświadczeń o wyniku testu oraz zaświadczeń o powrocie do zdrowia. Ponadto zgodnie z ust. 2 „[p]aństwa członkowskie lub wyznaczone organy działające w imieniu państw członkowskich wydają zaświadczenia, o których mowa w ust. 1 niniejszego artykułu, w formie cyfrowej lub papierowej lub w obu tych formach. Przyszli posiadacze są uprawnieni do otrzymania zaświadczeń w wybranej przez siebie formie. Zaświadczenia te muszą być przyjazne dla użytkownika i zawierać interoperacyjny kod kreskowy umożliwiający weryfikację ich autentyczności, ważności i integralności. Kod kreskowy musi być zgodny ze specyfikacjami technicznymi ustanowionymi zgodnie z art. 9. Informacje zawarte w zaświadczeniach przedstawiane są również w formie czytelnej dla człowieka, co najmniej w języku urzędowym lub językach urzędowych wydającego państwa członkowskiego oraz w języku angielskim”.

11

Artykuł 5 ust. 2 lit. a), art. 6 ust. 2 lit. a) oraz art. 7 ust. 2 lit. a) wspomnianego rozporządzenia przewidują, że odpowiednio zaświadczenie o szczepieniu, zaświadczenie o wyniku testu i zaświadczenie o powrocie do zdrowia zawierają tożsamość posiadacza.

12

Artykuł 10 tego samego rozporządzenia, zatytułowany „Ochrona danych osobowych”, w czterech pierwszych ustępach przewiduje:

„1.   Do przetwarzania danych osobowych prowadzonego przy wdrażaniu niniejszego rozporządzenia stosuje się [RODO].

2.   Do celów niniejszego rozporządzenia dane osobowe zawarte w zaświadczeniach wydanych zgodnie z niniejszym rozporządzeniem są przetwarzane wyłącznie w celu uzyskania dostępu do informacji zawartych w zaświadczeniach i ich weryfikacji na potrzeby ułatwienia korzystania z prawa do swobodnego przemieszczania się w obrębie Unii w czasie pandemii COVID-19. Dane nie mogą być przetwarzane po zakończeniu okresu obowiązywania niniejszego rozporządzenia.

3.   Dane osobowe zawarte w zaświadczeniach, o których mowa w art. 3 ust. 1, są przetwarzane przez właściwe organy państwa członkowskiego przeznaczenia lub tranzytu, lub przez podmioty świadczące transgraniczne usługi transportu pasażerskiego, zobowiązane na mocy krajowych przepisów do wdrożenia niektórych środków ochrony zdrowia publicznego w czasie pandemii COVID-19, wyłącznie w celu zweryfikowania i potwierdzenia informacji na temat zaszczepienia posiadacza, jego wyniku testu lub powrotu do zdrowia. W tym celu dane osobowe muszą być ograniczone do tego, co jest absolutnie niezbędne. Dane osobowe, do których uzyskano dostęp zgodnie z niniejszym ustępem, nie mogą być zatrzymywane.

4.   Dane osobowe przetwarzane w celu wydawania zaświadczeń, o których mowa w art. 3 ust. 1, w tym wydawania nowych zaświadczeń, nie mogą być zatrzymywane przez podmiot wystawiający dłużej, niż ściśle wymaga tego ich cel, a w żadnym przypadku nie dłużej niż przez okres, przez który zaświadczenia mogą być wykorzystywane do korzystania z prawa do swobodnego przemieszczania się”.

