1.

På hvilke betingelser må en leverandør af internet og TV opbevare personoplysninger om sine kunder, som er indsamlet og allerede lagret lovligt, på en ekstra intern lagerenhed uden at indhente kundernes udtrykkelige samtykke, men med det formål at afhjælpe en teknisk fejl?

2.

Sådan lyder et af de spørgsmål, der er rejst i den foreliggende sag, og som kan give Domstolen mulighed for at supplere sin efterhånden righoldige praksis vedrørende forordning (EU) 2016/679 ( 2 ), nærmere bestemt med hensyn til princippet om formålsbegrænsning og princippet om opbevaringsbegrænsning som omhandlet i denne retsakts artikel 5, stk. 1, litra b) og e).

3.

I forbindelse med den foreliggende sag er databeskyttelsesforordningens artikel 4-6, 13 og 32 relevante.

4.

Digi Távközlési és Szolgáltató Kft. (herefter »Digi«) er en af de største leverandører af internet og tv i Ungarn.

5.

I april 2018 oprettede Digi, efter at en teknisk fejl havde udløst driftsforstyrrelser på en server, en »testdatabase«, hvortil selskabet kopierede personoplysninger på ca. en tredjedel af sine særlige kunder.

6.

Den 23. september 2019 blev Digi gjort bekendt med det forhold, at en »etisk hacker« havde skaffet sig adgang til personoplysninger på ca. 322000 personer. Det var hackeren selv, som i en e-mail af 21. september 2019 skriftligt gjorde Digi opmærksom på angrebet, idet vedkommende som dokumentation gendannede et af registrene i testdatabasen. Efterfølgende korrigerede Digi fejlen, indgik en fortrolighedsaftale med den pågældende og tilbød vedkommende en belønning.

7.

Efter at have slettet testdatabasen anmeldte Digi den 25. september 2019 dette brud på persondatasikkerheden til Nemzeti Adatvédelmi és Információszabadság Hatóság (den nationale tilsynsmyndighed for databeskyttelse og informationsfrihed, herefter »databeskyttelsesmyndigheden«), som derfor indledte en undersøgelse.

8.

Ved afgørelse af 18. maj 2020 konkluderede databeskyttelsesmyndigheden bl.a., at Digi for det første havde tilsidesat databeskyttelsesforordningens artikel 5, stk. 1, litra b) og e), idet selskabet efter at have foretaget de nødvendige test og fejlretninger havde undladt at slette testdatabasen, hvorved et stort antal personoplysninger lå lagret i denne testdatabase uden noget formål i henved 18 måneder i en fil, der gjorde det muligt at identificere de registrerede og således muliggjorde et brud på persondatasikkerheden. Databeskyttelsesmyndigheden fandt, at Digi for det andet havde tilsidesat databeskyttelsesforordningens artikel 32, stk. 1 og 2. Under disse omstændigheder pålagde databeskyttelsesmyndigheden Digi en bøde på 100000000 HUF (ca. 270000 EUR).

9.

Digi har anfægtet denne afgørelses lovlighed for den forelæggende ret.

10.

Denne ret har anført, at de personoplysninger, som Digi kopierede til testdatabasen, var blevet indsamlet med henblik på indgåelse af abonnementsaftaler, og at databeskyttelsesmyndigheden ikke havde bestridt lovligheden af indsamlingen af oplysningerne. Den forelæggende ret ønsker imidlertid oplyst, om formålet med indsamlingen og behandlingen af oplysningerne ændres af den omstændighed, at de oplysninger, der er indsamlet med et angivet formål, er blevet kopieret til en anden database. Den har tilføjet, at det ligeledes er nødvendigt at fastslå, om oprettelsen af en testdatabase og fortsættelsen af behandlingen af kundernes oplysninger på denne måde er forenelig med formålet med indsamlingen af disse oplysninger. I denne henseende giver princippet om formålsbegrænsning ikke klare retningslinjer for, i hvilke interne systemer den datasvarlige har beføjelse til at foretage behandlingen af lovligt indsamlede oplysninger, eller om den dataansvarlige kan kopiere disse oplysninger til en testdatabase uden at ændre formålet med indsamlingen af oplysningerne.

11.

Såfremt oprettelsen af testdatabasen ikke er forenelig med formålet med indsamlingen, ønsker den forelæggende ret ligeledes oplyst, om varigheden af den nødvendige opbevaring, for så vidt som formålet med behandlingen af kundeoplysningerne i en anden database ikke er fejlretning, men indgåelse af aftaler, skal modsvare det tidsrum, der er nødvendigt til fejlretningen, eller snarere det, der er nødvendigt for opfyldelsen af de aftalemæssige forpligtelser.

12.

På denne baggrund har Fővárosi Törvényszék (retten i første instans i Budapest, Ungarn) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

13.

Sagsøgeren og sagsøgte i hovedsagen, den ungarske, den tjekkiske og den portugisiske regering samt Europa-Kommissionen har indgivet skriftlige indlæg. I retsmødet den 17. januar 2022 har sagsøgeren og sagsøgte i hovedsagen og den ungarske regering og Kommissionen endvidere afgivet mundtlige indlæg.

14.

Databeskyttelsesmyndigheden og den ungarske regering har rejst tvivl om, hvorvidt anmodningen om præjudiciel afgørelse kan antages til realitetsbehandling, med den begrundelse, at de forelagte spørgsmål ikke afspejler de faktiske omstændigheder i hovedsagen og ikke er direkte relevante for afgørelsen heraf.

15.

Det følger af Domstolens faste praksis, at det udelukkende tilkommer den nationale ret, for hvilken en tvist er indbragt, og som har ansvaret for den retlige afgørelse, der skal træffes, på grundlag af omstændighederne i den konkrete sag at vurdere såvel nødvendigheden af en præjudiciel afgørelse for, at den kan afsige dom, som relevansen af de spørgsmål, den forelægger Domstolen. Når de forelagte spørgsmål vedrører fortolkningen eller gyldigheden af en EU-retlig regel, er Domstolen derfor principielt forpligtet til at træffe afgørelse. Heraf følger, at der foreligger en formodning for, at spørgsmål, som er forelagt af de nationale retter, er relevante. Domstolen kan kun afslå at træffe afgørelse vedrørende et præjudicielt spørgsmål fra en national ret, såfremt det fremgår, at den ønskede fortolkning savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt problemet er af hypotetisk karakter, eller såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af disse spørgsmål. I den foreliggende sag indeholder anmodningen om præjudiciel afgørelse tilstrækkelige faktiske og retlige oplysninger til at forstå rækkevidden af de præjudicielle spørgsmål. Hvad vigtigere er, er der desuden intet i sagsakterne for Domstolen, som giver anledning til at fastslå, at den ønskede fortolkning af EU-retten skulle savne forbindelse med realiteten i hovedsagen eller dennes genstand eller være af hypotetisk karakter ( 3 ).

16.

Det skal i denne henseende påpeges, at Digi har anlagt søgsmål ved den forelæggende ret med påstand om annullation af en afgørelse, hvorved dette selskab i egenskab af dataansvarlig blev pålagt en bøde for en formodet tilsidesættelse af princippet om formålsbegrænsning og princippet om opbevaringsbegrænsning som omhandlet i databeskyttelsesforordningens artikel 5, stk. 1, litra b) og e), der er genstanden for denne rets fortolkningsanmodning. Anmodningen om præjudiciel afgørelse bør følgelig antages til realitetsbehandling.

17.

Det må fastslås, at anmodningen om præjudiciel afgørelse alene vedrører fortolkningen af databeskyttelsesforordningens artikel 5 i forbindelse med en tvist i hovedsagen om lovligheden af en behandling af personoplysninger foretaget af Digi, der er en af de største leverandører af internet og TV i Ungarn og dermed også udbyder af adgang til offentlige onlinekommunikationstjenester.

18.

Det skal dog påpeges, at det af artikel 1, stk. 1, i direktiv 2002/58 ( 4 ) fremgår, at dette direktiv bl.a. tager sigte på en harmonisering af nationale bestemmelser, der er nødvendig for navnlig at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatliv og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor. Det fremgår endvidere af artikel 3 i direktiv 2002/58, at dette direktiv finder anvendelse på behandling af personoplysninger i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i Unionen, herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr. Det nævnte direktiv skal derfor anses for at regulere den virksomhed, som udbydere af sådanne tjenester udøver ( 5 ).

19.

I overensstemmelse med artikel 1, stk. 2, i direktiv 2002/58 specificerer og supplerer dette direktivs bestemmelser direktiv 95/46/EF ( 6 ) med henblik på at nå de i førnævnte stk. 1 omhandlede mål, idet det anføres, at i henhold til databeskyttelsesforordningens artikel 94, stk. 2, gælder henvisninger i direktiv 2002/58 til direktiv 95/46 som henvisninger til denne forordning ( 7 ). Ifølge tiende betragtning til direktiv 2002/58 finder direktiv 95/46 i den elektroniske kommunikationssektor navnlig anvendelse på alle forhold vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder, som ikke særligt er omfattet af bestemmelserne i direktiv 2002/58, herunder den registeransvarliges forpligtelser og fysiske personers rettigheder ( 8 ).

20.

Det fremgår af anmodningen om præjudiciel afgørelse, at tvisten i hovedsagen ikke vedrører abonnenternes anvendelse af Digis elektroniske kommunikationstjenester og dermed heller ikke beskyttelsen af den pågældende kommunikation og oplysningerne om den tilhørende trafik, der reguleres af direktiv 2002/58, men angår dette selskabs interne arbejdsgange. Det er ubestridt, at Digi i 2018, efter at en teknisk fejl på serveren havde gjort den oprindelige database over abonnenterne utilgængelig, oprettede en fil, der blev døbt »test«, hvortil selskabet kopierede personoplysninger på en del af sine kunder ( 9 ). Efter at Digi havde afhjulpet denne driftsforstyrrelse, lå oplysningerne i den ekstra database i perioden frem til september 2019, hvorunder denne database blev udsat for et hackerangreb. Digis fremgangsmåde har karakter af »behandling af personoplysninger«, som dette selskab er »ansvarligt« for som omhandlet i definitionerne i databeskyttelsesforordningens artikel 4, nr. 2) og 7). Det er endvidere i denne egenskab, at Digi blev pålagt en bøde af databeskyttelsesmyndigheden for ved denne lejlighed at have tilsidesat de forpligtelser, der navnlig er fastlagt i databeskyttelsesforordningens artikel 5, stk. 1, litra b) og e).

21.

Jeg gør i denne forbindelse opmærksom på, at med forbehold af de undtagelser, der er tilladt i henhold til databeskyttelsesforordningens artikel 23, skal enhver behandling af personoplysninger overholde de principper, der gælder herfor, og de rettigheder, der tilkommer den registrerede, og som er fastsat i henholdsvis denne forordnings kapitel II og III. Navnlig skal enhver behandling af personoplysninger være i overensstemmelse med de principper, der er fastsat i den nævnte forordnings artikel 5, og desuden opfylde de betingelser for lovlighed, der er anført i samme forordnings artikel 6 ( 10 ).

22.

I henhold til databeskyttelsesforordningens artikel 5 påhviler det den dataansvarlige at sikre, at personoplysningerne »behandles lovligt, rimeligt og på en gennemsigtig måde« [litra a)], at de »indsamles til udtrykkeligt angivne og legitime formål og […] ikke viderebehandles på en måde, der er uforenelig med disse formål« [litra b)], at de er »tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles« [litra c)], at de er »korrekte og om nødvendigt ajourførte« [litra d)], og endelig at de »opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles« [litra e)], idet behandling af personoplysninger i historisk, statistisk eller videnskabeligt øjemed er omfattet af specifikke bestemmelser. I denne forbindelse skal den pågældende dataansvarlige træffe alle rimelige foranstaltninger med henblik på, at de oplysninger, der ikke lever op til kravene i denne bestemmelse, slettes eller berigtiges ( 11 ).

23.

Den forelæggende ret ønsker oplyst, hvordan den skal fortolke princippet om formålsbegrænsning og princippet om opbevaringsbegrænsning, der er fastlagt i databeskyttelsesforordningens artikel 5, stk. 1, henholdsvis litra b) og e), hvilket fremgår af ordlyden af de to præjudicielle spørgsmål om disse bestemmelser. I øvrigt ønsker den forelæggende ret alene det andet spørgsmål, der drejer sig om princippet om begrænsning af opbevaringen af oplysninger, besvaret, såfremt den omhandlede behandling er uforenelig med princippet om formålsbegrænsning.

24.

Det skal imidlertid fremhæves, at de i databeskyttelsesforordningens artikel 5 fastsatte krav til behandling af personoplysninger åbenlyst er kumulative og selvstændige i forhold til hinanden ( 12 ). Problematikken om overholdelsen af princippet om opbevaringsbegrænsning er retligt uafhængig af spørgsmålet om princippet om formålsbegrænsning. I den afgørelse, der er genstand for hovedsagen, lagde databeskyttelsesmyndigheden til grund, at det var lagringen af oplysninger i en ekstra intern lagerenhed, der udgjorde tilsidesættelsen af de to førnævnte forskellige principper.

25.

Selv om den forelæggende ret formelt har begrænset det andet spørgsmål ved at gøre det betinget, er dette forhold ikke til hinder for, at Domstolen oplyser denne ret om alle de momenter angående fortolkningen, som kan være til nytte ved afgørelsen af hovedsagen ved fra samtlige de oplysninger, der er fremlagt af denne ret, og navnlig af forelæggelsesafgørelsens præmisser, at udlede de EU-retlige elementer, som det under hensyn til sagens genstand er nødvendigt at fortolke ( 13 ).

26.

Jeg finder det indledningsvis nødvendigt at undersøge rækkevidden af de to principper, der er defineret i databeskyttelsesforordningens artikel 5, stk. 1, litra b) og e), herunder i lyset af det opbevaringsbegreb, der er anvendt i forelæggelsesafgørelsen og i parternes skriftlige indlæg, for at beskrive den påklagede behandling fra to vinkler. Den første vinkel er selve handlingen at beholde eller gemme oplysningerne, hvilket i den foreliggende sag bestod i, at Digi i en ekstra intern database lagrede en kopi af nogle af sine abonnenters oplysninger. Den anden vinkel er opbevaringen i den forstand, at denne database opbevares i et givet tidsrum. Det forelagte spørgsmål drejer sig altså om varigheden af lagringen af oplysningerne. I denne forbindelse er det min opfattelse, at det førnævnte tidsaspekt ikke er omfattet af princippet om formålsbegrænsning, men alene af princippet om opbevaringsbegrænsning.

27.

Princippet om formålsbegrænsning, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, litra b), indeholder to elementer, idet personoplysningerne på den ene side skal indsamles til »udtrykkeligt angivne og legitime formål« og på den anden side ikke må »viderebehandles på en måde, der er uforenelig« med disse formål. Sigtet med dette princip er så klart som muligt at begrænse anvendelsen af personoplysninger ved at sikre ligevægt mellem overholdelsen af de registreredes grundlæggende rettigheder til privatlivets fred og beskyttelse af personoplysninger og anerkendelsen af en vis fleksibilitet til fordel for den dataansvarlige i forbindelse med forvaltningen af disse oplysninger, hvilket er nødvendigt i denne digitale tidsalder med alle dens usikkerheder.

28.

Formålet med det nævnte princips andet element, som er det, der er særlig interessant i den foreliggende sag, er at definere grænserne for, hvornår personoplysninger, der er indsamlet til et givet formål, må genanvendes. I overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra b), skal enhver behandling efter indsamlingen betragtes som »viderebehandling« og derfor, med forbehold for undtagelser, opfylde kravene til forenelighed ( 14 ). Denne bestemmelse er udtryk for nødvendigheden af en konkret, logisk og tilstrækkeligt tæt sammenhæng mellem formålet med behandlingen af personoplysninger og viderebehandlingen heraf. Med andre ord må denne behandling ikke være afkoblet fra eller i strid med det oprindelige formål med indsamlingen af oplysningerne, og dens indhold skal være foreneligt med indsamlingens eksistensberettigelse uafhængigt af ethvert tidsaspekt.

29.

Princippet om formålsbegrænsning er ikke i egentlig forstand udtryk for proportionalitetsprincippet til forskel fra princippet om opbevaringsbegrænsning, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, litra e). Som Domstolen har præciseret, følger det af kravene i denne artikel, at selv en behandling af oplysninger, der oprindeligt var lovlig, med tiden kan blive uforenelig med denne forordning, når disse oplysninger ikke længere er nødvendige af hensyn til de formål, hvortil de er blevet indsamlet, eller i forbindelse med hvilke de er blevet behandlet. Det er bl.a. tilfældet, når de forekommer utilstrækkelige, irrelevante eller ikke længere relevante eller omfatter for meget i forhold til formålet, og henset til den tid, der er gået ( 15 ).

30.

I forbindelse med princippet om opbevaringsbegrænsning skal der derfor foretages en vurdering af, om behandlingen var afpasset efter formålet for så vidt angår det omhandlede tidsrum. Det vil være i strid med dette princip at opbevare oplysningerne i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de pågældende oplysninger er blevet lagret ( 16 ). Oplysningerne skal altså slettes, når disse formål er opfyldt ( 17 ). Princippet om opbevaringsbegrænsning er således svaret på spørgsmålet om, hvornår opbevaringen af oplysningerne på en ekstra intern lagerenhed hos Digi ikke længere var begrundet.

31.

Det er på baggrund af ovenstående betragtninger, at jeg vil undersøge lovligheden af den omhandlede behandling, henset til de to ovennævnte principper.

32.

Efterprøvelsen af, om dette princips andet element er overholdt, kræver, at den omhandlede dataindsamlings formål fastslås. Det fremgår af sagens akter, der er fremlagt for Domstolen, at de pågældende oplysninger blev indsamlet af Digi med henblik på indgåelse og gennemførelse af de abonnementsaftaler, som selskabet tilbød i egenskab af leverandør af internet og TV, og at denne første behandlings lovlighed ikke er genstand for tvisten mellem parterne i hovedsagen. Det samme er tilfældet med den uomgængelige efterfølgende behandling, der bestod i lagringen af de nævnte oplysninger på en bestemt lagerenhed, som her skal betegnes som den oprindelige database ( 18 ). I denne forbindelse ønsker den forelæggende ret navnlig oplyst, om det udtrykkeligt angivne og legitime formål med indsamlingen af oplysninger »ændres« ved, at disse oplysninger er blevet kopieret til en ekstra database i tillæg til den første lagring, som parterne ikke har anfægtet.

33.

Ifølge Domstolens praksis skal de regler om beskyttelse af personoplysninger, der er indeholdt i databeskyttelsesforordningen, overholdes i forbindelse med enhver form for behandling af personoplysninger som defineret i denne forordnings artikel 2 ( 19 ). Det ovennævnte spørgsmål er efter min opfattelse udtryk for manglende kendskab til kravet om individuel vurdering af enhver behandling af oplysninger efter indsamlingen af disse, jf. i det foreliggende tilfælde databeskyttelsesforordningens artikel 5, stk. 1, litra b).

34.

Med andre ord skal hvert enkelt tilfælde af efterfølgende brug af disse oplysninger undersøges med henblik på efterprøvelse af det specifikke formål hermed og i givet fald foreneligheden heraf med indsamlingens formål. Lovligheden af denne indsamling og den indledende lagring af oplysningerne må ikke ved en form for afsmitning automatisk få indflydelse på, om en anden viderebehandling overholder princippet om formålsbegrænsning, uagtet at denne viderebehandling vedrører de samme oplysninger. Som den ungarske regering har gjort gældende, kan det ikke lægges til grund, at når blot den dataansvarlige oprindeligt har indsamlet og behandlet personoplysningerne på lovlig vis, må vedkommende lagre dem i flere filer og uden begrænsninger.

35.

Spørgsmålet om, hvorvidt viderebehandlingen af oplysningerne er forenelig med formålet med indsamlingen heraf, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra b), skal derfor undersøges. Dette spørgsmål opstår imidlertid logisk kun, såfremt denne behandling foretages med andre formål end de oprindeligt angivne.

36.

Som det er anført i 50. betragtning til denne forordning, bør behandling af personoplysninger til »andre formål« end dem, som personoplysningerne oprindeligt blev indsamlet til, således kun tillades, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindeligt blev indsamlet til. Ordlyden af den nævnte forordnings artikel 6, stk. 4, underbygger ligeledes den ovennævnte konklusion. Denne bestemmelse fastsætter en ikke-udtømmende liste over kriterier, der i en given konfiguration gør det muligt at vurdere, om behandling »til et andet formål« er forenelig med det formål, som personoplysningerne oprindeligt blev indsamlet til. Konstateringen af, at formålet med henholdsvis indsamlingen og viderebehandlingen af oplysningerne er det samme, således som Digi har hævdet, fjerner således genstanden for spørgsmålet om forenelighed og gør det muligt at fastslå, at denne behandling er lovlig efter princippet om formålsbegrænsning ( 20 ).

37.

Det fremgår af sagens akter, der er fremlagt for Domstolen, og navnlig af Digis erklæringer, at selskabet, efter at en teknisk fejl på serveren havde gjort den oprindelige database utilgængelig, lagrede en kopi af personoplysningerne på en del af sine abonnenter i en ekstra intern »testdatabase« med det formål at afhjælpe den tekniske fejl og sikre adgang til oplysningerne i overensstemmelse med den pligt, der i henhold til databeskyttelsesforordningens artikel 5, stk. 1, litra f), og mere udførligt artikel 32 ( 21 ) påhviler den dataansvarlige. Digi har bekræftet, at denne behandling således og tillige bidrog til opfyldelsen af formålet med indsamlingen af oplysningerne, nemlig levering af den aftalte tjeneste. Under disse omstændigheder havde den påklagede lagring ikke sit eget formål, hvilket udelukker enhver tilsidesættelse af denne forordnings artikel 5, stk. 1, litra b).

38.

Selv om det naturligvis tilkommer den forelæggende ret at efterprøve lovligheden af den førnævnte behandling, navnlig i henseende til de krav, der stilles i databeskyttelsesforordningens artikel 5, og i lyset af samtlige omstændigheder i den foreliggende sag, kan der gives en række retningslinjer for, hvordan den skal gribe denne opgave an.

39.

Jeg gør for det første opmærksom på, at Digi i det væsentlige har gjort rede for, at der forelå et dobbelt formål med den påklagede behandling, idet det første og specifikke mål om at afhjælpe driftsforstyrrelsen på serveren og sikre adgangen til abonnenternes oplysninger var en iboende del af det andet og generelle mål, nemlig at opfylde abonnementsaftalerne, som er sammenfaldende med formålet med den oprindelige indsamling af oplysningerne.

40.

Det er i praksis absolut tænkeligt, at personoplysninger kan indsamles eller viderebehandles med flere forskellige formål, hvilket databeskyttelsesforordningen tager højde for og tydeligt tillader, således som det fremgår af ordlyden af denne forordnings artikel 5, stk. 1, litra b), og artikel 6, stk. 1, litra a), samt 32. og 50. betragtning hertil. Denne fremgangsmåde opfylder behovet for den pragmatisme og fleksibilitet, der er nødvendig i forbindelse med den komplekse og foranderlige behandling af personoplysninger i den digitale tidsalder. Den skal dog samtidig imødekomme kravet om et præcist formål, som er et nøgleelement i gennemførelsen af det europæiske system til beskyttelse af personoplysninger.

41.

Hvis formålet er tilstrækkelig præcist, udgør det således en grundlæggende garanti for forudsigelighed og retssikkerhed, for så vidt som det bidrager til den registreredes forståelse af den eventuelle anvendelse af vedkommendes oplysninger og sætter vedkommende i stand til at træffe beslutninger på et oplyst grundlag. Denne forudsigelighed er afgørende i forbindelse med vurderingen af, om viderebehandlingen af oplysningerne er forenelig med formålet med indsamlingen heraf, og mindsker således risikoen for, at de registreredes rimelige forventninger til den mulige brug af deres oplysninger i fremtiden afviger fra den dataansvarliges behandlingsaktiviteter. Det er ligeledes nødvendigt at specificere formålet af hensyn til anvendelsen af andre krav til oplysningernes kvalitet, herunder de indsamlede oplysningers tilstrækkelighed, relevans, forholdsmæssighed og rigtighed, samt kravene til varigheden af opbevaringen af dem, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c), d) og e).

42.

Dette krav om præcisering stilles derfor, som det blev påpeget i Artikel 29-arbejdsgruppens ( 22 ) udtalelse nr. 3/2013, til enhver behandling og ikke kun i den indledende fase af indsamlingen af oplysninger. Det er værd at gøre opmærksom på, at såfremt en behandling af oplysninger sker på grundlag af den registreredes samtykke, er den kun lovlig i henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra a), hvis den pågældende har givet samtykke til, at denne behandling sker med et eller flere »specifikke« formål.

43.

Hvis en given behandling kan tjene to formål, skal hvert af disse under sådanne omstændigheder have en præcis karakter og en objektiv og tilstrækkeligt tæt sammenhæng med den pågældende behandling.

44.

Jeg gør for det andet opmærksom på den særlige sammenhæng, hvori vurderingen af den omhandlede viderebehandlings formål skal foregå.

45.

I overensstemmelse med 60. og 61. betragtning til databeskyttelsesforordningen kræver princippet om rimelig og gennemsigtig behandling, at den registrerede informeres om behandlingens eksistens og dens formål, og oplysningerne om behandlingen af vedkommendes personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen fra den pågældende registrerede. I denne henseende bestemmes det i denne forordnings artikel 13, stk. 1, litra c), at hvis personoplysninger om en registreret indsamles hos den registrerede, oplyser den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede om formålene med den behandling, som de skal bruges til, samt retsgrundlaget for behandlingen.

46.

I øvrigt er en dataansvarlig, uanset hvor forudseende og velovervejet vedkommende måtte handle, ikke nødvendigvis i stand til allerede ved udformningen af behandlingen at forudse og bestemme den nøjagtige art og rækkevidde af enhver af de operationer, der tilsammen udgør behandlingen af oplysningerne. Den foreliggende sag er ligeledes en perfekt illustration af problematikken i forbindelse med håndteringen af en teknisk fejl, der pr. definition er uventet, og den efterfølgende gennemførelse af en bestemt type behandling af oplysninger med et formål, der ikke var specificeret oprindelig.

47.

I forbindelse med, at tilsynsdatabeskyttelsesmyndigheden, som i den foreliggende sag, vurderer lovligheden af en sådan behandling, hvorefter den domstol, ved hvilken der er anlagt et søgsmål til prøvelse af tilsynsdatabeskyttelsesmyndighedens afgørelse, foretager sin vurdering, er dette formål genstand for en efterfølgende efterprøvelse baseret på de oplysninger, som den dataansvarlige har afgivet under den administrative procedure. Det er desuden den dataansvarlige i egenskab af den omhandlede behandlings ophavsmand, som det i henhold til princippet om ansvarlighed, jf. databeskyttelsesforordningens artikel 5, stk. 2, tilkommer at godtgøre, at det hævdede formål er reelt, og i givet fald at behandlingen er forenelig med formålet med indsamlingen af oplysninger ( 23 ).

48.

I denne henseende kan der tages hensyn til to konkrete og objektive elementer med henblik på efterprøvelsen af dette formål. For det første fastsættes det i databeskyttelsesforordningens artikel 13, stk. 3, at hvis personoplysninger om en registreret indsamles hos den registrerede, og hvis den dataansvarlige agter at viderebehandle dem til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål ( 24 ) og andre relevante yderligere oplysninger, jf. samme artikels stk. 2. For det andet pålægges det ifølge databeskyttelsesforordningens artikel 30, stk. 1, enhver dataansvarlig at føre fortegnelser over behandlingsaktiviteter under deres ansvar og efter anmodning at stille disse fortegnelser, der skal foreligge skriftligt, herunder elektronisk, til rådighed for tilsynsdatabeskyttelsesmyndigheden. Disse fortegnelser indeholder forskellige oplysninger, heriblandt oplysninger om formålet med behandlingen.

49.

I den foreliggende sag synes Digi ikke at have oplyst nogen af sine registrerede abonnenter om, at det var selskabets hensigt at kopiere deres oplysninger og lagre dem på en intern lagerenhed med henblik på at foretage test og fejlretning, idet denne udbyder anså den pågældende behandling for ikke at have sit eget formål, men det samme formål som indsamlingen af oplysninger og derfor for ikke at falde ind under anvendelsesområdet for databeskyttelsesforordningens artikel 13, stk. 3 ( 25 ). De akter, der er fremlagt for Domstolen, gør det i øvrigt ikke muligt at fastslå, om Digi kan opnå dispensation fra forpligtelsen til at føre fortegnelser, jf. denne forordnings artikel 30, stk. 5 ( 26 ).

50.

Jeg vil under alle omstændigheder fremhæve, at Digi i retsmødet klart har oplyst, at den tekniske fejl i 2018 ikke medførte afbrydelse af den aftalte tjeneste, idet den påklagede lagring alene var sket for at imødegå risikoen for en sådan afbrydelse. Disse udsagn skal sammenholdes med en række objektive konstateringer af faktiske forhold såsom valget af navnet til databasen, nemlig testdatabase, den omstændighed, at testdatabasen ikke indeholdt samtlige abonnenters oplysninger, men kun oplysninger på en tredjedel af abonnenterne, og det forhold, at den nævnte database efter 18 måneder, hvor Digi havde glemt den efter at have rettet den oprindelige tekniske fejl, straks blev slettet som følge af et hackerangreb i september 2019, der kompromitterede datasikkerheden.

51.

Under disse omstændigheder synes det muligt at lægge til grund, at den påklagede behandling alene opfyldte det konkrete og specifikke formål at sikre en del af abonnenternes oplysninger midlertidigt i forbindelse med afhjælpningen af en teknisk fejl, der forårsagede driftsforstyrrelser på serveren, hvilket efter min opfattelse er et andet formål end det, hvortil oplysningerne blev indsamlet.

52.

Kommissionen og Digi har derimod fastholdt, at en sådan behandling, der har til formål at opfylde den forpligtelse til sikkerhed, der påhviler den dataansvarlige i henhold til databeskyttelsesforordningens artikel 5, stk. 1, litra f), og mere udførligt artikel 32, ikke kan anses for at have et nyt eller andet formål, da det i modsat fald ville fratage denne retsakt dens effektive virkning og føre til, at oplysningen af de registrerede mister sin praktiske relevans.

53.

Denne abstrakte og systematiske tilgang er efter min opfattelse i strid med kravet om, at lovligheden af hver af behandlingens etaper vurderes under hensyntagen til alle relevante omstændigheder i den foreliggende sag. Det er i virkeligheden denne tilgang, der bevirker, at forpligtelsen, jf. databeskyttelsesforordningens artikel 13, stk. 3, til at give de registrerede de oplysninger, som skal sikre de pågældende en rimelig behandling af oplysningerne, mister sin effektive virkning ( 27 ). Denne forpligtelse er bydende nødvendig, såfremt behandlingen som i det foreliggende tilfælde sker i forbindelse med et kontraktforhold og på grundlag af denne retsakts artikel 6, stk. 1, litra b), af hensyn til opfyldelsen af kontrakten, uden at det kræver medkontrahenternes samtykke. Den nævnte tilgang tilsidesætter endelig logikken bag databeskyttelsesforordningens artikel 5, stk. 1, litra b), idet en viderebehandling, der har et andet formål end formålet med indsamlingen af oplysningerne, ikke nødvendigvis er ulovlig, da det med henblik på opfyldelsen af den førnævnte bestemmelse er tilstrækkeligt, at de pågældende formål er forenelige.

54.

Databeskyttelsesforordningens artikel 5, stk. 1, litra b), indeholder ingen angivelser af, på hvilke betingelser en viderebehandling, der har et andet formål end formålet med den oprindelige indsamling af oplysningerne, kan betragtes som værende forenelig med denne indsamling. Der skal i denne henseende henvises til databeskyttelsesforordningens artikel 6, stk. 4, sammenholdt med 50. betragtning til denne retsakt, hvis indhold afspejler en sammenhæng mellem princippet om formålsbegrænsning og retsgrundlaget for den pågældende behandling.

55.

Ved denne bestemmelse sondres der således angående kravet om forenelighed, alt efter om behandlingen til et andet formål end det, som personoplysningerne er indsamlet til, er eller ikke er baseret på den registreredes samtykke eller på EU-retten eller på en medlemsstats nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i databeskyttelsesforordningens artikel 23, stk. 1.

56.

I bekræftende fald kan den dataansvarlige ifølge 50. betragtning, andet afsnit, til databeskyttelsesforordningen viderebehandle personoplysningerne uafhængigt af formålenes forenelighed ( 28 ). Denne dispensation fra kravet om forenelighed er i det væsentlige begrundet i det forhold, at der findes andre regler for beskyttelse af de registrerede, herunder reglerne om information til de registrerede om andre formål og retten til at gøre indsigelse mod behandling ( 29 ).

57.

I benægtende fald, hvilket er tilfældet i den foreliggende sag, gør følgende sig gældende, jf. databeskyttelsesforordningens artikel 6, stk. 4:

»[…] den dataansvarlige [tager], for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:

58.

I mangel af nogen som helst formel oplysning fra Digis side på tidspunktet for indsamlingen af oplysningerne om den påtænkte viderebehandling og dennes formål bør der vælges en materiel tilgang, som efter min opfattelse vil føre til den konklusion, at behandlingen er forenelig.

59.

I denne henseende er der ubestrideligt en sammenhæng mellem formålet med den oprindelige indsamling af oplysninger, nemlig gennemførelsen af abonnementsaftalerne om internet og TV, og en behandling, hvorved disse oplysninger lagres sikkert i en ekstra intern database, og der udføres sikre test med henblik på at afhjælpe en teknisk fejl, som potentielt kan kompromittere leveringen af den aftalte tjeneste. Disse formål er ikke sammenfaldende som tidligere nævnt, men logisk nok indbyrdes forbundne.

60.

Det skal påpeges, at denne behandling ikke unddrager sig abonnenternes legitime forventninger med hensyn til den efterfølgende brug af deres oplysninger. En supplerende lagring af oplysningerne på en intern lagerenhed begrundet i behovet for at løse en teknisk fejl, der påvirker adgangen til oplysningerne i den oprindelige database, kan nemlig ikke betragtes som værende overraskende eller usandsynlig. De omhandlede oplysninger blev i øvrigt fortsat behandlet af den samme dataansvarlige og ikke overført til tredjemand, hvilket umiddelbart tyder på, at det ikke havde nogen negativ virkning. Det forhold, at ophavsmanden til det hackerangreb, som Digi var genstand for, kunne opnå adgang til oplysningerne i denne lagerenhed, kan efter min opfattelse ikke bruges til omvendt at slutte, at den omhandlede behandling var uforenelig.

61.

I henhold til databeskyttelsesforordningens artikel 5, stk. 1, litra e), skal oplysninger opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede ( 30 ) i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med denne forordnings artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som den nævnte forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder.

62.

Som nævnt er princippet om opbevaringsbegrænsning udtryk for proportionalitetsprincippet ligesom princippet om »dataminimering«, hvorefter personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles ( 31 ). I forbindelse med princippet om opbevaringsbegrænsning hænger spørgsmålet om behandlingens nødvendighed set i et tidsperspektiv sammen med spørgsmålet om opretholdelsen af dens formål.

63.

Det bør også påpeges, at iagttagelsen af kravet om proportionalitet indebærer, at undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger skal holdes inden for det strengt nødvendige ( 32 ). Domstolen har klart fastslået, at sigtet med databeskyttelsesforordningens artikel 5, stk. 1, litra e), er at beskytte de registrerede ( 33 ).

64.

Lige så udtrykkeligt anføres det i 39. betragtning til databeskyttelsesforordningen, at perioden for opbevaring af personoplysningerne »ikke er længere end strengt nødvendigt«, og at den dataansvarlige derfor bør indføre tidsfrister for sletning eller periodisk gennemgang. Databeskyttelsesforordningens artikel 13, stk. 2, litra a), bestemmer, at ud over de oplysninger, der er omhandlet i samme artikels stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede de yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, herunder det tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum ( 34 ).

65.

I denne forbindelse skal det, henset til samtlige omstændigheder, der gør sig gældende i det foreliggende tilfælde ( 35 ), fastslås, hvornår formålene med lagringen i en ekstra intern database af en kopi af visse abonnenters oplysninger i givet fald kunne anses for at være opfyldt, hvilket dermed ville fratage denne database dens eksistensberettigelse og tvinge Digi til at slette oplysningerne. Det tilkommer naturligvis den dataansvarlige i henhold til ansvarlighedsprincippet i databeskyttelsesforordningens artikel 5, stk. 2, at føre bevis for behandlingens lovlighed under hensyn til princippet om opbevaringsbegrænsning såvel som princippet om formålsbegrænsning.

66.

Idet Digi er af den opfattelse, at den påklagede behandling havde til formål at sikre oplysningerne og derved bidrage til at nå målet om at gennemføre abonnementsaftalen, har selskabet i den foreliggende sag gjort gældende, at opbevaringen af oplysningerne i testdatabasen havde en varighed, der svarede til varigheden af selskabets kontraktlige forpligtelser, hvilket udelukker enhver tilsidesættelse af databeskyttelsesforordningens artikel 5, stk. 1, litra e).

67.

For så vidt angår fastlæggelsen af formålet eller formålene henviser jeg til samtlige de konstateringer og vurderinger, der er foretaget i forbindelse med svaret på spørgsmålet om iagttagelse af princippet om formålsbegrænsning, hvoraf det følger, at det ikke kan lægges til grund, at den omhandlede behandling havde et dobbelt formål, der omfattede målet om at opfylde abonnementsaftalerne ( 36 ).

68.

Under alle omstændigheder skulle behandlingen af oplysningerne i form af lagring i en ekstra intern fil, uanset arten af formålet hermed, i lige så høj grad begrænses i tid til det strengt nødvendige. Med andre ord forsvandt den omstændighed, der begrundede lagringen og dens opretholdelse, da den oprindelige driftsforstyrrelse blev afhjulpet. Det direkte og primære mål om at sikre oplysningerne i forbindelse med afhjælpningen af den tekniske fejl, isoleret set eller endda kombineret med det indirekte og sekundære mål om at opfylde abonnementsaftalerne, kunne under disse omstændigheder ikke længere begrunde den fortsatte behandling.

69.

Det må fastslås, at Digi entydigt har oplyst, at testdatabasen var beregnet til at garantere adgangen til abonnentoplysningerne, »indtil fejlen var rettet«, og at det var af uagtsomhed, at selskabet ikke slettede den, da fejlen var blevet rettet og således ikke længere begrundede dens eksistens ( 37 ), hvilket betyder, at den påklagede behandling ikke længere var til nogen gavn og dermed ikke havde noget formål. Kan det lægges til grund, at en intern database, som den dataansvarlige selv har indrømmet at have glemt i halvandet år, stadig kan opfylde et effektivt formål? Svaret herpå må efter min opfattelse nødvendigvis være benægtende.

70.

I lyset af ovenstående betragtninger foreslår jeg, at Domstolen besvarer det af Fővárosi Törvényszék (retten i første instans i Budapest, Ungarn) forelagte spørgsmål som følger: