EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CJ0077

Tiesas spriedums (pirmā palāta), 2022. gada 20. oktobris.
Digi Távközlési és Szolgáltató Kft. pret Nemzeti Adatvédelmi és Információszabadság Hatóság.
Fővárosi Törvényszék lūgums sniegt prejudiciālu nolēmumu.
Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 5. panta 1. punkta b) un e) apakšpunkts – “Nolūka ierobežojumu” princips – “Glabāšanas ierobežojuma” princips – Testēšanai un kļūdu labošanai paredzētas datubāzes izveide no esošas datubāzes – Datu turpmāka apstrāde – Šo datu turpmākās apstrādes savietojamība ar to sākotnējās vākšanas nolūkiem – Glabāšanas ilgums, ievērojot šos nolūkus.
Lieta C-77/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:805

  The document is unavailable in your User interface language.

Pagaidu versija

TIESAS SPRIEDUMS (pirmā palāta)

2022. gada 20. oktobrī (*)

Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 5. panta 1. punkta b) un e) apakšpunkts – “Nolūka ierobežojumu” princips – “Glabāšanas ierobežojuma” princips – Testēšanai un kļūdu labošanai paredzētas datubāzes izveide no esošas datubāzes – Datu turpmāka apstrāde – Šo datu turpmākās apstrādes savietojamība ar to sākotnējās vākšanas nolūkiem – Glabāšanas ilgums, ievērojot šos nolūkus

Lietā C‑77/21

par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Fővárosi Törvényszék (Galvaspilsētas Budapeštas tiesa, Ungārija) iesniegusi ar 2021. gada 21. janvāra lēmumu un kas Tiesā reģistrēts 2021. gada 8. februārī, tiesvedībā

Digi Távközlési és Szolgáltató Kft.

pret

Nemzeti Adatvédelmi és Információszabadság Hatóság,

TIESA (pirmā palāta)

šādā sastāvā: palātas priekšsēdētājs A. Arabadžijevs [A. Arabadjiev], L. Bejs Larsens [L. Bay Larsen], Tiesas priekšsēdētāja vietnieks, kas pilda pirmās palātas tiesneša pienākumus, tiesneši P. Dž. Švīrebs [P. G. Xuereb], A. Kumins [A. Kumin] un I. Ziemele (referente),

ģenerāladvokāts: P. Pikamēe [P. Pikamäe],

sekretārs: I. Illēši [I. Illéssy], administrators,

ņemot vērā rakstveida procesu un 2022. gada 17. janvāra tiesas sēdi,

ņemot vērā apsvērumus, ko snieguši:

–        Digi Távközlési és Szolgáltató Kft. vārdā – R. Hatala un A. D. László, ügyvédek,

–        Nemzeti Adatvédelmi és Információszabadság Hatóság vārdā – G. Barabás, juriskonsults, kam palīdz G. J. Dudás un Á. Hargita, ügyvédek,

–        Ungārijas valdības vārdā – Zs. BiróTóth un M. ZFehér, pārstāvji,

–        Čehijas valdības vārdā – T. Machovičová, M. Smolek un J. Vláčil, pārstāvji,

–        Portugāles valdības vārdā – P. Barros da Costa, L. Inez Fernandes, I. Oliveira, M. J. Ramos un C. Vieira Guerra, pārstāvji,

–        Eiropas Komisijas vārdā – V. Bottka un H. Kranenborg, pārstāvji,

noklausījusies ģenerāladvokāta secinājumus 2022. gada 31. marta tiesas sēdē,

pasludina šo spriedumu.

Spriedums

1        Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt 5. panta 1. punkta b) un e) apakšpunktu Eiropas Parlamenta un Padomes Regulā (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; labojums – OV 2018, L 127, 2. lpp., turpmāk tekstā – “VDAR”).

2        Šis lūgums ir iesniegts saistībā ar tiesvedību Digi Távközlési és Szolgáltató Kft. (turpmāk tekstā – “Digi”), kas ir viens lielākajiem interneta un televīzijas pakalpojumu sniedzējiem Ungārijā, prasībā pret Nemzeti Adatvédelmi és Információszabadság Hatóság (Datu aizsardzības un informācijas brīvības valsts iestāde, Ungārija; turpmāk tekstā – “iestāde”) par Digi datubāzē esošo personas datu aizsardzības pārkāpumu.

 Atbilstošās tiesību normas

3        Regulas 2016/679 10. un 50. apsvērumā ir teikts:

“(10)      Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana. [..]

[..]

(50)      Personas datu apstrāde nolūkos, kas nav tie, kādos personas dati sākotnēji tika vākti, būtu jāatļauj tikai tad, ja apstrāde ir saderīga ar tiem nolūkiem, kādos personas dati sākotnēji tika vākti. Šādā gadījumā nav vajadzīgs atsevišķs juridiskais pamats kā vien tas, ar ko tika atļauta personas datu vākšana. [..] Lai pārliecinātos, vai turpmākas apstrādes nolūks ir saderīgs ar nolūku, kādā personas dati sākotnēji tika vākti, pārzinim – pēc tam, kad ir izpildītas visas prasības attiecībā uz sākotnējās apstrādes likumīgumu, – būtu cita starpā jāņem vērā: jebkura saikne starp minētajiem nolūkiem un paredzētās turpmākās apstrādes nolūkiem; konteksts, kādā personas dati ir vākti, jo īpaši saprātīgas datu subjektu gaidas, kuru pamatā ir to attiecības ar pārzini, attiecībā uz datu turpmāku izmantošanu; personas datu raksturs; sekas, ko paredzētā turpmākā apstrāde rada datu subjektiem; un atbilstošu garantiju esamība gan sākotnējās, gan paredzētajās turpmākās apstrādes darbībās.

[..]”

4        Regulas 2016/679 4. pantā “Definīcijas” ir noteikts:

“Šajā regulā:

[..]

2)      “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

[..].”

5        Šīs regulas 5. pantā “Personas datu apstrādes principi” ir noteikts:

“1.      Personas dati:

a)      tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);

b)      tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu nav uzskatāma par nesavietojamu ar sākotnējiem nolūkiem (“nolūka ierobežojumi”);

c)      ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);

d)      ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);

e)      tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības (“glabāšanas ierobežojums”);

f)      tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).

2.      Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).”

6        Minētās regulas 6. pants “Apstrādes likumīgums” noteic:

“1.      Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

a)      datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;

b)      apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;

c)      apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;

d)      apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;

e)      apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras;

f)      apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.

[..]

4.      Ja apstrāde citā nolūkā nekā tajā, kādā personas dati tika vākti, nav balstīta uz datu subjekta piekrišanu vai uz Savienības vai dalībvalsts tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai aizsargātu 23. panta 1. punktā minētos mērķus, pārzinis, lai pārliecinātos, vai apstrāde citā nolūkā ir savietojama ar nolūku, kādā personas dati sākotnēji tika vākti, cita starpā ņem vērā:

a)      jebkuru saikni starp nolūkiem, kādos personas dati ir vākti, un paredzētās turpmākās apstrādes nolūkiem;

b)      kontekstu, kādā personas dati ir vākti, jo īpaši saistībā ar datu subjektu un pārziņa attiecībām;

c)      personas datu raksturu, jo īpaši to, vai ir apstrādātas īpašas personas datu kategorijas, ievērojot 9. pantu, vai to, vai ir apstrādāti personas dati, kas attiecas uz sodāmību un pārkāpumiem, ievērojot 10. pantu;

d)      paredzētās turpmākās apstrādes iespējamās sekas datu subjektiem;

e)      atbilstošu garantiju esamību, kas var ietvert šifrēšanu vai pseidonimizāciju.”

 Pamatlieta un prejudiciālie jautājumi

7        Digi ir viens no lielākajiem interneta un televīzijas pakalpojumu sniedzējiem Ungārijā.

8        Kādas Digi servera darbību ietekmējušas tehniskas kļūmes dēļ šī sabiedrība 2018. gada aprīlī izveidoja tā saukto “testēšanas” datubāzi (turpmāk tekstā – “testēšanas datubāze”), kurā tā iekopēja aptuveni trešdaļu savu klientu fizisko personu personas datu, kuri tika glabāti citā ar tīmekļvietni www.digi.hu sasaistāmā datubāzē ar nosaukumu “digihu”, kurā tiešā mārketinga nolūkos tika glabāti gan aktualizētie dati par personām, kas pieteikušās uz Digi jaunumu saņemšanu, gan sistēmas administratora dati, kas ļauj piekļūt vietnes saskarnei.

9        2019. gada 23. septembrī Digi uzzināja, ka kāds “ētisks datorpirāts” bija ieguvis piekļuvi tās glabātajiem personas datiem aptuveni par 322 000 personu. Par šo piekļuvi sabiedrību Digi informēja pats “ētiskais datorpirāts”, kā pierādījumu tai nosūtot izvilkumu no testēšanas datubāzes. Digi izlaboja defektu, kura dēļ šī piekļuve bija kļuvusi iespējama, un noslēdza konfidencialitātes līgumu ar šo personu, piedāvājot tai atlīdzību.

10      Izdzēsusi testēšanas datubāzi, Digi 2019. gada 25. septembrī par personas datu aizsardzības pārkāpumu paziņoja iestādei, kura pēc tam sāka izmeklēšanu.

11      2020. gada 18. maija lēmumā iestāde tostarp konstatēja, ka Digi bija pārkāpusi Regulas 2016/679 5. panta 1. punkta b) un e) apakšpunktu, jo, veikusi testēšanas datubāzē vajadzīgos testus un izlabojusi defektu, Digi šo datubāzi uzreiz neizdzēsa, tādējādi šajā datubāzē – datu subjektus identificēt ļaujošā datnē – bez jebkāda nolūka gandrīz 18 mēnešus tika glabāts ievērojams apjoms personas datu. Tāpēc iestāde uzlika Digi pienākumu pārbaudīt visas šīs sabiedrības datubāzes un piemēroja tai naudas sodu 100 000 000 Ungārijas forintu (HUF) (aptuveni 248 000 EUR).

12      Šā lēmuma likumību Digi apstrīdēja iesniedzējtiesā.

13      Iesniedzējtiesa norāda, ka personas dati, ko Digi pārkopēja testēšanas datubāzē, tika vākti, lai noslēgtu un pildītu abonēšanas līgumus, un ka iestāde nav apšaubījusi sākotnējās datu vākšanas likumību. Tomēr iesniedzējtiesa vēlas noskaidrot, vai, sākotnēji ievāktos datus pārkopējot citā datubāzē, mainās to sākotnējās vākšanas un apstrādes nolūks. Tai arī esot jānoskaidro, vai testēšanas datubāzes izveide un klientu datu apstrādes turpināšana šajā otrajā datubāzē ir savietojama ar šo datu sākotnējās vākšanas nolūkiem. Tās ieskatā, Regulas 2016/679 5. panta 1. punkta b) apakšpunktā noteiktais “nolūka ierobežojumu” princips neļauj tai nedz noteikt, kādās iekšējās sistēmās pārzinis ir tiesīgs apstrādāt likumīgi vāktos datus, nedz noskaidrot, vai pārzinis šos datus var pārkopēt testēšanas datubāzē, nemainot datu sākotnējās vākšanas nolūku.

14      Gadījumā, ja testēšanas datubāzes izveide nebūtu savietojama ar datu sākotnējās vākšanas nolūku, iesniedzējtiesa arī jautā, vai – ņemot vērā, ka abonentu datu apstrāde citā datubāzē tiek veikta nevis kļūdu labošanas, bet gan līgumu slēgšanas nolūkā, – šie dati saskaņā ar Regulas 2016/679 5. panta 1. punkta e) apakšpunktā minēto “glabāšanas ierobežojuma” principu ir glabājami tik ilgi, cik nepieciešams kļūdu labošanai, vai tik ilgi, cik nepieciešams līgumsaistību izpildei.

15      Šādos apstākļos Fővárosi Törvényszék (Galvaspilsētas Budapeštas tiesa, Ungārija) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

“1)      Vai [..] Regulas 2016/679 [..] 5. panta 1. punkta b) apakšpunktā definētais jēdziens “nolūka ierobežojumi” ir jāinterpretē tādējādi, ka ar minēto jēdzienu ir saderīgi arī tas, ka pārzinis līdztekus kādā citā datubāzē glabā personas datus, kuri citādā ziņā ir vākti noteiktiem un leģitīmiem nolūkiem un glabāti ar šiem nolūkiem savietojamā veidā, vai arī, gluži pretēji, tādējādi, ka datu glabāšana līdztekus eksistējošā datubāzē vairs nav savietojama ar leģitīmajiem nolūkiem, kuriem attiecīgie dati ir tikuši vākti?

2)      Ja uz pirmo jautājumu ir jāatbild tādējādi, ka līdztekus veikta datu glabāšana principā nav saderīga ar “nolūka ierobežojumu” principu, – vai šī glabāšana ir saderīga ar Regulas 2016/679 5. panta 1. punkta e) apakšpunktā noteikto “glabāšanas ierobežojuma” principu, ja personas datus, kuri citādā ziņā ir vākti un glabāti ierobežotā leģitīmā nolūkā, pārzinis līdztekus glabā kādā citā datubāzē?”

 Par prejudiciālajiem jautājumiem

 Par pieņemamību

16      Iestāde, kā arī Ungārijas valdība pauda šaubas par prejudiciālo jautājumu pieņemamību tāpēc, ka šie jautājumi neatbilstot pamatlietas faktiem un neesot tieši nozīmīgi pamatlietas izspriešanai.

17      Šajā ziņā, pirmām kārtām, jāatgādina Tiesas pastāvīgās judikatūras atziņa, ka vienīgi valsts tiesa, kas izskata strīdu un uzņemas atbildību par tajā pieņemamo nolēmumu, var, ņemot vērā lietas apstākļus, izvērtēt gan to, cik lielā mērā prejudiciālais nolēmums ir vajadzīgs, lai tā varētu taisīt spriedumu, gan to, cik nozīmīgi lietas izspriešanai ir Tiesai uzdotie jautājumi. Līdz ar to, ja uzdotie jautājumi attiecas uz Savienības tiesību normas interpretāciju vai spēkā esamību, Tiesai principā ir par tiem jālemj. No tā izriet, ka uz valstu tiesu uzdotajiem jautājumiem ir attiecināma nozīmīguma prezumpcija. Atteikties lemt par valsts tiesas uzdotu prejudiciālo jautājumu Tiesa var tikai tad, ja ir vai nu redzams, ka lūgtajai interpretācijai nav nekāda sakara ar pamatlietas apstākļiem vai tās priekšmetu, vai ja problēma ir hipotētiska vai arī ja Tiesai nav zināmi faktiskie un juridiskie apstākļi, kas vajadzīgi, lai sniegtu noderīgu atbildi uz minētajiem jautājumiem (spriedums, 2020. gada 16. jūlijs, Facebook Ireland un Schrems, C‑311/18, EU:C:2020:559, 73. punkts, kā arī tajā minētā judikatūra).

18      Šajā gadījumā iesniedzējtiesa izskata prasību, kurā tiek lūgts atcelt lēmumu, ar kuru sabiedrībai Digi kā pārzinim ir piemērots sods par Regulas 2016/679 5. panta 1. punkta b) un attiecīgi e) apakšpunktā paredzēto “nolūka ierobežojumu” principa un “glabāšanas ierobežojuma” principa pārkāpumu, kas izdarīts, neizdzēšot datubāzi, kurā ir datu subjektus identificēt ļaujoši personas dati. Tā kā prejudiciālie jautājumi ir tieši par šo normu interpretāciju, nav uzskatāms, ka lūgtā Savienības tiesību interpretācija nebūtu saistīta ar pamatlietas apstākļiem vai tās priekšmetu vai arī būtu hipotētiska. Turklāt lūgumā sniegt prejudiciālu nolēmumu veiktais faktisko un juridisko apstākļu izklāsts ir pietiekams, lai sniegtu noderīgu atbildi uz iesniedzējtiesas uzdotajiem jautājumiem.

19      Otrām kārtām, jāatgādina, ka LESD 267. pantā noteiktajā procedūrā, kuras pamatā ir skaidra funkciju sadale starp valsts tiesām un Tiesu, tikai valsts tiesas kompetencē ir interpretēt un piemērot valsts tiesību normas, savukārt Tiesas ziņā ir spriest tikai par Savienības tiesību akta interpretāciju vai spēkā esamību, pamatojoties uz faktiem, kurus tai ir norādījusi valsts tiesa (spriedums, 2022. gada 5. maijs, Zagrebačka banka, C‑567/20, EU:C:2022:352, 45. punkts un tajā minētā judikatūra).

20      Tāpēc iestādes un Ungārijas valdības argumentācija, ka prejudiciālie jautājumi esot nepieņemami būtībā tāpēc, ka, viņuprāt, tie neatbilstot pamatlietas faktiskajiem apstākļiem, ir jānoraida.

21      Līdz ar to prejudiciālie jautājumi ir pieņemami.

 Par lietas būtību

 Par pirmo jautājumu

22      Ar pirmo jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai Regulas 2016/679 5. panta 1. punkta b) apakšpunkts ir jāinterpretē tādējādi, ka šajā normā paredzētajam “nolūka ierobežojumu” principam ir pretrunā tas, ka pārzinis testēšanas un kļūdu labošanas mērķiem izveidotā datubāzē reģistrē un glabā personas datus, kas pirms tam vākti un glabāti kādā citā datubāzē.

23      Pastāvīgās judikatūras atziņa ir tāda, ka, interpretējot Savienības tiesību normu, jāņem vērā ne tikai tās formulējums, bet arī konteksts, kā arī šo normu ietverošā tiesību akta mērķi un nolūks (spriedums, 2022. gada 1. augusts, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, 42. punkts un tajā minētā judikatūra).

24      Šajā ziņā jānorāda, pirmām kārtām, ka Regulas 2016/679 5. panta 1. punktā ir noteikti personas datu apstrādes principi, kas pārzinim jāievēro un kuru ievērošanu tam ir jāspēj pierādīt atbilstoši šā panta 2. punktā noteiktajam pārskatatbildības principam.

25      Konkrēti – “nolūka ierobežojumu” principu noteicošajā šīs regulas 5. panta 1. punkta b) apakšpunktā ir paredzēts, ka, pirmkārt, personas dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un, otrkārt, ka šo datu turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā.

26      Tādējādi no šīs normas formulējuma izriet, ka tajā ir ietvertas divas prasības: viena attiecībā uz personas datu sākotnējās vākšanas nolūkiem un otra – attiecībā uz šo datu turpmāko apstrādi.

27      Pirmkārt, par prasību, ka personas datiem jābūt vāktiem konkrētos, skaidros un leģitīmos nolūkos, ir jāteic, ka saskaņā ar Tiesas judikatūru šī prasība nozīmē gan to, ka apstrādes nolūkiem jābūt identificētiem vismaz jau personas datu vākšanas laikā, gan to, ka šīs apstrādes nolūkiem ir jābūt skaidri norādītiem, gan visbeidzot to, ka minētās apstrādes nolūkiem citastarp ir jānodrošina šo datu apstrādes likumīgums Regulas 2016/679 6. panta 1. punkta izpratnē (šajā nozīmē skat. spriedumu, 2022. gada 24. februāris, Valsts ieņēmumu dienests (Personas datu apstrāde nodokļu administrēšanas vajadzībām), C‑175/20, EU:C:2022:124, 64.–66. punkts).

28      Šajā gadījumā no pirmā jautājuma formulējuma un lūguma sniegt prejudiciālu nolēmumu motīvu izklāsta izriet, ka pamatlietā aplūkotie personas dati tika vākti konkrētos, skaidros un leģitīmos nolūkos, un iesniedzējtiesa turklāt piebilst, ka šo datu vākšana ir veikta tālab, lai Digi varētu slēgt un pildīt abonēšanas līgumus ar saviem klientiem, proti, atbilstoši Regulas 2016/679 6. panta 1. punkta b) apakšpunktam.

29      Otrkārt, par prasību, lai personas datu turpmāka apstrāde netiktu veikta ar šiem nolūkiem nesavietojamā veidā, ir jānorāda, ka, reģistrēdams un glabādams jaunizveidotā datubāzē tādus personas datus, kas bija glabāti kādā citā datubāzē, pārzinis veic šo datu “turpmāku apstrādi”.

30      Proti, “apstrādes” jēdziens Regulas 2016/679 4. panta 2. punktā ir visnotaļ plaši definēts kā jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, tostarp, piemēram, šo datu vākšana, reģistrācija un glabāšana.

31      Turklāt atbilstoši nozīmei, kādā vārdu “turpmāks” ierasti lieto ikdienas valodā, ikviena personas datu apstrāde, ko veic pēc šo datu vākšanas ceļā notikušās to sākotnējās apstrādes, ir minēto datu “turpmāka” apstrāde neatkarīgi no tās nolūka.

32      Savukārt Regulas 2016/679 5. panta 1. punkta b) apakšpunktā nav rodamas norādes par nosacījumiem, kādos personas datu turpmāka apstrāde ir uzskatāma par savietojamu ar šo datu sākotnējās vākšanas nolūkiem.

33      Tomēr, otrām kārtām, noderīgas norādes šajā ziņā ir rodamas šīs normas kontekstā.

34      Proti, no Regulas 2016/679 5. panta 1. punkta b) apakšpunkta kopsakarā ar tās 6. panta 1. punkta a) apakšpunktu un 6. panta 4. punktu izriet, ka jautājums par personas datu turpmākās apstrādes savietojamību ar nolūkiem, kādos šie dati tika sākotnēji vākti, rodas tikai gadījumā, ja šīs turpmākās apstrādes nolūki nav identiski sākotnējās vākšanas nolūkiem.

35      Turklāt no 6. panta 4. punkta, lasot to kopsakarā ar minētās regulas 50. apsvērumu, izriet, ka – gadījumā, ja apstrāde citā nolūkā nekā tajā, kādā personas dati tika vākti, nav balstīta uz datu subjekta piekrišanu vai uz Savienības vai dalībvalsts tiesību aktiem – lai pārliecinātos, vai apstrāde citā nolūkā ir savietojama ar nolūku, kādā personas dati sākotnēji tika vākti, cita starpā jāņem vērā, pirmkārt, jebkura saikne starp nolūkiem, kādos personas dati ir vākti, un paredzētās turpmākās apstrādes nolūkiem; otrkārt, konteksts, kādā personas dati ir vākti, jo īpaši saistībā ar datu subjektu un pārziņa attiecībām; treškārt, personas datu raksturs; ceturtkārt, paredzētās turpmākās apstrādes iespējamās sekas datu subjektiem; un visbeidzot piektkārt, atbilstošu garantiju esamība gan sākotnējās, gan paredzētajās turpmākās apstrādes darbībās.

36      Kā secinājumu 28., 59. un 60. punktā būtībā norāda ģenerāladvokāts, šie kritēriji atspoguļo nepieciešamību pēc konkrētas, loģiskas un pietiekami ciešas saiknes starp personas datu vākšanas nolūku un šo datu turpmāko apstrādi un ļauj pārliecināties, ka šī turpmākā apstrāde neattālinās no tā, ko abonenti leģitīmi gaida attiecībā uz savu datu turpmāko izmantošanu.

37      Trešām kārtām, šie kritēriji – kā secinājumu 27. punktā būtībā norāda ģenerāladvokāts – ļauj noteikt iepriekš ievākto personas datu atkalizmantošanas robežas, nodrošinot līdzsvaru starp, no vienas puses, vajadzību pēc paredzamības un tiesiskās drošības jautājumā par iepriekš ievākto personas datu apstrādes nolūkiem un, no otras puses, zināmas elastības atzīšanu pārzinim šo datu pārvaldībā, un šādi tie palīdz sasniegt Regulas 2016/679 10. apsvērumā nosprausto mērķi nodrošināt konsekventu un augsta līmeņa aizsardzību fiziskām personām.

38      Tādējādi valsts tiesas ziņā ir – ņemot vērā šā sprieduma 35. punktā minētos kritērijus un ievērojot visus šai lietai raksturīgos apstākļus – noskaidrot gan personas datu sākotnējās vākšanas, gan šo datu turpmākās apstrādes nolūkus un – gadījumā, ja šīs turpmākās apstrādes nolūki atšķirtos no šīs vākšanas nolūkiem, – pārliecināties, ka minēto datu turpmākā apstrāde ir savietojama ar šīs sākotnējās vākšanas nolūkiem.

39      Tomēr Tiesa, lemjot par lūgumu sniegt prejudiciālu nolēmumu, drīkst sniegt lietderīgas norādes, pēc kurām valsts tiesai vadīties šajā vērtējumā (šajā nozīmē skat. spriedumu, 2022. gada 7. aprīlis, Fuhrmann2, C‑249/21, EU:C:2022:269, 32. punkts).

40      Šajā gadījumā, pirmkārt – kā atgādināts šā sprieduma 13. punktā – no lūguma sniegt prejudiciālu nolēmumu izriet, ka datu pārziņa statusā esošā sabiedrība Digi personas datus sākotnēji ir vākusi tālab, lai slēgtu un pildītu abonēšanas līgumus ar saviem privātpersonu statusā esošajiem klientiem.

41      Otrkārt, pamatlietas pušu starpā nav vienprātības, kādā konkrētā nolūkā Digi ir veikusi attiecīgo personas datu reģistrāciju un glabāšanu testēšanas datubāzē. Proti, Digi apgalvo, ka konkrētais nolūks, kādam tika izveidota testēšanas datubāze, esot bijis nodrošināt piekļuvi abonentu datiem līdz kļūdu izlabošanai, un tāpēc šis nolūks esot identisks nolūkiem, kādos šie dati tika sākotnēji vākti, savukārt iestāde uzskata, ka turpmākās apstrādes konkrētais nolūks esot bijis citāds, proti, veikt testēšanu un labot kļūdas.

42      Šajā ziņā jāatgādina no šā sprieduma 19. punktā minētās judikatūras izrietošā atziņa, ka LESD 267. pantā noteiktajā procedūrā, kuras pamatā ir skaidra funkciju sadale starp valsts tiesām un Tiesu, tikai valsts tiesas kompetencē ir interpretēt un piemērot valsts tiesību normas, savukārt Tiesas ziņā ir spriest tikai par Savienības tiesību akta interpretāciju vai spēkā esamību, pamatojoties uz faktiem, kurus tai ir norādījusi valsts tiesa.

43      Taču no lūguma sniegt prejudiciālu nolēmumu izriet, ka testēšanas datubāzi Digi izveidojusi testēšanas un kļūdu izlabošanas vajadzībām, un tāpēc, ņemot vērā tieši šos nolūkus, iesniedzējtiesai ir jāvērtē turpmākās apstrādes savietojamība ar sākotnējās vākšanas nolūkiem slēgt un pildīt abonēšanas līgumus.

44      Treškārt, šā vērtējuma vajadzībām ir jānorāda, ka testēšana un abonentu datubāzē radušos kļūdu labošana ir konkrēti saistītas ar privātpersonu statusā esošo klientu abonēšanas līgumu izpildi, jo šādas kļūdas var kaitēt līgumā paredzētā pakalpojuma sniegšanai, kuras vajadzībām dati tika sākotnēji vākti. Proti, kā secinājumu 60. punktā norāda ģenerāladvokāts, šāda apstrāde neattālinās no tā, ko klienti leģitīmi gaida attiecībā uz savu personas datu turpmāko izmantošanu. No lūguma sniegt prejudiciālu nolēmumu arī neizriet nedz tas, ka visi šie dati vai kāda daļa no tiem būtu sensitīvi, nedz tas, ka to turpmākā apstrāde vai nu pati par sevi radītu kaitīgas sekas abonentiem, vai arī nebūtu nodrošināta ar atbilstošām garantijām; taču jebkurā gadījumā to pārbaudīt ir iesniedzējtiesas ziņā.

45      No visiem iepriekš izklāstītajiem apsvērumiem izriet, ka uz pirmo jautājumu ir atbildams, ka Regulas 2016/679 5. panta 1. punkta b) apakšpunkts ir jāinterpretē tādējādi, ka šajā normā paredzētajam “nolūka ierobežojumu” principam nav pretrunā tas, ka pārzinis testēšanas un kļūdu labošanas mērķiem izveidotā datubāzē reģistrē un glabā personas datus, kas pirms tam vākti un glabāti kādā citā datubāzē, ja šāda turpmākā apstrāde ir savietojama ar konkrētajiem nolūkiem, kādos personas dati tika sākotnēji vākti; un tas ir noskaidrojams, izmantojot šīs regulas 6. panta 4. punktā minētos kritērijus.

 Par otro jautājumu

46      Ievadam jānorāda, ka otro jautājumu – par to, vai Regulas 2016/679 5. panta 1. punkta e) apakšpunktā noteiktajam “glabāšanas ierobežojuma” principam atbilst tas, ka Digi testēšanas datubāzē glabā savu klientu personas datus, – iesniedzējtiesa uzdod tikai gadījumā, ja apstiprinoši tiktu atbildēts uz pirmo pārformulēto jautājumu, proti, gadījumā, ja šī glabāšana nebūtu saderīga ar šīs regulas 5. panta 1. punkta b) apakšpunktā paredzēto “nolūka ierobežojumu” principu.

47      Tomēr, pirmām kārtām, kā secinājumu 24. punktā norāda ģenerāladvokāts, Regulas 2016/679 5. pantā noteiktie personas datu apstrādes principi ir piemērojami kumulatīvi. Tādējādi personas datu glabāšanā ir jāievēro ne tikai “nolūka ierobežojumu” princips, bet arī “glabāšanas ierobežojuma” princips.

48      Otrām kārtām, jāatgādina, ka Regula 2016/679 – kā izriet no tās 10. apsvēruma – ir vērsta tostarp uz to, lai nodrošinātu augsta līmeņa aizsardzību fiziskām personām Savienībā un tālab nodrošinātu, ka noteikumi par fiziskas personas pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi visā Savienībā tiek piemēroti konsekventi un vienveidīgi.

49      Tālab šīs regulas II nodaļā ir noteikti personas datu apstrādes principi un III nodaļā – datu subjektu tiesības, kas jāievēro ikvienā personas datu apstrādē. Proti, ikvienai personas datu apstrādei ir jābūt gan atbilstīgai datu apstrādes principiem, kas noteikti šīs regulas 5. pantā, gan – ņemot vērā it īpaši šā panta 1. punkta a) apakšpunktā paredzēto apstrādes likumīguma principu – jāatbilst vienam no šīs pašas regulas 6. pantā uzskaitītajiem apstrādes likumīguma nosacījumiem (šajā nozīmē skat. spriedumus, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 96. punkts, un 2022. gada 24. februāris, Valsts ieņēmumu dienests (Personas datu apstrāde nodokļu administrēšanas vajadzībām), C‑175/20, EU:C:2022:124, 50. punkts).

50      Ievērojot šos apsvērumus, kaut arī iesniedzējtiesa otro jautājumu formāli ir uzdevusi tikai gadījumā, ja apstiprinoši tiktu atbildēts uz pirmo pārformulēto jautājumu, šāds apstāklis neliedz Tiesai sniegt tai visas norādes par Savienības tiesību interpretāciju, kuras tai var būt noderīgas, izspriežot iztiesājamo lietu (šajā nozīmē skat. spriedumu, 2022. gada 17. marts, Daimler, C‑232/20, EU:C:2022:196, 49. punkts), un līdz ar to atbildēt uz šo otro jautājumu.

51      Šajos apstākļos ir uzskatāms, ka ar šo jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai Regulas 2016/679 5. panta 1. punkta e) apakšpunkts ir jāinterpretē tādējādi, ka šajā normā paredzētajam “glabāšanas ierobežojuma” principam ir pretrunā tas, ka iepriekš citos nolūkos ievāktus personas datus pārzinis glabā testēšanas un kļūdu labošanas mērķiem izveidotā datubāzē ilgāk, nekā vajadzīgs šai testēšanai un šo kļūdu izlabošanai.

52      Pirmām kārtām, jānorāda Regulas 2016/679 5. panta 1. punkta e) apakšpunktā noteiktais, proti, ka tādā formā, kas ļauj identificēt datu subjektus, personas dati ir glabājami ne ilgāk kā nepieciešams attiecīgo personas datu apstrādes nolūkiem.

53      Tādējādi no šā panta formulējuma ir nepārprotami redzams, ka “glabāšanas ierobežojuma” princips prasa, lai pārzinis atbilstoši šā sprieduma 24. punktā atgādinātajam pārskatatbildības principam spētu pierādīt, ka personas datus glabā vienīgi tik ilgi, cik nepieciešams, lai īstenotu nolūkus, kādiem tie ir ievākti vai vēlāk apstrādāti.

54      No tā izriet, ka pat datu apstrāde, kas sākotnēji bija likumīga, laika gaitā var kļūt nesaderīga ar Regulu 2016/679, ja dati vairs nav nepieciešami šo nolūku īstenošanai (spriedums, 2019. gada 24. septembris, GC u.c. (Atsauču uz sensitīviem datiem atsaistīšana), C‑136/17, EU:C:2019:773, 74. punkts) un ka dati ir jāizdzēš, kad šie nolūki ir īstenoti (šajā nozīmē skat. spriedumu, 2009. gada 7. maijs, Rijkeboer, C‑553/07, EU:C:2009:293, 33. punkts).

55      Otrām kārtām, šī interpretācija ir atbilstīga Regulas 2016/679 5. panta 1. punkta e) apakšpunkta kontekstam.

56      Šajā ziņā šā sprieduma 49. punktā ir atgādināts, ka ikvienai personas datu apstrādei ir gan jābūt atbilstīgai datu apstrādes principiem, kas noteikti šīs regulas 5. pantā, gan jāatbilst kādam no šīs pašas regulas 6. pantā uzskaitītajiem apstrādes likumīguma nosacījumiem.

57      Taču, pirmkārt, Regulas 2016/679 6. pantā ir redzams, ka gadījumā, ja datu subjekts atbilstoši šā panta 1. punkta a) apakšpunktam nav devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem, no minētā punkta b)–f) apakšpunkta izriet, ka apstrādei jāatbilst nosacījumam par vajadzību.

58      Otrkārt, šāds nosacījums par vajadzību izriet arī no “datu minimizēšanas” principa, kas paredzēts šīs regulas 5. panta 1. punkta c) apakšpunktā, kurā noteikts, ka datiem ir jābūt adekvātiem, atbilstīgiem un jāietver tikai tas, kas nepieciešams to apstrādes nolūkos.

59      Trešām kārtām, šāda interpretācija atbilst Regulas 2016/679 5. panta 1. punkta e) apakšpunkta mērķim, kas – atbilstoši šā sprieduma 48. punktā atgādinātajam – ir tostarp nodrošināt augsta līmeņa aizsardzību fiziskām personām Savienībā attiecībā uz viņu personas datu apstrādi.

60      Šajā gadījumā Digi apgalvoja, ka testēšanas datubāzē glabātie vairāku tās privātpersonu statusā esošo klientu personas dati pēc testu pabeigšanas un kļūdu izlabošanas netika izdzēsti neuzmanības dēļ.

61      Šajā ziņā pietiek vien norādīt, ka šim argumentam nav nozīmes, izvērtējot, vai dati ir tikuši glabāti ilgāk, nekā bija nepieciešams, lai īstenotu nolūkus, kādos tie tikuši turpmāk apstrādāti, tādējādi pārkāpjot Regulas 2016/679 5. panta 1. punkta e) apakšpunktā paredzēto “glabāšanas ierobežojuma” principu.

62      No iepriekš izklāstītajiem apsvērumiem izriet, ka uz otro jautājumu ir atbildams, ka Regulas 2016/679 5. panta 1. punkta e) apakšpunkts ir jāinterpretē tādējādi, ka šajā normā paredzētajam “glabāšanas ierobežojuma” principam ir pretrunā tas, ka iepriekš citos nolūkos vāktus personas datus pārzinis glabā testēšanas un kļūdu labošanas mērķiem izveidotā datubāzē ilgāk, nekā vajadzīgs šai testēšanai un šo kļūdu izlabošanai.

 Par tiesāšanās izdevumiem

63      Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (pirmā palāta) nospriež:

1)      Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 5. panta 1. punkta b) apakšpunkts

ir jāinterpretē tādējādi, ka:

šajā normā paredzētajam “nolūka ierobežojumu” principam nav pretrunā tas, ka pārzinis testēšanas un kļūdu labošanas mērķiem izveidotā datubāzē reģistrē un glabā personas datus, kas pirms tam vākti un glabāti kādā citā datubāzē, ja šāda turpmākā apstrāde ir savietojama ar konkrētajiem nolūkiem, kādos personas dati tika sākotnēji vākti; un tas ir noskaidrojams, izmantojot šīs regulas 6. panta 4. punktā minētos kritērijus.

2)      Regulas 2016/679 5. panta 1. punkta e) apakšpunkts

ir jāinterpretē tādējādi, ka:

šajā normā paredzētajam “glabāšanas ierobežojuma” principam ir pretrunā tas, ka iepriekš citos nolūkos vāktus personas datus pārzinis glabā testēšanas un kļūdu labošanas mērķiem izveidotā datubāzē ilgāk, nekā vajadzīgs šai testēšanai un šo kļūdu izlabošanai.

[Paraksti]


*      Tiesvedības valoda – ungāru.

Top