13

W drodze środka nadzwyczajnego z dnia 29 grudnia 2021 r. (zwanego dalej „środkiem nadzwyczajnym”), przyjętego w celu ochrony ludności w obliczu dalszego rozprzestrzeniania się epidemii COVID-19, minister uzależnił od dnia 3 stycznia 2022 r. dostęp osób do określonych przestrzeni wewnątrz i na zewnątrz lub ich udział w imprezach masowych lub innych aktywnościach od spełnienia różnych warunków. Wymagano w szczególności, po pierwsze, negatywnego testu RT-PCR na obecność wirusa SARS-CoV-2 przeprowadzonego w ciągu ostatnich 72 godzin w przypadku osób, które nie ukończyły 18 lat, osób, które nie mogły poddać się szczepieniu przeciwko Covid-19 z powodu przeciwwskazań, a także osób nieposiadających pełnego cyklu szczepień; po drugie, upływu 14 dni od zakończenia pełnego cyklu szczepień zatwierdzoną szczepionką lub, po trzecie, od potwierdzonego laboratoryjnie zakażenia Covid-19, jeżeli upłynął okres izolacji i nie upłynęło 180 dni od ostatniego pozytywnego testu (zwane dalej „warunkami braku zakażenia”).

14

Środek nadzwyczajny zobowiązywał klientów (widzów, uczestników) do przedstawienia dowodu spełnienia warunków i nakładał na operatorów (organizatorów) obowiązek kontrolowania ich spełnienia poprzez „čTečka” – aplikację mobilną ministerstwa. Jeżeli klient nie wykazał, że spełnia wspomniane warunki, operatorowi nie wolno było świadczyć na jego rzecz usługi i udzielić mu dostępu do przestrzeni lub wydarzenia. Zgodnie ze środkiem nadzwyczajnym aplikacja ta zapewniała wiarygodną weryfikację autentyczności i ważności przedstawionego dokumentu potwierdzającego zawierającego kod QR.

15

W celu rozstrzygnięcia skargi o uchylenie środka nadzwyczajnego wniesionej przez RK w dniu 20 stycznia 2022 r. Nejvyšší správní soud (najwyższy sąd administracyjny, Republika Czeska), który jest sądem odsyłającym, uważa za konieczne zbadanie, czy kontrola warunków braku zakażenia za pomocą aplikacji zwanej čTečka” stanowi zautomatyzowane „przetwarzanie” danych osobowych w rozumieniu art. 4 pkt 2 RODO, przy czym sąd ten uważa, że informacje zawarte w unijnych zaświadczeniach cyfrowych stanowią dane osobowe w rozumieniu art. 4 pkt 1 tego rozporządzenia. Gdyby tak było, wspomniane rozporządzenie miałoby zastosowanie zgodnie z jego art. 2 ust. 1.

16

Sąd odsyłający wyjaśnia, że aplikacja „čTečka” umożliwia kontrolowanie i weryfikowanie ważności unijnych cyfrowych zaświadczeń COVID wydawanych zgodnie z rozporządzeniem 2021/953. Aplikacja ta skanuje kod QR zaświadczenia za pomocą aparatu fotograficznego w telefonie komórkowym osoby przeprowadzającej kontrolę. Osoba ta ma następnie wgląd w podstawowe dane identyfikacyjne posiadacza zaświadczenia (nazwisko, imię i data urodzenia) oraz statusu tego zaświadczenia, to jest jego ważności lub nieważności. Klikając na określony przycisk aplikacji, osoba przeprowadzająca kontrolę może uzyskać dostęp do wszystkich informacji wymienionych w zaświadczeniu, takich jak szczepienie, rodzaj szczepionki, producent szczepionki, liczba otrzymanych dawek, data szczepienia, data pierwszego dodatniego wyniku oraz wystawca zaświadczenia. Aplikacja „čTečka” ogranicza się do tymczasowego wyświetlania tych danych na ekranie telefonu komórkowego osoby przeprowadzającej kontrolę, w związku z czym dane te nie są ani zatrzymywane, ani przekazywane.

17

Sąd ten wskazuje, że w celu weryfikacji ważności unijnego cyfrowego zaświadczenia COVID aplikacja ta pobiera z interfejsu ministerstwa – raz na 24 godziny lub na żądanie – klucze publiczne zaświadczeń państw członkowskich oraz zasady walidacji państw członkowskich Proces ten może odbywać się również w trybie offline. Podczas instalowania aplikacji na telefonie komórkowym osoby przeprowadzającej kontrolę wyświetla się informacja, że „aplikacja čTečka jest wykorzystywana zgodnie z prawem Unii i prawem Republiki Czeskiej oraz ułatwia swobodne przemieszczanie się osób i dostęp do usług i imprez podczas pandemii COVID-19. Aplikacja przetwarza dane osobowe posiadaczy cyfrowych zaświadczeń COVID państw członkowskich Unii w celu ich kontroli przez osoby upoważnione na podstawie rozporządzenia Unii, środków nadzwyczajnych [ministerstwa] lub na zasadzie dobrowolności. Aplikacja nie zatrzymuje i nigdzie nie przesyła danych osobowych i dotyczących zdrowia osób kontrolowanych. Szczegółowe informacje na temat przetwarzania danych osobowych można znaleźć w warunkach użytkowania”.

18

Sąd odsyłający zauważa ponadto, że zgodnie z art. 3 ust. 2 rozporządzenia 2021/953 zaświadczenie wydane przez państwo członkowskie powinno zawierać interoperacyjny kod kreskowy umożliwiający weryfikację jego autentyczności, ważności i integralności. Wskazuje on, że konwersja danych osobowych, o których mowa w pkt 16 niniejszego wyroku, z formatu nadającego się do odczytu maszynowego w format czytelny dla człowieka jest dokonywana za pomocą zautomatyzowanego procesu, a mianowicie aplikacji „čTečka”, co może stanowić przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO.

19

Sąd odsyłający ma jednak wątpliwości co do tego, czy sama operacja konwersji i wyświetlanie tych danych na telefonie komórkowym stanowią „przetwarzanie” w rozumieniu tego przepisu, tym bardziej że te dwie operacje nie mogą prowadzić do stanowiącego nadużycie używania lub wykorzystywania danych osobowych ani do ingerencji w prawo do ochrony tych danych, ponieważ aplikacja nie przekazuje uzyskanych w ten sposób danych.

20

Sąd odsyłający uważa ponadto, że sprawdzenie ważności zaświadczenia za pomocą aplikacji „čTečka” może również stanowić przetwarzanie danych osobowych, ponieważ operacja ta prowadzi do wykorzystania zawartych w tym zaświadczeniu danych osobowych, które odnoszą się do zdrowia kontrolowanej osoby. Aby móc bowiem ocenić, czy zaświadczenie jest ważne, czy nie, oraz aby ustalić, czy osoba, której dane dotyczą, spełnia warunki braku zakażenia przewidziane w środku nadzwyczajnym, aplikacja powinna koniecznie porównać informacje dotyczące zdrowia tej osoby, takie jak data szczepienia, z obowiązującymi w tym czasie zasadami walidacji.

21

Wreszcie sąd ten uważa, że przetwarzanie danych osobowych może stanowić połączenie procesów przeprowadzanych w ramach kontroli zaświadczeń za pomocą aplikacji „čTečka”, a mianowicie konwersja danych osobowych z kodu QR w format czytelny dla człowieka, ich wyświetlanie na telefonie komórkowym, zapoznanie się z nimi przez kontrolera oraz ocenę ważności zaświadczenia poprzez tę aplikację poprzez porównanie danych osobowych dotyczących zdrowia z zasadami walidacji. Chociaż operacje te, rozpatrywane indywidualnie, mogą nie stanowić przetwarzania w rozumieniu art. 4 pkt 2 RODO, ich zestawienie może prowadzić do takiej kwalifikacji.

