1.

Jednou z najdôležitejších povinností prevádzkovateľa je povinnosť poskytovať informácie dotknutej osobe. Generálny advokát Cruz Villalón to vo svojom stanovisku vo veci Bara a i. výstižne vyjadril, keď uviedol, že požiadavka informovať dotknutú osobu „zaručuje transparentnosť akéhokoľvek spracovania“ ( 2 ). Povinnosť poskytovať informácie zodpovedá kľúčovému právu dotknutej osoby získať informácie o spracúvaní svojich údajov. V právnickej literatúre sa uvádza, ( 3 ) že právo na informácie je „zhmotnením“ zásady transparentnosti a „predstavuje ťažisko“ pre všetky ostatné práva. Rozsiahle požiadavky na informácie totiž dotknutej osobe umožňujú uplatňovať si ďalšie dôležité práva uznané nariadením (EÚ) 2016/679 ( 4 ).

2.

Prejednávaná vec vznikla v súvislosti s vydávaním potvrdení COVID‑19. Súdny dvor bol vyzvaný, aby po prvýkrát vyložil dôležitú výnimku z povinnosti prevádzkovateľa údajov poskytovať informácie stanovenú v článku 14 ods. 5 písm. c) GDPR. Príslušná výnimka bude analyzovaná v súvislosti s právomocami dozorného orgánu v kontexte sťažnosti podanej dotknutou osobou.

3.

V článku 14 GDPR s názvom „Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby“ sa v odsekoch 1, 2 a 5 stanovuje:

„1.   Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

2.   Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:

…

5.   Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:

…

…“

4.

V článku 32 GDPR s názvom „Bezpečnosť spracúvania“ sa v odseku 1 stanovuje:

„Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku…“

5.

V článku 77 GDPR s názvom „Právo podať sťažnosť dozornému orgánu“ sa v odseku 1 stanovuje:

„Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.“

6.

V § 2 ods. 1 písm. a) až g) a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet (nariadenie vlády č. 60/2021 z 12. februára 2021 o osvedčení o imunite voči koronavírusu; ďalej len „nariadenie vlády č. 60/2021“) v znení uplatniteľnom na spor vo veci samej sa stanovuje:

„Osvedčenie o imunite obsahuje:

…“

7.

Podľa § 2 ods. 6 a 7 nariadenia vlády č. 60/2021 osvedčenie o imunite vydával Budapest Főváros Kormányhivatala (vládny úrad pre hlavné mesto Budapešť, Maďarsko; ďalej len „úrad v Budapešti“) v prospech oprávnenej fyzickej osoby buď z úradnej moci, alebo na základe žiadosti.

8.

V § 3 ods. 3 nariadenia vlády č. 60/2021 sa stanovuje:

„V prípadoch uvedených v § 2 ods. 6 písm. c) a d) [úrad v Budapešti] prostredníctvom automatického prenosu informácií – v prípade potreby prostredníctvom príslušných služieb összerendelési nyilvántartás [elektronický register správy identifikačných údajov, Maďarsko] – získava

9.

UC, fyzická osoba, dostal od úradu v Budapešti osvedčenie o imunite potvrdzujúce jeho očkovanie proti ochoreniu COVID‑19.

10.

UC 30. apríla 2021 podal sťažnosť na základe článku 77 ods. 1 GDPR na Nemzeti Adatvédelmi és Információszabadság Hatóság (Národný úrad pre ochranu údajov a slobodu informácií, Maďarsko; ďalej len „maďarský dozorný orgán“). UC tento orgán požiadal, aby úradu v Budapešti nariadil zosúladiť jeho spracovateľské operácie s ustanoveniami GDPR. UC vo svojej sťažnosti okrem iného tvrdil, že úrad v Budapešti nevypracoval ani nezverejnil oznámenie o ochrane osobných údajov týkajúce sa vydávania osvedčení o imunite a že neexistujú dostatočné informácie o účele a právnom základe spracúvania ani o tom, aké práva dotknuté osoby majú a ako si ich možno uplatniť.

11.

V konaní začatom na základe podanej sťažnosti úrad v Budapešti vyhlásil, že si splnil svoje povinnosti týkajúce sa vydávania osvedčení o imunite podľa § 2 nariadenia vlády č. 60/2021 a že právnym základom spracúvania bol článok 6 ods. 1 písm. e) GDPR, a pokiaľ ide o spracúvanie osobitných kategórií osobných údajov, článok 9 ods. 2 písm. i) GDPR.

12.

Úrad v Budapešti navyše uviedol, že v súlade s § 3 ods. 2 a 3 nariadenia vlády č. 60/2021 údaje, ktoré boli predmetom spracúvania, získal automatickým prenosom informácií od prevádzkovateľa priestoru elektronických zdravotných služieb a od orgánu zodpovedného za registráciu osobných údajov a adries. Uviedol, že podľa článku 14 ods. 5 písm. c) GDPR nie je povinný poskytovať informácie o spracúvaní. Vzhľadom na to vypracoval oznámenie o ochrane osobných údajov týkajúce sa príslušného spracúvania a uverejnil ho na svojom webovom sídle.

13.

Maďarský dozorný orgán rozhodnutím z 15. novembra 2021 sťažnosť zamietol z dôvodu, že úrad v Budapešti nemal povinnosť informácie poskytnúť, keďže na spracúvanie sa vzťahovala výnimka stanovená v článku 14 ods. 5 písm. c) GDPR. Konkrétne tento dozorný orgán dospel k záveru, že právnym základom pre spracúvanie bolo nariadenie vlády č. 60/2021 a že úrad v Budapešti nezískal údaje od samotných dotknutých osôb. Okrem toho uviedol, že v § 3 ods. 1 nariadenia vlády č. 60/2021 sa úradu v Budapešti výslovne nariaďuje zhromažďovať údaje. Skutočnosť, že úrad v Budapešti zverejnil informácie o spracúvaní údajov na svojom webovom sídle, hoci to nebola jeho zákonná povinnosť, bola vyhodnotená ako dobrý postup.

14.

Maďarský dozorný orgán z vlastnej iniciatívy preskúmal záležitosť týkajúcu sa primeraných opatrení na ochranu oprávnených záujmov dotknutej osoby uvedených v článku 14 ods. 5 písm. c) GDPR a konštatoval, že § 2, 3 a 5 až 7 nariadenia vlády č. 60/2021 treba považovať za takéto opatrenia.

15.

UC napadol rozhodnutie maďarského dozorného orgánu na Fővárosi Törvényszék (Súd hlavného mesta Budapešť, Maďarsko). Tento súd žalobe vyhovel, zrušil rozhodnutie maďarského dozorného orgánu a nariadil mu uskutočniť nové konanie.

16.

V odôvodnení svojho rozsudku Fővárosi Törvényszék (Súd hlavného mesta Budapešť) uviedol, že výnimka stanovená v článku 14 ods. 5 písm. c) GDPR sa neuplatňuje, pretože niektoré údaje v súvislosti s osvedčeniami o imunite neboli získané od iného subjektu, ale namiesto toho boli vytvorené týmto prevádzkovateľom. Tieto údaje zahŕňajú sériové číslo osvedčenia o imunite, obdobie platnosti osvedčenia, QR kód začlenený do osvedčenia, čiarový kód a iné alfanumerické kódy vytvorené prevádzkovateľom počas jeho postupu.

17.

Maďarský dozorný orgán podal proti tomuto právoplatnému rozsudku Fővárosi Törvényszék (Súd hlavného mesta Budapešť) mimoriadny kasačný opravný prostriedok na Kúria (Najvyšší súd, Maďarsko).

18.

Pokiaľ ide o uplatnenie výnimky stanovenej v článku 14 ods. 5 písm. c) GDPR, vnútroštátny súd sa domnieva, že ju možno uplatniť na všetky druhy spracúvania, ktoré sa netýkajú údajov získaných od dotknutej osoby v zmysle článku 13 GDPR, vrátane údajov vytvorených prevádzkovateľom.

19.

V prípade takéhoto výkladu článku 14 ods. 5 písm. c) GDPR má vnútroštátny súd pochybnosti o rozsahu nápravných právomocí vnútroštátnych dozorných orgánov v súvislosti so sťažnosťou podanou podľa článku 77 ods. 1 GDPR. Konkrétne má vnútroštátny súd pochybnosti o tom, či má dozorný orgán v súvislosti s takouto sťažnosťou právomoc preskúmať otázku primeraných opatrení stanovených vo vnútroštátnom práve na ochranu oprávnených záujmov dotknutej osoby, na ktoré sa odkazuje v článku 14 ods. 5 písm. c) GDPR.

20.

Ak by sa malo dospieť k rozhodnutiu, že dozorný orgán uvedenú právomoc má, vnútroštátny súd si nie je istý presným významom pojmu „primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby“. V tejto súvislosti uvádza, že by sa mohlo konštatovať, že „primerané opatrenia“ zahŕňajú na jednej strane transpozíciu záležitostí uvedených v článku 14 ods. 1 písm. a) až f) GDPR do vnútroštátneho práva. Na druhej strane by tieto opatrenia mohli zahŕňať právo požiadať o preskúmanie bezpečnosti spracúvania, ktorá sa upravuje článkom 32 GDPR. Takéto chápanie pojmu „primerané opatrenia“ by však znamenalo riziko zahltenia právnych predpisov technickými ustanoveniami, čo je v rozpore s požiadavkou, aby legislatívne akty byli zrozumiteľné a jasné. Dostatočnou zárukou by mohlo byť aj dodržiavanie opatrení týkajúcich sa bezpečnosti údajov, a to aj v prípade, že neboli osobitne transponované.

21.

V tejto súvislosti Kúria (Najvyšší súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

22.

Písomné pripomienky predložili UC, maďarský dozorný orgán, maďarská vláda a Komisia. Súdny dvor zaslal účastníkom konania a zainteresovaným stranám v súlade s článkom 23 Štatútu Súdneho dvora Európskej únie otázky na písomné zodpovedanie, na ktoré odpovedali UC, česká vláda, maďarská vláda a Komisia.

23.

Poskytovanie informácií dotknutým osobám je ústredným prvkom zásady transparentnosti stanovenej v článku 5 ods. 1 písm. a) GDPR. Transparentnosť „umožňuje dotknutým osobám brať prevádzkovateľov a sprostredkovateľov na zodpovednosť“, pretože posilňuje ich možnosť vykonávať kontrolu nad svojimi údajmi ( 5 ). Ako sa uvádza v rozsudku Bara a i., „táto požiadavka informovania osôb dotknutých spracovaním ich osobných údajov je o to dôležitejšia, že podmieňuje výkon práva týchto osôb na prístup k spracovávaným údajom a ich opravu“ ( 6 ). Kľúčovými ustanoveniami v tejto súvislosti sú články 12, 13 a 14 GDPR.

24.

Podľa článku 12 ods. 1 GDPR musí prevádzkovateľ prijať vhodné opatrenia, aby informácie uvedené v článkoch 13 a 14 poskytol „v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho“. Tieto informácie sa typicky uvádzajú v zásadách ochrany osobných údajov, oznámení o ochrane osobných údajov alebo vo vyhlásení o ochrane osobných údajov. ( 7 )

25.

Obsah a rozsah povinnosti poskytovať informácie sa stanovuje v článkoch 13 a 14 GDPR. V článku 13 sa upravujú informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby (priame získavanie), zatiaľ čo v článku 14 sa upravujú informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby (nepriame získavanie). ( 8 ) Informácie, ktoré sa majú poskytovať podľa týchto dvoch ustanovení, sa výrazne prekrývajú. ( 9 )

26.

Pokiaľ ide o nepriame získavanie údajov, článok 14 ods. 1 GDPR zahŕňa v tzv. katalógu štandardných informácií ( 10 ) informácie o totožnosti prevádzkovateľa údajov, účeloch spracúvania, príjemcoch údajov a možnom prenose údajov príjemcovi v tretej krajine. Medzi ďalšími informáciami potrebnými na zaručenie spravodlivého a transparentného spracúvania sa v článku 14 ods. 2 GDPR výslovne uvádza doba uchovávania osobných údajov, oprávnené záujmy, ktoré sleduje prevádzkovateľ ( 11 ), alebo existencia práva požadovať od prevádzkovateľa prístup k osobným údajom a ich opravu alebo vymazanie.

27.

Povinnosť prevádzkovateľa poskytnúť informácie v prípade nepriameho získavania podľa článku 14 GDPR podlieha štyrom výnimkám uvedeným v jeho odseku 5. Výnimka relevantná pre konanie vo veci samej je tá stanovená v článku 14 ods. 5 písm. c), ktoré obsahuje tzv. ustanovenie o otvorení. ( 12 ) Pre prevádzkovateľa platí výnimka z poskytovania informácií v rozsahu, v akom „sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha“, a ak právo stanovuje „primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby“.

28.

V anglickej jazykovej verzii článku 14 ods. 5 písm. c) GDPR sa rovnako ako v iných jazykových verziách ( 13 ) neuvádza výslovný odkaz na predmet úkonu „získanie alebo poskytnutie“. Vo viacerých ďalších jazykových verziách sa výslovne odkazuje na získanie alebo poskytnutie „údajov“ ( 14 ). Zdá sa, že len vo francúzskej verzii sa odkazuje získanie alebo poskytnutie „informácií“ ( 15 ).

29.

Keďže sa však všetkým jazykovým verziám aktu EÚ musí v zásade uznávať rovnaká hodnota, v prípade rozdielov medzi týmito verziami je nutné vykladať predmetné ustanovenie podľa všeobecnej štruktúry a účelu pravidiel, ktorých je súčasťou. ( 16 )

30.

V tejto súvislosti zo všeobecnej štruktúry pravidiel, ktorých súčasťou je článok 14 ods. 5 písm. c) GDPR, vyplýva, že získanie alebo poskytnutie sa týka osobných údajov (na rozdiel od informácií). Už z názvu článku 14 vyplýva, že „poskytujú“ sa informácie, zatiaľ čo úkon získania sa týka „osobných údajov“. Tento výklad potvrdzuje odôvodnenie 61, v ktorom sa odkazuje na „osobné údaje“ získané z iného zdroja, a odôvodnenie 62, v ktorom sa odkazuje na zaznamenanie alebo poskytnutie „osobných údajov“. Okrem toho vzhľadom na široký význam pojmu „spracúvanie“ podľa článku 4 bodu 2 GDPR, teda, že je to operácia alebo súbor operácií s osobnými údajmi, ( 17 ) sa „získanie alebo poskytnutie“ sa musí kvalifikovať ako spracovateľská operácia s osobnými údajmi.

31.

Pokiaľ ide o účel pravidiel, ktorých súčasťou je článok 14 ods. 5 písm. c), základným predpokladom príslušnej výnimky pravdepodobne je, že v práve EÚ alebo členského štátu sa nahrádza alebo substituuje povinnosť, ktorá je za bežných okolností uložená prevádzkovateľovi, a to poskytnúť informácie týkajúce sa získania alebo poskytnutia údajov. ( 18 ) Na základe príslušného práva majú dotknuté osoby už dostatočné znalosti o získaní alebo poskytnutí údajov. ( 19 ) Príslušné právo, ktorému prevádzkovateľ podlieha, sa musí výslovne týkať získavania alebo poskytovania údajov a predmetné získanie alebo poskytnutie by malo byť pre prevádzkovateľa povinné. ( 20 )

32.

Z uvedeného teda jednoznačne vyplýva, že predmet výnimky týkajúcej sa získavania alebo poskytovania sa týka osobných údajov.

33.

Vzhľadom na tieto zistenia budem ďalej skúmať výnimku stanovenú v článku 14 ods. 5 písm. c) GDPR v kontexte analýzy položených otázok.

34.

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 14 ods. 5 písm. c) GDPR vykladať v tom zmysle, že výnimka z povinnosti prevádzkovateľa poskytnúť informácie dotknutej osobe sa vzťahuje len na údaje, ktoré prevádzkovateľ výslovne získal od inej osoby, a nezahŕňa údaje, ktoré prevádzkovateľ vytvoril vlastným postupom.

35.

Táto otázka vyplýva zo skutočnosti, že vo veci samej niektoré údaje obsiahnuté v osvedčeniach COVID‑19 nezískala iná organizácia, ale boli vytvorené úradom v Budapešti. ( 21 )

36.

Preto je potrebné určiť, či pojem „získanie“ stanovený v článku 14 ods. 5 písm. c) GDPR vylučuje údaje vytvorené prevádzkovateľom.

37.

Pred zodpovedaním tejto otázky treba na úvod pripomenúť, že výklad ustanovenia práva Únie si vyžaduje zohľadnenie nielen jeho znenia, ale aj kontextu, do ktorého patrí, a cieľov a účelu aktu, ktorého je súčasťou. ( 22 )

38.

Pokiaľ ide o znenie článku 14 ods. 5 písm. c) GDPR, v danom ustanovení sa nestanovuje obmedzenie týkajúce sa konkrétneho druhu spracúvania alebo presného spôsobu, akým prevádzkovateľ údaje získava. Údaje sa môžu získať technickým postupom, napríklad tak, že ich prevádzkovateľ vygeneruje technickými prostriedkami.

39.

Široké chápanie pojmu „získanie“ sa potvrdzuje v odôvodnení 62 GDPR. V danom odôvodnení sa používa pojem „zaznamenanie“ údajov, čo je operácia, ktorá, ako uviedol vnútroštátny súd, sa vzťahuje na širšiu skupinu spracovateľských operácií, ktoré môže prevádzkovateľ údajov vykonávať. Článok 14 ods. 5 písm. c) preto nemožno vykladať tak, že sa vzťahuje len na údaje získané od iného subjektu, a nie na údaje vytvorené prevádzkovateľom.

40.

Tento výklad článku 14 ods. 5 písm. c) GDPR potvrdzuje aj kontext, v ktorom sa toto ustanovenie vyskytuje, ako aj ciele a účel, ktoré sa daným ustanovením sledujú.

41.

V tejto súvislosti treba zdôrazniť, že výnimky uvedené v článku 14 ods. 5 sa týkajú odsekov 1 až 4 toho istého článku. Vecná pôsobnosť článku 14 (ktorého súčasťou je príslušná výnimka) je na rozdiel od článku 13 vymedzená negatívne. Zatiaľ čo v článku 13 sa upravujú informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby, v článku 14 sa upravuje poskytovanie informácií, ak osobné údaje neboli získané od dotknutej osoby. Z dichotómie medzi priamym a nepriamym získavaním údajov vyplýva, že všetky prípady, v ktorých sa údaje nezískavajú od dotknutej osoby, patria do vecnej pôsobnosti článku 14. Nie je dôležité, či údaje vytvára prevádzkovateľ, pokiaľ ich nezískava od dotknutej osoby. Širokú vecnú pôsobnosť článku 14 potvrdzuje aj odôvodnenie 61, v ktorom sa odkazuje na údaje „získané z iného zdroja“, t. j. zo zdroja iného než dotknutá osoba.

42.

Okrem toho, ako poznamenala Komisia a maďarský dozorný orgán, pravidlá stanovené v článkoch 13 a 14 GDPR v podstate tvoria komplexný systém upravujúci poskytovanie informácií dotknutej osobe vo všetkých možných situáciách. Ak by sa pojem „získanie“ v článku 14 ods. 5 písm. c) GDPR mal vykladať tak, že vylučuje údaje vytvorené prevádzkovateľom, toto ustanovenie by malo užšiu pôsobnosť než článok 14, ktorého je súčasťou.

43.

Pokiaľ ide o konkrétny účel príslušnej výnimky, ako sa uvádza v úvodných pripomienkach týchto návrhov, oslobodenie prevádzkovateľa od povinnosti poskytovať informácie vychádza z predpokladu, že v danom práve nahrádza povinnosť poskytovať informácie, ktorú prevádzkovateľ za bežných okolností má. ( 23 ) Výnimka stanovená v článku 14 ods. 5 písm. c) poskytuje členským štátom priestor na voľné uváženie, aby stanovili iný spôsob informovania dotknutej osoby a zabezpečenia spravodlivého a transparentného spracúvania v porovnaní s informáciami, ktoré poskytuje prevádzkovateľ na individuálnom základe. Táto iná právna cesta musí stále viesť k rovnakému výsledku. V práve, v ktorom sa nahrádza informačná povinnosť prevádzkovateľov, sa musí dotknutej osobe umožniť vykonávať kontrolu nad svojimi údajmi a uplatňovať svoje práva podľa GDPR. ( 24 )

44.

Výkladom článku 14 ods. 5 písm. c) v tom zmysle, že z jeho pôsobnosti je vylúčené vytváranie údajov prevádzkovateľom, by sa obmedzil priestor na voľné uváženie, ktorý je ponechaný členským štátom na základe dôvodu, ktorý sa nejaví ako relevantný pre ochranu oprávnených záujmov dotknutej osoby.

45.

Okrem toho iný výklad – ktorým by sa zaviedla výnimka z výnimky stanovenej v článku 14 ods. 5 písm. c) v prípade, že údaje vytvára prevádzkovateľ – by znamenal riziko, že sa pre dotknutú osobu vytvorí ďalší prvok zložitosti. Dotknutá osoba musí mať možnosť dozvedieť sa, z akého zdroja získa informácie o spracúvaní svojich údajov, ak sa tieto údaje nezískavajú od samotnej dotknutej osoby. Príslušným právnou úpravou sa musí dosiahnuť to, aby bolo spracúvanie údajov pre dotknutú osobu vo všetkých takýchto situáciách predvídateľné. ( 25 )

46.

Z uvedeného vyplýva, že článok 14 ods. 5 písm. c) GDPR sa má vykladať v tom zmysle, že výnimka z povinnosti prevádzkovateľa poskytnúť informácie dotknutej osobe sa vzťahuje na všetky údaje, ktoré prevádzkovateľ nezískal od dotknutej osoby. V tejto súvislosti nie je dôležité, či sú údaje výslovne získané od iného subjektu alebo či ich prevádzkovateľ vytvoril vlastným postupom.

47.

Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 77 ods. 1 GDPR vykladať v tom zmysle, že dozorný orgán má v rámci konania o sťažnosti právomoc preskúmať, či sa v práve členského štátu, ktorému prevádzkovateľ podlieha, stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby, a to na účely uplatnenia výnimky stanovenej v článku 14 ods. 5 písm. c) daného nariadenia.

48.

V tomto smere treba na jednej strane pripomenúť, že podľa článku 77 ods. 1 GDPR má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s daným nariadením. ( 26 )

49.

Na druhej strane v článku 55 ods. 1 uvedeného nariadenia sa stanovuje, že každý dozorný orgán je príslušný plniť úlohy, ktoré mu boli uložené, a vykonávať právomoci, ktoré mu boli zverené, v súlade s daným nariadením na území vlastného členského štátu. ( 27 ) Navyše podľa článku 57 ods. 1 písm. a) GDPR sú za monitorovanie a presadzovanie uplatňovania GDPR zodpovedné vnútroštátne dozorné orgány.

50.

Ustanoveniami uvedenými v dvoch predchádzajúcich bodoch sa nevylučujú z oblasti pôsobnosti vnútroštátnych dozorných orgánov podmienky na uplatnenie výnimky stanovenej v článku 14 ods. 5 písm. c) GDPR.

51.

Ako teda uviedla maďarská vláda a Komisia, v súvislosti so sťažnosťou podanou podľa článku 77 ods. 1 GDPR majú dozorné orgány v podstate právomoc kontrolovať, či sú všetky podmienky stanovené v článku 14 ods. 5 písm. c) splnené. Ako vyplýva z prvej vety článku 14 ods. 5, všetky výnimky, ktoré sa v ňom stanovujú, sa uplatňujú „v rozsahu, v akom“ sú splnené podmienky v ňom stanovené.

52.

V tejto súvislosti musia mať po prvé dozorné orgány právomoc preskúmať, konkrétnejšie povedané, či sa zákon priamo týka prevádzkovateľa údajov a či je získanie alebo poskytnutie údajov pre prevádzkovateľa povinné. ( 28 ) Po druhé dozorné orgány musia byť schopné preskúmať, či sa v zákone, o ktorý sa prevádzkovateľ opiera, stanovujú „primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby“ a či je prevádzkovateľ údajov schopný preukázať, že získanie alebo poskytnutie osobných údajov je v súlade s týmito opatreniami. ( 29 )

53.

Maďarský dozorný orgán tvrdí, že preskúmanie otázky, či sa vo vnútroštátnom práve poskytujú vhodné opatrenia na ochranu oprávnených záujmov dotknutej osoby, by prekročilo jeho úlohy a právomoci podľa článkov 57 a 58 GDPR. Tento orgán sa domnieva, že v týchto ustanoveniach sa nepriznávajú dozorným orgánom nápravné právomoci vo vzťahu k vnútroštátnemu právu a že nie je možné uplatňovať takéto právomoci voči prevádzkovateľovi, ktorý len dodržal vnútroštátne právo.

54.

V tejto súvislosti treba zdôrazniť, že preskúmanie otázky, či sú všetky podmienky na uplatnenie výnimky podľa článku 14 ods. 5 písm. c) splnené, vnútroštátnym dozorným orgánom nezahŕňa, ako správne uviedla Komisia, preskúmanie platnosti vnútroštátneho práva. Dozorný orgán skúma len otázku, či je prevádzkovateľ oprávnený uplatniť výnimku voči konkrétnej dotknutej osobe v konkrétnej situácii.

55.

Je preto na vnútroštátnom dozornom orgáne, aby preskúmal tvrdenie dotknutej osoby, že prevádzkovateľ by nemal mať výnimku z povinnosti poskytovať informácie z dôvodu, že v príslušnej právnej úprave sa nestanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby.

56.

Ak vnútroštátny dozorný orgán dospeje k záveru, že tvrdenie je nedôvodné, osoba, ktorá sťažnosť podala a ktorá tento záver spochybňuje, musí mať, ako zjavne vyplýva z článku 78 GDPR, prístup k súdnym prostriedkom nápravy, ktoré jej umožnia napadnúť takéto rozhodnutie na vnútroštátnom súde.

57.

Ak sa vnútroštátny dozorný orgán domnieva, že tvrdenie je dôvodné a že podmienky výnimky nie sú splnené, má právomoc, ako v podstate tvrdila maďarská vláda a Komisia, nariadiť prevádzkovateľovi, aby žiadosti dotknutej osoby vyhovel. V takejto situácii musí prevádzkovateľ poskytnúť informácie podľa článku 14 ods. 1 až 4.

58.

V odpovedi na písomné otázky Súdneho dvora česká vláda uviedla, že preskúmanie primeranosti opatrení na ochranu oprávnených záujmov dotknutej osoby nie je možné, ak sa vo vnútroštátnom práve cielene a s ohľadom na konkrétnu situáciu stanovuje výnimka z povinnosti poskytovať informácie. Na základe rozsudku Schrems ( 30 ) táto vláda v podstate konštatuje, že preskúmanie zlučiteľnosti jedného prameňa práva s iným prameňom práva je výlučne úlohou súdov, a nie správneho orgánu.

59.

V tejto súvislosti je nutné pripomenúť, že jedna z hlavných otázok, ktoré boli vznesené vo veci Schrems, sa týkala právomocí vnútroštátnych dozorných orgánov preskúmať sťažnosť osoby týkajúcu sa ochrany jej práv a slobôd v súvislosti s rozhodnutím Komisie, v ktorom sa konštatuje, že tretia krajina zabezpečuje primeranú úroveň ochrany. ( 31 ) Súdny dvor v podstate rozhodol, že keď vnútroštátne dozorné orgány takúto žiadosť skúmajú, nemajú právo samy vyhlásiť takéto rozhodnutie za neplatné. ( 32 ) Ak vnútroštátny dozorný orgán považuje výhrady vznesené osobou, ktorá žiadosť podala, za dôvodné, musí mať tento orgán možnosť začať súdne konanie. ( 33 )

60.

Rozsudok Schrems však podľa všetkého nie je priamo relevantný, pokiaľ ide o otázku právomocí dozorných orgánov v súvislosti s preskúmaním výnimky stanovenej v článku 14 ods. 5 písm. c) GDPR. Hneď na úvod je nutné zdôrazniť, že v rámci tohto preskúmania dozorný orgán nezasahuje do zákonnej povinnosti prevádzkovateľa údajov získať alebo poskytnúť osobné údaje. Inými slovami, dozorný orgán nenariaďuje prevádzkovateľovi, aby sa zdržal uplatňovania zákonnej požiadavky na získanie alebo poskytnutie, ktorou je prevádzkovateľ naďalej viazaný. Ako v podstate tvrdí Komisia a maďarská vláda, v takejto situácii právomoc vnútroštátneho dozorného orgánu spočíva v tom, že nariadi prevádzkovateľovi, aby potrebné informácie poskytol vo svojom oznámení o ochrane osobných údajov, ( 34 ) ak nie sú splnené podmienky príslušnej výnimky. Takýto príkaz, ako je uvedené vyššie, nezasahuje do platnosti zákonného opatrenia, ktorému prevádzkovateľ podlieha.

61.

Právomocou dozorného orgánu nariadiť prevádzkovateľovi, aby poskytol informácie, nie je dotknutá právomoc daného orgánu, ak sa domnieva, že predmetné zákonné opatrenie je neplatné, začať súdne konanie stanovené na tento účel vnútroštátnym právom, a to podľa článku 58 ods. 5 GDPR.

62.

Napokon na systémovejšej úrovni, ako uviedli všetky zainteresované strany, má dozorný orgán právomoc poradiť zákonodarnej alebo výkonnej moci, aby príslušné zákonné opatrenie upravila, ak sa domnieva, že neposkytuje primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby. V tejto súvislosti treba pripomenúť, že dozorné orgány sú podľa článku 57 ods. 1 písm. c) GDPR zodpovedné za poskytovanie poradenstva národnému parlamentu a vláde a iným inštitúciám a orgánom. Majú aj poradné právomoci stanovené v článku 58 ods. 3 písm. b) GDPR.

63.

Z uvedeného vyplýva, že článok 77 ods. 1 všeobecného nariadenia o ochrane údajov sa má vykladať v tom zmysle, že dozorný orgán je v rámci konania o sťažnosti oprávnený preskúmať, či sú splnené všetky podmienky stanovené v článku 14 ods. 5 písm. c) daného nariadenia. Konkrétnejšie povedané, má právomoc preskúmať otázku, či právo členského štátu, ktorému prevádzkovateľ podlieha, poskytuje primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby.

64.

Svojou treťou otázkou sa vnútroštátny súd v podstate pýta, či sa článok 14 ods. 5 písm. c) GDPR má vykladať v tom zmysle, že „primerané opatrenia“ uvedené v tomto ustanovení vedú k domnienke, že vnútroštátny zákonodarca je povinný transponovať opatrenia týkajúce sa bezpečnosti údajov stanovené v článku 32 uvedeného nariadenia.

65.

V tejto súvislosti treba na jednej strane pripomenúť, že uplatniteľnosť výnimky z povinnosti poskytovať informácie podľa článku 14 ods. 5 písm. c) GDPR závisí od zabezpečenia „primeraných opatrení“ na ochranu oprávnených záujmov dotknutej osoby. Na druhej strane z článku 32 GDPR vyplýva, že prevádzkovateľ a sprostredkovateľ musia zaviesť „primerané technické a organizačné opatrenia“ na zaistenie bezpečnosti spracúvania.

66.

Ako však uvádza Komisia, články 14 a 32 majú odlišnú pôsobnosť. Rozsah „primeraných opatrení“ sa musí skúmať v kontexte článku 14 GDPR. Nie je preto možné určiť jednu z podmienok uplatňovania výnimky stanovenej v článku 14 ods. 5 písm. c) transpozíciou pojmu „vhodné technické a organizačné opatrenia“ použitého v inom ustanovení. Okrem toho sa v kontexte článku 32 GDPR nejaví ako relevantné, či informácie poskytuje prevádzkovateľ alebo či je ich získanie alebo poskytnutie stanovené právom. Predmet skúmania vykonávaného dozorným orgánom musí byť preto vymedzený rozsahom uplatňovania článku 14.

67.

Presný obsah „primeraných opatrení“ nie je v článku 14 ods. 5 písm. c) GDPR špecifikovaný. Je dostatočne široký na to, aby zahŕňal akékoľvek opatrenie, ktoré zákonodarca považuje za potrebné a primerané. Pojem „primerané opatrenia“ sa má vykladať, ako uviedla Komisia, v podstate vo svetle zásady transparentnosti stanovenej v článku 5 ods. 1 písm. a) GDPR. V tejto súvislosti je dôležité zohľadniť, že príslušná právna úprava, ako sa uvádza v úvodných pripomienkach týchto návrhov, ( 35 ) je „náhrada“ za informačnú povinnosť, ktorú za bežných okolností znáša prevádzkovateľ. Je na zákonodarcovi, aby určil primerané opatrenia, napríklad v závislosti od kategórie získaných údajov a kontextu, v ktorom sa spracúvanie uskutočňuje.

68.

Česká vláda v odpovedi na otázku položenú Súdnym dvorom uviedla, že rozsah primeraných opatrení je širší než zoznam informácií uvedený v odsekoch 1, 2 a 4 článku 14 GDPR.

69.

Súhlasím, že primeranosť opatrení nemožno posudzovať len na základe „mechanického“ porovnania s informačnými povinnosťami prevádzkovateľa, ktoré sa harmonizujú v GDPR. Bolo by zrejme nezmyselné stanoviť „ustanovenie na otvorenie“ podľa článku 14 ods. 5 písm. c) ( 36 ) a zároveň uložiť presne tie isté povinnosti bez toho, aby sa zákonodarcovi ponechal akýkoľvek priestor na voľné uváženie. Príslušná právna úprava však musí zabezpečiť štandard spravodlivého a transparentného spracúvania, ktorý je rovnocenný so štandardom zabezpečeným v článku 14 ods. 1 až 4. ( 37 ) Aby dotknutá osoba mohla posúdiť akékoľvek riziko spojené so získaním údajov a ich spracúvaním, ( 38 ) musí byť na základe prostého výkladu príslušného právneho ustanovenia jasné, kto údaje spracúva, z akého dôvodu a akým spôsobom. ( 39 ) Ako som uviedla vyššie, ( 40 ) odlišnou právnou cestou sa musí dosiahnuť rovnaký výsledok, ktorý spočíva v tom, že dotknutá osoba bude mať možnosť vykonávať kontrolu nad svojimi údajmi a uplatňovať si svoje práva podľa GDPR.

70.

Konkrétny právny dôvod spracúvania má vplyv aj na určenie „primeraných opatrení“ pre konkrétne okolnosti spracúvania. V tejto súvislosti treba pripomenúť, že z článku 6 ods. 1 písm. c) a e) GDPR vyplýva, že spracúvanie je zákonné vtedy a v tom rozsahu, keď je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa a keď je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme. Pokiaľ ide o takéto spracúvanie, podľa článku 6 ods. 2 môžu členské štáty zachovať alebo zaviesť konkrétnejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel GDPR s ohľadom na spracúvanie, a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie. ( 41 ) Okrem toho podľa článku 9 ods. 2 písm. i) GDPR, ak je spracúvanie nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, musia sa v práve členského štátu (alebo EÚ) stanoviť vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby.

71.

Vo veci samej bolo získanie údajov uložené nariadením vlády č. 60/2021, ktoré, ako vyplýva zo spisu, bolo prijaté na základe článku 6 ods. 1 písm. c) a e) a článku 9 ods. 2 písm. i) GDPR. Maďarská vláda tvrdí, že v nariadení vlády č. 60/2021 sa – okrem všeobecných záruk, ktoré sa uplatňujú na základe právneho rámca prijatého na zabezpečenie zákonnosti spracúvania – stanovili ďalšie záruky. V tejto súvislosti táto vláda uviedla, že jedna z týchto záruk spočívala v tom, že subdodávatelia určení týmto nariadením vlády sú vo vlastníctve štátu a musia dodržiavať legislatívny rámec týkajúci sa bezpečnosti údajov, ktorý sa vzťahuje na štátne orgány a miestnu správu. Je úlohou vnútroštátneho súdu preskúmať tieto návrhy a posúdiť, či vnútroštátne právo poskytuje vhodné opatrenia vzhľadom na uvedené úvah.

72.

Vzhľadom na uvedené skutočnosti sa domnievam, že článok 14 ods. 5 písm. c) GDPR sa má vykladať v tom zmysle, že „primerané opatrenia“ uvedené v tomto ustanovení si nevyžadujú, aby vnútroštátny zákonodarca transponoval opatrenia súvisiace s bezpečnosťou údajov stanovené v článku 32 daného nariadenia.

73.

Vzhľadom na všetky vyššie uvedené úvahy navrhujem, aby Súdny dvor odpovedal na prejudiciálne otázky, ktoré položil Kúria (Najvyšší súd), takto: