ROZSUDOK SÚDNEHO DVORA (prvá komora)

z 20. októbra 2022 ( *1 )

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 5 ods. 1 písm. b) a e) – Zásada ‚obmedzenia účelu‘ – Zásada ‚minimalizácie uchovávania‘ – Vytvorenie databázy na vykonanie testov a opravu chýb z existujúcej databázy – Ďalšie spracúvanie údajov – Zlučiteľnosť ďalšieho spracúvania týchto údajov s účelmi pôvodného získania – Obdobie uchovávania vzhľadom na tieto účely“

Vo veci C‑77/21,

ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Fővárosi Törvényszék (Súd hlavného mesta Budapešť, Maďarsko) z 21. januára 2021 a doručený Súdnemu dvoru 8. februára 2021, ktorý súvisí s konaním:

Digi Távközlési és Szolgáltató Kft.

proti

Nemzeti Adatvédelmi és Információszabadság Hatóság,

SÚDNY DVOR (prvá komora),

v zložení: predseda prvej komory A. Arabadžiev, podpredseda Súdneho dvora L. Bay Larsen, vykonávajúci funkciu sudcu prvej komory, sudcovia P. G. Xuereb, A. Kumin a I. Ziemele (spravodajkyňa),

generálny advokát: P. Pikamäe,

tajomník: I. Illéssy, referent,

so zreteľom na písomnú časť konania a po pojednávaní zo 17. januára 2022,

so zreteľom na pripomienky, ktoré predložili:

Digi Távközlési és Szolgáltató Kft., v zastúpení: R. Hatala a A. D. László, ügyvédek,

Nemzeti Adatvédelmi és Információszabadság Hatóság, v zastúpení: G. Barabás, právny poradca, za právnej pomoci G. J. Dudás a Á. Hargita, ügyvédek,

maďarská vláda, v zastúpení: Zs. Biró‑Tóth a M. Z. Fehér, splnomocnení zástupcovia,

česká vláda, v zastúpení: T. Machovičová, M. Smolek a J. Vláčil, splnomocnení zástupcovia,

portugalská vláda, v zastúpení: P. Barros da Costa, L. Inez Fernandes, I. Oliveira, M. J. Ramos a C. Vieira Guerra, splnomocnení zástupcovia,

Európska komisia, v zastúpení: V. Bottka a H. Kranenborg, splnomocnení zástupcovia,

po vypočutí návrhov generálneho advokáta na pojednávaní 31. marca 2022,

vyhlásil tento

Rozsudok

1

Návrh na začatie prejudiciálneho konania sa týka výkladu článku 5 ods. 1 písm. b) a e) nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1).

2

Tento návrh bol podaný v rámci sporu medzi spoločnosťou Digi Távközlési és Szolgáltató Kft. (ďalej len „Digi“), ktorá je jedným z hlavných poskytovateľov internetových služieb a služieb televízneho vysielania v Maďarsku, na jednej strane a Nemzeti Adatvédelmi és Információszabadság Hatóság (Národný úrad na ochranu údajov a slobodu informácií, Maďarsko) (ďalej len „Úrad“) vo veci porušenia osobných údajov obsiahnutých v databáze spoločnosti Digi.

Právny rámec

3

Odôvodnenia 10 a 50 nariadenia 2016/679 znejú:

„(10)

S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie. …

(50)

Spracúvanie osobných údajov na iné účely ako na účely, na ktoré boli osobné údaje pôvodne získané, by malo byť umožnené len vtedy, ak je toto spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne získané. V takom prípade sa nevyžaduje žiadny iný samostatný právny základ, než je právny základ, ktorý umožňoval získavanie osobných údajov. … S cieľom zistiť, či je účel ďalšieho spracúvania v súlade s účelom, na ktorý boli osobné údaje pôvodne získané, by mal prevádzkovateľ po splnení všetkých požiadaviek zákonnosti pôvodného spracúvania zohľadniť okrem iného[:] akékoľvek prepojenie medzi týmito účelmi a účelmi zamýšľaného ďalšieho spracúvania; kontext, v ktorom sa osobné údaje získali, najmä primerané očakávania dotknutých osôb vyplývajúce z ich vzťahu k prevádzkovateľovi, pokiaľ ide o ich ďalšie použitie; povahu osobných údajov; následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby; a existenciu primeraných záruk v pôvodných aj zamýšľaných operáciách ďalšieho spracúvania.

…“

4

Článok 4 nariadenia 2016/679, nazvaný „Vymedzenie pojmov“, stanovuje:

„Na účely tohto nariadenia:

2.

‚spracúvanie‘ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

…“

5

Podľa článku 5 tohto nariadenia s názvom „Zásady spracúvania osobných údajov“:

„1.   Osobné údaje musia byť:

a)

spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (‚zákonnosť, spravodlivosť a transparentnosť‘);

b)

získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi (‚obmedzenie účelu‘);

c)

primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú (‚minimalizácia údajov‘);

d)

správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia (‚správnosť‘);

e)

uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 89 ods. 1 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb (‚minimalizácia uchovávania‘);

f)

spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení (‚integrita a dôvernosť‘).

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

6

Článok 6 uvedeného nariadenia, nazvaný „Zákonnosť spracúvania“, stanovuje:

„1.   Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a)

dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;

b)

spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;

c)

spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;

d)

spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;

e)

spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

f)

spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

4.   Ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

a)

akékoľvek prepojenie medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;

b)

okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom;

c)

povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa článku 9 alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky podľa článku 10;

d)

možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby;

e)

existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.“

Spor vo veci samej a prejudiciálne otázky

7

Spoločnosť Digi je jedným z hlavných poskytovateľov internetových služieb a služieb televízneho vysielania v Maďarsku.

8

V apríli 2018 Digi po technickej poruche, ktorá ovplyvnila fungovanie servera, vytvorila takzvanú „testovaciu“ databázu (ďalej len „testovacia databáza“), do ktorej skopírovala osobné údaje približne jednej tretiny svojich súkromných zákazníkov, ktoré boli uchovávané v inej databáze s názvom „digihu“, ktorá mohla byť prepojená s internetovou stránkou www.digi.hu a ktorá obsahuje aktualizované údaje osôb, ktoré sa zaregistrovali na odber newslettera spoločnosti Digi na účely priameho marketingu, ako aj údaje správcu systému, ktoré umožňujú prístup k rozhraniu stránky.

9

Dňa 23. septembra 2019 sa Digi dozvedela o tom, že „etický hacker“ získal prístup k osobným údajom približne 322000 osôb, ktoré má Digi k dispozícii. Tento prístup oznámil spoločnosti Digi samotný „etický hacker“, ktorý jej ako dôkaz poskytol jeden riadok z testovacej databázy. Digi chybu, ktorá umožňovala tento prístup, opravila a s touto osobou, ktorej ponúkla odmenu, uzavrela dohodu o mlčanlivosti.

10

Po vymazaní testovacej databázy Digi 25. septembra 2019 oznámila porušenie ochrany osobných údajov Úradu, ktorý následne začal vyšetrovanie.

11

Rozhodnutím z 18. mája 2020 Úrad dospel najmä k záveru, že Digi porušila článok 5 ods. 1 písm. b) a e) nariadenia 2016/679, keďže po vykonaní potrebných testov a oprave chýb testovaciu databázu bezodkladne nevymazala, v dôsledku čoho bolo v tejto databáze takmer 18 mesiacov bez akéhokoľvek účelu uchovávané veľké množstvo osobných údajov v súbore, ktorý umožňoval identifikáciu dotknutých osôb. Úrad preto uložil spoločnosti Digi povinnosť preskúmať všetky jej databázy a uložil jej pokutu vo výške 100000000 maďarských forintov (HUF) (približne 248000 eur).

12

Digi napadla zákonnosť tohto rozhodnutia na vnútroštátnom súde.

13

Tento súd uvádza, že osobné údaje, ktoré Digi skopírovala do testovacej databázy, boli získané na účely uzavretia a plnenia zmlúv o predplatenej službe a že zákonnosť pôvodného získania údajov Úrad nespochybnil. Pýta sa však, či kopírovanie pôvodne získaných údajov do inej databázy malo za následok zmenu účelu pôvodného získania a spracúvania týchto údajov. Dodáva, že musí tiež určiť, či vytvorenie testovacej databázy a ďalšie spracúvanie údajov zákazníkov v tejto inej databáze sú zlučiteľné s účelom pôvodného získania. Domnieva sa, že zásada „obmedzenia účelu“, ako je uvedená v článku 5 ods. 1 písm. b) nariadenia 2016/679, jej neumožňuje určiť interné systémy, v ktorých má prevádzkovateľ právo spracúvať zákonne získané údaje, ani zistiť, či tento prevádzkovateľ môže skopírovať tieto údaje do testovacej databázy bez toho, aby zmenil účel pôvodného získania údajov.

14

Za predpokladu, že by vytvorenie testovacej databázy nebolo v súlade s účelom pôvodného získania, sa vnútroštátny súd tiež pýta, či vzhľadom na to, že účelom spracúvania údajov predplatiteľov v inej databáze nie je oprava chýb, ale uzavretie zmlúv, musí nevyhnutné obdobie uchovávania na základe zásady „minimalizácie uchovávania“ uvedenej v článku 5 ods. 1 písm. e) nariadenia 2016/679 zodpovedať obdobiu, ktoré je nevyhnutné na opravu chýb, alebo obdobiu, ktoré je nevyhnutné na plnenie zmluvných povinností.

15

Za týchto okolností Fővárosi Törvényszék (Súd hlavného mesta Budapešť, Maďarsko) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

„1.

Má sa zásada ‚obmedzenie účelu‘ vymedzená v článku 5 ods. 1 písm. b) nariadenia 2016/679… vykladať v tom zmysle, že je v súlade s uvedenou zásadou, ak prevádzkovateľ súbežne uchováva v inej databáze osobné údaje, ktoré boli inak získané na obmedzený legitímny účel a uchovávané spôsobom, ktorý je zlučiteľný s týmto účelom, alebo naopak v tom zmysle, že uchovávanie údajov v paralelnej databáze už nie je zlučiteľné s legitímnym účelom, na ktorý boli predmetné údaje získané?

2.

Ak sa odpovie na prvú prejudiciálnu otázku v tom zmysle, že súbežné uchovávanie údajov je v zásade nezlučiteľné so zásadou ‚obmedzenia účelu‘, je toto uchovávanie teda zlučiteľné so zásadou ‚minimalizácie uchovávania‘ stanovenou v článku 5 ods. 1 písm. e) nariadenia 2016/679, ak prevádzkovateľ súbežne uchováva v inej databáze osobné údaje, ktoré boli inak získané a uchovávané na obmedzený legitímny účel?“

O prejudiciálnych otázkach

O prípustnosti

16

Úrad, ako aj maďarská vláda vyjadrili pochybnosti, pokiaľ ide o prípustnosť prejudiciálnych otázok, z dôvodu, že tieto otázky nezodpovedajú skutkovým okolnostiam sporu vo veci samej a nie sú priamo relevantné na jeho vyriešenie.

17

V tejto súvislosti treba v prvom rade pripomenúť, že z ustálenej judikatúry Súdneho dvora vyplýva, že prináleží len vnútroštátnemu súdu, ktorému bol spor predložený a ktorý musí niesť zodpovednosť za prijaté súdne rozhodnutie, aby s prihliadnutím na konkrétne okolnosti veci posúdil tak nevyhnutnosť prejudiciálneho rozhodnutia pre vydanie svojho rozsudku, ako aj relevantnosť otázok, ktoré predkladá Súdnemu dvoru. Preto pokiaľ sa predložené otázky týkajú výkladu alebo platnosti právneho predpisu Únie, Súdny dvor je v zásade povinný rozhodnúť. Z toho vyplýva, že pri otázkach položených vnútroštátnymi súdmi platí prezumpcia relevantnosti. Súdny dvor môže odmietnuť rozhodnúť o prejudiciálnej otázke položenej vnútroštátnym súdom len vtedy, ak je zjavné, že požadovaný výklad nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, ak ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými ani právnymi podkladmi potrebnými na užitočnú odpoveď na uvedené otázky (rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 73, ako aj citovaná judikatúra).

18

V prejednávanej veci vnútroštátny súd rozhoduje o žalobe smerujúcej k zrušeniu rozhodnutia, ktorým bola spoločnosti Digi ako prevádzkovateľovi uložená pokuta za porušenie zásady „obmedzenia účelu“ a zásady „minimalizácie uchovávania“, ktoré sú stanovené v písmenách b) a e) článku 5 ods. 1 nariadenia 2016/679, keďže nevymazala databázu obsahujúcu osobné údaje umožňujúce identifikáciu dotknutých osôb. Prejudiciálne otázky sa pritom týkajú práve výkladu týchto ustanovení, takže sa nemožno domnievať, že požadovaný výklad práva Únie nemá súvislosť s existenciou alebo predmetom sporu vo veci samej, alebo je hypotetickej povahy. Okrem toho rozhodnutie vnútroštátneho súdu obsahuje skutkové a právne podklady, ktoré postačujú na užitočnú odpoveď na otázky položené vnútroštátnym súdom.

19

V druhom rade treba pripomenúť, že v rámci konania uvedeného v článku 267 ZFEÚ, ktoré je založené na jasnom oddelení funkcií medzi vnútroštátnymi súdmi a Súdnym dvorom, je len vnútroštátny súd oprávnený vykladať a uplatňovať ustanovenia vnútroštátneho práva, zatiaľ čo Súdny dvor je oprávnený výlučne rozhodnúť o výklade alebo platnosti textu Únie na základe skutočností, ktoré mu uviedol vnútroštátny súd (rozsudok z 5. mája 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, bod 45 a citovaná judikatúra).

20

Preto je potrebné odmietnuť argumentáciu týkajúcu sa neprípustnosti prejudiciálnych otázok, ktorú Úrad a maďarská vláda v podstate vyvodzujú z toho, že prejudiciálne otázky podľa nich nezodpovedajú skutkovým okolnostiam sporu vo veci samej.

21

Z toho vyplýva, že prejudiciálne otázky sú prípustné.

O veci samej

O prvej otázke

22

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 5 ods. 1 písm. b) nariadenia 2016/679 vykladať v tom zmysle, že zásada „obmedzenia účelu“ stanovená v tomto ustanovení bráni tomu, aby prevádzkovateľ zaznamenával a uchovával v databáze vytvorenej na účely testovania a opravy chýb osobné údaje, ktoré boli predtým získané a uchovávané v inej databáze.

23

Podľa ustálenej judikatúry výklad ustanovenia práva Únie si vyžaduje zohľadnenie nielen jeho znenia, ale aj kontextu, do ktorého patrí, a cieľov a účelu aktu, ktorého je súčasťou (rozsudok z 1. augusta 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, bod 42 a citovaná judikatúra).

24

V tejto súvislosti treba v prvom rade uviesť, že článok 5 ods. 1 nariadenia 2016/679 stanovuje zásady týkajúce sa spracúvania osobných údajov, ktoré sú záväzné pre prevádzkovateľa a ktorých dodržiavanie musí byť tento prevádzkovateľ schopný preukázať v súlade so zásadou zodpovednosti uvedenou v odseku 2 tohto článku.

25

Konkrétne podľa článku 5 ods. 1 písm. b) tohto nariadenia, ktorý stanovuje zásadu „obmedzenia účelu“, musia byť osobné údaje jednak získavané na konkrétne určené, výslovne uvedené a legitímne účely a jednak sa nesmú ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi.

26

Zo znenia tohto ustanovenia teda vyplýva, že obsahuje dve požiadavky, z ktorých jedna sa týka účelu pôvodného získania osobných údajov a druhá sa týka ďalšieho spracúvania týchto údajov.

27

Po prvé, pokiaľ ide o požiadavku, podľa ktorej musia byť osobné údaje získavané na konkrétne určené, výslovne uvedené a legitímne účely, z judikatúry Súdneho dvora vyplýva, že táto požiadavka predovšetkým vyžaduje, aby účely spracúvania boli identifikované najneskôr pri získavaní osobných údajov, následne aby boli účely tohto spracúvania jasne uvedené, a napokon, aby účely uvedeného spracúvania zaručovali najmä zákonnosť spracúvania týchto údajov v zmysle článku 6 ods. 1 nariadenia 2016/679 [pozri v tomto zmysle rozsudok z 24. februára 2022, Valsts ieņēmumu dienests (Spracovanie osobných údajov na daňové účely),C‑175/20, EU:C:2022:124, body 6466].

28

V prejednávanej veci zo znenia prvej otázky a z odôvodnenia návrhu na začatie prejudiciálneho konania vyplýva, že osobné údaje, o ktoré ide vo veci samej, boli získané na konkrétne určené, výslovne uvedené a legitímne účely, pričom vnútroštátny súd okrem iného spresnil, že získanie týchto údajov sa uskutočnilo na účely uzavretia a plnenia zmlúv o predplatenej službe medzi spoločnosťou Digi a jej zákazníkmi v súlade s článkom 6 ods. 1 písm. b) nariadenia 2016/679.

29

Po druhé, pokiaľ ide o požiadavku, podľa ktorej osobné údaje nesmú byť predmetom ďalšieho spracúvania, ktoré je nezlučiteľné s týmito účelmi, treba na jednej strane uviesť, že to, že prevádzkovateľ zaznamenáva a uchováva v novo vytvorenej databáze osobné údaje uchovávané v inej databáze, predstavuje „ďalšie spracúvanie“ týchto údajov.

30

Pojem „spracúvanie“ je totiž definovaný široko v článku 4 bode 2 nariadenia 2016/679 ako operácia alebo súbor operácií, ktoré sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami a ktoré sa uplatňujú na osobné údaje alebo súbory osobných údajov, pričom ide najmä o získavanie, zaznamenávanie a uchovávanie týchto údajov.

31

Okrem toho v súlade s obvyklým významom výrazu „ďalšie“ v bežnom jazyku akékoľvek spracúvanie osobných údajov, ktoré nasleduje po pôvodnom spracúvaní, ktoré pozostáva z pôvodného získavania týchto údajov, predstavuje „ďalšie“ spracúvanie uvedených údajov bez ohľadu na účel tohto ďalšieho spracúvania.

32

Na druhej strane treba uviesť, že článok 5 ods. 1 písm. b) nariadenia 2016/679 neobsahuje údaje o podmienkach, za ktorých možno ďalšie spracúvanie osobných údajov považovať za zlučiteľné s účelmi pôvodného získavania týchto údajov.

33

Kontext, do ktorého patrí toto ustanovenie, však poskytuje v druhom rade v tejto súvislosti užitočné spresnenia.

34

Z článku 5 ods. 1 písm. b) v spojení článkom 6 ods. 1 písm. a) a článkom 6 ods. 4 nariadenia 2016/679 totiž vyplýva, že otázka zlučiteľnosti ďalšieho spracúvania osobných údajov s účelmi, na ktoré boli tieto údaje pôvodne získané, vzniká len v prípade, že účely tohto ďalšieho spracúvania nie sú totožné s účelmi pôvodného získavania.

35

Okrem toho z tohto článku 6 ods. 4 v spojení s odôvodnením 50 uvedeného nariadenia vyplýva, že ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, je potrebné na účely zistenia toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, zohľadniť najmä po prvé akékoľvek prepojenie medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania; po druhé okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom; po tretie povahu osobných údajov; po štvrté možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby a napokon po piate existenciu primeraných záruk tak v rámci pôvodného spracúvania, ako aj v rámci zamýšľaného ďalšieho spracúvania.

36

Ako v podstate uviedol generálny advokát v bodoch 28, 59 a 60 svojich návrhov, tieto kritériá vyjadrujú potrebu konkrétneho, logického a dostatočne úzkeho prepojenia medzi účelom pôvodného získania osobných údajov a ďalším spracúvaním týchto údajov a umožňujú zabezpečiť, aby sa toto ďalšie spracúvanie neodchyľovalo od legitímnych očakávaní predplatiteľov, pokiaľ ide o následné použitie ich údajov.

37

V treťom rade tieto kritériá navyše umožňujú, ako v podstate zdôraznil generálny advokát v bode 27 svojich návrhov, obmedziť opakované použitie predtým získaných osobných údajov tým, že zabezpečujú rovnováhu medzi potrebou predvídateľnosti a právnej istoty, pokiaľ ide o účely spracúvania predtým získaných osobných údajov, na jednej strane a uznaním určitej flexibility prevádzkovateľa pri správe týchto údajov na druhej strane, čím prispievajú k dosiahnutiu cieľa spočívajúceho v zabezpečení konzistentnej a vysokej úrovne ochrany fyzických osôb, ktorý je stanovený v odôvodnení 10 nariadenia 2016/679.

38

Vzhľadom na kritériá uvedené v bode 35 tohto rozsudku a vzhľadom na všetky okolnosti charakterizujúce prejednávanú vec tak vnútroštátnemu súdu prislúcha, aby určil tak účely pôvodného získavania osobných údajov, ako aj účely ďalšieho spracúvania týchto údajov a v prípade, že by sa účely tohto ďalšieho spracúvania líšili od účelov tohto získavania, aby overil, či je ďalšie spracúvanie uvedených údajov zlučiteľné s účelmi uvedeného pôvodného získavania.

39

Súdny dvor, ktorý rozhoduje o návrhu na začatie prejudiciálneho konania, však môže poskytnúť spresnenia, ktoré vnútroštátny súd usmernia pri tomto určení (pozri v tomto zmysle rozsudok zo 7. apríla 2022, Fuhrmann‑2, C‑249/21, EU:C:2022:269, bod 32).

40

Po prvé v prejednávanej veci, ako bolo pripomenuté v bode 13 tohto rozsudku, z návrhu na začatie prejudiciálneho konania vyplýva, že osobné údaje pôvodne získala Digi, ktorá je prevádzkovateľom, na účely uzavretia a plnenia zmlúv o predplatnom so svojimi súkromnými zákazníkmi.

41

Po druhé účastníci konania vo veci samej sa nezhodujú na konkrétnom účele zaznamenávania a uchovávania dotknutých osobných údajov spoločnosťou Digi v testovacej databáze. Hoci Digi tvrdí, že konkrétnym účelom vytvorenia testovacej databázy bolo zabezpečiť prístup k údajom predplatiteľov až do opravy chýb, takže tento účel by bol totožný s účelmi sledovanými pôvodným získavaním týchto údajov, Úrad tvrdí, že konkrétny účel ďalšieho spracúvania sa od týchto účelov líšil, keďže spočíval vo vykonávaní testov a v oprave chýb.

42

V tejto súvislosti treba pripomenúť, že z judikatúry citovanej v bode 19 tohto rozsudku vyplýva, že v rámci konania uvedeného v článku 267 ZFEÚ, ktoré je založené na jasnom oddelení funkcií medzi vnútroštátnymi súdmi a Súdnym dvorom, je len vnútroštátny súd oprávnený vykladať a uplatňovať ustanovenia vnútroštátneho práva, zatiaľ čo Súdny dvor je oprávnený výlučne rozhodnúť o výklade alebo platnosti textu Únie na základe skutočností, ktoré mu uviedol vnútroštátny súd.

43

Z rozhodnutia vnútroštátneho súdu pritom vyplýva, že testovacia databáza bola vytvorená spoločnosťou Digi, aby mohla vykonať testy a opraviť chyby, takže práve vzhľadom na tieto účely prináleží vnútroštátnemu súdu posúdiť zlučiteľnosť ďalšieho spracúvania s účelom pôvodného získavania, ktorý spočíval v uzavretí a plnení zmlúv o predplatnom.

44

Po tretie, pokiaľ ide o toto posúdenie, treba uviesť, že vykonanie testov a oprava chýb, ktoré ovplyvňujú databázu predplatiteľov, majú konkrétnu súvislosť s plnením zmlúv o predplatnom súkromných zákazníkov, keďže takéto chyby môžu nepriaznivo ovplyvniť poskytovanie zmluvne dohodnutej služby, pre ktorú boli údaje pôvodne získané. Ako totiž uviedol generálny advokát v bode 60 svojich návrhov, takéto spracúvanie sa neodkláňa od legitímnych očakávaní zákazníkov, pokiaľ ide o ďalšie použitie ich osobných údajov. Z návrhu na začatie prejudiciálneho konania napokon nevyplýva, že by všetky alebo niektoré z týchto údajov boli citlivé alebo že by ich ďalšie spracúvanie ako také malo nepriaznivé následky pre predplatiteľov alebo nebolo sprevádzané primeranými zárukami, čo v každom prípade prináleží overiť vnútroštátnemu súdu.

45

Zo všetkých uvedených úvah vyplýva, že na prvú otázku treba odpovedať tak, že článok 5 ods. 1 písm. b) nariadenia 2016/679 sa má vykladať v tom zmysle, že zásada „obmedzenia účelu“ stanovená v tomto ustanovení nebráni tomu, aby prevádzkovateľ zaznamenával a uchovával v databáze vytvorenej na účely testovania a opravy chýb osobné údaje, ktoré boli predtým získané a uchovávané v inej databáze, ak je takéto ďalšie spracúvanie zlučiteľné s konkrétnymi účelmi, na ktoré boli osobné údaje pôvodne získané, čo treba určiť na základe kritérií uvedených v článku 6 ods. 4 tohto nariadenia.

O druhej otázke

46

Na úvod treba uviesť, že druhá otázka vnútroštátneho súdu, ktorá sa týka toho, či je skutočnosť, že Digi uchováva v testovacej databáze osobné údaje svojich zákazníkov, v súlade so zásadou „minimalizácie uchovávania“ stanovenou v článku 5 ods. 1 písm. e) nariadenia 2016/679, bola týmto súdom položená len v prípade kladnej odpovede na prvú otázku v preformulovanom znení, t. j. ak toto uchovávanie nie je zlučiteľné so zásadou „obmedzenia účelu“ stanovenou v článku 5 ods. 1 písm. b) tohto nariadenia.

47

Na jednej strane, ako uviedol generálny advokát v bode 24 svojich návrhov, sa však zásady týkajúce sa spracúvania osobných údajov uvedené v článku 5 nariadenia 2016/679 uplatňujú kumulatívne. Uchovávanie osobných údajov preto musí rešpektovať nielen zásadu „obmedzenia účelu“, ale aj zásadu „minimalizácie uchovávania“.

48

Na druhej strane treba pripomenúť, že ako vyplýva z odôvodnenia 10 nariadenia 2016/679, cieľom tohto nariadenia je najmä zabezpečiť vysokú úroveň ochrany fyzických osôb v rámci Únie a na tento účel zabezpečiť konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd týchto osôb pri spracúvaní osobných údajov v celej Únii.

49

Na tento účel kapitoly II a III tohto nariadenia uvádzajú zásady, ktorými sa riadi spracúvanie osobných údajov, ako aj práva dotknutej osoby, ktoré musí dodržiavať každé spracúvanie osobných údajov. Konkrétne každé spracúvanie osobných údajov musí byť na jednej strane v súlade so zásadami týkajúcimi sa spracúvania údajov, ktoré sú stanovené v článku 5 uvedeného nariadenia, a na druhej strane najmä vzhľadom na zásadu zákonnosti spracúvania stanovenú v odseku 1 písm. a) tohto článku musí spĺňať jednu z podmienok zákonnosti spracúvania uvedených v článku 6 toho istého nariadenia [pozri v tomto zmysle rozsudky z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 96, a z 24. februára 2022, Valsts ieņēmumu dienests (Spracovanie osobných údajov na daňové účely), C‑175/20, EU:C:2022:124, bod 50].

50

Vzhľadom na tieto úvahy, hoci z formálneho hľadiska položil vnútroštátny súd druhú otázku len v prípade kladnej odpovede na prvú otázku v preformulovanom znení, nebráni to Súdnemu dvoru poskytnúť vnútroštátnemu súdu všetky aspekty výkladu práva Únie, ktoré môžu byť užitočné na posúdenie veci, ktorú prejednáva (pozri v tomto zmysle rozsudok zo 17. marca 2022, Daimler, C‑232/20, EU:C:2022:196, bod 49), a teda odpoveď na túto druhú otázku.

51

Za týchto podmienok treba konštatovať, že touto otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 5 ods. 1 písm. e) nariadenia 2016/679 vykladať v tom zmysle, že zásada „minimalizácie uchovávania“ stanovená v tomto ustanovení bráni tomu, aby prevádzkovateľ uchovával v databáze vytvorenej na účely testovania a opravy chýb osobné údaje, ktoré boli predtým získané na iné účely, a to počas obdobia, ktoré je dlhšie ako obdobie nevyhnutné na vykonanie týchto testov a opravu týchto chýb.

52

V prvom rade treba uviesť, že podľa článku 5 ods. 1 písm. e) nariadenia 2016/679 sa osobné údaje musia uchovávať vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na dosiahnutie účelov, na ktoré sa osobné údaje spracúvajú.

53

Zo znenia tohto článku teda jednoznačne vyplýva, že zásada „minimalizácie uchovávania“ vyžaduje, aby v súlade so zásadou zodpovednosti pripomenutou v bode 24 tohto rozsudku bol prevádzkovateľ schopný preukázať, že osobné údaje sa uchovávajú len počas obdobia, ktoré je nevyhnutné na dosiahnutie účelov, na ktoré boli tieto údaje získané alebo na ktoré boli ďalej spracúvané.

54

Z toho vyplýva, že aj spracúvanie údajov, ktoré bolo pôvodne zákonné, sa môže časom stať nezlučiteľné s nariadením 2016/679, ak už tieto údaje nie sú na tieto účely potrebné [rozsudok z 24. septembra 2019, GC a i. (Odstránenie odkazu na citlivé údaje), C‑136/17, EU:C:2019:773, bod 74], a že údaje musia byť vymazané, ak boli tieto účely dosiahnuté (pozri v tomto zmysle rozsudok zo 7. mája 2009, Rijkeboer, C‑553/07, EU:C:2009:293, bod 33).

55

Tento výklad je v druhom rade v súlade s kontextom, do ktorého patrí článok 5 ods. 1 písm. e) nariadenia 2016/679.

56

V tejto súvislosti bolo v bode 49 tohto rozsudku pripomenuté, že každé spracúvanie osobných údajov musí byť v súlade so zásadami týkajúcimi sa spracúvania údajov stanovenými v článku 5 uvedeného nariadenia a spĺňať jednu z podmienok týkajúcich sa zákonnosti spracúvania, ktoré sú uvedené v článku 6 toho istého nariadenia.

57

Na jednej strane, ako vyplýva z tohto článku 6, ak dotknutá osoba nesúhlasila so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely v súlade s článkom 6 ods. 1 písm. a) nariadenia 2016/679, spracovanie musí, ako vyplýva z písmen b) až f) uvedeného odseku, spĺňať požiadavku nevyhnutnosti.

58

Na druhej strane takáto požiadavka nevyhnutnosti vyplýva aj zo zásady „minimalizácie údajov“ stanovenej v článku 5 ods. 1 písm. c) tohto nariadenia, podľa ktorej osobné údaje musia byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.

59

V treťom rade takýto výklad je v súlade s cieľom sledovaným článkom 5 ods. 1 písm. e) nariadenia 2016/679, ktorým je, ako bolo pripomenuté v bode 48 tohto rozsudku, najmä zabezpečiť vysokú úroveň ochrany fyzických osôb v rámci Únie pri spracúvaní osobných údajov.

60

V prejednávanej veci Digi tvrdila, že osobné údaje časti jej súkromných zákazníkov uchovávané v testovacej databáze neboli z dôvodu nepozornosti vymazané po vykonaní testov a oprave chýb.

61

V tejto súvislosti stačí uviesť, že toto tvrdenie je irelevantné na účely posúdenia, či sa údaje uchovávali počas obdobia, ktoré je dlhšie ako obdobie nevyhnutné na dosiahnutie účelov, na ktoré boli ďalej spracúvané, a to v rozpore so zásadou „minimalizácie uchovávania“ stanovenou v článku 5 ods. 1 písm. e) nariadenia 2016/679.

62

Zo všetkých uvedených úvah vyplýva, že na druhú otázku treba odpovedať tak, že článok 5 ods. 1 písm. e) nariadenia 2016/679 sa má vykladať v tom zmysle, že zásada „minimalizácie uchovávania“ stanovená v tomto ustanovení bráni tomu, aby prevádzkovateľ uchovával v databáze vytvorenej na účely testovania a opravy chýb osobné údaje, ktoré boli predtým získané na iné účely, a to počas obdobia, ktoré je dlhšie ako obdobie nevyhnutné na vykonanie týchto testov a opravu týchto chýb.

O trovách

63

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

 

Z týchto dôvodov Súdny dvor (prvá komora) rozhodol takto:

 

1.

Článok 5 ods. 1 písm. b) nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),

sa má vykladať v tom zmysle, že:

zásada „obmedzenia účelu“ stanovená v tomto ustanovení nebráni tomu, aby prevádzkovateľ zaznamenával a uchovával v databáze vytvorenej na účely testovania a opravy chýb osobné údaje, ktoré boli predtým získané a uchovávané v inej databáze, ak je takéto ďalšie spracúvanie zlučiteľné s konkrétnymi účelmi, na ktoré boli osobné údaje pôvodne získané, čo treba určiť na základe kritérií uvedených v článku 6 ods. 4 tohto nariadenia.

 

2.

Článok 5 ods. 1 písm. e) nariadenia 2016/679

sa má vykladať v tom zmysle, že:

zásada „minimalizácie uchovávania“ stanovená v tomto ustanovení bráni tomu, aby prevádzkovateľ uchovával v databáze vytvorenej na účely testovania a opravy chýb osobné údaje, ktoré boli predtým získané na iné účely, a to počas obdobia, ktoré je dlhšie ako obdobie nevyhnutné na vykonanie týchto testov a opravu týchto chýb.

 

Podpisy


( *1 ) Jazyk konania: maďarčina.