Nemzeti Adatvédelmi és Információszabadság Hatóság tegen UC

• 1.

  Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 14, lid 1 en lid 5, onder c), artikel 32 en artikel 77, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35; hierna: „AVG”).

• 2.

  Dit verzoek is ingediend in het kader van een geding tussen de Nemzeti Adatvédelmi és Információszabadság Hatóság (nationale autoriteit voor gegevensbescherming en vrijheid van informatie, Hongarije; hierna: „nationale autoriteit”), en UC, inzake het bestaan van een informatieplicht met betrekking tot de verwerking van persoonsgegevens door de Budapest Főváros Kormányhivatala (overheidsdienst voor de hoofdstad Boedapest, Hongarije; hierna: „dienst van afgifte”), die is belast met de afgifte van immuniteitscertificaten aan personen die tegen COVID‑19 zijn gevaccineerd of die ziekte hebben opgelopen.

   AVG

 Unierecht

• 3.

  De overwegingen 1, 10, en 61 tot en met 63 AVG luiden als volgt:

  „(1)      De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie [...] en artikel 16, lid 1, [VWEU] heeft eenieder recht op bescherming van zijn persoonsgegevens.

  [...]

  (10)      Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de [Europese] Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Met het oog op de verwerking van persoonsgegevens voor het vervullen van een wettelijke verplichting, voor het vervullen van een taak van algemeen belang of bij de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, moet de lidstaten worden toegestaan nationale bepalingen te handhaven of in te voeren ter nadere precisering van de wijze waarop de regels van deze verordening moeten worden toegepast. [...]

  [...]

  (61)      De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen bij de betrokkene van de gegevens of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval. Wanneer de persoonsgegevens rechtmatig aan een andere ontvanger kunnen worden verstrekt, dient de betrokkene te worden meegedeeld wanneer de persoonsgegevens voor het eerst aan de ontvanger worden verstrekt. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens te verwerken met een ander doel dan dat waarvoor zij zijn verzameld, moet de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken. Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt.

  (62)      Niettemin is het niet noodzakelijk de verplichting tot informatieverstrekking op te leggen wanneer de betrokkene al over de informatie beschikt, wanneer de registratie of mededeling van de persoonsgegevens uitdrukkelijk bij wet is voorgeschreven of wanneer de informatieverstrekking aan de betrokkene onmogelijk blijkt of onevenredig veel inspanningen zou kosten. [...]

  (63)      Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. [...]”

• 4.

  Artikel 1 van die verordening, met als opschrift „Onderwerp en doelstellingen”, bepaalt in lid 2:

  „Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.”

• 5.

  Artikel 4 van die verordening heeft als opschrift „Definities” en bepaalt:

  „Voor de toepassing van deze verordening wordt verstaan onder:

  1)      ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); [...]

  2)      ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

  [...]

  7)      ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; [...]

  [...]”

• 6.

  Artikel 6 AVG, met als opschrift „Rechtmatigheid van de verwerking”, bepaalt in lid 1:

  „De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

  [...]

  c)      de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

  [...]

  e)      de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

  [...]”

• 7.

  Artikel 9 van die verordening („Verwerking van bijzondere categorieën van persoonsgegevens”) bepaalt in de leden 1 en 2:

  „1.      Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

  2.      Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

  [...]

  i)      de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;

  [...]”

• 8.

  Hoofdstuk III AVG, met als opschrift „Rechten van de betrokkene”, bevat verschillende afdelingen, waaronder afdeling 2 („Informatie en toegang tot persoonsgegevens”).

• 9.

  Die afdeling 2 van de AVG bevat artikel 13, dat betrekking heeft op „[t]e verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld”, artikel 14, dat betrekking heeft op „[t]e verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen”, en artikel 15, dat betrekking heeft op het „[r]echt van inzage van de betrokkene”.

• 10.

  Artikel 14 van die verordening bepaalt:

  „1.      Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:

  a)      de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;

  b)      in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;

  c)      de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;

  d)      de betrokken categorieën van persoonsgegevens;

  e)      in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;

  f)      in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of aan een internationale organisatie, [...]

  2.      Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:

  a)      de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

  b)      de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd;

  c)      dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;

  d)      wanneer verwerking op artikel 6, lid 1, punt a) of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;

  e)      dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;

  f)      de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;

  g)      het bestaan van geautomatiseerde besluitvorming, [...]

  [...]

  4.      Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.

  5.      De leden 1 tot en met 4 zijn niet van toepassing indien en voor zover:

  a)      de betrokkene reeds over de informatie beschikt;

  b)      het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;

  c)      het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie‑ of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of

  d)      de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijk recht, waaronder een wettelijke geheimhoudingsplicht.”

• 11.

  Artikel 32 van die verordening heeft als opschrift „Beveiliging van de verwerking” en luidt als volgt:

  „1.      Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

  a)      de pseudonimisering en versleuteling van persoonsgegevens;

  b)      het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

  c)      het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

  d)      een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

  2.      Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

  3.      Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.

  4.      De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.”

• 12.

  Artikel 55 („Competentie”) van die verordening bepaalt in lid 1:

  „Elke toezichthoudende autoriteit heeft de competentie op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend.”

• 13.

  Artikel 57, met als opschrift „Taken”, bepaalt in lid 1:

  „Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken:

  a)      zij monitort en handhaaft de toepassing van deze verordening;

  [...]

  c)      zij verleent overeenkomstig het recht van de lidstaat, advies aan het nationale parlement, de regering, en andere instellingen en organen over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van verwerking;

  [...]”

• 14.

  Artikel 58 AVG, met als opschrift „Bevoegdheden”, bepaalt in lid 3:

  „Elke toezichthoudende autoriteit heeft alle autorisatie‑ en adviesbevoegdheden om:

  [...]

  b)      op eigen initiatief dan wel op verzoek, aan het nationaal parlement, aan de regering van de lidstaat, of overeenkomstig het lidstatelijke recht aan andere instellingen en organen alsmede aan het publiek advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens;

  [...]”

• 15.

  Artikel 77 („Recht om een klacht in te dienen bij een toezichthoudende autoriteit”) van die verordening bepaalt in lid 1:

  „Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.”

• 16.

  Artikel 78 AVG heeft als opschrift „Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit” en bepaalt:

  „1.      Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen.

  2.      Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien de overeenkomstig de artikelen 55 en 56 bevoegde toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden in kennis stelt van de voortgang of het resultaat van de uit hoofde van artikel 77 ingediende klacht.

  3.      Een procedure tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit is gevestigd.

  4.      Wanneer een procedure wordt ingesteld tegen een besluit van een toezichthoudende autoriteit waaraan een advies of een besluit van het Comité in het kader van het coherentiemechanisme is voorafgegaan, doet de toezichthoudende autoriteit dat advies of besluit aan de gerechten toekomen.”

   Verordening 2021/953

• 17.

  Artikel 10 („Bescherming van persoonsgegevens”) van verordening (EU) 2021/953 van het Europees Parlement en de Raad van 14 juni 2021 betreffende een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID‑19-vaccinatie-, test‑ en herstelcertificaten (digitaal EU‑COVID-certificaat) teneinde het vrije verkeer tijdens de COVID‑19-pandemie te faciliteren (PB 2021, L 211, blz. 1) bepaalde in lid 1:

  „[De AVG] is van toepassing op de verwerking van persoonsgegevens uit hoofde van deze verordening.”

 Hongaars recht

• 18.

  § 2, lid 1, van a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet [regeringsbesluit 60/2021 (II.12.) van 12 februari 2021 betreffende het immuniteitscertificaat], in de versie die van toepassing is op het hoofdgeding (hierna: „regeringsbesluit 60/2021”), bepaalt;

  „Het immuniteitscertificaat bevat de volgende vermeldingen:

  a)      de naam van betrokkene,

  b)      het paspoortnummer van de betrokkene, indien de betrokkene daarover beschikt,

  c)      het nummer van de identiteitskaart van de betrokkene, indien de betrokkene daarover beschikt,

  d)      het volgnummer van het immuniteitscertificaat,

  e)      indien het een vaccinatiecertificaat betreft, de datum van de vaccinatie,

  f)      indien het een herstelcertificaat betreft, de geldigheidsduur van het herstelcertificaat,

  g)      een met behulp van IT-instrumenten optisch leesbare opslagcode gegenereerd uit de onder a) tot en met f) genoemde gegevens,

  h)      als tekstuele aanduiding:

  ha)      ‚Dit certificaat is geldig indien het samen met een identiteitsbewijs of een paspoort wordt getoond’

  hb)       ‚Niet overdraagbaar’

  hc)      ‚De aan dit certificaat verbonden rechten kunnen worden gecontroleerd op de website koronavirus.gov.hu’.”

• 19.

  Overeenkomstig § 2, leden 6 en 7, van regeringsbesluit 60/2021, wordt het immuniteitscertificaat door de dienst van afgifte ambtshalve of op verzoek afgegeven aan iedere natuurlijke persoon die gemachtigd is een dergelijk certificaat te ontvangen.

• 20.

  § 3, lid 3, van dat besluit bepaalt:

  „In het in § 2, lid 6, onder c) en d), bedoelde geval ontvangt de dienst van afgifte via automatische informatieoverdracht, zo nodig door tussenkomst van de betreffende afdeling van het bureau voor de elektronische organisatie,

  a)      van de exploitant van het [Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) (onlineplatform voor dienstverlening op het gebied van de gezondheidszorg)] het sociaalverzekeringsnummer van de betrokkene, de in § 2, lid 1, onder e) en g), en de in de eerste alinea genoemde gegevens;

  b)      van het orgaan dat het register van persoons‑ en adresgegevens beheert de naam, het paspoortnummer, het identiteitsbewijsnummer en het adres van betrokkene.”

 Hoofdgeding en prejudiciële vragen

• 21.

  UC, een natuurlijke persoon, ontving overeenkomstig regeringsbesluit 60/2021 van de dienst van afgifte een immuniteitscertificaat dat bevestigde dat hij tegen COVID‑19 gevaccineerd was.

• 22.

  Op 30 april 2021 heeft UC bij de nationale autoriteit een administratieve procedure met betrekking tot de verwerking van persoonsgegevens ingeleid door op grond van artikel 77, lid 1, AVG een klacht in te dienen teneinde de dienst van afgifte te gelasten zijn verwerkingen in overeenstemming te brengen met de bepalingen van de AVG. In zijn klacht heeft hij de dienst van afgifte onder meer verweten dat die geen verklaring betreffende de verwerking van persoonsgegevens in verband met de afgifte van de immuniteitscertificaten had opgesteld en gepubliceerd en dat er geen informatie was verstrekt over het doel en de rechtsgrondslag van de verwerking van die gegevens, noch over de rechten van de betrokkene en de wijze waarop deze konden worden uitgeoefend.

• 23.

  In de procedure die naar aanleiding van de ingediende klacht is ingeleid, heeft de dienst van afgifte verklaard dat hij zijn taken in verband met de afgifte van het immuniteitscertificaat overeenkomstig § 2 van regeringsbesluit 60/2021 heeft uitgevoerd en dat de rechtsgrondslag voor de verwerking van persoonsgegevens werd gevormd door artikel 6, lid 1, onder e), AVG, en in geval van de verwerking van bijzondere categorieën van persoonsgegevens artikel 9, lid 2, onder i), AVG.

• 24.

  Bovendien heeft de dienst van afgifte aangegeven de door hem verwerkte persoonsgegevens overeenkomstig de bepalingen van regeringsbesluit 60/2021 van een andere instantie te hebben verkregen. Op basis daarvan was die dienst krachtens artikel 14, lid 5, onder c), AVG naar eigen zeggen niet verplicht om informatie over de verwerking van die gegevens te verstrekken. Niettemin heeft hij de gevraagde verklaring inzake de bescherming van persoonsgegevens opgesteld en op zijn website gepubliceerd.

• 25.

  Bij besluit van 15 november 2021 heeft de nationale autoriteit het verzoek van UC afgewezen en is zij tot de slotsom gekomen dat er geen informatieplicht was voor de dienst van afgifte op grond dat de betrokken verwerking van persoonsgegevens onder de uitzondering van artikel 14, lid 5, onder c), AVG viel.

• 26.

  In het bijzonder heeft die autoriteit zich op het standpunt gesteld dat regeringsbesluit 60/2021 de rechtsgrondslag voor de verwerking vormde en dat dit besluit de dienst van afgifte uitdrukkelijk verplichtte om de betrokken gegevens te verzamelen. Volgens die autoriteit vormde de publicatie van informatie over de verwerking van persoonsgegevens door de dienst van afgifte op zijn website een goede praktijk en geen wettelijke verplichting.

• 27.

  Voorts heeft de nationale autoriteit ambtshalve onderzocht of er passende maatregelen waren genomen ter bescherming van de gerechtvaardigde belangen van de betrokkene in de zin van artikel 14, lid 5, onder c), tweede zinsdeel, AVG en was zij van mening dat de artikelen 2, 3 en 5 tot en met 7 van regeringsbesluit 60/2021 als dergelijke maatregelen moesten worden aangemerkt.

• 28.

  UC heeft tegen dit besluit van de autoriteit administratief beroep ingesteld bij de Fővárosi Törvényszék (rechtbank voor de agglomeratie Boedapest, Hongarije), die dat besluit nietig heeft verklaard en die autoriteit heeft gelast een nieuwe procedure in te leiden.

• 29.

  In zijn beslissing heeft die rechter geoordeeld dat de uitzondering van artikel 14, lid 5, onder c), AVG niet van toepassing was omdat bepaalde persoonsgegevens die in verband met de immuniteitscertificaten waren overgelegd, niet door de verwerkingsverantwoordelijke bij een ander orgaan werden verkregen maar door die verantwoordelijke zelf werden gegenereerd in het kader van de uitoefening van zijn taken. Volgens die rechter was dat meer bepaald het geval voor het volgnummer van het immuniteitscertificaat, de vervaldatum van het immuniteitscertificaat van een persoon die de ziekte heeft opgelopen, de QR‑code die op de kaart is vermeld, de streepjescode en overige alfanumerieke codes op de brief waarmee het immuniteitscertificaat wordt verzonden en de persoonsgegevens die worden gegenereerd door de dossierbeheerprocedure van de verwerkingsverantwoordelijke. Volgens diezelfde rechter konden alleen van een ander orgaan verkregen persoonsgegevens onder de uitzondering van artikel 14, lid 5, onder c), AVG vallen.

• 30.

  De nationale autoriteit heeft tegen die beslissing buitengewoon beroep ingesteld bij de Kúria (hoogste rechterlijke instantie, Hongarije), de verwijzende rechter.

