62023CJ0169

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
EUR-Lex - 62023CJ0169 - EN

Help

Search tips

Need more search options? Use the Advanced search

Document 62023CJ0169

Help

Sodba Sodišča (tretji senat) z dne 28. novembra 2024.
Nemzeti Adatvédelmi és Információszabadság Hatóság proti UC.
Predlog za sprejetje predhodne odločbe, ki ga je vložilo Kúria.
Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov in prosti pretok takih podatkov – Uredba (EU) 2016/679 – Podatki, obdelani pri pripravi COVID potrdila – Podatki, ki niso bili pridobljeni od posameznika, na katerega se nanašajo osebni podatki – Informacije, ki se zagotovijo – Izjema od obveznosti obveščanja – Člen 14(5)(c) – Podatki, ki jih ustvari upravljavec v okviru svojega postopka – Pravica do pritožbe – Pristojnost nadzornega organa – Člen 77(1) – Ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ki so določeni s pravom države članice, ki velja za upravljavca – Ukrepi za varnost obdelave podatkov – Člen 32.
Zadeva C-169/23.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2024:988

Language of the case

HTML

PDF

Document published in the digital reports of cases. They have official status.

SODBA SODIŠČA (tretji senat)

z dne 28. novembra 2024 ( *1 )

„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov in prosti pretok takih podatkov – Uredba (EU) 2016/679 – Podatki, obdelani pri pripravi COVID potrdila – Podatki, ki niso bili pridobljeni od posameznika, na katerega se nanašajo osebni podatki – Informacije, ki se zagotovijo – Izjema od obveznosti obveščanja – Člen 14(5)(c) – Podatki, ki jih ustvari upravljavec v okviru svojega postopka – Pravica do pritožbe – Pristojnost nadzornega organa – Člen 77(1) – Ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ki so določeni s pravom države članice, ki velja za upravljavca – Ukrepi za varnost obdelave podatkov – Člen 32“

V zadevi C‑169/23, [Másdi] ( i ),

katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Kúria (vrhovno sodišče, Madžarska) z odločbo z dne 8. februarja 2023, ki je na Sodišče prispela 17. marca 2023, v postopku

Nemzeti Adatvédelmi és Információszabadság Hatóság

proti

UC,

SODIŠČE (tretji senat),

v sestavi K. Jürimäe, predsednica drugega senata v funkciji predsednice tretjega senata, K. Lenaerts, predsednik Sodišča v funkciji sodnika tretjega senata, N. Jääskinen, M. Gavalec (poročevalec) in N. Piçarra, sodniki,

generalna pravobranilka: L. Medina,

sodni tajnik: A. Calot Escobar,

na podlagi pisnega postopka,

ob upoštevanju stališč, ki so jih predložili:

–	za Nemzeti Adatvédelmi és Információszabadság Hatóság G. J. Dudás, ügyvéd,

–	za UC D. Karsai in V. Łuszcz, ügyvédek,

–	za madžarsko vlado Zs. Biró-Tóth in M. Z. Fehér, agenta,

–	za češko vlado L. Březinová, M. Smolek in J. Vláčil, agenti,

–	za Evropsko komisijo A. Bouchagiar, C. Kovács in H. Kranenborg, agenti,

po predstavitvi sklepnih predlogov generalne pravobranilke na obravnavi 6. junija 2024

izreka naslednjo

Sodbo

Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 14(1) in (5)(c), člena 32 in člena 77(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, v nadaljevanju: SUVP).

Ta predlog je bil vložen v okviru spora med Nemzeti Adatvédelmi és Információszabadság Hatóság (nacionalni organ za varstvo podatkov in svobodo obveščanja, Madžarska) (v nadaljevanju: nacionalni organ) in osebo UC glede obstoja obveznosti obveščanja v zvezi z obdelavo osebnih podatkov, ki jo ima Budapest Főváros Kormányhivatala (vladni urad v Budimpešti, Madžarska) (v nadaljevanju: uprava za izdajo potrdil), ki je zadolžen za izdajo potrdil o imunosti osebam, cepljenim proti covidu-19, ali osebam, ki so že zbolele za to boleznijo.

Pravni okvir

Pravo Unije

SUVP

V uvodnih izjavah 1, 10 in od 61 do 63 SUVP je navedeno:

„(1)	Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) Listine Evropske unije o temeljnih pravicah […] in členu 16(1) [PDEU] je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

[…]

(10)

Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v [Evropski] [u]niji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. Kar zadeva obdelavo osebnih podatkov z namenom izpolnjevanja pravne obveznosti, za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu, bi moralo biti državam članicam dovoljeno ohraniti ali uvesti nacionalne določbe za podrobnejšo opredelitev uporabe pravil iz te uredbe. […]

[…]

(61)

Posameznike, na katere se nanašajo osebni podatki, bi bilo treba o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki, ali, kadar se osebni podatki pridobijo iz drugega vira, v ustreznem roku odvisno od okoliščin primera. Kadar se lahko osebni podatki zakonito razkrijejo drugemu uporabniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se osebni podatki prvič razkrijejo uporabniku. Kadar namerava upravljavec obdelovati osebne podatke za namen, ki ni namen, za katerega so bili zbrani, bi moral upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotoviti informacije o tem drugem namenu in druge potrebne informacije. Kadar temu posamezniku ni mogoče sporočiti izvora osebnih podatkov zaradi uporabe različnih virov, bi mu bilo treba zagotoviti splošne informacije.

(62)

Vendar pa uvedba obveznosti zagotavljanja informacij ni nujna, kadar ima posameznik, na katerega se nanašajo osebni podatki, informacije že na voljo ali kadar je shranjevanje ali razkritje osebnih podatkov izrecno določeno z zakonom ali kadar bi se zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, izkazalo za nemogoče ali bi vključevalo nesorazmeren napor. […]

(63)	Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost. […]“

4	Člen 1 te uredbe, naslovljen „Predmet urejanja in cilji“, v odstavku 2 določa: „Ta uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.“

Člen 4 navedene uredbe, naslovljen „Opredelitev pojmov“, določa:

„V tej uredbi:

(1)	‚osebni podatki‘ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); […]

(2)

‚obdelava‘ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

[…]

(7)	‚upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; […]

[…]“

Člen 6 SUVP, naslovljen „Zakonitost obdelave“, v odstavku 1 določa:

„Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

[…]

(c)	obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

[…]

(e)	obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

[…]“

Člen 9 te uredbe, naslovljen „Obdelava posebnih vrst osebnih podatkov“, v odstavkih 1 in 2 določa:

„1. Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

2. Odstavek 1 se ne uporablja, če velja eno od naslednjega:

[…]

(i)

obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti;

[…]“

8	Poglavje III SUVP, naslovljeno „Pravice posameznika, na katerega se nanašajo osebni podatki“, vsebuje več oddelkov, med katerimi je oddelek 2 te uredbe, naslovljen „Informacije in dostop do osebnih podatkov“.

V tem oddelku 2 so člen 13, ki se nanaša na „Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki“, člen 14, ki se nanaša na „Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo“, in člen 15, ki se nanaša na „Pravico dostopa posameznika, na katerega se nanašajo osebni podatki“, SUVP.

Člen 14 te uredbe določa:

„1. Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije:

(a)	identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)	kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)	namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)	vrste zadevnih osebnih podatkov;

(e)	uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

(f)	kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji […].

2. Upravljavec poleg informacij iz odstavka 1 posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki:

(a)	obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)	kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(c)	obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in obstoj pravice do ugovora obdelavi ter pravice do prenosljivosti podatkov;

(d)	kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(e)	pravico do vložitve pritožbe pri nadzornem organu;

(f)	od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov, in

(g)	obstoj avtomatiziranega sprejemanja odločitev […].

[…]

4. Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki pridobljeni, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

5. Odstavki 1 do 4 se ne uporabljajo, kadar in kolikor:

(a)	posameznik, na katerega se nanašajo osebni podatki, že ima informacije;

(b)

se izkaže, da je zagotavljanje takih informacij nemogoče ali bi vključevalo nesorazmeren napor, zlasti pri obdelavi v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, pod pogoji in ob upoštevanju zaščitnih ukrepov iz člena 89(1) ali kolikor bi obveznost iz odstavka 1 tega člena lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave. V takih primerih upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, tudi tako, da informacije objavi;

(c)	je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(d)	morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s predpisanimi obveznostmi varovanja skrivnosti.“

Člen 32 navedene uredbe, naslovljen „Varnost obdelave“, določa:

„1. Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a)	psevdonimizacijo in šifriranjem osebnih podatkov;

(b)	zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c)	zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d)	postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

2. Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

3. Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 se lahko uporabi kot element, s katerim se izkaže izpolnjevanje zahtev iz odstavka 1 tega člena.

4. Upravljavec in obdelovalec zagotovita, da katera koli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice.“

12	Člen 55 te uredbe, naslovljen „Pristojnost“, v odstavku 1 določa: „Vsak nadzorni organ je na ozemlju svoje države članice pristojen za opravljanje dodeljenih nalog in izvajanje prenesenih pooblastil v skladu s to uredbo.“

Člen 57 SUVP, naslovljen „Naloge“, v odstavku 1 določa:

„Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:

(a)	spremlja in zagotavlja uporabo te uredbe;

[…]

(c)	v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

[…]“

Člen 58 te uredbe, naslovljen „Pooblastila“, v odstavku 3 določa:

„Vsak nadzorni organ ima vsa naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:

[…]

(b)	da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament, vlado države članice ali, v skladu s pravom države članice, druge institucije in telesa, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov;

[…]“

Člen 77 navedene uredbe, naslovljen „Pravica do vložitve pritožbe pri nadzornem organu“, v odstavku 1 določa:

„Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.“

Člen 78 SUVP, naslovljen „Pravica do učinkovitega pravnega sredstva zoper nadzorni organ“, določa:

„1. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsaka fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.

2. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar nadzorni organ, ki je pristojen na podlagi členov 55 in 56, ne obravnava pritožbe ali če posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi, vloženi na podlagi člena 77.

3. Za postopke zoper nadzorni organ so pristojna sodišča države članice, v kateri ima nadzorni organ 1 ustanovitev.

4. Kadar je začet postopek zoper odločitev nadzornega organa, v zvezi s katero je odbor pred tem sprejel mnenje ali odločitev v okviru mehanizma za skladnost, nadzorni organ to mnenje ali odločitev posreduje sodišču.“

Uredba (EU) 2021/953

Člen 10 Uredbe (EU) 2021/953 Evropskega parlamenta in Sveta z dne 14. junija 2021 o okviru za izdajanje, preverjanje in priznavanje interoperabilnih potrdil o cepljenju, testu in preboleli bolezni v zvezi s COVID-19 (digitalno COVID potrdilo EU) za olajšanje prostega gibanja med pandemijo COVID-19 (UL 2021, L 211, str.1), naslovljen „Varstvo osebnih podatkov“, v odstavku 1 določa:

„Za obdelavo osebnih podatkov v okviru izvajanja te uredbe se uporablja [SUVP].“

Madžarsko pravo

Člen 2(1) a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet (odlok vlade št. 60/2021 (II.12.) o potrdilu o imunosti proti koronavirusu) z dne 12. februarja 2021 v različici, ki se uporablja za spor o glavni stvari (v nadaljevanju: odlok št. 60/2021), določa:

„Potrdilo o imunosti vsebuje:

(a)	ime zadevnega posameznika;

(b)	številko potnega lista zadevnega posameznika, če ga ta ima;

(c)	številko in identifikacijsko oznako stalne osebne izkaznice zadevnega posameznika, če ga ta ima;

(d)	serijsko številko potrdila o imunosti;

(e)	če se predloži dokazilo o cepljenju, datum cepljenja;

(f)	če se predloži dokazilo o prebolelosti, datum veljavnosti dokazila;

(g)	kodo za shranjevanje podatkov, ki je optično čitljiva z uporabo računalniških naprav in ki se ustvari iz podatkov iz točk od (a) do (f);

(h)

naslednje navedbe v obliki besedilnih opozoril:

(ha)	‚Izkaznica je veljavna le ob predložitvi skupaj z osebnim dokumentom ali potnim listom‘;

(hb)	‚Ni prenosljiva‘;

(hc)	‚Pravice, ki izhajajo iz potrdila, so na voljo na spletni strani koronavirus.gov.hu‘.“

19	V skladu s členom 2(6) in (7) odloka št. 60/2021 potrdilo o imunosti upravičeni fizični osebi izda uprava za izdajo potrdil po uradni dolžnosti ali na zahtevo.

Člen 3(3) tega odloka določa:

„V primerih iz člena 2(6)(c) in (d) uprava za izdajo potrdil s samodejnim prenosom podatkov, po potrebi prek služb registra za elektronsko upravljanje identifikacijskih podatkov, pridobiva podatke:

(a)	od upravljavca platforme EESZT (Elektronikus Egészségügyi Szolgáltatási Tér (elektronska platforma zdravstvenih storitev)): številko socialnega zavarovanja zadevnega posameznika, podatke iz člena 2(1)(e) in (g) ter podatke iz odstavka 1;

(b)	od organa, pristojnega za register osebnih podatkov in naslovov: ime zadevnega posameznika, številko oziroma identifikacijsko oznako njegovega potnega lista in stalne osebne izkaznice ter njegov naslov.“

Spor o glavni stvari in vprašanja za predhodno odločanje

21	UC, ki je fizična oseba, je uprava za izdajo potrdil izdala potrdilo o imunosti v skladu z odlokom št. 60/2021, s katerim je bilo potrjeno, da je bil cepljen proti covidu-19.

UC je 30. aprila 2021 začel upravni postopek v zvezi z obdelavo svojih osebnih podatkov tako, da je pri nacionalnem organu vložil pritožbo na podlagi člena 77(1) SUVP z namenom, da se upravi za izdajo potrdil odredi, naj svoja dejanja obdelave uskladi z določbami SUVP. V pritožbi je med drugim upravi za izdajo potrdil očital, da ni pripravila in objavila izjave o varstvu osebnih podatkov v zvezi z izdajo potrdil o imunosti, in trdil, da ni bilo informacij niti o namenu in pravni podlagi obdelave teh podatkov niti o pravicah posameznika, na katerega se nanašajo osebni podatki, in tem, kako jih je mogoče uveljavljati.

V okviru postopka, začetega na podlagi te pritožbe, je uprava za izdajo potrdil navedla, da svoje naloge, povezane z izdajo potrdila o imunosti, opravlja na podlagi člena 2 odloka št. 60/2021, pri čemer je pravna podlaga za obdelavo osebnih podatkov člen 6(1)(e) SUVP, za obdelavo posebnih vrst osebnih podatkov pa člen 9(2)(i) te uredbe.

Poleg tega je uprava za izdajo potrdil navedla, da je osebne podatke, ki jih je obdelovala, pridobila od drugega organa v skladu z določbami odloka št. 60/2021. Na tej podlagi je trdila, da v skladu s členom 14(5)(c) SUVP ni dolžna zagotoviti informacij o obdelavi teh podatkov. Kljub temu je pripravila in na svojem spletnem mestu objavila zahtevano izjavo o varstvu osebnih podatkov.

25	Nacionalni organ je z odločbo z dne 15. novembra 2021 zavrnil zahtevo UC in ugotovil, da uprava za izdajo potrdil nima dolžnosti obveščanja, saj za zadevno obdelavo osebnih podatkov velja izjema iz člena 14(5)(c) SUVP.

Natančneje, ta organ je menil, da je odlok št. 60/2021 pravna podlaga za obdelavo in da je bilo z njim upravi za izdajo potrdil izrecno naloženo zbiranje zadevnih podatkov. Po mnenju navedenega organa je to, da uprava za izdajo potrdil na svojem spletnem mestu objavi informacije o obdelavi osebnih podatkov, dobra praksa, ne pa zakonska obveznost.

Poleg tega je nacionalni organ po uradni dolžnosti preizkusil, ali obstajajo ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, v smislu člena 14(5)(c), drugi del stavka, SUVP, in ocenil, da je treba za take ukrepe šteti določbe členov 2, 3 in od 5 do 7 odloka št. 60/2021.

28	UC je zoper to odločbo vložil upravno pritožbo pri Fővárosi Törvényszék (županijsko sodišče v Budimpešti, Madžarska), ki je navedeno odločbo odpravilo in temu organu odredilo, naj začne nov postopek.

Navedeno sodišče je v sodbi menilo, da se izjema iz člena 14(5)(c) SUVP ne uporabi, ker nekaterih osebnih podatkov, ki so bili predloženi v zvezi s potrdili o imunosti, upravljavec ni pridobil od drugega organa, temveč jih je v okviru opravljanja svojih nalog ustvaril sam. Po mnenju navedenega sodišča je tako bilo v primeru serijske številke potrdila o imunosti, datuma izteka veljavnosti potrdila, izdanega osebi, ki je zbolela za boleznijo, kode QR na izkaznici, črtne kode in drugih alfanumeričnih kod, navedenih na dokazilu o vročitvi potrdila, ter osebnih podatkov, ustvarjenih med postopkom upravljavca v zvezi z obravnavo zadeve. Po mnenju istega sodišča lahko le za osebne podatke, pridobljene od drugega organa, velja izjema iz člena 14(5)(c) SUVP.

30	Nacionalni organ je pri Kúria (vrhovno sodišče, Madžarska), ki je predložitveno sodišče, zoper to sodbo vložil izredno pravno sredstvo.

31	V tem okviru se navedeno sodišče najprej sprašuje, ali se izjema iz člena 14(5)(c) SUVP lahko uporablja za vse obdelave osebnih podatkov, razen za tiste, ki se nanašajo na osebne podatke, pridobljene od posameznika, na katerega se ti podatki nanašajo.

Če je odgovor pritrdilen, se navedeno sodišče sprašuje, ali je nadzorni organ v okviru pritožbenega postopka iz člena 77(1) SUVP pristojen, da za to, da bi odločil o uporabi te izjeme, preveri, ali so v nacionalnem pravu upravljavca določeni ustrezni ukrepi za varstvo zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

33	Če je odgovor pritrdilen, želi predložitveno sodišče nazadnje izvedeti, ali se to preverjanje nanaša tudi na ustreznost ukrepov, ki jih mora upravljavec na podlagi člena 32 SUVP izvesti za zagotovitev varnosti obdelave osebnih podatkov.

V teh okoliščinah je Kúria (vrhovno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1.	Ali je treba člen 14(5)(c) v povezavi s členom 14(1) in uvodno izjavo 62 [SUVP] razlagati tako, da se odstopanje iz člena 14(5)(c) ne nanaša na podatke, ki se ustvarijo v samem postopku upravljavca, temveč izključno na podatke, ki jih je upravljavec izrecno pridobil od druge osebe?

Če se člen 14(5)(c) SUVP uporablja tudi za podatke, ustvarjene s samim postopkom upravljavca, ali je treba pravico do vložitve pritožbe pri nadzornem organu iz člena 77(1) SUVP razlagati tako, da lahko posameznik, ki zatrjuje kršitev obveznosti zagotavljanja informacij, pri uveljavljanju svoje pravice do pritožbe zahteva, da se preuči, ali pravo države članice v skladu s členom 14(5)(c) SUVP določa ustrezne ukrepe za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki?

3.	Če je odgovor na drugo vprašanje pritrdilen, ali je mogoče člen 14(5)(c) SUVP razlagati tako, da ‚ustrezni ukrepi‘ iz te določbe pomenijo, da mora nacionalni zakonodajalec (s pravnim aktom) prenesti ukrepe za varnost podatkov iz člena 32 SUVP?“

Sodišče je 16. januarja 2024 stranke in zainteresirane subjekte iz člena 23 Statuta Sodišča Evropske unije v skladu s členom 61 Poslovnika Sodišča pozvalo, naj pisno odgovorijo na nekatera vprašanja. Tožeča in tožena stranka iz postopka v glavni stvari, madžarska in češka vlada ter Evropska komisija so na ta vprašanja odgovorile.

