–

за Digi Távközlési és Szolgáltató Kft., от R. Hatala и A. D. László, ügyvédek,

–

за Nemzeti Adatvédelmi és Információszabadság Hatóság, от G. Barabás, юрисконсулт, подпомаган от G. J. Dudás и Á. Hargita, ügyvédek,

–

за унгарското правителство, от Zs. Biró-Tóth и M. Z. Fehér, в качеството на представители,

–

за чешкото правителство, от T. Machovičová, M. Smolek и J. Vláčil, в качеството на представители,

–

за португалското правителство, от P. Barros da Costa, L. Inez Fernandes, I. Oliveira, J. Ramos и C. Vieira Guerra, в качеството на представители,

–

за Европейската комисия, от V. Bottka и H. Kranenborg, в качеството на представители,

1

Преюдициалното запитване се отнася до тълкуването на член 5, параграф 1, букви б) и д) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2).

2

Запитването е отправено в рамките на спор между Digi Távközlési és Szolgáltató Kft. (наричано по-нататък „Digi“), един от основните доставчици на интернет и телевизия в Унгария, и Nemzeti Adatvédelmi és Információszabadság Hatóság (Национален орган за защита на данните и свободата на информация, Унгария) (наричан по-нататък „органът за защита на данните“) във връзка с нарушение на сигурността на лични данни, съдържащи се в база данни на Digi.

3

Съображения 10 и 50 от Директива 2016/679 гласят:

[…]

4

Член 4 („Определения“) от Регламент 2016/679 гласи:

„За целите на настоящия регламент:

[…]

[…]“.

5

Съгласно член 5 („Принципи, свързани с обработването на лични данни“) от този регламент:

„1.   Личните данни са:

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

6

Член 6 („Законосъобразност на обработването“) от посочения регламент предвижда:

„1.   Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

[…]

4.   Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание:

7

Digi е един от основните доставчици на интернет и телевизия в Унгария.

8

През април 2018 г. вследствие на техническа неизправност, която засяга функционирането на сървър, Digi създава база данни с названието „test“ (наричана по-нататък „тестовата база данни“), в която копира личните данни на приблизително една трета от частните си клиенти. Тези данни са съхранявани в друга база данни с названието „digihu“, имаща връзка със сайта www.digi.hu и съдържаща актуализираните данни на лицата, които са се регистрирали, за да получат информационния бюлетин на Digi за целите на директния маркетинг, както и данните на системните администратори, даващи достъп до интерфейса на сайта.

9

На 23 септември 2019 г. Digi узнава, че „етичен хакер“ е осъществил достъп до държаните от него лични данни на приблизително 322000 лица. За този достъп Digi е уведомено от самия „етичен хакер“, който изпраща като доказателство запис от тестовата база данни. Digi отстранява недостатъка, позволил осъществяването на достъпа, сключва споразумение за поверителност с етичния хакер и му дава възнаграждение.

10

След като премахва тестовата база данни, на 25 септември 2019 г. Digi уведомява органа за защита на данните, който впоследствие започва разследване.

11

С решение от 18 май 2020 г. органът за защита на данните по-специално заключава, че Digi е нарушило член 5, параграф 1, букви б) и д) от Регламент 2016/679, тъй като, след като е провело необходимите тестове и е отстранило недостатъка, не е премахнало незабавно тестовата база данни, поради което в продължение близо на 18 месеца голямо количество лични данни са били без никаква цел съхранявани в тази база данни, в регистър, позволяващ идентифицирането на субектите на данни. Поради това органът за защита на данните задължава Digi да провери всичките си бази данни и му налага глоба в размер на 100000000 HUF (унгарски форинта) (около 248000 EUR).

12

Digi оспорва законосъобразността на това решение пред запитващата юрисдикция.

13

Последната отбелязва, че личните данни, копирани от Digi в тестовата база данни, са били събрани за целите на сключването и изпълнението на абонаментни договори и че законосъобразността на първоначалното събиране на личните данни не се оспорва от органа за защита на данните. Тя иска обаче да установи дали копирането в друга база данни на първоначално събраните данни е довело до промяна на целта на първоначалното им събиране и обработване. Добавя, че следва също така да се определи дали създаването на тестова база данни и по-нататъшното, в тази друга база, обработване на данните на клиентите са съвместими с целите на първоначалното им събиране. Запитващата юрисдикция счита, че принципът на „ограничение на целите“, закрепен в член 5, параграф 1, буква б) от Регламент 2016/679, не ѝ позволява да определя вътрешните системи, в които администраторът има право да обработва законосъобразно събраните данни, нито да установи дали последният може да копира тези данни в тестова база данни, без да променя целта на първоначалното им събиране.

14

В случай че създаването на тестова база данни е несъвместимо с целта на първоначалното събиране, запитващата юрисдикция иска също да установи дали, щом като целта на обработването на данните на абонатите в друга база данни е не да се поправят грешки, а да се сключват договори, периодът на съхранение трябва по силата на съдържащия се в член 5, параграф 1, буква д) от Регламент 2016/679 принцип на „ограничение на съхранението“ да съответства на периода, необходим за отстраняването на грешките, или пък да съответства на периода, необходим за изпълнението на договорните задължения.

15

При тези обстоятелства Fővárosi Törvényszék (Будапещенски градски съд, Унгария) решава да спре производството и да постави на Съда следните преюдициални въпроси:

16

Органът за защита на данните и унгарското правителство изразяват съмнения относно допустимостта на преюдициалните въпроси, тъй като същите не съответствали на фактите по главното производство и не били от пряко значение за разрешаването на спора.

17

В това отношение, на първо място, следва да се припомни, че съгласно постоянната практика на Съда само националният съд, който е сезиран със спора и трябва да поеме отговорността за последващото му съдебно решаване, може да прецени — предвид особеностите на делото — както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда. Следователно, щом като тези въпроси се отнасят до тълкуването или валидността на норма от правото на Съюза, Съдът по принцип е длъжен да се произнесе. Оттук следва, че поставените от националните юрисдикции въпроси се ползват с презумпция за релевантност. Съдът може да откаже да се произнесе по отправеното от национална юрисдикция преюдициално запитване само ако е видно, че исканото тълкуване няма никаква връзка с действителността или с предмета на спора в главното производство, ако проблемът е от хипотетично естество или още ако Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на посочените въпроси (решение от 16 юли 2020 г., Facebook Ireland и Schrems, C‑311/18, EU:C:2020:559, т. 73 и цитираната съдебна практика).

18

В случая запитващата юрисдикция е сезирана с жалба за отмяна на решение, с което Digi в качеството му на администратор е санкционирано за това, че е нарушило принципа на „ограничение на целите“ и принципа на „ограничение на съхранението“, предвидени съответно в член 5, параграф 1, букви б) и д) от Регламент 2016/679, тъй като не е премахнало база данни, съдържаща лични данни, позволяващи идентифицирането на субекти на данни. Преюдициалните въпроси обаче се отнасят именно до тълкуването на тези разпоредби, така че не може да се приеме, че исканото тълкуване на правото на Съюза няма връзка с действителността или с предмета на спора по главното производство или е от хипотетично естество. Освен това актът за преюдициално запитване съдържа достатъчно данни от фактическа и правна страна, за да се даде полезен отговор на поставените от запитващата юрисдикция въпроси.

19

На второ място, важно е да се припомни, че в рамките на производството по член 267 ДФЕС, основано на ясно разделение на правомощията между националните юрисдикции и Съда, само националният съд е компетентен да тълкува и прилага разпоредбите на националното право, докато Съдът е оправомощен единствено да се произнася по тълкуването или валидността на акт на Съюза с оглед на фактите, които са му посочени от националната юрисдикция (решение от 5 май 2022 г., Zagrebačka banka, C‑567/20, EU:C:2022:352, т. 45 и цитираната съдебна практика).

20

Ето защо следва да се отхвърлят доводите за недопустимост на преюдициалното запитване, които органът за защита на данните и унгарското правителство извеждат по същество от това, че според тях преюдициалните въпроси не съответстват на фактите по спора в главното производство.

21

Следователно преюдициалните въпроси са допустими.

22

С първия си въпрос запитващата юрисдикция по същество иска да установи дали член 5, параграф 1, буква б) от Регламент 2016/679 трябва да се тълкува в смисъл, че предвиденият в него принцип на „ограничение на целите“ не допуска администраторът да записва и съхранява в база данни, създадена за провеждането на тестове и отстраняването на грешки, лични данни, събрани и съхранявани преди това в друга база данни.

23

Съгласно постоянната съдебна практика при тълкуването на разпоредба от правото на Съюза е необходимо да се вземат предвид не само нейният текст, но и контекстът, в който тя се вписва, и целите и задачите на акта, от който тя е част (решение от 1 август 2022 г., HOLD Alapkezelő, C‑352/20, EU:C:2022:606, т. 42 и цитираната съдебна практика).

24

В това отношение, на първо място, следва да се отбележи, че член 5, параграф 1 от Регламент 2016/679 определя свързаните с обработването на лични данни принципи, които обвързват администратора и чието спазване същият трябва да е в състояние да докаже в съответствие с принципа на отчетност, закрепен в параграф 2 от този член.

25

По-специално, съгласно член 5, параграф 1, буква б) от този регламент, който закрепва принципа на „ограничение на целите“, личните данни трябва, от една страна, да се събират за конкретни, изрично указани и легитимни цели, и от друга страна, да не се обработват по-нататък по начин, несъвместим с тези цели.

26

Така от текста на тази разпоредба е видно, че тя съдържа две изисквания, едното свързано с целите на първоначалното събиране на лични данни, а другото — с по-нататъшното обработване на тези данни.

27

Що се отнася, първо, до изискването личните данни да се събират за конкретни, изрично указани и легитимни цели, от практиката на Съда следва, че то предполага, най-напред, целите на обработването да бъдат определени най-късно към момента на събирането на личните данни, по-нататък, целите на това обработване да бъдат ясно посочени, и накрая, целите на въпросното обработване да гарантират по-специално законосъобразността му по смисъла на член 6, параграф 1 от Регламент 2016/679 (вж. в този смисъл решение от 24 февруари 2022 г., Valsts ieņēmumu dienests (Обработка на лични данни за данъчни цели), C‑175/20, EU:C:2022:124, т. 64—66).

28

В случая от текста на първия въпрос и от мотивите на акта за преюдициално запитване е видно, че процесните лични данни са събрани за конкретни, изрично указани и легитимни цели, като запитващата юрисдикция уточнява освен това, че събирането на тези данни е извършено за целите на сключването и изпълнението от Digi на абонаментни договори с клиентите му в съответствие с член 6, параграф 1, буква б) от Регламент 2016/679.

29

Що се отнася, второ, до изискването личните данни да не се обработват по-нататък по начин, несъвместим с тези цели, следва да се отбележи, от една страна, че записването и съхраняването от администратора в новосъздадена база данни на лични данни, съхранявани в друга база данни, представлява „по-нататъшно обработване“ на тези данни.

30

Всъщност понятието „обработване“ е дефинирано широко в член 4, точка 2 от Регламент 2016/679 като обхващащо всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства, например събирането, записването и съхранението на тези данни.

31

Освен това в съответствие с обичайното значение в общоупотребимия език на думата „по-нататъшно“ всяко обработване на лични данни след първоначалното обработване, тоест след първоначалното събиране на тези данни, представлява „по-нататъшното“ им обработване, независимо от целта на това по-нататъшно обработване.

32

От друга страна, следва да се отбележи, че член 5, параграф 1, буква б) от Регламент 2016/679 не съдържа указания относно условията, при които по-нататъшното обработване на лични данни може да се счита за съвместимо с целите на първоначалното събиране на тези данни.

33

Контекстът, в който се вписва тази разпоредба, все пак дава, на второ място, полезни уточнения в това отношение.

34

Всъщност от тълкуването на член 5, параграф 1, буква б), член 6, параграф 1, буква а) и член 6, параграф 4 от Регламент 2016/679 във връзка едни с други следва, че въпросът за съвместимостта на по-нататъшното обработване на лични данни с целите, за които първоначално са били събрани тези данни, се поставя само в хипотезата, при която целите на по-нататъшното обработване не са еднакви с целите на първоначалното събиране.

35

Освен това от споменатия член 6, параграф 4, тълкуван във връзка със съображение 50 от посочения регламент, е видно, че когато обработването за други цели, различни от тези, за които са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, за да се определи дали обработването за други цели е съвместимо с целта, за която първоначално са били събрани личните данни, следва да се вземат под внимание, наред с другото, първо, всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване; второ, контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора; трето, естеството на личните данни; четвърто, възможните последствия от предвиденото по-нататъшно обработване за субектите на данните, и накрая, пето, наличието на подходящи гаранции във връзка както с първоначалното, така и с предвиденото по-нататъшно обработване.

36

Както по същество отбелязва генералният адвокат в точки 28, 59 и 60 от заключението си, тези критерии отразяват необходимостта от конкретна, логическа и достатъчно тясна връзка между целите на първоначалното събиране на личните данни и по-нататъшното им обработване и позволяват да се гарантира, че това по-нататъшно обработване не се отдалечава от оправданите правни очаквания на абонатите, що се отнася до по-нататъшното използване на техните данни.

37

Освен това, на трето място, тези критерии позволяват, както подчертава генералният адвокат по същество в точка 27 от заключението си, да се рамкира повторното използване на по-рано събрани лични данни, като се осигури баланс между, от една страна, необходимостта от предвидимост и правна сигурност, що се отнася до целите на обработването на по-рано събраните лични данни, и от друга страна, признаването на известна гъвкавост в полза на администратора при управлението на тези данни, и съответно допринасят за постигането на посочената в съображение 10 от Регламент 2016/679 цел да се гарантира последователно и високо ниво на защита на физическите лица.

38

Задача съответно на националната юрисдикция е, като има предвид критериите, посочени в точка 35 от настоящото решение, и всички конкретни обстоятелства по случая, да определи както целите на първоначалното събиране на личните данни, така и целите на по-нататъшното обработване на тези данни, а ако целите на по-нататъшното им обработване се различават от целите на събирането им — да провери дали по-нататъшното обработване на въпросните данни е съвместимо с целите на първоначалното им събиране.

39

Съдът все пак може, с решението по преюдициалното запитване, да даде пояснения с цел да насочи националната юрисдикция при произнасянето ѝ (вж. в този смисъл решение от 7 април 2022 г., Fuhrmann-2, C‑249/21, EU:C:2022:269, т. 32).

40

В случая, първо, както в точка 13 от настоящото решение бе припомнено, от акта за преюдициално запитване е видно, че личните данни първоначално са били събрани от администратора Digi за целите на сключването и изпълнението на абонаментни договори с неговите частни клиенти.

41

Второ, страните в главното производство не са на едно мнение относно конкретната цел, с която Digi е записало и съхранило процесните лични данни в тестовата база данни. Всъщност, докато Digi твърди, че създаването на тестовата база данни е имало за конкретна цел да гарантира достъпа до данните на абонатите до отстраняването на грешките, която цел съответно била еднаква с целите на първоначалното събиране на тези данни, органът за защита на данните поддържа, че конкретната цел на по-нататъшното обработване е различна от тези цели, тъй като се състояла в провеждането на тестове и отстраняването на грешки.

42

В това отношение следва да се припомни, че видно от цитираната в точка 19 от настоящото решение съдебна практика, в рамките на производството по член 267 ДФЕС, основано на ясно разделение на правомощията между националните юрисдикции и Съда, само националният съд е компетентен да тълкува и прилага разпоредбите на националното право, докато Съдът е оправомощен единствено да се произнася по тълкуването или валидността на акт на Съюза с оглед на фактите, които са му посочени от националната юрисдикция.

43

От акта за преюдициално запитване обаче се вижда, че Digi е създало тестовата база данни, за да може да проведе тестове и да отстрани грешки, така че именно с оглед на тези цели запитващата юрисдикция следва да прецени съвместимо ли е по-нататъшното обработване с целите на първоначалното събиране, състоящи се в сключването и изпълнението на абонаментни договори.

44

Трето, що се отнася до тази преценка, следва да се отбележи, че провеждането на тестове и отстраняването на грешки, които засягат базата данни на абонатите, имат конкретна връзка с изпълнението на абонаментните договори с частни клиенти, тъй като подобни грешки могат да повлияят неблагоприятно върху предоставянето на договорената услуга, за което първоначално са били събрани данните. Всъщност, както отбелязва генералният адвокат в точка 60 от заключението си, такова обработване не се отдалечава от оправданите правни очаквания на тези клиенти, що се отнася до по-нататъшното използване на техните лични данни. Освен това от акта за преюдициално запитване не личи всички или част от тези данни да са били чувствителни или пък самото им по-нататъшно обработване да е имало вредоносни последици за абонатите или да не е било придружено от подходящи гаранции, което при всяко положение следва да се провери от запитващата юрисдикция.

45

Предвид всички изложени по-горе съображения на първия въпрос следва да се отговори, че член 5, параграф 1, буква б) от Регламент 2016/679 трябва да се тълкува в смисъл, че предвиденият в него принцип на „ограничение на целите“ допуска администраторът да записва и съхранява в база данни, създадена за провеждането на тестове и отстраняването на грешки, лични данни, събрани и съхранявани преди това в друга база данни, когато такова по-нататъшно обработване е съвместимо с конкретните цели, за които личните данни първоначално са били събрани, което следва да се прецени с оглед на критериите по член 6, параграф 4 от този регламент.

46

Като начало следва да се отбележи, че вторият въпрос на запитващата юрисдикция — който се отнася до това дали е в съответствие с принципа на „ограничение на съхранението“, съдържащ се в член 5, параграф 1, буква д) от Регламент 2016/679, съхраняването от страна на Digi в тестовата база данни на лични данни на неговите клиенти — е поставен от тази юрисдикция само при утвърдителен отговор на първия въпрос, така както същият е преформулиран, а именно в хипотезата, при която това съхранение не е съвместимо с принципа на „ограничение на целите“, предвиден в член 5, параграф 1 от този регламент.

47

Същевременно, от една страна, както отбелязва генералният адвокат в точка 24 от заключението си, закрепените в член 5 от Регламент 2016/679 принципи във връзка с обработването на лични данни са кумулативно приложими. Следователно при съхраняването на лични данни трябва да е спазен не само принципът на „ограничение на целите“, но и този на „ограничение на съхранението“.

48

От друга страна, следва да се припомни, че видно от съображение 10 от Регламент 2016/679, той има за цел по-специално да осигури високо ниво на защита на физическите лица в рамките на Съюза и съответно да гарантира последователно и еднородно прилагане в целия Съюз на правилата за защита на основните права и свободи на тези лица във връзка с обработването на лични данни.

49

За тази цел глави II и III от този регламент закрепват съответно принципите, уреждащи обработването на лични данни, както и правата на съответното лице, които трябва да се зачитат при всяко обработване на лични данни. По-специално всяко обработване на лични данни трябва, от една страна, да е в съответствие с установените в член 5 от посочения регламент принципи във връзка с обработването на такива данни, и от друга страна, предвид в частност принципа за законосъобразност на обработването, предвиден в параграф 1, буква а) от този член, да отговаря на някое от условията за законосъобразно обработване, изброени в член 6 от същия регламент (вж. в този смисъл решения от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 96 и от 24 февруари 2022 г., Valsts ieņēmumu dienests, Valsts ieņēmumu dienests (Обработка на лични данни за данъчни цели)C‑175/20, EU:C:2022:124, т. 50).

50

С оглед на тези съображения, макар запитващата юрисдикция формално да е поставила втория въпрос само при утвърдителен отговор на първия въпрос, така както той е преформулиран, това обстоятелство не е пречка Съдът да ѝ предостави всички насоки за тълкуване на правото на Съюза, които могат да бъдат полезни за решаването на отнесеното до нея дело (вж. в този смисъл решение от 17 март 2022 г., Daimler, C‑232/20, EU:C:2022:196, т. 49), и следователно да отговори на този втори въпрос.

51

При това положение следва да се приеме, че с този въпрос запитващата юрисдикция по същество иска да установи дали член 5, параграф 1, буква д) от Регламент 2016/679 трябва да се тълкува в смисъл, че предвиденият в него принцип на „ограничение на съхранението“ не допуска администраторът да съхранява в база данни, създадена за провеждането на тестове и отстраняването на грешки, лични данни, събрани преди това за други цели, за период, надхвърлящ необходимия за провеждането на тестовете и отстраняването на грешките.

52

На първо място, следва да се отбележи, че съгласно член 5, параграф 1, буква д) от Регламент 2016/679 личните данни се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимия за осъществяването на целите, за които се обработват данните.

53

Така от текста на този член недвусмислено личи, че принципът на „ограничение на съхранението“ изисква администраторът да е в състояние да докаже, в съответствие с припомнения в точка 24 от настоящото решение принцип на отчетност, че личните данни се съхраняват единствено през периода, необходим за осъществяването на целите, за които са били събирани или за които са били обработвани по-нататък.

54

От това следва, че дори обработване на данни, което първоначално е било законосъобразно, може с времето да стане несъвместимо с Регламент 2016/679, когато данните вече не са необходими за осъществяването на такива цели (решение от 24 септември 2019 г., GC и др. (Премахване на чувствителни данни от резултатите при търсене), C‑136/17, EU:C:2019:773, т. 74), и че данните трябва да се заличат, когато въпросните цели са осъществени (вж. в този смисъл решение от 7 май 2009 г., Rijkeboer, C‑553/07, EU:C:2009:293, т. 33).

55

Това тълкуване е в съответствие, на второ място, с контекста, в който се вписва член 5, параграф 1, буква д) от Регламент 2016/679.

56

В това отношение в точка 49 от настоящото решение бе припомнено, че всяко обработване на лични данни трябва да е в съответствие със закрепените в член 5 от посочения регламент принципи във връзка с обработването на данни и да отговаря на някое от изброените в член 6 от същия регламент условия за законосъобразно обработване.

57

От една страна обаче, както следва от посочения член 6, когато субектът на данните не е дал съгласие за обработване на личните му данни за една или повече конкретни цели в съответствие с член 6, параграф 1, буква а) от Регламент 2016/679, букви б)—е) от същия параграф изискват обработването да е необходимо.

58

От друга страна, подобно изискване за необходимост следва и от предвидения в член 5, параграф 1, буква в) от този регламент принцип за „свеждане до минимум на данните“, съгласно който личните данни трябва да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.

59

Подобно тълкуване, на трето място, е в съответствие с целта на член 5, параграф 1, буква д) от Регламент 2016/679, която, както бе припомнено в точка 48 от настоящото решение, е по-специално да се осигури високо ниво на защита на физическите лица в Съюза във връзка с обработването на лични данни.

60

В случая Digi твърди, че съхраняваните в тестовата база данни лични данни на някои от частните му клиенти по невнимание не са били изтрити след провеждането на тестовете и отстраняването на грешките.

61

В това отношение е достатъчно да се отбележи, че този довод е без значение за преценката дали в нарушение на предвидения в член 5, параграф 1, буква д) от Регламент 2016/679 принцип на „ограничение на съхранението“ данните са били съхранявани за период, по-дълъг от необходимия за осъществяването на целите, за които те са били обработвани по-нататък.

62

С оглед на всички изложени по-горе съображения на втория въпрос следва да се отговори, че член 5, параграф 1, буква д) от Регламент 2016/679 трябва да се тълкува в смисъл, че предвиденият в него принцип на „ограничение на съхранението“ не допуска администраторът да съхранява в база данни, създадена за провеждането на тестове и отстраняването на грешки, лични данни, събрани преди това за други цели, за период, надхвърлящ необходимия за провеждането на тестовете и отстраняването на грешките.

63

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред препращащата юрисдикция, последната следва да се произнесе по съдебните разноски. Разноските, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (първи състав) реши: