1.

Milyen feltételek mellett tárolhatja az internet‑ és televíziószolgáltató az ügyfelei jogszerűen gyűjtött és korábban már tárolt személyes adatait egy kiegészítő belső adathordozón ezen ügyfelek kifejezett hozzájárulása nélkül, egy műszaki hiba elhárítása érdekében?

2.

Ez az egyik kérdés, amelyet a jelen ügy felvet, és amely lehetővé teszi a Bíróság számára, hogy kiegészítse az (EU) 2016/679 rendelettel ( 2 ) kapcsolatos, egyre kiterjedtebb ítélkezési gyakorlatát, különösen az említett jogi aktus 5. cikke (1) bekezdésének b) és e) pontjában foglalt célhoz kötöttség és korlátozott tárolhatóság elve vonatkozásában.

3.

A jelen ügyben az általános adatvédelmi rendelet 4–6., 13. és 32. cikke releváns.

4.

A Digi Távközlési és Szolgáltató Kft. (a továbbiakban: Digi) Magyarország egyik legjelentősebb internet‑ és televíziószolgáltatója.

5.

A Digi 2018 áprilisában az egyik szerver működését érintő műszaki hibát követően egy „test” elnevezésű adatbázist hozott létre, amelybe a lakossági ügyfelei hozzávetőleg egyharmadának személyes adatait másolta át.

6.

2019. szeptember 23‑án a Digi tudomást szerzett arról, hogy egy „etikus támadó” hozzáfért hozzávetőleg 322000 személy személyes adataihoz. A támadást maga a hekker jelezte írásban a fenti vállalkozásnak egy 2019. szeptember 21‑én küldött e‑mailben oly módon, hogy a tesztadatbázis egyik sorát bizonyítékként lekérte. A Digi kijavította a hibát, a fenti személlyel titoktartási szerződést kötött, és jutalmat ajánlott neki.

7.

A tesztadatbázis törlését követően a Digi 2019. szeptember 25‑én bejelentette a személyes adatok megsértését a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (Magyarország; a továbbiakban: Hatóság), aminek következtében ez utóbbi hatósági ellenőrzést indított.

8.

A Hatóság 2020. május 18‑i határozatával egyrészt megállapította, hogy a Digi megsértette az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) és e) pontját azzal, hogy a tesztadatbázist a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte, és így az ezen tesztadatbázisban tárolt nagyszámú személyes adatot a következő közel 18 hónapban cél nélkül, az érintettek azonosítására alkalmas módon tárolta egy nyilvántartási rendszerben, és hogy e tesztadatbázis törlésének hiánya közvetlenül lehetővé tette a személyes adatok megsértését. Másrészt a Hatóság megállapította, hogy a Digi megsértette az általános adatvédelmi rendelet 32. cikkének (1) és (2) bekezdését. E körülmények között a Hatóság a Digit 100000000 magyar forint (HUF) (hozzávetőleg 270000 euró) bírság megfizetésére kötelezte.

9.

A Digi a kérdést előterjesztő bíróság előtt vitatta e határozat jogszerűségét.

10.

Ez utóbbi megjegyzi, hogy a Digi által a tesztadatbázisba másolt személyes adatok gyűjtésére előfizetői szerződések megkötése céljából került sor, és hogy az adatgyűjtés jogszerűségét a Hatóság nem vonta kétségbe. Az előterjesztő bíróság azonban arra a kérdésre kíván választ kapni, hogy a célhoz kötötten gyűjtött adatoknak egy másik adatbázisba történt átmásolásával megváltozik‑e az adattárolás és az adatkezelés célja. Hozzáteszi, hogy azt is meg kell határoznia, hogy ezen adatok gyűjtésének céljával összeegyeztethető‑e a tesztadatbázis létrehozása, valamint a fenti adatok kezelésének ekként való folytatása. E tekintetben a célhoz kötöttség elve nem ad egyértelmű iránymutatást arra, hogy a jogszerűen gyűjtött adatokat az adatkezelő mely belső rendszerében jogosult kezelni, illetve, hogy az ilyen adatokat kimásolhatja‑e egy tesztadatbázisba anélkül, hogy az adatgyűjtés célja megváltozna.

11.

Abban az esetben, ha a tesztadatbázis létrehozása összeegyeztethetetlen lenne az adatgyűjtés céljával, a kérdést előterjesztő bíróság arra is keresi a választ, hogy amennyiben az ügyféladatok másik adatbázisban történő kezelésének célja nem hibajavítás, hanem szerződéskötés, akkor a szükséges tárolási idő a hibajavításhoz, vagy inkább a szerződéses kötelezettségek teljesítéséhez szükséges időhöz igazodik.

12.

E körülmények között a Fővárosi Törvényszék (Magyarország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

13.

Az alapeljárás felperese és alperese, a magyar, a cseh és a portugál kormány, valamint az Európai Bizottság terjesztett elő írásbeli észrevételeket. A 2022. január 17‑én tartott tárgyaláson az alapeljárás felperese és alperese, valamint a magyar kormány és a Bizottság szóbeli észrevételeket is tett.

14.

A Hatóság, valamint a magyar kormány kétségeit fejezte ki az előzetes döntéshozatal iránti kérelem elfogadhatóságát illetően, azzal az indokkal, hogy az előterjesztett kérdések nem tükrözik az alapügy tényállását, és nem közvetlenül relevánsak annak elbírálása szempontjából.

15.

A Bíróság állandó ítélkezési gyakorlatából következik, hogy kizárólag az alapeljárásban eljáró és a meghozandó bírósági döntésért felelős nemzeti bíróság jogosult mérlegelni – az ügy sajátosságaira figyelemmel – egyrészt az előzetes döntéshozatal szükségességét annak érdekében, hogy döntését meghozhassa, másrészt azt, hogy a Bíróság számára feltett kérdések relevánsak‑e. Következésképpen, amennyiben a feltett kérdések valamely uniós jogi rendelkezés értelmezésére vagy érvényességére vonatkoznak, a Bíróság – főszabály szerint – köteles határozatot hozni. Ebből következik, hogy a nemzeti bíróságok által előterjesztett kérdések releváns voltát vélelmezni kell. A nemzeti bíróságok által előterjesztett előzetes döntéshozatal iránti kérelem Bíróság általi elutasítása csak abban az esetben lehetséges, ha nyilvánvaló, hogy a kért értelmezés nem függ össze az alapeljárás tényállásával vagy tárgyával, illetve ha a szóban forgó probléma hipotetikus jellegű, vagy a Bíróság nem rendelkezik azon ténybeli és jogi elemek ismeretével, amelyek szükségesek ahhoz, hogy az említett kérdésekre hasznos választ adjon. A jelen ügyben az előzetes döntéshozatal iránti kérelem elegendő ténybeli és jogi elemet tartalmaz az előzetes döntéshozatalra előterjesztett kérdések tartalmának megértéséhez. Ezenkívül és legfőképpen, a Bíróság rendelkezésére álló iratok egyike sem teszi lehetővé annak megállapítását, hogy az uniós jog kért értelmezése ne függene össze az alapeljárás tényállásával vagy tárgyával, illetve hogy hipotetikus jellegű lenne. ( 3 )

16.

E tekintetben rá kell mutatni arra, hogy a kérdést előterjesztő bírósághoz a Digit mint adatkezelőt az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) és e) pontjában foglalt célhoz kötöttség és korlátozott tárolhatóság elvének állítólagos megsértése miatt szankcióval sújtó határozat megsemmisítése iránti keresettel fordultak, és e bíróság értelmezés iránti kérelme e rendeletre vonatkozik. Következésképpen az előzetes döntéshozatal iránti kérelmet elfogadhatónak kell tekinteni.

17.

Meg kell állapítani, hogy az előzetes döntéshozatal iránti kérelem kizárólag az általános adatvédelmi rendelet 5. cikkének értelmezésére vonatkozik egy olyan személyesadat‑kezelésre vonatkozó jogvita keretében, amelyet a Digi, Magyarország egyik legjelentősebb internet‑ es és televíziószolgáltatója végez, és amely ennélfogva a nyilvánosság számára hírközlési szolgáltatásokhoz való online hozzáférést biztosító gazdasági szereplőnek minősül.

18.

Márpedig meg kell állapítani, hogy a 2002/58/EK irányelv ( 4 ) 1. cikkének (1) bekezdése úgy rendelkezik, hogy ez az irányelv előírja azon nemzeti rendelkezések összehangolását, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét, különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra. A 2002/58 irányelv 3. cikkében foglaltak szerint ezt az irányelvet az Unióban a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyilvános hírközlő hálózaton – az adatgyűjtést és az azonosító eszközöket támogató nyilvános hírközlő hálózatokat is beleértve – történő nyújtásával összefüggő személyes adatok kezelésére kell alkalmazni. Ezért az említett irányelvet úgy kell tekinteni, mint amely az ilyen szolgáltatásokat nyújtó szolgáltatók tevékenységeit szabályozza. ( 5 )

19.

A 2002/58 irányelv 1. cikke (2) bekezdésének megfelelően ezen irányelv rendelkezései az említett cikk (1) bekezdésében említett célok érdekében pontosítják és kiegészítik a 95/46/EK irányelvet ( 6 ), azzal hogy az általános adatvédelmi rendelet 94. cikkének (2) bekezdése szerint a 2002/58 irányelvben szereplő, a 95/46 irányelvre történő hivatkozásokat az említett rendeletre történő hivatkozásnak kell tekinteni. ( 7 ) A 2002/58 irányelv (10) preambulumbekezdése szerint az elektronikus hírközlési ágazatban a 95/46 irányelv alkalmazandó az alapvető jogok és szabadságok védelmével kapcsolatos területekre, amelyeket a 2002/58 irányelv rendelkezései nem kifejezetten szabályoznak, beleértve a személyesadat‑kezelők kötelezettségeit és az egyének jogait. ( 8 )

20.

Az előzetes döntéshozatal iránti kérelemből kitűnik, hogy az alapeljárás nem az elektronikus hírközlési szolgáltatásoknak a Digi előfizetői általi igénybevételére, és ezáltal az így teljesített közléseknek és az azokhoz kapcsolódó forgalmi adatoknak a 2002/58 irányelv által szabályozott védelmére vonatkozik, hanem e vállalkozás belső működését érinti. Nem vitatott, hogy a Digi 2018‑ban a szerver működését érintő műszaki hibát követően, amelynek folytán előfizetőinek eredeti adatbázisa elérhetetlenné vált, egy „test” elnevezésű nyilvántartási rendszert hozott létre, amelybe ügyfelei egy részének személyes adatait másolta át. ( 9 ) Miután a Digi elhárította a hibát, az adatokat a kiegészítő adatbázisban 2019 szeptemberéig tovább tárolta, amikor az említett adatbázist hekkertámadás érte. A Digi által ily módon kifejtett tevékenység „személyes adatok kezelésének” minősül, amelynek tekintetében e vállalkozás az általános adatvédelmi rendelet 4. cikkének (2) és (7) bekezdésében szereplő fogalommeghatározások értelmében „adatkezelő”. Ezenkívül a Hatóság e minőségében szankcionálta a Digit azért, mert a fenti esetben megsértette a többek között az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) és e) pontjából eredő kötelezettségeit.

21.

E tekintetben emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 23. cikke alapján engedett eltérések sérelme nélkül minden személyesadat‑kezelésnek tiszteletben kell tartania a rá vonatkozó elveket, valamint az érintett jogait, amelyeket e rendelet II. illetve III. fejezete szabályoz. Konkrétabban, bármely személyesadat‑kezelésnek meg kell felelnie egyrészről az említett rendelet 5. cikkében kimondott elveknek, másrészről pedig az ugyanezen rendelet 6. cikkében felsorolt jogszerűségi feltételeknek. ( 10 )

22.

Az általános adatvédelmi rendelet 5. cikke értelmében az adatkezelőnek biztosítania kell, hogy a személyes adatok „kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon” végezzék (az a) pont), hogy azok „gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon” (a b) pont), hogy az adatok „[gyűjtésük és további kezelésük] céljai szempontjából megfelelőek[,] relevánsak [és ne túlzott mértékűek]” (a c) pont), „pontos[ak], és ha szükséges, időszerű[ek]” legyenek (a d) pont), végül pedig hogy az adatok „tárolás[a] olyan formában [történjen], amely az érintettek azonosítását csak a személyes adatok [gyűjtése és további kezelése] céljainak eléréséhez szükséges ideig teszi lehetővé” (az e) pont), azzal, hogy a történelmi kutatási, statisztikai vagy tudományos célból történő adatkezelésre különös rendelkezések vonatkoznak. Ezzel összefüggésben az említett adatkezelőnek minden észszerű intézkedést meg kell tennie az e rendelkezésben foglalt követelményeknek meg nem felelő adatok törlése vagy helyesbítése érdekében. ( 11 )

23.

Az előterjesztő bíróság abban a kérdésben kér iránymutatást a Bíróságtól, hogy hogyan kell értelmezni az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) és e) pontjában külön‑külön kimondott célhoz kötöttség és korlátozott tárolhatóság elvét, ami az e rendelkezésekre vonatkozó, előzetes döntéshozatalra előterjesztett két külön kérdés szövegében tükröződik. Kétségtelen azonban, hogy a második kérdés, amely a korlátozott tárolhatóság elvére vonatkozik, csak feltételesen került előterjesztésre, arra az esetre, ha a szóban forgó adatkezelés a célhoz kötöttség elvével összeegyeztethetetlen lenne.

24.

Márpedig hangsúlyozni kell, hogy a személyes adatok kezelésére vonatkozóan az általános adatvédelmi rendelet 5. cikkében kimondott követelmények nyilvánvalóan együttesek és egymáshoz képest önállóak. ( 12 ) A korlátozott tárolhatóság elve tiszteletben tartásának kérdése jogilag független a célhoz kötöttség elve tiszteletben tartásának kérdésétől. Az alapeljárás tárgyát képező határozatban a Hatóság megállapítja, hogy az adatok valamely kiegészítő belső adathordozón való tárolása a fent említett két különálló elv sérelmét okozza.

25.

Még ha a kérdést előterjesztő bíróság a második kérdését annak feltételes jellege révén alakilag korlátozta is, e körülmény nem képezi akadályát annak, hogy a Bíróság megadja számára mindazon értelmezési szempontokat, amelyek hasznosak lehetnek az alapügy elbírálásához, oly módon, hogy az e bíróság által szolgáltatott információk összessége és különösen az előzetes döntéshozatalra utaló határozat indokolása alapján kiválasztja az uniós jog azon rendelkezéseit, amelyek a jogvita tárgyára tekintettel értelmezést igényelnek. ( 13 )

26.

Előzetesen szükségesnek tartom az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) és e) pontjában meghatározott elvek hatályát külön‑külön, az adattárolásnak az előzetes döntéshozatalra utaló határozatban és az érdekelt felek beadványaiban a kifogásolt adatkezelési művelet leírása érdekében alkalmazott fogalmával összefüggésben, két szempontból elemezni. Az első magára az adatok tárolására vagy megőrzésére, a jelen esetben a Digi előfizetői egy részének adatairól készített másolatok egy belső kiegészítő adatbázisban való tárolására, illetve mentésére irányuló cselekményre vonatkozik. A második az adattárolást az ezen adatbázis időben való fenntartásának értelmében veszi figyelembe. Az előterjesztett kérdés tehát az adatok tárolásának időtartamát érinti. E tekintetben a fent említett, időbeliséget érintő kérdés véleményem szerint nem a célhoz kötöttség elvéhez, hanem kizárólag a korlátozott tárolhatóság elvéhez kapcsolódik.

27.

Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) pontjában előírt célhoz kötöttség elvének két összetevője van: a személyes adatokat egyrészt „meghatározott, egyértelmű és jogszerű” célokból kell gyűjteni, másrészt pedig azok nem „kezel[hetők] ezekkel a célokkal össze nem egyeztethető módon”. Ennek az elvnek az a célja, hogy a lehető legvilágosabban meghatározza a személyes adatok felhasználásának korlátait, egyensúlyt biztosítva az érintettek magánélethez és adatvédelemhez fűződő alapvető jogainak tiszteletben tartása, valamint az adatkezelőnek az ilyen adatok kezelése terén biztosított bizonyos fokú rugalmasság elismerése között, ahogyan azt a digitális világ és az ahhoz kapcsolódó kockázatok megkövetelik.

28.

Az említett elv – a jelen ügyben számomra különös fontosságú második összetevője révén – azon korlátok meghatározására irányul, amelyek között az adott célból gyűjtött személyes adatok újrafelhasználhatók. Az általános adatvédelmi rendelet 5. cikke (1) bekezdése b) pontjának megfelelően minden gyűjtést követő adatkezelést „további adatkezelésnek” kell tekinteni, és ezért – a kivételektől eltekintve – meg kell felelnie az összeegyeztethetőség követelményének. ( 14 ) Ez utóbbi az adatgyűjtés célja és az adatok további kezelése közötti konkrét, logikus és kellően szoros kapcsolat szükségességét fejezi ki. Másként fogalmazva, ezen adatkezelés nem választható el az adatgyűjtés eredeti céljától, illetve nem lehet azzal ellentétes, tartalmának bármely időbeli kérdéstől függetlenül az adatgyűjtés lényegével összhangban kell állnia.

29.

A célhoz kötöttség elve – az általános adatvédelmi rendelet 5. cikke (1) bekezdésének e) pontjában kimondott korlátozott tárolhatóság elvétől eltérően – szorosan véve nem tekinthető az arányosság elve kifejeződésének. Amint azt a Bíróság pontosította, az e cikkben előírt követelményekből következik, hogy még az eredetileg jogszerű adatkezelés is idővel összeegyeztethetetlenné válhat e rendelettel, ha ezen adatok a gyűjtésük vagy kezelésük céljaira tekintettel már nem szükségesek. Ez a helyzet többek között akkor, ha az adatok e célokra és az eltelt időre tekintettel nem megfelelőek, nem, vagy már nem relevánsak, illetve túlzó mértékűek. ( 15 )

30.

A korlátozott tárolhatóság elve kapcsán tehát annak értékeléséről van szó, hogy az idő múlására tekintettel az adatkezelés arányos‑e annak céljával. Ellentétes ezen elvvel az adatoknak a szükségesnél hosszabb ideig, azaz az említett adatok tárolása céljainak eléréséhez szükséges időt meghaladó ideig történő tárolása. ( 16 ) Ha az adatkezelés céljai megvalósultak, az adatokat törölni kell. ( 17 ) A korlátozott tárolhatóság elv tehát arra a kérdésre ad magyarázatot, hogy mikor nem volt már indokolt az adatoknak a Digi kiegészítő belső adathordozóján történő tárolása.

31.

A fenti megfontolások fényében vizsgálom meg, hogy a szóban forgó adatkezelés jogszerű-e a fent említett két elvre tekintettel.

32.

Ezen elv tiszteletben tartásának a második összetevője tekintetében való vizsgálata a szóban forgó adatgyűjtés céljának vagy céljainak előzetes meghatározását feltételezi. A Bíróság elé terjesztett iratokból kitűnik, hogy ezeket az adatokat a Digi internet‑ és televíziószolgáltatóként kínált előfizetési szerződések megkötése és teljesítése céljából gyűjtötte, és ezen első adatkezelés jogszerűsége az alapeljárásban részt vevő felek között nem képezi vita tárgyát. Ugyanez vonatkozik az ezt követő, nélkülözhetetlen adatkezelési műveletre, amely abban áll, hogy az említett adatokat egy arra kijelölt adathordozón tárolják, amely az eredeti adatbázisnak minősül. ( 18 ) Ebben az összefüggésben az előterjesztő bíróság többek között arra a kérdésre szeretne választ kapni, hogy az adatok gyűjtésének meghatározott, egyértelmű és jogszerű célja „megváltozik”‑e amiatt, hogy ezen adatokat a felek által nem vitatott első tárolást kiegészítő másik adatbázisba másolták.

33.

A Bíróság ítélkezési gyakorlata szerint a személyes adatok védelmére vonatkozó, az általános adatvédelmi rendeletben szereplő szabályokat valamennyi, a rendelet 2. cikkében meghatározott adatkezelésre alkalmazni kell. ( 19 ) Úgy tűnik számomra, hogy a fenti kérdésfeltevés figyelmen kívül hagyja az adatgyűjtést követő valamennyi adatkezelési művelet egyedi értékelésére vonatkozó, a jelen ügyben az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) pontjából következő követelményt.

34.

Másként fogalmazva, ezen adatok további felhasználásának minden egyes esetét meg kell vizsgálni e felhasználás különös céljának és adott esetben a gyűjtés céljával való összeegyeztethetőségének vizsgálata érdekében. Ezen adatgyűjtés és az adatok kezdeti tárolásának jogszerűsége nem hathat ki egyfajta tovagyűrűző hatás révén automatikusan a célhoz kötöttség elvének egy másik további adatkezelési tevékenység esetében történő tiszteletben tartására, függetlenül attól, hogy ez utóbbi ugyanazon adatokra vonatkozik. Amint arra a magyar kormány hivatkozik, nem állapítható meg, hogy az adatkezelő a személyes adatokat több nyilvántartási rendszerben és korlátozások nélkül tárolhatja azzal a feltétellel, hogy azokat eredetileg jogszerűen gyűjtötte és kezelte.

35.

Következésképpen meg kell vizsgálni az adatgyűjtés céljai és az adatok további kezelése közötti, az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) pontjában megkövetelt összeegyeztethetőség kérdését. E kérdés azonban logikusan csak abban az esetben merül fel, ha ezen adatkezelést az eredetileg meghatározottaktól eltérő célokból végzik.

36.

Ily módon, e rendelet (50) preambulumbekezdése szerint a személyes adatoknak a gyűjtésük eredeti céljától „eltérő egyéb célból” történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető ezen adatgyűjtés céljával. Az említett rendelet 6. cikke (4) bekezdésének szövege szintén megerősíti a fenti következtetést. E rendelkezésben szerepel azon szempontok példálózó felsorolása, amelyek adott helyzetben lehetővé teszik annak értékelését, hogy az „egyéb célból” történő adatkezelés összeegyeztethető‑e azzal a céllal, amelyre a személyes adatokat eredetileg gyűjtötték. Ennélfogva annak megállapítása, hogy az adatgyűjtés és további adatkezelés célja azonos, amint azt a Digi állítja, okafogyottá tenné az összeegyeztethetőség kérdését, és lehetővé tenné annak megállapítását, hogy e kezelés a célhoz kötöttség elve alapján jogszerű. ( 20 )

37.

A Bírósághoz benyújtott iratokból és különösen a Digi nyilatkozataiból kitűnik, hogy a szerver működését érintő műszaki hibát követően, amelynek folytán az eredeti adatbázis elérhetetlenné vált, e vállalkozás egy „test” elnevezésű belső kiegészítő adatbázisban tárolta az előfizetői egy része adatainak másolatát annak érdekében, hogy elhárítsa a műszaki incidenst, és biztosítsa az adatokhoz való hozzáférést az adatkezelővel szemben az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontjában előírt és 32. cikkében részletezett kötelezettségnek megfelelően. ( 21 ) A Digi azt állítja, hogy ezen adatkezelési művelet ily módon az adatgyűjtés céljának megvalósításához, vagyis a szerződésben meghatározott szolgáltatás nyújtásához is hozzájárult. E körülmények között a kifogásolt tárolás nem elkülönült célhoz kapcsolódik, ami kizárja e rendelet 5. cikke (1) bekezdése b) pontjának megsértését.

38.

Bár nyilvánvalóan a kérdést előterjesztő bíróság feladata a fent említett adatkezelési művelet jogszerűségének – többek között az általános adatvédelmi rendelet 5. cikkében előírt követelményekre és a jelen ügyre jellemző körülmények összességére figyelemmel történő – vizsgálata, több iránymutatás is adható e célból számára.

39.

Először is megjegyzem, hogy a Digi lényegében arra hivatkozik, hogy a vitatott adatkezelés célja kettős, abban az értelemben, hogy a szerver hibája kijavításának és az előfizetői adatok rendelkezésre állása biztosításának elsődleges és különös célja maga is az előfizetési szerződések teljesítésére irányuló másodlagos és általános cél részét képezte, amely megegyezik az adatok eredeti gyűjtésének céljával.

40.

A gyakorlatban teljesen elképzelhető, hogy a személyes adatokat több célból is gyűjthetik vagy kezelhetik a későbbiekben, amit az általános adatvédelmi rendelet egyértelműen előirányoz és elismer, amint azt az 5. cikke (1) bekezdése b) pontjának és 6. cikke (1) bekezdése a) pontjának szövege, valamint (32) és (50) preambulumbekezdése is tanúsítja. E megközelítés megfelel a pragmatizmus és rugalmasság azon igényének, amelyet a digitális korban a személyes adatok összetett és kevésbé lineáris kezelési műveletei megkövetelnek. Ugyanakkor figyelembe kell venni a cél pontosságának követelményét, amely az európai személyesadat‑védelmi rendszer alkalmazásának egyik kulcseleme.

41.

A cél kellő pontossága tehát alapvető biztosítékot jelent az előreláthatóság és a jogbiztonság szempontjából, abban az értelemben, hogy hozzájárul ahhoz, hogy az érintett személy megfelelően tudatában legyen adatai lehetséges felhasználásának, és lehetővé teszi számára, hogy a tények teljes ismeretében hozzon döntést. Ez az előreláthatóság alapvető fontosságú az adatgyűjtés célja és az adatok további kezelése összeegyeztethetőségének értékelése során, továbbá csökkenti annak kockázatát, hogy az adatkezelő által végzett műveletek eltérjenek az érintetteknek az adataik jövőbeni lehetséges felhasználására vonatkozó észszerű elvárásaitól. Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c), d) és e) pontjával összhangban a cél megjelölése az adatok minőségére vonatkozó olyan egyéb követelmények alkalmazásához is szükséges, mint például az összegyűjtött adatok alkalmassága, relevanciája, arányossága és pontossága, valamint a tárolásuk időtartamára vonatkozó követelmények.

42.

E pontosságra vonatkozó követelmény tehát, amint azt a 29. cikk alapján létrehozott munkacsoport ( 22 ) 3/2013. sz. véleménye hangsúlyozza, minden adatkezelési műveletre érvényes, nem csupán az először végzett adatgyűjtés szakaszára. Érdemes rámutatni, hogy az érintett hozzájárulásán alapuló adatkezelés esetén az adatkezelés az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontja értelmében csak akkor jogszerű, ha az érintett hozzájárulását adta ezen egy vagy több „konkrét” célból történő adatkezeléshez.

43.

E körülmények között, noha egy adott adatkezelés két cél elérésére is irányulhat, e célok mindegyikének pontosnak kell lennie, valamint objektív és kellően szoros kapcsolatot kell mutatnia az érintett adatkezelési művelettel.

44.

Másodszor meg kell említeni azt a sajátos összefüggést, amelyben a szóban forgó további adatkezelés célját vagy céljait értékelni kell.

45.

Az általános adatvédelmi rendelet (60) és (61) preambulumbekezdésének megfelelően a tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, és a rá vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell a részére megadni. E tekintetben a rendelet 13. cikke (1) bekezdésének c) pontja előírja, hogy ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a szóban forgó adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a személyes adatok tervezett kezelésének céljára, valamint az adatkezelés jogalapjára vonatkozó információkat.

46.

Tény, hogy bármennyire előrelátó és megfontolt is az adatkezelő, elképzelhető, hogy nem képes az adatkezelési folyamatot alkotó valamennyi művelet jellegét és pontos terjedelmét már az adatkezelés megtervezésekor előre látni és meghatározni. Hasonlóképpen, a jelen ügy tökéletesen szemlélteti az azon helyzethez kapcsolódó kérdéskört, amikor – fogalmilag váratlanul felmerülő – műszaki hibát kezelnek, és ezt követően valamely eredetileg meg nem határozott célból végeznek egy bizonyos típusú adatkezelést.

47.

Az ilyen adatkezelés jogszerűségének a felügyelő hatóság, majd az e hatóság határozata ellen benyújtott keresetet elbíráló bíróság általi, a jelen ügyben végzetthez hasonló értékelése keretében e célt utólagosan, az adatkezelő által a közigazgatási eljárás során szolgáltatott adatokra tekintettel vizsgálják. Az általános adatvédelmi rendelet 5. cikkének (2) bekezdésében előírt elszámoltathatóság elve alapján pedig ez utóbbinak, az érintett adatkezelési művelet tervezőjének kell bizonyítania az állított cél valódiságát, és adott esetben az adatkezelésnek az adatgyűjtés céljával való összeegyeztethetőségét. ( 23 )

48.

E tekintetben két konkrét és objektív körülmény vehető figyelembe e cél ellenőrzése során. Először is, az általános adatvédelmi rendelet 13. cikkének (3) bekezdése előírja, hogy ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, és ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, ezen adatkezelőnek a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról ( 24 ) és az e cikk (2) bekezdésében említett minden releváns kiegészítő információról. Másodszor, az általános adatvédelmi rendelet 30. cikkének (1) bekezdése megköveteli, hogy minden adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről írásban, ideértve az elektronikus formátumot is, nyilvántartást vezessen, és azt megkeresés alapján a felügyeleti hatóság rendelkezésére bocsássa. E nyilvántartás különböző, többek között az adatkezelés céljaira vonatkozó információkat tartalmaz.

49.

A jelen ügyben bizonyosnak tűnik, hogy a Digi egyetlen érintett előfizetőt sem tájékoztatott arról a szándékáról, hogy az adataikat le kívánja másolni, és a tesztek elvégzésére és hibák kijavítására szolgáló belső adathordozón kívánja tárolni, mivel e gazdasági szereplő az említett adatkezelési műveletet úgy tekintette, hogy az nem rendelkezik az adatgyűjtés céljától eltérő céllal, és ezért nem tartozik az általános adatvédelmi rendelet 13. cikke (3) bekezdésének ( 25 ) hatálya alá. A Bíróság elé terjesztett iratok ezenkívül nem teszik lehetővé annak meghatározását, hogy a Digi részesülhet‑e a nyilvántartás vezetésére vonatkozó kötelezettség alóli, a fenti rendelet 30. cikkének (5) bekezdésében előírt mentességben. ( 26 )

50.

Mindenesetre megjegyzem, hogy a tárgyaláson a Digi egyértelműen jelezte, hogy a 2018‑ban bekövetkezett műszaki hiba nem vezetett a szerződésben meghatározott szolgáltatás zavarához, mivel a kifogásolt tárolásra kizárólag az ilyen üzemzavar veszélyére tekintettel került sor. E nyilatkozatokat összefüggésbe kell hozni azon objektív ténymegállapításokkal, amelyek az úgynevezett „test” adatbázis elnevezésére vonatkozó döntéssel, továbbá azzal a ténnyel kapcsolatosak, hogy az utóbbi adatbázis nem az összes előfizető adatait, hanem csak az előfizetők egyharmadának adatait tartalmazta, valamint azzal, hogy az említett adatbázist – miután arról a Digi az eredeti műszaki incidens elhárítását követő 18 hónapon át megfeledkezett – az adatok biztonságát érintő 2019. szeptemberi hekkertámadást követően azonnal törölték.

51.

E körülmények között megállapítható, hogy a kifogásolt adatkezelés egyetlen konkrét és különös – az adatgyűjtés céljától véleményem szerint eltérő – célnak felelt meg, amely arra irányult, hogy az előfizetői adatok egy részének biztonságát a szerver működését érintő műszaki incidens elhárításával összefüggésben ideiglenesen biztosítsa.

52.

A Bizottság és a Digi ezzel szemben azt állítja, hogy az ilyen adatkezelést, amelynek célja az adatkezelővel szemben az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontjában előírt és e rendelet 32. cikkében részletezett, az adatkezelés biztonságára vonatkozó kötelezettség tiszteletben tartása, nem lehet úgy tekinteni, mint amely új vagy elkülönült célt követ, mivel az ezzel ellentétes helyzet sértené e jogi aktus hatékony érvényesülését, és az érintettek olyan tájékoztatását eredményezné, amelyhez nem fűződik gyakorlati érdek.

53.

Ez az elvont és módszeres megközelítés számomra ellentétesnek tűnik az egyes adatkezelési műveletek jogszerűségének az adott ügy valamennyi releváns körülményére tekintettel történő értékelésére vonatkozó követelménnyel. Valójában e megközelítés vezet ahhoz, hogy megfosztja hatékony érvényesülésétől az érintettek tájékoztatására vonatkozóan az általános adatvédelmi rendelet 13. cikkének (3) bekezdésében előírt kötelezettséget, amely tájékoztatást az adatkezelőnek kell e személyek részére megadnia annak érdekében, hogy velük szemben a tisztességes adatkezelést biztosítsa. ( 27 ) E kötelezettség kógens jellegű abban az esetben, ha az adatkezelésre – mint a jelen ügyben is – szerződéses jogviszony keretében kerül sor, és az ezen jogi aktus 6. cikke (1) bekezdésének b) pontján alapul, amely rendelkezés a szerződés teljesítésének szükségességére vonatkozik a szerződő felek hozzájárulásának megkövetelése nélkül. Végül az említett megközelítés figyelmen kívül hagyja az általános adatvédelmi rendelet 5. cikke (1) bekezdése b) pontjának lényegét, vagyis azt, hogy az adatgyűjtés céljától eltérő célra irányuló további adatkezelés nem szükségképpen jogellenes, mivel az adatgyűjtés céljával való egyszerű összeegyeztethetőség elegendő a fent hivatkozott rendelkezésnek való megfeleléshez.

54.

Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) pontja semmilyen utalást nem tartalmaz azon feltételekre vonatkozóan, amelyek mellett az eredeti adatgyűjtés céljától eltérő célt szolgáló további adatkezelés az előbbi céllal összeegyeztethetőnek tekinthető. E tekintetben az általános adatvédelmi rendelet 6. cikkének az e jogi aktus (50) preambulumbekezdésével összefüggésben értelmezett (4) bekezdésére kell hivatkozni, amely a célhoz kötöttség elve és az érintett adatkezelés jogalapja közötti kapcsolatról rendelkezik.

55.

Ily módon e rendelkezés az összeegyeztethetőség követelményét illetően különbséget tesz aszerint, hogy az adatgyűjtés céljától eltérő célból történő adatkezelés az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul‑e, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban az általános adatvédelmi rendelet 23. cikkének (1) bekezdésében rögzített célok eléréséhez.

56.

Amennyiben igen, az adatkezelő az általános adatvédelmi rendelet (50) preambulumbekezdésének második bekezdése értelmében a célok összeegyeztethetőségétől függetlenül jogosult a szóban forgó adatokon további adatkezelést végezni. ( 28 ) Az összeegyeztethetőség követelménye alóli e kivételt lényegében az érintettek védelmét szolgáló egyéb szabályok megléte igazolja, különösen azon szabályoké, amelyek az érintetteknek a más célokról és az adatkezeléssel szembeni tiltakozáshoz való jogára vonatkozó tájékoztatására vonatkoznak. ( 29 )

57.

Amennyiben nem, amely a jelen ügynek megfelelő helyzet, az általános adatvédelmi rendelet 6. cikkének (4) bekezdése szerint:

„[…]

annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

58.

Mivel a Digi az adatgyűjtés időpontjában nem adott hivatalos tájékoztatást a tervezett további adatkezelésről és annak céljáról, azon érdemi megközelítést kell követni, amely véleményem szerint az adatfeldolgozás összeegyeztethetőségének megállapításához vezet.

59.

E tekintetben tagadhatatlanul kapcsolat áll fenn az eredeti adatgyűjtési cél, azaz az internet‑ és televíziós előfizetési szerződés teljesítése, az ezen adatok biztonságának belső kiegészítő adatbázisban való biztosítására irányuló adatkezelés és olyan tesztek teljesen biztonságos elvégzése között, amelyek célja a szerződésben előírt szolgáltatás nyújtására potenciálisan káros hatással bíró műszaki hiba elhárítása. Anélkül, hogy a fentiekben jelzett módon átfednék egymást, e célok logikusan összekapcsolódnak.

60.

Hangsúlyozni kell, hogy ez az adatkezelés nem esik távol az előfizetőknek az adataik további felhasználására vonatkozó jogos elvárásaitól. A belső adathordozón való kiegészítő adattárolás ugyanis, amelyet az eredeti adatbázis adataihoz való hozzáférést érintő műszaki hiba megoldásának szükségessége indokol, nem tekinthető meglepőnek vagy valószínűtlennek. Ezenkívül az érintett adatokat továbbra is ugyanaz az adatkezelő kezelte, és azokat nem tették harmadik személyek számára hozzáférhetővé, ami a priori negatív hatás hiányára utal. Az a tény, hogy a Digit érintő hekkertámadás keretében a hekker képes volt elérni az ezen adathordozón szereplő adatokat, véleményem szerint nem vezethet a szóban forgó adatkezelés összeegyeztethetetlenségének visszaható hatályú megállapításához.

61.

Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének e) pontja értelmében az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; ( 30 ) a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére az e rendelet 89. cikke (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az említett rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő műszaki és szervezési intézkedések végrehajtására is figyelemmel.

62.

Amint az fent említésre került, a korlátozott tárolhatóság elve az arányosság elvét fejezi ki, az „adattakarékosság” elvéhez hasonlóan, amely szerint a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk. ( 31 ) A korlátozott tárolhatóság elve kapcsán az adatkezelés szükségességének – időbeli szempontból vizsgált – kérdése az adatkezelés céljának tartós fennállásához kapcsolódik.

63.

Arra is emlékeztetni kell, hogy az arányosság követelményének tiszteletben tartása azt jelenti, hogy a személyes adatok védelme alóli kivételeknek és korlátozásoknak a feltétlenül szükséges mértéken belül kell maradniuk. ( 32 ) A Bíróság egyértelműen rámutatott, hogy az általános adatvédelmi rendelet 5. cikke (1) bekezdésének e) pontja az érintettek védelmére irányul. ( 33 )

64.

Ugyanilyen egyértelműen az általános adatvédelmi rendelet (39) preambulumbekezdése kimondja, hogy a személyes adatok tárolásának „a lehető legrövidebb időtartamra [kell korlátozódnia]”, és hogy ennek érdekében az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. Az általános adatvédelmi rendelet 13. cikke (2) bekezdésének a) pontja úgy rendelkezik, hogy az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, köteles az érintettet az e cikk (1) bekezdésében említett információk mellett kiegészítő információkról tájékoztatni, így többek között a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól. ( 34 )

65.

Ezen összefüggésben, az adott ügyre jellemző körülmények összességére tekintettel meg kell határozni, ( 35 ) hogy mely időpontban lehetett adott esetben úgy tekinteni, hogy elérték az előfizetők egy részének adatairól készített másolat kiegészítő belső adatbázisban való tárolásának céljait, ami ezen adatkezelést megfosztja létjogosultságától, és a Digit az adatok törlésére kötelezi. Nyilvánvaló, hogy az általános adatvédelmi rendelet 5. cikkének (2) bekezdésében előírt elszámoltathatóság elve alapján az adatkezelőnek kell igazolnia az adatkezelés jogszerűségét mind a korlátozott tárolhatóság elvére, mind pedig a célhoz kötöttség elvére tekintettel.

66.

A jelen ügyben, tekintettel arra, hogy a kifogásolt adattárolás megfelelt az adatbiztonság célkitűzésének, és egyben hozzájárult az előfizetési szerződés teljesítésére irányuló cél megvalósításához, a Digi azt állítja, hogy a tesztadatbázisban szereplő adatok tárolásának időtartama a szerződéses kötelezettségei teljesítésének időtartamához igazodott, ami kizárja az általános adatvédelmi rendelet 5. cikke (1) bekezdése e) pontjának megsértését.

67.

Ami a cél vagy célok meghatározását illeti, a célhoz kötöttség elvének tiszteletben tartásával kapcsolatos kérdésére adott válasz keretében tett megállapításokra és értékelésekre hivatkozom, amelyekből az következik, hogy nem tekinthető úgy, hogy a szóban forgó adatkezelés kettős célt követett, amely az előfizetési szerződések teljesítését is magában foglalta. ( 36 )

68.

Mindenesetre a követett cél vagy célok jellegétől függetlenül a kiegészítő belső nyilvántartási rendszerben történő adattárolás formájában végzett adatkezelésnek időben a feltétlenül szükséges mértékre kell korlátozódnia. Másként fogalmazva, amint az eredeti működési zavart sikeresen elhárították, megszűnt az a körülmény, amely az adattárolási műveletet és annak fenntartását indokolja. Az adatok biztonságának a műszaki incidens elhárításához kapcsolódó biztosítására irányuló közvetlen és elsődleges cél, akár önmagában, akár az előfizetési szerződés teljesítéséhez fűződő közvetett és másodlagos céllal együttesen véve, ilyen körülmények között már nem terjedhetett ki az adatkezelés folytatására.

69.

Meg kell állapítani, hogy a Digi egyértelműen jelezte, hogy a tesztadatbázis célja az előfizetői adatokhoz való hozzáférés biztosítása volt addig, „ameddig maga a hiba elhárításra nem kerül”, és hogy azt figyelmetlenségből nem törölte, jóllehet a fenntartását a hibák elhárítása már nem indokolta, ( 37 ) ami azt jelenti, hogy a kifogásolt adatkezelésnek már nem volt haszna, tehát célja sem. Megállapítható‑e, hogy az adatkezelő saját bevallása szerint is másfél éven keresztül elfeledett belső adatbázis még alkalmas arra, hogy valamely tényleges célnak megfeleljen? A válasz álláspontom szerint szükségképpen nemleges.

70.

A fenti megfontolásokra tekintettel azt javaslom, hogy a Bíróság a Fővárosi Törvényszék (Magyarország) részére a következő választ adja: