EU-domstolen avsa 5. oktober 2023 prejudisiell avgjørelse i sak C-659/22. Saken gjelder tolkning av forordning (EU) 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger [GDPR].
Sakens bakgrunn
Saken gjelder en tvist mellom RK og helsedepartementet i Tsjekkia. Helsedepartementet fattet beslutning om et ekstraordinært tiltak for å beskytte befolkningen mot ytterligere spredning av koronaviruset, som skulle ha virkning fra 3. januar 2022. I beslutningen ble det satt vilkår for personers adgang til visse inne- og utendørsområder, samt deres deltakelse i store samlinger og andre aktiviteter.
Personer som ville delta i aktiviteter måtte fremvise et dokument som bevis for at vilkårene for adgang og deltakelse var oppfylt. Det ble blant annet stilt krav om at det måtte foreligge en mindre enn 72 timer gammel negativ koronatest for personer under 18 år, personer som ikke kan ta vaksinen på grunn av kontraindikasjon og personer som ikke har tatt full vaksinedose.
Arrangørene ble pålagt å kontrollere om vilkårene var oppfylt med bruk av departementets mobilapp «čTečka». Adgangsdokumentet inneholdt en QR-kode som gjorde det mulig å verifisere gyldigheten av EUs digitale koronasertifikater som ble utstedt i henhold til forordning (EU) 2021/953, og mobilappen ble brukt til dette. Arrangøren pliktet å nekte personer som ikke fremla bevis tilgang til området eller aktiviteten.
Mobilappen bruker kameraet på telefonen til kontrolløren til å skanne QR-koden. Etter skanningen vil kontrolløren få tilgang til en oversikt over grunnleggende identifikasjonsopplysninger om sertifikatinnehaveren. Dette inkluderer fornavn, etternavn, fødselsdato og informasjon om sertifikatet er gyldig eller ugyldig.
Kontrolløren kan ved hjelp av et tastetrykk få tilgang til all informasjon som er nevnt i sertifikatet. Dette gjelder blant annet informasjon om vaksinering, vaksinetype, vaksineprodusent, antall vaksinedoser m.m. Informasjonen ble imidlertid ikke lagret eller videreført. Spørsmålet for den foreleggende rett er om dette utgjør «behandling» av personopplysninger i GDPR artikkel 4 nr. 2.
EU-domstolens vurdering
Helt innledningsvis fastslås det at de opplysninger kontrolløren får adgang til, utgjør «personopplysninger» etter artikkel 4 nr. 1. Det fremgår av forordning (EU) 2021/953 om EUs digitale covid-19-sertifikat artikkel 5 (2) (a), 6 (2) (a) og 7 (2) (a) at vaksinasjonssertifikatet, testsertifikatet og restitusjonssertifikatet skal inneholde innehaverens identitet.
Deretter vurderes det om denne kontrollen med hjelp av mobilappen utgjør en «behandling» etter GDPR artikkel 4 nr. 2.
Etter bestemmelsen defineres «behandling» som «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke». Det er også angitt en ikke-uttømmende liste over operasjoner som kan tenkes å være omfattet. Ordlyden tilsier at EU-lovgiver har hatt intensjon om å gi begrepet bred rekkevidde, se C-175/20, Valsts ieņēmumu dienests, avsnitt 35. Denne tolkningen støttes også av fortalepunkt 1 i forordningen om at den skal sørge for å gi et effektivt vern av fysiske personers personopplysninger. Ifølge EU-domstolen har fortalepunktet en avgjørende innflytelse på anvendelsen av forordningen.
Når mobilappen skanner QR-koden som følger i EUs digitale koronasertifikat, konverterer mobilappen personopplysningene til lesbar skrift for personen som skal kontrollere sertifikatet. Mobilappen gjør det derfor mulig for kontrolløren, etter en automatisert prosess som følge av skanningen, å søke i personopplysninger og anvende dem for å vurdere om den registrertes situasjon er i tråd med reglene. Også resultatet av vurderingen er automatisert. Det vil enten dukke opp et godkjent-merke eller et rødt kryss som illustrerer om reglene er oppfylt eller ikke.
EU-domstolen finner støtte i forordning (EU) 2021/953 om EUs digitale covid-19-sertifikat for tolkningen. I artikkel 1 (2) utgjør nemlig forordningen det nødvendige rettsgrunnlaget for behandling av de personopplysninger som trengs for å kontrollere og bekrefte gyldigheten av koronasertifikatene. Fortalepunkt 48 stadfester at GDPR får anvendelse ved gjennomføringen av forordningen, og at forordningen utgjør rettsgrunnlaget for behandlingen av personopplysninger i GDPR artikkel 6 (1) (c) og artikkel 9 (2) (g). I artikkel 10 (1) fremgår det at GDPR-forordningen får anvendelse på behandling av personopplysninger i forbindelse med gjennomføringen av forordning (EU) 2021/953. Forordningen om EUs digitale koronasertifikat bestemmer sånn sett at ved anvendelse av denne, så vil det dreie seg om en behandling etter GDPR artikkel 4 nr. 2.
EU-domstolens konklusjon
EU-domstolen har avklart at verifikasjonsprosesser i appen utgjør «behandling» etter GDPR artikkel 4 (2). Pliktene og rettighetene som følger av personvernforordningen gjelder. Dommen understreker og bekrefter at begrepet «behandling» skal forstås bredt. For videre diskusjon om hva som utgjør «behandling» og om rekkevidden av personvernforordningen, se Generaladvokat Bobek sin uttalelse i sak C-245/20, avsnitt 55 og utover, samt «Mere access to personal data: is it processing?» av Arye Schreiber.
Forordning (EU) 2016/679 (GDPR) er inntatt i EØS-avtalens vedlegg XI og gjelder som norsk lov med EØS-tilpasningene, jf. lov 15. juni 2018 nr. 38 om behandling av personopplysninger § 1.
Forordning (EU) 2021/953 om en ramme for utstedelse, kontroll og godtakelse av samvirkende covid-19-sertifikater for vaksinasjon, testing og restitusjon (EUs digitale covid-sertifikat) for å lette fri bevegelighet under covid-19-pandemien er inntatt i EØS-avtalens vedlegg VIII og gjaldt som norsk lov i smittevernloven kapittel 4A om midlertidige bestemmelser om koronasertifikat frem til opphevelse 1. juli 2023.
(C-659/22)
IHT