–

w imieniu la Nemzeti Adatvédelmi és Információszabadság Hatóság – G.J. Dudás, ügyvéd,

–

w imieniu UC – D. Karsai oraz V. Łuszcz, ügyvédek,

–

w imieniu rządu węgierskiego – Zs. Biró-Tóth i M.Z. Fehér, w charakterze pełnomocników,

–

w imieniu rządu czeskiego – L. Březinová, M. Smolek oraz J. Vláčil, w charakterze pełnomocników,

–

w imieniu Komisji Europejskiej – A. Bouchagiar, C. Kovács oraz H. Kranenborg, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 14 ust. 1 i ust. 5 lit. c), art. 32, a także art. 77 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

2

Wniosek ten został złożony w ramach sporu pomiędzy Nemzeti Adatvédelmi és Információszabadság Hatóság (krajowym urzędem ds. ochrony danych i wolności informacji, Węgry, zwanym dalej „organem krajowym”) a UC w przedmiocie istnienia obowiązku informacyjnego dotyczącego przetwarzania danych osobowych przez Budapest Főváros Kormányhivatala (delegaturę administracji rządowej w mieście stołecznym Budapeszt, Węgry) (zwaną dalej „organem wydającym”), który to organ był odpowiedzialny za wydawanie świadectw odporności osobom zaszczepionym przeciwko COVID-19 lub osobom, które przebyły tę chorobę.

3

Zgodnie z motywami 1, 10 oraz 61–63 RODO:

[…]

[…]

4

Artykuł 2 tego rozporządzenia, zatytułowany „Przedmiot i cele”, stanowi w ust. 2:

„Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”.

5

Artykuł 4 wspomnianego rozporządzenia, zatytułowany „Definicje”, stanowi:

„Na użytek niniejszego rozporządzenia:

[…]

[…]”.

6

Artykuł 6 RODO, zatytułowany „Zgodność przetwarzania z prawem”, stanowi w ust. 1:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

[…]

[…]

[…]”.

7

Artykuł 9 tego rozporządzenia, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, stanowi w ust. 1 i 2:

„1.   Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

2.   Ust[ęp] 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

[…]

[…]”.

8

Rozdział III RODO, zatytułowany „Prawa osoby, której dane dotyczą”, zawiera kilka sekcji, w tym sekcję 2, zatytułowaną „Informacje i dostęp do danych osobowych”.

9

W owej sekcji 2 znajdują się: art. 13, dotyczący „informacj[i] podawan[ych] w przypadku zbierania danych od osoby, której dane dotyczą”, art. 14 dotyczący „informacj[i] podawan[ych] w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą” oraz art. 15, dotyczący „praw[a] dostępu przysługujące[go] osobie, której dane dotyczą”.

10

Zgodnie z art. 14 tego rozporządzenia:

„1.   Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:

2.   Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:

[…]

4.   Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

5.   „Ust[ępy] 1–4 nie mają zastosowania, gdy – i w zakresie, w jakim:

11

Artykuł 32 RODO, zatytułowany „Bezpieczeństwo przetwarzania”, ma następujące brzmienie:

„1.   Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

2.   Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3.   Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.

4.   Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego”.

12

Artykuł 55 tego rozporządzenia, zatytułowany „Właściwość, zadania i uprawnienia”, stanowi w ust. 1:

„Każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego”.

13

Artykuł 57 RODO, zatytułowany „Zadania”, stanowi w ust. 1:

„Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:

[…]

[…]”.

14

Artykuł 58 tego rozporządzenia, zatytułowany „Uprawnienia”, stanowi w ust. 3:

„Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie wydawania zezwoleń i uprawnienia doradcze:

[…]

[…]”.

15

Artykuł 77 wskazanego rozporządzenia, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, stanowi w ust. 1:

„Bez uszczerbku dla innych [środków] administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie”.

16

Artykuł 78 RODO, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”, ma następujące brzmienie:

„1.   Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej.

2.   Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy właściwy zgodnie z art. 55 i 56 nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi wniesionej zgodnie z art. 77.

3.   Postępowanie przeciwko organowi nadzorczemu zostaje wszczęte przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

4.   Jeżeli postępowanie zostało wszczęte przeciwko decyzji organu nadzorczego, którą poprzedziła opinia lub decyzja Europejskiej Rady Ochrony Danych w ramach mechanizmu spójności, organ nadzorczy przekazuje sądowi tę opinię lub decyzję”.

17

Artykuł 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/953 z dnia 14 czerwca 2021 r. w sprawie ram wydawania, weryfikowania i uznawania interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 (unijne cyfrowe zaświadczenie COVID) w celu ułatwienia swobodnego przemieszczania się w czasie pandemii COVID-19 (Dz.U. 2021, L 211, s. 1), zatytułowany „Ochrona danych osobowych”, stanowił w ust. 1:

„Do przetwarzania danych osobowych prowadzonego przy wdrażaniu niniejszego rozporządzenia stosuje się [RODO]”.

18

Zgodnie z § 2 ust. 1 koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet [dekretu rady ministrów nr 60/2021 (II.12) w sprawie świadectwa odporności na koronawirusa] z dnia 12 lutego 2021 r. w wersji obowiązującej w odniesieniu do sporu będącego przedmiotem postępowania głównego (zwanego dalej „dekretem nr 60/2021”):

„Świadectwo odporności zawiera:

19

Zgodnie z § 2 ust. 6 i 7 dekretu nr 60/2021 świadectwo odporności wydawane jest osobie fizycznej uprawnionej do jego otrzymania przez organ wydający, działający z urzędu lub na wniosek takiej osoby.

20

Paragraf 3 ust. 3 tego dekretu stanowi:

„W przypadkach, o których mowa w § 2 ust. 6 lit. c) i d), organ wydający zbiera w drodze automatycznego przekazywania informacji, w razie potrzeby z wykorzystaniem odpowiednich usług rejestru porządkowania elektronicznego danych identyfikacyjnych, od następujących podmiotów następujące dane:

21

UC, będący osobą fizyczną, otrzymał od organu wydającego, na podstawie dekretu nr 60/2021, świadectwo odporności potwierdzające szczepienie przeciwko COVID-19.

22

W dniu 30 kwietnia 2021 r. UC wszczął postępowanie administracyjne dotyczące przetwarzania dotyczących go danych osobowych, wnosząc do organu krajowego skargę na podstawie art. 77 ust. 1 RODO, mającą na celu nakazanie organowi wydającemu dostosowania prowadzonych przez ów organ operacji przetwarzania danych do przepisów RODO. W swojej skardze skarżący podniósł w szczególności, że organ wydający nie sporządził i nie opublikował oświadczenia dotyczącego ochrony danych osobowych w związku z wydawaniem świadectw odporności, a także że nie przedstawiono wystarczających informacji na temat celu i podstawy prawnej przetwarzania tych danych ani na temat praw przysługujących osobom, których dane dotyczą, i sposobu ich wykonywania.

23

W postępowaniu wszczętym na podstawie tej skargi organ wydający oświadczył, że wykonuje swoje zadania związane z wydawaniem świadectw odporności na podstawie art. 2 dekretu nr 60/2021 oraz że postawę prawną przetwarzania danych osobowych stanowi art. 6 ust. 1 lit. e) RODO, zaś w odniesieniu do przetwarzania danych osobowych należących do szczególnych kategorii – art. 9 ust. 2 lit. i) tego rozporządzenia.

24

Ponadto organ wydający wskazał, że otrzymuje dane osobowe, które przetwarza, od innego podmiotu, zgodnie z przepisami dekretu nr 60/2021. Na tej podstawie organ ten stwierdził, że zgodnie z art. 14 ust. 5 lit. c) RODO nie jest on zobowiązany do podawania informacji w przedmiocie przetwarzania danych. Mimo to sporządził i opublikował on na swojej stronie internetowej żądane oświadczenie o ochronie danych osobowych.

25

Decyzją z dnia 15 listopada 2021 r. organ krajowy oddalił żądanie UC i stwierdził brak obowiązku informacyjnego po stronie organu wydającego, podając w uzasadnieniu, że przetwarzanie danych osobowych, o którym mowa, jest objęte wyjątkiem przewidzianym w art. 14 ust. 5 lit. c) RODO.

26

W szczególności organ ten uznał, że dekret nr 60/2021 stanowi podstawę prawną przetwarzania i że nakłada on wyraźnie na organ wydający obowiązek zbierania owych danych. Zdaniem rzeczonego organu publikacja informacji o przetwarzaniu danych osobowych przez organ wydający na jego stronie internetowej stanowiła dobrą praktykę, a nie obowiązek prawny.

27

Ponadto organ krajowy zbadał z urzędu, czy istnieją odpowiednie środki mające na celu ochronę uzasadnionych interesów osoby, której dane dotyczą, w rozumieniu art. 14 ust. 5 lit. c) część druga zdania RODO, i uznał, że za takie należy uznać przepisy art. 2, 3 i 5–7 dekretu nr 60/2021.

28

UC wniósł skargę na tę decyzję do Fővárosi Törvényszék (sądu dla miasta stołecznego Budapeszt, Węgry), który uchylił wspomnianą decyzję i nakazał temu organowi ponowne rozpatrzenie sprawy.

29

W swoim wyroku sąd ten uznał, że wyjątek przewidziany w art. 14 ust. 5 lit. c) RODO nie ma zastosowania, ponieważ niektóre dane osobowe przedstawione w związku ze świadectwami odporności nie zostały pozyskane przez administratora od innego podmiotu, lecz zostały wygenerowane przez samego administratora w ramach wykonywania jego zadań. Zdaniem tego sądu było tak w przypadku numeru seryjnego świadectwa odporności, daty upływu ważności świadectwa wydanego osobie, która przebyła chorobę, kodu QR znajdującego się na karcie, kodu kreskowego i innych kodów alfanumerycznych umieszczonych w piśmie przewodnim towarzyszącym przekazywanemu świadectwu, a także danych osobowych wygenerowanych w procesie zarządzania aktami administratora danych. Zdaniem tego sądu jedynie dane osobowe pozyskane od innego podmiotu mogły być objęte wyjątkiem przewidzianym w art. 14 ust. 5 lit. c) RODO.

30

Organ krajowy wniósł od tego wyroku nadzwyczajną skargę kasacyjną do Kúria (sądu najwyższego, Węgry), który jest sądem odsyłającym.

31

W tym kontekście sąd ten zastanawia się przede wszystkim nad kwestią, czy wyjątek przewidziany w art. 14 ust. 5 lit. c) RODO może mieć zastosowanie do każdego przetwarzania danych osobowych, z wyłączeniem przetwarzania, którego przedmiotem są dane osobowe zebrane od osoby, której dane te dotyczą.

32

Jeśli tak, to sąd ten stawia sobie pytanie, czy w ramach postępowania w sprawie skargi na podstawie art. 77 ust. 1 RODO organ nadzorczy jest właściwy do zweryfikowania, w celu wydania rozstrzygnięcia w przedmiocie możliwości zastosowania tego wyjątku, czy prawo krajowe administratora przewiduje odpowiednie środki służące ochronie uzasadnionych interesów osoby, której dane dotyczą.

33

W przypadku odpowiedzi twierdzącej sąd odsyłający pragnie wreszcie ustalić, czy weryfikacja ta dotyczy również odpowiedniego charakteru środków, które administrator jest zobowiązany wdrożyć na podstawie art. 32 RODO w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

34

W tych okolicznościach Kúria (sąd najwyższy) postanowił zawiesić postępowanie i skierować do Trybunału następujące pytania prejudycjalne:

35

W dniu 16 stycznia 2024 r. Trybunał wezwał strony postępowania i zainteresowane strony, o których mowa w art. 23 statutu Trybunału Sprawiedliwości Unii Europejskiej, do udzielenia na piśmie odpowiedzi na określone pytania, na podstawie art. 61 regulaminu postępowania przed Trybunałem. Skarżący i pozwana w postępowaniu głównym, rządy węgierski i czeski oraz Komisja Europejska udzielili odpowiedzi na te pytania.

36

Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 14 ust. 5 lit. c) RODO należy interpretować w ten sposób, że przewidziany w tym przepisie wyjątek od ciążącego na administratorze obowiązku informowania osoby, której dane dotyczą, dotyczy wyłącznie danych osobowych, które administrator pozyskał od osoby innej niż osoba, której dane dotyczą, czy też dotyczy on również danych osobowych, które administrator ten wygenerował sam w ramach wykonywania swoich zadań.

37

Artykuł 14 ust. 1, 2 i 4 tego rozporządzenia określa informacje, które administrator jest zobowiązany udzielić osobie, której dane dotyczą, w rozumieniu art. 4 pkt 1 wskazanego rozporządzenia, jeżeli dane osobowe nie zostały pozyskane od tej osoby.

38

Artykuł 14 ust. 5 rzeczonego rozporządzenia ustanawia wyjątki od tego obowiązku. Wśród tych wyjątków w art. 14 ust. 5 lit. c) przewidziano, że ów obowiązek nie ma zastosowania, gdy – i w zakresie, w jakim – pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą.

39

W celu ustalenia, czy wyjątek ten obejmuje dane osobowe wygenerowane przez samego administratora w ramach wykonywania jego zadań na podstawie danych uzyskanych od osoby innej niż osoba, której dane dotyczą, należy zgodnie z utrwalonym orzecznictwem wziąć pod uwagę nie tylko brzmienie przepisu ustanawiającego ten wyjątek, lecz także kontekst tego przepisu oraz cele regulacji, której część on stanowi (zob. podobnie wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, pkt 32 i przytoczone tam orzecznictwo).

40

W pierwszej kolejności należy określić, w świetle brzmienia art. 14 ust. 5 lit. c) RODO, cel „pozyskania lub ujawniania”, o którym mowa w tym przepisie.

41

Po pierwsze, istnieje bowiem rozbieżność między różnymi wersjami językowymi tego przepisu. Francuska wersja językowa tego przepisu odnosi się do pozyskiwania lub ujawniania „informacji”, podczas gdy przede wszystkim wersje językowe węgierska („adat”), estońska („isikuandmed”), chorwacka („podataka”), litewska („duomenų”), niderlandzka („gegevens”), portugalska („dados”), rumuńska („datelor”), a także szwedzka („uppgifter”) odnoszą się do pozyskiwania lub udostępniania „danych”, następnie fińska wersja językowa zawiera termin („tietojen”), który może odnosić się jednocześnie do „danych” lub „informacji”, a wreszcie wersje w językach bułgarskim, hiszpańskim, czeskim, duńskim, niemieckim, greckim, angielskim, włoskim, łotewskim, maltańskim, polskim, słowackim i słoweńskim nie wymieniają przedmiotu pozyskania lub ujawniania.

42

Tymczasem zgodnie z równie utrwalonym orzecznictwem sformułowania użytego w jednej z wersji językowych przepisu prawa Unii nie można traktować jako jedynej podstawy jego wykładni lub przyznawać mu w tym zakresie pierwszeństwa względem innych wersji językowych. Przepisy prawa Unii należy bowiem interpretować i stosować w sposób jednolity w świetle wersji sporządzonych we wszystkich językach urzędowych Unii. W przypadku wystąpienia rozbieżności między różnymi wersjami językowymi tekstu aktu prawnego Unii dany przepis należy interpretować z uwzględnieniem ogólnej systematyki i celu uregulowania, którego stanowi część (wyrok z dnia 21 marca 2024 r., Cobult, C‑76/23, EU:C:2024:253, pkt 25 i przytoczone tam orzecznictwo).

43

Co się tyczy ogólnej systematyki RODO, art. 14 ust. 5 tego rozporządzenia należy interpretować w świetle jego motywów 61 i 62, które odnoszą się z jednej strony do „danych osobowych […] uzysk[anych] [i] danych osobowych […] ujawni[onych]”, a także do „utrwaleni[a] lub ujawnieni[a] danych […] wyraźnie przewidziane[go] prawem”, a z drugiej strony do „informacji […] dostarcz[onych]” lub „informacji [, które] należy przedstawić”. Wykładnia, zgodnie z którą „pozyskiwanie lub ujawnianie” w rozumieniu art. 14 ust. 5 lit. c) RODO dotyczy danych osobowych, znajduje ponadto potwierdzenie w szerokim zakresie pojęcia „przetwarzania” w rozumieniu art. 4 pkt 2 RODO, który obejmuje każdą operację wykonywaną na danych osobowych [zob. podobnie wyrok z dnia 5 października 2023 r., Ministerstvo zdravotnictví (Aplikacja mobilna Covid-19), C‑659/22, EU:C:2023:745, pkt 27 i przytoczone tam orzecznictwo].

44

Co się tyczy celu regulacji, której część stanowi art. 14 ust. 5 lit. c) RODO, wystarczy zauważyć, podobnie jak uczyniła to rzecznik generalna w pkt 31 opinii, że ratio legis tego wyjątku polega na tym, iż obowiązek informowania osoby, której dane dotyczą, nałożony w art. 14 ust. 1, 2 i 4 tego rozporządzenia nie jest uzasadniony, gdy inny przepis prawa Unii lub prawa państwa członkowskiego nakłada na administratora w sposób wystarczająco kompletny i wiążący obowiązek udzielenia tej osobie informacji dotyczących pozyskania lub ujawnienia danych osobowych. W sytuacji objętej zakresem regulacji art. 14 ust. 5 lit. c) osoby, których dane dotyczą, muszą bowiem posiadać wystarczającą wiedzę na temat sposobów i celów pozyskania lub ujawnienia tych danych.

45

W konsekwencji należy stwierdzić w świetle brzmienia art. 14 ust. 5 lit. c) RODO we wszystkich jego wersjach językowych, że przepis ten należy rozumieć jako odnoszący się do pozyskania lub ujawnienia danych osobowych.

46

Po drugie, należy stwierdzić, że brzmienie art. 14 ust. 5 lit. c) RODO nie ogranicza przewidzianego w nim wyjątku jedynie do danych osobowych pozyskanych przez administratora od osoby innej niż osoba, której dane dotyczą, ani też nie wyklucza danych, które zostały wygenerowane przez samego administratora w ramach wykonywania jego zadań przy wykorzystaniu takich danych.

47

Wynika z tego, że dane osobowe, które zostały „pozyskane” przez administratora w rozumieniu tego przepisu, to wszystkie dane, które ten ostatni zebrał od osoby innej niż osoba, której dane dotyczą, oraz dane, które sam wygenerował w ramach wykonywania swoich zadań na podstawie danych uzyskanych od osoby innej niż osoba, której dane dotyczą.

48

W drugiej kolejności należy zauważyć, że przedmiotowy zakres stosowania art. 14 RODO został określony w sposób negatywny w stosunku do art. 13 tego rozporządzenia. Jak wynika z samych tytułów tych przepisów, art. 13 dotyczy informacji, które należy podać, w sytuacji gdy dane osobowe są zbierane od osoby, której dane dotyczą, podczas gdy art. 14 dotyczy informacji, które należy podać w sytuacji, gdy dane osobowe nie są pozyskiwane od osoby, której dane dotyczą. Z uwagi tę dychotomię wszystkie przypadki, w których dane nie są zbierane od osoby, której dane dotyczą, wchodzą w przedmiotowy zakres stosowania wspomnianego art. 14.

49

W związku z tym z wykładni art. 13 w związku z art. 14 RODO wynika, że zarówno dane osobowe uzyskane przez administratora od osoby innej niż osoba, której dane dotyczą, jak i dane wygenerowane przez samego administratora, które ze swej natury również nie zostały uzyskane od osoby, której dane dotyczą, są objęte zakresem stosowania art. 14. Wynika z tego, że wyjątek ustanowiony w art. 14 ust. 5 lit. c) obejmuje te dwie kategorie danych.

50

W trzeciej kolejności należy stwierdzić, że art. 14 ust. 5 lit. c) RODO powinien być interpretowany w sposób zgodny z celem realizowanym przez to rozporządzenie, który polega w szczególności – jak wynika z jego art. 1 w związku z jego motywami 1 i 10 – na zapewnieniu wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do życia prywatnego w zakresie przetwarzania danych osobowych, ustanowionego w art. 8 ust. 1 karty praw podstawowych i w art. 16 ust. 1 TFUE (zob. podobnie wyrok z dnia 7 marca 2024 r., IAB Europe, C‑604/22, EU:C:2024:214, pkt 53 i przytoczone tam orzecznictwo).

51

W tym względzie z motywu 63 RODO wynika, że prawodawca Unii chciał, aby osoba, której dane dotyczą, w rozumieniu tego rozporządzenia, miała prawo dostępu do zebranych danych jej dotyczących, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem.

52

W związku z tym administrator może zostać zwolniony z obowiązku informacyjnego spoczywającego na nim zwykle wobec osoby, której dane dotyczą, pod warunkiem że osoba ta jest w stanie sprawować kontrolę nad swoimi danymi osobowymi i wykonywać prawa przyznane jej na mocy RODO.

53

Zgodnie z celem realizowanym przez to rozporządzenie wyjątek od obowiązku informowania osoby, której dane dotyczą, przewidziany w art. 14 ust. 5 lit. c) RODO wymaga, po pierwsze, aby pozyskanie lub ujawnienie danych osobowych przez administratora było wyraźnie przewidziane w prawie Unii lub w prawie państwa członkowskiego, któremu podlega ów administrator. Z drugiej strony prawo to powinno przewidywać odpowiednie środki służące zapewnieniu ochrony uzasadnionych interesów osoby, której dane dotyczą.

54

Wynika z tego, że aby stosowanie art. 14 ust. 5 lit. c) tego rozporządzenia było w pełni zgodne z celem realizowanym przez RODO, jest ono uzależnione od skrupulatnego przestrzegania warunków przewidzianych w tym przepisie, a mianowicie w szczególności od istnienia poziomu ochrony osoby, której dane dotyczą, który jest co najmniej równoważny poziomowi ochrony gwarantowanemu przez art. 14 ust. 1–4 tego rozporządzenia.

55

W świetle powyższych argumentów na pytanie pierwsze należy odpowiedzieć, iż art. 14 ust. 5 lit. c) RODO należy interpretować w ten sposób, że przewidziany w tym przepisie wyjątek od ciążącego na administratorze obowiązku informowania osoby, której dane dotyczą, dotyczy bez rozróżnienia wszystkich danych osobowych, których administrator nie zebrał bezpośrednio od osoby, której dane dotyczą, niezależnie od tego, czy dane te zostały pozyskane przez administratora od osoby innej niż osoba, której dane dotyczą, czy też zostały one wygenerowane przez samego administratora w ramach wykonywania jego zadań.

56

Poprzez pytania drugie i trzecie, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 14 ust. 5 lit. c) i art. 77 ust. 1 RODO należy interpretować w ten sposób, że w ramach postępowania w sprawie skargi organ nadzorczy jest właściwy do zweryfikowania, czy prawo państwa członkowskiego, któremu podlega administrator, przewiduje odpowiednie środki ochrony uzasadnionych interesów osoby, której dane dotyczą, na potrzeby zastosowania wyjątku przewidzianego w tym art. 14 ust. 5 lit. c), a jeśli tak, to czy weryfikacja ta dotyczy również odpowiedniego charakteru środków, które administrator jest zobowiązany wdrożyć na podstawie art. 32 tego rozporządzenia w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

57

W pierwszej kolejności należy przypomnieć, że w myśl art. 77 ust. 1 RODO bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, jeżeli sądzi, że przetwarzanie dotyczących jej danych osobowych narusza to rozporządzenie.

58

Co się tyczy właściwości organów nadzorczych, art. 55 ust. 1 tego rozporządzenia przewiduje, że każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z tym rozporządzeniem na terytorium swojego państwa członkowskiego.

59

Co się tyczy tych zadań, art. 57 ust. 1 lit. a) RODO stanowi, że każdy organ nadzorczy monitoruje i egzekwuje stosowanie tego rozporządzenia na swoim terytorium.

60

RODO nie zawiera żadnego przepisu, który wyłączałby niektóre aspekty stosowania wyjątku przewidzianego w art. 14 ust. 5 lit. c) tego rozporządzenia spod właściwości tych organów nadzorczych.

61

Zgodnie z tym przepisem administrator jest zwolniony z obowiązku udzielania osobie, której dane dotyczą, informacji, o których mowa w art. 14 ust. 1, 2 i 4 RODO, gdy – i w zakresie, w jakim – po pierwsze, pozyskiwanie lub ujawnianie danych osobowych jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, a po drugie, prawo to przewiduje odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą.

62

W związku z tym skarga na podstawie art. 77 ust. 1 RODO może być oparta na naruszeniu przez administratora obowiązku informacyjnego wynikającego z niespełnienia przesłanek stosowania wyjątku przewidzianego w art. 14 ust. 5 lit. c) tego rozporządzenia.

63

Co się tyczy pierwszej przesłanki, przypomnianej w pkt 61 niniejszego wyroku, organ nadzorczy rozpatrujący taką skargę może być zobowiązany do zweryfikowania, czy prawo Unii lub prawo krajowe przewiduje, że administrator musi pozyskać lub ujawnić dane osobowe.

64

Co się tyczy drugiej przesłanki, należy stwierdzić, podobnie jak uczyniła to rzecznik generalna w pkt 67 i 69 opinii, że znaczenie wyrażenia „odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą”, nie zostało sprecyzowane w RODO. Niemniej jednak przepisy prawa Unii lub prawa państwa członkowskiego, które przewidują takie środki i którym podlega administrator, powinny gwarantować – jak wskazano w pkt 54 niniejszego wyroku – poziom ochrony osoby, której dane dotyczą, w związku z przetwarzaniem jej danych osobowych, który jest co najmniej równoważny poziomowi ochrony przewidzianemu w art. 14 ust. 1–4 tego rozporządzenia. Przepisy te powinny zatem umożliwiać osobie, której dane dotyczą, sprawowanie kontroli nad jej danymi osobowymi i wykonywanie praw przyznanych jej na mocy RODO.

65

W tym celu ważne jest w szczególności, aby rzeczone przepisy wskazywały w sposób jasny i przewidywalny źródło, z którego osoba, której dane dotyczą, uzyska informacje o przetwarzaniu dotyczących jej danych osobowych.

66

W kontekście przekazywania danych osobowych między organami państwa członkowskiego i generowania takich danych przez administratora na podstawie danych zebranych od osoby innej niż osoba, której dane dotyczą, należy zauważyć, że w przypadku wniesienia przez tę osobę skargi zadaniem organu nadzorczego będzie sprawdzenie w szczególności, czy właściwe prawo krajowe lub prawo Unii określa z wystarczającą dokładnością różne rodzaje danych osobowych, które mają zostać pozyskane lub ujawnione, a także dane osobowe, które powinien on wygenerować w ramach wykonywania swoich zadań, i czy prawo to przewiduje, w jaki sposób osoba, której dane dotyczą, może uzyskać rzeczywisty dostęp do informacji, o których mowa w art. 14 ust. 1, 2 i 4 RODO.

67

Jak podkreśla Komisja w swoich uwagach na piśmie, weryfikacja przez organ nadzorczy, czy wszystkie przesłanki stosowania wyjątku przewidzianego w art. 14 ust. 5 lit. c) RODO zostały spełnione, nie wchodzi jednak w zakres badania ważności odpowiednich przepisów prawa krajowego. Organ ten wypowiada się jedynie w kwestii, czy w danym przypadku administrator ma prawo powołać się na wyjątek przewidziany w tym przepisie wobec osoby, której dane dotyczą.

68

Co się tyczy wyniku takiej weryfikacji, należy przypomnieć, że zgodnie z art. 78 tego rozporządzenia, jeżeli w danym przypadku organ nadzorczy uzna, że skarga osoby, której dane dotyczą, nie jest zasadna, osobie tej powinno przysługiwać w jej państwie członkowskim prawo do skutecznego środka zaskarżenia tej decyzji odmownej.

69

Natomiast jeżeli organ ten uzna, że skarga ta jest zasadna i że przesłanki zastosowania wyjątku przewidzianego w art. 14 ust. 5 lit. c) wskazanego rozporządzenia nie są spełnione, nakazuje on administratorowi, zgodnie z art. 14 ust. 1, 2 i 4 tego rozporządzenia, udzielenie informacji osobie, której dane dotyczą.

70

W drugiej kolejności, co się tyczy kwestii, czy weryfikacja ta powinna również dotyczyć odpowiedniego – w świetle art. 32 RODO – charakteru środków, które administrator danych jest zobowiązany wdrożyć w celu zapewnienia bezpieczeństwa przetwarzania, należy podkreślić, że art. 14 ust. 5 lit. c) tego rozporządzenia ustanawia wyjątek jedynie od obowiązku informowania przewidzianego w art. 14 ust. 1, 2 i 4 tego rozporządzenia, nie przewidując odstępstwa od obowiązków określonych w innych przepisach tego rozporządzenia, w tym w jego art. 32.

71

Artykuł 32 zobowiązuje administratora i ewentualny podmiot przetwarzający do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych. Odpowiedni charakter takich środków powinien być oceniany w sposób konkretny, w szczególności z uwzględnieniem ryzyka związanego z danym przetwarzaniem oraz przy ustaleniu, czy charakter, istota i wdrożenie tych środków są dostosowane do tego ryzyka (zob. podobnie wyroki: z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 42, 46, 47; a także z dnia 25 stycznia 2024 r., MediaMarktSaturn, C‑687/21, EU:C:2024:72, pkt 37, 38).

72

W świetle brzmienia tych dwóch przepisów należy zauważyć, że obowiązki ustanowione w art. 32 RODO, których należy przestrzegać w każdym przypadku i niezależnie od istnienia obowiązku informacyjnego na podstawie art. 14 tego rozporządzenia, mają odmienny charakter i zakres niż obowiązek informacyjny przewidziany w art. 14.

73

Tak więc w przypadku skargi na podstawie art. 77 ust. 1 RODO, wniesionej ze względu na to, że administrator błędnie powołał się na wyjątek przewidziany w art. 14 ust. 5 lit. c) tego rozporządzenia, przedmiot weryfikacji, której powinien dokonać organ nadzorczy, jest ograniczony przez zakres stosowania samego art. 14 tego rozporządzenia, a przestrzeganie art. 32 tego rozporządzenia nie wchodzi w zakres tej weryfikacji.

74

W świetle powyższych rozważań odpowiedź na pytania drugie i trzecie powinna brzmieć: art. 14 ust. 5 lit. c) i art. 77 ust. 1 RODO należy interpretować w ten sposób, że w ramach postępowania w sprawie skargi organ nadzorczy jest właściwy do zweryfikowania, czy prawo państwa członkowskiego, któremu podlega administrator, przewiduje odpowiednie środki ochrony uzasadnionych interesów osoby, której dane dotyczą, na potrzeby zastosowania wyjątku przewidzianego w art. 14 ust. 5 lit. c). Weryfikacja ta nie dotyczy jednak odpowiedniego charakteru środków, które administrator danych jest zobowiązany wdrożyć na podstawie art. 32 tego rozporządzenia w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

75

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje: