This document is an excerpt from the EUR-Lex website
Document 62021CJ0077
Judgment of the Court (First Chamber) of 20 October 2022.#Digi Távközlési és Szolgáltató Kft. v Nemzeti Adatvédelmi és Információszabadság Hatóság.#Request for a preliminary ruling from the Fővárosi Törvényszék.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 5(1)(b) and (e) – Principle of ‘purpose limitation’ – Principle of ‘storage limitation’ – Creation, from an existing database, of a database to carry out tests and correct errors – Further processing of the data – Compatibility of the further processing of those data with the purposes of the initial collection – Retention period in the light of those purposes.#Case C-77/21.
Domstolens dom (Første Afdeling) af 20. oktober 2022.
Digi Távközlési és Szolgáltató Kft. mod Nemzeti Adatvédelmi és Információszabadság Hatóság.
Anmodning om præjudiciel afgørelse indgivet af Fővárosi Törvényszék.
Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 5, stk. 1, litra b) og e) – princippet om »formålsbegrænsning« – princippet om »opbevaringsbegrænsning« – oprettelse af en database fra en eksisterende database med henblik på test og fejlrettelse – viderebehandling af data – foreneligheden af den efterfølgende behandling af disse oplysninger med formålene med den oprindelige indsamling – opbevaringsperiode i forhold til disse formål.
Sag C-77/21.
Domstolens dom (Første Afdeling) af 20. oktober 2022.
Digi Távközlési és Szolgáltató Kft. mod Nemzeti Adatvédelmi és Információszabadság Hatóság.
Anmodning om præjudiciel afgørelse indgivet af Fővárosi Törvényszék.
Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 5, stk. 1, litra b) og e) – princippet om »formålsbegrænsning« – princippet om »opbevaringsbegrænsning« – oprettelse af en database fra en eksisterende database med henblik på test og fejlrettelse – viderebehandling af data – foreneligheden af den efterfølgende behandling af disse oplysninger med formålene med den oprindelige indsamling – opbevaringsperiode i forhold til disse formål.
Sag C-77/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2022:805
*A9* Fővárosi Törvényszék, végzés 21/01/2021 (1174971)
*P1* Fővárosi Törvényszék, Ítélet 09/03/2023 (105.K.704.076/2022/4.)
DOMSTOLENS DOM (Første Afdeling)
20. oktober 2022 ( *1 )
»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 5, stk. 1, litra b) og e) – princippet om »formålsbegrænsning« – princippet om »opbevaringsbegrænsning« – oprettelse af en database fra en eksisterende database med henblik på test og fejlrettelse – viderebehandling af data – foreneligheden af den efterfølgende behandling af disse oplysninger med formålene med den oprindelige indsamling – opbevaringsperiode i forhold til disse formål«
I sag C-77/21,
angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Fővárosi Törvényszék (retten i første instans i Budapest, Ungarn) ved afgørelse af 21. januar 2021, indgået til Domstolen den 8. februar 2021, i sagen
Digi Távközlési és Szolgáltató Kft.
mod
Nemzeti Adatvédelmi és Információszabadság Hatóság,
har
DOMSTOLEN (Første Afdeling),
sammensat af afdelingsformanden, A. Arabadjiev, Domstolens vicepræsident, L. Bay Larsen, som fungerende dommer i Første Afdeling, og dommerne P.G. Xuereb, A. Kumin og I. Ziemele (refererende dommer),
generaladvokat: P. Pikamäe,
justitssekretær: fuldmægtig I. Illéssy,
på grundlag af den skriftlige forhandling og efter retsmødet den 17. januar 2022,
efter at der er afgivet indlæg af:
– |
Digi Távközlési és Szolgáltató Kft. ved ügyvédek R. Hatala og A.D. László, |
– |
Nemzeti Adatvédelmi és Információszabadság Hatóság, ved juridisk konsulent M.G. Barabás, bistået af ügyvédek G.J. Dudás og Á. Hargita, |
– |
den ungarske regering ved Zs. Biró-Tóth og M.Z. Fehér, som befuldmægtigede, |
– |
den tjekkiske regering ved T. Machovičová, M. Smolek og J. Vláčil, som befuldmægtigede, |
– |
den portugisiske regering ved P. Barros da Costa, L. Inez Fernandes, I. Oliveira, J. Ramos og C. Vieira Guerra, som befuldmægtigede, |
– |
Europa-Kommissionen ved V. Bottka og H. Kranenborg, som befuldmægtigede, |
og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 31. marts 2022,
afsagt følgende
Dom
1 |
Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 5, stk. 1, litra b) og e), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2). |
2 |
Anmodningen er blevet indgivet i forbindelse med en tvist mellem Digi Távközlési és Szolgáltató Kft. (herefter »Digi«), en af de største leverandører af internet og TV i Ungarn, og Nemzeti Adatvédelmi és Információszabadság Hatóság (den nationale myndighed for databeskyttelse og informationsfrihed, Ungarn, herefter »tilsynsmyndigheden«) vedrørende et brud på persondatasikkerheden, for oplysninger, der findes i en database fra Digi. |
Retsforskrifter
3 |
10. og 50. betragtning til forordning 2016/679 har følgende ordlyd:
[…]
|
4 |
Artikel 4 i forordning 2016/679, der har overskriften »Definitioner«, bestemmer følgende: »I denne forordning forstås ved: […]
[…]« |
5 |
I denne forordnings artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsættes: »1. Personoplysninger skal:
2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).« |
6 |
Den nævnte forordnings artikel 6 med overskriften »Lovlig behandling« bestemmer: »1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
[…] 4. Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:
|
Tvisten i hovedsagen og de præjudicielle spørgsmål
7 |
Digi er en af de største leverandører af internet og TV i Ungarn. |
8 |
I april 2018 oprettede Digi, efter en teknisk fejl, der påvirkede driften af en server, en såkaldt »testdatabase« (herefter »testdatabasen«), hvori Digi kopierede personoplysninger om ca. en tredjedel af sine særlige kunder, som var opbevaret i en anden database kaldet »digihu«, der kunne forbindes med webstedet www.digi.hu, som indeholdt opdaterede oplysninger om personer, der var blevet registreret med henblik på at modtage Digis informationsbrev, som direkte markedsføring, samt oplysninger om systemadministratoren, der gav direkte adgang til webstedets interface. |
9 |
Den 23. september 2019 blev Digi gjort bekendt med det forhold, at en »etisk hacker« havde skaffet sig adgang til personoplysninger, som Digi var i besiddelse af, vedrørende ca. 322000 personer. Denne »etiske hacker« gjorde selv Digi opmærksom på adgangen, og meddelte som bevis herfor Digi en linje fra testdatabasen. Digi korrigerede den fejl, der havde gjort adgangen mulig, indgik en fortrolighedsaftale med den pågældende og tilbød vedkommende en belønning. |
10 |
Efter at have slettet testdatabasen underrettede Digi tilsynsmyndigheden om, at der var sket et brud på persondatasikkerheden den 25. september 2019, og tilsynsmyndigheden indledte derefter en undersøgelse. |
11 |
