HOTĂRÂREA CURȚII (Camera întâi)
20 octombrie 2022 ( *1 )
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 5 alineatul (1) literele (b) și (e) – Principiul «limitărilor legate de scop» – Principiul «limitărilor legate de stocare» – Creare, pornind de la o bază de date existentă, a unei baze de date pentru a efectua teste și a corecta erori – Prelucrare ulterioară a datelor – Compatibilitatea prelucrării ulterioare a acestor date cu scopurile colectării inițiale – Perioadă de stocare în raport cu aceste scopuri”
În cauza C‑77/21,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Fővárosi Törvényszék (Curtea din Budapesta-Capitală, Ungaria), prin decizia din 21 ianuarie 2021, primită de Curte la 8 februarie 2021, în procedura
Digi Távközlési és Szolgáltató Kft.
împotriva
Nemzeti Adatvédelmi és Információszabadság Hatóság,
CURTEA (Camera întâi),
compusă din domnul A. Arabadjiev, președinte de cameră, domnul L. Bay Larsen, vicepreședintele Curții, îndeplinind funcția de judecător al Camerei întâi, domnii P. G. Xuereb și A. Kumin și doamna I. Ziemele (raportoare), judecători,
avocat general: domnul P. Pikamäe,
grefier: domnul I. Illéssy, administrator,
având în vedere procedura scrisă și în urma ședinței din 17 ianuarie 2022,
luând în considerare observațiile prezentate:
– |
pentru Digi Távközlési és Szolgáltató Kft., de R. Hatala și A. D. László, ügyvédek; |
– |
pentru Nemzeti Adatvédelmi és Információszabadság Hatóság, de G. Barabás, consilier juridic, asistat de G. J. Dudás și Á. Hargita, ügyvédek; |
– |
pentru guvernul maghiar, de Zs. Biró-Tóth și M. Z. Fehér, în calitate de agenți; |
– |
pentru guvernul ceh, de T. Machovičová, M. Smolek și J. Vláčil, în calitate de agenți; |
– |
pentru guvernul portughez, de P. Barros da Costa, L. Inez Fernandes, I. Oliveira, M. J. Ramos și C. Vieira Guerra, în calitate de agenți; |
– |
pentru Comisia Europeană, de V. Bottka și H. Kranenborg, în calitate de agenți, |
după ascultarea concluziilor avocatului general în ședința din 31 martie 2022,
pronunță prezenta
Hotărâre
1 |
Cererea de decizie preliminară privește interpretarea articolului 5 alineatul (1) literele (b) și (e) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2). |
2 |
Această cerere a fost formulată în cadrul unui litigiu între Digi Távközlési és Szolgáltató Kft. (denumită în continuare „Digi”), unul dintre principalii furnizori de servicii internet și de televiziune din Ungaria, pe de o parte, și Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoritatea Națională pentru Protecția Datelor și Libertatea de Informare, Ungaria) (denumită în continuare „Autoritatea”), pe de altă parte, în legătură cu o încălcare a datelor cu caracter personal conținute într‑o bază de date a Digi. |
Cadrul juridic
3 |
Considerentele (10) și (50) ale Regulamentului 2016/679 enunță:
[…]
|
4 |
Articolul 4 din Regulamentul 2016/679, intitulat „Definiții”, prevede: „În sensul prezentului regulament: […]
[…]” |
5 |
Potrivit articolului 5 din acest regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”: „(1) Datele cu caracter personal sunt:
(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).” |
6 |
Articolul 6 din regulamentul menționat, intitulat „Legalitatea prelucrării”, prevede: „(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
[…] (4) În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o măsură necesară și proporțională într‑o societate democratică pentru a proteja obiectivele menționate la articolul 23 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia în considerare, printre altele:
|
Litigiul principal și întrebările preliminare
7 |
Digi este unul dintre principalii furnizori de servicii de internet și de televiziune din Ungaria. |
8 |
În luna aprilie 2018, în urma unei deficiențe tehnice care a afectat funcționarea unui server, Digi a creat o bază de date denumită „de testare” (denumită în continuare „bază de date de testare”), în care a copiat datele cu caracter personal ale aproximativ unei treimi din clienții săi particulari care erau stocate într‑o altă bază de date, denumită „digihu”, care putea fi conectată la site‑ul www.digi.hu, ce cuprinde datele actualizate ale persoanelor care s‑au înscris pentru a primi scrisoarea de informare a Digi, în scopuri de marketing direct, precum și datele administratorului de sistem care oferă acces la interfața site‑ului. |
9 |
La 23 septembrie 2019, Digi a luat cunoștință de faptul că un „hacker etic” a avut acces la datele personale deținute de ea privind aproximativ 322000 de persoane. Acest acces a fost semnalat societății Digi chiar de acest „hacker etic”, care i‑a comunicat, cu titlu de probă, o linie din baza de date de testare. Digi a corectat eroarea și a încheiat un acord de confidențialitate cu această persoană, căreia i‑a oferit o recompensă. |
10 |
La 25 septembrie 2019, după ce a eliminat baza de date de testare, Digi a notificat Autorității încălcarea datelor cu caracter personal, aceasta din urmă deschizând ulterior o investigație. |
11 |
Printr‑o decizie din 18 mai 2020, Autoritatea a concluzionat printre altele că Digi încălcase articolul 5 alineatul (1) literele (b) și (e) din Regulamentul 2016/679, întrucât, după ce a efectuat testele necesare și a corectat deficiența, nu a șters imediat baza de date de testare, astfel încât un număr mare de date cu caracter personal au fost stocate în această bază de date fără niciun scop aproape 18 luni, într‑un sistem de evidență care putea permite identificarea persoanelor vizate. În consecință, Autoritatea a impus Digi să examineze toate bazele sale de date și i‑a aplicat o amendă în cuantum de 100000000 de forinți maghiari (HUF) (aproximativ 248000 de euro). |
12 |
Digi a contestat legalitatea acestei decizii la instanța de trimitere. |
13 |
Aceasta arată că datele cu caracter personal copiate de Digi în baza de date de testare au fost colectate în scopul încheierii și al executării contractelor de abonament și că legalitatea colectării inițiale a datelor cu caracter personal nu a fost contestată de Autoritate. Instanța de trimitere ridică totuși problema dacă copierea într‑o altă bază de date a datelor colectate inițial a avut drept consecință modificarea scopului colectării inițiale și al prelucrării acestora. Ea adaugă că trebuie să stabilească de asemenea dacă crearea unei baze de date de testare și continuarea prelucrării datelor clienților în această altă bază sunt compatibile cu scopurile colectării inițiale. Instanța de trimitere consideră că principiul „limitărilor legate de scop”, astfel cum este prevăzut la articolul 5 alineatul (1) litera (b) din Regulamentul 2016/679, nu îi permite să stabilească sistemele interne în care operatorul are dreptul de a prelucra datele colectate în mod legal și nici dacă acesta din urmă poate copia datele respective într‑o bază de date de testare fără a modifica scopul colectării inițiale de date. |
14 |
În ipoteza în care crearea bazei de date de testare ar fi incompatibilă cu scopul colectării inițiale, instanța de trimitere ridică de asemenea problema dacă, din moment ce scopul prelucrării datelor abonaților într‑o altă bază de date nu este corectarea erorilor, ci încheierea contractelor, perioada de stocare necesară trebuie să corespundă, în temeiul principiului „limitării legate de stocare” care figurează la articolul 5 alineatul (1) litera (e) din Regulamentul nr. 2016/679, perioadei necesare pentru corectarea erorilor sau celei necesare executării obligațiilor contractuale. |
15 |
În aceste condiții, Fővárosi Törvényszék (Curtea din Budapesta‑Capitală, Ungaria) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
|
Cu privire la întrebările preliminare
Cu privire la admisibilitate
16 |
Autoritatea și guvernul maghiar au exprimat îndoieli cu privire la admisibilitatea întrebărilor preliminare pentru motivul că aceste întrebări nu ar corespunde faptelor din litigiul principal și nu ar fi relevante în mod direct pentru soluționarea acestuia. |
17 |
În această privință, în primul rând, trebuie amintit că, potrivit unei jurisprudențe constante a Curții, numai instanța națională, care este sesizată cu soluționarea litigiului și care trebuie să își asume răspunderea pentru hotărârea judecătorească ce urmează a fi pronunțată, are competența să aprecieze, luând în considerare particularitățile cauzei, atât necesitatea unei decizii preliminare pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții. În consecință, în cazul în care întrebările adresate privesc interpretarea sau validitatea unei norme a dreptului Uniunii, Curtea este, în principiu, obligată să se pronunțe. Rezultă că întrebările adresate de instanțele naționale beneficiază de o prezumție de pertinență. Curtea poate refuza să se pronunțe asupra unei întrebări preliminare adresate de o instanță națională numai dacă rezultă că interpretarea solicitată nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, dacă problema este de natură ipotetică ori Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările respective (Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 73, precum și jurisprudența citată). |
18 |
În speță, instanța de trimitere este sesizată cu o acțiune având ca obiect anularea unei decizii de sancționare a Digi, în calitatea sa de operator, pentru nerespectarea principiului „limitărilor legate de scop” și a principiului „limitărilor legate de stocare”, prevăzute la litera (b) și, respectiv, la litera (e) ale articolului 5 alineatul (1) din Regulamentul 2016/679, prin faptul că a omis să șteargă o bază de date care cuprinde date cu caracter personal ce permit identificarea persoanelor vizate. Or, întrebările preliminare privesc tocmai interpretarea acestor dispoziții, astfel încât nu se poate considera că interpretarea solicitată a dreptului Uniunii nu are legătură cu realitatea sau cu obiectul litigiului principal ori ar fi de natură ipotetică. În plus, decizia de trimitere conține elemente de fapt și de drept suficiente pentru a răspunde în mod util la întrebările adresate de instanța de trimitere. |
19 |
În al doilea rând, trebuie amintit că, în cadrul procedurii prevăzute la articolul 267 TFUE, întemeiată pe o separare clară a funcțiilor între instanțele naționale și Curte, instanța națională este singura competentă să interpreteze și să aplice dispozițiile din dreptul național, în timp ce Curtea este exclusiv abilitată să se pronunțe cu privire la interpretarea sau la validitatea unui text al Uniunii, pe baza situației de fapt care îi este prezentată de instanța națională (Hotărârea din 5 mai 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, punctul 45 și jurisprudența citată). |
20 |
Prin urmare, trebuie înlăturată argumentația referitoare la inadmisibilitatea întrebărilor preliminare pe care Autoritatea și guvernul maghiar o întemeiază, în esență, pe faptul că întrebările preliminare nu ar corespunde, în opinia lor, situației de fapt din litigiul principal. |
21 |
În consecință, întrebările preliminare sunt admisibile. |
Cu privire la fond
Cu privire la prima întrebare
22 |
Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 5 alineatul (1) litera (b) din Regulamentul 2016/679 trebuie interpretat în sensul că principiul „limitărilor legate de scop”, prevăzut de această dispoziție, se opune înregistrării și stocării de către operator într‑o bază de date creată în scopul efectuării unor teste și al corectării unor erori a datelor cu caracter personal colectate în prealabil și stocate într‑o altă bază de date. |
23 |
Potrivit unei jurisprudențe constante, interpretarea unei dispoziții a dreptului Uniunii impune să se țină seama nu numai de termenii săi, ci și de contextul în care se înscrie, precum și de obiectivele și de finalitatea urmărite de actul din care aceasta face parte (Hotărârea din 1 august 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, punctul 42 și jurisprudența citată). |
24 |
În această privință, în primul rând, trebuie arătat că articolul 5 alineatul (1) din Regulamentul 2016/679 stabilește principiile referitoare la prelucrarea datelor cu caracter personal, care sunt obligatorii pentru operator și a căror respectare trebuie să fie în măsură să o demonstreze, în conformitate cu principiul responsabilității enunțat la alineatul (2) al acestui articol. |
25 |
În particular, potrivit articolului 5 alineatul (1) litera (b) din acest regulament, care prevede principiul „limitărilor legate de scop”, datele cu caracter personal trebuie, pe de o parte, să fie colectate în scopuri determinate, explicite și legitime și, pe de altă parte, să nu fie prelucrate ulterior într‑un mod incompatibil cu aceste scopuri. |
26 |
Reiese astfel din modul de redactare a dispoziției menționate că aceasta cuprinde două cerințe, una referitoare la scopul colectării inițiale a datelor cu caracter personal, iar cealaltă privind prelucrarea ulterioară a acestor date. |
27 |
În ceea ce privește, primo, cerința potrivit căreia datele cu caracter personal trebuie să fie colectate în scopuri determinate, explicite și legitime, rezultă din jurisprudența Curții că aceasta implică mai întâi ca scopurile prelucrării să fie identificate cel târziu la momentul colectării datelor cu caracter personal, apoi, ca scopurile acestei prelucrări să fie enunțate în mod clar și, în sfârșit, ca scopurile prelucrării menționate să garanteze, printre altele, legalitatea prelucrării acestor date, în sensul articolului 6 alineatul (1) din Regulamentul 2016/679 [a se vedea în acest sens Hotărârea din 24 februarie 2022, Valsts ieņēmumu dienests (Prelucrarea datelor cu caracter personal în scopuri fiscale), C‑175/20, EU:C:2022:124, punctele 64-66]. |
28 |
În speță, din modul de redactare a primei întrebări și din motivele deciziei de trimitere reiese că datele cu caracter personal în discuție în litigiul principal au fost colectate în scopuri determinate, explicite și legitime, instanța de trimitere precizând în plus că colectarea acestor date a fost realizată în scopul încheierii și al executării de către Digi a unor contracte de abonament cu clienții săi, conform articolului 6 alineatul (1) litera (b) din Regulamentul 2016/679. |
29 |
În ceea ce privește, secundo, cerința potrivit căreia datele cu caracter personal nu trebuie să facă obiectul unei prelucrări ulterioare care să fie incompatibilă cu aceste scopuri, este necesar să se arate, pe de o parte, că înregistrarea și stocarea de către operator într‑o bază de date nou creată a unor date cu caracter personal stocate într‑o altă bază de date constituie o „prelucrare ulterioară” a acestor date. |
30 |
Astfel, noțiunea de „prelucrare” este definită în sens larg la articolul 4 punctul 2 din Regulamentul 2016/679 ca vizând orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi, printre altele, colectarea, înregistrarea și stocarea acestor date. |
31 |
În plus, în conformitate cu sensul obișnuit al termenului „ulterior” în limbajul curent, orice prelucrare de date cu caracter personal care este posterioară prelucrării inițiale constituite de colectarea inițială a acestor date constituie o prelucrare „ulterioară” a datelor respective, independent de scopul acestei prelucrări ulterioare. |
32 |
Pe de altă parte, este necesar să se arate că articolul 5 alineatul (1) litera (b) din Regulamentul 2016/679 nu cuprinde indicații cu privire la condițiile în care o prelucrare ulterioară a datelor cu caracter personal poate fi considerată compatibilă cu scopurile colectării inițiale a acestor date. |
33 |
Contextul în care se înscrie această dispoziție furnizează însă, în al doilea rând, precizări utile în această privință. |
34 |
Reiese astfel dintr‑o interpretare coroborată a articolului 5 alineatul (1) litera (b), a articolului 6 alineatul (1) litera (a) și a articolului 6 alineatul (4) din Regulamentul 2016/679 că problema compatibilității prelucrării ulterioare a datelor cu caracter personal cu scopurile pentru care aceste date au fost colectate inițial nu se pune decât în ipoteza în care scopurile prelucrării ulterioare menționate nu ar fi identice cu cele ale colectării inițiale. |
35 |
În plus, din acest articol 6 alineatul (4), interpretat în lumina considerentului (50) al regulamentului menționat, rezultă că, atunci când prelucrarea în alt scop decât cel pentru care au fost colectate datele nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau pe dreptul unui stat membru, este necesar, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, să se țină seama, printre altele, primo, de existența eventuală a unei legături între scopurile pentru care au fost colectate datele cu caracter personal și scopurile prelucrării ulterioare preconizate, secundo, de contextul în care au fost colectate datele cu caracter personal, în special în ceea ce privește relația dintre persoanele vizate și operator, tertio, de natura datelor cu caracter personal, quarto, de posibilele consecințe ale prelucrării ulterioare preconizate pentru persoanele vizate și, în sfârșit, quinto, de existența unor garanții adecvate atât în cadrul prelucrării inițiale, cât și în cadrul prelucrării ulterioare prevăzute. |
36 |
După cum a arătat domnul avocat general în esență la punctele 28, 59 și 60 din concluzii, aceste criterii reflectă necesitatea unei legături concrete, logice și suficient de strânse între scopurile colectării inițiale a datelor cu caracter personal și prelucrarea ulterioară a acestor date și permit să se asigure că această prelucrare ulterioară nu se îndepărtează de așteptările legitime ale abonaților în ceea ce privește utilizarea ulterioară a datelor lor. |
37 |
Aceste criterii permit, în plus, în al treilea rând, așa cum a subliniat în esență domnul avocatul general la punctul 27 din concluzii, să se încadreze reutilizarea datelor cu caracter personal colectate anterior prin asigurarea unui echilibru între, pe de o parte, nevoia de previzibilitate și de securitate juridică privind scopurile prelucrării datelor cu caracter personal colectate anterior și, pe de altă parte, recunoașterea unei anumite flexibilități în favoarea operatorului în gestionarea acestor date și contribuie în aceste mod la realizarea obiectivului constând în asigurarea unui nivel consecvent și ridicat de protecție a persoanelor fizice, care este enunțat în considerentul (10) al Regulamentului 2016/679. |
38 |
Astfel, ținând seama de criteriile menționate la punctul 35 din prezenta hotărâre și având în vedere ansamblul împrejurărilor care caracterizează prezenta cauză, instanței naționale îi revine sarcina de a stabili atât scopurile colectării inițiale a datelor cu caracter personal, cât și cele ale prelucrării ulterioare a acestor date și, în ipoteza în care scopurile prelucrării ulterioare ar fi diferite de scopurile acestei colectări, de a verifica dacă prelucrarea ulterioară a datelor respective este compatibilă cu scopurile colectării inițiale menționate. |
39 |
Cu toate acestea, Curtea, pronunțându‑se asupra trimiterii preliminare, poate oferi precizări destinate să orienteze instanța națională în această stabilire (a se vedea în acest sens Hotărârea din 7 aprilie 2022, Fuhrmann‑2, C‑249/21, EU:C:2022:269, punctul 32). |
40 |
În speță, în primul rând, după cum s‑a amintit la punctul 13 din prezenta hotărâre, rezultă din decizia de trimitere că datele cu caracter personal au fost colectate inițial de Digi, operator, în scopul încheierii și al executării unor contracte de abonament cu clienții săi particulari. |
41 |
În al doilea rând, părțile din litigiul principal nu sunt de acord cu privire la scopul specific al înregistrării și al stocării de către Digi în baza de date de testare a datelor cu caracter personal în discuție. Astfel, în timp ce Digi arată că crearea bazei de date de testare avea ca scop specific garantarea accesului la datele abonaților până la corectarea erorilor, în așa fel încât acest scop ar fi identic cu scopurile urmărite de colectarea inițială a acestor date, Autoritatea susține că scopul specific al prelucrării ulterioare era distinct de aceste scopuri întrucât ar fi constat în realizarea unor teste și în corectarea unor erori. |
42 |
În această privință trebuie amintit că reiese din jurisprudența citată la punctul 19 din prezenta hotărâre că, în cadrul procedurii prevăzute la articolul 267 TFUE, întemeiată pe o separare clară a funcțiilor între instanțele naționale și Curte, instanța națională este singura competentă să interpreteze și să aplice dispozițiile din dreptul național, în timp ce Curtea este exclusiv abilitată să se pronunțe cu privire la interpretarea sau la validitatea unui text al Uniunii, pe baza situației de fapt care îi este prezentată de instanța națională. |
43 |
Or, din decizia de trimitere reiese că baza de date de testare a fost creată de Digi pentru a putea efectua teste și a corecta erori, astfel încât instanței de trimitere îi revine sarcina de a aprecia prin raportare la aceste scopuri compatibilitatea prelucrării ulterioare cu scopurile colectării inițiale, care constau în încheierea și în executarea contractelor de abonament. |
44 |
În al treilea rând, în ceea ce privește această apreciere, este necesar să se arate că realizarea unor teste și corectarea unor erori care afectează baza de date a abonaților prezintă o legătură concretă cu executarea contractelor de abonament ale clienților particulari, întrucât asemenea erori pot fi prejudiciabile pentru furnizarea serviciului prevăzut contractual și pentru care datele au fost colectate inițial. Astfel, după cum a arătat domnul avocat general la punctul 60 din concluzii, o asemenea prelucrare nu se îndepărtează de așteptările legitime ale acestor clienți în ceea ce privește utilizarea ulterioară a datelor lor cu caracter personal. De altfel, nu reiese din decizia de trimitere că toate sau o parte dintre aceste date ar fi fost sensibile sau că prelucrarea ulterioară în discuție a acestora ar fi avut în sine consecințe prejudiciabile pentru abonați sau nu ar fi fost însoțită de garanții adecvate, aspect a cărui verificare revine, în orice caz, instanței de trimitere. |
45 |
Rezultă din toate considerațiile care precedă că este necesar să se răspundă la prima întrebare că articolul 5 alineatul (1) litera (b) din Regulamentul 2016/679 trebuie interpretat în sensul că principiul „limitărilor legate de scop” prevăzut de această dispoziție nu se opune înregistrării și stocării de către operator într‑o bază de date creată în scopul efectuării unor teste și al corectării unor erori a datelor cu caracter personal colectate și stocate în prealabil într‑o altă bază de date atunci când o astfel de prelucrare ulterioară este compatibilă cu scopurile specifice pentru care datele cu caracter personal au fost colectate inițial, aspect care trebuie stabilit în lumina criteriilor menționate la articolul 6 alineatul (4) din acest regulament. |
Cu privire la a doua întrebare
46 |
Cu titlu introductiv, este necesar să se arate că a doua întrebare a instanței de trimitere, care privește conformitatea cu principiul „limitărilor legate de stocare” ce figurează la articolul 5 alineatul (1) litera (e) din Regulamentul 2016/679 a stocării de către Digi în baza de date de testare a datelor cu caracter personal ale clienților săi nu este adresată de această instanță decât în cazul unui răspuns afirmativ la prima întrebare, astfel cum a fost reformulată, și anume în ipoteza în care această stocare nu ar fi compatibilă cu principiul „limitărilor legate de scop” prevăzut la articolul 5 alineatul (1) litera (b) din acest regulament. |
47 |
Cu toate acestea, pe de o parte, după cum a arătat domnul avocat general la punctul 24 din concluzii, principiile referitoare la prelucrarea datelor cu caracter personal enunțate la articolul 5 din Regulamentul 2016/679 sunt aplicabile în mod cumulativ. Prin urmare, stocarea datelor cu caracter personal trebuie să respecte nu numai principiul „limitărilor legate de scop”, ci și pe cel al „limitărilor legate de stocare”. |
48 |
Pe de altă parte, trebuie amintit că, așa cum reiese din considerentul (10) al Regulamentului 2016/679, acesta urmărește în special să asigure un nivel ridicat de protecție a persoanelor fizice în cadrul Uniunii și, în acest scop, să asigure o aplicare consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale acestor persoane în ceea ce privește prelucrarea datelor cu caracter personal în întreaga Uniune. |
49 |
Pentru aceasta, capitolele II și, respectiv, III din regulament prevăd principiile care reglementează prelucrările datelor cu caracter personal, precum și drepturile persoanei în cauză pe care trebuie să le respecte orice prelucrare de date cu caracter personal. Mai precis, orice prelucrare a datelor cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile legate de prelucrarea datelor enunțate la articolul 5 din regulamentul menționat și, pe de altă parte, având în vedere în special principiul legalității prelucrării, prevăzut la alineatul (1) litera (a) al acestui articol, să îndeplinească una dintre condițiile de legalitate a prelucrării enumerate la articolul 6 din același regulament [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 96, și Hotărârea din 24 februarie 2022, Valsts ieņēmumu dienests (Prelucrarea datelor cu caracter personal în scopuri fiscale), C‑175/20, EU:C:2022:124, punctul 50]. |
50 |
Având în vedere aceste considerații, chiar dacă, pe plan formal, instanța de trimitere nu a adresat a doua întrebare decât în cazul unui răspuns afirmativ la prima întrebare astfel cum a fost reformulată, o asemenea împrejurare nu împiedică Curtea să îi furnizeze toate elementele de interpretare a dreptului Uniunii care pot fi utile pentru aprecierea cauzei cu care instanța de trimitere este sesizată (a se vedea în acest sens Hotărârea din 17 martie 2022, Daimler, C‑232/20, EU:C:2022:196, punctul 49) și, prin urmare, să răspundă la această a doua întrebare. |
51 |
În aceste condiții, este necesar să se considere că, prin intermediul acestei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 5 alineatul (1) litera (e) din Regulamentul 2016/679 trebuie interpretat în sensul că principiul „limitărilor legate de stocare”, prevăzut de această dispoziție, se opune stocării de către operator într‑o bază de date creată în scopul efectuării unor teste și al corectării unor erori a unor date cu caracter personal colectate în prealabil pentru alte scopuri, pentru o perioadă care o depășește pe cea necesară pentru efectuarea acestor teste și pentru corectarea acestor erori. |
52 |
În primul rând, trebuie arătat că, potrivit articolului 5 alineatul (1) litera (e) din Regulamentul 2016/679, datele cu caracter personal sunt păstrate într‑o formă care permite identificarea persoanelor vizate pentru o perioadă care nu depășește perioada necesară realizării scopurilor în care sunt prelucrate datele. |
53 |
Reiese, așadar, fără ambiguitate din modul de redactare a acestui articol că principiul „limitării legate de stocare” impune ca operatorul să fie în măsură să demonstreze, în conformitate cu principiul responsabilității amintit la punctul 24 din prezenta hotărâre, că datele cu caracter personal sunt stocate numai pentru perioada necesară realizării scopurilor pentru care au fost colectate sau pentru care au fost prelucrate ulterior. |
54 |
Rezultă de aici că chiar și o prelucrare inițial legală a datelor poate deveni, cu timpul, incompatibilă cu Regulamentul 2016/679 atunci când aceste date nu mai sunt necesare pentru realizarea unor astfel de scopuri [Hotărârea din 24 septembrie 2019, GC și alții (Dezindexarea unor date sensibile), C‑136/17, EU:C:2019:773, punctul 74] și că datele trebuie șterse atunci când scopurile menționate au fost realizate (a se vedea în acest sens Hotărârea din 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punctul 33). |
55 |
Această interpretare este conformă, în al doilea rând, cu contextul în care se înscrie articolul 5 alineatul (1) litera (e) din Regulamentul 2016/679. |
56 |
În această privință s‑a amintit la punctul 49 din prezenta hotărâre că orice prelucrare de date cu caracter personal trebuie să fie conformă cu principiile referitoare la prelucrarea datelor prevăzute la articolul 5 din regulamentul menționat și să îndeplinească una dintre condițiile privind legalitatea prelucrării enumerate la articolul 6 din același regulament. |
57 |
Or, pe de o parte, după cum reiese din acest articol 6, atunci când persoana vizată nu a consimțit la prelucrarea datelor sale cu caracter personal pentru unu sau mai multe scopuri specifice, conform articolului 6 alineatul (1) litera (a) din Regulamentul 2016/679, prelucrarea trebuie, așa cum rezultă din cuprinsul literelor (b)-(f) ale alineatului menționat, să răspundă unei cerințe de necesitate. |
58 |
Pe de altă parte, o asemenea cerință de necesitate rezultă și din principiul „reducerii la minimum a datelor”, prevăzut la articolul 5 alineatul (1) litera (c) din acest regulament, potrivit căruia datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate. |
59 |
O asemenea interpretare este, în al treilea rând, conformă cu obiectivul urmărit de articolul 5 alineatul (1) litera (e) din Regulamentul 2016/679, care, după cum s‑a amintit la punctul 48 din prezenta hotărâre, constă în special în asigurarea unui nivel ridicat de protecție a persoanelor fizice în cadrul Uniunii în ceea ce privește prelucrarea datelor cu caracter personal. |
60 |
În speță, Digi a arătat că, din greșeală, datele cu caracter personal ale unei părți a clienților săi privați stocate în baza de date de testare nu au fost șterse după realizarea testelor și corectarea erorilor. |
61 |
În această privință este suficient să se arate că acest argument este lipsit de pertinență pentru a aprecia dacă datele au fost stocate pentru o perioadă care o depășește pe cea care era necesară pentru realizarea scopurilor pentru care au fost ulterior prelucrate, cu încălcarea principiului „limitărilor legate de stocare”, prevăzut la articolul 5 alineatul (1) litera (e) din Regulamentul 2016/679. |
62 |
Rezultă din toate considerațiile care precedă că trebuie să se răspundă la a doua întrebare că articolul 5 alineatul (1) litera (e) din Regulamentul 2016/679 trebuie interpretat în sensul că principiul „limitărilor legate de stocare”, prevăzut de această dispoziție, se opune stocării de către operator într‑o bază de date creată în scopul efectuării unor teste și al corectării unor erori a unor date cu caracter personal colectate în prealabil pentru alte scopuri pentru o perioadă care o depășește pe cea necesară pentru efectuarea acestor teste și pentru corectarea acestor erori. |
Cu privire la cheltuielile de judecată
63 |
Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări. |
Pentru aceste motive, Curtea (Camera întâi) declară: |
|
|
Semnături |
( *1 ) Limba de procedură: maghiara.