–

RK képviseletében D. Sudolská advokátka,

–

a cseh kormány képviseletében M. Smolek, O. Serdula és J. Vláčil, meghatalmazotti minőségben,

–

a holland kormány képviseletében M. K. Bulterman és A. Hanje, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében A. Bouchagiar, H. Kranenborg és P. Ondrůšek, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.) 2. cikke (1) bekezdésének és 4. cikke 2. pontjának értelmezésére irányul.

2

E kérelmet az RK és a Ministerstvo zdravotnictví (egészségügyi minisztérium, a továbbiakban: minisztérium) között folyamatban lévő eljárásban terjesztették elő, amelynek tárgyát az képezi, hogy ez utóbbi olyan rendkívüli intézkedést hozott, amely szabályozza a személyek bizonyos helyekre vagy eseményekre való bejutását annak érdekében, hogy a népességet védje a Covid19‑járvány terjedésével szemben.

3

Az általános adatvédelmi rendelet (1) preambulumbekezdése értelmében „[a] természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez”.

4

Az említett rendelet „Tárgyi hatály” címet viselő 2. cikke az (1) bekezdésében így rendelkezik:

„E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.”

5

E cikk (2) bekezdése felsorolja azt a négy esetet, amikor az általános adatvédelmi rendelet „nem alkalmazandó a személyes adatok kezelésére”.

6

Az említett rendelet 4. cikke értelmében:

„E rendelet alkalmazásában:

[…]”

7

Ugyanezen rendelet 5. és 6. cikkének tárgyát „[a] személyes adatok kezelésére vonatkozó elvek”, illetve „[az] adatkezelés jogszerűsége” képezi.

8

A Covid19‑világjárvány idején a szabad mozgás megkönnyítése érdekében az interoperábilis, Covid19‑oltásra, tesztre és gyógyultságra vonatkozó igazolványok (uniós digitális Covid‑igazolvány) kiállításának, ellenőrzésének és elfogadásának keretéről szóló, 2021. június 14‑i (EU) 2021/953 európai parlamenti és tanácsi rendelet (HL 2021. L 211., 1. o) (48) preambulumbekezdése az alábbiakat mondja ki:

„Az e rendelet végrehajtása során végzett személyesadat‑kezelés tekintetében az [általános adatvédelmi] rendelet alkalmazandó. Ez a rendelet jogalapot teremt az e rendeletben előírt interoperábilis igazolványok kiállításához és ellenőrzéséhez szükséges személyes adatoknak az [általános adatvédelmi] rendelet 6. cikke (1) bekezdésének c) pontja és 9. cikke (2) bekezdésének g) pontja értelmében vett kezeléséhez. […] A tagállamok a személyes adatokat más célból is kezelhetik, amennyiben az ilyen adatok más célból történő kezelésének jogalapját – beleértve az adatmegőrzésre vonatkozó időtartamokat is – a nemzeti jog határozza meg, amelynek meg kell felelnie az uniós adatvédelmi jognak, valamint a hatékonyság, szükségesség és arányosság elvének, és olyan rendelkezéseket kell tartalmaznia, amelyek egyértelműen meghatározzák az adatkezelés hatókörét és mértékét, az érintett konkrét célt, az igazolvány ellenőrzésére jogosult szervezetek kategóriáit, valamint a megkülönböztetés és a visszaélések megakadályozását szolgáló megfelelő biztosítékokat, figyelembe véve az érintettek jogait és szabadságait érintő kockázatokat. […]”

9

E rendelet „Tárgy” című 1. cikke ekképpen rendelkezik:

„Ez a rendelet meghatározza az interoperábilis, Covid19‑oltásra, tesztre és gyógyultságra vonatkozó igazolványok (a továbbiakban: uniós digitális Covid‑igazolvány) kiállítására, ellenőrzésére és elfogadására vonatkozó keretet azzal a céllal, hogy megkönnyítse a birtokosai számára a szabad mozgáshoz való joguk gyakorlását a Covid19‑világjárvány idején. Ez a rendelet hozzájárul továbbá a szabad mozgásra vonatkozó, a SARS‑CoV‑2 terjedésének korlátozása érdekében az uniós joggal összhangban a tagállamok által bevezetett korlátozások fokozatos és koordinált módon történő feloldásának megkönnyítéséhez.

Ez a rendelet jogalapot biztosít az ilyen igazolványok kiállításához szükséges személyes adatok kezelésére, valamint az ilyen igazolványok hitelességének és érvényességének ellenőrzéséhez és megerősítéséhez szükséges információk kezelésére, az [általános adatvédelmi] rendelettel teljes összhangban”.

10

E rendelet „Uniós digitális Covid‑igazolvány” címet viselő 3. cikke (1) bekezdésében előírja, hogy az uniós digitális Covid‑igazolvány kerete lehetővé teszi a következő igazolványok bármelyikének kiállítását, határokon átnyúló ellenőrzését és elfogadását. Továbbá, (2) bekezdése értelmében: „[a] tagállamok vagy a tagállamok nevében eljáró kijelölt szervek az e cikk (1) bekezdésében említett igazolványokat digitális vagy papíralapú formátumban, vagy mindkét formában kiállítják. A leendő birtokosok jogosultak arra, hogy az igazolványokat az általuk választott formában kapják meg. Az említett igazolványok felhasználóbarátak, és interoperábilis vonalkódot tartalmaznak, amely lehetővé teszi hitelességük, érvényességük és sértetlenségük ellenőrzését. A vonalkód megfelel a 9. cikk alapján megállapított technikai előírásoknak. Az igazolványokban szereplő információkat ember által is olvasható formátumban és legalább a kiállító tagállam hivatalos nyelvén vagy nyelvein és angolul kell feltüntetni”.

11

Az említett rendelet 5. cikke (2) bekezdésének a) pontja, 6. cikke (2) bekezdésének a) pontja, valamint 7. cikke (2) bekezdésének a) pontja akként rendelkezik, hogy az oltási igazolvány, a tesztigazolvány, illetve a gyógyultsági igazolvány tartalmazza birtokosának személyazonosságát.

12

Ugyanezen rendelet „A személyes adatok védelme” című 10. cikke első négy bekezdésében az alábbiakat írja elő:

„(1)   Az [általános adatvédelmi] rendelet alkalmazandó a személyes adatok e rendelet végrehajtása során történő kezelésére.

(2)   E rendelet alkalmazásában az e rendelet alapján kiállított igazolványokban szereplő személyes adatokat csak az igazolványban szereplő információkhoz a Covid19‑világjárvány idején az Unión belüli szabad mozgáshoz való jog gyakorlásának megkönnyítése érdekében történő hozzáférés és azok ellenőrzése céljából szabad kezelni. E rendelet alkalmazási időszakának vége után további adatkezelésre nem kerül sor.

(3)   A 3. cikk (1) bekezdésében említett igazolványokban szereplő személyes adatokat a rendeltetési hely vagy a tranzit helye szerinti tagállam illetékes hatóságai vagy a nemzeti jog által a Covid19‑világjárvány idején bizonyos közegészségügyi intézkedések végrehajtására kötelezett, határokon átnyúló személyszállítási szolgáltatók kezelik, csak a birtokos oltása, teszteredménye vagy gyógyultsága ellenőrzésére vagy megerősítésére. E célból a személyes adatokat a feltétlenül szükségesre kell korlátozni. Nem őrizhetők meg azok a személyes adatok, amelyekhez e bekezdés alapján fértek hozzá.

(4)   A 3. cikk (1) bekezdésében említett igazolványok kiállítása– többek között az új igazolványok kiállítása – céljából kezelt személyes adatokat a kiállító nem őrizheti meg a céljuk eléréséhez feltétlenül szükségesnél hosszabb ideig, és annál semmi esetre sem hosszabb ideig, mint ameddig az igazolványok felhasználhatók a szabad mozgáshoz való jog gyakorlásához”.

13

A minisztérium a lakosságnak a Covid19‑járvány további terjedésétől való védelme céljából 2021. december 29‑én hozott rendkívüli intézkedésével (a továbbiakban: rendkívüli intézkedés) 2022. január 3‑tól különböző feltételekhez kötötte a bizonyos beltéri és kültéri terekbe való belépést, illetve a tömegrendezvényeken vagy egyéb tevékenységekben való részvételt. Ekként előírt először is egy legfeljebb 72 órája készült, a SARS‑CoV‑2 vírus jelenlétének kimutatására szolgáló, negatív RT‑PCR tesztet a 18 évnél fiatalabb személyek esetében, azon személyek esetében, akik orvosi ellenjavallat miatt nem beolthatók a Covid19 ellen, valamint az olyan személyek esetében, akik nem kapták meg az összes oltást; másodszor előírta, hogy az összes oltás engedélyezett oltóanyaggal történő megszerzésétől vagy harmadszor, a – laboratórium által igazolt – Covid19‑fertőzéstől számított legalább 14 napos időszaknak kell eltelnie, amennyiben az elkülönítési időszak letelt, nem telt el 180 napnál hosszabb idő az első pozitív teszt óta (a továbbiakban: a fertőzöttségtől való mentességre vonatkozó feltételek).

14

A rendkívüli intézkedés kötelezte a látogatókat (nézőket, résztvevőket) e két feltétel teljesítésének bizonyítására, és előírta az üzemeltetők (szervezők) számára e feltételek teljesítésének a minisztérium „čTečka” elnevezésű mobilalkalmazásán keresztül történő ellenőrzését. Ha a látogató nem bizonyította az említett feltételek teljesítését, az üzemeltető nem nyújthatott számára szolgáltatást, vagy nem engedhette be az adott helyre vagy eseményre. A rendkívüli intézkedés szerint ez az alkalmazás biztosította a QR‑kódot tartalmazó, bemutatott dokumentum hitelességének és érvényességének megbízható vizsgálatát.

15

A rendkívüli intézkedés megsemmisítése iránt 2022. január 20‑án RK által benyújtott kereset elbírálásához a Nejvyšší správní soud (legfelsőbb közigazgatási bíróság, Cseh Köztársaság), a kérdést előterjesztő bíróság, szükségesnek tartja mindenekelőtt annak vizsgálatát, hogy a fertőzöttségtől való mentességre vonatkozó feltételeknek a minisztérium „čTečka” elnevezésű alkalmazása segítségével történő ellenőrzése a személyes adatoknak az általános adatvédelmi rendelet 4. cikkének (2) bekezdése szerinti automatizált kezelését valósítja‑e meg, és e bíróság kifejti, hogy álláspontja szerint az uniós digitális igazolványokban foglalt információk az e rendelet 4. cikkének 1. pontja szerinti személyes adatoknak minősülnek. Igenlő válasz esetén az említett rendeletet, 2. cikkének (1) bekezdésével összhangban, alkalmazni kell.

16

A kérdést előterjesztő bíróság kifejti, hogy a „čTečka” alkalmazás lehetővé teszi a 2021/953 rendelet alapján kibocsátott uniós digitális Covid‑igazolványok vizsgálatát és érvényességük ellenőrzését. Ez az alkalmazás az ellenőrzést végző személy mobiltelefonjának kamerájával beolvassa az igazolvány QR‑kódját. Ezt követően az alkalmazás megjeleníti e személy számára az igazolvány birtokosának alapvető azonosító adatait (utónév, vezetéknév és születési dátum) és az igazolvány érvényes/érvénytelen státuszát. Egy adott gomb megnyomására az ellenőrzést végző személy hozzáférhet az említett igazolványban szereplő összes információhoz: oltás, oltóanyag típusa, oltóanyag gyártója, a felhasznált adagok száma, oltás dátuma, első pozitív eredmény időpontja, igazolvány kiállítója. A „čTečka” alkalmazás csak ideiglenesen jeleníti meg ezeket az adatokat az ellenőrzést végző személy mobiltelefonjának képernyőjén, azokat tehát nem tárolja, és nem továbbítja sehova.

17

E bíróság bemutatja, hogy ezen alkalmazás az uniós digitális Covid‑igazolvány érvényességének ellenőrzése céljából 24 óránként egyszer vagy kérésre letölti a tagállamok igazolványainak nyilvános kulcsait és a tagállamok ellenőrzési szabályait a minisztérium interfészéről. Erre a folyamatra offline is sor kerülhet. Az alkalmazás telepítése során az ellenőrzést végző személy mobiltelefonján az a tájékoztatás jelenik meg, hogy „a čTečka alkalmazást az uniós jognak és a Cseh Köztársaság jogának megfelelően fejlesztették ki, és ezen alkalmazás megkönnyíti a személyek szabad mozgását, valamint a szolgáltatásokhoz és az eseményekhez való hozzáférést Covid19‑ világjárvány alatt. Az alkalmazás annak érdekében kezeli a digitális Covid‑igazolványok birtokosainak személyes adatait, hogy az arra jogosult személyek ellenőrizzék ezeket az igazolványokat az uniós rendelet, a [minisztérium] rendkívüli intézkedései alapján vagy önkéntes alapon. Az alkalmazás nem tárolja és nem továbbítja sehova az ellenőrzött személyek személyes adatait és az egészségükre vonatkozó adatokat. A személyes adatok kezelésére vonatkozó részletes információkat a felhasználási feltételek tartalmazzák”.

18

A kérdést előterjesztő bíróság ezenkívül rámutat, hogy a 2021/953 rendelet 3. cikkének (2) bekezdése értelmében a tagállamok által kiállított igazolványoknak interoperábilis vonalkódot kell tartalmaznia, amely lehetővé teszi hitelességük, érvényességük és sértetlenségük ellenőrzését. A kérdést előterjesztő bíróság rámutat, hogy a jelen ítélet 16. pontjában említett személyes adatoknak a gép számára olvasható formátumból az ember számára olvasható formátumba történő átalakítására automatizált folyamat, nevezetesen a „čTečka” alkalmazás segítségével kerül sor, ami minősülhet az általános adatvédelmi rendelet 4. cikkének (2) bekezdése szerinti adatkezelésnek.

19

A kérdést előterjesztő bíróság mindazonáltal kételyeket táplál a tekintetben, hogy ezen egyszerű átalakítási művelet, valamint ezen adatoknak a mobiltelefonon való megjelenítése „adatkezelésnek” tekinthető‑e ezen rendelkezés értelmében, annál is inkább, mert e két művelet nem vezethet a személyes adatok visszaélésszerű használatához vagy felhasználásához, sem az ezen adatok védelméhez való jog megsértéséhez, mivel az alkalmazás nem továbbítja az így nyert adatokat.

20

A kérdést előterjesztő bíróság egyébiránt úgy véli, hogy az igazolvány érvényességének a „čTečka” alkalmazás által történő ellenőrzése ugyancsak minősülhetne a személyes adatok kezelésének, mivel e művelet az ezen igazolásban szereplő, az ellenőrzött személy egészségére vonatkozó adatok felhasználásához vezet. Ugyanis annak értékeléséhez, hogy az igazolvány érvényes‑e, vagy sem, és annak meghatározásához, hogy az érintett személy teljesíti‑e a fertőzöttségtől való mentességre vonatkozó, a rendkívüli intézkedésben előírt feltételeket, az alkalmazásnak szükségképpen össze kell vetnie az e személy egészségére vonatkozó információkat, például az oltás dátumát, az éppen hatályos ellenőrzési szabályokkal.

21

Végezetül e bíróság úgy ítéli meg, hogy személyes adatok kezelését valósíthatja meg az összes olyan folyamat összekapcsolása, amelyre az igazolványok „čTečka” alkalmazással történő ellenőrzése során kerül sor, nevezetesen a QR‑kódból eredő személyes adatok ember számára olvasható formátumba történő átalakítása és mobiltelefonon történő megjelenítése, ezen adatok ellenőrzést végző személy általi megtekintése, valamint az igazolvány érvényességének ezen alkalmazáson keresztül, az egészségi állapotra vonatkozó személyes adatoknak az ellenőrzési szabályokkal való összevetése eredménye alapján történő értékelése. Noha e műveletek egyenként nem tekinthetők az általános adatvédelmi rendelet 4. cikkének (2) bekezdése értelmében vett adatkezelésnek, egymás mellé helyezésük már minősülhet annak.

22

Ennek fényében e bíróság rámutat, hogy a 2021/953 rendelet 10. cikkének (1) és (3) bekezdése kifejezetten kimondja, hogy az általános adatvédelmi rendelet alkalmazandó az uniós digitális Covid‑igazolványban szereplő személyes adatok e rendelet végrehajtása során történő kezelésére az Unión belüli szabad mozgás gyakorlása céljából. Ezenkívül, a 2021/953 rendelet (48) bekezdésének megfelelően, az igazolványokban foglalt személyes adatok kezelésének egységes jogi szabályozás alá kell tartoznia.

23

E körülmények között a Nejvyšší správní soud (legfelsőbb közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:

„A Covid19‑világjárvány idején a [2021/953] rendelettel összhangban kiállított, a Cseh Köztársaság által nemzeti célokra igénybe vett interoperábilis, Covid19‑oltásra, ‑tesztre és ‑gyógyultságra vonatkozó igazolványok érvényességének a »čTečka« nemzeti alkalmazás használatával történő ellenőrzése során személyes adatoknak az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett automatizált módon történő kezelésére kerül‑e sor oly módon, hogy e tevékenység az általános adatvédelmi rendelet 2. cikkének (1) bekezdése értelmében e rendelet tárgyi hatálya alá tartozik?”

24

Kérdésével a kérdést előterjesztő bíróság lényegében arra keres választ, hogy a személyes adatok „kezelésének” az általános adatvédelmi rendelet 4. cikkének (2) bekezdésében említett fogalmát úgy kell‑e értelmezni, hogy az magában foglalja a 2021/953 rendelettel összhangban kiállított és valamely tagállam által nemzeti célból használt interoperábilis, Covid19‑oltásra, ‑tesztre és ‑gyógyultságra vonatkozó igazolványok érvényességének egy nemzeti mobilalkalmazás használatával történő ellenőrzését.

25

Vitathatatlan, hogy több olyan információ, amelyhez az ellenőrzést végző személy hozzáfér az uniós digitális Covid‑igazolvány ellenőrzése során, amint azokat a jelen ítélet 16. pontja bemutatta, személyes adatnak minősül az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében. E rendelkezésből az következik ugyanis, hogy „személyes adatnak” minősül egy „azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ”; és ezen azonosítás történhet például az érintett személy nevének felhasználásával.

26

Ezen utóbbi tekintetében elegendő annyit megállapítani, hogy a 2021/953 rendelet 5. cikke (2) bekezdésének a) pontja, 6. cikke (2) bekezdésének a) pontja, valamint 7. cikke (2) bekezdésének a) pontja akként rendelkezik, hogy az oltási igazolvány, a tesztigazolvány, illetve a gyógyultsági igazolvány tartalmazza birtokosának személyazonosságát.

27

Ennek pontosítását követően meg kell jegyezni, hogy az általános adatvédelmi rendelet 4. cikkének 2. pontja úgy határozza meg az „adatkezelés” fogalmát, hogy az „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége”. Ezen nem kimerítő, az „így” szóval bevezetett felsorolásban e rendelkezés példaként említi az adatkezelésre a személyes adatokba való betekintést, illetve azok felhasználását. E rendelkezés szövegéből, különösen a „bármely művelet” kifejezésből kitűnik, hogy az uniós jogalkotó az „adatkezelés” fogalmának tág értelmet kívánt tulajdonítani (lásd ebben az értelemben, 2022. február 24‑iValsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 35. pont).

28

A „személyes adatok” és az „adatkezelés” fogalmak ezen tág értelmezése megfelel a természetes személyek személyes adatok kezelése tekintetében való védelmével kapcsolatos alapvető jog biztosítására vonatkozó, a rendelet (1) preambulumbekezdésében említett célkitűzésnek, amely e rendelet alapját képezi.

29

Márpedig a jelen ügyben egy olyan nemzeti mobilalkalmazás, mint amilyen a „čTečka”, az uniós digitális Covid‑igazolványon szereplő QR‑kódot beolvassa, hogy az e kódban foglalt személyes adatokat az igazolvány érvényességének ellenőrzését végző személy számára olvasható formátumra alakítsa át. Ezzel az ilyen alkalmazás lehetővé teszi az ellenőrzést végző személy számára, hogy egy automatizált eljárást, nevezetesen a beolvasást követően betekintsen a személyes adatokba, és felhasználja azokat annak értékelése céljából, hogy az érintett személy megfelel‑e az ellenőrzési szabályoknak, más szóval az alkalmazandó egészségügyi követelményeknek. Ezen értékelés eredménye ugyancsak automatizált, mivel az ellenőrzést végző személy telefonján zöld pipa jelenik meg, ha az egészségügyi követelmények teljesülnek, míg ellenkező esetben piros színű kereszt jelenik meg.

30

Meg kell állapítani tehát, hogy a 2021/953 rendelettel összhangban kiállított interoperábilis, Covid19‑oltásra, ‑tesztre és ‑gyógyultságra vonatkozó igazolványok érvényességének a „čTečka” alkalmazás használatával történő ellenőrzése a személyes adatok „kezelésének” az általános adatvédelmi rendelet 4. cikkének (2) bekezdésében említett fogalma alá, és, e rendelet 2. cikkének (1) bekezdésével összhangban, e rendelet hatálya alá tartozik.

31

A jelen ítélet 30. pontjában foglalt értelmezést megerősíti a 2021/953 rendelet, amely akként rendelkezik, hogy az uniós digitális Covid‑igazolvány bevezetése az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett adatkezelésnek minősül. A 2021/953 rendelet 1. cikkének (2) bekezdése ugyanis akként rendelkezik, hogy ez a rendelet „jogalapot biztosít az ilyen igazolványok kiállításához szükséges személyes adatok kezelésére, valamint az ilyen igazolványok hitelességének és érvényességének ellenőrzéséhez és megerősítéséhez szükséges információk kezelésére, az [általános adatvédelmi] rendelettel teljes összhangban”. Ezenkívül a 2021/953 rendelet (48) preambulumbekezdéséből az következik egyrészt, hogy az e rendelet végrehajtása során végzett személyesadat‑kezelés tekintetében az [általános adatvédelmi] rendelet alkalmazandó, másrészt pedig, hogy ezen utóbbi rendelet jogalapot teremt az e rendeletben előírt interoperábilis igazolványok kiállításához és ellenőrzéséhez szükséges személyes adatoknak az általános adatvédelmi rendelet 6. cikke (1) bekezdésének c) pontja és 9. cikke (2) bekezdésének g) pontja értelmében vett kezeléséhez. E rendelet 10. cikkének (1) bekezdése ugyancsak megerősíti, hogy az általános adatvédelmi rendelet alkalmazandó a személyes adatoknak a 2021/953 rendelet végrehajtása során történő kezelésére.

32

Következésképpen a kérdést előterjesztő bíróságra hárul annak vizsgálata, hogy a rendkívüli intézkedéssel bevezetett adatkezelés egyrészt megfelel‑e az általános adatvédelmi rendelet 5. cikkében az adatkezelésre vonatkozóan kifejtett elveknek, másrészt teljesíti‑e az említett rendelet 6. cikkében felsorolt, az adatkezelés jogszerűségére vonatkozó kritériumok valamelyikét [lásd különösen: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 96. pont; 2023. május 4‑iBundesrepublik Deutschland ítélet, C‑60/22, EU:C:2023:373, 57. pont).

33

A fenti megfontolásokra tekintettel a személyes adatok „kezelésének” az általános adatvédelmi rendelet 4. cikkének (2) bekezdésében említett fogalmát úgy kell értelmezni, hogy az magában foglalja a 2021/953 rendelettel összhangban kiállított és valamely tagállam által nemzeti célból használt interoperábilis, Covid19‑oltásra, ‑tesztre és ‑gyógyultságra vonatkozó igazolványok érvényességének egy nemzeti mobilalkalmazás használatával történő ellenőrzését.

34

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (nyolcadik tanács) a következőképpen határozott:

A személyes adatok „kezelésének” a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 4. cikkének 2. pontjában említett fogalmát

a következőképpen kell értelmezni:

e fogalom magában foglalja a Covid19‑világjárvány idején a szabad mozgás megkönnyítése érdekében az interoperábilis, Covid19‑oltásra, ‑tesztre és ‑gyógyultságra vonatkozó igazolványok (uniós digitális Covid‑igazolvány) kiállításának, ellenőrzésének és elfogadásának keretéről szóló, 2021. június 14‑i (EU) 2021/953 európai parlamenti és tanácsi rendelettel összhangban kiállított és valamely tagállam által nemzeti célból használt interoperábilis, Covid19‑oltásra, ‑tesztre és ‑gyógyultságra vonatkozó igazolványok érvényességének egy nemzeti mobilalkalmazás használatával történő ellenőrzését.