Судове рішення (Третя палата) від 28 листопада 2024 року. Nemzeti Adatvédelmi és Információszabadság Hatóság проти UC. Запит про попереднє рішення – Захист фізичних осіб щодо обробки персональних даних та вільного руху таких даних – Регламент (ЄС) 2016/679 – Дані, що обробляються при складанні сертифіката COVID-19 – Дані, зібрані не від суб’єкта даних – Інформація, яка надається – Виняток з обов’язку надання інформації – Стаття 14(5)(c) – Дані, згенеровані контролером у контексті власних процесів – Право на подання скарги – Компетенція наглядового органу – Стаття 77(1) – Відповідні заходи для захисту законних інтересів суб’єкта даних, передбачені законодавством держави-члена, якому підпорядкований контролер – Заходи, пов’язані з безпекою обробки даних – Стаття 32. Справа C-169/23.

Це судове рішення стосується тлумачення Загального регламенту про захист даних ЄС (GDPR) щодо обробки персональних даних при видачі сертифікатів імунітету від COVID-19. Ключові моменти рішення:

1. Винятки з обов’язку контролера надавати інформацію суб’єктам даних (відповідно до статті 14(5)(c) GDPR) поширюються на всі персональні дані, зібрані не безпосередньо від суб’єкта даних, включаючи як дані, отримані з інших джерел, так і дані, згенеровані самим контролером.

2. При розгляді скарг органи захисту даних можуть перевіряти, чи передбачають національні закони відповідні заходи для захисту інтересів суб’єктів даних при застосуванні цього винятку. Перевірка повинна забезпечити, щоб закон гарантував принаймні еквівалентний захист порівняно з тим, який надає стаття 14 GDPR.

3. Однак при перевірці дотримання статті 14(5)(c) органи не повинні перевіряти технічні заходи безпеки, передбачені статтею 32 GDPR, оскільки це окремі зобов’язання.

Судове рішення є особливо актуальним для державних органів, які обробляють персональні дані для сертифікатів COVID-19 та подібних документів, роз’яснюючи їхні зобов’язання щодо надання інформації та прав суб’єктів даних.

Повний текст за посиланням