Vprašanja za predhodno odločanje

Prvo vprašanje

Predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba člen 14(5)(c) SUVP razlagati tako, da se izjema od obveznosti upravljavca, ki je določena v tej določbi, da obvešča posameznika, na katerega se nanašajo osebni podatki, nanaša samo na osebne podatke, ki jih je upravljavec pridobil od druge osebe kot od posameznika, na katerega se nanašajo osebni podatki, ali pa se nanaša tudi na osebne podatke, ki jih je ta upravljavec v okviru opravljanja svojih nalog ustvaril sam.

37	Člen 14(1), (2) in (4) te uredbe določa informacije, ki jih mora upravljavec zagotoviti posamezniku, na katerega se nanašajo osebni podatki, v smislu člena 4, točka 1, navedene uredbe, kadar osebni podatki niso bili pridobljeni od tega posameznika.

Člen 14(5) te uredbe določa izjeme od te obveznosti. Med temi izjemami točka (c) tega odstavka 5 določa, da se navedena obveznost ne uporablja, kadar in kolikor je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

Za ugotovitev, ali ta izjema zajema osebne podatke, ki jih je upravljavec v okviru opravljanja svojih nalog ustvaril sam na podlagi podatkov, pridobljenih od druge osebe kot od posameznika, na katerega se nanašajo osebni podatki, je treba v skladu z ustaljeno sodno prakso upoštevati ne samo besedilo določbe, ki določa to izjemo, ampak tudi kontekst te določbe in cilje, ki se uresničujejo z ureditvijo, katere del je (glej v tem smislu sodbo z dne 12. januarja 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, točka 32 in navedena sodna praksa).

40	Na prvem mestu, glede na besedilo člena 14(5)(c) SUVP je treba določiti predmet „pridobitve ali razkritja“ iz te določbe.

Prvič, obstaja namreč razhajanje med različnimi jezikovnimi različicami navedene določbe. Francoska različica te določbe se sklicuje na pridobitev ali razkritje „informacij“, medtem ko se, najprej, madžarska („adat“), estonska („isikuandmed“), hrvaška („podataka“), litovska („duomenų“), nizozemska („gegevens“), portugalska („dados“), romunska („datelor“) in švedska („uppgifter“) jezikovna različica sklicujejo na pridobitev ali razkritje „podatkov“, dalje, finska jezikovna različica vsebuje izraz („tietojen“), ki se lahko nanaša tako na „podatke“ kot na„informacije“, in nazadnje, bolgarska, španska, češka, danska, nemška, grška, angleška, italijanska, latvijska, malteška, poljska, slovaška in slovenska jezikovna različica ne omenjajo predmeta pridobitve ali razkritja.

V skladu s prav tako ustaljeno sodno prakso pa formulacija, uporabljena v eni od jezikovnih različic določbe prava Unije, ne more biti edina podlaga za razlago te določbe oziroma ne more imeti prednosti pred drugimi jezikovnimi različicami. Določbe prava Unije je treba namreč razlagati in uporabljati enotno, ob upoštevanju različic v vseh jezikih Unije. V primeru razhajanj med različnimi jezikovnimi različicami besedila prava Unije je treba zadevno določbo razlagati glede na splošno sistematiko in namen ureditve, katere del je (sodba z dne 21. marca 2024, Cobult, C‑76/23, EU:C:2024:253, točka 25 in navedena sodna praksa).

Kar zadeva splošno sistematiko SUVP, je treba člen 14(5) te uredbe razlagati ob upoštevanju njenih uvodnih izjav 61 in 62, ki se sklicujeta, na eni strani, na to, da se „osebni podatki pridobijo […] in razkrijejo“, ter na „shranjevanje ali razkritje osebnih podatkov[, ki je] izrecno določeno z zakonom“, in na drugi strani, na „informacije[, ki so zagotovljene]“ ali „[ki jih je treba zagotoviti]“. Razlaga, da se „pridobitev ali razkritje“ v smislu člena 14(5)(c) SUVP nanašata na osebne podatke, je poleg tega potrjena s širokim obsegom pojma „obdelava“ v smislu člena 4, točka 2, SUVP, ki zajema vsako dejanje, ki se izvaja v zvezi z osebnimi podatki (glej v tem smislu sodbo z dne 5. oktobra 2023, Ministerstvo zdravotnictví (Mobilna aplikacija covid‑19), C‑659/22, EU:C:2023:745, točka 27 in navedena sodna praksa).

Kar zadeva namen ureditve, katere del je člen 14(5)(c) SUVP, zadostuje ugotoviti – tako kot je ugotovila generalna pravobranilka v točki 31 sklepnih predlogov – da je ratio legis te izjeme v tem, da obveznost obveščanja posameznika, na katerega se nanašajo osebni podatki, ki je naložena s členom 14(1), (2) in (4) te uredbe, ni upravičena, kadar druga določba prava Unije ali prava države članice upravljavcu dovolj izčrpno in zavezujoče nalaga, da temu posamezniku zagotovi informacije o pridobitvi ali razkritju osebnih podatkov. V primeru, ki spada na področje uporabe tega člena 14(5)(c), morajo namreč posamezniki, na katere se nanašajo osebni podatki, zadostno poznati načine in namene pridobitve ali razkritja teh podatkov.

45	Posledično je treba glede na besedilo člena 14(5)(c) SUVP v vseh njegovih jezikovnih različicah šteti, da je treba to določbo razumeti tako, da se nanaša na pridobitev ali razkritje osebnih podatkov.

Drugič, ugotoviti je treba, da z besedilom člena 14(5)(c) SUVP izjema, ki jo ta člen določa, ni omejena samo na osebne podatke, ki jih upravljavec pridobi od druge osebe kot od posameznika, na katerega se nanašajo osebni podatki, pa tudi, da ne izključuje podatkov, ki jih je upravljavec v okviru opravljanja svojih nalog na podlagi takih podatkov ustvaril sam.

Iz tega sledi, da so osebni podatki, ki jih je upravljavec „pridobil“ v smislu navedene določbe, vsi tisti osebni podatki, ki jih ta upravljavec pridobi od druge osebe kot od posameznika, na katerega se nanašajo osebni podatki, in osebni podatki, ki jih je v okviru opravljanja svojih nalog ustvaril sam na podlagi podatkov, pridobljenih od druge osebe kot od posameznika, na katerega se nanašajo osebni podatki.

Na drugem mestu, ugotoviti je treba, da je stvarno področje uporabe člena 14 SUVP opredeljeno negativno glede na člen 13 te uredbe. Kot je razvidno iz samih naslovov teh določb, se ta člen 13 nanaša na informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, medtem ko se ta člen 14 nanaša na informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti podatki nanašajo. Ob upoštevanju te dihotomije vsi primeri, v katerih se podatki ne pridobijo od posameznika, na katerega se ti podatki nanašajo, spadajo na stvarno področje uporabe navedenega člena 14.

Zato iz povezane razlage členov 13 in 14 SUVP izhaja, da tako osebni podatki, ki jih upravljavec pridobi od druge osebe kot od posameznika, na katerega se nanašajo osebni podatki, kot podatki, ki jih je upravljavec ustvaril sam in ki po naravi prav tako niso bili pridobljeni od posameznika, na katerega se nanašajo osebni podatki, spadajo na področje uporabe tega člena 14. Iz tega izhaja, da izjema iz navedenega člena 14(5)(c) zajema ti dve kategoriji podatkov.

Na tretjem mestu, člen 14(5)(c) SUVP je treba razlagati v skladu s ciljem te uredbe, ki je – kot je razvidno iz njenega člena 1 v povezavi z njenima uvodnima izjavama 1 in 10 – med drugim zagotoviti visoko raven varstva temeljnih pravic in svoboščin posameznikov, zlasti njihove pravice do zasebnosti pri obdelavi osebnih podatkov, ki je določena v členu 8(1) Listine o temeljnih pravicah in členu 16(1) PDEU (glej v tem smislu sodbo z dne 7. marca 2024, IAB Europe, C‑604/22, EU:C:2024:214, točka 53 in navedena sodna praksa).

V zvezi s tem je iz uvodne izjave 63 SUVP razvidno, da je zakonodajalec Unije želel, da ima posameznik, na katerega se nanašajo osebni podatki, v smislu te uredbe pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, da bi se seznanil z obdelavo teh podatkov in preveril njeno zakonitost.

52	Tako je upravljavec lahko oproščen obveznosti obveščanja, ki jo običajno ima do posameznika, na katerega se nanašajo osebni podatki, pod pogojem, da ima ta posameznik možnost izvajati nadzor nad svojimi osebnimi podatki in uveljavljati pravice, ki so mu podeljene s SUVP.

V skladu s ciljem, ki se uresničuje s to uredbo, izjema od obveznosti obveščanja posameznika, na katerega se nanašajo osebni podatki, določena v členu 14(5)(c) SUVP, na eni strani zahteva, da sta pridobitev ali razkritje osebnih podatkov s strani upravljavca izrecno določeni s pravom Unije ali pravom države članice, ki velja za tega upravljavca. Na drugi strani mora ta pravica določati ustrezne ukrepe za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

Iz tega izhaja, da je uporaba člena 14(5)(c) te uredbe, da bi bila popolnoma v skladu s ciljem, ki se uresničuje s SUVP, odvisna od doslednega spoštovanja pogojev iz te določbe, in sicer zlasti od obstoja ravni varstva posameznika, na katerega se nanašajo osebni podatki, ki je vsaj enakovredna varstvu, zagotovljenemu s členom 14, od (1) do (4), navedene uredbe.

Ob upoštevanju zgoraj navedenih razlogov je treba na prvo vprašanje odgovoriti, da je treba člen 14(5)(c) SUVP razlagati tako, da se izjema od obveznosti obveščanja posameznika, na katerega se nanašajo osebni podatki, s strani upravljavca, ki je določena v tej določbi, brez razlikovanja nanaša na vse osebne podatke, ki jih upravljavec ni pridobil neposredno od posameznika, na katerega se nanašajo osebni podatki, ne glede na to, ali je upravljavec te podatke pridobil od druge osebe kot od posameznika, na katerega se nanašajo osebni podatki, ali pa jih je v okviru opravljanja svojih nalog ustvaril sam.

Drugo in tretje vprašanje

Predložitveno sodišče z drugim in tretjim vprašanjem, ki ju je treba obravnavati skupaj, v bistvu sprašuje, ali je treba člen 14(5)(c) in člen 77(1) SUVP razlagati tako, da je nadzorni organ v okviru pritožbenega postopka pristojen za to, da za namene uporabe izjeme iz tega člena 14(5)(c) preveri, ali pravo države članice, ki velja za upravljavca, določa ustrezne ukrepe za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, in če je odgovor pritrdilen, ali se to preverjanje nanaša tudi na ustreznost ukrepov, ki jih mora upravljavec na podlagi člena 32 te uredbe izvesti, da bi zagotovil varnost obdelave osebnih podatkov.

Na prvem mestu, opozoriti je treba, da ima na podlagi člena 77(1) SUVP vsak posameznik, na katerega se nanašajo osebni podatki, brez poseganja v katero koli drugo upravno ali pravno sredstvo, pravico, da vloži pritožbo pri nadzornem organu, če meni, da se pri obdelavi osebnih podatkov v zvezi z njim ta uredba krši.

58	Glede pristojnosti nadzornih organov člen 55(1) navedene uredbe določa, da je vsak nadzorni organ na ozemlju svoje države članice pristojen, da opravlja dodeljene naloge in izvaja prenesena pooblastila na podlagi te uredbe.

59	Kar zadeva te naloge, člen 57(1)(a) SUVP določa, da vsak nadzorni organ na svojem ozemlju spremlja in zagotavlja uporabo te uredbe.

60	SUVP ne vsebuje nobene določbe, na podlagi katere bi bili nekateri vidiki uporabe izjeme iz člena 14(5)(c) te uredbe izvzeti iz pristojnosti teh nadzornih organov.

Na podlagi te določbe upravljavcu ni treba posamezniku, na katerega se nanašajo osebni podatki, zagotoviti informacij iz člena 14(1), (2) in (4) SUVP, kadar in kolikor je, na eni strani, pridobitev ali razkritje osebnih podatkov izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca, in na drugi strani, ta pravica določa ustrezne ukrepe za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

62	Zato lahko pritožba v skladu s členom 77(1) SUVP temelji na kršitvi obveznosti obveščanja s strani upravljavca, ki se nanaša na nespoštovanje pogojev za uporabo izjeme iz člena 14(5)(c) te uredbe.

63	Kar zadeva prvi pogoj, na katerega je bilo opozorjeno v točki 61 te sodbe, bo nadzorni organ, ki odloča o taki pritožbi, morda moral preveriti, ali pravo Unije ali nacionalno pravo določa, da mora upravljavec pridobiti ali razkriti osebne podatke.

Kar zadeva drugi pogoj, je treba ugotoviti – tako kot je ugotovila generalna pravobranilka v točkah 67 in 69 sklepnih predlogov – da obseg izraza „ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki“ v SUVP ni pojasnjen. Vendar morajo določbe prava Unije ali prava države članice, ki določajo take ukrepe in ki veljajo za upravljavca, zagotoviti – kot je navedeno v točki 54 te sodbe – raven varstva posameznika, na katerega se nanašajo osebni podatki, v zvezi z obdelavo njegovih osebnih podatkov, ki je vsaj enakovredna ravni iz člena 14, od (1) do (4), te uredbe. Tako morajo biti te določbe take, da posamezniku, na katerega se nanašajo osebni podatki, omogočajo izvajanje nadzora nad njegovimi osebnimi podatki in uveljavljanje pravic, ki so mu podeljene s SUVP.

65	V ta namen je med drugim pomembno, da je v navedenih določbah jasno in predvidljivo naveden vir, iz katerega bo posameznik, na katerega se nanašajo osebni podatki, pridobil informacije o obdelavi osebnih podatkov, ki se nanašajo nanj.

V okviru posredovanja osebnih podatkov med organi države članice in tega, da upravljavec take podatke ustvarja na podlagi podatkov, pridobljenih od druge osebe kot od posameznika, na katerega se nanašajo osebni podatki, je treba navesti, da bo moral nadzorni organ v primeru pritožbe tega posameznika med drugim preveriti, ali upoštevno nacionalno pravo ali pravo Unije dovolj natančno opredeljuje različne vrste osebnih podatkov, ki se pridobijo ali razkrijejo, ter osebne podatke, ki jih mora ta upravljavec ustvariti v okviru opravljanja svojih nalog, in ali ta pravica določa, kako ima posameznik, na katerega se nanašajo osebni podatki, dejanski dostop do informacij iz člena 14(1), (2) in (4) SUVP.

Kot v pisnih stališčih poudarja Komisija, pa to, da nadzorni organ preveri, ali so izpolnjeni vsi pogoji za uporabo izjeme iz člena 14(5)(c) SUVP, ne spada v okvir preizkusa veljavnosti upoštevnih določb nacionalnega prava. Ta organ odloči samo o tem, ali se lahko upravljavec v danem primeru v razmerju do posameznika, na katerega se nanašajo osebni podatki, sklicuje na izjemo iz te določbe ali ne.

V zvezi z izidom takega preverjanja je treba opozoriti, da člen 78 te uredbe določa, da kadar nadzorni organ v danem primeru odloči, da pritožba posameznika, na katerega se nanašajo osebni podatki, ni utemeljena, mora posameznik, na katerega se nanašajo osebni podatki, imeti v svoji državi članici pravico do učinkovitega pravnega sredstva zoper to zavrnilno odločbo.

69	Kadar pa ta organ meni, da je pritožba utemeljena in pogoji za uporabo izjeme iz člena 14(5)(c) navedene uredbe niso izpolnjeni, upravljavcu odredi, naj posamezniku, na katerega se nanašajo osebni podatki, v skladu s členom 14(1), (2) in (4) te uredbe zagotovi informacije.

Na drugem mestu, kar zadeva vprašanje, ali se mora to preverjanje nanašati tudi na ustreznost – glede na člen 32 SUVP – ukrepov, ki jih mora upravljavec izvesti za zagotovitev varnosti obdelave, je treba poudariti, da člen 14(5)(c) te uredbe določa izjemo zgolj od obveznosti obveščanja iz člena 14(1), (2) in (4) navedene uredbe, ne določa pa odstopanja od obveznosti iz drugih določb te uredbe, med katerimi je člen 32 te uredbe.

Ta člen 32 upravljavca in morebitnega obdelovalca zavezuje, da izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev ustrezne ravni varnosti obdelave osebnih podatkov. Ustreznost takih ukrepov je treba oceniti konkretno, pri čemer je treba upoštevati tveganja, povezana z zadevno obdelavo, ter presoditi, ali so narava, vsebina in izvajanje teh ukrepov prilagojeni tem tveganjem (glej v tem smislu sodbi z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točke 42, 46 in 47, in z dne 25. januarja 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, točki 37 in 38).

72	Glede na besedilo teh dveh določb je treba navesti, da so obveznosti iz člena 32 SUVP, ki jih je treba spoštovati v vsakem primeru in neodvisno od tega, ali obstaja obveznost obveščanja na podlagi člena 14 te uredbe, drugačne narave in obsega v primerjavi z obveznostjo obveščanja iz tega člena 14.

Tako je v primeru pritožbe v skladu s členom 77(1) SUVP, ker se je upravljavec napačno skliceval na izjemo iz člena 14(5)(c) te uredbe, predmet preverjanj, ki jih mora opraviti nadzorni organ, omejen na področje uporabe zgolj člena 14 navedene uredbe, saj spoštovanje člena 32 te uredbe ni del teh preverjanj.

Ob upoštevanju zgoraj navedenih razlogov je treba na drugo in tretje vprašanje odgovoriti, da je treba člen 14(5)(c) in člen 77(1) SUVP razlagati tako, da je nadzorni organ v okviru pritožbenega postopka pristojen za to, da za namene uporabe izjeme iz tega člena 14(5)(c) preveri, ali pravo države članice, ki velja za upravljavca, določa ustrezne ukrepe za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki. Vendar se to preverjanje ne nanaša na ustreznost ukrepov, ki jih mora upravljavec na podlagi člena 32 te uredbe izvesti, da bi zagotovil varnost obdelave osebnih podatkov.

Stroški

75	Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (tretji senat) razsodilo:

Člen 14(5)(c) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

je treba razlagati tako, da

se izjema od obveznosti obveščanja posameznika, na katerega se nanašajo osebni podatki, s strani upravljavca, ki je določena v tej določbi, brez razlikovanja nanaša na vse osebne podatke, ki jih upravljavec ni pridobil neposredno od posameznika, na katerega se nanašajo osebni podatki, ne glede na to, ali je upravljavec te podatke pridobil od druge osebe kot od posameznika, na katerega se nanašajo osebni podatki, ali pa jih je v okviru opravljanja svojih nalog ustvaril sam.

Člen 14(5)(c) in člen 77(1) Uredbe 2016/679

je treba razlagati tako, da

je nadzorni organ v okviru pritožbenega postopka pristojen za to, da za namene uporabe izjeme iz tega člena 14(5)(c) preveri, ali pravo države članice, ki velja za upravljavca, določa ustrezne ukrepe za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki. Vendar se to preverjanje ne nanaša na ustreznost ukrepov, ki jih mora upravljavec na podlagi člena 32 te uredbe izvesti, da bi zagotovil varnost obdelave osebnih podatkov.

Podpisi

( *1 ) Jezik postopka: madžarščina.

( i ) Ime te zadeve je izmišljeno. Ne ustreza resničnemu imenu nobene od strank v postopku.

Top

Choose the experimental features you want to try