Ved afgørelse af 18. maj 2020 konkluderede tilsynsmyndigheden bl.a., at Digi havde tilsidesat artikel 5, stk. 1, litra b) og e), i forordning 2016/679, idet Digi efter at have gennemført de nødvendige test og korrigeret fejlen, ikke straks havde slettet testdatabasen, således at et stort antal personoplysninger var blevet opbevaret i denne database uden noget formål i næsten 18 måneder i en fil, der kunne gøre det muligt at identificere de registrerede personer. Tilsynsmyndigheden pålagde følgelig Digi at undersøge samtlige sine databaser og pålagde vedkommende en bøde på 100000000 ungarske forint (HUF) (ca. 248000 EUR). |
12 |
Digi har anfægtet denne afgørelses lovlighed for den forelæggende ret. |
13 |
Denne sidstnævnte har anført, at de personoplysninger, som Digi kopierede til testdatabasen, var blevet indsamlet med henblik på indgåelse og gennemførelse af abonnementsaftaler, og at tilsynsmyndigheden ikke havde bestridt lovligheden af indsamlingen af oplysningerne. Den forelæggende ret ønsker imidlertid oplyst, om den kopi, der findes i en anden database, af de oplysninger, der oprindeligt blev indsamlet, har medført, at formålet med den oprindelige indsamling og behandlingen af disse oplysninger er blevet ændret. Den har tilføjet, at det ligeledes er nødvendigt at fastslå, om oprettelsen af en testdatabase og fortsættelsen af behandlingen af kundernes oplysninger på denne måde er forenelig med formålet med indsamlingen af disse oplysninger. Den forelæggende ret er af den opfattelse, at princippet om »formålsbegrænsning« som fastsat i artikel 5, stk. 1, litra b), i forordning 2016/679 ikke gør det muligt for den at fastlægge, i hvilke interne systemer den dataansvarlige har ret til at behandle de indsamlede oplysninger lovligt, eller at vide, om den dataansvarlige kan kopiere disse oplysninger i en testdatabase uden at ændre formålet med den oprindelige indsamling af oplysninger. |
14 |
Såfremt oprettelsen af testdatabasen ikke er forenelig med formålet med indsamlingen, ønsker den forelæggende ret ligeledes oplyst, for så vidt som formålet med behandlingen af abonnenternes oplysninger i en anden database ikke er korrektion af fejl, men indgåelse af kontrakter, om den nødvendige opbevaringsperiode i medfør af princippet om »opbevaringsbegrænsning« i artikel 5, stk. 1, litra e), i forordning 2016/679 skal modsvare det tidsrum, der er nødvendigt til at korrigere fejl, eller det, der er nødvendigt for opfyldelsen af de kontraktlige forpligtelser. |
15 |
På denne baggrund har Fővárosi Törvényszék (retten i første instans i Budapest, Ungarn) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
|
Om de præjudicielle spørgsmål
Formaliteten
16 |
Tilsynsmyndigheden og den ungarske regering har rejst tvivl om, hvorvidt anmodningen om præjudiciel afgørelse kan antages til realitetsbehandling, med den begrundelse, at de forelagte spørgsmål ikke afspejler de faktiske omstændigheder i hovedsagen og ikke er direkte relevante for afgørelsen heraf. |
17 |
Det skal i denne henseende for det første bemærkes, at det følger af Domstolens faste praksis, at det udelukkende tilkommer den nationale ret, for hvilken en tvist er indbragt, og som har ansvaret for den retlige afgørelse, som skal træffes, på grundlag af omstændighederne i den konkrete sag at vurdere, såvel om en præjudiciel afgørelse er nødvendig for, at den kan afsige dom, som relevansen af de spørgsmål, den forelægger Domstolen. Når de forelagte spørgsmål vedrører fortolkningen eller gyldigheden af en EU-retlig regel, er Domstolen derfor principielt forpligtet til at træffe afgørelse. Heraf følger, at der foreligger en formodning for, at spørgsmål, som er forelagt af de nationale retter, er relevante. Domstolen kan kun afslå at træffe afgørelse vedrørende et præjudicielt spørgsmål fra en national ret, såfremt det fremgår, at den ønskede fortolkning savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt problemet er af hypotetisk karakter, eller såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af disse spørgsmål (dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 73 og den deri nævnte retspraksis). |
18 |
I det foreliggende tilfælde er der ved den forelæggende ret anlagt sag med påstand om annullation af en afgørelse, hvorved Digi i sin egenskab af dataansvarlig pålægges en sanktion for at have tilsidesat princippet om »formålsbegrænsning« og princippet om »opbevaringsbegrænsning«, der er fastsat i henholdsvis litra b) og e), i artikel 5, stk. 1, i forordning 2016/679, ved at undlade at slette en database med personoplysninger, der gør det muligt at identificere de registrerede personer. De præjudicielle spørgsmål vedrører netop fortolkningen af disse bestemmelser således, at det ikke kan antages, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand eller er af hypotetisk karakter. Forelæggelsesafgørelsen indeholder desuden tilstrækkelige faktiske og retlige oplysninger til, at den kan give en hensigtsmæssig besvarelse af den forelæggende rets spørgsmål. |
19 |
For det andet står det fast, at det inden for rammerne af proceduren i henhold til artikel 267 TEUF, som er baseret på en klar adskillelse mellem de nationale retters og Domstolens funktioner, alene er den nationale ret, der har kompetence til at fortolke og anvende bestemmelser i national ret, hvorimod Domstolen alene har kompetence til at træffe afgørelse vedrørende fortolkningen og gyldigheden af en EU-retsakt med udgangspunkt i de faktiske omstændigheder, som den nationale ret har anført i forelæggelsen (dom af 5.5.2022, Zagrebačka banka, C-567/20, EU:C:2022:352, præmis 45 og den deri nævnte retspraksis). |
20 |
Argumentet om, at de præjudicielle spørgsmål ikke kan antages til realitetsbehandling, idet de præjudicielle spørgsmål efter tilsynsmyndighedens og den ungarske regerings opfattelse ikke svarer til de faktiske omstændigheder i tvisten i hovedsagen, må derfor forkastes. |
21 |
Det følger heraf, at de præjudicielle spørgsmål kan antages til realitetsbehandling. |
Realiteten
Det første spørgsmål
22 |
Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 5, stk. 1, litra b), i forordning 2016/679 skal fortolkes således, at princippet om »formålsbegrænsning«, der er fastsat i denne bestemmelse, er til hinder for, at den dataansvarlige registrerer og opbevarer personoplysninger i en database, der er oprettet med henblik på at foretage test og korrigere fejl, når disse oplysninger er indsamlet forinden og opbevaret i en anden database. |
23 |
Det følger af fast retspraksis, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og de mål, der forfølges med den ordning, som den udgør en del af (dom af 1.8.2022, HOLD Alapkezelő, C-352/20, EU:C:2022:606, præmis 42 og den deri nævnte retspraksis). |
24 |
I denne henseende skal det for det første bemærkes, at artikel 5, stk. 1, i forordning 2016/679 fastsætter de principper for behandling af personoplysninger, der påhviler den dataansvarlige, og som sidstnævnte skal kunne påvise bliver overholdt i overensstemmelse med det i denne artikels stk. 2 fastsatte princip om ansvarlighed. |
25 |
Navnlig i henhold til denne forordnings artikel 5, stk. 1, litra b), som fastsætter princippet om »formålsbegrænsning«, skal personoplysninger dels indsamles til udtrykkeligt angivne og legitime formål, dels ikke viderebehandles på en måde, der er uforenelig med disse formål. |
26 |
Det fremgår således af denne bestemmelses ordlyd, at den indeholder to krav, hvoraf det ene vedrører formålene med den oprindelige indsamling af personoplysninger, og det andet vedrører den viderebehandlingen af disse oplysninger. |
27 |
Hvad indledningsvis angår kravet om, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål, følger det af Domstolens praksis, at dette for det første indebærer, at formålene med behandlingen skal identificeres senest ved indsamlingen af personoplysninger, dernæst skal formålene med denne behandling være udtrykkelige, og endelig skal formålene med den nævnte behandling bl.a. sikre lovligheden af behandlingen af disse oplysninger, som omhandlet i artikel 6, stk. 1, i forordning 2016/679 (jf. i denne retning dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål),C-175/20, EU:C:2022:124, præmis 64-66). |
28 |
I det foreliggende tilfælde fremgår det af ordlyden af det første spørgsmål og af begrundelsen for forelæggelsesafgørelsen, at de i hovedsagen omhandlede personoplysninger er blevet indsamlet til udtrykkeligt angivne og legitime formål, idet den forelæggende ret i øvrigt har præciseret, at indsamlingen af disse oplysninger blev foretaget med henblik på Digis indgåelse og opfyldelse af abonnementsaftaler med sine kunder i overensstemmelse med artikel 6, stk. 1, litra b), i forordning 2016/679. |
29 |
Hvad dernæst angår kravet om, at personoplysninger ikke må gøres til genstand for viderebehandling, der er uforenelig med disse formål, bemærkes dels, at den dataansvarliges registrering og opbevaring i en nyoprettet database af personoplysninger, der opbevares i en anden database, udgør en »viderebehandling« af disse oplysninger. |
30 |
Begrebet »behandling« er nemlig defineret bredt i artikel 4, nr. 2), i forordning 2016/679 som omfattende enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, såsom bl.a. indsamling, registrering og opbevaring af disse oplysninger. |
31 |
I overensstemmelse med den sædvanlige betydning af udtrykket »viderebehandling« i sædvanlig sprogbrug udgør enhver behandling af personoplysninger, der finder sted efter den oprindelige behandling, som består af den oprindelige indsamling af disse oplysninger, desuden en »efterfølgende« behandling af de nævnte oplysninger, uafhængigt af formålet med denne viderebehandling. |
32 |
For det andet bemærkes, at artikel 5, stk. 1, litra b), i forordning 2016/679 ikke indeholder nogen angivelser om, under hvilke betingelser en viderebehandling af personoplysninger kan anses for at være forenelig med formålene med den oprindelige indsamling af disse oplysninger. |
33 |
Den sammenhæng, hvori denne bestemmelse indgår, giver imidlertid for det andet nyttige præciseringer i denne henseende. |
34 |
Det fremgår nemlig af artikel 5, stk. 1, litra b), sammenholdt med artikel 6, stk. 1, litra a), og artikel 6, stk. 4, i forordning 2016/679, at spørgsmålet om, hvorvidt viderebehandlingen af personoplysninger er forenelig med de formål, hvortil disse oplysninger oprindeligt blev indsamlet, kun opstår i det tilfælde, hvor formålene med viderebehandlingen ikke er identiske med formålene med den oprindelige indsamling. |
35 |
Det fremgår desuden af denne artikel 6, stk. 4, sammenholdt med 50. betragtning til nævnte forordning, at når behandlingen til et andet formål end det, hvortil oplysningerne blev indsamlet, ikke er baseret på den registreredes samtykke eller EU-retten eller en medlemsstats lovgivning, skal der ved afgørelsen af, om behandlingen til et andet formål er forenelig med det formål, hvortil personoplysningerne oprindeligt blev indsamlet, bl.a. tages hensyn til, for det første om der foreligger en eventuel forbindelse mellem formålet med indsamlingen af personoplysningerne og formålet med den påtænkte viderebehandling, for det andet den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig hvad angår forholdet mellem de registrerede og den dataansvarlige, for det tredje personoplysningernes art, for det fjerde den påtænkte viderebehandlings mulige konsekvenser for de registrerede, og endelig for det femte tilstedeværelsen af fornødne garantier både inden for rammerne af den oprindelige behandling og den påtænkte viderebehandling. |
36 |
Som generaladvokaten i det væsentlige har anført i punkt 28, 59 og 60 i forslaget til afgørelse, afspejler disse kriterier nødvendigheden af en konkret, logisk og tilstrækkelig tæt sammenhæng mellem formålene med den oprindelige indsamling af personoplysninger og viderebehandlingen af disse oplysninger og gør det muligt at sikre, at denne viderebehandling ikke afviger fra abonnenternes legitime forventninger med hensyn til den senere anvendelse af deres oplysninger. |
37 |
Disse kriterier gør det i øvrigt for det tredje muligt, således som generaladvokaten i det væsentlige har fremhævet i punkt 27 i forslaget til afgørelse, at opstille rammer for anvendelsen af tidligere indsamlede personoplysninger ved at sikre ligevægt mellem på den ene side behovet for forudsigelighed og retssikkerhed med hensyn til formålene med den behandling af personoplysninger, der tidligere er indsamlet, og på den anden side anerkendelsen af en vis fleksibilitet til fordel for den dataansvarlige ved forvaltningen af disse oplysninger, som således bidrager til at nå målet om at sikre et ensartet og højt niveau for beskyttelse af fysiske personer, der er nævnt i tiende betragtning. |
38 |
Under hensyntagen til de kriterier, der er nævnt i denne doms præmis 35, og henset til samtlige de omstændigheder, der karakteriserer den foreliggende sag, påhviler det således den nationale ret at fastlægge såvel formålene med den oprindelige indsamling af personoplysninger som formålet med viderebehandlingen af disse oplysninger, og i tilfælde af, at formålene med viderebehandlingen adskiller sig fra formålene med indsamlingen, at efterprøve, om viderebehandlingen af de nævnte oplysninger er forenelig med formålene med den oprindelige indsamling. |
39 |
Når Domstolen træffer afgørelse i en præjudiciel sag, kan den imidlertid give nærmere oplysninger med henblik på at vejlede den nationale ret i dens afgørelse (jf. i denne retning dom af 7.4.2022, Fuhrmann-2, C-249/21, EU:C:2022:269, præmis 32). |
40 |
I det foreliggende tilfælde fremgår det for det første, således som det bemærkes i nærværende doms præmis 13, af forelæggelsesafgørelsen, at personoplysningerne oprindeligt blev indsamlet af Digi, der var dataansvarlig, med henblik på indgåelse og opfyldelse af abonnementsaftaler med dennes særlige kunder. |
41 |
For det andet er parterne i hovedsagen ikke enige om det specifikke formål med Digis registrering og opbevaring af de omhandlede personoplysninger i testdatabasen. Mens Digi har gjort gældende, at oprettelsen af testdatabasen specifikt havde til formål at sikre adgang til abonnenternes oplysninger, mens fejlene blev korrigeret, således at dette formål er identisk med de formål, der forfølges med den oprindelige indsamling af disse oplysninger, har myndigheden gjort gældende, at det specifikke formål med viderebehandlingen var forskelligt fra disse formål, eftersom det bestod i at udføre test og korrigere fejl. |
42 |
Det bemærkes i den forbindelse, at det følger af den retspraksis, der er nævnt i præmis 19 ovenfor, at det inden for rammerne af proceduren i henhold til artikel 267 TEUF, som er baseret på en klar adskillelse mellem de nationale retters og Domstolens funktioner, alene er den nationale ret, der har kompetence til at fortolke og anvende bestemmelser i national ret, hvorimod Domstolen alene har kompetence til at træffe afgørelse vedrørende fortolkningen og gyldigheden af en EU-retsakt med udgangspunkt i de faktiske omstændigheder, som den nationale ret har anført. |
43 |
Det fremgår imidlertid af forelæggelsesafgørelsen, at testdatabasen blev oprettet af Digi for at kunne foretage test og korrigere fejl, og det er således i lyset af disse formål, at det tilkommer den forelæggende ret at vurdere, om viderebehandlingen var forenelig med formålene med den indledende indsamling, som bestod i at indgå og gennemføre abonnementsaftaler. |
44 |
Hvad for det tredje angår denne vurdering bemærkes, at udførelsen af test og korrektion af fejl, der påvirker databasen med abonnenternes oplysninger, har en konkret forbindelse med opfyldelsen af abonnementsaftaler fra bestemte kunder, idet sådanne fejl kan være skadelige for leveringen af den tjenesteydelse, der er fastsat i kontrakten, og for hvilken oplysningerne oprindeligt blev indsamlet. Som generaladvokaten har anført i punkt 60 i forslaget til afgørelse, afviger en sådan behandling nemlig ikke fra disse kunders legitime forventninger med hensyn til den senere anvendelse af deres personoplysninger. Det fremgår i øvrigt ikke af forelæggelsesafgørelsen, at alle eller en del af disse oplysninger har været følsomme, eller at den omhandlede viderebehandling af disse som sådan har haft skadelige konsekvenser for abonnenterne eller ikke har været ledsaget af passende garantier, hvilket det under alle omstændigheder tilkommer den forelæggende ret at efterprøve. |
45 |
Det følger af samtlige ovenstående betragtninger, at det første spørgsmål skal besvares med, at artikel 5, stk. 1, litra b), i forordning 2016/679 skal fortolkes således, at princippet om »formålsbegrænsning«, der er fastsat i denne bestemmelse, ikke er til hinder for, at den dataansvarlige registrerer og opbevarer personoplysninger i en database, der er oprettet med henblik på at foretage test og korrektion af fejl, når disse oplysninger er indsamlet forinden og opbevaret i en anden database, såfremt en sådan viderebehandling er forenelig med de specifikke formål, hvortil oplysningerne oprindeligt blev indsamlet, hvilket skal afgøres på baggrund af de kriterier, der er omhandlet i artikel 6, stk. 4, i denne forordning. |
Det andet spørgsmål
46 |
Indledningsvis bemærkes, at den forelæggende rets andet spørgsmål om, hvorvidt Digis opbevaring af sine kunders personoplysninger i testdatabasen er forenelig med princippet om »opbevaringsbegrænsning« i artikel 5, stk. 1, litra e), i forordning 2016/679, kun er stillet af denne ret i tilfælde af, at det første spørgsmål som omformuleret besvares bekræftende, dvs. i det tilfælde, hvor denne opbevaring ikke er forenelig princippet om »formålsbegrænsning«, som er fastsat i forordningens artikel 5, stk. 1, litra b). |
47 |
Som generaladvokaten har anført i punkt 24 i forslaget til afgørelse, finder de principper om behandling af personoplysninger, der er fastsat i artikel 5 i forordning 2016/679, imidlertid anvendelse kumulativt. Opbevaring af personoplysninger skal derfor ikke alene overholde princippet om »formålsbegrænsning«, men ligeledes princippet om »opbevaringsbegrænsning«. |
48 |
For det andet bemærkes, således som det fremgår af tiende betragtning til forordning 2016/679, at denne bl.a. har til formål at sikre et højt niveau for beskyttelse af fysiske personer inden for Unionen og med henblik herpå at sikre en konsekvent og ensartet anvendelse af reglerne for beskyttelse af disse personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger overalt i Unionen. |
49 |
Med henblik herpå fastsætter kapitel II og III i forordning 2016/679 henholdsvis principperne for behandling af personoplysninger og den registreredes rettigheder, som skal overholdes ved enhver behandling af personoplysninger. Enhver behandling af personoplysninger skal navnlig dels foregå i overensstemmelse med de principper for behandling af oplysninger, der er fastsat i den nævnte forordnings artikel 5, dels for så vidt angår særligt princippet om behandlingens lovlighed, som fremgår af stk. 1, litra a), i denne artikel, svare til en af betingelserne for lovlig behandling, som er opstillet i samme forordnings artikel 6 (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 96 og af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 50). |
50 |
Henset til disse betragtninger, selv om den forelæggende ret formelt kun har stillet sit andet spørgsmål i tilfælde af, at det første spørgsmål som omformuleret besvares bekræftende, er en sådan omstændighed ikke til hinder for, at Domstolen oplyser retten om alle de momenter angående fortolkningen af EU-retten, som kan være til nytte ved afgørelsen af den sag, som verserer for den (jf. i denne retning dom af 17.3.2022, Daimler,C-232/20, EU:C:2022:196, præmis 49), og følgelig besvarer dette andet spørgsmål. |
51 |
Under disse omstændigheder skal det fastslås, at den forelæggende ret med dette spørgsmål nærmere bestemt ønsker oplyst, om artikel 5, stk. 1, litra e), i forordning 2016/679 skal fortolkes således, at princippet om »opbevaringsbegrænsning«, der er fastsat i denne bestemmelse, er til hinder for, at den dataansvarlige opbevarer personoplysninger i en database, der er oprettet med henblik på at foretage test og korrigere fejl, i en længere periode end den, der er nødvendig for at udføre disse test og korrigere fejlene, når disse oplysninger er indsamlet forinden til andre formål. |
52 |
For det første bemærkes, at i henhold til artikel 5, stk. 1, litra e), i forordning 2016/679 skal personoplysninger opbevares på en måde, der ikke gør det muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de pågældende personoplysninger behandles. |
53 |
Det fremgår således utvetydigt af denne artikels ordlyd, at princippet om »opbevaringsbegrænsning« kræver, at den dataansvarlige i overensstemmelse med det i denne doms præmis 24 anførte princip om ansvarlighed er i stand til at påvise, at personoplysninger kun opbevares i det tidsrum, der er nødvendigt af hensyn til de formål, hvortil de indsamles, eller med henblik på hvilke de er blevet viderebehandlet. |
54 |
Det følger heraf, at en behandling af oplysninger, der oprindeligt var lovlig, med tiden kan blive uforenelig med forordning 2016/679, når disse oplysninger ikke længere er nødvendige af hensyn til de formål, hvortil de er blevet indsamlet (jf. dom af 24.9.2019, GC m.fl. (Fjernelse af følsomme oplysninger), C-136/17, EU:C:2019:773, præmis 74), og at oplysningerne skal slettes, når disse formål er opfyldt (jf. i denne retning dom af 7.5.2009, Rijkeboer, C-553/07, EU:C:2009:293, præmis 33). |
55 |
Denne fortolkning er for det andet i overensstemmelse med den sammenhæng, hvori artikel 5, stk. 1, litra e), i forordning 2016/679 indgår. |
56 |
Det bemærkes i denne forbindelse i præmis 49 i nærværende dom, at enhver behandling af personoplysninger både skal foregå i overensstemmelse med de principper for behandling af oplysninger, der er opregnet i artikel 5 i den nævnte forordning, og overholde et af de principper om behandlingens lovlighed, som er opstillet i samme forordnings artikel 6. |
57 |
For det første skal behandlingen, således som det fremgår af denne artikel 6, når den registrerede ikke har givet samtykke til behandlingen af vedkommendes personoplysninger til et eller flere specifikke formål i overensstemmelse med artikel 6, stk. 1, litra a), i forordning 2016/679, opfylde et krav om nødvendighed, således som det fremgår af nævnte stykkes litra b)-f). |
58 |
For det andet følger et sådant krav om nødvendighed ligeledes af princippet om »dataminimering«, der er fastsat i denne forordnings artikel 5, stk. 1, litra c), hvorefter personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. |
59 |
En sådan fortolkning er for det tredje i overensstemmelse med det formål, der forfølges med artikel 5, stk. 1, litra e), i forordning 2016/679, der, som anført i denne doms præmis 48, bl.a. består i at sikre et højt beskyttelsesniveau for fysiske personer i Unionen i forbindelse med behandling af personoplysninger. |
60 |
I det foreliggende tilfælde har Digi gjort gældende, at det var ved en fejl, at personoplysninger vedrørende en del af vedkommendes særlige kunder, der blev opbevaret i testdatabasen, ikke blev slettet, efter at testene var blevet udført og fejlene korrigeret. |
61 |
I denne henseende er det tilstrækkeligt at bemærke, at dette argument er uden relevans med henblik på at vurdere, om oplysningerne er blevet opbevaret i et længere tidsrum end det tidsrum, der var nødvendigt for at opfylde de formål, hvortil de blev viderebehandlet, i strid med princippet om »opbevaringsbegrænsning«, der er fastsat i artikel 5, stk. 1, litra e), i forordning 2016/679. |
62 |
Det følger af samtlige ovenstående betragtninger, at det andet spørgsmål skal besvares med, at artikel 5, stk. 1, litra e), i forordning 2016/679 skal fortolkes således, at princippet om »opbevaringsbegrænsning«, der er fastsat i denne bestemmelse, er til hinder for, at den dataansvarlige opbevarer personoplysninger, i en database, der er oprettet med henblik på at foretage test og korrigere fejl, i en længere periode end den, der er nødvendig for at udføre disse test og korrigere disse fejl, når disse oplysninger er indsamlet forinden til andre formål. |
Sagsomkostninger
63 |
Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagens omkostninger. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes. |
På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret: |
|
|
Underskrifter |
( *1 ) – Processprog: ungarsk.