UNIONIN TUOMIOISTUIMEN TUOMIO (ensimmäinen jaosto)

20 päivänä lokakuuta 2022 ( *1 )

Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 5 artiklan 1 kohdan b ja e alakohta – Käyttötarkoitussidonnaisuuden periaate – Säilytyksen rajoittamisen periaate – Tietokannan luominen kokeiden tekemistä ja virheiden korjaamista varten olemassa olevan tietokannan perusteella – Henkilötietojen myöhempi käsittely – Kyseisten henkilötietojen myöhemmän käsittelyn yhteensopivuus alkuperäisen keruun tarkoituksen kanssa – Kyseisiin tarkoituksiin perustuva säilytysaika

Asiassa C-77/21,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Fővárosi Törvényszék (Budapestin alioikeus, Unkari) on esittänyt 21.1.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 8.2.2021, saadakseen ennakkoratkaisun asiassa

Digi Távközlési és Szolgáltató Kft.

vastaan

Nemzeti Adatvédelmi és Információszabadság Hatóság,

UNIONIN TUOMIOISTUIN (ensimmäinen jaosto),

toimien kokoonpanossa: jaoston puheenjohtaja A. Arabadjiev, varapresidentti L. Bay Larsen, joka hoitaa ensimmäisen jaoston tuomarin tehtäviä, sekä tuomarit P. G. Xuereb, A. Kumin ja I. Ziemele (esittelevä tuomari),

julkisasiamies: P. Pikamäe,

kirjaaja: hallintovirkamies I. Illéssy,

ottaen huomioon kirjallisessa käsittelyssä ja 17.1.2022 pidetyssä istunnossa esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–	Digi Távközlési és Szolgáltató Kft., edustajinaan R. Hatala ja A. D. László, ügyvédek,

–	Nemzeti Adatvédelmi és Információszabadság Hatóság, edustajinaan G. Barabás, oikeudellinen neuvonantaja, avustajinaan G. J. Dudás ja Á. Hargita, ügyvédek,

–	Unkarin hallitus, asiamiehinään Zs. Biró-Tóth ja M. Z. Fehér,

–	Tšekin hallitus, asiamiehinään T. Machovičová, M. Smolek ja J. Vláčil,

–	Portugalin hallitus, asiamiehinään P. Barros da Costa, L. Inez Fernandes, I. Oliveira, M. J. Ramos ja C. Vieira Guerra,

–	Euroopan komissio, asiamiehinään V. Bottka ja H. Kranenborg,

kuultuaan julkisasiamiehen 31.3.2022 pidetyssä istunnossa esittämän ratkaisuehdotuksen,

on antanut seuraavan

tuomion

Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 5 artiklan 1 kohdan b ja e alakohdan tulkintaa.

Tämä pyyntö on esitetty asiassa, jossa ovat vastakkain Digi Távközlési és Szolgáltató Kft. (jäljempänä Digi), joka on yksi merkittävimmistä internet- ja televisiopalvelujen tarjoajista Unkarissa, ja Nemzeti Adatvédelmi és Információszabadság Hatóság (kansallinen tietosuoja- ja tiedonvapausviranomainen, Unkari, jäljempänä kansallinen tietosuojaviranomainen) ja joka koskee Digin tietokannassa olevien henkilötietojen tietoturvaloukkausta.

Asiaa koskevat oikeussäännöt

Direktiivin 2016/679 johdanto-osan 10 ja 50 perustelukappaleessa todetaan seuraavaa:

”(10)

Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. – –

– –

(50)

Henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustetta. – – Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen; henkilötietojen luonne; suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille; ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.

– –”

Asetuksen 2016/679 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

– –

’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

– –”

Kyseisen asetuksen 5 artiklan, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, sanamuoto on seuraava:

”1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)	niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (’lainmukaisuus, kohtuullisuus ja läpinäkyvyys’);

ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (’käyttötarkoitussidonnaisuus’);

c)	niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (’tietojen minimointi’);

d)	niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (’täsmällisyys’);

ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että tässä asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (’säilytyksen rajoittaminen’);

niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (’eheys ja luottamuksellisuus’).

2. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”

Mainitun asetuksen 6 artiklassa, jonka otsikko on ”Käsittelyn lainmukaisuus”, säädetään seuraavaa:

”1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)	rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b)	käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)	käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d)	käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e)	käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f)	käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

– –

4. Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:

a)	henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet;

b)	henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta;

c)	henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietojen ryhmiä 9 artiklan mukaisesti tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja 10 artiklan mukaisesti;

d)	aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille;

e)	asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin, olemassaolo.”

Pääasia ja ennakkoratkaisukysymykset

7	Digi on yksi merkittävimmistä internet- ja televisiopalvelujen tarjoajista Unkarissa.

Digi perusti huhtikuussa 2018 erään palvelimen toimintaan vaikuttaneen teknisen vian takia niin sanotun koetietokannan (jäljempänä koetietokanta), johon se kopioi noin kolmanneksen yksityisasiakkaidensa henkilötiedoista, joita oli säilytetty toisessa digihu-nimisessä tietokannassa, joka voitiin yhdistää www.digi.hu-sivustoon, joka sisältää ajantasaiset tiedot henkilöistä, jotka ovat rekisteröityneet saadakseen Digin uutiskirjeen suoramarkkinointitarkoituksessa, sekä pääsyn sivuston käyttöliittymään tarjoavan järjestelmävastaavan tiedot.

Digi sai tietää 23.9.2019, että ”eettinen hakkeri” oli saanut pääsyn sen säilyttämiin henkilötietoihin, jotka koskivat noin 322000 henkilöä. Kyseinen ”eettinen hakkeri” ilmoitti Digille tietoihin pääsystä itse ja toimitti tälle yhden koetietokannan rivin todisteena. Digi korjasi vian, joka oli mahdollistanut kyseisen tietoihin pääsyn, ja teki kyseisen henkilön kanssa salassapitosopimuksen sekä maksoi hänelle palkkion.

10	Koetietokannan poistamisen jälkeen Digi ilmoitti 25.9.2019 henkilötietojen tietoturvaloukkauksesta kansalliselle tietosuojaviranomaiselle, joka aloitti tämän jälkeen tutkinnan.

Kansallinen tietosuojaviranomainen totesi 18.5.2020 päivätyssä päätöksessä muun muassa, että Digi oli rikkonut asetuksen 2016/679 5 artiklan 1 kohdan b ja e alakohtaa, koska se ei ollut tarvittavien kokeiden tekemisen ja vian korjaamisen jälkeen välittömästi poistanut koetietokantaa, joten kyseisessä tietokannassa oli säilytetty suurta joukkoa henkilötietoja ilman käyttötarkoitusta miltei 18 kuukauden ajan tiedostossa, josta kyseessä olevat henkilöt voitiin tunnistaa. Tämän seurauksena kansallinen tietosuojaviranomainen velvoitti Digin tutkimaan kaikki tietokantansa ja määräsi sille 100000000 Unkarin forintin (HUF) (n. 248000 euroa) suuruisen sakon.

12	Digi riitautti kyseisen päätöksen laillisuuden ennakkoratkaisua pyytäneessä tuomioistuimessa.

Kyseinen tuomioistuin huomauttaa, että Digin koetietokantaan kopioimat henkilötiedot on kerätty tilaussopimusten tekemistä ja täytäntöönpanoa varten eikä kansallinen tietosuojaviranomainen ole kyseenalaistanut henkilötietojen alkuperäisen keruun lainmukaisuutta. Se pohtii kuitenkin, onko se, että alun perin kerätyt tiedot on kopioitu toiseen tietokantaan, muuttanut niiden alkuperäisen keruun ja käsittelyn tarkoitusta. Se lisää, että sen on myös ratkaistava, onko koetietokannan laatiminen ja asiakkaiden tietojen käsittelyn jatkaminen kyseisessä toisessa tietokannassa yhteensopiva alkuperäisen keruun tarkoitusten kanssa. Se katsoo, että se ei voi määritellä asetuksen 2016/679 5 artiklan 1 kohdan b alakohdassa tarkoitetun käyttötarkoitussidonnaisuuden periaatteen avulla niitä sisäisiä järjestelmiä, joissa rekisterinpitäjällä on oikeus käsitellä lainmukaisesti kerättyjä tietoja, eikä saada tietää, voiko kyseinen rekisterinpitäjä kopioida kyseiset tiedot koetietokantaan muuttamatta alkuperäisen tietojen keruun tarkoitusta.

Siinä tapauksessa, että koetietokannan laatiminen ei ole yhteensopiva alkuperäisen keruun tarkoituksen kanssa, ennakkoratkaisua pyytänyt tuomioistuin pohtii myös sitä, onko silloin, jos toisessa tietokannassa tapahtuvan tilaajatietojen käsittelyn tarkoitus ei ole virheiden korjaaminen vaan sopimusten tekeminen, tarpeellisen säilytysajan vastattava asetuksen 2016/679 5 artiklan 1 kohdan e alakohdassa olevan säilytyksen rajoittamisen periaatteen nojalla virheiden korjaamiseksi tarvittavaa aikaa vai sopimusvelvoitteiden täyttämiseksi tarvittavaa aikaa.

Näin ollen Fővárosi Törvényszék (Budapestin alioikeus, Unkari) on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)

Onko [asetuksen 2016/679] 5 artiklan 1 kohdan b alakohdassa tarkoitettua käyttötarkoitussidonnaisuutta tulkittava siten, että sen mukaiseksi voidaan katsoa se, että rekisterinpitäjä säilyttää myös toisessa rinnakkaisessa tietokannassa henkilötietoja, jotka on muilta osin kerätty tiettyjä laillisia tarkoituksia varten ja joita on säilytetty asianomaisten tarkoitusten mukaisesti, vai päinvastoin siten, että tietojen säilytys rinnakkaistietokannassa ei ole enää yhteensopivaa niiden laillisten tarkoitusten kanssa, joita varten kyseiset tiedot on kerätty?

Jos ensimmäiseen kysymykseen on vastattava, että tietojen rinnakkainen säilyttäminen ei sellaisenaan ole yhteensopivaa käyttötarkoitussidonnaisuuden periaatteen kanssa, onko se yhteensopivaa asetuksen 2016/679 5 artiklan 1 kohdan e alakohdassa säädetyn säilytyksen rajoittamista koskevan periaatteen kanssa, jos rekisterinpitäjä säilyttää muilta osin rajoitettua laillista tarkoitusta varten kerättyjä ja säilytettyjä henkilötietoja toisessa rinnakkaisessa tietokannassa?”

Ennakkoratkaisukysymysten tarkastelu

Tutkittavaksi ottaminen

16	Kansallinen tietosuojaviranomainen ja Unkarin hallitus ovat esittäneet epäilyjä siitä, voidaanko ennakkoratkaisukysymykset ottaa tutkittavaksi, koska niiden mukaan kyseiset kysymykset eivät vastaa pääasian tosiseikkoja eivätkä ole suoraan merkityksellisiä asian ratkaisemisen kannalta.

Tältä osin ensinnäkin palautettava mieleen, että unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan yksinomaan kansallisen tuomioistuimen, jossa asia on vireillä ja joka vastaa annettavasta ratkaisusta, tehtävänä on kunkin asian erityispiirteiden perusteella harkita, onko ennakkoratkaisu tarpeen asian ratkaisemiseksi ja onko sen unionin tuomioistuimelle esittämillä kysymyksillä merkitystä asian kannalta. Jos esitetyt kysymykset koskevat unionin oikeusäännön tulkintaa tai pätevyyttä, unionin tuomioistuimen on siten lähtökohtaisesti ratkaistava ne. Tästä seuraa, että unionin oikeutta koskevilla kysymyksillä oletetaan olevan merkitystä asian ratkaisemisen kannalta. Unionin tuomioistuin voi kieltäytyä vastaamasta kansallisen tuomioistuimen esittämään ennakkoratkaisukysymykseen vain, jos ilmenee, että unionin oikeuden tulkitsemisella, jota kansallinen tuomioistuin on pyytänyt, ei ole mitään yhteyttä kansallisessa tuomioistuimessa käsiteltävän asian tosiseikkoihin tai kohteeseen, tai jos kyseinen ongelma on luonteeltaan hypoteettinen taikka unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyihin kysymyksiin (tuomio 16.7.2020, Facebook Ireland ja Schrems, C-311/18, EU:C:2020:559, 73 kohta oikeuskäytäntöviittauksineen).

Käsiteltävässä asiassa ennakkoratkaisua pyytäneen tuomioistuimen käsiteltäväksi on saatettu kumoamiskanne, joka koskee päätöstä, jossa Digille on määrätty rekisterinpitäjänä seuraamus, koska se on jättänyt noudattamatta direktiivin 2016/679 5 artiklan 1 kohdan b ja e alakohdassa säädettyjä käyttötarkoitussidonnaisuuden ja säilyttämisen rajoittamisen periaatteita jättäessään poistamatta tietokannan, joka sisälsi henkilötietoja, joista asianomaiset henkilöt ovat tunnistettavissa. Ennakkoratkaisukysymykset koskevat nimenomaisesti kyseisten säännösten tulkintaa, joten ei voida katsoa, että pyydetyllä unionin oikeuden tulkitsemisella ei ole yhteyttä kansallisessa tuomioistuimessa käsiteltävän asian tosiseikkoihin tai kohteeseen tai että se olisi luonteeltaan hypoteettinen. Ennakkoratkaisupyyntö sisältää lisäksi ne tosiseikat ja oikeudelliset seikat, jotka ovat tarpeen, jotta unionin tuomioistuin voi antaa hyödyllisen vastauksen ennakkoratkaisua pyytäneen tuomioistuimen esittämiin kysymyksiin.

Toiseksi on palautettava mieleen, että SEUT 267 artiklassa tarkoitetussa menettelyssä, joka perustuu kansallisten tuomioistuinten ja unionin tuomioistuimen tehtävien selkeään jakoon, yksinomaan kansallinen tuomioistuin on toimivaltainen tulkitsemaan ja soveltamaan kansallista lainsäädäntöä ja että unionin tuomioistuin on toimivaltainen lausumaan ainoastaan unionin säädöksen tulkinnasta tai pätevyydestä niiden tosiseikkojen perusteella, jotka kansallinen tuomioistuin sille ilmoittaa (tuomio 5.5.2022, Zagrebačka banka, C-567/20, EU:C:2022:352, 45 kohta oikeuskäytäntöviittauksineen).

20	Näin ollen kansallisen tietosuojaviranomaisen ja Unkarin hallituksen esittämä ennakkoratkaisukysymysten tutkimatta jättämiseen tähtäävä argumentaatio, joka koskee pääasiallisesti sitä, että ennakkoratkaisukysymykset eivät heidän mukaansa vastaa pääasian tosiseikkoja, on hylättävä.

21	Tästä seuraa, että ennakkoratkaisukysymykset on otettava tutkittaviksi.

Asiakysymys

Ensimmäinen kysymys

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään pääasiallisesti sitä, onko asetuksen 2016/679 5 artiklan 1 kohdan b alakohtaa tulkittava siten, että kyseisessä säännöksessä säädetty käyttötarkoitussidonnaisuuden periaate on esteenä sille, että rekisterinpitäjä tallentaa aiemmin kerättyjä ja toisessa tietokannassa säilytettyjä henkilötietoja kokeiden tekemistä ja virheiden korjaamista varten luotuun tietokantaan ja säilyttää niitä siinä.

Vakiintuneen oikeuskäytännön mukaan unionin oikeussäännön tulkinta edellyttää, että huomioon otetaan paitsi sen sanamuoto myös asiayhteys, johon se kuuluu, sekä sen toimen tavoitteet ja tarkoitus, jonka osa se on (tuomio 1.8.2022, HOLD Alapkezelő, C-352/20, EU:C:2022:606, 42 kohta oikeuskäytäntöviittauksineen).

24	Tältä osin on ensinnäkin todettava, että asetuksen 2016/679 5 artiklan 1 kohdassa vahvistetaan henkilötietojen käsittelyä koskevat periaatteet, jotka velvoittavat rekisterinpitäjää ja joita tämän on voitava osoittaa noudattavansa kyseisen artiklan 2 kohdassa säädetyn osoitusperiaatteen mukaisesti.

Kyseisen asetuksen 5 artiklan 1 kohdan b alakohdan, jossa vahvistetaan käyttötarkoitussidonnaisuuden periaate, sanamuodon mukaan henkilötiedot on yhtäältä kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten eikä niitä toisaalta saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.

26	Kyseisen säännöksen sanamuodosta käy siis ilmi, että siihen sisältyy kaksi vaatimusta; yksi, joka koskee henkilötietojen alkuperäisen keruun tarkoituksia, ja toinen, joka koskee kyseisten tietojen myöhempää käsittelyä.

Aluksi vaatimuksen, jonka mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, osalta unionin tuomioistuimen oikeuskäytännöstä käy ilmi, että se merkitsee ensinnäkin sitä, että tarkoitukset on yksilöitävä viimeistään henkilötietojen keruun yhteydessä, toiseksi sitä, että käsittelyn tarkoitukset on ilmaistava selvästi, ja lopuksi sitä, että kyseisillä tarkoituksilla taataan erityisesti asetuksen 2016/679 6 artiklan 1 kohdassa tarkoitettu lainmukainen käsittely (ks. vastaavasti tuomio 24.2.2022, Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten), C-175/20, EU:C:2022:124, 64–66 kohta).

Käsiteltävässä asiassa ensimmäisen kysymyksen sanamuodosta ja ennakkoratkaisupyynnön perusteluista käy ilmi, että pääasiassa kyseessä olevat henkilötiedot on kerätty tiettyä, nimenomaista ja laillista tarkoitusta varten; ennakkoratkaisua pyytänyt tuomioistuin täsmentää lisäksi, että Digi on kerännyt kyseiset tiedot tehdäkseen tilaajasopimuksia asiakkaidensa kanssa ja pannakseen kyseiset sopimukset täytäntöön asetuksen N:o 2016/679 6 artiklan 1 kohdan b alakohdan mukaisesti.

Toiseksi sen vaatimuksen, jonka mukaan henkilötietoja ei saa käsitellä myöhemmin kyseisten tarkoitusten kanssa yhteensopimattomalla tavalla, osalta on todettava yhtäältä, että sitä, että rekisterinpitäjä tallentaa vastaluotuun tietokantaan toisessa tietokannassa säilytettyjä henkilötietoja ja säilyttää niitä kyseisessä uudessa tietokannassa, on pidettävä kyseisten tietojen myöhempänä käsittelynä.

Käsittelyn käsite on nimittäin määritelty laajasti asetuksen 2016/679 4 artiklan 2 alakohdassa siten, että sillä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten erityisesti kyseisten tietojen keräämistä, tallentamista ja säilyttämistä.

Lisäksi myöhemmän käsitteellä olevan tavanomaisen yleiskielisen merkityksen mukaan henkilötietojen alkuperäisen käsittelyn, joka tarkoittaa kyseisten tietojen alkuperäistä keruuta, jälkeen tapahtuvaa käsittelyä on pidettävä mainittujen tietojen myöhempänä käsittelynä kyseisen myöhemmän käsittelyn tarkoituksesta riippumatta.

32	Toisaalta on todettava, että asetuksen 2016/679 5 artiklan 1 kohdan b alakohdassa ei ole mainintoja edellytyksistä, joiden täyttyessä henkilötietojen myöhemmän käsittelyn voidaan katsoa olevan yhteensopivaa kyseisten tietojen alkuperäisen keruun tarkoituksen kanssa.

33	Toiseksi kyseisen säännöksen asiayhteys tarjoaa joka tapauksessa tältä kannalta hyödyllisiä täsmennyksiä.

Asetuksen 2016/679 5 artiklan 1 kohdan b alakohdasta, 6 artiklan 1 kohdan a alakohdasta ja 6 artiklan 4 kohdasta yhdessä luettuna käy nimittäin ilmi, että kysymys henkilötietojen myöhemmän käsittelyn yhteensopivuudesta kyseisten tietojen alkuperäisen keruun tarkoitusten kanssa herää vain siinä tapauksessa, että mainitun myöhemmän käsittelyn tarkoitukset eivät ole samat kuin alkuperäisen keruun tarkoitukset.

Lisäksi kyseisestä 6 artiklan 4 kohdasta, luettuna asetuksen johdanto-osan 50 perustelukappaleen valossa, käy ilmi, että jos henkilötietojen käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, on sen varmistamiseksi, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin, otettava huomioon muun muassa ensinnäkin henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet; toiseksi henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta; kolmanneksi henkilötietojen luonne; neljänneksi aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille; ja lopuksi ja viidenneksi asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.

Kuten julkisasiamies on pääasiallisesti todennut ratkaisuehdotuksensa 28, 59 ja 60 kohdassa, kyseiset edellytykset ilmentävät tarvetta konkreettiseen, loogiseen ja riittävän läheiseen yhteyteen henkilötietojen alkuperäisen keruun tarkoituksen ja kyseisten tietojen myöhemmän käsittelyn välillä, ja niiden avulla voidaan varmistaa, että kyseinen myöhempi käsittely ei poikkea tilaajilla olevista heidän tietojensa myöhempää käyttöä koskevista perustelluista odotuksista.

Lopuksi ja kolmanneksi kyseisten edellytysten avulla voidaan, kuten julkisasiamies on pääasiallisesti korostanut ratkaisuehdotuksensa 27 kohdassa, rajata aiemmin kerättyjen henkilötietojen uudelleenkäyttöä varmistamalla tasapaino yhtäältä aiemmin kerättyjen henkilötietojen käsittelyn tarkoituksiin liittyvän ennakoitavuuden ja oikeusvarmuuden tarpeen ja toisaalta sen, että rekisterinpitäjälle annetaan kyseisten tietojen hallintaan tiettyä joustovaraa, välillä, ja ne siis auttavat saavuttamaan asetuksen 2016/679 johdanto-osan 10 perustelukappaleessa todetun päämäärän, joka koskee yhdenmukaisen ja korkeatasoisen luonnollisten henkilöiden suojelun varmistamista.

Kun siis otetaan huomioon edellä 35 kohdassa mainitut edellytykset ja kaikki käsiteltävälle tapaukselle ominaiset olosuhteet, kansallisen tuomioistuimen on tutkittava sekä henkilötietojen alkuperäisen keruun että kyseisten tietojen myöhemmän käsittelyn tarkoitukset, ja tilanteessa, jossa kyseisen myöhemmän käsittelyn tarkoitukset poikkeavat kyseisen keruun tarkoituksista, sen on varmistettava, että mainittujen tietojen myöhempi käsittely on yhteensopiva mainitun alkuperäisen keruun tarkoitusten kanssa.

39	Unionin tuomioistuin voi kuitenkin ennakkoratkaisupyyntöä käsitellessään tehdä täsmennyksiä ohjatakseen kansallista tuomioistuinta kyseisen tutkimisen suorittamisessa (ks. vastaavasti tuomio 7.4.2022, Fuhrmann-2, C-249/21, EU:C:2022:269, 32 kohta).

40	Ensiksi käsiteltävässä asiassa ennakkoratkaisupyynnöstä käy ilmi – kuten edellä 13 kohdassa on palautettu mieleen –, että rekisterinpitäjä Digi on alun perin kerännyt henkilötiedot tehdäkseen tilaajasopimuksia yksityisasiakkaidensa kanssa ja pannakseen kyseiset sopimukset täytäntöön.

Toiseksi pääasian osapuolet ovat erimielisiä siitä, mitä erityistä tarkoitusta varten Digi on tallentanut kyseiset henkilötiedot koetietokantaan ja säilyttänyt niitä siinä. Digi nimittäin väittää, että koetietokannan luomisen erityinen tarkoitus oli taata pääsy tilaajatietoihin siihen saakka, kunnes virheet saatiin korjattua, joten kyseinen tarkoitus oli sen mukaan sama kuin kyseisten tietojen keruun alkuperäiset tarkoitukset, ja kansallinen tietosuojaviranomainen väittää puolestaan, että myöhemmän käsittelyn erityinen tarkoitus poikkesi kyseisistä tarkoituksista, koska myöhemmän käsittelyn tarkoitus oli sen mukaan kokeiden tekeminen ja virheiden korjaaminen.

Tältä osin on palautettava mieleen, että edellä 19 kohdassa mainitusta oikeuskäytännöstä käy ilmi, että SEUT 267 artiklassa tarkoitetussa menettelyssä, joka perustuu kansallisten tuomioistuinten ja unionin tuomioistuimen tehtävien selkeään jakoon, yksinomaan kansallinen tuomioistuin on toimivaltainen tulkitsemaan ja soveltamaan kansallista lainsäädäntöä ja että unionin tuomioistuin on toimivaltainen lausumaan ainoastaan unionin säädöksen tulkinnasta tai pätevyydestä niiden tosiseikkojen perusteella, jotka kansallinen tuomioistuin sille ilmoittaa.

Ennakkoratkaisupyynnöstä käy ilmi, että Digi loi koetietokannan voidakseen tehdä kokeita ja korjata virheitä, joten ennakkoratkaisua pyytäneen tuomioistuimen on arvioitava kyseisten tarkoitusten perusteella, onko myöhempi käsittely yhteensopiva alkuperäisen keruun tarkoitusten, joka on tilaajasopimusten tekeminen ja täytäntöönpano, kanssa.

Kolmanneksi kyseisestä arvioinnista on todettava, että kokeiden tekemisellä ja tilaajatietokantaan vaikuttavien virheiden korjaamisella on konkreettinen yhteys yksityisasiakkaiden tilaajasopimusten täytäntöönpanoon siltä osin kuin tällaiset virheet voivat olla vahingollisia sen palvelun tarjoamiselle, josta on määrätty sopimuksessa ja jota varten tiedot on alun perin kerätty. Kuten julkisasiamies on todennut ratkaisuehdotuksensa 60 kohdassa, tällainen käsittely ei poikkea kyseisillä asiakkailla olevista heidän henkilötietojensa myöhempää käyttöä koskevista perustelluista odotuksista. Lopuksi ennakkoratkaisupyynnöstä ei myöskään käy ilmi, että kyseiset tiedot tai osa niistä olisivat olleet arkaluontoisia tai että niiden kyseinen myöhempi käsittely olisi sellaisenaan aiheuttanut vahingollisia seurauksia tilaajille tai olisi ollut vailla asianmukaisia suojatoimia, mikä kansallisen tuomioistuimen on joka tapauksessa varmistettava.

Edellä esitetyn perusteella ensimmäiseen kysymykseen on vastattava, että asetuksen 2016/679 5 artiklan 1 kohdan b alakohtaa on tulkittava siten, että kyseisessä säännöksessä säädetty käyttötarkoitussidonnaisuuden periaate ei ole esteenä sille, että rekisterinpitäjä tallentaa aiemmin kerättyjä ja toisessa tietokannassa säilytettyjä henkilötietoja kokeiden tekemistä ja virheiden korjaamista varten luotuun tietokantaan ja säilyttää niitä siinä, jos tällainen myöhempi käsittely sopii yhteen niiden erityisten tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty, mikä on ratkaistava kyseisen asetuksen 6 artiklan 4 kohdassa tarkoitettujen edellytysten perusteella.

Toinen kysymys

Aluksi on todettava, että ennakkoratkaisua pyytänyt tuomioistuin esittää toisen kysymyksensä, joka koskee sitä, onko se, että Digi on säilyttänyt asiakkaidensa henkilötietoja koetietokannassa, asetuksen 2016/679 5 artiklan 1 kohdan e alakohdassa säädetyn säilytyksen rajoittamisen periaatteen mukaista, ainoastaan siinä tapauksessa, että ensimmäiseen kysymykseen, sellaisena kuin se on uudelleen muotoiltuna, vastataan myöntävästi, eli tilanteessa, jossa kyseinen säilyttäminen ei ole yhteensopiva kyseisen asetuksen 5 artiklan 1 kohdan b alakohdassa säädetyn käyttötarkoitussidonnaisuuden periaatteen kanssa.

Kuitenkin yhtäältä on niin, kuten julkisasiamies on todennut ratkaisuehdotuksensa 24 kohdassa, että asetuksen 2016/679 5 artiklassa vahvistettuja henkilötietojen käsittelyä koskevia periaatteita sovelletaan kumulatiivisesti. Näin ollen henkilötietojen säilyttämisessä on noudatettava paitsi käyttötarkoitussidonnaisuuden periaatetta myös säilytyksen rajoittamisen periaatetta.

Toisaalta on palautettava mieleen, kuten asetuksen 2016/679 johdanto-osan kymmenennestä perustelukappaleesta käy ilmi, että sillä pyritään muun muassa varmistamaan korkeatasoinen luonnollisten henkilöiden suojelu unionissa ja tätä varten varmistamaan kyseisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen kaikkialla unionissa.

Tätä varten kyseisen asetuksen II ja III luvussa vahvistetaan henkilötietojen käsittelyä koskevat periaatteet ja rekisteröidyn oikeudet, joita on noudatettava henkilötietojen käsittelyssä. Erityisesti on todettava, että henkilötietojen käsittelyssä on yhtäältä noudatettava mainitun asetuksen 5 artiklassa mainittuja tietojen käsittelyä koskevia periaatteita ja toisaalta, kun otetaan huomioon erityisesti kyseisen artiklan 1 kohdan a alakohdan mukainen käsittelyn lainmukaisuuden periaate, jonkin saman asetuksen 6 artiklassa luetellun lainmukaisuuden edellytyksen on täytyttävä kyseisen käsittelyn osalta (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C-439/19, EU:C:2021:504, 96 kohta, ja tuomio 24.2.2022, Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten), C-175/20, EU:C:2022:124, 50 kohta).

Kyseisten toteamusten perusteella on niin, että vaikka ennakkoratkaisua pyytänyt tuomioistuin on esittänyt toisen kysymyksen ainoastaan siinä tapauksessa, että ensimmäiseen kysymykseen, sellaisena kuin se on uudelleen muotoiltuna, vastataan myöntävästi, tämä seikka ei estä unionin tuomioistuinta esittämästä kaikkia unionin oikeuden tulkintaan liittyviä seikkoja, jotka saattavat olla hyödyllisiä kansallisen tuomioistuimen arvioidessa käsiteltävänään olevaa asiaa (ks. vastaavasti tuomio 17.3.2022, Daimler, C-232/20, EU:C:2022:196, 49 kohta), ja vastaa näin ollen kyseiseen toiseen kysymykseen.

Näin ollen on katsottava, että ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kyseisellä kysymyksellään pääasiallisesti sitä, onko asetuksen 2016/679 5 artiklan 1 kohdan e alakohtaa tulkittava siten, että kyseisessä säännöksessä säädetty säilytyksen rajoittamisen periaate on esteenä sille, että rekisterinpitäjä säilyttää muita tarkoituksia varten aiemmin kerättyjä henkilötietoja kokeiden tekemistä ja virheiden korjaamista varten luodussa tietokannassa kauemmin kuin on tarpeen kyseisten kokeiden tekemiseksi ja kyseisten virheiden korjaamiseksi.

52	Ensinnäkin on todettava, että asetuksen 2016/679 5 artiklan 1 kohdan e alakohdan sanamuodon mukaan henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Kyseisen artiklan sanamuodosta ilmenee siis yksiselitteisesti, että säilytyksen rajoittamisen periaate edellyttää, että rekisteripitäjän on voitava osoittaa edellä 24 kohdassa mieleen palautetun osoitusperiaatteen mukaisesti, että henkilötietoja säilytetään ainoastaan niin kauan kuin on tarpeen tietojen keruun tai niiden myöhemmän käsittelyn tarkoitusten toteuttamista varten.

Tästä seuraa, että jopa tietojen alun perin laillinen käsittely voi ajan myötä muuttua yhteensopimattomaksi asetuksen 2016/679 kanssa, jos kyseiset tiedot eivät ole enää tarpeen tällaisten tarkoitusten toteuttamiseksi (tuomio 24.9.2019, GC ym. (Arkaluontoisten tietojen poistaminen hakutulosten luettelosta), C-136/17, EU:C:2019:773, 74 kohta), ja että tiedot on hävitettävä, kun mainitut tarkoitukset on toteutettu (ks. vastaavasti tuomio 7.5.2009, Rijkeboer, C-553/07, EU:C:2009:293, 33 kohta).

55	Toiseksi kyseinen tulkinta on yhdenmukainen asetuksen 2016/679 5 artiklan 1 kohdan e alakohdan asiayhteyden kanssa.

Tältä osin edellä 49 kohdassa on palautettu mieleen, että henkilötietojen käsittelyssä on noudatettava mainitun asetuksen 5 artiklassa mainittuja tietojen käsittelyä koskevia periaatteita, ja jonkin saman asetuksen 6 artiklassa luetellun lainmukaisuuden edellytyksen on täytyttävä kyseisen käsittelyn osalta.

Yhtäältä on niin, kuten kyseisestä 6 artiklasta käy ilmi, että jos rekisteröity ei ole antanut suostumustaan henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten asetuksen 2016/679 6 artiklan 1 kohdan a alakohdan mukaisesti, käsittelyn on täytettävä tarpeellisuutta koskeva vaatimus, kuten mainitun kohdan b–f alakohdasta käy ilmi.

Toisaalta tällainen tarpeellisuutta koskeva vaatimus johtuu myös tietojen minimoinnin periaatteesta, josta säädetään kyseisen asetuksen 5 artiklan 1 kohdan c alakohdassa, jonka sanamuodon mukaan henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

59	Kolmanneksi tällainen tulkinta vastaa asetuksen 2016/679 5 artiklan 1 kohdan e alakohdalla tavoiteltua päämäärää, joka on edellä 48 kohdassa mieleen palautetusti muun muassa korkeatasoisen luonnollisten henkilöiden suojelun varmistaminen unionissa henkilötietojen käsittelyn osalta.

60	Digi on väittänyt käsiteltävässä asiassa, että se, että koetietokannassa säilytettyjä joidenkin sen yksityisasiakkaiden henkilötietoja ei poistettu kokeiden tekemisen ja virheiden korjaamisen jälkeen, oli vahinko.

Tältä osin on riittävää todeta, että kyseinen väite on merkityksetön arvioitaessa, säilytettiinkö tietoja kauemmin kuin oli tarpeen niiden myöhemmän käsittelyn tarkoitusten toteuttamista varten asetuksen 2016/679 5 artiklan 1 kohdan e alakohdassa säädetyn säilyttämisen rajoittamisen periaatteen vastaisesti.

Edellä esitetyn perusteella toiseen kysymykseen on vastattava, että asetuksen 2016/679 5 artiklan 1 kohdan e alakohtaa on tulkittava siten, että kyseisessä säännöksessä säädetty säilytyksen rajoittamisen periaate on esteenä sille, että rekisterinpitäjä säilyttää muita tarkoituksia varten aiemmin kerättyjä henkilötietoja kokeiden tekemistä ja virheiden korjaamista varten luodussa tietokannassa kauemmin kuin on tarpeen kyseisten kokeiden tekemiseksi ja kyseisten virheiden korjaamiseksi.

Oikeudenkäyntikulut

Pääasian asianosaisten osalta asian käsittely yhteisöjen tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (ensimmäinen jaosto) on ratkaissut asian seuraavasti:

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 5 artiklan 1 kohdan b alakohtaa

on tulkittava siten, että

kyseisessä säännöksessä säädetty käyttötarkoitussidonnaisuuden periaate ei ole esteenä sille, että rekisterinpitäjä tallentaa aiemmin kerättyjä ja toisessa tietokannassa säilytettyjä henkilötietoja kokeiden tekemistä ja virheiden korjaamista varten luotuun tietokantaan ja säilyttää niitä siinä, jos tällainen myöhempi käsittely sopii yhteen niiden erityisten tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty, mikä on ratkaistava kyseisen asetuksen 6 artiklan 4 kohdassa tarkoitettujen edellytysten perusteella.

Asetuksen 2016/679 5 artiklan 1 kohdan e alakohtaa

on tulkittava siten, että

kyseisessä säännöksessä säädetty säilytyksen rajoittamisen periaate on esteenä sille, että rekisterinpitäjä säilyttää muita tarkoituksia varten aiemmin kerättyjä henkilötietoja kokeiden tekemistä ja virheiden korjaamista varten luodussa tietokannassa kauemmin kuin on tarpeen kyseisten kokeiden tekemiseksi ja kyseisten virheiden korjaamiseksi.

Allekirjoitukset

( *1 ) Oikeudenkäyntikieli: unkari.