–

za Digi Távközlési és Szolgáltató Kft. R. Hatala in A. D. László, ügyvédek,

–

za Nemzeti Adatvédelmi és Információszabadság Hatóság G. Barabás, pravni svetovalec, skupaj z G. J. Dudásom in A. Hargito, ügyvédek,

–

za madžarsko vlado Zs. Biró-Tóth in M. Z. Fehér, agenta,

–

za češko vlado T. Machovičová, M. Smolek in J. Vláčil, agenti,

–

za portugalsko vlado P. Barros da Costa, L. Inez Fernandes, I. Oliveira, M. J. Ramos in C. Vieira Guerra, agenti,

–

za Evropsko komisijo V. Bottka in H. Kranenborg, agenta,

1

Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 5(1)(b) in (e) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2).

2

Ta predlog je bil vložen v okviru spora med družbo Digi Távközlési és Szolgáltató Kft. (v nadaljevanju: Digi), enim od glavnih ponudnikov internetnih in televizijskih storitev na Madžarskem, in Nemzeti Adatvédelmi és Információszabadság Hatóság (nacionalni organ za varstvo podatkov in svobodo obveščanja, Madžarska) (v nadaljevanju: organ) zaradi kršitve osebnih podatkov, vsebovanih v podatkovni zbirki družbe Digi.

3

V uvodnih izjavah 10 in 50 Uredbe 2016/679 je navedeno:

[…]

4

Člen 4 Uredbe 2016/679, naslovljen „Opredelitev pojmov“, določa:

„V tej uredbi

[…]

[…]“.

5

Člen 5 te uredbe, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:

„1.   Osebni podatki morajo biti:

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (,odgovornost‘).“

6

Člen 6 navedene uredbe, naslovljen „Zakonitost obdelave“, določa:

„1.   Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

[…]

4.   Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

7

Družba Digi je eden od glavnih ponudnikov internetnih in televizijskih storitev na Madžarskem.

8

Družba Digi je aprila 2018 zaradi tehnične napake, ki je vplivala na delovanje strežnika, ustvarila podatkovno zbirko, imenovano „test“ (v nadaljevanju: testna podatkovna zbirka), v katero je kopirala osebne podatke približno tretjine svojih zasebnih strank, ki so bili shranjeni v drugi podatkovni zbirki, imenovani „digihu“, ki bi se jo lahko povezalo s spletno stranjo www.digi.hu in ki je za namene neposrednega trženja vsebovala posodobljene podatke oseb, ki so se naročile na elektronsko glasilo družbe Digi, in podatke skrbnikov sistemov, ki omogočajo dostop do vmesnika navedene spletne strani.

9

Družba Digi je 23. septembra 2019 izvedela, da je „etični heker“ pridobil dostop do osebnih podatkov približno 322.000 oseb, ki jih je ta družba hranila. O tem dostopu je družbo Digi obvestil sam „etični heker“, ki ji je kot dokaz posredoval enega od vnosov iz testne podatkovne zbirke. Družba Digi je napako, ki je omogočila ta dostop, odpravila in z etičnim hekerjem sklenila pogodbo o zaupnosti in mu ponudila nagrado.

10

Po izbrisu testne podatkovne zbirke je družba Digi o kršitvi osebnih podatkov 25. septembra 2019 obvestila organ, ta pa je nato uvedel preiskavo.

11

Organ je z odločbo z dne 18. maja 2020 med drugim ugotovil, da je družba Digi kršila člen 5(1)(b) in (e) Uredbe 2016/679, ker po tem, ko je opravila potrebna testiranja in odpravila napako, testne podatkovne zbirke ni takoj izbrisala, tako da je bilo v tej podatkovni zbirki skoraj 18 mesecev brez kakršnega koli namena shranjenih veliko število osebnih podatkov v datoteki, ki omogoča identifikacijo posameznikov, na katere se ti podatki nanašajo. Zato je organ družbi Digi naložil, naj pregleda vse svoje podatkovne zbirke in ji naložil globo v višini 100.000.000 madžarskih forintov (HUF) (približno 248.000 EUR).

12

Družba Digi je zakonitost te odločbe izpodbijala pred predložitvenim sodiščem.

13

Zadnjenavedeno sodišče navaja, da so bili osebni podatki, ki jih je družba Digi kopirala v testno podatkovno zbirko, zbrani za namene sklenitve in izvajanja naročniških pogodb in da organ ni izpodbijal zakonitosti prvotnega zbiranja osebnih podatkov. Vendar se sprašuje, ali je bil zaradi kopiranja prvotno zbranih podatkov v drugo podatkovno zbirko spremenjen namen prvotnega zbiranja in obdelave teh podatkov. Dodaja, da mora tudi ugotoviti, ali sta vzpostavitev testne podatkovne zbirke in nadaljnja obdelava podatkov strank v tej drugi zbirki združljivi z nameni prvotnega zbiranja podatkov. Meni, da mu načelo „omejitve namena“, kot je določeno v členu 5(1)(b) Uredbe 2016/679, ne omogoča ugotovitve, v katerih internih sistemih ima upravljavec pravico obdelovati podatke, ki so bili zbrani zakonito, in ali lahko navedeni upravljavec te podatke kopira v testno podatkovno zbirko, ne da bi se spremenil namen prvotnega zbiranja podatkov.

14

Če vzpostavitev testne podatkovne zbirke ni združljiva z namenom prvotnega zbiranja, se predložitveno sodišče sprašuje tudi, ali mora potrebno obdobje hrambe – če namen obdelave podatkov naročnikov v drugi podatkovni zbirki ni odprava napak, ampak sklenitev pogodb – v skladu z načelom „omejitve hrambe“ iz člena 5(1)(e) Uredbe 2016/679 ustrezati času, ki je potreben za odpravo napak, ali času, ki je potreben za izpolnitev pogodbenih obveznosti.

15

V teh okoliščinah je Fővárosi Törvényszék (županijsko sodišče v Budimpešti, Madžarska) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ti vprašanji:

16

Organ in madžarska vlada sta izrazila dvome glede dopustnosti vprašanj za predhodno odločanje, ker naj ti vprašanji ne bi ustrezali dejanskemu stanju spora iz postopka v glavni stvari in naj ne bi bili neposredno upoštevni za njegovo rešitev.

17

V zvezi s tem je treba na prvem mestu opozoriti, da iz ustaljene sodne prakse Sodišča izhaja, da le nacionalno sodišče, ki odloča o sporu in ki mora prevzeti odgovornost za sodno odločbo, ki bo izdana, ob upoštevanju posebnosti zadeve presodi tako potrebo po izdaji predhodne odločbe za to, da bo lahko izdalo sodbo, kot tudi upoštevnost vprašanj, ki jih predloži Sodišču. Zato Sodišče načeloma mora odločati, če se predložena vprašanja nanašajo na razlago ali veljavnost pravila prava Unije. Iz tega sledi, da za vprašanja, ki jih postavijo nacionalna sodišča, velja domneva upoštevnosti. Sodišče odgovor na vprašanje za predhodno odločanje, ki ga je postavilo nacionalno sodišče, zavrne le, če je očitno, da zahtevana razlaga ni v nikakršni zvezi z dejanskim stanjem ali predmetom spora o glavni stvari, če je problem hipotetičen ali če Sodišče nima na voljo pravnih in dejanskih elementov, da bi lahko na postavljena vprašanja dalo koristne odgovore (sodba z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 73 in navedena sodna praksa).

18

V obravnavanem primeru predložitveno sodišče odloča o tožbi za razglasitev ničnosti odločbe o sankcioniranju družbe Digi kot upravljavca zaradi kršitve načela „omejitve namena“ in načela „omejitve hrambe“, ki sta določeni v točkah (b) in (e) člena 5(1) Uredbe 2016/679, ker ni izbrisala podatkovne zbirke, ki vsebuje osebne podatke, ki omogočajo identifikacijo posameznikov, na katere se osebni podatki nanašajo. Vprašanji za predhodno odločanje pa se nanašata prav na razlago teh določb, tako da ni mogoče šteti, da zahtevana razlaga prava Unije nima zveze z dejanskim stanjem ali predmetom spora o glavni stvari ali da je hipotetična. Poleg tega predložitvena odločba vsebuje zadostne dejanske in pravne elemente, da je na vprašanji predložitvenega sodišča mogoče podati koristen odgovor.

19

Na drugem mestu je treba navesti, da je zgolj nacionalno sodišče v okviru postopka iz člena 267 PDEU, ki temelji na jasni ločitvi nalog med nacionalnimi sodišči in Sodiščem, pristojno za razlago in uporabo določb nacionalnega prava, medtem ko je Sodišče pristojno le, da na podlagi dejstev, ki jih je navedlo nacionalno sodišče, odloči o razlagi ali veljavnosti besedila Unije (sodba z dne 5. maja 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, točka 45 in navedena sodna praksa).

20

Zato je treba trditev o nedopustnosti vprašanj za predhodno odločanje, ki jo organ in madžarska vlada v bistvu utemeljujeta s tem, da vprašanji za predhodno odločanje – po njunem mnenju – ne ustrezata dejanskemu stanju spora o glavni stvari, zavrniti.

21

Iz tega izhaja, da sta vprašanji za predhodno odločanje dopustni.

22

Predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba člen 5(1)(b) Uredbe 2016/679 razlagati tako, da načelo „omejitve namena“ iz te določbe nasprotuje temu, da upravljavec v podatkovno bazo, ki je bila ustvarjena zaradi testiranja in odprave napak, vnese in v njej hrani osebne podatke, ki so bili predhodno zbrani in shranjeni v drugi podatkovni zbirki.

23

V skladu z ustaljeno sodno prakso je treba pri razlagi določbe prava Unije upoštevati ne le njeno besedilo, ampak tudi sobesedilo, v katero je umeščena, ter cilje in namen akta, katerega del je (sodba z dne 1. avgusta 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, točka 42 in navedena sodna praksa).

24

V zvezi s tem je treba na prvem mestu navesti, da člen 5(1) Uredbe 2016/679 določa načela v zvezi z obdelavo osebnih podatkov, ki jih mora upravljavec spoštovati in katerih spoštovanje mora biti zmožen dokazati v skladu z načelom odgovornosti iz odstavka 2 tega člena.

25

Natančneje, v skladu s členom 5(1)(b) te uredbe, ki določa načelo „omejitve namena“, morajo biti osebni podatki zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni.

26

Iz besedila te določbe tako izhaja, da ta vsebuje dve zahtevi, eno v zvezi z nameni prvotnega zbiranja osebnih podatkov in drugo v zvezi z nadaljnjo obdelavo teh podatkov.

27

Prvič, v zvezi z zahtevo, da je treba osebne podatke zbirati za določene, izrecne in zakonite namene, iz sodne prakse Sodišča izhaja, da ta zahteva pomeni, najprej, da morajo biti nameni obdelave opredeljeni najpozneje ob zbiranju osebnih podatkov, dalje, da morajo biti nameni te obdelave jasno navedeni in, nazadnje, da morajo nameni navedene obdelave med drugim zagotoviti zakonito obdelavo teh podatkov v smislu člena 6(1) Uredbe 2016/679 (glej v tem smislu sodbo z dne 24. februarja 2022, Valsts ieņēmumu dienests (Obdelava osebnih podatkov v davčne namene), C‑175/20, EU:C:2022:124, točke od 64 do 66).

28

V obravnavanem primeru je iz besedila prvega vprašanja in obrazložitve predložitvene odločbe razvidno, da so bili osebni podatki iz postopka v glavni stvari zbrani za določene, izrecne in zakonite namene, pri čemer predložitveno sodišče poleg tega pojasnjuje, da so bili ti podatki zbrani v skladu s členom 6(1)(b) Uredbe 2016/679 z namenom, da bi lahko družba Digi s svojimi strankami sklenila in izvajala naročniške pogodbe.

29

Drugič, v zvezi z zahtevo, da osebni podatki ne smejo biti predmet nadaljnje obdelave, ki ni združljiva s temi nameni, je na eni strani treba navesti, da to, da upravljavec v novoustvarjeno podatkovno zbirko vnese in v njej hrani osebne podatke, hranjene v drugi podatkovni zbirki, pomeni „nadaljnjo obdelavo“ teh podatkov.

30

Pojem „obdelava“ je namreč v členu 4, točka 2, Uredbe 2016/679 opredeljen široko in pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je med drugim zbiranje, beleženje in shranjevanje teh podatkov.

31

Poleg tega v skladu z običajnim pomenom besede „nadaljnja“ v vsakdanjem jeziku vsaka obdelava osebnih podatkov, ki sledi prvotni obdelavi na podlagi prvotnega zbiranja teh podatkov, pomeni „nadaljnjo“ obdelavo navedenih podatkov, ne glede na namen te nadaljnje obdelave.

32

Na drugi strani je treba navesti, da v členu 5(1)(b) Uredbe 2016/679 ni navedb glede pogojev, pod katerimi se lahko nadaljnja obdelava osebnih podatkov šteje za združljivo z nameni, za katere so bili ti podatki prvotno zbrani.

33

Vendar sobesedilo, v katero je umeščena ta določba, na drugem mestu vsebuje koristna pojasnila v zvezi s tem.

34

Iz člena 5(1)(b) v povezavi s členom 6(1)(a) in členom 6(4) Uredbe 2016/679 namreč izhaja, da se vprašanje združljivosti nadaljnje obdelave osebnih podatkov z nameni, za katere so bili ti podatki prvotno zbrani, postavlja le, če nameni te nadaljnje obdelave ne bi bili enaki namenom prvotnega zbiranja.

35

Poleg tega iz tega člena 6(4) v povezavi z uvodno izjavo 50 navedene uredbe izhaja, da kadar obdelava za drug namen, kot je ta, za katerega so bili podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, je treba pri oceni, ali je obdelava v drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upoštevati, prvič, morebitni obstoj povezave med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave; drugič, okoliščine, v katerih so bili osebni podatki zbrani, zlasti v zvezi z razmerjem med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem; tretjič, naravo osebnih podatkov; četrtič, možne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki, in nazadnje, petič, obstoj ustreznih zaščitnih ukrepov v okviru prvotne obdelave in predvidene nadaljnje obdelave.

36

Kot je generalni pravobranilec v bistvu navedel v točkah 28, 59 in 60 sklepnih predlogov, ta merila izražajo potrebo po konkretni, logični in dovolj tesni povezavi med nameni prvotnega zbiranja osebnih podatkov in nadaljnjo obdelavo teh podatkov ter zagotavljajo, da se pri tej nadaljnji obdelavi ne odstopa od legitimnih pričakovanj naročnikov glede nadaljnje uporabe njihovih podatkov.

37

Poleg tega, na tretjem mestu, ta merila omogočajo, kot je generalni pravobranilec v bistvu poudaril v točki 27 sklepnih predlogov, da se ponovna uporaba predhodno zbranih osebnih podatkov uredi tako, da se zagotovi vzpostavitev ravnovesja med na eni strani potrebo po predvidljivosti in pravni varnosti v zvezi z nameni obdelave predhodno zbranih osebnih podatkov in na drugi strani priznanje določene prožnosti upravljavca pri upravljanju teh podatkov, ter tako prispevajo k uresničevanju cilja zagotavljanja dosledne in visoke ravni varstva posameznikov, ki je naveden v uvodni izjavi 10 Uredbe 2016/679.

38

Tako mora nacionalno sodišče ob upoštevanju meril, navedenih v točki 35 te sodbe, in vseh okoliščin obravnavane zadeve določiti tako namene prvotnega zbiranja osebnih podatkov kot tudi namene nadaljnje obdelave teh podatkov, in če bi se nameni te nadaljnje obdelave razlikovali od namenov tega zbiranja, preveriti, ali je nadaljnja obdelava navedenih podatkov združljiva z nameni navedenega prvotnega zbiranja.

39

Vendar lahko Sodišče, ko odloča o predlogu za sprejetje predhodne odločbe, poda pojasnila, ki nacionalno sodišče usmerjajo pri tej določitvi (glej v tem smislu sodbo z dne 7. aprila 2022, Fuhrmann-2, C‑249/21, EU:C:2022:269, točka 32)

40

V obravnavanem primeru je, prvič, kot je bilo opozorjeno v točki 13 te sodbe, iz predložitvene odločbe razvidno, da je družba Digi, ki je upravljavec, osebne podatke prvotno zbrala za namene sklenitve in izvajanja naročniških pogodb s svojimi zasebnimi strankami.

41

Drugič, stranki v postopku v glavni stvari se ne strinjata glede določenega namena vnosa zadevnih osebnih podatkov v testno podatkovno zbirko in hrambe v njej s strani družbe Digi. Namreč, medtem ko družba Digi trdi, da je bil določen namen vzpostavitve testne podatkovne zbirke zagotoviti dostop do podatkov naročnikov, dokler se napake ne odpravijo, tako da naj bi bil ta namen enak namenom, ki se uresničujejo s prvotnim zbiranjem teh podatkov, organ trdi, da je bil določen namen nadaljnje obdelave drugačen od teh namenov, saj naj bi zajemal izvedbo testiranj in odpravo napak.

42

V zvezi s tem je treba opozoriti, da iz sodne prakse, navedene v točki 19 te sodbe, izhaja, da je v okviru postopka iz člena 267 PDEU, ki temelji na jasni ločitvi nalog med nacionalnimi sodišči in Sodiščem, zgolj nacionalno sodišče pristojno za razlago in uporabo določb nacionalnega prava, medtem ko je Sodišče pristojno le, da na podlagi dejstev, ki jih je navedlo nacionalno sodišče, odloči o razlagi ali veljavnosti besedila Unije.

43

Iz predložitvene odločbe pa je razvidno, da je družba Digi testno podatkovno zbirko ustvarila, da bi lahko opravila testiranja in odpravila napake, tako da mora predložitveno sodišče glede na te namene presoditi združljivost nadaljnje obdelave z nameni prvotnega zbiranja, ki je sklenitev in izvajanje naročniških pogodb.

44

Tretjič, v zvezi s to presojo je treba navesti, da sta izvedba testiranj in odprava napak, ki vplivata na podatkovno zbirko naročnikov, konkretno povezana z izvajanjem naročniških pogodb zasebnih strank, saj bi lahko take napake škodovale zagotavljanju pogodbeno določene storitve, za katero so bili podatki prvotno zbrani. Kot je generalni pravobranilec navedel v točki 60 sklepnih predlogov, se namreč pri taki obdelavi ne odstopa od legitimnih pričakovanj teh strank glede nadaljnje uporabe njihovih osebnih podatkov. Poleg tega iz predložitvene odločbe ni razvidno, da bi bili vsi ali del teh podatkov občutljivi ali da bi imela zadevna nadaljnja obdelava teh podatkov kot taka škodljive posledice za naročnike ali da ne bi obstajali ustrezni zaščitni ukrepi, kar mora vsekakor preveriti predložitveno sodišče.

45

Iz vseh zgornjih preudarkov izhaja, da je treba na prvo vprašanje odgovoriti, da je treba člen 5(1)(b) Uredbe 2016/679 razlagati tako, da načelo „omejitve namena“ iz te določbe ne nasprotuje temu, da upravljavec v podatkovno zbirko, ki je bila ustvarjena za izvedbo testiranja in odpravo napak, vnese in v njej hrani osebne podatke, ki so bili predhodno zbrani in shranjeni v drugi podatkovni bazi, če je taka nadaljnja obravnava združljiva z določenimi nameni, za katere so bili osebni podatki prvotno zbrani, kar je treba presoditi ob upoštevanju meril iz člena 6(4) te uredbe.

46

Najprej je treba navesti, da je predložitveno sodišče drugo vprašanje, ki se nanaša na to ali je to, da družba Digi osebne podatke svojih strank hrani v testni podatkovni zbirki skladno z načelom „omejitve hrambe“ iz člena 5(1)(e) Uredbe 2016/679, postavilo le za primer, če bi bil odgovor na prvo vprašanje, kakor je bilo preoblikovano, pritrdilen, torej če ta hramba ne bi bila združljiva z načelom „omejitve namena“ iz člena 5(1)(b) te uredbe.

47

Vendar se, na eni strani, kot je navedel generalni pravobranilec v točki 24 sklepnih predlogov, načela v zvezi z obdelavo osebnih podatkov iz člena 5 Uredbe št. 2016/679 uporabljajo kumulativno. Zato je treba pri hrambi osebnih podatkov spoštovati ne le načelo „omejitve namena“, ampak tudi načelo „omejitve hrambe“.

48

Na drugi strani je treba opozoriti, da je cilj Uredbe št. 2016/679, kot je razvidno iz njene uvodne izjave 10, med drugim zagotoviti visoko raven varstva posameznikov v Uniji in za to zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin teh oseb pri obdelavi osebnih podatkov v celotni Uniji.

49

Za to so v poglavjih II in III te uredbe navedena načela, ki urejajo obdelavo osebnih podatkov, oziroma pravice posameznika, na katerega se nanašajo osebni podatki, ki se morajo spoštovati pri vsaki obdelavi osebnih podatkov. Natančneje, vsaka obdelava osebnih podatkov mora biti po eni strani skladna z načeli v zvezi z obdelavo podatkov iz člena 5 navedene uredbe, po drugi strani pa mora ob upoštevanju zlasti načela zakonitosti obdelave iz odstavka 1(a) tega člena izpolnjevati enega od pogojev za zakonitost obdelave, ki so našteti v členu 6 iste uredbe (glej v tem smislu sodbi z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C‑439/19, EU:C:2021:504, točka 96, in z dne 24. februarja 2022, Valsts ieņēmumu dienests (Obdelava osebnih podatkov v davčne namene), C‑175/20, EU:C:2022:124, točka 50).

50

Glede na navedene preudarke, čeprav je predložitveno sodišče drugo vprašanje formalno postavilo le za primer, če bi bil odgovor na prvo vprašanje, kakor je bilo preoblikovano, pritrdilen, taka okoliščina Sodišča ne ovira pri tem, da predložitvenemu sodišču ne bi posredovalo vseh elementov za razlago prava Unije, ki bi mu lahko koristili pri presoji zadeve, o kateri odloča (glej v tem smislu sodbo z dne 17. marca 2022, Daimler, C‑232/20, EU:C:2022:196, točka 49), in zato odgovorilo na to drugo vprašanje.

51

V teh okoliščinah je treba šteti, da predložitveno sodišče s tem vprašanjem v bistvu sprašuje, ali je treba člen 5(1)(e) Uredbe 2016/679 razlagati tako, da načelo „omejitve hrambe“ iz te določbe nasprotuje temu, da upravljavec v podatkovni zbirki, ki je bila ustvarjena zaradi testiranj in odprave napak, osebne podatke, ki so bili predhodno zbrani za druge namene, hrani daljše obdobje, kot je potrebno za izvedbo teh testiranj in odpravo teh napak.

52

Na prvem mestu je treba navesti, da je treba v skladu s členom 5(1)(e) Uredbe 2016/679 osebne podatke hraniti v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za dosego namenov, za katere se ti podatki obdelujejo.

53

Iz besedila tega člena tako nedvoumno izhaja, da načelo „omejitve hrambe“ zahteva, da mora biti upravljavec v skladu z načelom odgovornosti, navedenim v točki 24 te sodbe, zmožen dokazati, da se osebni podatki hranijo le toliko časa, kolikor je potrebno za dosego namenov, za katere so bili zbrani ali za katere so bili nadaljnje obdelani.

54

Iz tega izhaja, da lahko tudi prvotno zakonita obdelava podatkov sčasoma postane nezdružljiva z Uredbo 2016/679, če ti podatki niso več potrebni za dosego teh namenov (sodba z dne 24. septembra 2019, GC in drugi (Odstranitev povezav do občutljivih podatkov), C‑136/17, EU:C:2019:773, točka 74) in da se morajo podatki izbrisati, ko so navedeni nameni doseženi (glej v tem smislu sodbo z dne 7. maja 2009, Rijkeboer, C‑553/07, EU:C:2009:293, točka 33).

55

Ta razlaga je, na drugem mestu, skladna s sobesedilom, v katero je umeščen člen 5(1)(e) Uredbe 2016/679.

56

V zvezi s tem je bilo v točki 49 te sodbe opozorjeno, da mora biti vsaka obdelava osebnih podatkov skladna z načeli v zvezi z obdelavo podatkov iz člena 5 navedene uredbe in mora izpolnjevati enega od pogojev za zakonitost obdelave, ki so našteti v členu 6 te uredbe.

57

Na eni strani, kot izhaja iz tega člena 6, če posameznik, na katerega se nanašajo osebni podatki, ni privolil v obdelavo svojih osebnih podatkov v enega ali več določenih namenov v skladu s členom 6(1)(a) Uredbe 2016/679, mora obdelava, kot je razvidno iz točk od (b) do (f) navedenega odstavka, izpolnjevati zahtevo po potrebnosti.

58

Na drugi strani, taka zahteva po potrebnosti izhaja tudi iz načela „najmanjšega obsega podatkov“, določenega v členu 5(1)(c) te uredbe, v skladu s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

59

Taka razlaga je, na tretjem mestu, skladna s ciljem člena 5(1)(e) Uredbe 2016/679, ki je, kot je bilo opozorjeno v točki 48 te sodbe, med drugim zagotoviti visoko raven varstva posameznikov v Uniji pri obdelavi osebnih podatkov.

60

V obravnavani zadevi je družba Digi trdila, da osebni podatki dela njenih zasebnih strank, ki so bili shranjeni v testni podatkovni zbirki, po izvedbi testiranj in odpravi napak nenamerno niso bili izbrisani.

61

V zvezi s tem zadostuje navesti, da ta trditev ni upoštevna za presojo, ali so bili podatki v nasprotju z načelom „omejitve hrambe“ iz člena 5(1)(e) Uredbe 2016/679 shranjeni daljše obdobje, kot je bilo potrebno za dosego namenov, za katere so bili ti podatki nadalje obdelani.

62

Iz vseh zgornjih preudarkov izhaja, da je treba na drugo vprašanje odgovoriti, da je treba člen 5(1)(e) Uredbe 2016/679 razlagati tako, da načelo „omejitve hrambe“ iz te določbe nasprotuje temu, da upravljavec v podatkovni zbirki, ki je bila ustvarjena za izvedbo testiranj in odpravo napak, osebne podatke, ki so bili predhodno zbrani za druge namene, hrani daljše obdobje, kot je potrebno za izvedbo teh testiranj in odpravo teh napak.

63

Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (prvi senat) razsodilo: