PRESUDA SUDA (prvo vijeće)

20. listopada 2022. ( *1 )

„Zahtjev za prethodnu odluku – Zaštita pojedinaca u vezi s obradom osobnih podataka – Uredba (EU) 2016/679 – Članak 5. stavak 1. točke (b) i (e) – Načelo ‚ograničavanja svrhe’ – Načelo ‚ograničenja pohrane’ – Izrada baze podataka iz postojeće baze podataka radi provođenja testova i ispravljanja pogrešaka – Daljnja obrada podataka – Usklađenost daljnje obrade tih podataka sa svrhom prvotnog prikupljanja – Trajanje pohrane s obzirom na te svrhe”

U predmetu C‑77/21,

povodom zahtjeva za prethodnu odluku na temelju članka 267. UFEU‑a, koji je uputio Fővárosi Törvényszék (Okružni sud u Budimpešti, Mađarska), odlukom od 21. siječnja 2021., koju je Sud zaprimio 8. veljače 2021., u postupku

Digi Távközlési és Szolgáltató Kft.

protiv

Nemzeti Adatvédelmi és Információszabadság Hatóság,

SUD (prvo vijeće),

u sastavu: A. Arabadjiev, predsjednik vijeća, L. Bay Larsen, potpredsjednik Suda, u svojstvu suca prvog vijeća, P. G. Xuereb, A. Kumin i I. Ziemele (izvjestiteljica), suci,

nezavisni odvjetnik: P. Pikamäe,

tajnik: I. Illéssy, administrator,

uzimajući u obzir pisani dio postupka i nakon rasprave održane 17. siječnja 2022.,

uzimajući u obzir očitovanja koja su podnijeli:

za Digi Távközlési és Szolgáltató Kft., R. Hatala i A. D. László, ügyvédek,

za Nemzeti Adatvédelmi és Információszabadság Hatóság, G. Barabás, pravni savjetnik, uz asistenciju G. J. Dudása i Á. Hargite, ügyvédek,

za mađarsku vladu, Zs. Biró-Tóth i M. Z. Fehér, u svojstvu agenata,

za češku vladu, T. Machovičová, M. Smolek i J. Vláčil, u svojstvu agenata,

za portugalsku vladu, P. Barros da Costa, L. Inez Fernandes, I. Oliveira, J. Ramos iC. Vieira Guerra, u svojstvu agenata,

za Europsku komisiju, V. Bottka i H. Kranenborg, u svojstvu agenata,

saslušavši mišljenje nezavisnog odvjetnika na raspravi održanoj 31. ožujka 2022.,

donosi sljedeću

Presudu

1

Zahtjev za prethodnu odluku odnosi se na tumačenje članka 5. stavka 1. točaka (b) i (e) Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. i ispravci SL 2018., L 127, str. 2. i SL 2021., L 74, str. 35.).

2

Zahtjev je upućen u okviru spora između Digija Távközlési és Szolgáltató Kft. (u daljnjem tekstu: Digi), jednog od glavnih pružatelja internetskih i televizijskih usluga u Mađarskoj, i Nemzetija Adatvédelmi és Információszabadság Hatóság (Nacionalno tijelo za zaštitu podataka i slobodu informiranja, u daljnjem tekstu: Tijelo), u vezi s povredom osobnih podataka sadržanih u Digijevoj bazi podataka.

Pravni okvir

3

Uvodne izjave 10. i 50. Uredbe 2016/679 glase:

„(10)

Kako bi se osigurala postojana i visoka razina zaštite pojedinaca te uklonile prepreke protoku osobnih podataka unutar Unije, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka trebala bi biti jednaka u svim državama članicama. U čitavoj Uniji trebalo bi osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka. […].

[…]

(50)

Obrada osobnih podataka u svrhe različite od svrha za koje su podaci prvotno prikupljeni smjela bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka. […] Radi utvrđivanja je li svrha nastavka obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade trebao bi uzeti u obzir, među ostalim, svaku vezu između te svrhe i svrhe planiranog nastavka obrade, kontekst u kojem su prikupljeni osobni podaci posebno opravdana očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka, prirodu osobnih podataka, posljedice planiranog nastavka obrade za ispitanike i postojanje primjerenih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.

[…]”

4

Člankom 4. Uredbe 2016/679, naslovljenim „Definicije”, određuje se:

„Za potrebe ove Uredbe:

[…]

2.

‚obrada’ znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

[…]”

5

U skladu s člankom 5. navedene uredbe naslovljenim „Načela obrade osobnih podataka”:

„1.   Osobni podaci moraju biti:

(a)

zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (‚zakonitost, poštenost i transparentnost’);

(b)

prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama (‚ograničavanje svrhe’);

(c)

primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (‚smanjenje količine podataka’);

(d)

točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave (‚točnost’);

(e)

čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika (‚ograničenje pohrane’);

(f)

obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (‚cjelovitost i povjerljivost’);

2.   Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati (‚pouzdanost’).”

6

Članak 6. navedene uredbe, naslovljen „Zakonitost obrade”, predviđa:

„1.   Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a)

ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b)

obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c)

obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d)

obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e)

obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f)

obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

[…]

4.   Ako se obrada u svrhu koja je različita od svrhe u koju su podaci prikupljeni ne temelji na privoli ispitanika ili na pravu Unije ili pravu države članice koje predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu ciljeva iz članka 23. stavka 1., voditelj obrade, s ciljem utvrđivanja je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, uzima u obzir, među ostalim:

(a)

svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade;

(b)

kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu odnosa između ispitanikâ i voditelja obrade;

(c)

prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10.;

(d)

moguće posljedice namjeravanog nastavka obrade za ispitanike;

(e)

postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.”

Glavni postupak i prethodna pitanja

7

Digi je jedan od glavnih pružatelja internetskih i televizijskih usluga u Mađarskoj.

8

U travnju 2018., nakon tehničkog kvara koji je utjecao na rad poslužitelja, Digi je stvorio bazu podataka pod nazivom „test” (u daljnjem tekstu: baza podataka za testiranje) u koju je kopirao osobne podatke otprilike trećine svojih klijenata fizičkih osoba, koji su bili pohranjeni u drugoj bazi podataka, nazvanoj „digihu”, koja može biti povezana s internetskom stranicom www.digi.hu, koja sadržava ažurirane podatke osoba koje su se upisale u registar kako bi zaprimale informativne obavijesti od Digija u izravne marketinške svrhe kao i podatke o administratoru sustava koji daje pristup sučelju stranice.

9

Digi je 23. rujna 2019. saznao da je jedan „etički haker” pristupio osobnim podacima otprilike 322000 osoba sadržanima u potonjoj bazi. Sâm „etički haker” obavijestio je Digi o tome da ima pristup tim podacima, pri čemu je kao dokaz izdvojio jedan redak iz baze podataka za testiranje. Digi je ispravio nedostatak koji je omogućio taj pristup te je sklopio ugovor o povjerljivosti s tom osobom i ponudio joj nagradu.

10

Nakon što je obrisao bazu podataka za testiranje, Digi je 25. rujna 2019. obavijestio Tijelo o povredi osobnih podataka, nakon čega je ono pokrenulo istragu.

11

Odlukom od 18. svibnja 2020. Tijelo je među ostalim zaključilo da je Digi povrijedio članak 5. stavak 1. točke (b) i (e) Uredbe 2016/679 jer nakon provedbe potrebnih testova i ispravljanja pogrešaka nije odmah obrisao bazu podataka za testiranje, tako da je velik broj osobnih podataka bio pohranjen u toj bazi podataka bez ikakve svrhe još gotovo 18 mjeseci, u datoteci koja je mogla omogućavati identifikaciju ispitanika. Slijedom toga, Tijelo je Digiju naložilo da ispita sve svoje baze podataka te mu je izreklo novčanu kaznu u iznosu od 100000000 mađarskih forinti (HUF) (oko 248000 eura).

12

Digi je osporavao zakonitost te odluke pred sudom koji je uputio zahtjev.

13

Potonji ističe da su osobni podaci koje je Digi kopirao u bazu podataka za testiranje bili prikupljani u svrhu sklapanja i izvršenja ugovorâ o pretplati i da Tijelo nije dovodilo u pitanje zakonitost prvotnog prikupljanja osobnih podataka. Međutim, pita se je li kopiranje prvotno prikupljenih podataka u drugu bazu podataka imalo za posljedicu izmjenu svrhe prvotnog prikupljanja i njihove obrade. Dodaje da također treba utvrditi jesu li izrada baze podataka za testiranje i nastavak obrade podataka o klijentima u drugoj bazi usklađeni sa svrhom prikupljanja tih podataka. Smatra da mu načelo „ograničavanja svrhe” iz članka 5. stavka 1. točke (b) Uredbe 2016/679 ne omogućuje da utvrdi interne sustave u kojima je voditelj obrade ovlašten obrađivati zakonito prikupljene podatke niti može li on potonje kopirati u bazu podataka za testiranje a da se pritom ne promijeni svrha prikupljanja podataka.

14

Ako izrada baze podataka za testiranje nije u skladu sa svrhom prvotnog prikupljanja, sud koji je uputio zahtjev pita i mora li, s obzirom na to da svrha obrade podataka o pretplatnicima u drugoj bazi podataka nije uklanjanje pogrešaka, nego sklapanje ugovorâ, vrijeme potrebno za pohranu, na temelju načela „ograničenja pohrane” iz članka 5. stavka 1. točke (e) Uredbe 2016/679, odgovarati vremenu koje je potrebno za uklanjanje pogrešaka ili onome koje je potrebno za izvršenje ugovornih obveza.

15

U tim je okolnostima Fővárosi Törvényszék (Okružni sud u Budimpešti, Mađarska) odlučio prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:

„1.

Treba li pojam ‚ograničavanje svrhe’, definiran u članku 5. stavku 1. točki (b) Uredbe br. 2016/679 […], tumačiti na način da je u skladu s njim i činjenica da voditelj obrade istodobno u drugoj bazi podataka pohranjuje osobne podatke koji su, osim toga, prikupljani u točno određene zakonite svrhe te pohranjeni u skladu s tom svrhom ili, suprotno tomu, na način da pohrana u usporednoj bazi podataka više nije u skladu sa zakonitom svrhom prikupljanja predmetnih podataka?

2.

U slučaju da na prvo pitanje treba odgovoriti na način da istodobna pohrana podataka načelno nije u skladu s načelom ‚ograničavanja svrhe’, je li ta pohrana u skladu s načelom ‚ograničenja pohrane’ utvrđenim u članku 5. stavku 1. točki (e) Uredbe br. 2016/679 ako voditelj obrade u drugoj bazi podataka pohranjuje također osobne podatke koji su prikupljeni i pohranjeni u ograničene zakonite svrhe?”

O prethodnim pitanjima

Dopuštenost

16

Tijelo i mađarska vlada izrazili su sumnju u dopuštenost zahtjeva za prethodnu odluku uz obrazloženje da postavljena pitanja ne odgovaraju činjenicama iz spora u glavnom postupku i nisu izravno relevantna za njegovo rješavanje.

17

U tom pogledu, kao prvo, valja podsjetiti na to da je u skladu s ustaljenom sudskom praksom Suda isključivo na nacionalnom sudu pred kojim se vodi postupak i koji mora preuzeti odgovornost za sudsku odluku koja će biti donesena da, uvažavajući posebnosti predmeta, ocijeni nužnost prethodne odluke za donošenje svoje presude i relevantnost pitanja koja postavlja Sudu. Posljedično, ako se postavljena pitanja odnose na tumačenje ili valjanost pravnog pravila Unije, Sud je u načelu dužan odlučiti. Iz navedenog proizlazi da pitanja koja postave nacionalni sudovi uživaju pretpostavku relevantnosti. Sud može odbiti odlučivati o zahtjevu za prethodnu odluku koji je uputio nacionalni sud samo ako je očito da zatraženo tumačenje prava Unije nema nikakve veze s činjeničnim stanjem ili predmetom spora u glavnom postupku, ako je problem hipotetski ili ako Sud ne raspolaže činjeničnim i pravnim elementima potrebnima da bi mogao dati koristan odgovor na upućena pitanja (presuda od 16. srpnja 2020., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, t. 73. i navedena sudska praksa).

18

U ovom slučaju sudu koji je uputio zahtjev podnesena je tužba za poništenje odluke kojom se Digi, u svojstvu voditelja obrade, sankcionira zbog povrede načela „ograničavanja svrhe” i načela „ograničenja pohrane” predviđenih u članku 5. stavku 1. točkama (b) i (e) Uredbe 2016/679 time što nije obrisao bazu podataka koja sadržava osobne podatke koji omogućuju identifikaciju ispitanika. Prethodna se pitanja odnose upravo na tumačenje tih odredbi, tako da se ne može zaključiti da zatraženo tumačenje prava Unije nema veze s činjeničnim stanjem ili predmetom spora u glavnom postupku ili da je hipotetske naravi. Osim toga, odluka kojom se upućuje prethodno pitanje sadržava činjenične i pravne elemente koji su dostatni za davanje korisnog odgovora na pitanja koja je postavio sud koji je uputio zahtjev.

19

Kao drugo, valja podsjetiti na to da je, u postupku iz članka 267. UFEU‑a, koji se zasniva na jasnom razgraničenju funkcija nacionalnih sudova i Suda, nacionalni sud jedini ovlašten tumačiti i primijeniti odredbe nacionalnog prava, dok je Sud ovlašten samo iznijeti tumačenje ili izjasniti se o valjanosti propisa Unije polazeći od činjenica koje mu predstavi nacionalni sud (presuda od 5. svibnja 2022., Zagrebačka banka, C‑567/20, EU:C:2022:352, t. 45. i navedena sudska praksa).

20

Prema tome, valja odbiti argumentaciju koja se odnosi na nedopuštenost prethodnih pitanja, koju Tijelo i mađarska vlada u biti temelje na tome da prethodna pitanja, prema njihovu mišljenju, ne odgovaraju činjenicama u glavnom postupku.

21

Iz toga slijedi da su postavljena pitanja dopuštena.

Meritum

Prvo pitanje

22

Svojim prvim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 5. stavak 1. točku (b) Uredbe 2016/679 tumačiti na način da se načelu „ograničavanja svrhe” predviđenom tom odredbom protivi to da voditelj obrade bilježi i pohranjuje, u bazi podataka koja je uspostavljena u svrhu provođenja testova i ispravljanja pogrešaka, osobne podatke koji su prethodno prikupljeni i pohranjeni u drugoj bazi podataka.

23

U skladu s ustaljenom sudskom praksom, pri tumačenju odredbe prava Unije treba uzeti u obzir ne samo njezin tekst nego i kontekst u kojem se nalazi te ciljeve i svrhu akta kojeg je ona dio (presuda od 1. kolovoza 2022., HOLD Alapkezelő, C‑352/20, EU:C:2022:606, t. 42. i navedena sudska praksa).

24

U tom pogledu, kao prvo, valja istaknuti da članak 5. stavak 1. Uredbe 2016/679 utvrđuje načela obrade osobnih podataka, koja se nameću voditelju obrade i čije poštovanje on mora biti u mogućnosti dokazati, u skladu s načelom pouzdanosti navedenim u stavku 2. tog članka.

25

Konkretno, u skladu s člankom 5. stavkom 1. točkom (b) te uredbe, u kojem se navodi načelo „ograničavanje svrhe”, osobni podaci moraju biti, s jedne strane, prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama.

26

Stoga iz teksta te odredbe proizlazi da ona sadržava dva zahtjeva, od kojih se jedan odnosi na svrhu prvotnog prikupljanja osobnih podataka, a drugi na daljnju obradu tih podataka.

27

Što se tiče, prvo, zahtjeva prema kojem osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe, iz sudske prakse Suda proizlazi da on najprije podrazumijeva to da se svrhe obrade utvrde najkasnije u vrijeme prikupljanja osobnih podataka, zatim da su svrhe te obrade jasno navedene i, naposljetku, da svrhe navedene obrade jamče, među ostalim, zakonitu obradu tih podataka, u smislu članka 6. stavka 1. Uredbe 2016/679 (vidjeti u tom smislu presudu od 24. veljače 2022., Valsts ieņēmumu dienests (Obrada osobnih podataka u porezne svrhe), C‑175/20, EU:C:2022:124, t. 64. do 66.).

28

U ovom slučaju, iz teksta prvog pitanja i obrazloženja odluke kojom se upućuje prethodno pitanje proizlazi da su osobni podaci o kojima je riječ u glavnom postupku prikupljeni u posebne, izričite i zakonite svrhe, pri čemu sud koji je uputio zahtjev osim toga pojašnjava da je prikupljanje tih podataka provedeno u svrhu Digijeva sklapanja i izvršavanja ugovora o pretplati s klijentima, u skladu s člankom 6. stavkom 1. točkom (b) Uredbe 2016/679.

29

Što se tiče, drugo, zahtjeva prema kojem osobni podaci ne smiju biti predmet daljnje obrade koja nije u skladu s tim svrhama, valja istaknuti, s jedne strane, da je bilježenje i pohranjivanje voditelja obrade u novostvorenoj bazi podataka osobnih podataka koji su pohranjeni u drugoj bazi podataka njihova „daljnja obrada”.

30

Naime, pojam „obrada” široko je definiran u članku 4. točki 2. Uredbe 2016/679 tako da znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje i pohrana tih podataka.

31

Usto, u skladu s uobičajenim smislom izraza „daljnja” u svakodnevnom jeziku, svaka obrada osobnih podataka nakon prvotne obrade, koja je provedena prvotnim prikupljanjem, čini „daljnju” obradu tih podataka, neovisno o svrsi te daljnje obrade.

32

S druge strane, valja istaknuti da članak 5. stavak 1. točka (b) Uredbe 2016/679 ne sadržava podatke o uvjetima u kojima se može smatrati da je daljnja obrada osobnih podataka u skladu sa svrhama prvotnog prikupljanja tih podataka.

33

Međutim, i kao drugo, kontekst te odredbe pruža korisna pojašnjenja u tom pogledu.

34

Naime, iz zajedničkog tumačenja članka 5. stavka 1. točke (b), članka 6. stavka 1. točke (a) i članka 6. stavka 4. Uredbe 2016/679 proizlazi da se pitanje usklađenosti daljnje obrade osobnih podataka sa svrhom zbog koje su ti podaci prvotno prikupljeni postavlja samo u slučaju kada svrhe navedene daljnje obrade nisu jednake svrhama prvotnog prikupljanja.

35

Osim toga, iz tog članka 6. stavka 4. u vezi s uvodnom izjavom 50. navedene uredbe proizlazi da, ako se obrada u svrhu koja je različita od svrhe u koju su podaci prikupljeni ne temelji na privoli ispitanika ili na pravu Unije ili pravu države članice, valja uzeti u obzir, s ciljem utvrđivanja je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, među ostalim, prvo, svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade, drugo, kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu odnosa između ispitanikâ i voditelja obrade, treće, prirodu osobnih podataka, četvrto, moguće posljedice namjeravanog nastavka obrade za ispitanike, peto, postojanje odgovarajućih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.

36

Kao što je to nezavisni odvjetnik u biti istaknuo u točkama 28., 59. i 60. svojeg mišljenja, ti kriteriji odražavaju nužnost konkretne, logične i dovoljno bliske veze između svrha prvotnog prikupljanja osobnih podataka i daljnje obrade tih podataka te omogućuju da se osigura da daljnja obrada ne odstupa od legitimnih očekivanja pretplatnika u pogledu daljnje uporabe njihovih podataka.

37

Uostalom i kao treće, tim se kriterijima, kao što je to nezavisni odvjetnik u biti istaknuo u točki 27. svojeg mišljenja, omogućuje da se ponovno korištenje prethodno prikupljenih osobnih podataka uredi tako da se osigura ravnoteža između, s jedne strane, nužnosti predvidljivosti i pravne sigurnosti u vezi sa svrhama obrade prethodno prikupljenih osobnih podataka i, s druge strane, priznavanja određene fleksibilnosti u korist voditelja obrade u upravljanju tim podacima te oni stoga doprinose ostvarenju cilja koji se sastoji od osiguranja postojane i visoke razine zaštite pojedinaca koja je navedena u uvodnoj izjavi 10. Uredbe br. 2016/679.

38

Stoga, uzimajući u obzir kriterije navedene u točki 35. ove presude i s obzirom na sve okolnosti ovog slučaja, na nacionalnom je sudu da utvrdi kako svrhe prvotnog prikupljanja osobnih podataka tako i svrhe njihove daljnje obrade i, u slučaju da se svrhe te daljnje obrade razlikuju od svrha tog prikupljanja, provjeri je li daljnja obrada navedenih podataka u skladu sa svrhama navedenog prvotnog prikupljanja.

39

S obzirom na navedeno, Sud može prilikom odlučivanja o prethodnom pitanju dati pojašnjenja koja nacionalni sud usmjeravaju u tom utvrđivanju (vidjeti u tom smislu presudu od 7. travnja 2022., Fuhrmann-2, C‑249/21, EU:C:2022:269, t. 32.).

40

U ovom slučaju, prvo, kao što je navedeno u u točki 13. ove presude, iz odluke kojom se upućuje prethodno pitanje proizlazi da je Digi, voditelj obrade, prvotno prikupio osobne podatke u svrhu sklapanja i izvršavanja ugovorâ o pretplati sa svojim klijentima koji su fizičke osobe.

41

Drugo, stranke glavnog postupka ne slažu se oko posebne svrhe bilježenja i pohrane osobnih podataka u bazi podataka za testiranje, koje je proveo Digi. Naime, dok Digi ističe da je posebna svrha izrade baze podataka za testiranje bila osigurati pristup podacima pretplatnika dok se pogreške ne isprave, tako da je ta svrha jednaka svrhama prvotnog prikupljanja tih podataka, Tijelo tvrdi da je posebna svrha daljnje obrade bila različita od tih svrha jer se sastojala od provođenja testova i ispravljanja pogrešaka.

42

U tom pogledu valja podsjetiti na to da iz sudske prakse navedene u točki 19. ove presude proizlazi da je u okviru postupka iz članka 267. UFEU‑a, koji se zasniva na jasnom razgraničenju funkcija nacionalnih sudova i Suda, nacionalni sud jedini ovlašten tumačiti i primijeniti odredbe nacionalnog prava, dok je Sud ovlašten samo iznijeti tumačenje ili izjasniti se o valjanosti propisa Unije polazeći od činjenica koje mu predstavi nacionalni sud.

43

Doista, iz odluke kojom se upućuje prethodno pitanje proizlazi da je Digi uspostavio bazu podataka za testiranje kako bi mogao provesti testove i ispraviti pogreške, tako da je s obzirom na te svrhe sud koji je uputio zahtjev dužan ocijeniti usklađenost daljnje obrade sa svrhom prvotnog prikupljanja, koja se sastoji od sklapanja i izvršavanja ugovorâ o pretplati.

44

Treće, što se tiče te ocjene, valja istaknuti da su provedba testova i ispravak pogrešaka koje utječu na bazu podataka pretplatnika konkretno povezani s izvršavanjem ugovorâ o pretplati klijenata koji su fizičke osobe jer takve pogreške mogu biti štetne za pružanje usluge koje je predviđeno ugovorom i za koje su prvotno prikupljeni podaci. Naime, kao što je to nezavisni odvjetnik istaknuo u točki 60. svojeg mišljenja, takva obrada ne odstupa od legitimnih očekivanja tih klijenata u pogledu daljnje uporabe njihovih osobnih podataka. Uostalom, iz odluke kojom se upućuje prethodno pitanje ne proizlazi da su svi ili dio tih podataka bili osjetljivi ili da bi njihova daljnja obrada kao takva imala štetne posljedice na pretplatnike ili da nije bila popraćena odgovarajućim zaštitnim mjerama, što je u svakom slučaju na sudu koji je uputio zahtjev da provjeri.

45

Iz svih prethodnih razmatranja proizlazi da na prvo pitanje valja odgovoriti tako da članak 5. stavak 1. točku (b) Uredbe 2016/679 treba tumačiti na način da se načelu „ograničavanja svrhe” predviđenom tom odredbom ne protivi to da voditelj obrade bilježi i pohranjuje, u bazi podataka koja je uspostavljena u svrhu provođenja testova i ispravljanja pogrešaka, osobne podatke koji su prethodno prikupljeni i pohranjeni u drugoj bazi podataka ako je takva daljnja obrada u skladu s posebnim svrhama zbog kojih su osobni podaci prvotno prikupljani, što treba utvrditi s obzirom na kriterije iz članka 6. stavka 4. te uredbe.

Drugo pitanje

46

Uvodno valja istaknuti da drugo pitanje suda koji je uputio zahtjev, koje se odnosi na usklađenost Digijeve pohrane osobnih podataka njegovih klijenata u bazi podataka za testiranja s načelom „ograničenja pohrane” iz članka 5. stavka 1. točke (e) Uredbe 2016/679, taj sud postavlja samo u slučaju potvrdnog odgovora na prvo pitanje kako je preoblikovano, odnosno ako ta pohrana nije u skladu s načelom „ograničavanja svrhe” iz članka 5. stavka 1. točke (b) te uredbe.

47

Međutim, s jedne strane, kao što je to istaknuo nezavisni odvjetnik u točki 24. svojeg mišljenja, načela koja se odnose na obradu osobnih podataka navedena u članku 5. Uredbe 2016/679 primjenjuju se kumulativno. Prema tome, pohranjivanje osobnih podataka mora poštovati ne samo načelo „ograničavanja svrhe” nego i načelo „ograničenja pohrane”.

48

S druge strane, valja podsjetiti na to da je, kao što to proizlazi iz uvodne izjave 10. Uredbe 2016/679, njezin cilj, među ostalim, osigurati visoku razinu zaštite pojedinaca u Uniji te u tu svrhu osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka u čitavoj Uniji.

49

U tu svrhu, poglavlja II. i III. te uredbe navode, redom, načela kojima se uređuje obrada osobnih podataka kao i prava ispitanika koja se moraju poštovati kod svake obrade osobnih podataka. Konkretno, svaka obrada osobnih podataka mora, s jedne strane, biti u skladu s načelima koja se odnose na obradu podataka iz članka 5. navedene uredbe i, s druge strane, imajući osobito u vidu načelo zakonitosti obrade, predviđeno stavkom 1. točkom (a) tog članka, ispunjavati jedan od uvjeta za zakonitost obrade navedenih u članku 6. iste uredbe (vidjeti u tom smislu presude od 22. lipnja 2021., Latvijas Republikas Saeima (Kazneni bodovi), C‑439/19, EU:C:2021:504, t. 96. i od 24. veljače 2022., Valsts ieņēmumu dienests (Obrada osobnih podataka u porezne svrhe), C‑175/20, EU:C:2022:124, t. 50.).

50

Slijedom toga, iako je sud koji je uputio zahtjev formalno postavio svoje drugo pitanje samo u slučaju potvrdnog odgovora na prvo pitanje kako je preoblikovano, takva okolnost ne sprečava Sud da mu pruži sve elemente tumačenja prava Unije koji mogu biti korisni za rješavanje predmeta koji se pred njim vodi (vidjeti u tom smislu presudu od 17. ožujka 2022., Daimler, C‑232/20, EU:C:2022:196, t. 49.) i stoga odgovori na to drugo pitanje.

51

U tim okolnostima valja smatrati da tim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 5. stavak 1. točku (e) Uredbe 2016/679 tumačiti na način da se načelu „ograničenja pohrane”, predviđenom tom odredbom, protivi to da voditelj obrade u bazi podataka koja je uspostavljena u svrhu provođenja testova i ispravljanja pogrešaka pohrani osobne podatke koji su prethodno prikupljeni u druge svrhe, tijekom razdoblja koje prelazi ono koje je nužno za provedbu tih testova i ispravljanje tih pogrešaka.

52

Kao prvo, valja istaknuti da, u skladu s člankom 5. stavkom 1. točkom (e) Uredbe 2016/679, osobni podaci moraju biti pohranjeni u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju.

53

Stoga iz teksta tog članka nedvosmisleno proizlazi da načelo „ograničenja pohrane” zahtijeva da voditelj pohrane može dokazati, u skladu s načelom pouzdanosti navedenim u točki 24. ove presude, da se osobni podaci pohranjuju samo onoliko dugo koliko je potrebno u svrhe radi kojih su osobni podaci prikupljeni ili zbog kojih je provedena daljnja obrada.

54

Iz toga proizlazi da čak i obrada podataka koja je u početku zakonita može s vremenom postati neusklađena s Uredbom 2016/679 ako ti podaci više nisu nužni za ostvarenje tih svrha (presuda od 24. rujna 2019., GC i dr. (Uklanjanje poveznica za osjetljive podatke), C‑136/17, EU:C:2019:773, t. 74.) i da podatke treba izbrisati kada se ostvare navedene svrhe (vidjeti u tom smislu presudu od 7. svibnja 2009., Rijkeboer (C‑553/07, EU:C:2009:293, t. 33.).

55

To je tumačenje, kao drugo, u skladu s kontekstom članka 5. stavka 1. točke (e) Uredbe br. 2016/679.

56

U tom pogledu, u točki 49. ove presude navedeno je da svaka obrada osobnih podataka mora biti u skladu s načelima koja se odnose na obradu podataka iz članka 5. navedene uredbe i ispunjavati jedan od uvjeta koji se odnose na zakonitost obrade navedenih u članku 6. iste uredbe.

57

Doista, s jedne strane, kao što to proizlazi iz tog članka 6., ako ispitanik nije dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha, u skladu s člankom 6. stavkom 1. točkom (a) Uredbe 2016/679, obrada mora, kao što to proizlazi iz točaka (b) do (f) navedenog stavka, ispunjavati zahtjev nužnosti.

58

S druge strane, takav zahtjev nužnosti također proizlazi iz načela „smanjenja količine podataka” iz članka 5. stavka 1. točke (c) te uredbe, u skladu s kojim osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.

59

Takvo je tumačenje, kao treće, u skladu s ciljem koji se nastoji postići člankom 5. stavkom 1. točkom (e) Uredbe 2016/679, koji se, kao što je to navedeno u točki 48. ove presude, sastoji od osiguravanja visoke razine zaštite pojedinaca unutar Unije u vezi s obradom osobnih podataka.

60

U ovom slučaju, Digi je tvrdio da je slučajnost to da osobni podaci dijela njegovih klijenata koji su fizičke osobe koji su bili pohranjeni u bazi podataka za testiranje nisu bili izbrisani nakon provođenja testova i ispravka pogrešaka.

61

U tom pogledu dovoljno je istaknuti da taj argument nije relevantan za ocjenu jesu li podaci pohranjeni tijekom razdoblja koje prelazi ono koje je bilo nužno za ostvarenje svrha zbog kojih su ti podaci naknadno obrađeni, protivno načelu „ograničenja pohrane” predviđenom u članku 5. stavku 1. točki (e) Uredbe 2016/679.

62

Iz svih prethodnih razmatranja proizlazi da na drugo pitanje valja odgovoriti tako da članak 5. stavak 1. točku (e) Uredbe 2016/679 treba tumačiti na način da se načelu „ograničenja pohrane”, predviđenom tom odredbom, protivi to da voditelj obrade u bazi podataka koja je uspostavljena u svrhu provođenja testova i ispravljanja pogrešaka pohrani osobne podatke koji su prethodno prikupljeni u druge svrhe, tijekom razdoblja koje prelazi ono koje je nužno za provedbu tih testova i ispravljanje tih pogrešaka.

Troškovi

63

Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnog postupka pred sudom koji je uputio zahtjev, na tom je sudu da odluči o troškovima postupka. Troškovi podnošenja očitovanja Sudu, koji nisu troškovi spomenutih stranaka, ne nadoknađuju se.

 

Slijedom navedenog, Sud (prvo vijeće) odlučuje:

 

1.

Članak 5. stavak 1. točku (b) Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)

treba tumačiti na način da se:

načelu „ograničavanja svrhe” predviđenom tom odredbom ne protivi to da voditelj obrade bilježi i pohranjuje, u bazi podataka koja je uspostavljena u svrhu provođenja testova i ispravljanja pogrešaka, osobne podatke koji su prethodno prikupljeni i pohranjeni u drugoj bazi podataka ako je takva daljnja obrada u skladu s posebnim svrhama zbog kojih su osobni podaci prvotno prikupljani, što treba utvrditi s obzirom na kriterije iz članka 6. stavka 4. te uredbe.

 

2.

Članak 5. stavak 1. točku (e) Uredbe 2016/679

treba tumačiti na način da se:

načelu „ograničenja pohrane”, predviđenom tom odredbom, protivi to da voditelj obrade u bazi podataka koja je uspostavljena u svrhu provođenja testova i ispravljanja pogrešaka pohrani osobne podatke koji su prethodno prikupljeni u druge svrhe, tijekom razdoblja koje prelazi ono koje je nužno za provedbu tih testova i ispravljanje tih pogrešaka.

 

Potpisi


( *1 ) Jezik postupka: mađarski