22

W tym kontekście sąd ten wskazuje, że art. 10 ust. 1 i 3 rozporządzenia 2021/953 wyraźnie przewiduje, że na potrzeby wykonywania prawa do swobodnego przemieszczania się wewnątrz Unii do przetwarzania danych osobowych zawartych w unijnych cyfrowych zaświadczeniach COVID stosuje się RODO. Ponadto zgodnie z motywem 48 rozporządzenia 2021/953 przetwarzanie danych osobowych zawartych w zaświadczeniach powinno być objęte jednolitym reżimem prawnym.

23

W tych okolicznościach Nejvyšší správní soud (najwyższy sąd administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:

„Czy przy weryfikowaniu ważności interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19, wydawanych zgodnie z rozporządzeniem [2021/953], które Republika Czeska stosuje do celów krajowych, w krajowej aplikacji „čTečka” dochodzi do przetwarzania danych osobowych w sposób zautomatyzowany w rozumieniu art. 4 pkt 2 [RODO], tak że działanie to jest objęte materialnym zakresem stosowania [tego rozporządzenia] zgodnie z art. 2 ust. 1 [RODO]?”.

24

Poprzez pytanie prejudycjalne sąd odsyłający dąży w istocie do ustalenia, czy pojęcie „przetwarzania” danych osobowych, o którym mowa w art. 4 pkt 2 RODO, należy interpretować w ten sposób, że obejmuje ono weryfikację, za pomocą krajowej aplikacji mobilnej, ważności interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 wydawanych zgodnie z rozporządzeniem 2021/953 i wykorzystywanych przez państwo członkowskie do celów krajowych.

25

Bezsporne jest, że wiele informacji, do których osoba przeprowadzająca kontrolę uzyskuje dostęp podczas kontroli ważności unijnego cyfrowego zaświadczenia COVID, przedstawione w pkt 16 niniejszego wyroku, stanowi „dane osobowe” w rozumieniu art. 4 pkt 1 RODO. Z przepisu tego wynika bowiem, że pojęcie „danych osobowych” oznacza „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej” i że identyfikacja ta może wynikać w szczególności z użycia nazwiska osoby, której dane dotyczą.

26

W tym względzie wystarczy stwierdzić, że art. 5 ust. 2 lit. a), art. 6 ust. 2 lit. a) oraz art. 7 ust. 2 lit. a) rozporządzenia 2021/953 przewidują, że odpowiednio zaświadczenie o szczepieniu, zaświadczenie o wyniku testu i zaświadczenie o powrocie do zdrowia zawierają tożsamość posiadacza.

27

Mając to na uwadze, należy zauważyć, że art. 4 pkt 2 RODO definiuje pojęcie „przetwarzania” jako „[każdą] operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany”. W niewyczerpującym wyliczeniu wprowadzonym wyrażeniem „taką jak” przepis ten wymienia jako przykłady przetwarzania przeglądanie i wykorzystywanie danych osobowych. Z brzmienia tego przepisu, a w szczególności z wyrażenia „[każdą] operację”, wynika zatem, że prawodawca Unii zamierzał nadać pojęciu „przetwarzania” szeroki zakres [zob. podobnie wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych do celów podatkowych), C‑175/20, EU:C:2022:124, pkt 35].

28

Ta szeroka wykładnia pojęć „danych osobowych” i „przetwarzania” jest zgodna z celem polegającym na zapewnieniu skuteczności prawa podstawowego do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, o którym mowa w motywie 1 RODO, który determinuje stosowanie tego rozporządzenia.

29

Tymczasem w niniejszej sprawie krajowa aplikacja mobilna, taka jak aplikacja „čTečka”, skanuje kod QR znajdujący się w unijnym cyfrowym zaświadczeniu COVID w celu konwersji danych osobowych objętych tym kodem w format czytelny dla osoby odpowiedzialnej za kontrolę ważności tego zaświadczenia. W ten sposób taka aplikacja umożliwia osobie odpowiedzialnej za przeprowadzenie kontroli przeglądanie, w następstwie zautomatyzowanego procesu, a mianowicie skanowania, danych osobowych i wykorzystywanie ich w celu oceny, czy sytuacja danej osoby jest zgodna z zasadami zatwierdzania, innymi słowy z mającymi zastosowanie wymogami sanitarnymi. Wynik tej oceny jest również zautomatyzowany, ponieważ na telefonie komórkowym kontrolera pojawia się zielony haczyk, gdy wymagania zdrowotne są spełnione, a czerwony krzyżyk, gdy nie są spełnione.

30

Należy zatem uznać, że weryfikacja za pomocą aplikacji „čTečka” ważności interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 wydawanych zgodnie z rozporządzeniem 2021/953 stanowi „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO i jest zgodnie z art. 2 ust. 1 RODO objęta przedmiotowym zakresem stosowania tego rozporządzenia.

31

Wykładnia, o której mowa w pkt 30 niniejszego wyroku, znajduje potwierdzenie w rozporządzeniu 2021/953, które przewiduje, że wdrożenie unijnego cyfrowego zaświadczenia COVID stanowi przetwarzanie w rozumieniu art. 4 pkt 2 RODO. Artykuł 1 ust. 2 rozporządzenia 2021/953 przewiduje bowiem, że rozporządzenie to „stanowi podstawę prawną przetwarzania danych osobowych niezbędnych do wydawania takich zaświadczeń oraz podstawę prawną przetwarzania informacji niezbędnych do weryfikacji i potwierdzania autentyczności i ważności takich zaświadczeń z zachowaniem pełnej zgodności z [RODO]”. Ponadto z motywu 48 rozporządzenia 2021/953 wynika, po pierwsze, że RODO ma zastosowanie do przetwarzania danych osobowych dokonywanego podczas wdrażania rozporządzenia 2021/953, a po drugie, że rozporządzenie to ustanawia podstawę prawną, w rozumieniu art. 6 ust. 1 lit. c) i art. 9 ust. 2 lit. g) RODO, przetwarzania danych osobowych, niezbędną do wydawania i weryfikowania interoperacyjnych zaświadczeń przewidzianych w rozporządzeniu 2021/953. Artykuł 10 ust. 1 tego rozporządzenia również potwierdza, że RODO ma zastosowanie do przetwarzania danych osobowych w ramach wdrażania rozporządzenia 2021/953.

32

Do sądu odsyłającego będzie zatem należało zbadanie, czy przetwarzanie wprowadzone w drodze środka nadzwyczajnego jest, po pierwsze, zgodne z zasadami dotyczącymi przetwarzania danych określonymi w art. 5 RODO, a po drugie, czy jest zgodne z jedną z zasad dotyczących zgodności przetwarzania z prawem wymienionych w art. 6 tego rozporządzenia [zob. w szczególności wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 96; z dnia 4 maja 2023 r., Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, pkt 57].

33

W świetle powyższych rozważań na przedłożone pytanie należy udzielić następującej odpowiedzi: pojęcie „przetwarzania” danych osobowych, o którym mowa w art. 4 pkt 2 RODO, należy interpretować w ten sposób, że obejmuje ono weryfikację, za pomocą krajowej aplikacji mobilnej, ważności interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 wydawanych zgodnie z rozporządzeniem 2021/953 i wykorzystywanych przez państwo członkowskie do celów krajowych.

34

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (ósma izba) orzeka, co następuje:

Pojęcie „przetwarzania” danych osobowych, o którym mowa w art. 4 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

obejmuje ono weryfikację, za pomocą krajowej aplikacji mobilnej, ważności interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19, wydawanych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/953 z dnia 14 czerwca 2021 r. w sprawie ram wydawania, weryfikowania i uznawania interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 (unijne cyfrowe zaświadczenie COVID) w celu ułatwienia swobodnego przemieszczania się w czasie pandemii COVID-19 i wykorzystywanych przez państwo członkowskie do celów krajowych.