GDPR Oplysningspligt: Fortolkning af undtagelsen for data genereret af dataansvarlig og tilsynsmyndighedens kompetence

Sagen omhandler en præjudiciel forelæggelse fra Kúria (Ungarns øverste domstol) vedrørende fortolkningen af flere centrale bestemmelser i databeskyttelsesforordningen (GDPR) i forbindelse med udstedelsen af ungarske covid-19 immunitetscertifikater. Den dataansvarlige myndighed (regeringskontoret i Budapest) havde indsamlet oplysninger fra offentlige registre og genereret nye oplysninger (f.eks. certifikatets serienummer og QR-kode) for at udstede certifikatet.

En borger (UC) indgav klage til den nationale tilsynsmyndighed (Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH) med påstand om, at myndigheden uberettiget havde undladt at opfylde sin oplysningspligt over for ham.

Tvistens kerne og de præjudicielle spørgsmål

Den dataansvarlige myndighed påberåbte sig undtagelsen i GDPR artikel 14, stk. 5, litra c), som fritager for oplysningspligten, hvis indsamling eller videregivelse er fastsat ved national lovgivning, der sikrer passende foranstaltninger til beskyttelse af den registreredes interesser. Hovedspørgsmålene var:

• Omfatter undtagelsen i artikel 14, stk. 5, litra c), kun data indsamlet fra tredjepart, eller også data, der er genereret af den dataansvarlige selv?
• Har tilsynsmyndigheden kompetence (i henhold til artikel 77, stk. 1) til at efterprøve, om den nationale lovgivning rent faktisk fastsætter de krævede "passende foranstaltninger"?
• Hvis ja, omfatter denne efterprøvelse også de specifikke foranstaltninger for behandlingssikkerhed i henhold til artikel 32?

Domstolen fastslog, at undtagelsen fra oplysningspligten i GDPR artikel 14, stk. 5, litra c), er bred og dækker alle personoplysninger, som ikke er indsamlet direkte hos den registrerede, uanset om de stammer fra en tredjepart eller er genereret af den dataansvarlige selv i forbindelse med udførelsen af sine opgaver.

Fortolkning af artikel 14, stk. 5, litra c)

• Artikel 14 regulerer alle tilfælde, hvor oplysninger ikke er indsamlet hos den registrerede, hvilket naturligt omfatter data, der er skabt eller genereret af den dataansvarlige (f.eks. serienumre, koder eller udløbsdatoer på certifikatet).
• Denne fortolkning sikrer, at den dataansvarlige kun er fritaget for oplysningspligten, hvis den registrerede har et tilstrækkeligt kendskab til behandlingen via en anden bindende retsakt (par. 44).

Tilsynsmyndighedens kompetence (Art. 77)

Domstolen bekræftede, at tilsynsmyndigheden i forbindelse med en klageprocedure (artikel 77, stk. 1) har kompetence til at efterprøve, om den nationale ret, som den dataansvarlige er underlagt, fastsætter de "passende foranstaltninger til beskyttelse af den registreredes legitime interesser".