EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CJ0077

Arrest van het Hof (Eerste kamer) van 20 oktober 2022.
Digi Távközlési és Szolgáltató Kft. tegen Nemzeti Adatvédelmi és Információszabadság Hatóság.
Verzoek van de Fővárosi Törvényszék om een prejudiciële beslissing.
Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 5, lid 1, onder b) en c) – Beginsel van doelbinding – Beginsel van opslagbeperking – Opzetten, op basis van een bestaande databank, van een nieuwe databank voor het uitvoeren van tests en herstellen van fouten – Verdere verwerking van de gegevens – Verenigbaarheid van de verdere verwerking van deze gegevens met de doeleinden van de oorspronkelijke verzameling – Opslagperiode in het licht van deze doeleinden.
Zaak C-77/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:805

  The document is unavailable in your User interface language.

Voorlopige editie

ARREST VAN HET HOF (Eerste kamer)

20 oktober 2022 (*)

„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 5, lid 1, onder b) en c) – Beginsel van doelbinding – Beginsel van opslagbeperking – Opzetten, op basis van een bestaande databank, van een nieuwe databank voor het uitvoeren van tests en herstellen van fouten – Verdere verwerking van de gegevens – Verenigbaarheid van de verdere verwerking van deze gegevens met de doeleinden van de oorspronkelijke verzameling – Opslagperiode in het licht van deze doeleinden”

In zaak C‑77/21,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije) bij beslissing van 21 januari 2021, ingekomen bij het Hof op 8 februari 2021, in de procedure

Digi Távközlési és Szolgáltató Kft.

tegen

Nemzeti Adatvédelmi és Információszabadság Hatóság,

wijst

HET HOF (Eerste kamer),

samengesteld als volgt: A. Arabadjiev, kamerpresident, L. Bay Larsen, vicepresident van het Hof, waarnemend rechter van de Eerste kamer, P. G. Xuereb, A. Kumin en I. Ziemele (rapporteur), rechters,

advocaat-generaal: P. Pikamäe,

griffier: I. Illéssy, administrateur,

gezien de stukken en na de terechtzitting op 17 januari 2022,

gelet op de opmerkingen van:

–        Digi Távközlési és Szolgáltató Kft., vertegenwoordigd door R. Hatala en A. D. László, ügyvédek,

–        Nemzeti Adatvédelmi és Információszabadság Hatóság, vertegenwoordigd door G. Barabás, juridisch adviseur, bijgestaan door G. J. Dudás en Á. Hargita, ügyvédek,

–        de Hongaarse regering, vertegenwoordigd door Zs. Biró-Tóth en M. Z. Fehér als gemachtigden,

–        de Tsjechische regering, vertegenwoordigd door T. Machovičová, M. Smolek en J. Vláčil als gemachtigden,

–        de Portugese regering, vertegenwoordigd door P. Barros da Costa, M. Inez Fernandes, I. Oliveira en J. Ramos en C. Vieira Guerra als gemachtigden,

–        de Europese Commissie, vertegenwoordigd door V. Bottka en H. Kranenborg als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 31 maart 2022,

het navolgende

Arrest

1        Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 5, lid 1, onder b) en e), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificatie in PB 2021, L 74, blz. 35).

2        Dit verzoek is ingediend in het kader van een geding tussen Digi Távközlési és Szolgáltató Kft. (hierna: „Digi”), een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije, enerzijds, en Nemzeti Adatvédelmi és Információszabadság Hatóság (nationale autoriteit voor gegevensbescherming en vrijheid van informatie, Hongarije; hierna: „Autoriteit”), anderzijds, over een inbreuk in verband met persoonsgegevens in een databank van Digi.

 Toepasselijke bepalingen

3        In de overwegingen 10 en 50 van verordening nr. 2016/679 wordt verklaard:

„(10)      Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. [...]

[...]

(50)      De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. [...] Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventuele koppeling tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld; met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.

[...]”

4        Artikel 4 („Definities”) van verordening nr. 2016/679 bepaalt:

„Voor de toepassing van deze verordening wordt verstaan onder:

[...]

2)      ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

[...]”

5        Artikel 5 („Beginselen inzake verwerking van persoonsgegevens”) van deze verordening luidt:

„1.      Persoonsgegevens moeten:

a)      worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);

b)      voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (‚doelbinding’);

c)      toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‚minimale gegevensverwerking’);

d)      juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (‚juistheid’);

e)      worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen (‚opslagbeperking’);

f)      door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).

2.      De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

6        In artikel 6 („Rechtmatigheid van de verwerking”) van die verordening is bepaald:

„1.      De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a)      de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b)      de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c)      de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d)      de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e)      de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f)      de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

[...]

4.      Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)      ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b)      het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c)      de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

d)      de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e)      het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”

 Hoofdgeding en prejudiciële vragen

7        Digi is een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije.

8        In april 2018 heeft Digi, na een technische storing die de werking van een server aantastte, een zogeheten „testdatabank” opgezet, waarnaar zij de persoonsgegevens van ongeveer een derde van haar particuliere klanten heeft gekopieerd. Die persoonsgegevens werden bewaard in een andere, aan de website digi.hu verbonden databank, genaamd „digihu”, met daarin de actuele gegevens van de abonnees van haar elektronische nieuwsbrief voor directmarketingdoeleinden en gegevens van de systeembeheerders die toegang verschaffen tot de interface van de website.

9        Op 23 september 2019 heeft Digi vernomen dat een „ethische hacker” zich toegang had weten te verschaffen tot de persoonsgegevens van ongeveer 322 000 personen waarover Digi beschikt. De „ethische hacker” heeft deze toegang zelf aan Digi gemeld en haar als bewijs een regel van de testdatabank toegezonden. Digi heeft het lek dat deze toegang mogelijk maakte hersteld, een geheimhoudingsovereenkomst met de hacker afgesloten en hem een beloning aangeboden.

10      Nadat Digi de testdatabank had gewist, heeft zij de inbreuk in verband met persoonsgegevens op 25 september 2019 gemeld aan de Autoriteit, die vervolgens een onderzoek heeft ingesteld.

11      Bij besluit van 18 mei 2020 heeft de Autoriteit met name vastgesteld dat Digi in strijd met artikel 5, lid 1, onder b) en e), van verordening 2016/679 had gehandeld doordat zij de testdatabank na de uitvoering van de nodige tests en de oplossing van de problemen niet onmiddellijk had gewist, waardoor een groot aantal in deze testdatabank opgeslagen persoonsgegevens bijna anderhalf jaar lang zonder doel was bewaard in een bestand waarmee de betrokkenen konden worden geïdentificeerd. Bijgevolg heeft de Autoriteit Digi gelast al haar databanken te onderzoeken en haar een geldboete van 100 000 000 Hongaarse forint (HUF) (ongeveer 248 000 EUR) opgelegd.

12      Digi heeft de rechtmatigheid van dit besluit aangevochten bij de verwijzende rechter.

13      Deze rechter merkt op dat de door Digi naar de testdatabank gekopieerde persoonsgegevens zijn verzameld met het afsluiten en uitvoeren van abonnementsovereenkomsten als doel en dat de Autoriteit het rechtmatige verloop van de aanvankelijke verzameling van persoonsgegevens niet heeft betwist. Hij wenst evenwel te vernemen of door het kopiëren van aanvankelijk verzamelde gegevens naar een andere databank het doel van de aanvankelijke gegevensverzameling en ‑verwerking is gewijzigd. Ook moet volgens die rechter worden beoordeeld of het opzetten van een testdatabank en het verwerken van klantgegevens in deze andere databank verenigbaar zijn met het doel van de aanvankelijke verzameling van deze gegevens. Naar de opvatting van de verwijzende rechter stelt het beginsel van doelbinding, zoals dat is opgenomen in artikel 5, lid 1, onder b), van verordening 2016/679, hem niet in staat te bepalen in welke interne systemen de verwerkingsverantwoordelijke rechtmatig verzamelde gegevens kan verwerken en of hij deze gegevens mag kopiëren naar een testdatabank, zonder dat het doel van de aanvankelijke verzameling van gegevens daardoor wordt gewijzigd.

14      Voor het geval dat het opzetten van de testdatabank niet verenigbaar is met het doel van de aanvankelijke verzameling, wenst de verwijzende rechter tevens te vernemen of, gelet op het feit dat de verwerking van abonneegegevens in een andere databank niet het herstellen van fouten maar het afsluiten van abonnementsovereenkomsten tot doel heeft, de benodigde bewaartermijn op grond van het in artikel 5, lid 1, onder e), van verordening 2016/679 opgenomen beginsel van opslagbeperking moet overeenkomen met de duur die vereist is om de fouten te herstellen dan wel met de duur die vereist is om de contractuele verplichtingen na te komen.

15      In deze omstandigheden heeft de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije) de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)      Moet het begrip van doelbinding als omschreven in artikel 5, lid 1, onder b), van verordening 2016/679 aldus worden uitgelegd dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens kan bewaren die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen, of is het bewaren van de gegevens in een parallelle databank niet meer verenigbaar met de rechtmatige doeleinden waarvoor de betrokken gegevens werden verzameld?

2)      Indien het antwoord op de eerste vraag luidt dat de parallelle opslag van gegevens als dusdanig niet verenigbaar is met het beginsel van doelbinding, is het dan verenigbaar met het beginsel van opslagbeperking als bedoeld in artikel 5, lid 1, onder e), van verordening 2016/679 dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens bewaart die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen?”

 Beantwoording van de prejudiciële vragen

 Ontvankelijkheid

16      De Autoriteit en de Hongaarse regering hebben twijfels geuit over de ontvankelijkheid van de prejudiciële vragen, omdat deze volgens hen geen afspiegeling vormen van de feiten van het hoofdgeding en niet rechtstreeks relevant zijn voor de beslechting ervan.

17      In dit verband zij er in de eerste plaats aan herinnerd dat het volgens vaste rechtspraak van het Hof uitsluitend een zaak is van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid draagt voor de te geven rechterlijke beslissing om, rekening houdend met de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het Hof voorlegt, te beoordelen. Wanneer de gestelde vragen betrekking hebben op de uitlegging of de geldigheid van een Unierechtelijke regel, is het Hof derhalve in beginsel verplicht daarop te antwoorden. Bijgevolg geldt voor door nationale rechters gestelde vragen over het Unierecht een vermoeden van relevantie. Het Hof kan slechts weigeren uitspraak te doen op een door een nationale rechterlijke instantie gestelde prejudiciële vraag, wanneer blijkt dat de gevraagde uitlegging geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk van hypothetische aard is of wanneer het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vragen (arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punt 73 en aldaar aangehaalde rechtspraak).

18      In casu is bij de verwijzende rechter een beroep ingesteld tot nietigverklaring van een besluit waarbij Digi, in haar hoedanigheid van verwerkingsverantwoordelijke, is bestraft wegens schending van de beginselen van doelbinding en opslagbeperking als bedoeld in respectievelijk de punten b) en e) van artikel 5, lid 1, van verordening 2016/679, doordat zij een databank met persoonsgegevens die de identificatie van de betrokkenen mogelijk maken, niet heeft gewist. De prejudiciële vragen hebben juist betrekking op de uitlegging van deze bepalingen, zodat niet kan worden aangenomen dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding of hypothetisch van aard is. Bovendien bevat de verwijzingsbeslissing voldoende feitelijke en juridische gegevens om een nuttig antwoord te geven op de vragen van de verwijzende rechter.

19      In de tweede plaats zij eraan herinnerd dat in het kader van de procedure van artikel 267 VWEU, die op een duidelijke afbakening van de taken van de nationale rechterlijke instanties en van het Hof berust, de nationale rechter bij uitsluiting bevoegd is om het nationale recht uit te leggen en toe te passen, terwijl het Hof uitsluitend bevoegd is om zich over de uitlegging of de rechtsgeldigheid van een rechtsvoorschrift van de Unie uit te spreken op basis van de door de nationale rechterlijke instantie omschreven feiten (arrest van 5 mei 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, punt 45 en aldaar aangehaalde rechtspraak).

20      Derhalve kan het door de Autoriteit en de Hongaarse regering gevoerde betoog dat de prejudiciële vragen niet-ontvankelijk zijn omdat deze volgens hen, kort gesteld, niet overeenstemmen met de feiten van het hoofdgeding, niet worden aanvaard.

21      Bijgevolg zijn de prejudiciële vragen ontvankelijk.

 Ten gronde

 Eerste vraag

22      Met zijn eerste vraag wenst de verwijzende rechter in essentie te vernemen of artikel 5, lid 1, onder b), van verordening 2016/679 aldus moet worden uitgelegd dat het in die bepaling opgenomen beginsel van doelbinding zich ertegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens vastlegt en opslaat die eerder in een andere databank zijn verzameld en opgeslagen.

23      Overeenkomstig vaste rechtspraak moet bij de uitlegging van een Unierechtelijke bepaling niet alleen rekening worden gehouden met de bewoordingen, maar ook met de context ervan en met de doelstellingen en het oogmerk van de regeling waarvan zij deel uitmaakt (arrest van 1 augustus 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, punt 42 en aldaar aangehaalde rechtspraak).

24      Dienaangaande moet in de eerste plaats worden opgemerkt dat artikel 5, lid 1, van verordening 2016/679 de beginselen betreffende de verwerking van persoonsgegevens vaststelt die bindend zijn voor de verwerkingsverantwoordelijke en waarvan hij overeenkomstig de in lid 2 van dat artikel bedoelde verantwoordingsplicht moet kunnen aantonen dat hij ze naleeft.

25      In het bijzonder moeten persoonsgegevens volgens artikel 5, lid 1, onder b), van deze verordening, waarin het beginsel van doelbinding is vastgelegd, ten eerste voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld, en mogen zij ten tweede vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.

26      Uit de formulering van deze bepaling blijkt dus dat zij twee vereisten bevat, één met betrekking tot de doeleinden van de aanvankelijke verzameling van persoonsgegevens en één met betrekking tot de verdere verwerking van die gegevens.

27      Wat ten eerste het vereiste betreft dat de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld, volgt uit de rechtspraak van het Hof dat dit vereiste om te beginnen impliceert dat de doeleinden van de verwerking uiterlijk bij het verzamelen van de persoonsgegevens vaststaan, vervolgens dat de doeleinden van de verwerking duidelijk zijn geformuleerd en ten slotte dat de doeleinden van die verwerking met name waarborgen dat deze gegevens rechtmatig worden verwerkt in de zin van artikel 6, lid 1, van verordening 2016/679 [zie in die zin arrest van 24 februari 2022, Valsts ieņēmumu dienests (Verwerking van persoonsgegevens voor fiscale doeleinden), C‑175/20, EU:C:2022:124, punten 64‑66].

28      In casu blijkt uit de bewoordingen van de eerste vraag en uit de motivering van de verwijzingsbeslissing dat de in het hoofdgeding aan de orde zijnde persoonsgegevens zijn verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, waarbij de verwijzende rechter voorts preciseert dat Digi deze gegevens overeenkomstig artikel 6, lid 1, onder b), van verordening 2016/679 heeft verzameld om abonnementsovereenkomsten af te sluiten en uit te voeren.

29      Wat ten tweede het vereiste betreft dat persoonsgegevens niet verder mogen worden verwerkt op een wijze die onverenigbaar is met die doeleinden, moet ten eerste worden opgemerkt dat er sprake is van een „verdere verwerking” wanneer de verwerkingsverantwoordelijke in een nieuw opgezette databank persoonsgegevens vastlegt en opslaat die in een andere databank waren opgeslagen.

30      Het begrip „verwerking” wordt in artikel 4, punt 2, van verordening 2016/679 immers ruim gedefinieerd als een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals onder andere het verzamelen, vastleggen en opslaan van deze gegevens.

31      Bovendien vormt, overeenkomstig de in de omgangstaal gebruikelijke betekenis van de term „verder”, elke verwerking van persoonsgegevens die volgt op de aanvankelijke verwerking – het aanvankelijk verzamelen van die gegevens – een „verdere” verwerking van die gegevens, ongeacht het doel van die verdere verwerking.

32      Ten tweede moet worden opgemerkt dat artikel 5, lid 1, onder b), van verordening 2016/679 niet vermeldt aan welke voorwaarden een verdere verwerking van persoonsgegevens moet voldoen om verenigbaar te zijn met het doel van de oorspronkelijke gegevensverzameling.

33      Wat dat betreft biedt in de tweede plaats de context van deze bepaling evenwel een nuttige verduidelijking.

34      Uit artikel 5, lid 1, onder b), artikel 6, lid 1, onder a), en artikel 6, lid 4, van verordening 2016/679, in hun onderlinge samenhang gelezen, blijkt namelijk dat de vraag of de verdere verwerking van persoonsgegevens verenigbaar is met de doeleinden waarvoor deze gegevens aanvankelijk zijn verzameld, alleen aan de orde is wanneer de doeleinden van die verdere verwerking niet dezelfde zijn als die van de aanvankelijke verzameling.

35      Voorts moet volgens artikel 6, lid 4, van verordening 2016/679, gelezen in samenhang met overweging 50 – wanneer de verwerking voor een ander doel dan dat waarvoor de gegevens zijn verzameld, niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling – om te bepalen of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, onder meer rekening worden gehouden met, ten eerste, ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking; ten tweede, het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft; ten derde, de aard van de persoonsgegevens; ten vierde, de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en ten vijfde en tot slot, het bestaan van passende waarborgen, zowel bij de aanvankelijke verwerking als bij de beoogde verdere verwerking.

36      Zoals de advocaat-generaal in de punten 28, 59 en 60 van zijn conclusie in essentie heeft opgemerkt, geven deze criteria blijk van de noodzaak van een concreet, logisch en voldoende nauw verband tussen het doel van de aanvankelijke verzameling van persoonsgegevens en de verdere verwerking van die gegevens, en maken zij het mogelijk na te gaan of deze verdere verwerking niet afwijkt van de legitieme verwachtingen van de abonnees wat het verdere gebruik van hun gegevens betreft.

37      Deze criteria maken het overigens in de derde plaats mogelijk om, zoals de advocaat-generaal in punt 27 van zijn conclusie in wezen heeft benadrukt, het opnieuw gebruiken van eerder verzamelde persoonsgegevens te regelen door te zorgen voor een evenwicht tussen de behoefte aan voorspelbaarheid en rechtszekerheid met betrekking tot de doeleinden van de verwerking van eerder verzamelde persoonsgegevens enerzijds, en een zekere mate van flexibiliteit voor de verwerkingsverantwoordelijke bij het beheer van die gegevens anderzijds, en dragen aldus bij tot de verwezenlijking van het in overweging 10 van verordening 2016/679 gehuldigde doel om natuurlijke personen een consistent en hoog beschermingsniveau te bieden.

38      Gelet op de in punt 35 van het onderhavige arrest genoemde criteria en rekening houdend met alle omstandigheden van dit geval, staat het dus aan de nationale rechter om zowel de doelstellingen van het aanvankelijke verzamelen van de persoonsgegevens als die van de verdere verwerking van die gegevens te bepalen en, indien de doeleinden van die verdere verwerking verschillen van de doeleinden van die verzameling, na te gaan of de verdere verwerking van die gegevens verenigbaar is met de doeleinden van die aanvankelijke verzameling.

39      Het staat het Hof evenwel vrij om in zijn uitspraak op een verzoek om een prejudiciële beslissing preciseringen te geven teneinde de nationale rechterlijke instantie te leiden bij het bepalen van die doelstellingen (zie in die zin arrest van 7 april 2022, Fuhrmann-2, C‑249/21, EU:C:2022:269, punt 32).

40      Ten eerste blijkt in casu uit de verwijzingsbeslissing dat Digi, in haar hoedanigheid van verwerkingsverantwoordelijke, de persoonsgegevens van haar particuliere klanten aanvankelijk heeft verzameld om abonnementsovereenkomsten af te sluiten en uit te voeren, zoals in punt 13 van het onderhavige arrest in herinnering is gebracht.

41      Ten tweede zijn partijen in het hoofdgeding het er niet over eens met welk specifiek doel Digi de betrokken persoonsgegevens in de testdatabank heeft vastgelegd en bewaard. Terwijl Digi aanvoert dat het opzetten van de testdatabank specifiek tot doel had de toegang tot de gegevens van de abonnees te waarborgen totdat de fouten waren hersteld, en dus dat dit doeleinde identiek is aan de doeleinden die met de aanvankelijke verzameling van die gegevens werden nagestreefd, betoogt de Autoriteit dat het specifieke doel van de verdere verwerking verschilde van die doeleinden, aangezien dit zou hebben bestaan in het uitvoeren van tests en het herstellen van fouten.

42      In zoverre zij eraan herinnerd dat uit de in punt 19 van dit arrest aangehaalde rechtspraak blijkt dat in het kader van de procedure van artikel 267 VWEU, die op een duidelijke afbakening van de taken van de nationale rechterlijke instanties en van het Hof berust, de nationale rechter bij uitsluiting bevoegd is om het nationale recht uit te leggen en toe te passen, terwijl het Hof uitsluitend bevoegd is om zich over de uitlegging of de rechtsgeldigheid van een rechtsvoorschrift van de Unie uit te spreken op basis van de door de nationale rechterlijke instantie omschreven feiten.

43      Uit de verwijzingsbeslissing blijkt dat Digi de testdatabank heeft opgezet om tests te kunnen uitvoeren en fouten te kunnen herstellen, zodat het aan de verwijzende rechter staat om in het licht van die doeleinden te beoordelen of de verdere verwerking verenigbaar is met de doeleinden van de aanvankelijke verzameling, namelijk het afsluiten en uitvoeren van abonnementsovereenkomsten.

44      Wat ten derde deze beoordeling betreft, moet worden opgemerkt dat het uitvoeren van tests en het herstellen van fouten in het abonneebestand concreet verband houden met de uitvoering van abonnementsovereenkomsten van particuliere klanten, aangezien dergelijke fouten negatieve gevolgen kunnen hebben ten aanzien van de contractueel overeengekomen dienst waarvoor de gegevens aanvankelijk zijn verzameld. Zoals de advocaat-generaal in punt 60 van zijn conclusie heeft opgemerkt, wijkt een dergelijke verwerking immers niet af van de legitieme verwachtingen van deze klanten wat het latere gebruik van hun persoonsgegevens betreft. Uit de verwijzingsbeslissing blijkt overigens niet dat deze gegevens of een deel daarvan gevoelig zouden zijn geweest of dat de aan de orde zijnde verdere verwerking ervan als zodanig schadelijke gevolgen voor de abonnees zou hebben gehad of niet gepaard ging met passende waarborgen. Het is hoe dan ook aan de verwijzende rechter om dit na te gaan.

45      Gelet op een en ander moet op de eerste vraag worden geantwoord dat artikel 5, lid 1, onder b), van verordening 2016/679 aldus moet worden uitgelegd dat het in die bepaling bedoelde beginsel van doelbinding zich er niet tegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens vastlegt en opslaat die eerder in een andere databank zijn verzameld en bewaard, wanneer die verdere verwerking verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld, hetgeen moet worden bepaald aan de hand van de in artikel 6, lid 4, van die verordening genoemde criteria.

 Tweede vraag

46      Om te beginnen moet worden opgemerkt dat de tweede vraag van de verwijzende rechter, waarin het erom gaat of de opslag door Digi van persoonsgegevens van haar klanten in een testdatabank te verenigen valt met het in artikel 5, lid 1, onder e), van verordening 2016/679 bedoelde beginsel van opslagbeperking, slechts door deze rechter is gesteld voor het geval dat de eerste vraag, zoals geherformuleerd, bevestigend wordt beantwoord, dat wil zeggen in het geval dat die opslag niet verenigbaar is met het beginsel van doelbinding zoals vastgelegd in artikel 5, lid 1, onder b), van deze verordening.

47      Zoals de advocaat-generaal in punt 24 van zijn conclusie heeft opgemerkt, zijn de in artikel 5 van verordening nr. 2016/679 verankerde beginselen inzake de verwerking van persoonsgegevens cumulatief van toepassing. Bijgevolg moet de bewaring van persoonsgegevens niet alleen voldoen aan het beginsel van doelbinding, maar ook aan dat van opslagbeperking.

48      Verder zij eraan herinnerd dat verordening 2016/679, zoals blijkt uit overweging 10 ervan, met name een hoog niveau van bescherming van natuurlijke personen binnen de Unie beoogt te waarborgen en daartoe een coherente en homogene toepassing van de regels inzake bescherming van de grondrechten van deze personen in verband met de verwerking van persoonsgegevens binnen de gehele Unie wil verzekeren.

49      Daartoe vermelden de hoofdstukken II en III van deze verordening respectievelijk de beginselen die van toepassing zijn op de verwerking van persoonsgegevens en de rechten van de betrokkene die bij elke verwerking van persoonsgegevens moeten worden geëerbiedigd. In het bijzonder moet elke verwerking van persoonsgegevens in overeenstemming zijn met de in artikel 5 van die verordening verankerde beginselen inzake gegevensverwerking en, in het bijzonder gelet op het in lid 1, onder a), van dat artikel neergelegde beginsel dat de verwerking rechtmatig is, beantwoorden aan een van de in artikel 6 van die verordening genoemde voorwaarden inzake de rechtmatigheid van de verwerking [zie in die zin arresten van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 96, en 24 februari 2022, Valsts ieņēmumu dienests (Verwerking van persoonsgegevens voor fiscale doeleinden), C‑175/20, EU:C:2022:124, punt 50].

50      In het licht van deze overwegingen belet de omstandigheid dat de verwijzende rechter zijn tweede vraag formeel slechts heeft gesteld voor het geval dat de eerste vraag, zoals geherformuleerd, bevestigend wordt beantwoord, het Hof niet om hem alle uitleggingsgegevens met betrekking tot het Unierecht te verschaffen die van nut kunnen zijn voor de beoordeling van de bij hem aanhangige zaak (zie in die zin arrest van 17 maart 2022, Daimler, C‑232/20, EU:C:2022:196, punt 49), en dus deze tweede vraag te beantwoorden.

51      Derhalve moet worden geoordeeld dat de verwijzende rechter in essentie wenst te vernemen of artikel 5, lid 1, onder e), van verordening 2016/679 aldus moet worden uitgelegd dat het in die bepaling bedoelde beginsel van opslagbeperking zich ertegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens die eerder in een andere databank zijn verzameld, langer bewaart dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen.

52      In de eerste plaats moet worden opgemerkt dat volgens artikel 5, lid 1, onder e), van verordening 2016/679 persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.

53      Uit de bewoordingen van dit artikel volgt dus ondubbelzinnig dat het beginsel van opslagbeperking vereist dat de verwerkingsverantwoordelijke in staat is om overeenkomstig de in punt 24 van het onderhavige arrest in herinnering gebrachte verantwoordingsplicht aan te tonen dat de persoonsgegevens niet langer worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij zijn verzameld of nadien zijn verwerkt, noodzakelijk is.

54      Hieruit volgt dat zelfs een oorspronkelijk rechtmatige verwerking van gegevens na verloop van tijd onverenigbaar met verordening 2016/679 kan worden wanneer deze gegevens niet langer noodzakelijk zijn in het licht van dergelijke doeleinden [zie in die zin arrest van 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens), C‑136/17, EU:C:2019:773, punt 74] en dat de gegevens moeten worden uitgewist wanneer deze doeleinden zijn bereikt (zie in die zin arrest van 7 mei 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punt 33).

55      Deze uitlegging is in de tweede plaats in overeenstemming met de context van artikel 5, lid 1, onder e), van verordening 2016/679.

56      In dit verband is in punt 49 van het onderhavige arrest in herinnering gebracht dat elke verwerking van persoonsgegevens in overeenstemming moet zijn met de in artikel 5 van deze verordening vermelde beginselen inzake gegevensverwerking en moet beantwoorden aan een van de in artikel 6 van die verordening genoemde voorwaarden inzake de rechtmatigheid van de verwerking.

57      Zoals naar voren komt uit dat artikel 6, moet, wanneer de betrokkene niet overeenkomstig artikel 6, lid 1, onder a), van verordening 2016/679 toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden, de verwerking voldoen aan een noodzakelijkheidsvereiste, zoals blijkt uit de punten b) tot en met f) van dit lid.

58      Verder vloeit een dergelijk noodzakelijkheidsvereiste ook voort uit het in artikel 5, lid 1, onder c), van die verordening vastgelegde beginsel van „minimale gegevensverwerking”, volgens hetwelk de persoonsgegevens toereikend, ter zake dienend moeten zijn en beperkt moeten blijven tot hetgeen noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

59      In de derde plaats is een dergelijke uitlegging in overeenstemming met het doel van artikel 5, lid 1, onder e), van verordening 2016/679, dat, zoals in punt 48 van dit arrest in herinnering is gebracht, met name erin bestaat een hoog niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te verzekeren.

60      In casu heeft Digi aangevoerd dat de in de testdatabank opgeslagen persoonsgegevens van sommige van haar particuliere klanten na de uitvoering van de tests en het herstellen van de fouten niet zijn uitgewist als gevolg van onoplettendheid.

61      In dit verband volstaat het op te merken dat dit argument irrelevant is voor de beoordeling of gegevens langer zijn bewaard dan nodig is voor de verwezenlijking van de doeleinden waarvoor zij vervolgens zijn verwerkt, hetgeen in strijd is met het in artikel 5, lid 1, onder e), van verordening 2016/679 neergelegde beginsel van opslagbeperking.

62      Gelet op een en ander moet op de tweede vraag worden geantwoord dat artikel 5, lid 1, onder e), van verordening 2016/679 aldus moet worden uitgelegd dat het in die bepaling bedoelde beginsel van opslagbeperking zich ertegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens die eerder in een andere databank zijn verzameld, langer bewaart dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen.

 Kosten

63      Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Eerste kamer) verklaart voor recht:

1)      Artikel 5, lid 1, onder b), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moet aldus worden uitgelegd dat:

het in die bepaling bedoelde beginsel van doelbinding zich er niet tegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens vastlegt en opslaat die eerder in een andere databank zijn verzameld en bewaard, wanneer die verdere verwerking verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld, hetgeen moet worden bepaald aan de hand van de in artikel 6, lid 4, van die verordening genoemde criteria en van alle omstandigheden van het geval.

2)      Artikel 5, lid 1, onder e), van verordening 2016/679

moet aldus worden uitgelegd dat:

het in die bepaling bedoelde beginsel van opslagbeperking zich ertegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens die eerder in een andere databank zijn verzameld, langer bewaart dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen.

ondertekeningen


*      Procestaal: Hongaars.

Top