Domstolens dom (tredje avdelningen) den 28 november 2024
Hänvisat till av
I mål C‑169/23 [Másdi], angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Kúria (Högsta domstolen, Ungern) genom beslut av den 8 februari 2023, som inkom till domstolen den 17 mars 2023, i målet
DOMSTOLEN (tredje avdelningen) sammansatt av ordföranden på andra avdelningen K. Jürimäe, tillika tillförordnad ordförande på tredje avdelningen, domstolens ordförande K. Lenaerts, tillika tillförordnad domare på tredje avdelningen, samt domarna N. Jääskinen, M. Gavalec (referent) och N. Piçarra, generaladvokat: L. Medina, justitiesekreterare: A. Calot Escobar,
efter det skriftliga förfarandet,
med beaktande av de yttranden som avgetts av: Nemzeti Adatvédelmi és Információszabadság Hatóság, genom G.J. Dudás, ügyvéd, UC, genom D. Karsai och V. Łuszcz, ügyvédek, Ungerns regering, genom Zs. Biró-Tóth och M.Z. Fehér, båda i egenskap av ombud, Tjeckiens regering, genom L. Březinová, M. Smolek och J. Vláčil, samtliga i egenskap av ombud, Europeiska kommissionen, genom A. Bouchagiar, C. Kovács och H. Kranenborg, samtliga i egenskap av ombud,
och efter att den 6 juni 2024 ha hört generaladvokatens förslag till avgörande,
följande
Dom
Tillämpliga bestämmelser
Unionsrätt
Dataskyddsförordningen
Förordning (EU) 2021/953
Ungersk rätt
Målet vid den nationella domstolen och tolkningsfrågorna
Prövning av tolkningsfrågorna
Den första frågan
Den andra och den tredje frågan
Rättegångskostnader
1 Begäran om förhandsavgörande avser tolkningen av artiklarna 14.1, 14.5 c, 32 och 77.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).
2 Begäran har framställts i ett mål mellan Nemzeti Adatvédelmi és Információszabadság Hatóság (nationell myndighet för skydd av uppgifter och för informationsfrihet, Ungern) (nedan kallad den nationella tillsynsmyndigheten) och UC. Målet rör huruvida det föreligger en informationsskyldighet avseende den behandling av personuppgifter som utförts av Budapest Főváros Kormányhivatala (regeringsorgan i Budapests stad, Ungern) (nedan kallad den utfärdande myndigheten), vilken har till uppgift att utfärda immunitetsintyg till personer som vaccinerats mot eller har smittats av covid-19.
3 Skälen 1, 10 och 61–63 i dataskyddsförordningen har följande lydelse:
4 I artikel 1 i dataskyddsförordningen, med rubriken Syfte, föreskrivs följande i punkt 2:
5 I artikel 4 i förordningen, med rubriken Definitioner, föreskrivs följande:
6 I artikel 6 i dataskyddsförordningen, som har rubriken Laglig behandling av personuppgifter , anges följande i punkt 1:
7 I artikel 9 i förordningen, med rubriken Behandling av särskilda kategorier av personuppgifter, föreskrivs följande i punkterna 1 och 2:
8 Kapitel III i dataskyddsförordningen, med rubriken Den registrerades rättigheter, innehåller flera avsnitt, däribland avsnitt 2, med rubriken Information och tillgång till personuppgifter.
9 I detta avsnitt 2 återfinns dataskyddsförordningens artikel 13, som rör Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade, artikel 14, som rör Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade, och artikel 15, som rör Den registrerades rätt till tillgång.
10 I artikel 14 i dataskyddsförordningen föreskrivs följande:
11 Artikel 32 i dataskyddsförordningen, med rubriken Säkerhet i samband med behandlingen, har följande lydelse:
12 I artikel 55 i dataskyddsförordningen, med rubriken Behörighet, föreskrivs följande i punkt 1:
13 I artikel 57 i dataskyddsförordningen, med rubriken Uppgifter, föreskrivs följande i punkt 1:
14 I artikel 58 i förordningen, med rubriken Befogenheter, föreskrivs följande i punkt 3:
15 I artikel 77 i dataskyddsförordningen, med rubriken Rätt att lämna in klagomål till en tillsynsmyndighet, föreskrivs följande i punkt 1:
16 Artikel 78 i dataskyddsförordningen, med rubriken Rätt till ett effektivt rättsmedel mot tillsynsmyndighets beslut, har följande lydelse:
17 Artikel 10.1 i Europaparlamentets och rådets förordning (EU) 2021/953 av den 14 juni 2021 om en ram för utfärdande, kontroll och godtagande av interoperabla intyg om vaccination mot, testning för och tillfrisknande från covid-19 (EU:s digitala covidintyg) för att underlätta fri rörlighet under covid-19-pandemin (EUT L 211, 2021, s. 1), hade följande lydelse:
18 I 2 § punkt 1 i a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet (regeringsdekret nr 60/2021 (II.12.) om intyg om immunitet mot coronaviruset) av den 12 februari 2021, i den lydelse som är tillämplig i det nationella målet (nedan kallat dekret nr 60/2021), föreskrivs följande:
19 Enligt 2 § punkterna 6 och 7 i dekret nr 60/2021 ska intyg om immunitet utfärdas av den utfärdande myndigheten till berättigade fysiska personer, antingen ex officio eller efter ansökan.
20 I 3 § punkt 3 i dekret nr 60/2021 föreskrivs följande:
21 UC, som är en fysisk person, erhöll från den utfärdande myndigheten ett immunitetsintyg som bekräftade att han blivit vaccinerad mot covid-19, med tillämpning av dekret nr 60/2021.
22 Den 30 april 2021 inledde UC ett administrativt förfarande avseende behandlingen av hans personuppgifter genom att inge ett klagomål till den nationella tillsynsmyndigheten med stöd av artikel 77.1 i dataskyddsförordningen. UC begärde att den utfärdande myndigheten skulle föreläggas att anpassa sin behandling så den överensstämde med bestämmelserna i dataskyddsförordningen. I klagomålet påpekade UC bland annat att den utfärdande myndigheten inte hade utarbetat eller offentliggjort något meddelande angående skyddet av personuppgifter i samband med utfärdandet av immunitetsintyg och gjorde gällande att det saknades tillräcklig information dels om ändamålet med och den rättsliga grunden för behandlingen av dessa uppgifter dels om de registrerades rättigheter och hur dessa rättigheter kunde utövas.
23 Inom ramen för det förfarande som inleddes till följd av klagomålet förklarade den utfärdande myndigheten att den utförde sitt uppdrag avseende utfärdandet av immunitetsintyg med stöd av 2 § i dekret nr 60/2021 och att den rättsliga grunden för behandlingen av personuppgifterna var artikel 6.1 e i dataskyddsförordningen och, såvitt avsåg behandlingen av särskilda kategorier av personuppgifter, artikel 9.2 i) i nämnda förordning.
24 Den utfärdande myndigheten angav dessutom att den erhöll de personuppgifter som den behandlade från ett annat organ i enlighet med bestämmelserna i dekret nr 60/2021. Den utfärdande myndigheten påstod, mot denna bakgrund, att den, enligt artikel 14.5 c i dataskyddsförordningen, inte var skyldig att tillhandahålla information om behandlingen av dessa uppgifter. Trots detta hade den utarbetat och på sin webbplats offentliggjort det begärda meddelandet om skydd av personuppgifter.
25 Genom beslut av den 15 november 2021 avslog den nationella tillsynsmyndigheten UC:s klagomål och slog fast att den utfärdande myndigheten inte hade någon informationsskyldighet, med motiveringen att den berörda behandlingen av personuppgifter omfattades av undantaget i artikel 14.5 c i dataskyddsförordningen.
26 Den nationella tillsynsmyndigheten ansåg särskilt att dekret nr 60/2021 utgjorde den rättsliga grunden för behandlingen och att den utfärdande myndigheten enligt dekretet uttryckligen var skyldig att samla in de aktuella uppgifterna. Enligt den nationella tillsynsmyndigheten följde den utfärdande myndighetens offentliggörande, på dess webbplats, av information angående behandlingen av personuppgifter av god praxis och utgjorde inte en lagstadgad skyldighet.
27 Den nationella tillsynsmyndigheten prövade dessutom ex officio huruvida det fanns lämpliga åtgärder för att skydda den registrerades berättigade intressen, i den mening som avses i artikel 14.5 c andra delen av meningen i dataskyddsförordningen, och fann att 2, 3 och 5‑‑7 §§ i dekret nr 60/2021 skulle anses utgöra sådana åtgärder.
28 UC överklagade detta beslut till Fővárosi Törvényszék (Överdomstolen för Budapests stad, Ungern), som upphävde beslutet och återförvisade ärendet till den nationella tillsynsmyndigheten för förnyad prövning.
29 I sin dom fann nämnda domstol att undantaget i artikel 14.5 c i dataskyddsförordningen inte var tillämpligt, eftersom vissa uppgifter i samband med immunitetsintygen inte samlades in från något annat organ utan i stället genererades av den personuppgiftsansvarige själv, i samband med att denne fullgjorde sitt uppdrag. Så var, enligt nämnda domstol, fallet med immunitetsintygets serienummer, det datum då ett intyg som utfärdats till en person som hade ådragit sig sjukdomen upphörde att gälla, QR-koden på intyget, den streckkod och andra alfanumeriska koder som angavs i den skrivelse som åtföljde intyget samt de personuppgifter som genererades i samband med den personuppgiftsansvariges handläggning av ärendet. Enligt samma domstol var det endast personuppgifter som erhållits från ett annat organ som kunde omfattas av undantaget i artikel 14.5 c i dataskyddsförordningen.
30 Den nationella tillsynsmyndigheten överklagade denna dom till Kúria (Högsta domstolen, Ungern), som är den hänskjutande domstolen.
31 Det är i detta sammanhang som den hänskjutande domstolen först vill få klarhet i huruvida undantaget i artikel 14.5 c i dataskyddsförordningen kan tillämpas på all behandling av personuppgifter, med undantag för behandling av personuppgifter som erhållits från den registrerade.
32 Om så är fallet vill den hänskjutande domstolen få klarhet i huruvida den nationella tillsynsmyndigheten, inom ramen för ett klagomålsförfarande enligt artikel 77.1 i dataskyddsförordningen, är behörig att – i syfte att avgöra huruvida detta undantag är tillämpligt – kontrollera huruvida det i den nationella lagstiftning som den personuppgiftsansvarige omfattas av föreskrivs lämpliga åtgärder för att skydda den registrerades berättigade intressen.
33 Om så är fallet vill den hänskjutande domstolen slutligen få klarhet i huruvida denna kontroll även avser lämpligheten av de åtgärder som den personuppgiftsansvarige är skyldig att vidta enligt artikel 32 i dataskyddsförordningen för att säkerställa säkerheten i samband med behandlingen av personuppgifter.
34 Mot denna bakgrund beslutade Kúria (Högsta domstolen) att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:
35 Den 16 januari 2024 anmodade domstolen, i enlighet med artikel 61 i domstolens rättegångsregler, de parter och berörda som avses i artikel 23 i stadgan för Europeiska unionens domstol att skriftligen besvara vissa frågor. Klaganden och motparten i det nationella målet, den ungerska och den tjeckiska regeringen samt Europeiska kommissionen har besvarat dessa frågor.
36 Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 14.5 c i dataskyddsförordningen ska tolkas så, att det undantag från den personuppgiftsansvariges skyldighet att informera den registrerade som föreskrivs i denna bestämmelse endast avser personuppgifter som den personuppgiftsansvarige har samlat in från en annan person än den registrerade eller om undantaget även avser personuppgifter som den personuppgiftsansvarige själv har genererat i samband med att den utfört sitt uppdrag.
37 I artikel 14.1, 14.2 och 14.4 i dataskyddsförordningen fastställs den information som den personuppgiftsansvarige är skyldig att lämna till den registrerade, i den mening som avses i artikel 4 led 1 i samma förordning, när personuppgifterna inte har samlats in från den registrerade.
38 I artikel 14.5 i samma förordning anges undantagen från denna skyldighet. Ett av dessa undantag anges i artikel 14.5 c, där det föreskrivs att nämnda skyldighet inte gäller i det fall och i den mån erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.
39 För att avgöra huruvida detta undantag omfattar personuppgifter som den personuppgiftsansvarige själv har genererat i samband med utövandet av sitt uppdrag, från uppgifter som erhållits från en annan person än den registrerade, ska enligt fast rättspraxis inte bara lydelsen av den bestämmelse som innehåller undantaget beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i (se, för ett liknande resonemang, dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 32 och där angiven rättspraxis).
40 För det första ska det, mot bakgrund av lydelsen i artikel 14.5 c i dataskyddsförordningen, fastställas vad som är föremålet för det erhållande eller utlämnande som avses i denna bestämmelse.
41 Det föreligger nämligen en skillnad mellan de olika språkversionerna av nämnda bestämmelse. Den franska språkversionen av nämnda bestämmelse hänvisar till erhållande eller utlämnande av information. Den ungerska (adat), den estniska (isikuandmed), den kroatiska (podataka), den litauiska (duomenų), den nederländska (gegevens), den portugisiska (dados), den rumänska (datelor) och den svenska (uppgifter) språkversionen hänvisar till erhållande eller utlämnande av uppgifter. Den finska språkversionen innehåller ett ord (tietojen) som kan avse både uppgifter och information. Slutligen nämns inte föremålet för erhållandet eller utlämnandet i den bulgariska, den spanska, den tjeckiska, den danska, den tyska, den grekiska, den engelska, den italienska, den lettiska, den maltesiska, den polska, den slovakiska och den slovenska språkversionen.
42 I enlighet med likaledes fast rättspraxis kan den formulering som använts i en av språkversionerna av en unionsbestämmelse inte ensam ligga till grund för tolkningen av denna bestämmelse eller ges företräde framför övriga språkversioner. Unionsbestämmelserna ska nämligen tolkas och tillämpas på ett enhetligt sätt mot bakgrund av de olika versionerna på samtliga unionsspråk. I händelse av bristande överensstämmelse mellan språkversionerna av en unionsrättslig text, ska den aktuella bestämmelsen tolkas med hänsyn till systematiken i och ändamålet med de föreskrifter i vilka den ingår (dom av den 21 mars 2024, Cobult, C‑76/23, EU:C:2024:253, punkt 25 och där angiven rättspraxis).
43 Vad gäller den allmänna systematiken i dataskyddsförordningen ska artikel 14.5 i förordningen tolkas mot bakgrund av skälen 61 och 62 i förordningen, i vilka det hänvisas dels till personuppgifterna [som] erhålls [och] personuppgifterna [som] lämnas ut och till registreringen eller utlämnandet av personuppgifterna [som] uttryckligen föreskrivs i lag, dels till information [som] lämnas eller bör … lämna[s]. Tolkningen att erhållande eller utlämnande, i den mening som avses i artikel 14.5 c i dataskyddsförordningen, avser personuppgifter stöds dessutom av den omfattande räckvidd som begreppet behandling ges i artikel 4 led 2 i dataskyddsförordningen, vilket omfattar alla åtgärder som vidtas med avseende på personuppgifter (se, för ett liknande resonemang, dom av den 5 oktober 2023, Ministerstvo zdravotnictví (Mobilapplikation Covid-19), C‑659/22, EU:C:2023:745, punkt 27 och där angiven rättspraxis).
44 Vad gäller ändamålet med de föreskrifter som artikel 14.5 c i dataskyddsförordningen ingår i, räcker det att, i likhet med vad generaladvokaten angav i punkt 31 i sitt förslag till avgörande, påpeka att ratio legis för detta undantag är att den skyldighet att informera den registrerade som föreskrivs i artikel 14.1, 14.2 och 14.4 i förordningen inte är motiverad när det i en annan bestämmelse i unionsrätten eller i en medlemsstats nationella rätt, på ett tillräckligt fullständigt och bindande sätt, föreskrivs att den personuppgiftsansvarige ska tillhandahålla den registrerade information om erhållande eller utlämnande av personuppgifter. I det fall som omfattas av artikel 14.5 c måste de berörda personerna nämligen ha tillräcklig kännedom om hur uppgifterna erhålls eller lämnas ut och om vad som är ändamålet med detta.
45 Mot bakgrund av lydelsen i artikel 14.5 c i dataskyddsförordningen i dess samtliga språkversioner ska denna bestämmelse följaktligen förstås så, att den avser erhållande eller utlämnande av personuppgifter.
46 Vidare kan det konstateras att lydelsen i artikel 14.5 c i dataskyddsförordningen inte begränsar det undantag som föreskrivs i denna bestämmelse till att endast avse personuppgifter som den personuppgiftsansvarige har erhållit från en annan person än den registrerade, och den utesluter inte heller uppgifter som, utifrån sådana uppgifter, har genererats av den personuppgiftsansvarige själv, i samband med att denne har utövat sitt uppdrag.
47 Av detta följer att de personuppgifter som har erhållits, i den mening som avses i nämnda bestämmelse, av den personuppgiftsansvarige är alla uppgifter som samlats in från en annan person än den registrerade och alla uppgifter som den personuppgiftsansvarige själv har genererat, i samband med att denne utövat sitt uppdrag, utifrån uppgifter som erhållits från en annan person än den registrerade.
48 För det andra ska det påpekas att det materiella tillämpningsområdet för artikel 14 i dataskyddsförordningen definieras negativt i förhållande till artikel 13 i förordningen. Såsom framgår av rubrikerna till dessa bestämmelser reglerar artikel 13 vilken information som ska tillhandahållas om personuppgifterna samlas in från den registrerade, medan artikel 14 reglerar vilken information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Mot bakgrund av denna tudelning omfattas alla fall där uppgifter inte samlas in från den registrerade av det materiella tillämpningsområdet för artikel 14.
49 Det följer således av en kombinerad tolkning av artiklarna 13 och 14 i dataskyddsförordningen att såväl personuppgifter som den personuppgiftsansvarige har erhållit från en annan person än den registrerade som de uppgifter som har genererats av den personuppgiftsansvarige själv, vilka till sin natur inte heller har erhållits från den registrerade, omfattas av tillämpningsområdet för nämnda artikel 14. Av detta följer att undantaget i artikel 14.5 c omfattar båda dessa kategorier av uppgifter.
50 För det tredje ska artikel 14.5 c i dataskyddsförordningen tolkas i överensstämmelse med det ändamål som eftersträvas med förordningen. Detta ändamål består, såsom framgår av artikel 1, jämförd med skälen 1 och 10 i förordningen, i att säkerställa en hög nivå på skyddet av fysiska personers grundläggande fri- och rättigheter, i synnerhet rätten till skydd för privat- och familjelivet med avseende på behandling av personuppgifter, vilken är stadfäst i artikel 8.1 i stadgan om de grundläggande rättigheterna och i artikel 16.1 FEUF (se, för ett liknande resonemang, dom av den 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, punkt 53 och där angiven rättspraxis).
51 Det framgår av skäl 63 i dataskyddsförordningen att unionslagstiftaren har velat att en registrerad, i den mening som avses i denna förordning, ska ha rätt att få tillgång till de personuppgifter som har samlats in om honom eller henne för att vara medveten om att behandling sker och kunna kontrollera att den är laglig.
52 Den personuppgiftsansvarige kan således befrias från den skyldighet som normalt åligger denne att tillhandahålla en registrerad information, förutsatt att den registrerade kan utöva kontroll över sina personuppgifter och utöva sina rättigheter enligt dataskyddsförordningen.
53 I enlighet med det ändamål som eftersträvas med denna förordning kräver det undantag från skyldigheten att informera den registrerade som föreskrivs i artikel 14.5 c i dataskyddsförordningen att den personuppgiftsansvariges erhållande eller utlämnande av personuppgifterna uttryckligen föreskrivs genom unionsrätten eller genom den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dessutom måste det i denna rätt föreskrivas lämpliga åtgärder för att skydda den registrerades berättigade intressen.
54 Av detta följer att tillämpningen av artikel 14.5 c i dataskyddsförordningen, för att vara helt förenlig med det ändamål som eftersträvas med denna förordning, förutsätter att de villkor som föreskrivs i denna bestämmelse noggrant iakttas, det vill säga bland annat att det ska finnas en skyddsnivå för den registrerade som är åtminstone likvärdig med den som garanteras i artikel 14.1–14.4 i förordningen.
55 Mot bakgrund av dessa skäl ska den första frågan besvaras enligt följande. Artikel 14.5 c i dataskyddsförordningen ska tolkas så, att det undantag från den personuppgiftsansvariges skyldighet att informera den registrerade som föreskrivs i denna bestämmelse utan åtskillnad avser alla personuppgifter som den personuppgiftsansvarige inte har samlat in direkt från den registrerade, oavsett om dessa uppgifter har erhållits av den personuppgiftsansvarige från en annan person än den registrerade eller om de har genererats av den personuppgiftsansvarige själv i samband med att denne utövat sitt uppdrag.
56 Den hänskjutande domstolen har ställt den andra och den tredje frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 14.5 c och artikel 77.1 i dataskyddsförordningen ska tolkas så, att tillsynsmyndigheten, inom ramen för ett klagomålsförfarande, är behörig att kontrollera huruvida det i den medlemsstats lagstiftning som den personuppgiftsansvarige omfattas av föreskrivs lämpliga åtgärder för att skydda den registrerades berättigade intressen, vid tillämpningen av det undantag som föreskrivs i artikel 14.5 c och, om så är fallet, huruvida denna kontroll även avser lämpligheten av de åtgärder som den personuppgiftsansvarige är skyldig att vidta enligt artikel 32 i förordningen för att säkerställa säkerheten i samband med behandlingen av personuppgifter.
57 För det första ska det påpekas att varje registrerad, enligt artikel 77.1 i dataskyddsförordningen, utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, har rätt att lämna in ett klagomål till en tillsynsmyndighet om vederbörande anser att behandlingen av personuppgifter som avser henne eller honom strider mot förordningen.
58 Vad gäller tillsynsmyndigheternas behörighet föreskrivs det i artikel 55.1 i dataskyddsförordningen att varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium.
59 Vad gäller dessa uppgifter anges det i artikel 57.1 a i dataskyddsförordningen att varje tillsynsmyndighet ska ansvara för att på sitt territorium övervaka och verkställa tillämpningen av förordningen.
60 Dataskyddsförordningen innehåller inte någon bestämmelse som undantar vissa aspekter av tillämpningen av undantaget i artikel 14.5 c i förordningen från dessa tillsynsmyndigheters behörighet.
61 Enligt nämnda bestämmelse befrias den personuppgiftsansvarige från att tillhandahålla den registrerade den information som avses i artikel 14.1, 14.2 och 14.4 i dataskyddsförordningen när, och i den mån, erhållande eller utlämnande av personuppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och det i denna rätt fastställs lämpliga åtgärder för att skydda den registrerades berättigade intressen.
62 Ett klagomål enligt artikel 77.1 i dataskyddsförordningen kan således grundas på att den personuppgiftsansvarige har åsidosatt sin informationsskyldighet på grund av att villkoren för att tillämpa undantaget i artikel 14.5 c i förordningen inte är uppfyllda.
63 Vad gäller det första villkoret, som det erinrats om i punkt 61 ovan, kan den tillsynsmyndighet som ska pröva ett sådant klagomål behöva kontrollera huruvida det i unionsrätten eller i nationell rätt föreskrivs att den personuppgiftsansvarige ska erhålla eller lämna ut personuppgifter.
64 Vad gäller det andra villkoret konstaterar domstolen, i likhet med vad generaladvokaten påpekade i punkterna 67 och 69 i sitt förslag till avgörande, att räckvidden av uttrycket lämpliga åtgärder för att skydda den registrerades berättigade intressen inte preciseras i dataskyddsförordningen. Domstolen finner emellertid att de bestämmelser i unionsrätten eller i medlemsstatens nationella rätt, vilka föreskriver sådana åtgärder och som den personuppgiftsansvarige omfattas av, såsom påpekats i punkt 54 ovan, ska säkerställa en skyddsnivå för den registrerade med avseende på behandlingen av hans eller hennes personuppgifter som är åtminstone likvärdig med den som föreskrivs i artikel 14.1–14.4 i förordningen. Dessa bestämmelser ska således göra det möjligt för den registrerade att utöva kontroll över sina personuppgifter och utöva de rättigheter denne har enligt dataskyddsförordningen.
65 I detta syfte är det särskilt viktigt att dessa bestämmelser på ett klart och förutsebart sätt anger varifrån den registrerade kan få information om behandlingen av de personuppgifter som rör honom eller henne.
66 När det gäller överföring av personuppgifter mellan organ i en medlemsstat och en personuppgiftsansvarigs generering av sådana uppgifter utifrån uppgifter som samlats in från en annan person än den registrerade, ska det påpekas att det, för det fall den registrerade inger ett klagomål, ankommer på tillsynsmyndigheten att bland annat kontrollera huruvida de olika typer av personuppgifter som ska erhållas eller lämnas ut, samt de personuppgifter som den personuppgiftsansvarige kan komma att generera när den utför sina uppgifter, definieras tillräckligt precist i relevant nationell rätt eller unionsrätt och om denna rätt föreskriver på vilket sätt den registrerade faktiskt ges tillgång till den information som avses i artikel 14.1, 14.2 och 14.4 i dataskyddsförordningen.
67 Såsom kommissionen har påpekat i sitt skriftliga yttrande omfattar en tillsynsmyndighets kontroll av huruvida samtliga villkor för tillämpning av undantaget i artikel 14.5 c i dataskyddsförordningen är uppfyllda inte för den skull någon prövning av giltigheten av de relevanta bestämmelserna i nationell rätt. Tillsynsmyndigheten ska endast uttala sig om huruvida den personuppgiftsansvarige, i ett visst fall, har rätt att åberopa det undantag som föreskrivs i denna bestämmelse i förhållande till den registrerade.
68 När det gäller resultatet av en sådan kontroll ska det erinras om att det i artikel 78 i förordningen föreskrivs att den registrerade – om tillsynsmyndigheten i ett visst fall finner att det saknas fog för den registrerades klagomål – i sin medlemsstat ska ha rätt till en effektiv domstolsprövning av avslagsbeslutet.
69 Om tillsynsmyndigheten däremot anser att klagomålet är välgrundat och villkoren för tillämpning av undantaget i artikel 14.5 c i förordningen inte är uppfyllda, ska den ålägga den personuppgiftsansvarige att tillhandahålla den registrerade information i enlighet med artikel 14.1, 14.2 och 14.4 i samma förordning.
70 För det andra, vad gäller frågan om denna kontroll även ska avse huruvida de åtgärder som den personuppgiftsansvarige är skyldig att vidta för att säkerställa säkerheten i samband med behandlingen är lämpliga mot bakgrund av artikel 32 i dataskyddsförordningen, ska det understrykas att det i artikel 14.5 c i förordningen endast föreskrivs ett undantag från den informationsskyldighet som föreskrivs i artikel 14.1, 14.2 och 14.4 i förordningen, men inte något undantag från de skyldigheter som följer av andra bestämmelser i förordningen, däribland artikel 32.
71 Enligt artikel 32 är den personuppgiftsansvarige och dennes eventuella personuppgiftsbiträde skyldiga att vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå vid behandlingen av personuppgifter. Lämpligheten av dessa åtgärder ska bedömas på ett konkret sätt utifrån vilka risker som är förenade med den aktuella personuppgiftsbehandlingen och en prövning av om de vidtagna åtgärdernas art, innebörd och genomförande är anpassade till dessa risker (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkterna 42, 46 och 47, och dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkterna 37 och 38).
72 Mot bakgrund av lydelsen i dessa båda bestämmelser ska det påpekas att de skyldigheter som föreskrivs i artikel 32 i dataskyddsförordningen, vilka under alla omständigheter ska iakttas oberoende av huruvida det föreligger en informationsskyldighet enligt artikel 14 i förordningen, är av en annan art och räckvidd än den informationsskyldighet som föreskrivs i artikel 14 i förordningen.
73 När det har ingetts ett klagomål enligt artikel 77.1 i dataskyddsförordningen, där det gjorts gällande att den personuppgiftsansvarige felaktigt har åberopat undantaget i artikel 14.5 c i denna förordning, ska de kontroller som ska utföras av tillsynsmyndigheten endast avse tillämpningsområdet för artikel 14 i förordningen, och inte omfatta efterlevnaden av artikel 32 i förordningen.
74 Mot bakgrund av dessa skäl ska den andra och den tredje frågan besvaras enligt följande. Artikel 14.5 c och artikel 77.1 i dataskyddsförordningen ska tolkas så, att tillsynsmyndigheten, inom ramen för ett klagomålsförfarande, är behörig att kontrollera huruvida det i den medlemsstats lagstiftning som den personuppgiftsansvarige omfattas av föreskrivs lämpliga åtgärder för att skydda den registrerades berättigade intressen vid tillämpningen av det undantag som föreskrivs i artikel 14.5 c. Denna kontroll avser emellertid inte lämpligheten av de åtgärder som den personuppgiftsansvarige är skyldig att vidta enligt artikel 32 i förordningen för att säkerställa säkerheten i samband med behandlingen av personuppgifter.
75 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
1 Rättegångsspråk: ungerska.
2 Förevarande mål har getts ett fiktivt namn. Detta namn är inte någon av rättegångsdeltagarnas verkliga namn.