A BÍRÓSÁG ÍTÉLETE (első tanács)

2022. október 20. ( *1 )

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – Az 5. cikk (1) bekezdésének b) és c) pontja – A »célhoz kötöttség« elve – A »korlátozott tárolhatóság« elve – Tesztek elvégzésére és hibák kijavítására szolgáló adatbázis meglévő adatbázisból történő létrehozása – További adatkezelés – Ezen adatok további kezelésének az eredeti adatgyűjtés céljaival való összeegyeztethetősége – A tárolás időtartama e célokra tekintettel”

A C‑77/21. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Fővárosi Törvényszék (Magyarország) a Bírósághoz 2021. február 8‑án érkezett, 2021. január 21‑i határozatával terjesztett elő

a Digi Távközlési és Szolgáltató Kft.

és

a Nemzeti Adatvédelmi és Információszabadság Hatóság

között folyamatban lévő eljárásban,

A BÍRÓSÁG (első tanács),

tagjai: A. Arabadjiev tanácselnök, L. Bay Larsen elnökhelyettes, az első tanács elnökeként eljárva, P. G. Xuereb, A. Kumin és I. Ziemele (előadó) bírák,

főtanácsnok: P. Pikamäe,

hivatalvezető: Illéssy I. tanácsos,

tekintettel az írásbeli szakaszra és a 2022. január 17‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

–	a Digi Távközlési és Szolgáltató Kft. képviseletében Hatala R. és László A. D. ügyvédek,

–	a Nemzeti Adatvédelmi és Információszabadság Hatóság képviseletében Barabás G. jogtanácsos, segítői: Dudás G. J. és Hargita Á. ügyvédek,

–	a magyar kormány képviseletében Biró‑Tóth Zs. és Fehér M. Z., meghatalmazotti minőségben,

–	a cseh kormány képviseletében T. Machovičová, M. Smolek és J. Vláčil, meghatalmazotti minőségben,

–	a portugál kormány képviseletében P. Barros da Costa, L. Inez Fernandes, I. Oliveira, J. Ramos és C. Vieira Guerra, meghatalmazotti minőségben,

–	az Európai Bizottság képviseletében Bottka V. és H. Kranenborg, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2022. március 31‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.) 5. cikke (1) bekezdése b) és e) pontjának értelmezésére vonatkozik.

E kérelmet a Digi Távközlési és Szolgáltató Kft. (a továbbiakban: Digi), az egyik legjelentősebb magyarországi internet‑ és televíziószolgáltató, és a Nemzeti Adatvédelmi és Információszabadság Hatóság (Magyarország) (a továbbiakban: Hatóság) között a Digi egyik adatbázisában található személyes adatok megsértése tárgyában folyamatban lévő jogvita keretében terjesztették elő.

Jogi háttér

A 2016/679 rendelet (10) és (50) preambulumbekezdése kimondja az alábbiakat:

„(10)

A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]

[…]

(50)

A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését. […] Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető‑e a személyes adatok gyűjtésének eredeti céljával, az adatkezelő – az eredeti adatkezelés jogszerűségére vonatkozó valamennyi előírás teljesítését követően – figyelembe veszi többek között minden, az említett eredeti célok és a tervezett további adatkezelési célok között fennálló összefüggést, az adatgyűjtés körülményeit, ideértve különösen az érintettnek a további adatfelhasználásra vonatkozó, az adatkezelővel fennálló kapcsolatán alapuló észszerű elvárásait is, továbbá a személyes adatok jellegét, a tervezett további adatkezelés következményeit az érintettekre nézve, valamint a megfelelő garanciák meglétét mind az eredeti, mind a tervezett további személyesadat‑kezelési műveletek során.

[…]”

A 2016/679 rendelet „Fogalommeghatározások” című 4. cikke a következőképpen rendelkezik:

„E rendelet alkalmazásában:

[…]

»adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]”

Az említett rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke szerint:

„(1) A személyes adatok:

a)	kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);

gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés (»célhoz kötöttség«);

c)	az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);

d)	pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (»pontosság«);

tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel (»korlátozott tárolhatóság«);

kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (»integritás és bizalmas jelleg«).

(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

Az említett rendeletnek „Az adatkezelés jogszerűsége” címet viselő 6. cikke a következőképpen rendelkezik:

„(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a)	az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b)	az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c)	az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d)	az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e)	az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

[…]

(4) Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

a)	a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

b)	a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;

c)	a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van‑e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van‑e szó;

d)	azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

e)	megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.”

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

7	A Digi Magyarország egyik legjelentősebb internet‑ és televíziószolgáltatója.

A Digi 2018 áprilisában az egyik szerver működését érintő műszaki hibát követően egy „test” elnevezésű adatbázist (a továbbiakban: tesztadatbázis) hozott létre, amelybe a lakossági ügyfelei hozzávetőleg egyharmadának személyes adatait másolta át, mely utóbbi adatokat egy másik, a digi.hu honlaphoz köthető „digihu” elnevezésű adatbázisában tárolta, amely naprakészen tartalmazta direkt marketing céllal a hírlevélre feliratkozók adatait és a honlap felületéhez való hozzáférésre lehetőséget adó rendszergazdai adatokat.

2019. szeptember 23‑án a Digi tudomást szerzett arról, hogy egy „etikus támadó” hozzáfért hozzávetőleg 322000 személy nála tárolt személyes adataihoz. A támadást maga a hekker jelezte a Diginek oly módon, hogy a tesztadatbázis egyik sorát bizonyítékként lekérte. A Digi kijavította a hozzáférést lehetővé tévő hibát, az említett személlyel titoktartási szerződést kötött, és jutalmat ajánlott neki.

10	A tesztadatbázis törlését követően a Digi 2019. szeptember 25‑én bejelentette a személyes adatok megsértését a Hatóságnak, amely ennek következtében hatósági ellenőrzést indított.

A Hatóság 2020. május 18‑i határozatával többek között megállapította, hogy a Digi megsértette a 2016/679 rendelet 5. cikke (1) bekezdésének b) és e) pontját azzal, hogy a tesztadatbázist a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte azonnal, és így az ezen tesztadatbázisban tárolt nagyszámú személyes adatot a következő közel 18 hónapban cél nélkül, az érintettek azonosítására alkalmas módon tárolta egy nyilvántartási rendszerben. Következésképpen a Hatóság a Digit valamennyi adatbázisának felülvizsgálatára kötelezte, és 100000000 forint (HUF) (hozzávetőleg 248000 euró) összegű bírságot szabott ki rá.

12	A Digi a kérdést előterjesztő bíróság előtt vitatta e határozat jogszerűségét.

E bíróság megjegyzi, hogy a Digi által a tesztadatbázisba másolt személyes adatok gyűjtésére előfizetői szerződések megkötése és teljesítése céljából került sor, és hogy az eredeti személyesadat‑gyűjtés jogszerűségét a Hatóság nem vonta kétségbe. Kétségei vannak azonban a tekintetben, hogy az eredetileg gyűjtött adatok másik adatbázisba történő másolása azzal a következménnyel jár‑e, hogy ezen adatok eredeti gyűjtésének és kezelésének célja megváltozik. Hozzáteszi, hogy azt is meg kell határoznia, hogy az eredeti adatgyűjtés céljával összeegyeztethető‑e a tesztadatbázis létrehozása, valamint az ügyféladatok kezelésének ezen adatbázisban történő folytatása. Úgy véli, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének b) pontjában előírt „célhoz kötöttség” elve nem teszi lehetővé számára azon belső rendszerek meghatározását, amelyekben az adatkezelő a jogszerűen gyűjtött adatokat kezelni jogosult, sem annak meghatározását, hogy az utóbbi adatkezelő ezen adatokat kimásolhatja‑e egy tesztadatbázisba anélkül, hogy az adatgyűjtés eredeti célja megváltozna.

Abban az esetben, ha a tesztadatbázis létrehozása összeegyeztethetetlen az eredeti adatgyűjtés céljával, a kérdést előterjesztő bíróság arra is keresi a választ, hogy amennyiben az előfizetői adatok másik adatbázisban történő kezelésének célja nem hibajavítás, hanem szerződéskötés, akkor a szükséges tárolási idő a 2016/679 rendelet 5. cikke (1) bekezdésének e) pontjában foglalt „célhoz kötöttség” elve alapján a hibajavításhoz, vagy inkább a szerződéses kötelezettségek teljesítéséhez szükséges időhöz igazodik.

E körülmények között a Fővárosi Törvényszék (Magyarország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„(1)

Úgy kell‑e értelmezni a[…] 2016/679 […] rendelet 5. cikk[e] (1) bekezdés[ének] b) pontjában meghatározott »célhoz kötöttséget«, hogy annak továbbra is megfelel az, ha az adatkezelő az egyébként jogszerű célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan egy másik adatbázisban is tárolja, avagy a párhuzamos adatbázis tekintetében az adatgyűjtés jogszerű célhoz kötöttsége már nem áll fenn?

Amennyiben az 1) kérdésre a válasz az, hogy maga a párhuzamos adattárolás nem összeegyeztethető a »célhoz kötöttség« elvével, akkor összeegyeztethető‑e a 2016/679 rendelet 5. cikk[e] (1) bekezdés[ének] e) pontjában meghatározott »korlátozott tárolhatóság« elvével, ha az adatkezelő az egyébként jogszerűen, célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan tárolja egy másik adatbázisban?”

Az előzetes döntéshozatalra előterjesztett kérdésekről

Az elfogadhatóságról

16	A Hatóság, valamint a magyar kormány kétségeit fejezte ki az előzetes döntéshozatal iránti kérdések elfogadhatóságát illetően, azzal az indokkal, hogy e kérdések nem felelnek meg az alapjogvita tényállásának, és nem közvetlenül relevánsak annak elbírálása szempontjából.

E tekintetben először is emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlatából következően kizárólag az alapügyben eljáró és a meghozandó döntésért felelős nemzeti bíróság feladata annak értékelése, hogy az ügy sajátos jellemzőit tekintve az ítélet meghozatalához szükség van‑e az előzetes döntéshozatalra, és hogy a Bíróság elé terjesztett kérdések relevánsak‑e. Következésképpen, amennyiben a feltett kérdések valamely uniós jogi rendelkezés értelmezésére vagy érvényességére vonatkoznak, a Bíróság – főszabály szerint – köteles határozatot hozni. Ebből következik, hogy a nemzeti bíróságok által előterjesztett kérdések releváns voltát vélelmezni kell. A nemzeti bíróságok által előterjesztett előzetes döntéshozatal iránti kérelem Bíróság általi elutasítása csak abban az esetben lehetséges, ha nyilvánvaló, hogy a kért értelmezés nem függ össze az alapeljárás tényállásával vagy tárgyával, illetve ha a szóban forgó probléma hipotetikus jellegű, vagy a Bíróság nem rendelkezik azon ténybeli és jogi elemek ismeretével, amelyek szükségesek ahhoz, hogy az említett kérdésekre hasznos választ adjon (2020. július 16‑iFacebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 73. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

A jelen ügyben a kérdést előterjesztő bírósághoz a Digit mint adatkezelőt a 2016/679 rendelet 5. cikke (1) bekezdésének b) és e) pontjában foglalt „célhoz kötöttség”, illetve „korlátozott tárolhatóság” elvének azon az alapon történő állítólagos megsértése miatt szankcióval sújtó határozat megsemmisítése iránti keresettel fordultak, hogy a Digi elmulasztotta törölni az érintettek azonosítását lehetővé tévő személyes adatokat tartalmazó adatbázist. Márpedig az előzetes döntéshozatalra előterjesztett kérdések pontosan e rendelkezések értelmezésére vonatkoznak, így nem lehet úgy tekinteni, hogy az uniós jog kért értelmezése nem függ össze az alapeljárás tényállásával vagy tárgyával, illetve hipotetikus jellegű. Ezenkívül az előzetes döntéshozatalra utaló határozat elegendő ténybeli és jogi elemet tartalmaz ahhoz, hogy az előterjesztő bíróság által feltett kérdésekre hasznos választ lehessen adni.

Másodszor emlékeztetni kell arra, hogy a nemzeti bíróságok és a Bíróság közötti egyértelmű feladatmegosztáson alapuló, EUMSZ 267. cikkben előírt eljárás keretében kizárólag a nemzeti bíróság rendelkezik hatáskörrel a nemzeti jogi rendelkezések értelmezésére és alkalmazására, míg a Bíróság a nemzeti bíróság által rendelkezésre bocsátott tények alapján kizárólag az uniós jogi rendelkezések értelmezéséről és érvényességéről foglalhat állást (2022. május 5‑iZagrebačka banka ítélet, C‑567/20, EU:C:2022:352, 45. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Következésképpen el kell utasítani az előzetes döntéshozatalra előterjesztett kérdések elfogadhatatlanságára vonatkozó, a Hatóság és a magyar kormány által lényegében arra alapított érvelést, hogy az előzetes döntéshozatalra előterjesztett kérdések véleményük szerint nem felelnek meg az alapeljárás tényállásának.

21	Következésképpen az előzetes döntéshozatalra előterjesztett kérdések elfogadhatók.

Az ügy érdeméről

Az első kérdésről

Első kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének b) pontját úgy kell‑e értelmezni, hogy az e rendelkezésben előírt „célhoz kötöttség” elvével ellentétes, ha az adatkezelő tesztek elvégzése és hibák kijavítása céljából létrehozott adatbázisban rögzíti és tárolja a korábban más adatbázisban gyűjtött és tárolt személyes adatokat.

Az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem azt a kontextust is figyelembe kell venni, amelybe illeszkedik, valamint azon jogi aktus céljait is, amelynek az a részét képezi (2022. augusztus 1‑jei HOLD Alapkezelő ítélet, C‑352/20, EU:C:2022:606, 42. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

E tekintetben elsősorban meg kell állapítani, hogy a 2016/679 rendelet 5. cikkének (1) bekezdése rögzíti a személyes adatok kezelésére vonatkozó azon elveket, amelyek az adatkezelőre kötelezőek, és amelyeknek való megfelelés igazolására az e cikk (2) bekezdésében előírt elszámoltathatóság elvének megfelelően képesnek kell lennie.

25	Közelebbről, e rendelet 5. cikke (1) bekezdésének b) pontja értelmében, amely kimondja a „célhoz kötöttség” elvét, a személyes adatokat egyrészt meghatározott, egyértelmű és jogszerű célokból kell gyűjteni, másrészt pedig azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon.

26	Így e rendelkezés szövegéből kitűnik, hogy az két követelményt tartalmaz: az egyik a személyes adatok eredeti gyűjtésének céljára, a másik pedig ezen adatok későbbi kezelésére vonatkozik.

Ami először is azt a követelményt illeti, amely szerint a személyes adatokat meghatározott, egyértelmű és jogszerű célokból kell gyűjteni, a Bíróság ítélkezési gyakorlatából következik, hogy az mindenekelőtt azt jelenti, hogy az adatkezelés célját legkésőbb a személyes adatok gyűjtésekor azonosítani kell, továbbá azt, hogy egyértelműen meg kell határozni ezen adatkezelés céljait, végül pedig azt, hogy az említett adatkezelés céljainak többek között biztosítaniuk kell ezen adatok kezelésének a 2016/679 rendelet 6. cikkének (1) bekezdése értelmében vett jogszerűségét (lásd ebben az értelemben: 2022. február 24‑iValsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 64–66. pont).

A jelen ügyben az első kérdés szövegéből és az előzetes döntéshozatalra utaló határozat indokolásából kitűnik, hogy az alapügyben szóban forgó személyes adatokat meghatározott, egyértelmű és jogszerű célból gyűjtötték, és a kérdést előterjesztő bíróság egyébiránt pontosítja, hogy ezen adatok gyűjtésére a 2016/679 rendelet 6. cikke (1) bekezdése b) pontjának megfelelően a Digi által az ügyfeleivel kötött előfizetői szerződések megkötése és teljesítése céljából került sor.

Másodszor, azon követelmény vonatkozásában, amely szerint a személyes adatok nem kezelhetők e célokkal össze nem egyeztethető módon, meg kell állapítani egyrészt, hogy a más adatbázisban tárolt személyes adatoknak az adatkezelő által újonnan létrehozott adatbázisban való rögzítése és tárolása ezen adatok „további kezelésének” minősül.

Az „adatkezelés” fogalmát ugyanis a 2016/679 rendelet 4. cikkének 2. pontja tágan határozza meg oly módon, hogy az magában foglalja a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely műveletet vagy műveletek összességét, így többek között ezen adatok gyűjtését, rögzítését és tárolását.

Ezenkívül a „további” kifejezés általános nyelvhasználatban elfogadott szokásos jelentésének megfelelően minden olyan személyesadat‑kezelés, amely az ezen adatok gyűjtéséből álló eredeti adatkezelést követően valósul meg, az említett adatok „további” kezelésének minősül, e további adatkezelés céljától függetlenül.

32	Másrészt meg kell állapítani, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének b) pontja nem tartalmaz információkat azon feltételekről, amelyek mellett a személyes adatok további kezelése az eredeti adatgyűjtés céljával összeegyeztethetőnek tekinthető.

33	Másodsorban azon szövegkörnyezet, amelybe e rendelkezés illeszkedik, mindazonáltal hasznos pontosításokkal szolgál e tekintetben.

A 2016/679 rendelet 5. cikke (1) bekezdése b) pontjának, 6. cikke (1) bekezdése a) pontjának és 6. cikke (4) bekezdésének együttes olvasatából ugyanis kitűnik, hogy annak kérdése, hogy a személyes adatok további kezelése összeegyeztethető‑e az adatok eredeti gyűjtésének céljaival, csak abban az esetben merül fel, ha az említett későbbi adatkezelés céljai nem azonosak az eredeti adatgyűjtés céljaival.

Ezenkívül az említett rendelet (50) preambulumbekezdésével összefüggésben értelmezett fenti 6. cikk (4) bekezdéséből következik, hogy amennyiben az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett személy hozzájárulásán, az uniós jogon vagy valamely tagállam jogán alapul, annak meghatározása érdekében, hogy a más célból történő adatkezelés összeegyeztethető‑e az eredeti személyesadat‑gyűjtés céljával, figyelembe kell venni többek között az alábbiakat: először is a személyesadat‑gyűjtés célja és a tervezett további adatkezelés célja közötti esetleges kapcsolatot, másodszor a személyes adatok gyűjtésének körülményeit, különösen az érintettek és az adatkezelő közötti kapcsolat vonatkozásában, harmadszor, a személyes adatok jellegét, negyedszer, a tervezett további adatkezelésnek az érintetteket érintő lehetséges következményeit, végül ötödször a megfelelő biztosítékoknak mind az eredeti adatkezelés, mind pedig a tervezett további adatkezelés keretében való fennállását.

Amint arra a főtanácsnok indítványának 28., 59. és 60. pontjában lényegében rámutatott, e kritériumok az eredeti személyesadat‑gyűjtés célja és ezen adatok további kezelése közötti konkrét, logikus és kellően szoros kapcsolat szükségességét fejezik ki, és lehetővé teszik annak biztosítását, hogy e további adatkezelés ne térjen el az előfizetőknek az adataik további felhasználására vonatkozó jogos elvárásaitól.

Harmadsorban e kritériumok – amint azt a főtanácsnok az indítványának 27. pontjában lényegében hangsúlyozta – egyébiránt lehetővé teszik a korábban gyűjtött személyes adatok további felhasználásának korlátok közé szorítását, biztosítva egyrészt a korábban gyűjtött személyes adatok kezelésének céljait illetően az előreláthatóság és a jogbiztonság igénye, másrészt pedig az adatkezelő számára ezen adatok kezelése során elismert bizonyos fokú rugalmasság közötti egyensúlyt, és ezáltal hozzájárulnak a természetes személyek következetes és magas szintű védelmének biztosítására irányuló, a 2016/679 rendelet (10) preambulumbekezdésében meghatározott célkitűzés eléréséhez.

A fentiek alapján a nemzeti bíróság feladata, hogy a jelen ítélet 35. pontjában említett kritériumok figyelembevételével és az adott ügyre jellemző körülmények összességére tekintettel meghatározza mind az eredeti személyesadat‑gyűjtés, mind pedig az ezen adatok további kezelésének céljait, és amennyiben e további adatkezelés céljai eltérnek az eredeti adatgyűjtés céljától, annak vizsgálata, hogy az említett adatok további kezelése összeegyeztethető‑e az említett eredeti adatgyűjtés céljaival.

39	Mindemellett a Bíróság az előzetes döntéshozatal iránti kérelem elbírálása során szolgálhat olyan pontosításokkal, amelyek segítik a nemzeti bíróságot a fentiek meghatározása során (lásd ebben az értelemben: 2022. április 7‑iFuhrmann‑2 ítélet, C‑249/21, EU:C:2022:269, 32. pont)

40	A jelen esetben először is, amint a jelen ítélet 13. pontjában felidézésre került, az előzetes döntéshozatalra utaló határozatból kitűnik, hogy a személyes adatokat eredetileg a Digi, az adatkezelő, a lakossági ügyfeleivel kötött előfizetési szerződések megkötése és teljesítése céljából gyűjtötte.

Másodszor, az alapeljárásban részt vevő felek nem értenek egyet a szóban forgó személyes adatoknak a tesztadatbázisban való, Digi általi rögzítésének és megőrzésének konkrét célja vonatkozásában. Míg ugyanis a Digi arra hivatkozik, hogy a tesztadatbázis létrehozásának konkrét célja az előfizetői adatokhoz való hozzáférésnek a hibák kijavításáig történő biztosítása volt, és így e cél azonos az eredeti adatgyűjtés révén elérni kívánt céllal, a Hatóság azt állítja, hogy a további adatkezelés konkrét célja eltért e céltól, mivel az tesztek elvégzésére és hibák kijavítására irányult.

E tekintetben emlékeztetni kell arra, hogy a jelen ítélet 19. pontjában hivatkozott ítélkezési gyakorlatból kitűnik, hogy a nemzeti bíróságok és a Bíróság közötti egyértelmű feladatmegosztáson alapuló, EUMSZ 267. cikkben előírt eljárás keretében kizárólag a nemzeti bíróság rendelkezik hatáskörrel a nemzeti jogi rendelkezések értelmezésére és alkalmazására, míg a Bíróság a nemzeti bíróság által rendelkezésre bocsátott tények alapján kizárólag az uniós jogi rendelkezések értelmezéséről és érvényességéről foglalhat állást.

Márpedig az előzetes döntéshozatalra utaló határozatból az tűnik ki, hogy a tesztadatbázist a Digi tesztek elvégzése és hibák kijavítása céljából hozta létre, így a kérdést előterjesztő bíróságnak e célokra tekintettel kell értékelnie, hogy a további adatkezelés összeegyeztethető‑e az eredeti adatgyűjtés céljával, amely az előfizetési szerződések megkötésére és teljesítésére irányul.

Harmadszor, ezen értékelést illetően meg kell állapítani, hogy a tesztek elvégzése és az előfizetői adatbázist érintő hibák kijavítása konkrét kapcsolatban áll a lakossági ügyfelek előfizetési szerződéseinek teljesítésével, amelyre vonatkozóan az adatokat eredetileg gyűjtötték, mivel e hibák káros hatással lehetnek a szerződésben előírt szolgáltatás nyújtására. Amint ugyanis a főtanácsnok az indítványának 60. pontjában megjegyezte, ez az adatkezelés nem esik távol az előfizetőknek a személyes adataik további felhasználására vonatkozó jogos elvárásaitól. Egyébiránt az előzetes döntéshozatalra utaló határozatból nem tűnik ki, hogy ezen adatok egy része vagy azok összessége különleges adat lett volna, vagy az adatok szóban forgó további kezelése káros következményekkel járt volna az előfizetőkre nézve, vagy nem kapcsolódtak volna hozzá megfelelő garanciák, aminek a vizsgálata mindenesetre a kérdést előterjesztő bíróság feladata.

A fenti megfontolások összességéből az következik, hogy az első kérdésre azt a választ kell adni, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének b) pontját úgy kell értelmezni, hogy az e rendelkezésben előírt „célhoz kötöttség” elvével nem ellentétes, ha az adatkezelő egy tesztek elvégzése és hibák kijavítása céljából létrehozott adatbázisban rögzíti és tárolja a korábban más adatbázisban gyűjtött és tárolt személyes adatokat, amennyiben az ilyen további adatkezelés megfelel azon konkrét céloknak, amely célokból a személyes adatokat eredetileg gyűjtötték, amit az említett rendelet 6. cikkének (4) bekezdésében szereplő szempontokra tekintettel kell meghatározni.

A második kérdésről

Elöljáróban meg kell állapítani, hogy az előterjesztő bíróság második kérdését, amely arra vonatkozik, hogy megfelel‑e a 2016/679 rendelet 5. cikke (1) bekezdésének e) pontjában szereplő „korlátozott tárolhatóság” elvének, ha a Digi ügyfeleinek személyes adatait a tesztadatbázisban tárolja, e bíróság csak arra az esetre teszi fel, ha az átfogalmazott első kérdésre igenlő választ kell adni, vagyis arra az esetre, ha e tárolás nem egyeztethető össze az említett rendelet 5. cikke (1) bekezdésének b) pontjában foglalt „célhoz kötöttség” elvével.

Mindazonáltal egyrészt, amint arra a főtanácsnok az indítványának 24. pontjában rámutatott, a személyes adatok kezelésére vonatkozó, a 2016/679 rendelet 5. cikkében foglalt elvek együttesen alkalmazandók. Következésképpen a személyes adatok tárolásának nemcsak a „célhoz kötöttség” elvét kell tiszteletben tartania, hanem a „korlátozott tárolhatóság” elvét is.

Másrészt emlékeztetni kell arra, hogy amint az a 2016/679 rendelet (10) preambulumbekezdéséből kitűnik, e rendelet többek között arra irányul, hogy biztosítsa a természetes személyek magas szintű védelmét az Unión belül, és e célból biztosítsa e személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén.

E célból a fenti rendelet II. és III. fejezete rögzíti a személyes adatok kezelését szabályozó elveket, illetve az érintett azon jogait, amelyeket minden személyesadat‑kezelésnek tiszteletben kell tartania. Közelebbről, minden személyesadat‑kezelésnek egyrészt összhangban kell lennie az említett rendelet 5. cikkében előírt, az adatkezelésre vonatkozó elvekkel, másrészt – különös tekintettel az adatkezelés jogszerűségének az e cikk (1) bekezdésének a) pontjában előírt elvére – meg kell felelnie az adatkezelés jogszerűségére vonatkozóan ugyanezen rendelet 6. cikkében felsorolt feltételek egyikének (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 96. pont; 2022. február 24‑iValsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 50. pont).

E megfontolásokra tekintettel, még ha az előterjesztő bíróság a második kérdését formálisan kizárólag arra az esetre terjesztette is elő, ha az átfogalmazott első kérdésre igenlő választ kell adni, e körülmény nem képezi akadályát annak, hogy a Bíróság a nemzeti bíróság részére az uniós jognak az előtte folyamatban lévő ügy elbírálásához hasznos, valamennyi értelmezési szempontját megadja (lásd ebben az értelemben: 2022. március 17‑iDaimler ítélet, C‑232/20, EU:C:2022:196, 49. pont), és ennélfogva választ ad a második kérdésre.

E körülmények között meg kell állapítani, hogy e kérdéssel az előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének e) pontját úgy kell‑e értelmezni, hogy az e rendelkezésben előírt „korlátozott tárolhatóság” elvével ellentétes, ha az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztek elvégzése és hibák kijavítása céljából létrehozott adatbázisban az e tesztek elvégzéséhez és e hibák kijavításához szükségesnél hosszabb ideig tárolja.

52	Elsősorban meg kell állapítani, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének e) pontja értelmében a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

E cikk szövegéből tehát egyértelműen kiderül, hogy a „korlátozott tárolhatóság” elve megköveteli, hogy az adatkezelő képes legyen a jelen ítélet 24. pontjában felidézett elszámoltathatóság elvével összhangban annak igazolására, hogy a személyes adatokat kizárólag azon célok eléréséhez szükséges ideig tárolják, amelyekből azokat gyűjtötték vagy a továbbiakban kezelték.

Ebből következik, hogy idővel még az eredetileg jogszerű adatkezelés is összeegyeztethetetlenné válhat a 2016/679 rendelettel, ha ezek az adatok már nem szükségesek e célok eléréséhez (2019. szeptember 24‑iGC és társai GC és társai [A különleges adatokra mutató linkek törlése] ítélet, C‑136/17, EU:C:2019:773, 74. pont), és hogy az adatokat törölni kell, ha e célok megvalósulnak (lásd ebben az értelemben: 2009. május 7‑iRijkeboer ítélet, C‑553/07, EU:C:2009:293, 33. pont).

55	Ez az értelmezés másodsorban összhangban áll a 2016/679 rendelet 5. cikke (1) bekezdése e) pontjának szövegkörnyezetével.

E tekintetben a jelen ítélet 49. pontja felidézte, hogy minden személyesadat‑kezelésnek összhangban kell lennie az említett rendelet 5. cikkében előírt adatkezelési elvekkel, és meg kell felelnie az adatkezelés jogszerűségére vonatkozóan ugyanezen rendelet 6. cikkében felsorolt feltételek egyikének.

Márpedig egyrészt, amint az említett 6. cikkből kitűnik, amennyiben az érintett nem járult hozzá a 2016/679 rendelet 6. cikke (1) bekezdése a) pontjának megfelelően személyes adatainak egy vagy több konkrét célból történő kezeléséhez, az adatkezelésnek – amint az az említett cikk fenti bekezdésének b)–f) pontjából kitűnik – meg kell felelnie a szükségesség követelményének.

Másrészt, az ilyen szükségességi követelmény az e rendelet 5. cikke (1) bekezdésének c) pontjában előírt „adattakarékosság” elvéből is következik, amelynek értelmében a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és azoknak a szükségesre kell korlátozódniuk.

Harmadsorban, ez az értelmezés megfelel a 2016/679 rendelet 5. cikke (1) bekezdésének e) pontja által követett célnak, amely, amint azt a jelen ítélet 48. pontja felidézi, többek között a személyes adatok kezelése vonatkozásában a természetes személyek Unión belüli magas szintű védelmének biztosítására irányul.

60	A jelen ügyben a Digi azzal érvelt, hogy a lakossági ügyfelei egy részének a tesztadatbázisban tárolt személyes adatait figyelmetlenségből nem törölték a tesztek elvégzését és a hibák kijavítását követően.

E tekintetben elegendő rámutatni arra, hogy ez az érv nem releváns annak értékelése szempontjából, hogy az adatokat a további kezelésük céljainak megvalósításához szükségesnél hosszabb ideig tárolták‑e, megsértve ezzel a 2016/679 rendelet 5. cikke (1) bekezdésének e) pontjában előírt „korlátozott tárolhatóság” elvét.

A fenti megfontolások összességéből az következik, hogy a második kérdésre azt a választ kell adni, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének e) pontját úgy kell értelmezni, hogy az e rendelkezésben előírt „korlátozott tárolhatóság” elvével ellentétes, ha az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztek elvégzése és a hibák kijavítása céljából létrehozott adatbázisban az e tesztek elvégzéséhez és e hibák kijavításához szükségesnél hosszabb ideig tárolja.

A költségekről

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 5. cikke (1) bekezdésének b) pontját

a következőképpen kell értelmezni:

az e rendelkezésben előírt „célhoz kötöttség” elvével nem ellentétes, ha az adatkezelő egy tesztek elvégzése és hibák kijavítása céljából létrehozott adatbázisban rögzíti és tárolja a korábban más adatbázisban gyűjtött és tárolt személyes adatokat, amennyiben az ilyen további adatkezelés megfelel azon konkrét céloknak, amely célokból a személyes adatokat eredetileg gyűjtötték, amit az említett rendelet 6. cikkének (4) bekezdésében szereplő szempontokra tekintettel kell meghatározni.

A 2016/679 rendelet 5. cikke (1) bekezdésének e) pontját

a következőképpen kell értelmezni:

az e rendelkezésben előírt „korlátozott tárolhatóság” elvével ellentétes, ha az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztek elvégzése és a hibák kijavítása céljából létrehozott adatbázisban az e tesztek elvégzéséhez és e hibák kijavításához szükségesnél hosszabb ideig tárolja.

Arabadjiev

Bay Larsen

Xuereb

Kumin

Ziemele

Kihirdetve Luxembourgban, a 2022. október 20‑i nyilvános ülésen.

A. Calot Escobar

hivatalvezető

A. Arabadjiev

tanácselnök

( *1 ) Az eljárás nyelve: magyar.