TEISINGUMO TEISMO (pirmoji kolegija) SPRENDIMAS

2022 m. spalio 20 d. ( *1 )

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 5 straipsnio 1 dalies b ir e punktai – „Tikslo apribojimo“ principas – „Saugojimo trukmės apribojimo“ principas – Duomenų bazės, skirtos bandymams atlikti ir klaidoms ištaisyti, sukūrimas naudojantis jau egzistuojančia duomenų baze – Tolesnis duomenų tvarkymas – Tolesnio šių duomenų tvarkymo suderinamumas su pradinio duomenų rinkimo tikslais – Saugojimo trukmė atsižvelgiant į šiuos tikslus“

Byloje C‑77/21

dėl Fővárosi Törvényszék (Sostinės apygardos teismas, Vengrija) 2021 m. sausio 21 d. nutartimi, kurią Teisingumo Teismas gavo 2021 m. vasario 8 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

Digi Távközlési és Szolgáltató Kft.

prieš

Nemzeti Adatvédelmi és Információszabadság Hatóság

TEISINGUMO TEISMAS (pirmoji kolegija),

kurį sudaro kolegijos pirmininkas A. Arabadjiev, pirmosios kolegijos teisėjo pareigas einantis Teisingumo Teismo pirmininko pavaduotojas L. Bay Larsen, teisėjai P. G. Xuereb, A. Kumin ir I. Ziemele (pranešėja),

generalinis advokatas P. Pikamäe,

posėdžio sekretorius I. Illéssy, administratorius,

atsižvelgęs į rašytinę proceso dalį ir įvykus 2022 m. sausio 17 d. posėdžiui,

išnagrinėjęs pastabas, pateiktas:

–	Digi Távközlési és Szolgáltató Kft., atstovaujamos ügyvédek R. Hatala ir A. D. László,

–	Nemzeti Adatvédelmi és Információszabadság Hatóság, atstovaujamos teisės patarėjo G. Barabás, padedamo ügyvédek G. J. Dudás ir Á. Hargita,

–	Vengrijos vyriausybės, atstovaujamos Z. Biró-Tóth ir M. Z. Fehér,

–	Čekijos vyriausybės, atstovaujamos T. Machovičová, M. Smolek ir J. Vláčil,

–	Portugalijos vyriausybės, atstovaujamos P. Barros da Costa, L. Inez Fernandes, I. Oliveira, J. Ramos ir C. Vieira Guerra,

–	Europos Komisijos, atstovaujamos V. Bottka ir H. Kranenborg,

susipažinęs su 2022 m. kovo 31 d. posėdyje pateikta generalinio advokato išvada,

priima šį

Sprendimą

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymas OL L 127, 2018, p. 2) 5 straipsnio 1 dalies b ir e punktų išaiškinimo.

Šis prašymas pateiktas nagrinėjant Digi Távközlési és Szolgáltató Kft. (toliau – Digi), vienos pagrindinių interneto ir televizijos paslaugų teikėjų Vengrijoje, ir Nemzeti Adatvédelmi és Információszabadság Hatóság (Nacionalinė institucija, atsakinga už duomenų apsaugą ir informacijos laisvę, Vengrija) (toliau – Institucija) ginčą dėl Digi duomenų bazėje esančių asmens duomenų pažeidimo.

Teisinis pagrindas

Reglamento 2016/679 10 ir 50 konstatuojamosiose dalyse teigiama:

„(10)

siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <…>

<…>

(50)

asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. <…> Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į: sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų, aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu dėl tolesnio duomenų naudojimo; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams ir tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose.

<…>“

Reglamento 2016/679 4 straipsnyje „Apibrėžtys“ nustatyta:

„Šiame reglamente:

<…>

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

<…>“

Šio reglamento 5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ nustatyta:

„1. Asmens duomenys turi būti:

a)	duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

c)	adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

d)	tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

To paties reglamento 6 straipsnyje „Tvarkymo teisėtumas“ numatyta:

„1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma [tik jeigu tenkinama viena iš šių sąlygų ir tiek, kiek ji tenkinama]:

a)	duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b)	tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

c)	tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

d)	tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

e)	tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

f)	tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

<…>

4. Kai duomenų tvarkymas kitu tikslu nei tas, dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)	visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b)	aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c)	asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 9 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 10 straipsnį;

d)	numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e)	tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.“

Pagrindinė byla ir prejudiciniai klausimai

7	Digi yra viena pagrindinių interneto ir televizijos paslaugų teikėjų Vengrijoje.

2018 m. balandžio mėn., įvykus techniniam gedimui, turėjusiam įtakos serverio veikimui, Digi sukūrė vadinamąją bandomąją duomenų bazę (toliau – bandomoji duomenų bazė) ir į ją nukopijavo apie trečdalio savo privačių klientų asmens duomenis, kurie buvo saugomi kitoje duomenų bazėje „digihu“; pastaroji gali būti prijungta prie interneto svetainės www.digi.hu, kurioje tiesioginės rinkodaros tikslais saugomi naujausi asmenų, užsisakiusių naujienlaiškį, duomenys ir sistemų, suteikiančių prieigą prie interneto svetainės sąsajos, administratorių duomenys.

2019 m. rugsėjo 23 d.Digi sužinojo, kad vienas „etiškas programišius“ buvo įgijęs prieigą prie jos valdomų maždaug 322000 žmonių asmens duomenų. Šis „etiškas programišius“ pats pranešė Digi apie šią prieigą, kaip įrodymą jai pateikdamas vieną bandomosios duomenų bazės eilutę. Digi pašalino šią prieigą leidusią spragą, sudarė su tuo asmeniu konfidencialumo susitarimą ir sumokėjo jam tam tikrą atlygį.

10	Ištrynusi bandomąją duomenų bazę, 2019 m. rugsėjo 25 d.Digi pranešė apie asmens duomenų saugumo pažeidimą Institucijai; ši dėl jo pradėjo tyrimą.

2020 m. gegužės 18 d. sprendime Institucija, be kita ko, konstatavo, kad Digi pažeidė Reglamento 2016/679 5 straipsnio 1 dalies b ir e punktus, nes, atlikusi būtinus bandymus ir pašalinusi spragą, ji iš karto neištrynė bandomosios duomenų bazės, taigi didelė šioje bazėje saugomų asmens duomenų dalis beveik 18 mėnesių be jokio tikslo buvo saugoma faile, iš kurio buvo galima nustatyti duomenų subjektų asmens tapatybę. Todėl Institucija įpareigojo Digi patikrinti visas savo duomenų bazes ir skyrė jai 100000000 Vengrijos forintų (HUF) (apie 248000 EUR) baudą.

12	Digi šio sprendimo teisėtumą ginčijo prašymą priimti prejudicinį sprendimą pateikusiame teisme.

Šis teismas nurodo, kad Digi į bandomąją duomenų bazę nukopijuotus asmens duomenis buvo surinkusi siekdama sudaryti ir vykdyti abonentines sutartis ir kad Institucija nekvestionavo pradinio duomenų rinkimo teisėtumo. Vis dėlto jis nori sužinoti, ar dėl to, kad konkrečiam tikslui surinkti duomenys buvo nukopijuoti į kitą duomenų bazę, pasikeičia pradinio duomenų rinkimo ir jų tvarkymo tikslas. Tas teismas priduria, kad taip pat nori išsiaiškinti, ar bandomosios duomenų bazės sukūrimas ir joje toliau tęsiamas klientų duomenų tvarkymas suderinami su pradinio duomenų rinkimo tikslu. Jis mano, kad Reglamento 2016/679 5 straipsnio 1 dalies b punkte įtvirtintas „tikslo apribojimo“ principas neleidžia jam nustatyti, kokios yra vidaus sistemos, kuriose duomenų valdytojas turi teisę teisėtai tvarkyti surinktus duomenis, ir ar šis valdytojas gali šiuos duomenis kopijuoti į bandomąją duomenų bazę, nepakeisdamas pradinio duomenų rinkimo tikslo.

Tuo atveju, jei bandomosios duomenų bazės sukūrimas būtų nesuderinamas su pradinio duomenų rinkimo tikslu, prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat klausia, ar, jeigu klientų duomenų tvarkymo kitoje duomenų bazėje tikslas yra ne klaidų ištaisymas, o sutarčių sudarymas, būtina saugojimo trukmė pagal Reglamento 2016/679 5 straipsnio 1 dalies e punkte numatytą „saugojimo trukmės apribojimo“ principą turi būti nustatoma atsižvelgiant į laiką, reikalingą klaidoms ištaisyti, ar į laiką, būtiną sutartiniams įsipareigojimams įvykdyti.

Šiomis aplinkybėmis Fővárosi Törvényszék (Sostinės apygardos teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1.

Ar Reglamento 2016/679 <…> 5 straipsnio 1 dalies b punkte apibrėžta sąvoka „tikslo apribojimas“ turi būti aiškinama taip, kad su šia sąvoka suderinama tai, kad duomenų valdytojas lygiagrečiai kitoje duomenų bazėje saugo asmens duomenis, kurie, be to, buvo surinkti nustatytais ir teisėtais tikslais ir saugomi su tais tikslais suderinamu būdu, ar, atvirkščiai, kad teisėtais tikslais, kuriais buvo surinkti atitinkami duomenys, jau negalima remtis dėl lygiagrečiai kitoje duomenų bazėje saugomų duomenų?

Jei į pirmąjį klausimą būtų atsakyta taip, kad lygiagretus duomenų saugojimas savaime nesuderinamas su „tikslo apribojimo“ principu, ar toks saugojimas suderinamas su Reglamento 2016/679 5 straipsnio 1 dalies e punkte nustatytu „saugojimo trukmės apribojimo“ principu, jei duomenų valdytojas kitoje duomenų bazėje lygiagrečiai saugo asmens duomenis, kurie, be to, buvo surinkti ir saugomi ribotu teisėtu tikslu?“

Dėl prejudicinių klausimų

Dėl priimtinumo

16	Institucija ir Vengrijos vyriausybė išreiškė abejonių dėl pejudicinių klausimų priimtinumo, motyvuodamos tuo, kad šie klausimai neatspindi pagrindinės bylos faktinių aplinkybių ir tiesiogiai nėra reikšmingi siekiant priimti joje sprendimą.

Šiuo klausimu reikia priminti, pirma, kad pagal Teisingumo Teismo suformuotą jurisprudenciją tik bylą nagrinėjantis nacionalinis teismas, atsakingas už sprendimo priėmimą, atsižvelgdamas į konkrečias bylos aplinkybes turi įvertinti tai, ar jo sprendimui priimti būtinas prejudicinis sprendimas, ir Teisingumo Teismui pateikiamų klausimų svarbą. Todėl iš principo tuo atveju, kai pateikiami klausimai susiję su Sąjungos teisės nuostatos išaiškinimu ar galiojimu, Teisingumo Teismas turi priimti sprendimą. Tuo remiantis darytina išvada, kad nacionalinių teismų pateiktiems klausimams taikoma svarbos prezumpcija. Teisingumo Teismas gali atsisakyti priimti sprendimą dėl nacionalinio teismo pateikto prejudicinio klausimo, tik jeigu akivaizdu, kad prašomas išaiškinimas visiškai nesusijęs su ginčo pagrindinėje byloje aplinkybėmis ar dalyku, jeigu problema hipotetinė arba Teisingumo Teismas neturi informacijos apie faktines ir teisines aplinkybes, būtinos tam, kad naudingai atsakytų į tuos klausimus (2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 73 punktas ir jame nurodyta jurisprudencija).

Nagrinėjamu atveju prašymą priimti prejudicinį sprendimą pateikusiam teismui pateiktas skundas prašant panaikinti sprendimą, kuriuo Digi, kaip duomenų valdytoja, nubausta dėl to, kad pažeidė Reglamento 2016/679 5 straipsnio 1 dalies b ir e punktuose numatytus atitinkamai „tikslo apribojimo“ ir „saugojimo trukmės apribojimo“ principus, nes neištrynė duomenų bazės, kurioje yra asmens duomenų, leidžiančių nustatyti duomenų subjektus. Prejudiciniais klausimais būtent ir siekiama šių nuostatų išaiškinimo, todėl negalima teigti, kad prašomas Sąjungos teisės išaiškinimas nesusijęs su pagrindinės bylos faktais ar dalyku arba kad yra hipotetinis. Be to, nutartyje dėl prašymo priimti prejudicinį sprendimą nurodyta pakankamai faktinių ir teisinių aplinkybių, kad būtų galima naudingai atsakyti į prašymą priimti prejudicinį sprendimą pateikusio teismo klausimus.

Antra, reikia priminti, kad vykstant SESV 267 straipsnyje numatytam procesui dėl prejudicinio sprendimo priėmimo, pagrįstam aiškiu nacionalinių teismų ir Teisingumo Teismo funkcijų atskyrimu, nacionalinės teisės aiškinimas ir taikymas priklauso tik nacionalinio teismo jurisdikcijai, o Teisingumo Teismas tik gali priimti sprendimą dėl Sąjungos teisės išaiškinimo ar galiojimo, atsižvelgdamas į nacionalinio teismo nurodytas faktines aplinkybes (2022 m. gegužės 5 d. Sprendimo Zagrebačka banka, C‑567/20, EU:C:2022:352, 45 punktas ir jame nurodyta jurisprudencija).

20	Todėl reikia atmesti argumentus, susijusius su prejudicinių klausimų nepriimtinumu, kurį Institucija ir Vengrijos vyriausybė iš esmės sieja su tuo, kad prejudiciniai klausimai, kaip jos mano, neatitinka pagrindinės bylos faktinių aplinkybių.

21	Vadinasi, prejudiciniai klausimai yra priimtini.

Dėl esmės

Dėl pirmojo klausimo

Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Reglamento 2016/679 5 straipsnio 1 dalies b punktas turi būti aiškinamas taip, kad pagal šioje nuostatoje numatytą „tikslo ribojimo“ principą draudžiama, kad duomenų valdytojas į bazę, sukurtą siekiant atlikti bandymus ir ištaisyti klaidas, įrašytų ir joje saugotų asmens duomenis, kurie iš pradžių buvo surinkti ir saugomi kitoje duomenų bazėje.

Pagal suformuotą jurisprudenciją aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos tekstą, bet ir į kontekstą ir teisės akto, kuriame ji įtvirtinta, tikslus ir paskirtį (žr. 2022 m. rugpjūčio 1 d. Sprendimo HOLD Alapkezelő, C‑352/20, EU:C:2022:606, 42 punktą ir jame nurodytą jurisprudenciją).

24	Šiuo klausimu, pirma, reikia pažymėti, kad Reglamento 2016/679 5 straipsnio 1 dalyje nustatyti asmens duomenų tvarkymo principai, kurie taikomi duomenų valdytojui ir kurių laikymąsi jis turi sugebėti įrodyti, kaip to reikalaujama pagal šio straipsnio 2 dalyje įtvirtintą atskaitomybės principą.

25	Konkrečiai kalbant, pagal šio reglamento 5 straipsnio 1 dalies b punktą, kuriame įtvirtintas „tikslo ribojimo“ principas, asmens duomenys, pirma, turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir, antra, toliau negali būti tvarkomi su šiais tikslais nesuderinamu būdu.

26	Taigi iš šios nuostatos formuluotės matyti, kad joje įtvirtinti du reikalavimai: vienas susijęs su pradinio asmens duomenų rinkimo tikslais, o kitas – tolesniu šių duomenų tvarkymu.

Pirma, iš Teisingumo Teismo jurisprudencijos matyti, jog reikalavimas, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais, visų pirma reiškia, kad tvarkymo tikslai turi būti nustatyti ne vėliau, nei yra renkami asmens duomenys, be to, šio tvarkymo tikslai turi būti aiškiai nurodyti ir, galiausiai, to tvarkymo tikslai, be kita ko, turi užtikrinti šių duomenų tvarkymo teisėtumą, kaip tai suprantama pagal Reglamento 2016/679 6 straipsnio 1 dalį (šiuo klausimu žr. 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 64–66 punktus).

Nagrinėjamu atveju iš pirmojo klausimo formuluotės ir nutarties dėl prašymo priimti prejudicinį sprendimą motyvų matyti, kad pagrindinėje byloje nagrinėjami asmens duomenys buvo surinkti nustatytais, aiškiai apibrėžtais ir teisėtais tikslais, nes prašymą priimti prejudicinį sprendimą pateikęs teismas, be kita ko, patikslino, kad Digi šiuos duomenis rinko siekdama sudaryti ir vykdyti abonentines sutartis su savo klientais, kaip numatyta Reglamento 2016/679 6 straipsnio 1 dalies b punkte.

Antra, dėl reikalavimo, kad asmens duomenys toliau nebūtų tvarkomi su šiais tikslais nesuderinamu būdu, reikia pažymėti, viena vertus, kad tai, jog duomenų valdytojas kitoje duomenų bazėje saugomus asmens duomenis įrašo į naujai sukurtą duomenų bazę ir juos joje saugo, prilygsta šių duomenų „tolesniam tvarkymui“.

Iš tiesų sąvoka „tvarkymas“ Reglamento 2016/679 4 straipsnio 2 punkte apibrėžta plačiai, kaip apimanti bet kokią automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekamą operaciją ar operacijų seką, kaip antai šių duomenų rinkimą, įrašymą ir saugojimą.

31	Be to, remiantis įprasta žodžio „tolesnis“ reikšme bendrinėje kalboje, bet koks asmens duomenų tvarkymas, kuris yra vėlesnis už pradinį asmens duomenų tvarkymą, t. y. pradinį jų rinkimą, yra „tolesnis“ jų tvarkymas, neatsižvelgiant į šio tolesnio tvarkymo tikslą.

32	Kita vertus, reikia pažymėti, kad Reglamento 2016/679 5 straipsnio 1 dalies b punkte nėra nuorodų dėl sąlygų, kurioms esant tolesnis asmens duomenų tvarkymas gali būti laikomas suderinamu su pradinio šių duomenų rinkimo tikslais.

33	Vis dėlto šios nuostatos kontekstas suteikia naudingos informacijos šiuo klausimu.

Iš tiesų iš kartu aiškinamų Reglamento 2016/679 5 straipsnio 1 dalies b punkto, 6 straipsnio 1 dalies a punkto ir 6 straipsnio 4 dalies matyti, kad tolesnio asmens duomenų tvarkymo suderinamumo su tikslais, kuriais šie duomenys iš pradžių buvo rinkti, klausimas kyla tik tuo atveju, jei to tolesnio tvarkymo tikslai nesutampa su pradinio duomenų rinkimo tikslais.

Be to, iš šio 6 straipsnio 4 dalies, siejamos su šio reglamento 50 konstatuojamąja dalimi, matyti, kad jeigu duomenų tvarkymas kitu tikslu nei tas, kuriuo iš pradžių buvo rinkti duomenys, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, siekiant nustatyti, ar asmens duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio asmens duomenys buvo iš pradžių rinkti, reikia, be kita ko, atsižvelgti į, pirma, visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų; antra, aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu; trečia, asmens duomenų pobūdį; ketvirta, numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams ir galiausiai, penkta, tinkamų apsaugos priemonių buvimą tiek iš pradžių tvarkant duomenis, tiek numatyto tolesnio tvarkymo atveju.

Kaip iš esmės pažymėjo generalinis advokatas išvados 28, 59 ir 60 punktuose, šie kriterijai išreiškia konkretaus, logiško ir pakankamai glaudaus ryšio tarp pradinio asmens duomenų rinkimo tikslų ir tolesnio šių duomenų tvarkymo būtinybę ir leidžia įsitikinti, kad šis tolesnis tvarkymas nenukryps nuo teisėtų abonentų lūkesčių dėl tolesnio jų duomenų naudojimo.

Be to, trečia, šie kriterijai leidžia, kaip iš esmės pažymėjo generalinis advokatas išvados 27 punkte, apibrėžti anksčiau surinktų asmens duomenų tolesnį naudojimą, užtikrinant pusiausvyrą tarp, pirma, nuspėjamumo ir teisinio saugumo būtinybės, kiek tai susiję su anksčiau surinktų asmens duomenų tvarkymo tikslais, ir, antra, tam tikro lankstumo duomenų valdytojui pripažinimo valdant šiuos duomenis, ir kartu padeda siekti vienodo ir aukšto lygio fizinių asmenų apsaugos tikslo, nurodyto Reglamento 2016/679 10 konstatuojamojoje dalyje.

Taigi, atsižvelgdamas į šio sprendimo 35 punkte nurodytus kriterijus ir visas nagrinėjamo atvejo aplinkybes, nacionalinis teismas turi nustatyti tiek pradinio asmens duomenų rinkimo, tiek tolesnio šių duomenų tvarkymo tikslus ir tuo atveju, jei šio tolesnio tvarkymo tikslai skirtųsi nuo šio rinkimo tikslų, patikrinti, ar tolesnis minėtų duomenų tvarkymas yra suderinamas su to pradinio duomenų rinkimo tikslais.

39	Vis dėlto priimdamas prejudicinį sprendimą Teisingumo Teismas gali pateikti paaiškinimų, kurie nacionaliniam teismui padėtų tai nustatyti (šiuo klausimu žr. 2022 m. balandžio 7 d. Sprendimo Fuhrmann-2, C‑249/21, EU:C:2022:269, 32 punktą).

40	Nagrinėjamu atveju, pirma, šio sprendimo 13 punkte priminta, kad iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, jog duomenų valdytoja Digi asmens duomenis iš pradžių rinko tam, kad sudarytų abonentines sutartis su privačiais klientais ir jas vykdytų.

Antra, pagrindinės bylos šalys nesutaria dėl konkretaus tikslo, dėl kurio Digi į bandomąją duomenų bazę įrašė ir joje saugojo nagrinėjamus asmens duomenis. Digi tvirtina, kad bandomoji duomenų bazė sukurta siekiant konkretaus tikslo – užtikrinti prieigą prie abonentų duomenų, kol bus ištaisytos klaidos, taigi šis tikslas sutampa su pradinio šių duomenų rinkimo tikslais; Institucija teigia, kad konkretus tolesnio tvarkymo tikslas nesutapo su šiais tikslais, nes jį sudarė bandymų atlikimas ir klaidų ištaisymas.

Šiuo klausimu reikia priminti, kad iš šio sprendimo 19 punkte nurodytos jurisprudencijos matyti, jog vykstant SESV 267 straipsnyje numatytam procesui, pagrįstam aiškiu nacionalinių teismų ir Teisingumo Teismo jurisdikcijos atskyrimu, nacionalinės teisės aiškinimas ir taikymas priklauso tik nacionalinio teismo jurisdikcijai, o Teisingumo Teismas tik gali priimti sprendimą dėl Sąjungos teisės išaiškinimo ar galiojimo, atsižvelgdamas į nacionalinio teismo nurodytas faktines aplinkybes.

Iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad Digi bandomąją duomenų bazę sukūrė tam, kad galėtų atlikti bandymus ir ištaisyti klaidas, todėl būtent atsižvelgdamas į šiuos tikslus prašymą priimti prejudicinį sprendimą pateikęs teismas turi įvertinti tolesnio tvarkymo suderinamumą su pradinio rinkimo tikslais, t. y. sudaryti ir vykdyti abonentines sutartis.

Trečia, dėl šio vertinimo reikia pažymėti, kad bandymų atlikimas ir klaidų, darančių poveikį abonentų duomenų bazei, ištaisymas konkrečiai susiję su abonentinių sutarčių, sudaromų su privačiais klientais, vykdymu, nes tokios klaidos gali kenkti sutartyse numatytos paslaugos teikimui, dėl kurio iš pradžių buvo surinkti duomenys. Iš tiesų, kaip pažymėjo generalinis advokatas išvados 60 punkte, toks tvarkymas nenukrypsta nuo šių klientų teisėtų lūkesčių dėl tolesnio jų asmens duomenų panaudojimo. Be to, iš nutarties dėl prašymo priimti prejudicinį sprendimą nematyti, kad visi šie duomenys ar jų dalis būtų ypatingieji duomenys ar kad nagrinėjamas tolesnis jų tvarkymas per se būtų sukėlęs žalingų padarinių abonentams arba kad jį atliekant nebuvo tinkamų garantijų; tai bet kuriuo atveju turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

Atsižvelgiant į tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti: Reglamento 2016/679 5 straipsnio 1 dalies b punktas turi būti aiškinamas taip, kad pagal šioje nuostatoje numatytą „tikslo apribojimo“ principą duomenų valdytojui nedraudžiama į duomenų bazę, sukurtą siekiant atlikti bandymus ir ištaisyti klaidas, įrašyti ir joje saugoti asmens duomenų, prieš tai surinktų ir saugotų kitoje duomenų bazėje, jeigu toks tolesnis tvarkymas yra suderinamas su konkrečiais tikslais, dėl kurių asmens duomenys iš pradžių buvo surinkti, o tai būtina nustatyti atsižvelgiant į šio reglamento 6 straipsnio 4 dalyje nurodytus kriterijus.

Dėl antrojo klausimo

Pirmiausia reikia pažymėti, kad į antrąjį klausimą dėl Digi vykdomo jos klientų asmens duomenų saugojimo bandomojoje bazėje suderinamumo su Reglamento 2016/679 5 straipsnio 1 dalies e punkte įtvirtintu „saugojimo trukmės apribojimo“ principu prašymą priimti prejudicinį sprendimą pateikęs teismas paprašė atsakyti tik tuo atveju, jeigu į pirmąjį klausimą (kuris performuluotas) būtų atsakyta teigiamai, t. y. tuo atveju, jeigu šis saugojimas būtų nesuderinamas su Reglamento 2016/679 5 straipsnio 1 dalies b punkte numatytu „tikslo ribojimo“ principu.

Vis dėlto, pirma, kaip pažymėjo generalinis advokatas išvados 24 punkte, Reglamento 2016/679 5 straipsnyje įtvirtinti asmens duomenų tvarkymo principai yra taikomi kartu. Vadinasi, saugant asmens duomenis turi būti paisoma ne tik „tikslo apribojimo“ principo, bet ir „saugojimo trukmės apribojimo“ principo.

Antra, reikia priminti, kad, kaip matyti iš Reglamento 2016/679 10 konstatuojamosios dalies, juo, be kita ko, siekiama užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą Sąjungoje ir taip visoje Sąjungoje užtikrinti nuoseklų ir vienodą taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymą.

Šiuo tikslu šio reglamento II ir III skyriuose atitinkamai numatyti asmens duomenų tvarkymo principai ir duomenų subjekto teisės, kurių turi būti paisoma tvarkant asmens duomenis. Konkrečiai kalbant, bet koks asmens duomenų tvarkymas turi, pirma, atitikti minėto reglamento 5 straipsnyje nurodytus su duomenų tvarkymu susijusius principus ir, antra, atsižvelgiant ypač į šio straipsnio 1 dalies a punkte numatytą duomenų tvarkymo teisėtumo principą, tenkinti vieną iš to paties reglamento 6 straipsnyje išvardytų teisėto tvarkymo sąlygų (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 96 punktą ir 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 50 punktą).

Atsižvelgiant į tai, kas išdėstyta, nors formaliai prašymą priimti prejudicinį sprendimą pateikęs teismas į antrąjį klausimą prašė atsakyti tik tuo atveju, jeigu į performuluotą pirmąjį klausimą būtų atsakyta teigiamai, tokia aplinkybė netrukdo Teisingumo Teismui pateikti jam visapusišką Sąjungos teisės išaiškinimą, kuris gali būti naudingas vertinant jo nagrinėjamą bylą (šiuo klausimu žr. 2022 m. kovo 17 d. Sprendimo Daimler, C‑232/20, EU:C:2022:196, 49 punktą), taigi ir atsakyti į antrąjį klausimą.

Šiomis aplinkybėmis reikia konstatuoti, kad šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Reglamento 2016/679 5 straipsnio 1 dalies e punktas turi būti aiškinamas taip, kad pagal šioje nuostatoje numatytą „saugojimo trukmės apribojimo“ principą duomenų valdytojui draudžiama duomenų bazėje, sukurtoje siekiant atlikti bandymus ir ištaisyti klaidas, iš pradžių kitais tikslais surinktus asmens duomenis saugoti ilgiau, nei būtina šiems bandymams atlikti ir šioms klaidoms ištaisyti.

52	Pirma, reikia pažymėti, kad pagal Reglamento 2016/679 5 straipsnio 1 dalies e punktą asmens duomenys turi būti laikomi taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei būtina tikslams, kuriais asmens duomenys yra tvarkomi, pasiekti.

Taigi iš šio straipsnio teksto aiškiai matyti, kad pagal „saugojimo trukmės apribojimo“ principą reikalaujama, kad duomenų valdytojas, paisydamas šio sprendimo 24 punkte priminto atskaitomybės principo, galėtų įrodyti, jog asmens duomenys saugomi tiek ilgai, kiek būtina tikslams, dėl kurių jie buvo surinkti arba vėliau tvarkomi, pasiekti.

Tuo remiantis darytina išvada, kad net iš pradžių teisėtas duomenų tvarkymas laikui bėgant gali tapti nesuderinamas su Reglamentu 2016/679, kai šie duomenys nebėra būtini tokiems tikslams pasiekti (2019 m. rugsėjo 24 d. Sprendimo GC ir kt. (Nuorodų į jautrius duomenis pašalinimas), C‑136/17, EU:C:2019:773, 74 punktas), ir kad duomenys turi būti pašalinti, kai tie tikslai pasiekti (šiuo klausimu žr. 2009 m. gegužės 7 d. Sprendimo Rijkeboer, C‑553/07, EU:C:2009:293, 33 punktą).

55	Antra, toks aiškinimas atitinka Reglamento 2016/679 5 straipsnio 1 dalies e punkto kontekstą.

56	Šiuo klausimu šio sprendimo 49 punkte priminta, kad bet koks asmens duomenų tvarkymas turi atitikti minėto reglamento 5 straipsnyje įtvirtintus duomenų tvarkymo principus ir tenkinti kurią nors iš to reglamento 6 straipsnyje išvardytų sąlygų, susijusių su tvarkymo teisėtumu.

Viena vertus, kaip matyti iš šio 6 straipsnio, jeigu duomenų subjektas nedavė sutikimo tvarkyti savo asmens duomenis vienu ar keliais konkrečiais tikslais, kaip tai numatyta Reglamento 2016/679 6 straipsnio 1 dalies a punkte, tvarkymas turi tenkinti būtinybės reikalavimą, kaip tai išplaukia iš tos dalies b–f punktų.

58	Kita vertus, toks būtinybės reikalavimas taip pat kyla iš šio reglamento 5 straipsnio 1 dalies c punkte numatyto „duomenų mažinimo“ principo, pagal kurį asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi.

59	Trečia, toks aiškinimas atitinka Reglamento 2016/679 5 straipsnio 1 dalies e punktu siekiamą tikslą, kuris, kaip priminta šio sprendimo 48 punkte, yra, be kita ko, užtikrinti aukštą fizinių asmenų apsaugos lygį Sąjungoje tvarkant asmens duomenis.

60	Nagrinėjamu atveju Digi tvirtina, kad atliktus bandymus ir ištaisius klaidas dalis jos privačių klientų asmens duomenų, saugomų bandomojoje bazėje, nebuvo ištrinta būtent dėl neapsižiūrėjimo.

61	Šiuo klausimu pakanka nurodyti, kad šis argumentas neturi reikšmės vertinant, ar duomenys saugoti ilgiau, nei buvo būtina pasiekti tikslams, dėl kurių jie toliau tvarkyti, pažeidžiant Reglamento 2016/679 5 straipsnio 1 dalies e punkte numatytą „saugojimo trukmės apribojimo“ principą.

Atsižvelgiant į tai, kas išdėstyta, į antrąjį klausimą reikia atsakyti: Reglamento 2016/679 5 straipsnio 1 dalies e punktas turi būti aiškinamas taip, kad pagal šioje nuostatoje numatytą „saugojimo trukmės apribojimo“ principą duomenų valdytojui draudžiama duomenų bazėje, sukurtoje siekiant atlikti bandymus ir ištaisyti klaidas, iš pradžių kitais tikslais surinktus asmens duomenis saugoti ilgiau, nei būtina šiems bandymams atlikti ir šioms klaidoms ištaisyti.

Dėl bylinėjimosi išlaidų

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (pirmoji kolegija) nusprendžia:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 5 straipsnio 1 dalies b punktas

turi būti aiškinamas taip:

pagal šioje nuostatoje numatytą „tikslo apribojimo“ principą duomenų valdytojui nedraudžiama į duomenų bazę, sukurtą siekiant atlikti bandymus ir ištaisyti klaidas, įrašyti ir joje saugoti asmens duomenų, prieš tai surinktų ir saugotų kitoje duomenų bazėje, jeigu toks tolesnis tvarkymas yra suderinamas su konkrečiais tikslais, dėl kurių asmens duomenys iš pradžių buvo surinkti, o tai būtina nustatyti atsižvelgiant į šio reglamento 6 straipsnio 4 dalyje nurodytus kriterijus.

Reglamento 2016/679 5 straipsnio 1 dalies e punktas

turi būti aiškinamas taip:

pagal šioje nuostatoje numatytą „saugojimo trukmės apribojimo“ principą duomenų valdytojui draudžiama duomenų bazėje, sukurtoje siekiant atlikti bandymus ir ištaisyti klaidas, iš pradžių kitais tikslais surinktus asmens duomenis saugoti ilgiau, nei būtina šiems bandymams atlikti ir šioms klaidoms ištaisyti.

Parašai.

( *1 ) Proceso kalba: vengrų.