–

RK, genom D. Sudolská, advokátka,

–

Tjeckiens regering, genom M. Smolek, O. Serdula och J. Vláčil, samtliga i egenskap av ombud,

–

Nederländernas regering, av M.K. Bulterman och A. Hanje, båda i egenskap av ombud,

–

Europeiska kommissionen, genom A. Bouchagiar, H. Kranenborg och P. Ondrůšek, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artiklarna 2.1 och 4 led 2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

2

Begäran har framställts i ett mål mellan RK och Ministerstvo zdravotnictví (hälsoministeriet, Republiken Tjeckien) (nedan kallat ministeriet) angående ministeriets antagande av en exceptionell åtgärd som reglerar personers tillträde till vissa platser och evenemang i syfte att skydda befolkningen mot spridningen av covid-19-epidemin.

3

I enlighet med skäl 1 i dataskyddsförordningen anges följande: ”Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna […] och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.”

4

Artikel 2 har rubriken ”Materiellt tillämpningsområde”. I artikel 2.1 föreskrivs följande:

”Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.”

5

I punkt 2 i denna artikel anges fyra fall där dataskyddsförordningen ”inte ska tillämpas på behandling av personuppgifter”.

6

I artikel 4 i dataskyddsförordningen föreskrivs följande:

”I denna förordning gäller följande definitioner:

…”

7

Artiklarna 5 och 6 i samma förordning avser ”[p]rinciper för behandling av personuppgifter” respektive ”[l]aglig behandlingen av personuppgifter”.

8

Skäl 48 i Europaparlamentets och rådets förordning (EU) 2021/953 av den 14 juni 2021 om en ram för utfärdande, kontroll och godtagande av interoperabla intyg om vaccination mot, testning för och tillfrisknande från covid-19 (EU:s digitala covidintyg) för att underlätta fri rörlighet under covid-19-pandemin (EUT L 211, 2021, s. 1), hade följande lydelse:

”[Dataskyddsförordningen] ska vara tillämplig på behandling av personuppgifter vid genomförandet av den här förordningen. I den här förordningen fastställs den rättsliga grunden för den behandling av personuppgifter, i den mening som avses i artiklarna 6.1 c och 9.2 g i [dataskyddsförordningen], som krävs för utfärdande och kontroll av de interoperabla intyg som föreskrivs i den här förordningen. … Medlemsstaterna får hantera personuppgifter i andra syften om den rättsliga grunden för hantering av sådana uppgifter i andra syften, inklusive tillhörande lagringstid, fastställs i nationell rätt, som måste vara förenlig med unionsrätten på dataskyddsområdet samt med principerna om effektivitet, nödvändighet och proportionalitet och som bör inbegripa bestämmelser som tydligt anger behandlingens omfattning och utsträckning, det särskilda syftet, de kategorier av enheter som kan kontrollera intyget samt relevanta skyddsåtgärder för att förhindra diskriminering och missbruk, med beaktande av riskerna för de registrerades rättigheter och friheter. …”

9

I artikel 1 i förordningen, med rubriken ”Innehåll”, föreskrevs följande:

”I denna förordning fastställs en ram för utfärdande, kontroll och godtagande av interoperabla intyg om vaccination mot, testning för och tillfrisknande från covid-19 (EU:s digitala covidintyg) i syfte att underlätta för innehavarna att utöva sin rätt till fri rörlighet under covid-19-pandemin. Denna förordning ska också bidra till att på ett samordnat sätt gradvis upphäva de inskränkningar i den fria rörligheten som i enlighet med unionsrätten har införts av medlemsstaterna för att begränsa spridningen av SARS-CoV-2.

Den ger den rättsliga grunden för att behandla de personuppgifter som är nödvändiga för att utfärda sådana intyg och för att behandla den information som krävs för att kontrollera och bekräfta sådana intygs äkthet och giltighet i full förenlighet med [dataskyddsförordningen].”

10

Artikel 3 i förordningen har rubriken ”EU:s digitala covidintyg”. I punkt 1 i den artikeln föreskrivs att det ska fastställas en ram för digitala covidintyg som möjliggör utfärdande, kontroll och godtagande av interoperabla intyg om vaccination mot, testning för och tillfrisknande. I punkt 2 i denna artikel anges dessutom att ”[m]edlemsstaterna, eller utsedda organ som agerar på medlemsstaternas vägnar, ska utfärda de intyg som avses i punkt 1 i denna artikel i digitalt format eller pappersformat, eller bådadera. De presumtiva innehavarna ska ha rätt att erhålla intygen i valfritt format. De intygen ska vara användarvänliga och ska innehålla en driftskompatibel streckkod som gör det möjligt att kontrollera intygens äkthet, giltighet och integritet. Streckkoden ska överensstämma med de tekniska specifikationer som fastställts enligt artikel 9. Uppgifterna i intygen ska också anges i en för människan läsbar form och anges på åtminstone det eller de officiella språken i den utfärdande medlemsstaten och engelska.”

11

I artikel 5.2 a, artikel 6.2 a och artikel 7.2 a i nämnda förordning föreskrivs att ett vaccinationsintyg, ett testintyg och ett intyg om tillfrisknande ska innehålla innehavarens identitet.

12

I artikel 10 i samma förordning, med rubriken ”Skydd av personuppgifter”, föreskrivs följande i de fyra första punkterna:

”1.   [Dataskyddsförordningen] ska vara tillämplig på behandling av personuppgifter vid genomförandet av den här förordningen.

2.   Vid tillämpningen av denna förordning får personuppgifterna i de intyg som utfärdas enligt denna förordning endast behandlas för att få åtkomst till och verifiera den information som inkluderats i intyget i syfte att underlätta utövandet av rätten till fri rörlighet inom unionen under covid-19-pandemin. Efter att denna förordnings tillämpningsperiod upphört får ingen ytterligare behandling ske.

3.   Personuppgifterna i de intyg som avses i artikel 3.1 ska behandlas av de behöriga myndigheterna i bestämmelsemedlemsstaten eller transitmedlemsstaten, eller av de operatörer av gränsöverskridande persontransporttjänster som enligt nationell rätt är ålagda att genomföra vissa folkhälsoåtgärder under covid-19-pandemin, endast för att kontrollera och bekräfta innehavarens vaccination, testresultat eller tillfrisknande. Av den anledningen ska personuppgifterna begränsas till vad som är strikt nödvändigt. De personuppgifter till vilka åtkomst ges i enlighet med denna punkt får inte lagras.

4.   De personuppgifter som behandlas för utfärdande av de intyg som avses i artikel 3.1, inbegripet utfärdandet av ett nytt intyg, får inte lagras av utfärdaren längre än vad som är strikt nödvändigt för ändamålet och under inga omständigheter längre än den period under vilken intygen får användas för att utöva rätten till fri rörlighet.”

13

Genom en exceptionell åtgärd av den 29 december 2021 (nedan kallad den exceptionella åtgärden), som antogs för att skydda befolkningen mot en utvidgad spridning av covid-19-pandemin, uppställde ministeriet olika villkor, från och med den 3 januari 2022, för att människor skulle få tillträde till vissa utrymmen inomhus och utomhus samt för deltagande i massevenemang eller annan verksamhet. Härvid krävdes bland annat, för det första, ett negativt RT‑PCR-test (test för att upptäcka förekomst av SARS-CoV-2-viruset) som var mindre än 72 timmar gammalt, för personer under 18 år, för personer som på grund av en kontraindikation inte kunde vaccinera sig mot covid-19, och för dem som inte var fullvaccinerade, för det andra, att det ska ha gått minst 14 dagar efter fullständig vaccinering med ett godkänt läkemedel, och, för det tredje, att isoleringsperioden efter genomgången covid-19-smitta, som bekräftats av ett laboratorium, har löpt ut och det inte har gått mer än 180 dagar efter det första positiva testet (nedan kallade villkoren om frånvaro av infektion).

14

Den exceptionella åtgärden innebar att kunderna (åskådare och deltagare) var skyldiga att tillhandahålla bevis på att de uppfyllde dessa villkor och att operatörerna (arrangörerna) var skyldiga att övervaka efterlevnaden med hjälp av ministeriets mobilapplikation ”čTečka”. Om kunden inte kunde visa att han eller hon uppfyllde dessa villkor var det förbjudet för operatören att tillhandahålla tjänsten och ge kunden tillgång till rummet eller evenemanget. Enligt den exceptionella åtgärden säkerställde denna applikation en tillförlitlig kontroll av äktheten och giltigheten av den styrkande handlingen med QR-koden.

15

För att kunna pröva den talan om ogiltigförklaring av den exceptionella åtgärden som RK väckte den 20 januari 2022, anser Nejvyšší správní soud (Högsta förvaltningsdomstolen, Republiken Tjeckien), tillika den hänskjutande domstolen, att det är nödvändigt att först pröva huruvida kontrollen av villkoren om ”frånvaro av infektion” med hjälp av ”čTečka” utgör en automatisk ”behandling” av personuppgifter, i den mening som avses i artikel 4 led 2 i dataskyddsförordningen. Den hänskjutande domstolen har därvid påpekat att den anser att informationen i EU:s digitala intyg utgör personuppgifter i den mening som avses i artikel 4 led 1 i denna förordning. Om så skulle vara fallet ska förordningen tillämpas i enlighet med dess artikel 2.1.

16

Den hänskjutande domstolen har preciserat att applikationen čTečka gör det möjligt att kontrollera och verifiera giltigheten av EU:s digitala covidintyg som utfärdats i enlighet med förordning 2021/953. Denna applikation skannar intygets QR-kod med hjälp av kameran på den kontrollerande personens mobiltelefon. Denna person har därefter tillgång till en översikt över intygsinnehavarens grundläggande identifieringsuppgifter (efternamn, förnamn och födelsedatum) samt över intygets status (giltigt eller ogiltigt). Genom att klicka på en viss knapp på applikationen kan den kontrollerande personen få tillgång till all information som ges i intyget, såsom vaccinering, typ av vaccin, vaccintillverkare, antalet mottagna doser, datum för vaccination, datum för det första positiva resultatet samt vem som utfärdat intyget. Applikationen ”čTečka” visar dessa uppgifter enbart tillfälligt på den kontrollerande personens mobiltelefonskärm, vilket innebär att uppgifterna varken lagras eller överförs.

17

Den hänskjutande domstolen har angett att applikationen, för att kontrollera giltigheten av EU:s digitala covidintyg, laddar ner, en gång om dygnet eller på begäran, de allmänna nycklarna till medlemsstaternas intyg och medlemsstaternas valideringsregler genom ministeriets gränssnitt. Denna process kan också äga rum offline. I samband med att applikationen på den kontrollerande personens mobiltelefon installeras visas en text där det anges att ”applikationen čTečka används i enlighet med unionsrätten och Tjeckiens lagstiftning och underlättar fri rörlighet för personer och tillgång till tjänster och evenemang under covid-19-pandemin. Applikationen behandlar personuppgifter som tillhör innehavare av medlemsstaternas digitala covidintyg så att dessa intyg kan kontrolleras av behöriga personer med stöd av unionsförordningen, [ministeriets] exceptionella åtgärder eller på frivillig basis. Applikationen varken lagrar eller överför personuppgifter eller uppgifter om de kontrollerade personernas hälsa. Detaljerad information om behandlingen av personuppgifter återfinns i användningsvillkoren.”

18

Den hänskjutande domstolen har vidare påpekat att enligt artikel 3.2 i förordning 2021/953 ska ett intyg som utfärdats av en medlemsstat innehålla en driftskompatibel streckkod som gör det möjligt att kontrollera intygets äkthet, giltighet och omfattning. Den hänskjutande domstolen har angett att omvandlingen av personuppgifter, vilken nämns i punkt 16 ovan, från maskinläsbart format till ett format som är läsbart för människor, sker genom en automatiserad process, nämligen applikationen ”čTečka”, vilket skulle kunna utgöra en behandling av personuppgifter i den mening som avses i artikel 4 led 2 i dataskyddsförordningen.

19

Den hänskjutande domstolen hyser emellertid tvivel om huruvida enbart denna omvandling och visning av dessa uppgifter på en mobiltelefon utgör en ”behandling” i den mening som avses i denna bestämmelse, särskilt som dessa två åtgärder inte kan leda till missbruk eller missbruk av personuppgifter eller till ett ingrepp i rätten till skydd för dessa uppgifter, eftersom applikationen inte överför de därigenom erhållna uppgifterna.

20

Den hänskjutande domstolen anser också att kontrollen av intygets giltighet med hjälp av applikationen čTečka skulle kunna utgöra behandling av personuppgifter, eftersom denna åtgärd leder till att de personuppgifter som finns på intyget och som rör den kontrollerade personens hälsa används. För att kunna bedöma intygets giltighet och för att avgöra huruvida den berörda personen uppfyllt de villkor om ”frånvaro av infektion” som uppställts genom den exceptionella åtgärden, måste applikationen nämligen med nödvändighet jämföra denna persons hälsouppgifter, såsom vaccinationstidpunkten, med de vid den tidpunkten gällande valideringsreglerna.

21

Slutligen anser den hänskjutande domstolen att en behandling av personuppgifter skulle kunna föreligga genom en kombination av de processer som äger rum vid kontrollen av intygen med hjälp av applikationen ”čTečka”, det vill säga omvandlingen av personuppgifter från QR-koden till ett format som är läsbart för människor, uppgifternas visning på en mobiltelefon, tillsynsmyndighetens inhämtande av dem och bedömningen av intygets giltighet genom jämförelsen av personuppgifterna avseende hälsa med valideringsreglerna. Även om dessa åtgärder, betraktade var för sig, inte kan anses utgöra behandling i den mening som avses i artikel 4 led 2 i dataskyddsförordningen, skulle en kombination av dem kunna leda till en sådan kvalificering.

22

Mot denna bakgrund har den hänskjutande domstolen påpekat att det i artikel 10.1 och 10.3 i förordning 2021/953 uttryckligen föreskrivs att dataskyddsförordningen, vid utövandet av rätten till fri rörlighet inom unionen, ska vara tillämplig på behandlingen av personuppgifter i EU:s digitala covidintyg. Enligt skäl 48 i förordning 2021/953 bör dessutom behandlingen av personuppgifter i intygen omfattas av ett enhetligt regelverk.

23

Mot denna bakgrund beslutade Nejvyšší správní soud (Högsta förvaltningsdomstolen) att vilandeförklara målet och ställa följande tolkningsfråga till EU-domstolen:

”Innebär en kontroll, genom att tillämpa den nationella applikationen ’čTečka’, av giltigheten av interoperabla intyg om vaccination mot, testning för och tillfrisknande från covid-19, vilka har utfärdats i enlighet med [förordning 2021/953] och används av Republiken Tjeckien för inhemska ändamål, att det har skett en automatiserad behandling av personuppgifter, i den mening som avses i artikel 4 led 2 i [den allmänna dataskyddsförordningen], på ett sätt som omfattas av det materiella tillämpningsområdet för dataskyddsförordningen i enlighet med artikel 2.1 i denna sistnämnda förordning?”

24

Den hänskjutande domstolen har ställt sin fråga för att få klarhet i huruvida begreppet ”behandling” av personuppgifter i artikel 4 led 2 i dataskyddsförordningen ska tolkas så, att det omfattar en kontroll, med hjälp av en nationell mobilapplikation, av giltigheten av interoperabla intyg om vaccination mot, testning för och tillfrisknande från covid-19 som har utfärdats i enlighet med förordning 2021/953 och som används av en medlemsstat för nationella ändamål.

25

Det är utrett att flera av de uppgifter som den person som ansvarar för kontrollen har fått tillgång till vid kontrollen av giltigheten av EU:s digitala covidintyg, såsom de framgår av punkt 16 ovan, utgör ”personuppgifter” i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. Det framgår nämligen av denna bestämmelse att begreppet ”personuppgifter” avser ”varje upplysning som avser en identifierad eller identifierbar fysisk person” och att denna identifiering bland annat kan följa av användningen av den registrerades namn.

26

I detta avseende är det tillräckligt att konstatera att det i artikel 5.2 a, artikel 6.2 a och artikel 7.2 a i förordning 2021/953 föreskrivs att ett vaccinationsintyg, ett testintyg och ett intyg om tillfrisknande ska innehålla uppgifter om innehavarens identitet.

27

Med detta sagt ska det påpekas att begreppet ”behandling” i artikel 4 led 2 i dataskyddsförordningen definieras som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej”. I en icke uttömmande uppräkning, som införs genom uttrycket ”såsom”, anges i denna bestämmelse som exempel på behandling, läsning och användning av personuppgifter. Det framgår av ordalydelsen i denna bestämmelse, bland annat av uttrycket ”tillhandahållande på annat sätt”, att unionslagstiftaren har haft för avsikt att ge begreppet ”behandling” en omfattande räckvidd (se, för ett liknande resonemang, dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkt 35).

28

Denna vida tolkning av begreppen ”personuppgifter” och ”behandling” är förenlig med målet att säkerställa effektiviteten av den grundläggande rätten till skydd för fysiska personer med avseende på behandling av personuppgifter, som nämns i skäl 1 i dataskyddsförordningen och som reglerar tillämpningen av denna förordning.

29

I förevarande fall är det fråga om en nationell mobilapplikation, såsom applikationen ”čTečka”, som skannar QR-koden i EU:s digitala covidintyg för att omvandla de personuppgifter som denna kod innehåller till ett format som är läsbart för den person som ansvarar för kontrollen av intygets giltighet. Därigenom gör applikationen det möjligt för den person som ansvarar för kontrollen att, efter en automatiserad process, det vill säga skanning, läsa personuppgifter och använda dem för att bedöma huruvida den berörda personens situation är förenlig med valideringsreglerna, med andra ord de tillämpliga hälsokraven. Resultatet av denna bedömning är också automatiserat, eftersom det på kontrollantens mobiltelefon visas en grön bock när hälsokraven är uppfyllda, och ett rött kryss när kraven inte är uppfyllda.

30

Det ska således anses att kontrollen, med hjälp av applikationen ”čTečka”, av giltigheten av interoperabla intyg om vaccination mot, testning för och tillfrisknande från covid-19, vilka har utfärdats i enlighet med förordning 2021/953, utgör en ”behandling” i den mening som avses i artikel 4 led 2 i dataskyddsförordningen och därmed omfattas, i enlighet med artikel 2.1 i denna förordning, av förordningens materiella tillämpningsområde.

31

Den tolkning som avses i punkt 30 ovan stöds av förordning 2021/953, i vilken det föreskrivs att genomförandet av EU:s digitala covidintyg utgör en behandling i den mening som avses i artikel 4 led 2 i dataskyddsförordningen. I artikel 1 andra stycket i förordning 2021/953 föreskrivs nämligen att denna förordning ”ger den rättsliga grunden för att behandla de personuppgifter som är nödvändiga för att utfärda sådana intyg och för att behandla den information som krävs för att kontrollera och bekräfta sådana intygs äkthet och giltighet i full förenlighet med [dataskyddsförordningen]”. Det följer dessutom av skäl 48 i förordning 2021/953 dels att dataskyddsförordningen ska vara tillämplig på den behandling av personuppgifter vid genomförandet av förordning 2021/953, dels att förordningen fastställer den rättsliga grunden för den behandling av personuppgifter, i den mening som avses i artiklarna 6.1 c och 9.2 g i dataskyddsförordningen, som krävs för utfärdande och kontroll av de interoperabla intyg som föreskrivs i förordning 2021/953. I artikel 10.1 i denna förordning bekräftas även att dataskyddsförordningen ska vara tillämplig på behandling av personuppgifter vid genomförandet av den förordning 2021/953.

32

Det ankommer således på den nationella domstolen att pröva huruvida den behandling som införts genom den exceptionella åtgärden dels är förenlig med de principer om uppgiftsbehandling som anges i artikel 5 i dataskyddsförordningen, dels svarar mot någon av de principer som räknas upp i artikel 6 i samma förordning (se, bland annat, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 96, och dom av den 4 maj 2023, Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, punkt 57).

33

Mot bakgrund av det ovan anförda ska begreppet ”behandling” av personuppgifter, i artikel 4 led 2 i dataskyddsförordningen, tolkas så, att det omfattar en kontroll, med hjälp av en nationell mobilapplikation, av giltigheten av interoperabla intyg om vaccination mot, testning för och tillfrisknande från covid-19, som har utfärdats i enlighet med förordning 2021/953 och som används av en medlemsstat för nationella ändamål.

34

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (åttonde avdelningen) följande:

Begreppet ”behandling” av personuppgifter, i artikel 4 led 2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att det omfattar en kontroll, med hjälp av en nationell mobilapplikation, av giltigheten av interoperabla intyg om vaccination mot, testning för och tillfrisknande från covid-19, som har utfärdats i enlighet med Europaparlamentets och rådets förordning (EU) 2021/953 av den 14 juni 2021 om en ram för utfärdande, kontroll och godtagande av interoperabla intyg om vaccination mot, testning för och tillfrisknande från covid-19 (EU:s digitala covidintyg) för att underlätta fri rörlighet under covid-19-pandemin, och som används av en medlemsstat för nationella ändamål.