Το σκανάρισμα με κινητό μέσω εθνικής εφαρμογής για τον έλεγχο πιστοποιητικών Covid-19 συνιστά επεξεργασία δεδομένων
Το Δικαστήριο της ΕΕ κάνει μια μάλλον αυτονόητη, πλην χρήσιμη ερμηνεία
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
Μια από τις ευκολότερες και συντομότερες αποφάσεις του επί δικαίου προστασίας προσωπικών δεδομένων δημοσίευσε το Δικαστήριο της Ευρωπαϊκής Ένωσης στην υπόθεση C-659/22 (Ministerstvo zdravotnictví).
Ενώπιον του ΔΕΕ ετέθη προδικαστικό ερώτημα του Ανωτάτου Διοικητικού Δικαστηρίου της Τσεχικής Δημοκρατίας ως προς το αν η εθνική εφαρμογή «čTečka» πραγματοποιεί επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τη χρήση της από το κινητό των προσώπων που είχαν κληθεί να ελέγχουν την εγκυρότητα των πιστοποιητικών εμβολιασμού και νόσησης Covid-19, προκειμένου να επιτρέπουν την είσοδο σε χώρους.
Το προδικαστικό ερώτημα που ετέθη ήταν το εξής:
«Συνιστά η επαλήθευση, μέσω της εθνικής εφαρμογής (app) “čTečka”, της εγκυρότητας των διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή, τα οποία έχουν εκδοθεί σύμφωνα με τον κανονισμό [2021/953] και τα οποία χρησιμοποιεί η Τσεχική Δημοκρατία για εθνικούς σκοπούς, επεξεργασία δεδομένων προσωπικού χαρακτήρα με τη χρήση αυτοματοποιημένων μέσων κατά την έννοια του άρθρου 4, σημείο 2, του [ΓΚΠΔ], ώστε να εμπίπτει η πράξη αυτή στο ουσιαστικό πεδίο εφαρμογής του [ΓΚΠΔ], βάσει του άρθρου 2, παράγραφος 1, του κανονισμού αυτού;»
Το ΔΕΕ δεν δυσκολεύτηκε ιδιαίτερα να δώσει απάντηση στον προβληματισμό του αιτούντος δικαστηρίου, δεδομένου ότι αυτή προέκυπτε από την πάγια ερμηνευτική του προσέγγιση ως προς την έννοια της επεξεργασίας προσωπικών δεδομένων, αλλά και τις ίδιες τις διατάξεις του Κανονισμού 2021/953 για τα ψηφιακά πιστοποιητικά Covid-19 της Ευρωπαϊκής Ένωσης.
Σύμφωνα με την κρίση του Δικαστηρίου, η οποία περιορίστηκε σε δέκα (10) μόλις σκέψεις, ο όρος «επεξεργασία» δεδομένων προσωπικού χαρακτήρα του άρθρου 4 στοιχ.2 ΓΚΠΔ έχει την έννοια ότι καλύπτει την επαλήθευση, μέσω εθνικής εφαρμογής για κινητά τηλέφωνα, της εγκυρότητας των διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή, τα οποία έχουν εκδοθεί δυνάμει του κανονισμού 2021/953 και χρησιμοποιούνται από κράτος μέλος για εθνικούς σκοπούς.
Ειδικότερα, το Δικαστήριο έκρινε ότι:
24. Με το προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν ο όρος «επεξεργασία» δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 4, σημείο 2, του ΓΚΠΔ έχει την έννοια ότι καλύπτει την επαλήθευση, μέσω εθνικής εφαρμογής για κινητά τηλέφωνα, της εγκυρότητας των διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή, τα οποία έχουν εκδοθεί δυνάμει του κανονισμού 2021/953 και χρησιμοποιούνται από κράτος μέλος για εθνικούς σκοπούς.
25. Δεν αμφισβητείται ότι πολλές από τις προεκτεθείσες στη σκέψη 16 της παρούσας αποφάσεως πληροφορίες στις οποίες έχει πρόσβαση το πρόσωπο που έχει αναλάβει τη διενέργεια του ελέγχου κατά την επαλήθευση της εγκυρότητας του ψηφιακού πιστοποιητικού COVID της ΕΕ συνιστούν «δεδομένα προσωπικού χαρακτήρα» κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ. Πράγματι, από την ως άνω διάταξη προκύπτει ότι ο όρος «δεδομένα προσωπικού χαρακτήρα» αναφέρεται «σε κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο» και ότι η ταυτοποίηση αυτή μπορεί να γίνεται, μεταξύ άλλων, μέσω της χρήσης του ονόματος του υποκειμένου των δεδομένων.
26. Συναφώς αρκεί η διαπίστωση ότι το άρθρο 5, παράγραφος 2, στοιχείο αʹ, το άρθρο 6, παράγραφος 2, στοιχείο αʹ, και το άρθρο 7, παράγραφος 2, στοιχείο αʹ, του κανονισμού 2021/953 προβλέπουν, αντιστοίχως, για το πιστοποιητικό εμβολιασμού, για το πιστοποιητικό διαγνωστικού ελέγχου και για το πιστοποιητικό ανάρρωσης ότι περιέχουν τα στοιχεία της ταυτότητας του κατόχου τους.
27. Κατόπιν της διευκρίνισης αυτής, επισημαίνεται ότι το άρθρο 4, σημείο 2, του ΓΚΠΔ ορίζει την «επεξεργασία» ως «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα». Στο πλαίσιο μιας ενδεικτικής απαρίθμησης που εισάγεται με τη λέξη «όπως», η διάταξη μνημονεύει ως παραδείγματα επεξεργασίας την αναζήτηση και τη χρήση δεδομένων προσωπικού χαρακτήρα. Επομένως, από το γράμμα της διατάξεως, και ιδίως από την έκφραση «κάθε πράξη», προκύπτει ότι ο ενωσιακός νομοθέτης θέλησε να προσδώσει ευρύ περιεχόμενο στην έννοια της «επεξεργασίας» [πρβλ. απόφαση της 24ης Φεβρουαρίου 2022, Valsts ieņēmumu dienests (Επεξεργασία των δεδομένων προσωπικού χαρακτήρα για φορολογικούς σκοπούς), C‑175/20, EU:C:2022:124, σκέψη 35].
28. Η ευρεία αυτή ερμηνεία των όρων «δεδομένα προσωπικού χαρακτήρα» και «επεξεργασία» συνάδει με τον διαλαμβανόμενο στην αιτιολογική σκέψη 1 του ΓΚΠΔ σκοπό της διασφάλισης της αποτελεσματικότητας του θεμελιώδους δικαιώματος της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ο οποίος αποτελεί σημείο αναφοράς για την εφαρμογή του ΓΚΠΔ.
29. Εν προκειμένω, μια εθνική εφαρμογή για κινητά τηλέφωνα, όπως η εφαρμογή «čTečka», σαρώνει τον κώδικα QR που βρίσκεται επάνω στο ψηφιακό πιστοποιητικό COVID της ΕΕ, προκειμένου να μετατρέψει τα κωδικοποιημένα προσωπικά δεδομένα σε μορφή αναγνώσιμη από το πρόσωπο που έχει αναλάβει τον έλεγχο της εγκυρότητας του πιστοποιητικού. Κατ’ αυτόν τον τρόπο, το πρόσωπο που έχει αναλάβει τη διενέργεια του ελέγχου μπορεί, χάρη στην εφαρμογή, να διαβάσει, κατόπιν μιας αυτοματοποιημένης διεργασίας, ήτοι της σάρωσης, τα δεδομένα προσωπικού χαρακτήρα και να τα χρησιμοποιήσει ώστε να αξιολογήσει αν η κατάσταση του υποκειμένου των δεδομένων είναι σύμφωνη με τους κανόνες επικύρωσης, άλλως ειπείν, με τις ισχύουσες υγειονομικές απαιτήσεις. Το αποτέλεσμα της αξιολόγησης είναι επίσης αυτοματοποιημένο αφού, σε περίπτωση που πληρούνται οι υγειονομικές απαιτήσεις, εμφανίζεται στην οθόνη ένα πράσινο τικ ενώ, σε αντίθετη περίπτωση, εμφανίζεται ένα κόκκινο «Χ».
30. Επιβάλλεται συνεπώς το συμπέρασμα ότι η επαλήθευση, με την εφαρμογή «čTečka», της εγκυρότητας των εκδιδόμενων δυνάμει του κανονισμού 2021/953 διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή, συνιστά «επεξεργασία» κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ και εμπίπτει, βάσει του άρθρου 2, παράγραφος 1, του ΓΚΠΔ, στο ουσιαστικό πεδίο εφαρμογής του κανονισμού αυτού.
31. Η ερμηνεία που εκτέθηκε στη σκέψη 30 της παρούσας αποφάσεως ενισχύεται από τον κανονισμό 2021/953, ο οποίος προβλέπει ότι η λειτουργία του ψηφιακού πιστοποιητικού COVID της ΕΕ συνιστά επεξεργασία κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ. Το άρθρο 1, παράγραφος 2, του κανονισμού 2021/953 ορίζει, ειδικότερα, ότι ο κανονισμός αυτός «[π]αρέχει τη νομική βάση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για την έκδοση των εν λόγω πιστοποιητικών και για την επεξεργασία των πληροφοριών που είναι αναγκαίες για την επαλήθευση και την επιβεβαίωση της γνησιότητας και της εγκυρότητας των εν λόγω πιστοποιητικών σε πλήρη συμμόρφωση προς τον [ΓΚΠΔ]». Επιπλέον, από την αιτιολογική σκέψη 48 του κανονισμού 2021/953 καθίσταται σαφές, αφενός, ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται κατά την εφαρμογή του κανονισμού 2021/953 υπόκειται στις διατάξεις του ΓΚΠΔ και, αφετέρου, ότι ο κανονισμός 2021/953 παρέχει τη νομική βάση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που είναι, κατά την έννοια του άρθρου 6, παράγραφος 1, στοιχείο γʹ, και του άρθρου 9, παράγραφος 2, στοιχείο ζʹ, του ΓΚΠΔ, αναγκαία για την έκδοση και την επαλήθευση των προβλεπόμενων από τον κανονισμό 2021/953 διαλειτουργικών πιστοποιητικών. Το άρθρο 10, παράγραφος 1, του κανονισμού 2021/953 επιβεβαιώνει επίσης ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της εφαρμογής του κανονισμού αυτού υπόκειται στις διατάξεις του ΓΚΠΔ.
32. Κατά συνέπεια, εναπόκειται στο αιτούν δικαστήριο να ελέγξει αν η επεξεργασία η οποία πραγματοποιείται δυνάμει του έκτακτου μέτρου, αφενός, είναι σύμφωνη με τις διαλαμβανόμενες στο άρθρο 5 του ΓΚΠΔ αρχές που διέπουν την επεξεργασία των δεδομένων και, αφετέρου, συνάδει με κάποια από τις απαριθμούμενες στο άρθρο 6 του ΓΚΠΔ αρχές που αφορούν τη νομιμότητα της επεξεργασίας [βλ., μεταξύ άλλων, αποφάσεις της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 96, και της 4ης Μαΐου 2023, Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, σκέψη 57].
33. Κατόπιν όλων των ανωτέρω, στο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι ο όρος «επεξεργασία» δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 4, σημείο 2, του ΓΚΠΔ έχει την έννοια ότι καλύπτει την επαλήθευση, μέσω εθνικής εφαρμογής για κινητά τηλέφωνα, της εγκυρότητας των διαλειτουργικών πιστοποιητικών εμβολιασμού κατά της COVID‑19, διαγνωστικού της ελέγχου και ανάρρωσης από αυτή, τα οποία έχουν εκδοθεί δυνάμει του κανονισμού 2021/953 και χρησιμοποιούνται από κράτος μέλος για εθνικούς σκοπούς.
