C-659/22 Ministerstvo zdravotnictvi
Prejudiciële hofzaak
Zie bijlage voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar). Termijnen: Motivering departement: 14 december 2022 Schriftelijke opmerkingen: 30 januari 2023
Trefwoorden: COVID-19, QR-code, certificaten, AVG, persoonsgegevens
Onderwerp:
• Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG
• Verordening (EU) 2021/953 van het Europees Parlement en de Raad van 14 juni 2021 betreffende een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten (digitaal EU-COVID-certificaat) teneinde het vrije verkeer tijdens de COVID-19-pandemie te faciliteren
Feiten:
Bij de getroffen noodmaatregel heeft verweerder gelast dat personen die toegang wensen te krijgen tot bepaalde binnen- en buitenruimten of willen deelnemen aan massa-evenementen of andere activiteiten vanaf 03-01-2022 dienen te voldoen aan de voorwaarden voor infectievrijheid. Om aan te tonen dat klanten (toeschouwers, deelnemers) voldoen aan deze voorwaarden heeft verweerder aan exploitanten van gebouwen, dienstverleners en organisatoren van evenementen de verplichting opgelegd om een controle door middel van verweerders mobiele applicatie „čTečka” te verrichten teneinde op betrouwbare wijze de echtheid en de geldigheid van certificaten met een QR-code te verifiëren. Op 20-01-2022 heeft verzoeker een beroep tot nietigverklaring van de noodmaatregel ingesteld, waarbij hij heeft aangevoerd dat deze maatregel onevenredig inbreuk maakt op zijn persoonlijkheidsrechten, met name op zijn recht op bescherming van de persoonlijke levenssfeer. De controleverplichting wordt namelijk gekoppeld aan de verplichting om aan te tonen dat is voldaan aan de voorwaarden voor infectievrijheid. Verweerder heeft de verplichting om gebruik te maken van de applicatie „čTečka” niet gerechtvaardigd en is niet ingegaan op de kwestie van de bescherming van persoonsgegevens of op het legitieme doel van de verwerking van dergelijke gegevens.
Overweging:
Volgens de verwijzende rechter lijdt het geen twijfel dat de in de certificaten opgenomen gegevens persoonsgegevens in de zin van artikel 4, punt 1, AVG zijn. Tsjechië geeft certificaten met een QR-code af overeenkomstig het besluit van de Commissie tot tenuitvoerlegging van de verordening inzake digitale certificaten. De vraag rijst of verwerking in de zin van de AVG zo ruim moet worden uitgelegd dat daarvan tevens sprake is bij het scannen van een QR-code en de weergave van informatie, dat wil zeggen bij een bewerking op persoonsgegevens waarbij deze gegevens op een mobiele telefoon beschikbaar worden gesteld in een voor de mens leesbare vorm. Een dergelijke wijze van beschikbaarstelling geschiedt door middel van een geautomatiseerd procedé met behulp van een applicatie. In werkelijkheid betreft dit een gewone computerbewerking waarbij de persoonsgegevens op geen enkele wijze worden verwerkt en er geen gevaar van misbruik van deze gegevens bestaat. Het betreft niet meer dan een eenvoudige omzetting van gegevens die zijn opgeslagen in een machinaal leesbare vorm in een voor de mens leesbare vorm en om de weergave ervan op een mobiele telefoon. In een dergelijk geval zou elke door een elektronisch apparaat uitgevoerde bewerking om een code te lezen en deze op een elektronisch apparaat weer te geven als een verwerking kunnen worden beschouwd, ook wanneer de code niet wordt onderworpen aan verdere verwerking
Prejudiciële vraag:
Is bij de met behulp van de nationale applicatie „čTečka” verrichte verificatie van de geldigheid van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten die worden afgegeven overeenkomstig de verordening [inzake digitale certificaten] en door Tsjechië voor nationale doeleinden worden toegepast, sprake van geautomatiseerde verwerking van persoonsgegevens in de zin van artikel 4, punt 2, [AVG], zodat deze handeling overeenkomstig artikel 2, lid 1, [AVG] binnen de materiële werkingssfeer van deze verordening valt?
Aangehaalde (recente) jurisprudentie: (T-710/21, T-722/21 en T-723/21)
Specifiek beleidsterrein: JenV, VWS