• 31.

  In deze context vraagt deze rechter zich om te beginnen af of de uitzondering van artikel 14, lid 5, onder c), AVG van toepassing kan zijn op alle verwerkingen van persoonsgegevens, met uitzondering van die welke betrekking hebben op persoonsgegevens die van de betrokkene zijn verkregen.

• 32.

  Indien dat het geval is, vraagt die rechter zich af of de toezichthoudende autoriteit in het kader van een klachtenprocedure op grond van artikel 77, lid 1, AVG bevoegd is om met het oog op een uitspraak over de toepasselijkheid van die uitzondering na te gaan of het nationale recht van de verwerkingsverantwoordelijke voorziet in passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene.

• 33.

  Indien dat het geval is, wenst de verwijzende rechter ten slotte te vernemen of dit onderzoek ook betrekking heeft op de vraag of de maatregelen die de verwerkingsverantwoordelijke krachtens artikel 32 AVG moet nemen om de veiligheid van de verwerking van persoonsgegevens te waarborgen, passend zijn.

• 34.

  In die omstandigheden heeft de Kúria de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

  „1)      Moet artikel 14, lid 5, onder c), [AVG], gelezen in samenhang met artikel 14, lid 1, en overweging 62 AVG, aldus worden uitgelegd dat de uitzondering van artikel 14, lid 5, onder c), AVG niet van toepassing is op gegevens die door de verwerkingsverantwoordelijke in het kader van de eigen procedure worden gegenereerd, maar uitsluitend op gegevens die de verwerkingsverantwoordelijke uitdrukkelijk van derden heeft verkregen?

  2)      Indien artikel 14, lid 5, onder c), AVG ook van toepassing is op gegevens die door de verwerkingsverantwoordelijke in het kader van de eigen procedure worden gegenereerd, moet artikel 77, lid 1, AVG, dat het recht regelt om een klacht in te dienen bij een toezichthoudende autoriteit, dan aldus worden uitgelegd dat de natuurlijke persoon die stelt dat de informatieplicht niet is nagekomen, in het kader van de uitoefening van zijn recht om een klacht in te dienen ook kan laten onderzoeken of het in artikel 14, lid 5, onder c), AVG bedoelde lidstatelijke recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen?

  3)      Indien de tweede vraag bevestigend wordt beantwoord, kan artikel 14, lid 5, onder c), AVG dan aldus worden uitgelegd dat de daarin genoemde ‚passende maatregelen’ inhouden dat de wetgever van de lidstaat geacht wordt de in artikel 32 AVG bedoelde maatregelen met het oog op de beveiliging van de verwerking (wettelijk) vast te leggen?”

• 35.

  Op 16 januari 2024 heeft het Hof de in artikel 23 van het Statuut van het Hof van Justitie van de Europese Unie bedoelde partijen en belanghebbenden overeenkomstig artikel 61 van het Reglement voor de procesvoering van het Hof verzocht bepaalde vragen schriftelijk te beantwoorden. Verzoekster en verweerster in het hoofdgeding, de Hongaarse en de Tsjechische regering, en de Europese Commissie hebben die vragen beantwoord.

 Eerste vraag

• 36.

  Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 14, lid 5, onder c), AVG aldus moet worden uitgelegd dat de in die bepaling neergelegde uitzondering op de verplichting van de verwerkingsverantwoordelijke om informatie te verstrekken aan de betrokkene alleen geldt voor persoonsgegevens die de verwerkingsverantwoordelijke heeft verkregen van een derde dan wel aldus dat die uitzondering ook geldt voor persoonsgegevens die werden gegenereerd door de verwerkingsverantwoordelijke zelf in het kader van de uitoefening van zijn taken.

• 37.

  Artikel 14, leden 1, 2 en 4, van die verordening bepaalt welke informatie de verwerkingsverantwoordelijke aan de betrokkene in de zin van artikel 4, punt 1, van die verordening moet verstrekken wanneer de persoonsgegevens niet van die persoon zijn verkregen.

• 38.

  Artikel 14, lid 5, van die verordening vermeldt de uitzonderingen op die verplichting. Een van deze uitzonderingen is volgens lid 5, onder c), dat die verplichting niet van toepassing is indien en voor zover het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven in het Unierecht of het lidstatelijke recht dat op de verwerkingsverantwoordelijke van toepassing is en dat voorziet in passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene.

• 39.

  Om uit te maken of deze uitzondering betrekking heeft op persoonsgegevens die worden gegenereerd door de verwerkingsverantwoordelijke zelf in het kader van de uitoefening van zijn taken op basis van gegevens die van een derde zijn verkregen, moet volgens vaste rechtspraak niet alleen rekening worden gehouden met de bewoordingen van de bepaling waarin de uitzondering is opgenomen, maar ook met de context van die bepaling en met de doelstellingen van de regeling waarvan zij deel uitmaakt (zie in die zin arrest van 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punt 32 en aldaar aangehaalde rechtspraak).

• 40.

  In de eerste plaats moet, gelet op de bewoordingen van artikel 14, lid 5, onder c), AVG, worden bepaald wat het voorwerp is van het in die bepaling bedoelde „verkrijgen of verstrekken”.

• 41.

  Ten eerste bestaat er namelijk een verschil tussen de verschillende taalversies van die bepaling. De Franse taalversie van de bepaling verwijst naar het verkrijgen of verstrekken van „informatie”, terwijl om te beginnen de Hongaarse („adat”), de Estse („isikuandmed”), de Kroatische („podataka”), de Litouwse („duomenų”), de Nederlandse („gegevens”), de Portugese („dados”), de Roemeense („datelor”) en de Zweedse („uppgifter”) taalversie verwijzen naar het verkrijgen of verstrekken van „gegevens”. Voorts bevat de Finse taalversie een term („tietojen”) die zowel kan slaan op „gegevens” als op „informatie”. Ten slotte vermelden de Bulgaarse, de Spaanse, de Tsjechische, de Deense, de Duitse, de Griekse, de Engelse, de Italiaanse, de Letse, de Maltese, de Poolse, de Slowaakse en de Sloveense taalversie niet het voorwerp van de verkrijging of verstrekking.

• 42.

  Volgens vaste rechtspraak kan de in een van de taalversies van een Unierechtelijke bepaling gebruikte formulering niet als enige grondslag voor de uitlegging van die bepaling dienen of voorrang hebben boven de andere taalversies. Unierechtelijke bepalingen moeten immers eenvormig worden uitgelegd en toegepast in het licht van de tekst in alle talen van de Unie. Wanneer er verschillen zijn tussen de taalversies van een Unierechtelijke bepaling, moet bij de uitlegging ervan worden gelet op de algemene opzet en de doelstelling van de regeling waarvan zij een onderdeel vormt (arrest van 21 maart 2024, Cobult, C‑76/23, EU:C:2024:253, punt 25 en aldaar aangehaalde rechtspraak).

• 43.

  Wat de algemene opzet van de AVG betreft, moet artikel 14, lid 5, van die verordening worden gelezen in het licht van de overwegingen 61 en 62 ervan, die ten eerste verwijzen naar „[persoons]gegevens [die] zijn verkregen en [...] persoonsgegevens [die] worden verstrekt” en „de registratie of mededeling van persoonsgegevens [die] uitdrukkelijk bij wet is voorgeschreven” en, ten tweede, naar de „informatie [...] die wordt verstrekt of de te verstrekken informatie”. De uitlegging volgens welke „het verkrijgen of verstrekken” in de zin van artikel 14, lid 5, onder c), AVG betrekking heeft op persoonsgegevens, wordt bovendien bevestigd door de ruime draagwijdte van het begrip „verwerking” in de zin van artikel 4, punt 2, AVG, dat elke bewerking met betrekking tot persoonsgegevens omvat [zie in die zin arrest van 5 oktober 2023, Ministerstvo zdravotnictví (Mobiele applicatie COVID‑19), C‑659/22, EU:C:2023:745, punt 27 en aldaar aangehaalde rechtspraak].

• 44.

  Wat de doelstelling betreft van de regeling waarvan artikel 14, lid 5, onder c), AVG deel uitmaakt, volstaat het om op te merken – zoals de advocaat-generaal in punt 31 van haar conclusie heeft gedaan – dat de ratio legis van die uitzondering erin bestaat dat de bij artikel 14, leden 1, 2 en 4, van die verordening opgelegde verplichting om informatie te verstrekken aan de betrokkene niet gerechtvaardigd is wanneer een andere bepaling van het Unierecht of het lidstatelijke recht de verwerkingsverantwoordelijke op voldoende volledige en bindende wijze verplicht om die persoon informatie te verstrekken over het verkrijgen of verstrekken van persoonsgegevens. In het geval dat onder artikel 14, lid 5, onder c), valt, moeten de betrokkenen immers voldoende kennis hebben van de wijze waarop en de doeleinden waarvoor die gegevens zijn verkregen of verstrekt.

• 45.

  Bijgevolg moet gelet op de bewoordingen in alle taalversies van artikel 14, lid 5, onder c), AVG worden geoordeeld dat deze bepaling aldus moet worden opgevat dat zij verwijst naar het verkrijgen of verstrekken van persoonsgegevens.

• 46.

  Ten tweede moet worden vastgesteld dat de bewoordingen van artikel 14, lid 5, onder c), AVG de daarin opgenomen uitzondering niet beperken tot persoonsgegevens die de verwerkingsverantwoordelijke van een derde heeft verkregen en evenmin de gegevens uitsluit die op basis van dergelijke gegevens worden gegenereerd door de verwerkingsverantwoordelijke zelf in het kader van de uitoefening van zijn taken.

• 47.

  Hieruit volgt dat de persoonsgegevens die door de verwerkingsverantwoordelijke zijn „verkregen” in de zin van die bepaling, alle gegevens zijn die hij van een derde verkrijgt alsook die welke hij zelf heeft gegenereerd in het kader van de uitoefening van zijn taak op basis van gegevens die hij van een derde heeft verkregen.

• 48.

  In de tweede plaats moet worden opgemerkt dat de materiële werkingssfeer van artikel 14 AVG in vergelijking met artikel 13 van die verordening op een negatieve manier wordt gedefinieerd. Zoals blijkt uit de opschriften zelf van die bepalingen, heeft artikel 13 betrekking op de informatie die moet worden verstrekt wanneer persoonsgegevens bij de betrokkene worden verkregen, terwijl artikel 14 betrekking heeft op de informatie die moet worden verstrekt wanneer de persoonsgegevens niet bij de betrokkene zijn verkregen. Gelet op die tweedeling vallen alle gevallen waarin de gegevens niet bij de betrokkene worden verkregen, onder het materiële toepassingsgebied van artikel 14 AVG.

• 49.

  Bijgevolg volgt uit de gezamenlijke lezing van de artikelen 13 en 14 AVG dat zowel de persoonsgegevens die de verwerkingsverantwoordelijke van een derde heeft verkregen als de door de verwerkingsverantwoordelijke zelf gegenereerde gegevens, die per definitie evenmin van de betrokkene zijn verkregen, binnen de werkingssfeer van artikel 14 vallen. Hieruit volgt dat de in artikel 14, lid 5, onder c), opgenomen uitzondering betrekking heeft op die twee categorieën gegevens.

• 50.

  In de derde plaats moet artikel 14, lid 5, onder c), AVG worden uitgelegd in lijn met de door die verordening nagestreefde doelstelling die – zoals blijkt uit artikel 1 ervan, gelezen in samenhang met overwegingen 1 en 10 – met name bestaat in het waarborgen van een hoog niveau van bescherming van de fundamentele vrijheden en de grondrechten van natuurlijke personen, in het bijzonder van hun in artikel 8, lid 1, van het Handvest van de grondrechten en artikel 16, lid 1, VWEU erkende recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens (zie in die zin arrest van 7 maart 2024, IAB Europe, C‑604/22, EU:C:2024:214, punt 53 en aldaar aangehaalde rechtspraak).

• 51.

  In dat verband blijkt uit overweging 63 AVG dat de Uniewetgever heeft gewild dat een betrokkene in de zin van die verordening het recht heeft om de persoonsgegevens die over hem zijn verzameld in te zien, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren.

• 52.

  Zo kan de verwerkingsverantwoordelijke worden vrijgesteld van de informatieplicht die normaliter op hem rust jegens een betrokkene op voorwaarde dat die persoon in staat is zijn persoonsgegevens te controleren en de hem door de AVG verleende rechten uit te oefenen.

• 53.

  Overeenkomstig de door die verordening nagestreefde doelstelling vereist de in artikel 14, lid 5, onder c), AVG neergelegde uitzondering op de informatieplicht ten eerste dat het verkrijgen of het verstrekken van de persoonsgegevens door de verwerkingsverantwoordelijke uitdrukkelijk is voorgeschreven bij het Unie‑ of lidstatelijke recht dat van toepassing is op de verwerkingsverantwoordelijke. Ten tweede moet dat recht voorzien in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen.

• 54.

  Hieruit volgt dat om volledig in overeenstemming te zijn met de door de AVG nagestreefde doelstelling, de toepassing van artikel 14, lid 5, onder c), van die verordening onderworpen is aan de strikte naleving van de voorwaarden van die bepaling, te weten, met name, het bestaan van een niveau van bescherming van de betrokkene dat ten minste gelijkwaardig is aan dat van artikel 14, leden 1 tot en met 4, van die verordening.

• 55.

  Gelet op het voorgaande dient op de eerste vraag te worden geantwoord dat artikel 14, lid 5, onder c), AVG aldus moet worden uitgelegd dat de in die bepaling neergelegde uitzondering op de verplichting van de verwerkingsverantwoordelijke om informatie te verstrekken aan de betrokkene, zonder onderscheid geldt voor alle persoonsgegevens die de verwerkingsverantwoordelijke niet rechtstreeks bij de betrokkene heeft verkregen, ongeacht of die gegevens zijn verkregen van een derde dan wel gegenereerd zijn door de verwerkingsverantwoordelijke zelf in het kader van de uitoefening van zijn taken.

 Tweede en derde vraag

• 56.

  Met zijn tweede en zijn derde vraag die samen dienen te worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of artikel 14, lid 5, onder c), en artikel 77, lid 1, AVG aldus moeten worden uitgelegd dat de toezichthoudende autoriteit in het kader van een klachtenprocedure bevoegd is om te onderzoeken of, met het oog op de toepassing van de in artikel 14, lid 5, onder c), van de verordening neergelegde uitzondering, het lidstatelijke recht dat van toepassing is op de verwerkingsverantwoordelijke voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, en indien dat het geval is, of dat onderzoek ook de beoordeling omvat van het passende karakter van de maatregelen die de verwerkingsverantwoordelijk krachtens artikel 32 van die verordening moet treffen om de beveiliging van de verwerking van persoonsgegevens te waarborgen.

• 57.

  In de eerste plaats moet eraan worden herinnerd dat volgens artikel 77, lid 1, AVG iedere betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op die verordening.

• 58.

  Aangaande de bevoegdheid van de toezichthoudende autoriteiten, bepaalt artikel 55, lid 1, van die verordening dat elke toezichthoudende autoriteit op het grondgebied van haar lidstaat de competentie heeft om de haar bij deze verordening opgedragen taken uit te voeren en de haar toegekende bevoegdheden uit te oefenen.

• 59.

  Wat die taken betreft bepaalt artikel 57, lid 1, onder a), AVG dat elke toezichthoudende autoriteit op haar grondgebied de toepassing van die verordening monitort en handhaaft.

• 60.

  De AVG bevat geen bepaling die bepaalde aspecten van de toepassing van de in artikel 14, lid 5, onder c), opgenomen uitzondering onttrekt aan de competentie van die toezichthoudende autoriteiten.

• 61.

  Krachtens die bepaling is de verwerkingsverantwoordelijke vrijgesteld van het verstrekken aan de betrokkene van de in artikel 14, leden 1, 2 en 4, AVG bedoelde informatie indien en voor zover het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie‑ of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen.

• 62.

  Derhalve kan een klacht op grond van artikel 77, lid 1, AVG worden gebaseerd op een schending van de informatieplicht door de verwerkingsverantwoordelijke wegens niet-naleving van de toepassingsvoorwaarden van de uitzondering van artikel 14, lid 5, onder c), van die verordening.

• 63.

  Met betrekking tot de in punt 61 van het onderhavige arrest in herinnering gebrachte eerste voorwaarde, moet de toezichthoudende autoriteit waarbij een dergelijke klacht is ingediend mogelijk nagaan of het Unie‑ of lidstatelijke recht bepaalt dat de verwerkingsverantwoordelijke persoonsgegevens moet verkrijgen of verstrekken.

• 64.

  Met betrekking tot de tweede voorwaarde moet met de advocaat-generaal in de punten 67 en 69 van haar conclusie worden vastgesteld dat de draagwijdte van de uitdrukking „passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen” in de AVG niet nader wordt uitgelegd. Niettemin moeten de Unierechtelijke of lidstaatrechtelijke bepalingen die in dergelijke maatregelen voorzien en die van toepassing zijn op de verwerkingsverantwoordelijke – zoals in punt 54 van het onderhavige arrest is opgemerkt – de betrokkene bij de verwerking van zijn persoonsgegevens een niveau van bescherming waarborgen dat ten minste gelijkwaardig is aan dat van artikel 14, leden 1 tot en met 4, van die verordening. Die bepalingen moeten de betrokkene dus in staat stellen controle uit te oefenen op zijn persoonsgegevens en de hem door de AVG verleende rechten uit te oefenen.

• 65.

  In dat verband is het meer bepaald van belang dat die bepalingen op duidelijke en voorzienbare wijze aangeven uit welke bron de betrokkene informatie zal verkrijgen over de verwerking van hem betreffende persoonsgegevens.

• 66.

  In het kader van de doorzending van persoonsgegevens tussen organen van een lidstaat en het genereren van dergelijke gegevens door een verwerkingsverantwoordelijke op basis van de van een derde verkregen gegevens, moet worden opgemerkt dat het in geval van een klacht door de betrokkene aan de toezichthoudende autoriteit staat om met name na te gaan of het toepasselijke nationale recht of het relevante Unierecht de verschillende soorten persoonsgegevens die moeten worden verkregen of verstrekt en de persoonsgegevens die de verwerkingsverantwoordelijke in het kader van de uitoefening van zijn taken kan genereren voldoende nauwkeurig omschrijft, en of dat recht bepaalt op welke wijze de betrokkene daadwerkelijk inzage heeft in de in artikel 14, leden 1, 2 en 4, AVG bedoelde informatie.

• 67.

  Zoals de Commissie in haar schriftelijke opmerkingen benadrukt, komt de controle door een toezichthoudende autoriteit van de vraag of aan alle toepassingsvoorwaarden van de uitzondering van artikel 14, lid 5, onder c), AVG is voldaan, niet neer op een onderzoek van de geldigheid van de relevante bepalingen van nationaal recht. Die autoriteit spreekt zich enkel uit over de vraag of de verwerkingsverantwoordelijke in een bepaald geval al dan niet het recht heeft om zich jegens de betrokkene te beroepen op de in die bepaling neergelegde uitzondering.

• 68.

  Wat de uitkomst van een dergelijke controle betreft, zij eraan herinnerd dat wanneer de toezichthoudende autoriteit in een bepaald geval besluit dat de klacht van de betrokkene ongegrond is, die betrokkene krachtens artikel 78 van die verordening in zijn lidstaat het recht moet hebben op een doeltreffende voorziening in rechte tegen dat afwijzende besluit.

• 69.

  Wanneer die autoriteit echter van oordeel is dat de klacht gegrond is en dat niet aan de toepassingsvoorwaarden van de in artikel 14, lid 5, onder c), neergelegde uitzondering is voldaan, gelast zij de verwerkingsverantwoordelijke om de informatie overeenkomstig artikel 14, leden 1, 2 en 4, van die verordening aan de betrokkene te verstrekken.

• 70.

  In de tweede plaats moet met betrekking tot de vraag of die controle ook betrekking moet hebben op de vraag of de maatregelen die de verwerkingsverantwoordelijke moet nemen om de beveiliging van de verwerking te waarborgen in het licht van artikel 32 AVG passend zijn, worden benadrukt dat artikel 14, lid 5, onder c), van die verordening uitsluitend voorziet in een uitzondering op de in artikel 14, leden 1, 2 en 4, van die verordening neergelegde informatieplicht, zonder te voorzien in een afwijking van de verplichtingen die zijn opgenomen in andere bepalingen van die verordening, waaronder artikel 32 van die verordening.

• 71.

  Artikel 32 AVG verplicht de verwerkingsverantwoordelijke en zijn eventuele verwerker om passende technische en organisatorische maatregelen te treffen om een passend niveau van beveiliging van de verwerking van persoonsgegevens te waarborgen. De geschiktheid van dergelijke maatregelen moet concreet worden beoordeeld, rekening houdend met de risico’s in verband met de betrokken verwerking en door te beoordelen of de aard, de inhoud en de wijze van uitvoering zijn afgestemd op die risico’s (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punten 42, 46 en 47, en 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punten 37 en 38).

• 72.

  Gelet op de respectieve bewoordingen van die twee bepalingen moet worden opgemerkt dat de in artikel 32 AVG neergelegde verplichtingen, die hoe dan ook moeten worden nagekomen ongeacht of er al dan niet sprake is van een informatieplicht op grond van artikel 14 AVG, naar hun aard en omvang verschillen van de informatieplicht van dat artikel 14.

• 73.

  In geval van een klacht uit hoofde van artikel 77, lid 1, AVG, op grond dat de verwerkingsverantwoordelijke zich ten onrechte heeft beroepen op de uitzondering van artikel 14, lid 5, onder c), van die verordening, wordt het voorwerp van de door de toezichthoudende autoriteit uit te voeren controle alleen afgebakend door de werkingssfeer van artikel 14 van die verordening en maakt de naleving van artikel 32 van die verordening geen deel uit van die controle.

• 74.

  Gelet op een en ander moet op de tweede en de derde vraag worden geantwoord dat artikel 14, lid 5, onder c), en artikel 77, lid 1, AVG aldus moeten worden uitgelegd dat de toezichthoudende autoriteit in het kader van een klachtenprocedure bevoegd is om te onderzoeken of, met het oog op de toepassing van de in artikel 14, lid 5, onder c), van de verordening neergelegde uitzondering, het lidstatelijke recht dat van toepassing is op de verwerkingsverantwoordelijke voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen. Dat onderzoek omvat evenwel niet de beoordeling van het passende karakter van de maatregelen die de verwerkingsverantwoordelijke krachtens artikel 32 van die verordening moet treffen om de beveiliging van de verwerking van persoonsgegevens te waarborgen.

 Kosten

• 75.

  Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

  Het Hof (Derde kamer) verklaart voor recht:

  1)      Artikel 14, lid 5, onder c), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming),

  moet aldus worden uitgelegd dat

  de in die bepaling neergelegde uitzondering op de verplichting van de verwerkingsverantwoordelijke om informatie te verstrekken aan de betrokkene, zonder onderscheid geldt voor alle persoonsgegevens die de verwerkingsverantwoordelijke niet rechtstreeks bij de betrokkene heeft verkregen, ongeacht of die gegevens zijn verkregen van een derde dan wel gegenereerd zijn door de verwerkingsverantwoordelijke zelf in het kader van de uitoefening van zijn taken.

  2)      Artikel 14, lid 5, onder c), en artikel 77, lid 1, van verordening 2016/679,

  moeten aldus worden uitgelegd dat

  de toezichthoudende autoriteit in het kader van een klachtenprocedure bevoegd is om te onderzoeken of, met het oog op de toepassing van de in artikel 14, lid 5, onder c), van de verordening neergelegde uitzondering, het lidstatelijke recht dat van toepassing is op de verwerkingsverantwoordelijke voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen. Dat onderzoek omvat evenwel niet de beoordeling van het passende karakter van de maatregelen die de verwerkingsverantwoordelijke krachtens artikel 32 van die verordening moet treffen om de beveiliging van de verwerking van persoonsgegevens te waarborgen.

  ondertekeningen

  *      Procestaal: Hongaars.

  i      Dit is een fictieve naam, die niet overeenkomt met de werkelijke naam van enige partij in de procedure.