EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CJ0077

Euroopa Kohtu otsus (esimene koda), 20.10.2022.
Digi Távközlési és Szolgáltató Kft. versus Nemzeti Adatvédelmi és Információszabadság Hatóság.
Eelotsusetaotlus, mille on esitanud Fővárosi Törvényszék.
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 5 lõike 1 punktid b ja e – Eesmärkide piirangu põhimõte – Säilitamise piirangu põhimõte – Olemasoleva andmebaasi põhjal testandmebaasi loomine vigade parandamiseks – Andmete edasine töötlemine – Nende andmete edasise töötlemise kooskõla algse kogumise eesmärkidega – Säilitamise aeg neid eesmärke arvesse võttes.
Kohtuasi C-77/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:805

  The document is unavailable in your User interface language.

 EUROOPA KOHTU OTSUS (esimene koda)

20. oktoober 2022 ( *1 )

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 5 lõike 1 punktid b ja e – Eesmärkide piirangu põhimõte – Säilitamise piirangu põhimõte – Olemasoleva andmebaasi põhjal testandmebaasi loomine vigade parandamiseks – Andmete edasine töötlemine – Nende andmete edasise töötlemise kooskõla algse kogumise eesmärkidega – Säilitamise aeg neid eesmärke arvesse võttes

Kohtuasjas C‑77/21,

mille ese on ELTL artikli 267 alusel Fővárosi Törvényszéki (Pealinna kohus, Ungari) 21. jaanuari 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 8. veebruaril 2021, menetluses

Digi Távközlési és Szolgáltató Kft.

versus

Nemzeti Adatvédelmi és Információszabadság Hatóság,

EUROOPA KOHUS (esimene koda),

koosseisus: koja president A. Arabadjiev, Euroopa Kohtu asepresident L. Bay Larsen esimese koja kohtuniku ülesannetes, kohtunikud P. G. Xuereb, A. Kumin ja I. Ziemele (ettekandja),

kohtujurist: P. Pikamäe,

kohtusekretär: ametnik I. Illéssy,

arvestades kirjalikku menetlust ja 17. jaanuari 2022. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

Digi Távközlési és Szolgáltató Kft., esindajad: ügyvéd R. Hatala ja ügyvéd A. D. László,

Nemzeti Adatvédelmi és Információszabadság Hatóság, esindajad: G. Barabás, keda abistasid ügyvéd G. J. Dudás ja ügyvéd Á. Hargita,

Ungari valitsus, esindajad: Zs. Biró‑Tóth ja M. Z. Fehér,

Tšehhi valitsus, esindajad: T. Machovičová, M. Smolek ja J. Vláčil,

Portugali valitsus, esindajad: P. Barros da Costa, L. Inez Fernandes, I. Oliveira, M. J. Ramos ja C. Vieira Guerra,

Euroopa Komisjon, esindajad: V. Bottka ja H. Kranenborg,

olles 31. märtsi 2022. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1

Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1, parandus ELT 2018, L 127, lk 3) artikli 5 lõike 1 punkte b ja e.

2

Taotlus on esitatud Digi Távközlési és Szolgáltató Kft. (edaspidi „Digi“), mis on üks peamisi interneti- ja televisiooniteenuste pakkujaid Ungaris, ja Nemzeti Adatvédelmi és Információszabadság Hatósági (riiklik andmekaitse- ja teabevabaduse amet, Ungari; edaspidi „amet“) vahelises vaidluses, mis puudutab Digi andmebaasis olevate isikuandmetega seotud rikkumist.

Õiguslik raamistik

3

Määruse 2016/679 põhjendustes 10 ja 50 on märgitud järgmist:

„(10)

Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus.

[…]“

(50)

Isikuandmete töötlemine muudel eesmärgil kui need, milleks isikuandmed algselt koguti, peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks isikuandmed algselt koguti. Sellisel juhul ei ole nõutav, et õiguslik alus oleks erinev õiguslikust alusest, mis võimaldas isikuandmete kogumist. […] Selleks et teha kindlaks, kas edasise töötlemise eesmärk vastab eesmärgile, mille jaoks isikuandmed algselt koguti, peaks vastutav töötleja võtma pärast kõikide esialgse töötlemise seaduslikkuse seisukohast vajalike nõuete täitmist muu hulgas arvesse mis tahes seoseid sellise eesmärgi ja kavandatava edasise töötlemise eesmärgi vahel, isikuandmete kogumise konteksti, eelkõige andmesubjekti ja vastutava töötleja vahelisel suhtel põhinevaid andmesubjekti mõistlikke ootusi andmete edasise kasutamise suhtes, isikuandmete laadi, kavandatava edasise töötlemise tagajärgi andmesubjekti jaoks ning asjakohaste kaitsemeetmete olemasolu nii esialgsetes kui ka kavandatavates edasistes isikuandmete töötlemise toimingutes.“

4

Määruse 2016/679 artiklis 4 „Mõisted“ on sätestatud järgmist:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

2)

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]“.

5

Selle määruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on sätestatud järgmist:

„1.   Isikuandmete töötlemisel tagatakse, et:

a)

töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)

isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)

isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

f)

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2.   Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

6

Nimetatud määruse artiklis 6 „Isikuandmete töötlemise seaduslikkus“ on ette nähtud järgmist:

„1.   Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)

andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

b)

isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

c)

isikuandmete töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;

d)

isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;

e)

isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

f)

isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.

[…]

4.   Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 23 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse

a)

seost nende eesmärkide, mille jaoks isikuandmeid koguti, ja kavandatava edasise töötlemise eesmärkide vahel;

b)

isikuandmete kogumise konteksti, eelkõige andmesubjektide ja vastutava töötleja vahelist seost;

c)

isikuandmete laadi, eelkõige seda, kas töödeldakse isikuandmete eriliike vastavalt artiklile 9 või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmeid vastavalt artiklile 10;

d)

kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks;

e)

asjakohaste kaitsemeetmete olemasolu, milleks võivad olla näiteks krüpteerimine ja pseudonümiseerimine.“

Põhikohtuasi ja eelotsuse küsimused

7

Digi on üks peamisi interneti- ja televisiooniteenuste pakkujaid Ungaris.

8

Digi koostas pärast 2018. aasta aprilli tehnilist tõrget, mis kahjustas ühe serveri tööd, nn testandmebaasi (edaspidi „testandmebaas“), millesse ta kopeeris umbes kolmandiku oma eraklientide isikuandmed, mida säilitati ühes teises andmebaasis nimega digihu, millega sai ühendust veebisaidi www.digi.hu kaudu ja mis sisaldas selliste isikute ajakohastatud isikuandmeid, kes olid sellega liitunud, et neile edastataks Digi infokiri otseturunduse eesmärgil, ning süsteemiadministraatori andmeid, millega sai ligi veebisaidi platvormile.

9

Digi sai 23. septembril 2019 teada, et üks „eetiline häkker“ on saanud kätte umbes 322000 isiku isikuandmed. Rünnakust teatas sellele ettevõtjale „eetiline häkker“ ise, kes esitas tõendina väljavõtte ühest testandmebaasi reast. Digi parandas juurdepääsu võimalikuks teinud puuduse ja sõlmis selle isikuga konfidentsiaalsuskokkuleppe ning pakkus talle tasu.

10

Pärast testandmebaasi kustutamist teatas Digi 25. septembril 2019 ametile isikuandmetega seotud rikkumisest, mille järel see amet algatas uurimise.

11

Amet järeldas 18. mai 2020. aasta otsuses muu hulgas esiteks, et Digi on rikkunud isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkte b ja e sellega, et pärast vajalike testide tegemist ja tõrgete kõrvaldamist ei kustutanud ta kohe testandmebaasi, mistõttu säilitas ta suurt hulka sellesse testandmebaasi salvestatud isikuandmeid ligi 18 kuud ilma igasuguse eesmärgita failis, mis võimaldas andmesubjekte identifitseerida. Sellest tulenevalt määras amet Digile trahvi summas 100000000 Ungari forintit (HUF) (ligikaudu 248000 eurot).

12

Digi vaidlustas selle otsuse õiguspärasuse eelotsusetaotluse esitanud kohtus.

13

Viimane märgib, et isikuandmed, mille Digi oli kopeerinud testandmebaasi, olid kogutud liitumislepingute sõlmimiseks ja et amet ei ole isikuandmete algse kogumise õiguspärasust kahtluse alla seadnud. See kohus soovib siiski teada, kas andmete kogumise ja töötlemise eesmärk on muutunud, kuna teatud kindlal eesmärgil kogutud andmed kopeeriti teise andmebaasi. Ta lisab, et tal tuleb ka kindlaks teha, kas testandmebaasi loomine ja klientide andmete sel viisil töötlemise jätkamine on kooskõlas nende andmete algse kogumise eesmärgiga. Määruse 2016/679 artikli 5 lõike 1 punktis b toodud eesmärkide piirangu põhimõte ei anna selgeid juhiseid selle kohta, millistes sisesüsteemides on vastutaval töötlejal õigus seaduslikult kogutud andmeid töödelda või kas ta võib neid andmeid kopeerida testandmebaasi, ilma et ta muudaks andmete algse kogumise eesmärki.

14

Juhul kui testandmebaasi loomine on andmete algse kogumise eesmärgiga vastuolus, soovib eelotsusetaotluse esitanud kohus samuti teada, kas juhul, kui klientide andmete teises andmebaasis töötlemise eesmärk ei ole vigade parandamine, vaid lepingute sõlmimine, tuleb vajalik säilitamise aeg viia määruse 2016/679 artikli 5 lõike 1 punktis e toodud säilitamise piirangu põhimõtte kohaselt kooskõlla vigade parandamiseks vajaliku ajaga või pigem lepinguliste kohustuste täitmiseks vajaliku ajaga.

15

Neil asjaoludel otsustas Fővárosi Törvényszék (Pealinna kohus, Ungari) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Kas […] määruse 2016/679 […] artikli 5 lõike 1 punktis b määratletud mõistet „eesmärgi piirang“ tuleb tõlgendada nii, et selle mõistega on kooskõlas ka see, kui vastutav töötleja säilitab isikuandmeid, mis on muidu kogutud teatud kindlatel ja õiguspärastel eesmärkidel ja mida säilitatakse kooskõlas nende eesmärkidega, paralleelselt ka teises andmebaasis, või vastupidi nii, et andmete säilitamine paralleelses andmebaasis ei ole enam kooskõlas õiguspäraste eesmärkidega, mille jaoks need andmed koguti?

2.

Kas juhul, kui esimesele küsimusele vastatakse, et andmete paralleelne säilitamine ei ole iseenesest eesmärgi piirangu põhimõttega kooskõlas, on määruse 2016/679 artikli 5 lõike 1 punktis e sätestatud säilitamise piirangu põhimõttega kooskõlas see, et vastutav töötleja säilitab paralleelselt teises andmebaasis isikuandmeid, mis on muidu kogutud ja mida säilitatakse piiratud õiguspärastel eesmärkidel?“

Eelotsuse küsimuste analüüs

Vastuvõetavus

16

Amet ja Ungari valitsus avaldasid kahtlust eelotsuse küsimuste vastuvõetavuse suhtes, kuna need küsimused ei vasta põhikohtuasja asjaoludele ega ole selle lahendamiseks otseselt asjakohased.

17

Sellega seoses tuleb esiteks korrata, et Euroopa Kohtu väljakujunenud praktika kohaselt on üksnes asja menetleva ja selle lahendamise eest vastutava liikmesriigi kohtu ülesanne kohtuasja eripära arvesse võttes hinnata nii eelotsusetaotluse vajalikkust asjas otsuse tegemiseks kui ka Euroopa Kohtule esitatavate küsimuste asjakohasust. Seega, kui küsimused on esitatud liidu õigusnormi tõlgendamise või kehtivuse kohta, on Euroopa Kohus üldjuhul kohustatud vastama. Sellest järeldub, et eeldatakse, et liidu õigust puudutavad küsimused on asjakohased. Liikmesriigi kohtu esitatud eelotsusetaotluse võib Euroopa Kohus jätta läbi vaatamata vaid siis, kui ilmneb, et tõlgendamine, mida liikmesriigi kohus palub, ei ole mingil viisil seotud põhikohtuasja faktiliste asjaolude või esemega, või ka juhul, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada faktilised või õiguslikud asjaolud, mis on vajalikud esitatud küsimustele tarviliku vastuse andmiseks (16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 73 ja seal viidatud kohtupraktika).

18

Käesoleval juhul on eelotsusetaotluse esitanud kohtule esitatud hagi, milles palutakse tühistada otsus, millega Digile kui vastutavale andmetöötlejale määrati karistus selle eest, et ta eiras määruse 2016/679 artikli 5 lõike 1 punktides b ja e ette nähtud eesmärgi piirangu põhimõtet ning säilitamise piirangu põhimõtet, jättes kustutamata andmebaasi, mis sisaldab isikuandmeid, mis võimaldavad andmesubjektid tuvastada. Eelotsuse küsimused puudutavad just nende sätete tõlgendamist, mistõttu ei saa asuda seisukohale, et taotletud liidu õiguse tõlgendusel ei ole seost põhikohtuasja faktiliste asjaolude või esemega või et see on hüpoteetiline. Lisaks sisaldab eelotsusetaotlus piisavaid faktilisi ja õiguslikke asjaolusid, et anda eelotsusetaotluse esitanud kohtu küsimustele tarvilik vastus.

19

Teiseks on oluline korrata, et ELTL artiklis 267 sätestatud menetluses, mis põhineb liikmesriikide kohtute ja Euroopa Kohtu ülesannete selgel eristamisel, on ainult liikmesriigi kohus pädev tõlgendama ja kohaldama riigisiseseid õigusnorme, samas kui Euroopa Kohus on pädev otsustama üksnes liidu õigusnormide tõlgenduse või kehtivuse üle, lähtudes talle liikmesriigi kohtu poolt esitatud faktilistest asjaoludest (5. mai 2022. aasta kohtuotsus Zagrebačka banka, C‑567/20, EU:C:2022:352, punkt 45 ja seal viidatud kohtupraktika).

20

Seetõttu tuleb tagasi lükata eelotsuse küsimuste vastuvõetamatuse kohta esitatud argumendid, mille amet ja Ungari valitsus tuletavad sisuliselt sellest, et eelotsuse küsimused ei vasta nende arvates põhikohtuasja asjaoludele.

21

Järelikult on eelotsuse küsimused vastuvõetavad.

Sisulised küsimused

Esimene küsimus

22

Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas määruse 2016/679 artikli 5 lõike 1 punkti b tuleb tõlgendada nii, et selles sättes ette nähtud eesmärgi piirangu põhimõttega on vastuolus see, kui vastutav töötleja salvestab ja säilitab andmebaasis, mis on loodud testide tegemiseks ja vigade parandamiseks, varem kogutud ja teises andmebaasis säilitatud isikuandmeid.

23

Väljakujunenud kohtupraktika kohaselt tuleb liidu õigusnormi tõlgendamisel arvesse võtta mitte ainult normi sõnastust, vaid ka selle konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osa õigusnorm on (1. augusti 2022. aasta kohtuotsus HOLD Alapkezelő, C‑352/20, EU:C:2022:606, punkt 42 ja seal viidatud kohtupraktika).

24

Sellega seoses tuleb esimesena märkida, et määruse 2016/679 artikli 5 lõikes 1 on kindlaks määratud isikuandmete töötlemise põhimõtted, mis on seotud vastutava töötlejaga ja mille järgimist peab viimane vastavalt selle artikli lõikes 2 sätestatud vastutuspõhimõttele tõendama.

25

Täpsemalt, vastavalt selle määruse artikli 5 lõike 1 punktile b, milles on sätestatud eesmärgi piirangu põhimõte, tuleb isikuandmeid esiteks koguda täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning teiseks ei tohi neid töödelda hiljem viisil, mis on nende eesmärkidega vastuolus.

26

Seega nähtub selle sätte sõnastusest, et see sisaldab kahte nõuet, millest üks puudutab isikuandmete esmase kogumise eesmärke ja teine nende andmete edasist töötlemist.

27

Esiteks, mis puudutab nõuet, et isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ja õiguspärastel eesmärkidel, siis tuleneb Euroopa Kohtu praktikast, et kõigepealt eeldab see, et isikuandmed tuleb kindlaks teha hiljemalt isikuandmete kogumisel, seejärel, et töötlemise eesmärgid on selgelt esitatud, ning lõpuks, et need eesmärgid tagavad eelkõige nende andmete töötlemise õiguspärasuse määruse 2016/679 artikli 6 lõike 1 tähenduses (vt selle kohta 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punktid 6466).

28

Käesoleval juhul nähtub esimese küsimuse sõnastusest ja eelotsusetaotluse põhjendustest, et põhikohtuasjas kõnealused isikuandmed koguti täpselt ja selgelt kindlaksmääratud ja õiguspärastel eesmärkidel, kusjuures eelotsusetaotluse esitanud kohus täpsustab muu hulgas, et need andmed koguti Digi poolt klientidega liitumislepingute sõlmimiseks ja täitmiseks vastavalt määruse 2016/679 artikli 6 lõike 1 punktile b.

29

Teiseks, mis puudutab nõuet, et isikuandmeid ei tohi hiljem töödelda viisil, mis oleks vastuolus nende eesmärkidega, siis tuleb ühest küljest märkida, et vastutava töötleja poolt uues andmebaasis selliste isikuandmete salvestamine ja säilitamine, mis on säilitatud ühes teises andmebaasis, kujutab endast nende andmete „edasist töötlemist“.

30

Mõiste „töötlemine“ on määruse 2016/679 artikli 4 punktis 2 nimelt määratletud laialt kui isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu nende andmete kogumine, dokumenteerimine ja säilitamine.

31

Lisaks, vastavalt sõna „edasine“ tavatähendusele tavakeeles on igasugune isikuandmete töötlemine, mis toimub pärast esmakordset töötlemist, mis seisneb nende andmete algses kogumises, nende andmete „edasine“ töötlemine, sõltumata selle edasise töötlemise eesmärgist.

32

Teisest küljest tuleb märkida, et määruse 2016/679 artikli 5 lõike 1 punktis b ei ole mingit teavet selle kohta, millistel tingimustel võib isikuandmete edasist töötlemist pidada nende andmete algse kogumise eesmärkidega kooskõlas olevaks.

33

Teisena annab selle sätte kontekst siiski selle kohta tarvilikke täpsustusi.

34

Määruse 2016/679 artikli 5 lõike 1 punktist b, artikli 6 lõike 1 punktist a ja artikli 6 lõikest 4 koostoimes ilmneb nimelt, et küsimus, kas isikuandmete edasine töötlemine on kooskõlas eesmärkidega, milleks need andmed algul koguti, tekib üksnes juhul, kui edasise töötlemise eesmärgid ei ole algse kogumise eesmärkidega identsed.

35

Lisaks tuleneb artikli 6 lõikest 4 koostoimes selle määruse põhjendusega 50, et kui töötlemine muul eesmärgil kui see, milleks andmeid koguti, ei põhine andmesubjekti nõusolekul või liidu või liikmesriigi õigusel, siis tuleb selleks, et kindlaks teha, kas muul eesmärgil töötlemine on kooskõlas isikuandmete algse kogumise eesmärgiga, võtta arvesse esiteks seost eesmärkide, mille jaoks isikuandmeid koguti, ja kavandatava edasise töötlemise eesmärkide vahel; teiseks isikuandmete kogumise konteksti, eelkõige andmesubjektide ja vastutava töötleja vahelist seost; kolmandaks isikuandmete laadi; neljandaks kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks ning lõpuks, viiendaks asjakohaste kaitsemeetmete olemasolu nii algse kui ka kavandatava edasise töötlemise raames.

36

Nagu kohtujurist oma ettepaneku punktides 28, 59 ja 60 sisuliselt märkis, väljendavad need kriteeriumid vajadust, et isikuandmete algse kogumise ja nende andmete edasise töötlemise eesmärkide vahel oleks konkreetne, loogiline ja piisavalt tihe seos, ning võimaldavad veenduda, et see edasine töötlemine ei kalduks kõrvale abonentide õiguspärasest ootusest nende andmete edasise kasutamise suhtes.

37

Kolmandana võimaldavad need kriteeriumid – nagu ka kohtujurist oma ettepaneku punktis 27 sisuliselt rõhutas – piiritleda varem kogutud isikuandmete korduskasutamise, tagades tasakaalu ühelt poolt varem kogutud isikuandmete töötlemise ettenähtavuse ja õiguskindluse vajaduse ning teiselt poolt vastutava töötleja jaoks nende andmete haldamisel teatud paindlikkuse tunnustamise vahel, mis aitab kaasa määruse 2016/679 põhjenduses 10 nimetatud eesmärgile tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse.

38

Seega, võttes arvesse käesoleva kohtuotsuse punktis 35 nimetatud kriteeriume ja kõiki juhtumit iseloomustavaid asjaolusid, tuleb liikmesriigi kohtul kindlaks teha nii isikuandmete algse kogumise kui ka nende andmete edasise töötlemise eesmärgid ning juhul, kui selle edasise töötlemise eesmärgid erinevad selle kogumise eesmärkidest, kontrollida, kas nimetatud andmete edasine töötlemine on kooskõlas algse kogumise eesmärkidega.

39

Samas võib Euroopa Kohus eelotsusetaotlust lahendades vajaduse korral esitada täpsustused, mis annavad liikmesriigi kohtule juhised otsuse tegemisel (vt selle kohta 7. aprilli 2022. aasta kohtuotsus Fuhrmann‑2, C‑249/21, EU:C:2022:269, punkt 32).

40

Käesoleval juhul, nagu on esiteks korratud käesoleva kohtuotsuse punktis 13, nähtub eelotsusetaotlusest, et algul kogus isikuandmed vastutav töötleja Digi, selleks et sõlmida ja täita oma eraklientidega sõlmitud liitumislepinguid.

41

Teiseks ei ole põhikohtuasja pooled ühel meelel küsimuses, milline on kõnealuste isikuandmete Digi poolt testandmebaasis salvestamise ja säilitamise konkreetne eesmärk. Kui Digi väidab, et testandmebaasi loomise konkreetne eesmärk oli tagada juurdepääs abonentide andmetele seni, kuni vead parandatakse, nii et see eesmärk on identne nende andmete algse kogumise eesmärkidega, siis amet väidab, et edasise töötlemise konkreetne eesmärk oli nendest eesmärkidest erinev, kuna see seisnes testide tegemises ja vigade parandamises.

42

Sellega seoses tuleb korrata, et käesoleva kohtuotsuse punktis 19 viidatud kohtupraktikast tuleneb, et ELTL artikli 267 järgses menetluses, mis põhineb liikmesriikide kohtute ja Euroopa Kohtu ülesannete selgel eristamisel, on ainult liikmesriigi kohus pädev tõlgendama ja kohaldama liikmesriigi õigusnorme, samas kui Euroopa Kohus on pädev otsustama üksnes liidu õigusnormide tõlgenduse või kehtivuse üle, lähtudes talle liikmesriigi kohtu poolt esitatud asjaoludest.

43

Eelotsusetaotlusest nähtub aga, et Digi lõi testandmebaasi selleks, et teha teste ja parandada vigu, mistõttu eelotsusetaotluse esitanud kohtul tuleb nende eesmärkide seisukohast hinnata, kas edasine töötlemine on kooskõlas algse kogumise eesmärkidega, milleks on liitumislepingute sõlmimine ja täitmine.

44

Kolmandaks, mis puudutab seda hinnangut, siis tuleb märkida, et testide tegemisel ja vigade parandamisel, mis mõjutavad abonentide andmebaasi, on konkreetne seos eraklientide abonementlepingute täitmisega, kuna sellised vead võivad kahjustada lepingus ette nähtud teenuse osutamist, mille jaoks andmeid algul koguti. Nagu kohtujurist oma ettepaneku punktis 60 märkis, ei erine selline töötlemine kliendi õiguspärasest ootusest nende isikuandmete edasise kasutamise suhtes. Pealegi ei nähtu eelotsusetaotlusest, et kõik need andmed või osa neist oleks olnud delikaatsed või et nende edasisel töötlemisel oleks iseenesest olnud kahjulikke tagajärgi abonentidele või et sellega ei oleks kaasnenud asjakohaseid tagatisi, mida peab igal juhul kontrollima eelotsusetaotluse esitanud kohus.

45

Eeltoodud kaalutlustest tuleneb, et esimesele küsimusele tuleb vastata, et määruse 2016/679 artikli 5 lõike 1 punkti b tuleb tõlgendada nii, et selles sättes ette nähtud eesmärgi piirangu põhimõttega ei ole vastuolus see, kui vastutav töötleja salvestab ja säilitab testide tegemiseks ja vigade parandamiseks loodud andmebaasis isikuandmeid, mis on algul kogutud ja säilitatud teises andmebaasis, kui selline edasine töötlemine on kooskõlas konkreetsete eesmärkidega, milleks isikuandmeid algul koguti, mis tuleb kindlaks määrata, arvestades selle määruse artikli 6 lõikes 4 osutatud kriteeriume.

Teine küsimus

46

Kõigepealt tuleb märkida, et eelotsusetaotluse esitanud kohus esitas teise küsimuse, mis käsitleb seda, kas määruse 2016/679 artikli 5 lõike 1 punktis e sätestatud „säilitamise piiranguga“ on kooskõlas Digi poolt oma klientide isikuandmete säilitamine testandmebaasis, üksnes juhuks, kui esimesele küsimusele, nii nagu see on ümber sõnastatud, vastatakse jaatavalt, see tähendab juhuks, kui see säilitamine ei ole kooskõlas eesmärgi piirangu põhimõttega, mis on ette nähtud selle määruse artikli 5 lõike 1 punktis b.

47

Ent esiteks, nagu märkis kohtujurist oma ettepaneku punktis 24, on määruse 2016/679 artiklis 5 sätestatud isikuandmete töötlemise põhimõtted kohaldatavad kumulatiivselt. Järelikult peab isikuandmete säilitamine järgima mitte ainult eesmärgi piirangu põhimõtet, vaid ka säilitamise piirangu põhimõtet.

48

Teiseks tuleb korrata, et nagu nähtub määruse 2016/679 põhjendusest 10, on määruse eesmärk eelkõige tagada liidus füüsiliste isikute kõrgetasemeline kaitse ja selleks tagada nende isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus.

49

Selleks on selle määruse II ja III peatükis sätestatud vastavalt isikuandmete töötlemist reguleerivad põhimõtted ja andmesubjekti õigused, mida tuleb mis tahes isikuandmete töötlemisel järgida. Isikuandmete igasugusel töötlemisel tuleb eelkõige ühelt poolt järgida andmete töötlemise põhimõtteid, mis on sätestatud isikuandmete kaitse üldmääruse artiklis 5, ning teiselt poolt, arvestades eelkõige selle artikli lõike 1 punktis a ette nähtud töötlemise seaduslikkuse põhimõtet, vastata ühele andmetöötluse õiguspärasuse põhimõtetest, mis on loetletud sama määruse artiklis 6 (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 96, ja 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil, C‑175/20, EU:C:2022:124, punkt 50).

50

Neid kaalutlusi silmas pidades tuleb märkida, et kuigi eelotsusetaotluse esitanud kohus esitas teise küsimuse formaalselt ainult juhuks, kui esimesele küsimusele, nagu see on ümber sõnastatud, vastatakse jaatavalt, ei takista see asjaolu Euroopa Kohtul esitada liikmesriigi kohtule kõiki liidu õiguse tõlgendamise aspekte, mis võivad olla tarvilikud liikmesriigi kohtu menetluses oleva kohtuasja hindamisel (vt selle kohta 17. märtsi 2022. aasta kohtuotsus Daimler, C‑232/20, EU:C:2022:196, punkt 49), ning seega sellele teisele küsimusele vastata.

51

Neil asjaoludel tuleb asuda seisukohale, et selle küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas määruse 2016/679 artikli 5 lõike 1 punkti e tuleb tõlgendada nii, et selles sättes ette nähtud säilitamise piirangu põhimõttega on vastuolus see, kui vastutav töötleja säilitab andmebaasis, mis on loodud testide tegemiseks ja vigade parandamiseks, isikuandmeid, mis on varem kogutud muude eesmärkide saavutamiseks, pikemat aega, kui on vaja nende testide tegemiseks ja vigade parandamiseks.

52

Esiteks tuleb märkida, et määruse 2016/679 artikli 5 lõike 1 punkti e kohaselt tuleb isikuandmeid säilitada kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik nende töötlemise eesmärkide saavutamiseks.

53

Selle artikli sõnastusest nähtub seega üheselt, et säilitamise piirangu põhimõte nõuab, et vastutav töötleja saaks kooskõlas käesoleva kohtuotsuse punktis 24 korratud vastutuspõhimõttega tõendada, et isikuandmeid säilitatakse üksnes ajavahemikul, mis on vajalik andmete kogumise või edasise töötlemise eesmärkide saavutamiseks.

54

Sellest tuleneb, et isegi alguses seaduslik andmete töötlemine võib aja möödudes minna määrusega 2016/679 vastuollu, kui neid andmeid ei ole enam vaja eesmärgil, milleks neid koguti või töödeldi (24. septembri 2019. aasta kohtuotsus GC jt (delikaatsetele andmetele viitavate linkide eemaldamine), C‑136/17, EU:C:2019:773, punkt 74), ning et need andmed tuleb nimetatud eesmärkide saavutamisel kustutada (vt selle kohta 7. mai 2009. aasta kohtuotsus Rijkeboer, C‑553/07, EU:C:2009:293, punkt 33).

55

Teiseks on see tõlgendus kooskõlas määruse 2016/679 artikli 5 lõike 1 punkti e kontekstiga.

56

Sellega seoses on käesoleva kohtuotsuse punktis 49 korratud, et igasugune isikuandmete töötlemine peab olema kooskõlas nimetatud määruse artiklis 5 sätestatud andmetöötluse põhimõtetega ja vastama ühele sama määruse artiklis 6 loetletud töötlemise seaduslikkuse tingimustest.

57

Ent esiteks, nagu nähtub artiklist 6, kui andmesubjekt ei ole vastavalt määruse 2016/679 artikli 6 lõike 1 punktile a nõustunud oma isikuandmete töötlemisega ühel või mitmel konkreetsel eesmärgil, peab töötlemine, nagu nähtub nimetatud lõike punktidest b–f, vastama vajalikkuse nõudele.

58

Teiseks tuleneb selline vajalikkuse nõue ka selle määruse artikli 5 lõike 1 punktis c ette nähtud „võimalikult väheste andmete kogumise“ põhimõttest, mille kohaselt isikuandmed peavad olema asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärkide seisukohast.

59

Kolmandaks on niisugune tõlgendus kooskõlas määruse 2016/679 artikli 5 lõike 1 punktiga e taotletava eesmärgiga, milleks on eelkõige tagada liidus isikuandmete töötlemisel füüsiliste isikute kõrgetasemeline kaitse, nagu on korratud käesoleva kohtuotsuse punktis 48.

60

Käesoleval juhul väitis Digi, et see, et pärast testide tegemist ja vigade parandamist ei kustutatud osa tema eraklientide isikuandmeid, mida säilitati testandmebaasis, toimus tahtmatult.

61

Sellega seoses piisab, kui märkida, et see argument ei ole asjakohane hindamisel, kas andmed on säilitatud pikemaks ajavahemikuks kui see, mis on vajalik nende edasise töötlemise eesmärkide saavutamiseks, rikkudes määruse 2016/679 artikli 5 lõike 1 punktis e ette nähtud säilitamise piirangu põhimõtet.

62

Eeltoodud kaalutlustest tuleneb, et teisele küsimusele tuleb vastata, et määruse 2016/679 artikli 5 lõike 1 punkti e tuleb tõlgendada nii, et selles sättes ette nähtud säilitamise piirangu põhimõttega on vastuolus see, kui vastutav töötleja hoiab testide tegemiseks ja vigade parandamiseks loodud andmebaasis isikuandmeid, mis on varem kogutud muudel eesmärkidel, pikemat aega, kui on vaja nende testide tegemiseks ja vigade parandamiseks.

Kohtukulud

63

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus poolelioleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

 

Esitatud põhjendustest lähtudes Euroopa Kohus (esimene koda) otsustab:

 

1.

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 5 lõike 1 punkti b

tuleb tõlgendada nii, et

et selles sättes ette nähtud eesmärgi piirangu põhimõttega ei ole vastuolus see, kui vastutav töötleja salvestab ja säilitab testide tegemiseks ja vigade parandamiseks loodud andmebaasis isikuandmeid, mis on algul kogutud ja säilitatud teises andmebaasis, kui selline edasine töötlemine on kooskõlas konkreetsete eesmärkidega, milleks isikuandmeid algul koguti, mis tuleb kindlaks määrata, arvestades selle määruse artikli 6 lõikes 4 osutatud kriteeriume.

 

2.

Määruse 2016/679 artikli 5 lõike 1 punkti e

tuleb tõlgendada nii, et

selles sättes ette nähtud säilitamise piirangu põhimõttega on vastuolus see, kui vastutav töötleja hoiab testide tegemiseks ja vigade parandamiseks loodud andmebaasis isikuandmeid, mis on varem kogutud muudel eesmärkidel, pikemat aega, kui on vaja nende testide tegemiseks ja vigade parandamiseks.

 

Allkirjad


( *1 ) Kohtumenetluse keel: ungari.

Top