62023CJ0169

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
EUR-Lex - 62023CJ0169 - EN

Help

Search tips

Need more search options? Use the Advanced search

Document 62023CJ0169

Help

Hotărârea Curții (Camera a treia) din 28 noiembrie 2024.
Nemzeti Adatvédelmi és Információszabadság Hatóság împotriva lui UC.
Cerere de decizie preliminară formulată de Kúria.
Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date – Regulamentul (UE) 2016/679 – Date prelucrate cu ocazia eliberării unui certificat COVID-19 – Date care nu au fost colectate de la persoana vizată – Informațiile care se furnizează – Exceptare de la obligația de informare – Articolul 14 alineatul (5) litera (c) – Date generate de operator în cadrul propriei proceduri – Dreptul de a depune o plângere – Competența autorității de supraveghere – Articolul 77 alineatul (1) – Măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate, astfel cum sunt prevăzute de dreptul intern sub incidența căruia intră operatorul – Măsuri care vizează securitatea prelucrării datelor – Articolul 32.
Cauza C-169/23.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2024:988

Date of document:: 28/11/2024
Date lodged:: 17/03/2023

Author:: Curtea de Justiţie
Country or organisation from which the request originates:: Ungaria
Form:: Hotărâre
Authentic language:: maghiară

Type of procedure:: Cerere pentru pronunţarea unei hotărâri preliminare
Observations:: Ungaria, Statele membre al UE, Comisia Europeană, Instituţii şi organisme ale UE
Judge-Rapporteur:: Gavalec
Advocate General:: Medina
National court:: *A9* Kúria, végzést 08/02/2023 (Kfv.II.37.660/2022/13.)

Link

Select all documents mentioning this document

Case affecting:

Interprets 32016R0679 A14P5LC
Interprets 32016R0679 A77P1

Affected by case:

Related judicial information 62023CA0169

Instruments cited in case law:

12007P008-P1: N 50
12008E/PRO/03-A23: N 35
12008E016-P1: N 50
32012Q0929(01)-A61: N 35
32016R0679-A32: N 1 11 33 34 56 70 - 74
32016R0679-A77P1: N 1 15 22 32 34 56 57 62 73
32016R0679-A14P5LC: N 1 24 25 27 29 31 34 36 38 40 43 - 46 49 50 53 - 56 60 62 67 69 70 73 74
32016R0679-A14P1: N 1 34 37 44 54 61 64 66 69 70
32016R0679-A55P1: N 12 58
32016R0679-A57P1: N 13
32016R0679-A58P3: N 14
32016R0679-A78: N 16 68
32016R0679-C62: N 3 34 43
32016R0679-C61: N 3 43
32016R0679-C1: N 3 50
32016R0679-C10: N 3 50
32016R0679-C63: N 3 51
32016R0679-A04PT1: N 37
32016R0679-A14P2: N 37 44 54 61 64 66 69 70
32016R0679-A14P4: N 37 44 54 61 64 66 69 70
32016R0679-A01P2: N 4
32016R0679-A04PT2: N 43
32016R0679-A04: N 5
32016R0679-A01: N 50
32016R0679: N 52
32016R0679-A14P3: N 54 64
32016R0679-A57P1LA: N 59
32016R0679-A06P1: N 6
32016R0679-A09P1: N 7
32016R0679-A09P2: N 7
32016R0679-A77: N 74
32016R0679-CH3S2: N 8
32016R0679-A15: N 9
32016R0679-A14: N 9 10 48 72
32016R0679-A13: N 9 48 49
32021R0953-A10P1: N 17
32021R0953-A06P1LE: N 23
32021R0953-A09P2LI: N 23
62021CJ0132-N32: N 39
62021CJ0340-N42: N 71
62021CJ0340-N46: N 71
62021CJ0340-N47: N 71
62021CJ0687-N37: N 71
62021CJ0687-N38: N 71
62022CJ0604-N53: N 50
62022CJ0659-N27: N 43
62023CC0169-N31: N 44
62023CC0169-N67: N 64
62023CC0169-N69: N 64
62023CJ0076-N25: N 42

Notes relating to the decision:

1. Simon, Denys: Protection des données personnelles - Exceptions à l'obligation d'information, Europe 2025, nº 1 Janvier, Comm. 24 (FR)

Subject matter:

Case law directory code:

4.11.01 Politica internă a Uniunii Europene / Apropierea legislaţiilor / Protecția datelor cu caracter personal

Language of the case

HTML

PDF

Document published in the digital reports of cases. They have official status.

HOTĂRÂREA CURȚII (Camera a treia)

28 noiembrie 2024 ( *1 )

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date – Regulamentul (UE) 2016/679 – Date prelucrate cu ocazia eliberării unui certificat COVID-19 – Date care nu au fost colectate de la persoana vizată – Informațiile care se furnizează – Exceptare de la obligația de informare – Articolul 14 alineatul (5) litera (c) – Date generate de operator în cadrul propriei proceduri – Dreptul de a depune o plângere – Competența autorității de supraveghere – Articolul 77 alineatul (1) – Măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate, astfel cum sunt prevăzute de dreptul intern sub incidența căruia intră operatorul – Măsuri care vizează securitatea prelucrării datelor – Articolul 32”

În cauza C‑169/23 [Másdi] ( i ),

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Kúria (Curtea Supremă, Ungaria), prin decizia din 8 februarie 2023, primită de Curte la 17 martie 2023, în procedura

Nemzeti Adatvédelmi és Információszabadság Hatóság

împotriva lui

UC,

CURTEA (Camera a treia),

compusă din doamna K. Jürimäe, președinta Camerei a doua, îndeplinind funcția de președinte al Camerei a treia, domnul K. Lenaerts, președintele Curții, îndeplinind funcția de judecător al Camerei a treia, și domnii N. Jääskinen, M. Gavalec (raportor) și N. Piçarra, judecători,

avocat general: doamna L. Medina,

grefier: domnul A. Calot Escobar,

având în vedere procedura scrisă,

luând în considerare observațiile prezentate:

–	pentru Nemzeti Adatvédelmi és Információszabadság Hatóság, de G. J. Dudás, ügyvéd;

–	pentru UC, de D. Karsai și V. Łuszcz, ügyvédek;

–	pentru guvernul maghiar, de Zs. Biró‑Tóth și M. Z. Fehér, în calitate de agenți;

–	pentru guvernul ceh, de L. Březinová, M. Smolek și J. Vláčil, în calitate de agenți;

–	pentru Comisia Europeană, de A. Bouchagiar, C. Kovács și H. Kranenborg, în calitate de agenți,

după ascultarea concluziilor avocatei generale în ședința din 6 iunie 2024,

pronunță prezenta

Hotărâre

Cererea de decizie preliminară privește interpretarea articolului 14 alineatul (1) și alineatul (5) litera (c), a articolului 32, precum și a articolului 77 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

Această cerere a fost formulată în cadrul unui litigiu între Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoritatea Națională pentru Protecția Datelor și Libertatea Informațională, Ungaria) (denumită în continuare „autoritatea națională”), pe de o parte, și UC, pe de altă parte, în legătură cu existența unei obligații de informare cu privire la prelucrarea datelor cu caracter personal pe care o are Budapest Főváros Kormányhivatala (Serviciile Administrative din Budapesta‑Capitală, Ungaria) (denumite în continuare „autoritatea administrativă emitentă”), însărcinată cu eliberarea certificatelor de imunitate persoanelor vaccinate împotriva COVID-19 sau care au contractat această boală.

Cadrul juridic

Dreptul Uniunii

RGPD

Potrivit considerentelor (1), (10) și (61)-(63) ale RGPD:

„(1)

Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene […] și articolul 16 alineatul (1) [TFUE] prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.

[…]

(10)

Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. În ceea ce privește prelucrarea datelor cu caracter personal în vederea respectării unei obligații legale, a îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, statelor membre ar trebui să li se permită să mențină sau să introducă dispoziții de drept intern care să clarifice într‑o mai mare măsură aplicarea normelor prezentului regulament. […]

[…]

(61)

Informațiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării de la persoana vizată sau, în cazul în care datele cu caracter personal sunt obținute din altă sursă, într‑o perioadă rezonabilă, în funcție de circumstanțele cazului. În cazul în care datele cu caracter personal pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele cu caracter personal sunt divulgate pentru prima dată destinatarului. În cazul în care operatorul intenționează să prelucreze datele cu caracter personal într‑un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui să furnizeze persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și alte informații necesare. În cazul în care originea datelor cu caracter personal nu a putut fi comunicată persoanei vizate din cauză că au fost utilizate surse diverse, informațiile generale ar trebui furnizate.

(62)

Cu toate acestea, nu este necesară impunerea obligației de a furniza informații în cazul în care persoana vizată deține deja informațiile, în cazul în care înregistrarea sau divulgarea datelor cu caracter personal este prevăzută în mod expres de lege sau în cazul în care informarea persoanei vizate se dovedește imposibilă sau ar implica eforturi disproporționate. […]

(63)	O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. […]”

4	Articolul 1 din acest regulament, intitulat „Obiect și obiective”, prevede la alineatul (2): „Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.”

Articolul 4 din regulamentul menționat, intitulat „Definiții”, prevede:

„În sensul prezentului regulament:

1.	«date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată») […];

«prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

7.	«operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; […]

[…]”

Articolul 6 din RGPD, intitulat „Legalitatea prelucrării”, prevede la alineatul (1):

„Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

[…]

(c)	prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

[…]

(e)	prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

[…]”

Articolul 9 din acest regulament, intitulat „Prelucrarea de categorii speciale de date cu caracter personal”, prevede la alineatele (1) și (2):

„(1) Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

(2) Alineatul (1) nu se aplică în următoarele situații:

[…]

(i)

prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional; sau

[…]”

8	Capitolul III din RGPD, intitulat „Drepturile persoanei vizate”, cuprinde mai multe secțiuni, printre care secțiunea 2 intitulată „Informare și acces la datele cu caracter personal”.

În această secțiune 2 din RGPD se găsesc articolul 13 referitor la „Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, articolul 14 referitor la „Informații care se furnizează în cazul în care datele cu caracter personal nu au fost colectate de la persoana vizată” și articolul 15 referitor la „Dreptul de acces al persoanei vizate”.

Potrivit articolului 14 din acest regulament:

„(1) În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informații:

(a)	identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;

(b)	datele de contact ale responsabilului cu protecția datelor, după caz;

(c)	scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

(d)	categoriile de date cu caracter personal vizate;

(e)	destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;

(f)	dacă este cazul, intenția operatorului de a transfera date cu caracter personal către un destinatar dintr‑o țară terță sau o organizație internațională […]

(2) Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei vizate următoarele informații necesare pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată:

(a)	perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(b)	în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terță;

(c)

existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării și a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;

(d)	atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;

(e)	dreptul de a depune o plângere în fața unei autorități de supraveghere;

(f)	sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public;

(g)	existența procesului decizional automatizat […]

[…]

(4) În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într‑un alt scop decât cel pentru care acestea au fost obținute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).

(5) Alineatele (1)-(4) nu se aplică dacă și în măsura în care:

(a)	persoana vizată deține deja informațiile;

(b)

furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 89 alineatul (1), sau în măsura în care obligația menționată la alineatul (1) din prezentul articol este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului;

(c)	obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate sau

(d)	în cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligații legale de a păstra secretul.”

Articolul 32 din regulamentul menționat, intitulat „Securitatea prelucrării”, are următorul cuprins:

„(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

(a)	pseudonimizarea și criptarea datelor cu caracter personal;

(b)	capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

(c)	capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

(d)	un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într‑un alt mod.

(3) Aderarea la un cod de conduită aprobat, menționat la articolul 40, sau la un mecanism de certificare aprobat, menționat la articolul 42, poate fi utilizată ca element prin care să se demonstreze îndeplinirea cerințelor prevăzute la alineatul (1) din prezentul articol.

(4) Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.”

Articolul 55 din același regulament, intitulat „Competența”, prevede la alineatul (1):

„Fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul statului membru de care aparține.”

Articolul 57 din RGPD, intitulat „Sarcini”, prevede la alineatul (1):

„Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:

(a)	monitorizează și asigură aplicarea prezentului regulament;

[…]

(c)	oferă consiliere, în conformitate cu dreptul intern, parlamentului național, guvernului și altor instituții și organisme cu privire la măsurile legislative și administrative referitoare la protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea;

[…]”

Articolul 58 din acest regulament, intitulat „Competențe”, prevede la alineatul (3):

„Fiecare autoritate de supraveghere are toate următoarele competențe de autorizare și de consiliere:

[…]

(b)	de a emite avize, din proprie inițiativă sau la cerere, parlamentului național, guvernului statului membru sau, în conformitate cu dreptul intern, altor instituții și organisme, precum și publicului, cu privire la orice aspect legat de protecția datelor cu caracter personal;

[…]”

Articolul 77 din regulamentul menționat, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede la alineatul (1):

„Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.”

Articolul 78 din RGPD, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere”, are următorul cuprins:

„(1) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.

(2) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care autoritatea de supraveghere care este competentă în temeiul articolelor 55 și 56 nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii depuse în temeiul articolului 77.

(3) Acțiunile introduse împotriva unei autorități de supraveghere sunt aduse în fața instanțelor din statul membru în care este stabilită autoritatea de supraveghere.

(4) În cazul în care acțiunile sunt introduse împotriva unei decizii a unei autorități de supraveghere care a fost precedată de un aviz sau o decizie a comitetului în cadrul mecanismului pentru asigurarea coerenței, autoritatea de supraveghere transmite curții avizul respectiv sau decizia respectivă.”

Regulamentul (UE) 2021/953

Articolul 10 din Regulamentul (UE) 2021/953 al Parlamentului European și al Consiliului din 14 iunie 2021 privind cadrul pentru eliberarea, verificarea și acceptarea certificatelor interoperabile de vaccinare, testare și vindecare de COVID-19 (certificatul digital al UE privind COVID) pentru a facilita libera circulație pe durata pandemiei de COVID-19 (JO 2021, L 211, p. 1), intitulat „Protecția datelor cu caracter personal”, prevedea la alineatul (1):

„[RGPD] se aplică prelucrării datelor cu caracter personal efectuate la punerea în aplicare a prezentului regulament.”

Dreptul maghiar

Potrivit articolului 2 alineatul 1 din a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet [Decretul guvernamental 60/2021 (II.12.) privind certificatul de imunitate împotriva coronavirusului] din 12 februarie 2021, în versiunea aplicabilă în litigiul principal (denumit în continuare „Decretul 60/2021”):

„Certificatul de imunitate trebuie să conțină:

a)	numele persoanei vizate;

b)	numărul pașaportului persoanei în cauză, dacă este disponibil;

c)	numărul și elementele de identificare din cartea de identitate permanentă a persoanei în cauză, dacă sunt disponibile;

d)	numărul de serie al certificatului de imunitate;

e)	în cazul în care se face dovada vaccinării, data vaccinării;

f)	în cazul în care se face dovada vindecării de infecție, data de valabilitate a dovezii;

g)	un cod de stocare a datelor care poate fi citit pe dispozitive informatice, generat pe baza datelor menționate la literele a)-f);

următoarele indicații, sub formă de avertismente scrise:

ha)	«Pentru a fi valabil, cardul trebuie prezentat împreună cu cartea de identitate sau pașaportul»;

hb)	«Nu este transferabil»;

hc)	«Drepturile asociate certificatului sunt disponibile pe site‑ul internet koronavirus.gov.hu».”

19	În conformitate cu articolul 2 alineatele 6 și 7 din Decretul nr. 60/2021, certificatul de imunitate este eliberat de administrația emitentă din oficiu sau la cerere oricărei persoane fizice abilitate să îl primească.

Articolul 3 alineatul 3 din acest decret prevede:

„În cazurile menționate la articolul 2 alineatul 6 literele c) și d), [Serviciile Administrative din Budapesta] colectează, prin transmiterea automată de informații – dacă este necesar, prin intermediul serviciilor competente ale összerendelési nyilvántartás [(Registrul de gestionare electronică a datelor de identificare, Ungaria)] –

a)	de la operatorul EESZT [Elektronikus Egészségügyi Szolgáltatási Tér (Spațiul Serviciilor Electronice de Sănătate)]: numărul de asigurare socială al persoanei în cauză, datele menționate la articolul 2 alineatul 1 literele e) și g), precum și datele menționate la alineatul 1;

b)	de la organismul responsabil cu înregistrarea datelor cu caracter personal și a adreselor: numele, elementele de identificare din pașaport și din cartea de identitate permanentă și adresa persoanei în cauză.”

Litigiul principal și întrebările preliminare

21	UC, o persoană fizică, a primit din partea administrației în temeiul Decretului nr. 60/2021 un certificat de imunitate care atestă vaccinarea sa împotriva COVID-19.

La 30 aprilie 2021, UC a declanșat o procedură administrativă în legătură cu prelucrarea datelor cu caracter personal care îl privesc depunând la autoritatea națională o plângere în temeiul articolului 77 alineatul (1) din RGPD, astfel încât să se dea dispoziție ca administrația emitentă să asigure conformitatea operațiunilor sale de prelucrare cu dispozițiile RGPD. În plângerea sa, reclamantul a criticat autoritatea administrativă emitentă printre altele pentru că nu a întocmit și publicat o declarație în legătură cu protecția datelor cu caracter personal legate de eliberarea certificatelor de imunitate și susține că nu existau suficiente informații cu privire la scopul și la temeiul juridic al prelucrării acestor date și nici cu privire la drepturile de care beneficia persoana vizată și la modul în care le putea exercita.

În cadrul procedurii declanșate pe baza acestei plângeri, autoritatea administrativă emitentă a declarat că își îndeplinea sarcinile legate de eliberarea certificatului de imunitate în temeiul articolului 2 din Decretul 60/2021, prelucrarea datelor cu caracter personal având ca temei juridic articolul 6 alineatul (1) litera (e) din RGPD, precum și articolul 9 alineatul (2) litera (i) din acest regulament în ceea ce privește prelucrarea datelor cu caracter personal încadrabile în categorii speciale.

În plus, autoritatea administrativă emitentă a indicat că datele cu caracter personal pe care le prelucra le obținea de la un alt organism în conformitate cu dispozițiile Decretului 60/2021. Plecând de la această realitate, ea a afirmat că, potrivit articolului 14 alineatul (5) litera (c) din RGPD, nu era obligată să furnizeze informații privind prelucrarea acestor date. Ea a redactat și publicat totuși pe site‑ul său internet declarația în legătură cu protecția datelor cu caracter personal solicitată.

Prin decizia din 15 noiembrie 2021, autoritatea națională a respins cererea lui UC și a constatat că nu exista o obligație de informare în sarcina autorității administrative emitente, deoarece prelucrarea datelor cu caracter personal în cauză se încadra la excepția prevăzută la articolul 14 alineatul (5) litera (c) din RGPD.

În special, această autoritate a considerat că Decretul 60/2021 constituia temeiul juridic al prelucrării și că el impunea expres autorității administrative emitente să colecteze datele în cauză. Potrivit autorității naționale, publicarea informațiilor privind prelucrarea datelor cu caracter personal de către autoritatea administrativă emitentă pe site‑ul său internet constituia o bună practică, iar nu o obligație legală.

În plus, autoritatea națională a examinat din oficiu dacă existau măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate, în sensul articolului 14 alineatul (5) litera (c) a doua alternativă din RGPD, și a apreciat că trebuie luate în considerare în acest sens articolele 2, 3 și 5-7 din Decretul 60/2021.

28	UC a introdus o acțiune administrativă împotriva acestei decizii la Fővárosi Törvényszék (Curtea din Budapesta‑Capitală, Ungaria) care a anulat decizia menționată și a dispus ca această autoritate să înceapă o nouă procedură.

În hotărârea sa, această instanță a considerat că excepția prevăzută la articolul 14 alineatul (5) litera (c) din RGPD nu era aplicabilă, întrucât anumite date cu caracter personal prezentate în legătură cu certificatele de imunitate nu erau obținute de operator de la un alt organism, ci erau generate chiar de acest operator în cadrul sarcinilor pe care le îndeplinește. Potrivit instanței amintite, aceasta era situația în ceea ce privea numărul de serie al certificatului de imunitate data de expirare a certificatului eliberat unei persoane care a contractat boala, codul QR de pe card, codul de bare și celelalte coduri alfanumerice de pe scrisoarea de predare a certificatului, precum și datele cu caracter personal generate de procesul de gestionare a dosarelor operatorului. În opinia aceleiași instanțe, numai datele cu caracter personal obținute de la un alt organism puteau face obiectul excepției prevăzute la articolul 14 alineatul (5) litera (c) din RGPD.

30	Împotriva acestei hotărâri, autoritatea națională a sesizat Kúria (Curtea Supremă, Ungaria), care este instanța de trimitere, cu o cale de atac extraordinară.

31	În acest context, instanța menționată ridică mai întâi problema dacă excepția prevăzută la articolul 14 alineatul (5) litera (c) din RGPD este aplicabilă tuturor prelucrărilor de date cu caracter personal, cu excluderea celor care privesc datele cu caracter personal colectate de la persoana vizată.

În caz afirmativ, instanța ridică problema dacă autoritatea de supraveghere, la soluționarea unei plângeri formulate în temeiul articolului 77 alineatul (1) din RGPD, este competentă să verifice, pentru a se pronunța cu privire la aplicabilitatea acestei excepții, dacă dreptul național sub incidența căruia intră operatorul prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.

În cazul unui răspuns afirmativ, instanța de trimitere dorește să afle în cele din urmă dacă această verificare privește și caracterul adecvat al măsurilor pe care operatorul este obligat, în temeiul articolului 32 din RGPD, să le pună în aplicare pentru a garanta securitatea prelucrării datelor cu caracter personal.

În aceste condiții, Kúria (Curtea Supremă), a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)

Articolul 14 alineatul (5) litera (c) coroborat cu articolul 14 alineatul (1) și cu considerentul (62) al [RGPD] trebuie interpretat în sensul că excepția prevăzută la articolul 14 alineatul (5) litera (c) nu se referă la datele generate de operator în cadrul propriei proceduri, ci numai la datele pe care operatorul le-a obținut în mod expres de la o altă persoană?

În cazul în care articolul 14 alineatul (5) litera (c) din RGPD se aplică de asemenea datelor generate de operator în cadrul propriei proceduri, dreptul de a depune o plângere la o autoritate de supraveghere, prevăzut la articolul 77 alineatul (1) din RGPD, trebuie să fie interpretat în sensul că o persoană fizică ce invocă o încălcare a obligației de informare poate solicita, în exercitarea dreptului său de a depune o plângere, să se verifice dacă, în conformitate cu articolul 14 alineatul (5) litera (c) din RGPD, legislația statului membru prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate?

În cazul unui răspuns afirmativ la a doua întrebare, articolul 14 alineatul (5) litera (c) din RGPD poate fi interpretat în sensul că «măsurile adecvate» menționate în cuprinsul dispoziției respective implică faptul că legiuitorul național trebuie să transpună (prin intermediul unor norme juridice) măsurile privind securitatea datelor prevăzute la articolul 32 din RGPD?”

La 16 ianuarie 2024, Curtea a invitat părțile și persoanele interesate prevăzute la articolul 23 din Statutul Curții de Justiție a Uniunii Europene să răspundă la anumite întrebări în scris, în temeiul articolului 61 din Regulamentul de procedură al Curții. Au răspuns la aceste întrebări reclamanta și pârâtul din litigiul principal, guvernele maghiar și ceh, precum și Comisia Europeană.

Cu privire la întrebările preliminare

Cu privire la prima întrebare

Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 14 alineatul (5) litera (c) din RGPD trebuie interpretat în sensul că excepția referitoare la obligația operatorului de informare a persoanei vizate, prevăzută de această dispoziție, privește numai datele cu caracter personal pe care operatorul le‑a colectat de la o altă persoană decât persoana vizată sau dacă se referă și la datele cu caracter personal pe care acest operator le‑a generat el însuși în cursul îndeplinirii sarcinilor sale.

37	Articolul 14 alineatele (1), (2) și (4) din acest regulament stabilește informațiile pe care operatorul este obligat să le furnizeze persoanei vizate, în sensul articolului 4 punctul 1 din același regulament, atunci când datele cu caracter personal nu au fost colectate de la această persoană.

Articolul 14 alineatul (5) din același regulament prevede excepții de la această obligație. Printre aceste excepții, litera (c) a alineatului (5) menționat prevede că obligația menționată nu se aplică în cazul și în măsura în care obținerea sau divulgarea informațiilor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.

Pentru a stabili dacă această excepție se aplică în cazul datelor cu caracter personal generate de operatorul însuși în cadrul exercitării sarcinilor sale, pe baza datelor obținute de la o altă persoană decât persoana vizată, este necesar, potrivit unei jurisprudențe constante, să se țină seama nu numai de termenii dispoziției care o prevede, ci și de contextul acestei dispoziții și de obiectivele urmărite de reglementarea din care face parte excepția (a se vedea în acest sens Hotărârea din 12 ianuarie 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punctul 32 și jurisprudența citată).

40	În primul rând, trebuie să se stabilească, având în vedere modul de redactare a articolului 14 alineatul (5) litera (c) din RGPD, obiectul „obținerii sau divulgării” avut în vedere de această dispoziție.

Astfel, primo, există o divergență între diferitele versiuni lingvistice ale dispoziției menționate. Versiunea în limba franceză a dispoziției menționate face referire la obținerea sau divulgarea „informations”, în timp ce, mai întâi, versiunile în limbile maghiară („adat”), estonă („isikuandmed”), croată („podataka”), lituaniană („duomenų”), neerlandeză („gegevens”), portugheză („dados”), română („datelor”), precum și suedeză („uppgifter”) fac referire la obținerea sau la divulgarea „datelor”, apoi versiunea în limba finlandeză conține un termen („tietojen”) care poate viza atât „date”, cât și „informații” și, în sfârșit, versiunile în limbile bulgară, spaniolă, cehă, daneză, germană, greacă, engleză, italiană, letonă, malteză, polonă, slovacă și slovenă nu menționează obiectul obținerii sau al divulgării.

Or, conform unei jurisprudențe de asemenea constante, formularea utilizată în una dintre versiunile lingvistice ale unei dispoziții a dreptului Uniunii nu poate constitui singura bază de interpretare a acestei dispoziții și nici nu se poate atribui respectivei formulări un caracter prioritar în raport cu celelalte versiuni lingvistice. Dispozițiile dreptului Uniunii trebuie, așadar, să fie interpretate și aplicate în mod uniform, în lumina versiunilor existente în toate limbile Uniunii. În caz de neconcordanță între diferitele versiuni lingvistice ale unui text al dreptului Uniunii, dispoziția în cauză trebuie să fie interpretată în funcție de economia generală și de finalitatea reglementării din care face parte (Hotărârea din 21 martie 2024, Cobult, C‑76/23, EU:C:2024:253, punctul 25 și jurisprudența citată).

În ceea ce privește economia generală a RGPD, articolul 14 alineatul (5) din acest regulament trebuie interpretat în lumina considerentelor (61) și (62) ale acestuia, care fac referire, pe de o parte, la „datele cu caracter personal […] obținute și la datele cu caracter personal […] divulgate”, precum și la „înregistrarea sau divulgarea datelor cu caracter personal […] prevăzute în mod expres de lege” și, pe de altă parte, la „informațiile […] furnizate” sau „care se furnizează”. Interpretarea potrivit căreia „obținerea sau divulgarea”, în sensul articolului 14 alineatul (5) litera (c) din RGPD, vizează date cu caracter personal este confirmată în plus de domeniul de aplicare larg al noțiunii de „prelucrare”, în sensul articolului 4 punctul 2 din RGPD, care reglementează orice operațiune aplicată datelor cu caracter personal [a se vedea în acest sens Hotărârea din 5 octombrie 2023, Ministerstvo zdravotnictví (Aplicare mobilă COVID-19), C‑659/22, EU:C:2023:745, punctul 27 și jurisprudența citată].

În ceea ce privește finalitatea reglementării din care face parte articolul 14 alineatul (5) litera (c) din RGPD, este suficient să se observe, astfel cum a procedat doamna avocată generală la punctul 31 din concluzii, că ratio legis a acestei excepții constă în faptul că obligația de informare a persoanei vizate impusă de articolul 14 alineatele (1), (2) și (4) din acest regulament nu se justifică atunci când o altă dispoziție a dreptului Uniunii sau a dreptului unui stat membru impune operatorului, în mod suficient de complet și obligatoriu, să îi furnizeze acestei persoane informații referitoare la obținerea sau la divulgarea datelor cu caracter personal. Astfel, în ipoteza care face obiectul acestui articol 14 alineatul (5) litera (c), persoanele vizate trebuie să cunoască suficient modalitățile și scopurile obținerii sau divulgării acestor date.

45	În consecință, este necesar să se considere, având în vedere modul de redactare a articolului 14 alineatul (5) litera (c) din RGPD în toate versiunile sale lingvistice, că această dispoziție trebuie înțeleasă ca referindu‑se la obținerea sau la comunicarea datelor cu caracter personal.

Secundo, trebuie să se constate că modul de redactare a articolului 14 alineatul (5) litera (c) din RGPD nu limitează excepția pe care o prevede doar la datele cu caracter personal obținute de operator de la o altă persoană decât persoana vizată și nici nu exclude datele care au fost generate, pe baza unor astfel de date, chiar de operator în cadrul îndeplinirii sarcinilor sale.

Rezultă că toate datele cu caracter personal care au făcut obiectul unei „obțineri”, în sensul dispoziției menționate, de către operator sunt cele pe care acesta din urmă le colectează de la o altă persoană decât persoana vizată și cele pe care le‑a generat el însuși, în cadrul exercitării sarcinilor sale, pe baza datelor obținute de la o altă persoană decât persoana vizată.

În al doilea rând, trebuie să se observe că domeniul de aplicare material al articolului 14 din RGPD este definit în mod negativ în raport cu articolul 13 din acest regulament. Astfel cum reiese din chiar titlurile acestor dispoziții, acest articol 13 privește informațiile care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată, în timp ce acest articol 14 privește informațiile care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată. Având în vedere această dihotomie, toate situațiile în care datele nu sunt obținute de la persoana vizată intră în domeniul de aplicare material al articolului 14.

Prin urmare, din interpretarea coroborată a articolelor 13 și 14 din RGPD rezultă că atât datele cu caracter personal obținute de operator de la o altă persoană decât persoana vizată, cât și datele generate de operatorul însuși, care, prin natura lor, nu au fost obținute de la persoana vizată, intră în domeniul de aplicare al acestui articol 14. Rezultă că excepția prevăzută la articolul 14 alineatul (5) litera (c) menționat se aplică acestor două categorii de date.

În al treilea rând, articolul 14 alineatul (5) litera (c) din RGPD trebuie interpretat într‑un sens conform cu obiectivul urmărit de acest regulament, care constă printre altele, astfel cum reiese din articolul 1 din acesta raportat la considerentele (1) și (10) ale acestuia, în asigurarea unui nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului lor la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, consacrat la articolul 8 alineatul (1) din Carta drepturilor fundamentale și la articolul 16 alineatul (1) TFUE (a se vedea în acest sens Hotărârea din 7 martie 2024, IAB Europe, C‑604/22, EU:C:2024:214, punctul 53 și jurisprudența citată).

În această privință, din considerentul (63) al RGPD reiese că legiuitorul Uniunii a dorit ca o persoană vizată, în sensul acestui regulament, să dispună de dreptul de acces la datele cu caracter personal care au fost obținute în ceea ce o privește pentru a lua cunoștință de prelucrarea care se efectuează și pentru a verifica legalitatea acesteia.

52	Astfel, operatorul poate fi scutit de obligația sa de informare care îi revine în mod normal față de o persoană vizată, cu condiția ca această persoană să fie în măsură să aibă un control asupra datelor sale cu caracter personal și să își exercite drepturile pe care i le conferă RGPD.

În conformitate cu obiectivul urmărit de acest regulament, excepția de la obligația de informare a persoanei vizate, prevăzută la articolul 14 alineatul (5) litera (c) din RGPD, impune, pe de o parte, ca obținerea sau divulgarea datelor cu caracter personal de către operator să fie prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră acest operator. Pe de altă parte, acest drept trebuie să prevadă măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.

Rezultă că, pentru a fi pe deplin conformă cu obiectivul urmărit de RGPD, aplicarea articolului 14 alineatul (5) litera (c) din acest regulament este condiționată de respectarea strictă a condițiilor pe care le prevede această dispoziție, și anume printre altele existența unui nivel de protecție a persoanei vizate care să fie cel puțin echivalent cu cel garantat de articolul 14 alineatele (1)-(4) din regulamentul menționat.

Ținând seama de motivele care precedă, este necesar să se răspundă la prima întrebare că articolul 14 alineatul (5) litera (c) din RGPD trebuie interpretat în sensul că excepția referitoare la obligația operatorului de informare a persoanei vizate, prevăzută de această dispoziție, privește fără deosebire toate datele cu caracter personal pe care operatorul nu le‑a obținut în mod direct de la persoana vizată, indiferent dacă aceste date au fost obținute de operator de la o altă persoană decât persoana vizată sau dacă ele au fost generate de operatorul însuși în cadrul îndeplinirii sarcinilor sale.

Cu privire la a doua și a treia întrebare

Prin intermediul celei de a doua și al celei de a treia întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 14 alineatul (5) litera (c) și articolul 77 alineatul (1) din RGPD trebuie interpretate în sensul că, în cadrul procedurii de soluționare a unei plângeri, autoritatea de supraveghere are competența să verifice dacă dreptul intern sub incidența căruia intră operatorul prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate, în vederea aplicării excepției prevăzute la acest articol 14 alineatul (5) litera (c), și, în caz afirmativ, dacă această verificare se referă și la caracterul adecvat al măsurilor pe care operatorul este obligat să le pună în aplicare în temeiul articolului 32 din acest regulament pentru a garanta securitatea prelucrării datelor cu caracter personal.

În primul rând, trebuie amintit că, în temeiul articolului 77 alineatul (1) din RGPD, fără a aduce atingere niciunei alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în cazul în care consideră că prelucrarea datelor cu caracter personal care o privesc încalcă acest regulament.

În ceea ce privește competența autorităților de supraveghere, articolul 55 alineatul (1) din regulamentul menționat prevede că fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu același regulament pe teritoriul statului membru de care aparține.

59	În ceea ce privește aceste sarcini, articolul 57 alineatul (1) litera (a) din RGPD prevede că fiecare autoritate de supraveghere, pe teritoriul său, monitorizează și asigură aplicarea acestui regulament.

60	RGPD nu conține nicio dispoziție de natură să înlăture din competența acestor autorități de supraveghere anumite aspecte ale aplicării excepției prevăzute la articolul 14 alineatul (5) litera (c) din acest regulament.

În temeiul acestei dispoziții, operatorul este scutit de obligația de a furniza persoanei vizate informațiile menționate la articolul 14 alineatele (1), (2) și (4) din RGPD în cazul și în măsura în care, pe de o parte, obținerea sau divulgarea datelor cu caracter personal este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și, pe de altă parte, acest drept prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.

62	Prin urmare, o plângere formulată în temeiul articolului 77 alineatul (1) din RGPD poate avea la bază o încălcare a obligației operatorului de informare rezultând din nerespectarea condițiilor de aplicare a excepției prevăzute la articolul 14 alineatul (5) litera (c) din acest regulament.

În ceea ce privește prima condiție, amintită la punctul 61 din prezenta hotărâre, autoritatea de supraveghere sesizată cu o astfel de plângere poate fi pusă în situația de a verifica dacă dreptul Uniunii sau dreptul național prevede că operatorul trebuie să obțină sau să divulge date cu caracter personal.

În ceea ce privește a doua condiție, este necesar să se constate, după cum a procedat și doamna avocată generală la punctele 67 și 69 din concluzii, că domeniul de aplicare al expresiei „măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate” nu este precizat în RGPD. În aceste condiții, dispozițiile dreptului Uniunii sau ale dreptului statului membru care prevăd astfel de măsuri și sub incidența cărora intră operatorul trebuie să garanteze, astfel cum s‑a arătat la punctul 54 din prezenta hotărâre, un nivel de protecție a persoanei vizate în ceea ce privește prelucrarea datelor sale cu caracter personal care să fie cel puțin echivalent cu cel prevăzut la articolul 14 alineatele (1)-(4) din același regulament. Astfel, aceste dispoziții trebuie să fie de natură să permită persoanei vizate să exercite un control asupra datelor sale cu caracter personal și să își exercite drepturile pe care i le conferă RGPD.

65	În acest scop, este important în special ca dispozițiile respective să indice în mod clar și previzibil sursa de unde persoana vizată va obține informații cu privire la prelucrarea datelor cu caracter personal care o privesc.

În contextul transmiterii datelor cu caracter personal între organismele unui stat membru și al generării unor astfel de date de către un operator pornind de la datele obținute de la o altă persoană decât persoana vizată, trebuie arătat că, în situația în care aceasta din urmă formulează o plângere, va reveni autorității de supraveghere sarcina de a verifica printre altele dacă dreptul național sau dreptul relevant al Uniunii definește cu suficientă precizie diferitele tipuri de date cu caracter personal care trebuie obținute sau divulgate, precum și datele cu caracter personal pe care acesta ajunge să le genereze în cadrul îndeplinirii sarcinilor sale și dacă acest drept prevede modul în care persoana vizată are acces efectiv la informațiile menționate la articolul 14 alineatele (1), (2) și (4) din RGPD.

Astfel cum subliniază Comisia în observațiile scrise, verificarea de către o autoritate de supraveghere a îndeplinirii tuturor condițiilor de aplicare a excepției prevăzute la articolul 14 alineatul (5) litera (c) din RGPD nu face totuși parte dintr‑o examinare a validității dispozițiilor relevante de drept național. Această autoritate apreciază numai dacă, într‑un anumit caz, operatorul are sau nu dreptul să invoce față de persoana vizată excepția prevăzută de această dispoziție.

În ceea ce privește rezultatul unei asemenea verificări, trebuie amintit că, în temeiul articolului 78 din acest regulament, atunci când, într‑un caz anume, autoritatea de supraveghere decide că plângerea persoanei vizate este nefondată, aceasta din urmă trebuie să dispună în statul său membru de dreptul la o cale de atac jurisdicțională efectivă împotriva acestei decizii de respingere.

În schimb, atunci când această autoritate consideră că plângerea este fondată și că nu sunt îndeplinite condițiile de aplicare a excepției prevăzute la articolul 14 alineatul (5) litera (c) din regulamentul menționat, ea obligă operatorul să îi furnizeze persoanei vizate informațiile, în conformitate cu articolul 14 alineatele (1), (2) și (4) din același regulament.

În al doilea rând, referitor la aspectul dacă această verificare trebuie să privească și caracterul adecvat, din perspectiva articolului 32 din RGPD, al măsurilor pe care operatorul este obligat să le pună în aplicare pentru a asigura securitatea prelucrării, trebuie subliniat că articolul 14 alineatul (5) litera (c) din acest regulament stabilește o excepție numai de la obligația de informare prevăzută la articolul 14 alineatele (1), (2) și (4) din regulamentul menționat, fără a prevedea o derogare de la obligațiile care se regăsesc în alte dispoziții ale aceluiași regulament, printre care articolul 32 din acesta.

Acest articol 32 obligă operatorul și persoana împuternicită de operator să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel adecvat de securitate a prelucrării datelor cu caracter personal. Caracterul adecvat al unor astfel de măsuri trebuie evaluat concret, ținând seama de riscurile asociate prelucrării în cauză și evaluând dacă natura, conținutul și punerea în aplicare a acestor măsuri sunt adaptate respectivelor riscuri (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punctele 42, 46 și 47, precum și Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctele 37 și 38).

Având în vedere termenii fiecăreia dintre aceste două dispoziții, trebuie arătat că obligațiile consacrate la articolul 32 din RGPD, care trebuie respectate în orice situație și independent de existența sau inexistența unei obligații de informare în temeiul articolului 14 din acest regulament, au o natură și o întindere diferite în raport cu obligația de informare prevăzută la acest articol 14.

Astfel, în cazul unei plângeri formulate în temeiul articolului 77 alineatul (1) din RGPD pentru motivul că operatorul a invocat în mod eronat excepția prevăzută la articolul 14 alineatul (5) litera (c) din acest regulament, obiectul verificărilor care trebuie efectuate de autoritatea de supraveghere este limitat de domeniul de aplicare doar al articolului 14 din regulamentul menționat, respectarea articolului 32 din acesta nefiind inclusă în aceste verificări.

Ținând seama de motivele care precedă, este necesar să se răspundă la a doua și a treia întrebare că articolul 14 alineatul (5) litera (c) și articolul 77 alineatul (1) din RGPD trebuie interpretate în sensul că, în cadrul procedurii de soluționare a unei plângeri, autoritatea de supraveghere are competența să verifice dacă dreptul intern sub incidența căruia intră operatorul prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate, în vederea aplicării excepției prevăzute la acest articol 14 alineatul (5) litera (c). Această verificare nu se referă însă la caracterul adecvat al măsurilor pe care operatorul este obligat să le pună în aplicare în temeiul articolului 32 din acest regulament pentru a garanta securitatea prelucrării datelor cu caracter personal.

Cu privire la cheltuielile de judecată

Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera a treia) declară:

Articolul 14 alineatul (5) litera (c) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretat în sensul că

excepția referitoare la obligația operatorului de informare a persoanei vizate, prevăzută de această dispoziție, privește fără deosebire toate datele cu caracter personal pe care operatorul nu le‑a obținut în mod direct de la persoana vizată, indiferent dacă aceste date au fost obținute de operator de la o altă persoană decât persoana vizată sau dacă ele au fost generate de operatorul însuși în cadrul îndeplinirii sarcinilor sale.

Articolul 14 alineatul (5) litera (c) și articolul 77 alineatul (1) din Regulamentul 2016/679

trebuie interpretate în sensul că,

în cadrul procedurii de soluționare a unei plângeri, autoritatea de supraveghere are competența să verifice dacă dreptul intern sub incidența căruia intră operatorul prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate, în vederea aplicării excepției prevăzute la acest articol 14 alineatul (5) litera (c). Această verificare nu se referă însă la caracterul adecvat al măsurilor pe care operatorul este obligat să le pună în aplicare în temeiul articolului 32 din acest regulament pentru a garanta securitatea prelucrării datelor cu caracter personal.

Semnături

( *1 ) Limba de procedură: maghiara.

( i ) Denumirea prezentei cauze este fictivă. Ea nu corespunde numelui real al niciuneia dintre părțile la procedură.

Top