WYROK TRYBUNAŁU (pierwsza izba)

z dnia 20 października 2022 r. ( *1 )

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 5 ust. 1 lit. b) i e) – Zasada „ograniczenia celu” – Zasada „ograniczenia przechowywania” – Utworzenie bazy danych w oparciu o istniejącą bazę danych w celu przeprowadzenia testów i poprawienia błędów – Dalsze przetwarzanie danych – Zgodność dalszego przetwarzania tych danych z celami pierwotnego zbierania – Okres przechowywania w świetle owych celów

W sprawie C‑77/21

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Fővárosi Törvényszék (sąd dla miasta stołecznego Budapeszt, Węgry) postanowieniem z dnia 21 stycznia 2021 r., które wpłynęło do Trybunału w dniu 8 lutego 2021 r., w postępowaniu:

Digi Távközlési és Szolgáltató Kft.

przeciwko

Nemzeti Adatvédelmi és Információszabadság Hatóság,

TRYBUNAŁ (pierwsza izba),

w składzie: A. Arabadjiev, prezes izby, L. Bay Larsen, wiceprezes Trybunału, pełniący obowiązki sędziego pierwszej izby, P.G. Xuereb, A. Kumin oraz I. Ziemele (sprawozdawczyni), sędziowie,

rzecznik generalny: P. Pikamäe,

sekretarz: I. Illéssy, administrator,

uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 17 stycznia 2022 r.,

rozważywszy uwagi, które przedstawili:

w imieniu Digi Távközlési és Szolgáltató Kft. – R. Hatala i A.D. László, ügyvédek,

w imieniu Nemzeti Adatvédelmi és Információszabadság Hatóság – G. Barabás, radca prawny, wspierany przez G.J. Dudása i Á. Hargitę, ügyvédek,

w imieniu rządu węgierskiego – Zs. Biró-Tóth i M.Z. Fehér, w charakterze pełnomocników,

w imieniu rządu czeskiego – T. Machovičová, M. Smolek i J. Vláčil, w charakterze pełnomocników,

w imieniu rządu portugalskiego – P. Barros da Costa, L. Inez Fernandes, I. Oliveira, J. Ramos i C. Vieira Guerra, w charakterze pełnomocników,

w imieniu Komisji Europejskiej – V. Bottka i H. Kranenborg, w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 31 marca 2022 r.,

wydaje następujący

Wyrok

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 5 ust. 1 lit. b) i e) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2).

2

Wniosek ten został złożony w ramach sporu pomiędzy spółką Digi Távközlési és Szolgáltató Kft. (zwaną dalej „spółką Digi”), jednym z głównych dostawców usług internetowych i telewizji na Węgrzech, a Nemzeti Adatvédelmi és Információszabadság Hatóság (krajowym organem ochrony danych i wolności informacji, Węgry) (zwanym dalej „organem krajowym”) w przedmiocie naruszenia ochrony danych osobowych zawartych w bazie danych spółki Digi.

Ramy prawne

3

Motywy 10 i 50 rozporządzenia 2016/679 przewidują:

„(10)

Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych […].

[…]

(50)

Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. W takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych […]. Aby ustalić, czy cel dalszego przetwarzania danych osobowych jest zgodny z celem, w którym dane te zostały pierwotnie zebrane, administrator – po spełnieniu wszystkich wymogów warunkujących zgodność pierwotnego przetwarzania z prawem – powinien uwzględnić między innymi: wszelkie powiązania pomiędzy tymi celami a celami zamierzonego dalszego przetwarzania; kontekst, w którym dane osobowe zostały zebrane, w szczególności rozsądne przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania danych, oparte na rodzaju ich powiązania z administratorem; charakter danych osobowych; konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; oraz istnienie odpowiednich zabezpieczeń zarówno podczas pierwotnej [operacji przetwarzania], jak i zamierzonej operacji dalszego przetwarzania.

[…]”.

4

Artykuł 4 rozporządzenia 2016/679, zatytułowany „Definicje”, stanowi:

„Na użytek niniejszego rozporządzenia:

[…]

2)

»przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, tak[ie] jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]”.

5

Zgodnie z art. 5 tego rozporządzenia, zatytułowanym „Zasady dotyczące przetwarzania danych osobowych”:

„1.   Dane osobowe muszą być:

a)

przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);

b)

zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (»ograniczenie celu«);

c)

adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);

d)

prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (»prawidłowość«);

e)

przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (»ograniczenie przechowywania«);

f)

przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«).

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

6

Artykuł 6 rzeczonego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, stanowi:

„1.   Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)

osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)

przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c)

przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d)

przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e)

przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f)

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

[…]

4.   Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego, stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

a)

wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

b)

kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

c)

charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;

d)

ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

e)

istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji”.

Postępowanie główne i pytania prejudycjalne

7

Spółka Digi jest jednym z głównych dostawców usług internetowych i telewizji na Węgrzech.

8

W kwietniu 2018 r., w następstwie usterki technicznej, która miała wpływ na funkcjonowanie serwera, spółka Digi stworzyła bazę danych o nazwie „test” (zwaną dalej „testową bazą danych”), do której skopiowała dane osobowe około jednej trzeciej swoich klientów indywidualnych, które były przechowywane w innej bazie danych, o nazwie „digihu”, którą można było połączyć ze stroną internetową www.digi.hu i która zawierała uaktualniane dane subskrybentów biuletynu informacyjnego rozsyłanego, do celów marketingu bezpośredniego, przez spółkę Digi oraz dane administratorów systemu umożliwiające dostęp do interfejsu strony internetowej.

9

W dniu 23 września 2019 r. spółka Digi powzięła wiadomość o tym, że „uczciwy haker” uzyskał dostęp do przechowywanych przez nią danych osobowych dotyczących około 322000 osób. O uzyskaniu tego dostępu zawiadomił spółkę Digi sam „uczciwy haker”, który jako dowód przekazał jej jeden z rekordów testowej bazy danych. Spółka Digi poprawiła błąd, który umożliwił uzyskanie owego dostępu, oraz zawarła z tą osobą umowę o zachowaniu poufności i zaproponowała jej nagrodę.

10

Po usunięciu testowej bazy danych spółka Digi, w dniu 25 września 2019 r., powiadomiła organ krajowy o naruszeniu ochrony danych osobowych, w następstwie czego organ ten wszczął postępowanie kontrolne.

11

Decyzją z dnia 18 maja 2020 r. organ krajowy stwierdził między innymi, że spółka Digi naruszyła art. 5 ust. 1 lit. b) i e) rozporządzenia 2016/679, ponieważ po przeprowadzeniu niezbędnych testów i poprawieniu błędu nie usunęła ona niezwłocznie testowej bazy danych, w związku z czym duża liczba danych osobowych była przechowywana w tej bazie danych bez żadnego celu przez prawie 18 miesięcy, w zbiorze danych pozwalającym na identyfikację osób, których dane dotyczyły. W konsekwencji organ krajowy nałożył na spółkę Digi obowiązek zweryfikowania wszystkich jej baz danych i wymierzył jej grzywnę w wysokości 100000000 forintów węgierskich (HUF) (około 248000 EUR).

12

Spółka Digi zakwestionowała zgodność z prawem tej decyzji przed sądem odsyłającym.

13

Ów sąd wskazuje, że dane osobowe skopiowane przez spółkę Digi do testowej bazy danych zostały zebrane w celu zawarcia i wykonania umów abonenckich oraz że organ krajowy nie zakwestionował zgodności z prawem pierwotnego zbierania danych osobowych. Sąd ten zastanawia się jednak, czy skopiowanie pierwotnie zebranych danych do innej bazy danych skutkowało zmianą celu pierwotnego zbierania i przetwarzania danych. Dodaje on, że należy również ustalić, czy utworzenie testowej bazy danych i dalsze przetwarzanie danych klientów w tej innej bazie jest zgodne z celami pierwotnego zbierania danych. Uważa on, że przewidziana w art. 5 ust. 1 lit. b) rozporządzenia 2016/679 zasada „ograniczenia celu” nie pozwala mu na określenie, w jakich systemach wewnętrznych administrator danych może przetwarzać dane zebrane zgodnie z prawem, ani na ustalenie, czy ów administrator może skopiować takie dane do testowej bazy danych bez zmiany celu pierwotnego zbierania danych.

14

Na wypadek gdyby utworzenie testowej bazy danych było niezgodne z celem pierwotnego zbierania, sąd odsyłający zastanawia się też, czy jeżeli celem przetwarzania danych abonentów w innej bazie danych nie jest poprawienie błędów, lecz zawarcie umów, okres niezbędnego przechowywania powinien – zgodnie z zasadą „ograniczenia przechowywania” przewidzianą w art. 5 ust. 1 lit. e) rozporządzenia 2016/679 – odpowiadać okresowi niezbędnemu do poprawienia błędów, czy raczej okresowi niezbędnemu do wypełnienia zobowiązań umownych.

15

W tych okolicznościach Fővárosi Törvényszék (sąd dla miasta stołecznego Budapeszt, Węgry) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)

Czy pojęcie »ograniczenia celu« określone w art. 5 ust. 1 lit. b) [rozporządzenia 2016/679] należy interpretować w ten sposób, że jest zgodne z tym pojęciem postępowanie polegające na tym, iż administrator przechowuje równolegle w innej bazie danych dane osobowe, które były zebrane i przechowywane w prawnie uzasadnionym ograniczonym celu, czy też przeciwnie, w przypadku równoległej bazy danych prawnie uzasadniony ograniczony cel zbierania danych już nie występuje?

2)

W przypadku udzielenia na pierwsze pytanie prejudycjalne odpowiedzi, że równoległe przechowywanie danych samo w sobie jest niezgodne z zasadą »ograniczenia celu«: Czy z zasadą »ograniczenia przechowywania« określoną w art. 5 ust. 1 lit. e) [rozporządzenia 2016/679] jest zgodne postępowanie polegające na tym, że administrator przechowuje równolegle w innej bazie danych dane osobowe, które były zebrane i przechowywane w prawnie uzasadnionym ograniczonym celu?”.

W przedmiocie pytań prejudycjalnych

W przedmiocie dopuszczalności

16

Organ krajowy oraz rząd węgierski wyraziły wątpliwości co do dopuszczalności pytań prejudycjalnych z tego względu, że owe pytania nie odpowiadają okolicznościom faktycznym sporu w postępowaniu głównym i nie mają bezpośredniego znaczenia dla rozstrzygnięcia tego sporu.

17

W tym względzie w pierwszej kolejności należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału wyłącznie do sądu krajowego, przed którym zawisł spór i na którym spoczywa odpowiedzialność za mające zapaść rozstrzygnięcie, należy ocena, w świetle szczególnych okoliczności sprawy, czy do wydania wyroku jest mu niezbędne uzyskanie orzeczenia prejudycjalnego oraz czy pytania, które zadaje Trybunałowi, mają znaczenie dla sprawy. W konsekwencji jeśli zadane pytania dotyczą wykładni lub ważności przepisu prawa Unii, Trybunał jest co do zasady zobowiązany do wydania orzeczenia. Wynika stąd, że pytania zadane przez sądy krajowe korzystają z domniemania posiadania znaczenia dla sprawy. Odmowa wydania przez Trybunał orzeczenia w przedmiocie zadanego przez sąd krajowy pytania prejudycjalnego jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia, o którą się zwrócono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego i prawnego niezbędnymi do udzielenia użytecznej odpowiedzi na zadane mu pytania (wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 73 i przytoczone tam orzecznictwo).

18

W niniejszym przypadku sąd odsyłający rozpatruje skargę o stwierdzenie nieważności decyzji nakładającej karę na spółkę Digi, jako administratora danych, za naruszenie zasady „ograniczenia celu” i zasady „ograniczenia przechowywania”, przewidzianych, odpowiednio, w art. 5 ust. 1 lit. b) i w art. 5 ust. 1 lit. e) rozporządzenia 2016/679, w związku z tym że spółka ta nie usunęła bazy danych zawierającej dane osobowe pozwalające na identyfikację osób, których dane dotyczą. Tymczasem pytania prejudycjalne dotyczą właśnie wykładni tych przepisów, wobec czego nie można uznać, że wykładnia prawa Unii, o którą się zwrócono, nie ma związku ze stanem faktycznym lub przedmiotem sporu w postępowaniu głównym lub ma charakter hipotetyczny. Ponadto postanowienie odsyłające zawiera informacje w zakresie stanu faktycznego i prawnego wystarczające do udzielenia użytecznej odpowiedzi na pytania zadane przez sąd odsyłający.

19

W drugiej kolejności należy przypomnieć, że w ramach postępowania, o którym mowa w art. 267 TFUE, opartego na wyraźnym rozdziale zadań sądów krajowych i Trybunału, do wykładni i stosowania przepisów prawa krajowego jest wyłącznie właściwy sąd krajowy, podczas gdy Trybunał jest jedynie uprawniony do orzekania w przedmiocie wykładni lub ważności aktów prawa Unii na podstawie stanu faktycznego przedstawionego mu przez sąd krajowy (wyrok z dnia 5 maja 2022 r., Zagrebačka banka, C‑567/20, EU:C:2022:352, pkt 45 i przytoczone tam orzecznictwo).

20

W związku z tym należy odrzucić argumentację dotyczącą niedopuszczalności pytań prejudycjalnych, którą organ krajowy i rząd węgierski opierają w istocie na twierdzeniu, że ich zdaniem pytania prejudycjalne nie odpowiadają okolicznościom faktycznym sporu w postępowaniu głównym.

21

Wynika stąd, że pytania prejudycjalne są dopuszczalne.

Co do istoty

W przedmiocie pytania pierwszego

22

Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 5 ust. 1 lit. b) rozporządzenia 2016/679 należy interpretować w ten sposób, że przewidziana w tym przepisie zasada „ograniczenia celu” stoi na przeszkodzie utrwalaniu i przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych.

23

Zgodnie z utrwalonym orzecznictwem wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, ale także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią (wyrok z dnia 1 sierpnia 2022 r., HOLD Alapkezelő, C‑352/20, EU:C:2022:606, pkt 42 i przytoczone tam orzecznictwo).

24

W tym względzie w pierwszej kolejności należy zauważyć, że art. 5 ust. 1 rozporządzenia 2016/679 określa zasady dotyczące przetwarzania danych osobowych, które obowiązują administratora danych, zaś ten musi być w stanie wykazać ich przestrzeganie, zgodnie z zasadą rozliczalności przewidzianą w ust. 2 tego artykułu.

25

W szczególności zgodnie z art. 5 ust. 1 lit. b) tego rozporządzenia, który ustanawia zasadę „ograniczenia celu”, dane osobowe, po pierwsze, muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, a po drugie, nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami.

26

Z brzmienia tego przepisu wynika zatem, że zawiera on dwa wymogi, z których pierwszy dotyczy celów pierwotnego zbierania danych osobowych, a drugi – dalszego przetwarzania tych danych.

27

Co się tyczy, po pierwsze, wymogu, zgodnie z którym dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, z orzecznictwa Trybunału wynika, iż ów wymóg oznacza przede wszystkim, że cele przetwarzania należy określić najpóźniej w momencie zbierania danych osobowych, następnie – że cele tego przetwarzania muszą zostać jasno określone i wreszcie – że cele owego przetwarzania powinny gwarantować między innymi zgodność przetwarzania tych danych z prawem w rozumieniu art. 6 ust. 1 rozporządzenia 2016/679 [zob. podobnie wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych uzyskanych do celów podatkowych), C‑175/20, EU:C:2022:124, pkt 6466].

28

W niniejszej sprawie z brzmienia pytania pierwszego i z uzasadnienia postanowienia odsyłającego wynika, że dane osobowe rozpatrywane w postępowaniu głównym zebrano w konkretnych, wyraźnych i prawnie uzasadnionych celach, a sąd odsyłający uściślił ponadto, iż owe dane zebrano w celu zawarcia i wykonania przez spółkę Digi umów abonenckich z klientami, zgodnie z art. 6 ust. 1 lit. b) rozporządzenia 2016/679.

29

Co się tyczy, po drugie, wymogu, zgodnie z którym dane osobowe nie mogą być przedmiotem dalszego przetwarzania, które byłoby niezgodne z tymi celami, należy zauważyć z jednej strony, że utrwalanie i przechowywanie przez administratora danych, w nowo utworzonej bazie danych, danych osobowych przechowywanych w innej bazie danych stanowi „dalsze przetwarzanie” tych danych.

30

Pojęcie „przetwarzania” jest bowiem zdefiniowane w szeroki sposób w art. 4 pkt 2 rozporządzenia 2016/679 jako oznaczające operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak między innymi zbieranie, utrwalanie i przechowywanie tych danych.

31

Ponadto zgodnie ze zwykłym znaczeniem słowa „dalsze” w języku potocznym każde przetwarzanie danych osobowych, które następuje po pierwotnym przetwarzaniu, jakim jest pierwotne zbieranie tych danych, stanowi „dalsze” przetwarzanie owych danych, niezależnie od celu tego dalszego przetwarzania.

32

Z drugiej strony należy zauważyć, że art. 5 ust. 1 lit. b) rozporządzenia 2016/679 nie zawiera wskazówek co do tego, na jakich warunkach dalsze przetwarzanie danych osobowych można uznać za zgodne z celami pierwotnego zbierania tych danych.

33

W drugiej kolejności należy podkreślić, że kontekst, w jaki wpisuje się ten przepis, dostarcza jednak użytecznych wyjaśnień w tym względzie.

34

Z łącznej lektury art. 5 ust. 1 lit. b), art. 6 ust. 1 lit. a) i art. 6 ust. 4 rozporządzenia 2016/679 wynika bowiem, że kwestia zgodności dalszego przetwarzania danych osobowych z celami, w jakich dane te pierwotnie zebrano, pojawia się jedynie w przypadku, gdy cele tego dalszego przetwarzania nie są identyczne z celami pierwotnego zbierania.

35

Ponadto ze wspomnianego art. 6 ust. 4 w związku z motywem 50 rzeczonego rozporządzenia wynika, że jeżeli przetwarzanie w celu innym niż cel, w którym dane zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego, wówczas aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane, należy uwzględnić między innymi, po pierwsze, wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; po drugie, kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; po trzecie, charakter danych osobowych; po czwarte, ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; i wreszcie po piąte, istnienie odpowiednich zabezpieczeń zarówno w ramach pierwotnego przetwarzania, jak i zamierzonego dalszego przetwarzania.

36

Jak wskazał w istocie rzecznik generalny w pkt 28, 59 i 60 opinii, kryteria te wskazują na konieczność konkretnego, logicznego i dostatecznie ścisłego związku pomiędzy celami pierwotnego zbierania danych osobowych a dalszym przetwarzaniem tych danych i pozwalają upewnić się, czy to dalsze przetwarzanie nie odbiega od uzasadnionych oczekiwań abonentów co do dalszego wykorzystania ich danych.

37

W trzeciej kolejności – owe kryteria pozwalają poza tym, jak podkreślił w istocie rzecznik generalny w pkt 27 opinii, na określenie ram ponownego wykorzystania zebranych wcześniej danych osobowych poprzez zapewnienie równowagi między potrzebą przewidywalności i pewności prawa w odniesieniu do celów przetwarzania zebranych wcześniej danych osobowych z jednej strony a uznaniem pewnej elastyczności na korzyść administratora w zarządzaniu tymi danymi z drugiej strony i przyczyniają się w ten sposób do osiągnięcia przewidzianego w motywie 10 rozporządzenia 2016/679 celu polegającego na zapewnieniu spójnego i wysokiego stopnia ochrony osób fizycznych.

38

W konsekwencji sąd krajowy powinien, biorąc pod uwagę kryteria wymienione w pkt 35 niniejszego wyroku i mając na względzie wszystkie okoliczności charakteryzujące rozpatrywany tu przypadek, ustalić zarówno cele pierwotnego zbierania danych osobowych, jak i cele dalszego przetwarzania tych danych, a także – w przypadku gdyby cele tego dalszego przetwarzania różniły się od celów wspomnianego zbierania – sprawdzić, czy dalsze przetwarzanie wspomnianych danych jest zgodne z celami rzeczonego pierwotnego zbierania.

39

Trybunał może natomiast, orzekając w przedmiocie wniosku o wydanie orzeczenia w trybie prejudycjalnym, udzielić sądowi krajowemu wskazówek stanowiących dla niego pomoc przy dokonaniu tego ustalenia (zob. podobnie wyrok z dnia 7 kwietnia 2022 r., Fuhrmann‑2, C‑249/21, EU:C:2022:269, pkt 32).

40

W niniejszym przypadku, po pierwsze, jak przypomniano w pkt 13 niniejszego wyroku, z postanowienia odsyłającego wynika, że spółka Digi, będąca administratorem danych, zebrała pierwotnie dane osobowe w celu zawarcia i wykonania umów abonenckich ze swymi klientami indywidualnymi.

41

Po drugie, strony postępowania głównego nie zgadzają się co do konkretnego celu utrwalania i przechowywania przez spółkę Digi w testowej bazie danych odnośnych danych osobowych. Otóż spółka Digi podnosi, że konkretnym celem utworzenia testowej bazy danych było zapewnienie dostępu do danych abonentów do czasu poprawienia błędów, wobec czego ów cel był identyczny z celami pierwotnego zbierania tych danych, podczas gdy organ krajowy twierdzi, że konkretny cel dalszego przetwarzania różnił się od tych celów, ponieważ chodziło o przeprowadzenie testów i poprawienie błędów.

42

W tym względzie należy przypomnieć, że z orzecznictwa przytoczonego w pkt 19 niniejszego wyroku wynika, iż w ramach postępowania, o którym mowa w art. 267 TFUE, opartego na wyraźnym rozdziale zadań sądów krajowych i Trybunału, do wykładni i stosowania przepisów prawa krajowego jest wyłącznie właściwy sąd krajowy, podczas gdy Trybunał jest jedynie uprawniony do orzekania w przedmiocie wykładni lub ważności aktów prawa Unii na podstawie stanu faktycznego przedstawionego mu przez sąd krajowy.

43

Z postanowienia odsyłającego wynika, że spółka Digi utworzyła testową bazę danych, aby móc przeprowadzić testy i poprawić błędy, w związku z czym to właśnie w świetle tych celów sąd odsyłający powinien ocenić zgodność dalszego przetwarzania z celami pierwotnego zbierania, którymi było zawieranie i wykonywanie umów abonenckich.

44

Po trzecie, co się tyczy tej oceny, należy zaznaczyć, że przeprowadzenie testów i poprawienie błędów mających wpływ na bazę danych abonentów wykazują konkretny związek z wykonaniem umów abonenckich zawartych z klientami indywidualnymi, na potrzeby czego dane pierwotnie zebrano, ponieważ takie błędy mogą mieć szkodliwy wpływ na świadczenie przewidzianej w umowie usługi. Jak zauważył bowiem rzecznik generalny w pkt 60 opinii, takie przetwarzanie nie odbiega od uzasadnionych oczekiwań tych klientów co do dalszego wykorzystywania ich danych osobowych. Z postanowienia odsyłającego nie wynika zresztą, by owe dane były w całości lub w części szczególnie chronione lub by dalsze przetwarzanie tych danych jako takie miało szkodliwe skutki dla abonentów lub nie wiązało się z odpowiednimi zabezpieczeniami, co powinien w każdym razie zweryfikować sąd odsyłający.

45

Z całości powyższych rozważań wynika, że na pytanie pierwsze należy udzielić następującej odpowiedzi: art. 5 ust. 1 lit. b) rozporządzenia 2016/679 należy interpretować w ten sposób, że przewidziana w tym przepisie zasada „ograniczenia celu” nie stoi na przeszkodzie utrwalaniu i przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych, jeżeli takie dalsze przetwarzanie jest zgodne z konkretnymi celami, w jakich dane osobowe zostały pierwotnie zebrane, co należy ustalić w świetle kryteriów określonych w art. 6 ust. 4 tego rozporządzenia.

W przedmiocie pytania drugiego

46

Na wstępie należy zauważyć, że sąd odsyłający zadaje pytanie drugie, które dotyczy zgodności przechowywania w testowej bazie danych przez spółkę Digi danych osobowych jej klientów z zasadą „ograniczenia przechowywania” figurującą w art. 5 ust. 1 lit. e) rozporządzenia 2016/679, jedynie na wypadek udzielenia odpowiedzi twierdzącej na pytanie pierwsze w przeformułowanym brzmieniu, a mianowicie na wypadek sytuacji, gdyby takie przechowywanie nie było zgodne z przewidzianą w art. 5 ust. 1 lit. b) tego rozporządzenia zasadą „ograniczenia celu”.

47

Tymczasem, po pierwsze, jak zauważył rzecznik generalny w pkt 24 opinii, określone w art. 5 rozporządzenia 2016/679 zasady dotyczące przetwarzania danych osobowych stosuje się kumulatywnie. W związku z tym przechowywanie danych osobowych powinno być zgodne nie tylko z zasadą „ograniczenia celu”, ale również z zasadą „ograniczenia przechowywania”.

48

Po drugie, należy przypomnieć, że – jak wynika z motywu 10 rozporządzenia 2016/679 – rozporządzenie to zmierza między innymi do zapewnienia wysokiego stopnia ochrony osób fizycznych w Unii i w tym celu do zapewnienia spójnego i jednolitego w całej Unii stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.

49

W tym kontekście rozdziały II i III tego rozporządzenia określają, odpowiednio, zasady dotyczące przetwarzania danych osobowych oraz prawa osoby, której dane dotyczą, które powinny być przestrzegane przy każdym przetwarzaniu danych osobowych. W szczególności każde przetwarzanie danych osobowych powinno z jednej strony być zgodne z zasadami dotyczącymi przetwarzania danych określonymi w art. 5 wspomnianego rozporządzenia, a z drugiej strony, zważywszy zwłaszcza na przewidzianą w art. 5 ust. 1 lit. a) zasadę zgodności przetwarzania z prawem, spełniać jeden z warunków zgodności przetwarzania z prawem wymienionych w art. 6 owego rozporządzenia [zob. podobnie wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 96; z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych uzyskanych do celów podatkowych), C‑175/20, EU:C:2022:124, pkt 50].

50

W świetle tych rozważań nawet jeśli z formalnego punktu widzenia sąd odsyłający zadał pytanie drugie jedynie na wypadek udzielenia odpowiedzi twierdzącej na pytanie pierwsze w przeformułowanym brzmieniu, owa okoliczność nie stoi na przeszkodzie temu, by Trybunał dostarczył sądowi odsyłającemu wszystkich elementów wykładni prawa Unii, które mogą być użyteczne dla oceny rozpoznawanej przez niego sprawy (zob. podobnie wyrok z dnia 17 marca 2022 r., Daimler, C‑232/20, EU:C:2022:196, pkt 49), i tym samym by odpowiedział na owo pytanie drugie.

51

W tych okolicznościach należy uznać, że poprzez to pytanie sąd odsyłający dąży w istocie do ustalenia, czy art. 5 ust. 1 lit. e) rozporządzenia 2016/679 należy interpretować w ten sposób, iż przewidziana w tym przepisie zasada „ograniczenia przechowywania” stoi na przeszkodzie przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – zebranych wcześniej w innych celach danych osobowych przez okres dłuższy, niż jest to niezbędne do przeprowadzenia tych testów i poprawienia owych błędów.

52

W pierwszej kolejności należy zaznaczyć, że zgodnie z art. 5 ust. 1 lit. e) rozporządzenia 2016/679 dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, w których dane te są przetwarzane.

53

Z brzmienia tego artykułu wynika zatem jednoznacznie, że zasada „ograniczenia przechowywania” wymaga od administratora, by był w stanie wykazać, zgodnie z zasadą rozliczalności przypomnianą w pkt 24 niniejszego wyroku, iż dane osobowe są przechowywane wyłącznie przez okres niezbędny do osiągnięcia celów, w których je zebrano lub w których je dalej przetworzono.

54

Wynika stąd, że nawet początkowo zgodne z prawem przetwarzanie danych może wraz z upływem czasu stać się niezgodne z rozporządzeniem 2016/679, jeśli owe dane nie są już niezbędne do osiągnięcia takich celów [wyrok z dnia 24 września 2019 r., GC i in. (Usunięcie linków do danych wrażliwych), C‑136/17, EU:C:2019:773, pkt 74], oraz że dane powinny zostać usunięte, gdy rzeczone cele zostały osiągnięte (zob. analogicznie wyrok z dnia 7 maja 2009 r., Rijkeboer,C‑553/07, EU:C:2009:293, pkt 33).

55

W drugiej kolejności – wykładnia ta jest zgodna z kontekstem, w jaki wpisuje się art. 5 ust. 1 lit. e) rozporządzenia 2016/679.

56

W tym względzie w pkt 49 niniejszego wyroku przypomniano, że każde przetwarzanie danych osobowych powinno być zgodne z zasadami dotyczącymi przetwarzania danych określonymi w art. 5 wspomnianego rozporządzenia oraz spełniać jeden z warunków zgodności przetwarzania z prawem wymienionych w art. 6 owego rozporządzenia.

57

Tymczasem, po pierwsze, jak wynika z tego art. 6, jeżeli osoba, której dane dotyczą, nie wyraziła zgody na przetwarzanie jej danych osobowych w jednym lub większej liczbie określonych celów, zgodnie z art. 6 ust. 1 lit. a) rozporządzenia 2016/679, to przetwarzanie to powinno spełniać wymóg niezbędności, jak wynika z art. 6 ust. 1 lit. b)–f) owego rozporządzenia.

58

Po drugie, taki wymóg niezbędności wynika również z zasady „minimalizacji danych” przewidzianej w art. 5 ust. 1 lit. c) tego rozporządzenia, zgodnie z którą dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne w świetle celów, w których są one przetwarzane.

59

W trzeciej kolejności – taka wykładnia jest zgodna z realizowanym przez art. 5 ust. 1 lit. e) rozporządzenia 2016/679 celem, który – jak przypomniano w pkt 48 niniejszego wyroku – polega między innymi na zapewnieniu wysokiego stopnia ochrony osób fizycznych w Unii w związku z przetwarzaniem danych osobowych.

60

W niniejszym przypadku spółka Digi podniosła, że po przeprowadzeniu testów i poprawieniu błędów nie usunęła – przez nieuwagę – danych osobowych części jej klientów indywidualnych przechowywanych w testowej bazie danych.

61

W tym względzie wystarczy zauważyć, że ów argument jest pozbawiony znaczenia dla oceny, czy dane były przechowywane – z naruszeniem zasady „ograniczenia przechowywania” przewidzianej w art. 5 ust. 1 lit. e) rozporządzenia 2016/679 – przez okres dłuższy, niż było to niezbędne do osiągnięcia celów, w których były one dalej przetwarzane.

62

Z całości powyższych rozważań wynika, że na pytanie drugie należy udzielić następującej odpowiedzi: art. 5 ust. 1 lit. e) rozporządzenia 2016/679 należy interpretować w ten sposób, że przewidziana w tym przepisie zasada „ograniczenia przechowywania” stoi na przeszkodzie przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych zebranych wcześniej w innych celach przez okres dłuższy, niż jest to niezbędne do przeprowadzenia tych testów i poprawienia owych błędów.

W przedmiocie kosztów

63

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

 

Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje:

 

1)

Artykuł 5 ust. 1 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

przewidziana w tym przepisie zasada „ograniczenia celu” nie stoi na przeszkodzie utrwalaniu i przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych, jeżeli takie dalsze przetwarzanie jest zgodne z konkretnymi celami, w jakich dane osobowe zostały pierwotnie zebrane, co należy ustalić w świetle kryteriów określonych w art. 6 ust. 4 tego rozporządzenia.

 

2)

Artykuł 5 ust. 1 lit. e) rozporządzenia 2016/679

należy interpretować w ten sposób, że:

przewidziana w tym przepisie zasada „ograniczenia przechowywania” stoi na przeszkodzie przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych zebranych wcześniej w innych celach przez okres dłuższy, niż jest to niezbędne do przeprowadzenia tych testów i poprawienia owych błędów.

 

Podpisy


( *1 ) Język postępowania: węgierski.