EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CJ0077

Domstolens dom (första avdelningen) av den 20 oktober 2022.
Digi Távközlési és Szolgáltató Kft. mot Nemzeti Adatvédelmi és Információszabadság Hatóság.
Begäran om förhandsavgörande från Fővárosi Törvényszék.
Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 5.1 b och e – Principen om ändamålsbegränsning – Principen om lagringsminimering – Skapande av en databas, på grundval av en befintlig databas, för att utföra tester och åtgärda fel – Senare behandling av uppgifter – Huruvida den senare behandlingen av uppgifterna är förenlig med ändamålen för den ursprungliga insamlingen – Lagringstid med hänsyn till dessa ändamål.
Mål C-77/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:805

  The document is unavailable in your User interface language.

 DOMSTOLENS DOM (första avdelningen)

den 20 oktober 2022 ( *1 )

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 5.1 b och e – Principen om ändamålsbegränsning – Principen om lagringsminimering – Skapande av en databas, på grundval av en befintlig databas, för att utföra tester och åtgärda fel – Senare behandling av uppgifter – Huruvida den senare behandlingen av uppgifterna är förenlig med ändamålen för den ursprungliga insamlingen – Lagringstid med hänsyn till dessa ändamål”

I mål C‑77/21,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Fővárosi Törvényszék (Överdomstolen för Budapests stad, Ungern) genom beslut av den 21 januari 2021, som inkom till domstolen den 8 februari 2021, i målet

Digi Távközlési és Szolgáltató Kft.

mot

Nemzeti Adatvédelmi és Információszabadság Hatóság,

meddelar

DOMSTOLEN (första avdelningen),

sammansatt av avdelningsordföranden A. Arabadjiev, domstolens vice ordförande L. Bay Larsen, tillika tillförordnad domare på första avdelningen, samt domarna P.G. Xuereb, A. Kumin och I. Ziemele (referent),

generaladvokat: P. Pikamäe,

justitiesekreterare: handläggaren I. Illéssy,

efter det skriftliga förfarandet och förhandlingen den 17 januari 2022,

med beaktande av de yttranden som avgetts av:

Digi Távközlési és Szolgáltató Kft., genom R. Hatala och A.D. László, ügyvédek,

Nemzeti Adatvédelmi és Információszabadság Hatóság, genom G. Barabás, juridiskt ombud, biträdd av G.J. Dudás och Á. Hargita, ügyvédek,

Ungerns regering, genom Zs. Biró-Tóth och M.Z. Fehér, båda i egenskap av ombud,

Tjeckiens regering, genom T. Machovičová, M. Smolek och J. Vláčil, samtliga i egenskap av ombud,

Portugals regering, genom P. Barros da Costa, M.L. Inez Fernandes, I. Oliveira, M.J. Ramos och C. Vieira Guerra, samtliga i egenskap av ombud,

Europeiska kommissionen, genom V. Bottka och H. Kranenborg, båda i egenskap av ombud,

och efter att den 31 mars 2022 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1

Begäran om förhandsavgörande avser tolkningen av artikel 5.1 b och e i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35).

2

Denna begäran har framställts i ett mål mellan Digi Távközlési és Szolgáltató Kft. (nedan kallat Digi), som är en av de största leverantörerna av internet- och televisionstjänster i Ungern, och Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationella tillsynsmyndigheten för dataskydd och informationsfrihet, Ungern) (nedan kallad tillsynsmyndigheten), angående en personuppgiftsincident avseende personuppgifter i en av Digis databaser.

Tillämpliga bestämmelser

3

I skäl 10 och 50 i förordning 2016/679 anges följande:

”(10)

För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. …

(50)

Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. … För att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

…”

4

I artikel 4 i förordning nr 2016/679, med rubriken ”Definitioner”, föreskrivs följande:

”I denna förordning avses med

2.

behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

…”

5

I artikel 5 i nämnda förordning, med rubriken ”Principer för behandling av personuppgifter”, anges följande:

”1.   Vid behandling av personuppgifter ska följande gälla:

a)

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)

De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)

De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d)

De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

e)

De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f)

De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

6

I artikel 6 i förordningen, med rubriken ”Laglig behandling av personuppgifter”, föreskrivs följande:

”1.   Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)

Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b)

Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)

Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)

Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)

Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f)

Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

4.   Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:

a)

Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.

b)

Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c)

Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10.

d)

Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e)

Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”

Målet vid den nationella domstolen och tolkningsfrågorna

7

Digi är en av de största leverantörerna av internet- och televisionstjänster i Ungern.

8

Till följd av ett tekniskt fel som påverkat funktionen hos en server upprättade Digi, i april 2018, en så kallad testdatabas (nedan kallad testdatabasen). Till denna databas kopierades Digis personuppgifter om cirka en tredjedel av bolagets privatkunder, vilka fanns lagrade i en annan databas kallad digihu, som man kunde få tillgång till via webbplatsen www.digi.hu, och som innehöll uppdaterade uppgifter om de personer som hade anmält sig för att ta emot Digis nyhetsbrev för direktmarknadsföring, samt uppgifter om systemadministratören med tillgång till webbplatsens gränssnitt.

9

Den 23 september 2019 fick Digi information om att en ”etisk hackare” hade fått tillgång till bolagets personuppgifter avseende cirka 322000 personer. Digi mottog denna information från den etiska hackaren själv som, såsom bevis, lämnade ut en rad från testdatabasen till Digi. Digi åtgärdade de säkerhetsbrister som hade möjliggjort denna tillgång och ingick en överenskommelse om konfidentialitet med hackaren, som också erhöll en belöning från Digi.

10

Den 25 september 2019, efter att ha raderat testdatabasen, underrättade Digi tillsynsmyndigheten om personuppgiftsincidenten, varvid tillsynsmyndigheten inledde en utredning.

11

Genom beslut av den 18 maj 2020 slog tillsynsmyndigheten bland annat fast att Digi hade åsidosatt artikel 5.1 b och e i förordning 2016/679, genom att inte omedelbart ha raderat testdatabasen efter att ha utfört nödvändiga tester och åtgärdat säkerhetsbristerna, vilket innebar att ett stort antal personuppgifter hade lagrats i denna databas utan något ändamål under nästan 18 månader, i ett register som gjorde det möjligt att identifiera de registrerade personerna. Tillsynsmyndigheten ålade följaktligen Digi att kontrollera samtliga sina databaser och påförde bolaget böter på 100000000 ungerska forinter (HUF) (cirka 248000 euro).

12

Digi bestred lagenligheten av detta beslut vid den hänskjutande domstolen.

13

Den hänskjutande domstolen har framhållit att de personuppgifter som Digi kopierat över till testdatabasen hade samlats in i syfte att ingå och fullgöra abonnemangsavtal, och att tillsynsmyndigheten inte ifrågasatte att den ursprungliga insamlingen av dessa personuppgifter hade varit lagenlig. Den hänskjutande domstolen vill emellertid få klarhet i huruvida den omständigheten att uppgifter som ursprungligen samlats in har kopierats till en annan databas medför att ändamålet med den ursprungliga insamlingen och behandlingen av uppgifterna ändras. Nämnda domstol har tillagt att den även måste avgöra huruvida det är förenligt med ändamålet för den ursprungliga insamlingen att skapa en testdatabas och att fortsätta att behandla kundernas uppgifter i den databasen. Den hänskjutande domstolen anser att principen om ändamålsbegränsning, såsom denna kommer till uttryck i artikel 5.1 b i förordning 2016/679, inte gör det möjligt för den att fastställa inom ramen för vilka interna system den personuppgiftsansvarige har rätt att behandla uppgifter som insamlats lagligen, och inte heller huruvida den personuppgiftsansvarige kan kopiera dessa uppgifter till en testdatabas utan att ändra ändamålet med den ursprungliga insamlingen av dessa uppgifter.

14

För det fall att skapandet av en testdatabas anses vara oförenligt med ändamålet med den ursprungliga insamlingen, söker den hänskjutande domstolen även klarhet i huruvida den tillåtna lagringstiden, i enlighet med principen om lagringsminimering i artikel 5.1 e i förordning 2016/679, motsvaras av den tid som krävs för att åtgärda fel eller den tid som krävs för att fullgöra avtalsenliga förpliktelser, när ändamålet med behandlingen av abonnenternas uppgifter den andra databasen inte är att åtgärda fel utan att ingå avtal.

15

Mot denna bakgrund beslutade Fővárosi Törvényszék (Överdomstolen för Budapests stad, Ungern) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1)

Ska begreppet ändamålsbegränsning som definieras i artikel 5.1 b i [förordning 2016/679] tolkas så, att den omständigheten att den personuppgiftsansvarige parallellt i en annan databas lagrar personuppgifter som i ett annat sammanhang har samlats in och lagrats för ett begränsat berättigat ändamål är förenlig med det begreppet, eller är det begränsade berättigade ändamålet med insamlingen av uppgifterna inte giltigt vad gäller den parallella databasen?

2)

För det fall att den första tolkningsfrågan besvaras så, att den parallella lagringen av uppgifterna i princip är oförenlig med principen om ändamålsbegränsning, är denna lagring ändå förenlig med principen om lagringsminimering som föreskrivs i artikel 5.1 e i förordning 2016/679, om den personuppgiftsansvarige parallellt i en annan databas lagrar personuppgifter som i ett annat sammanhang har insamlats och lagrats för ett begränsat berättigat ändamål?”

Prövning av tolkningsfrågorna

Huruvida tolkningsfrågorna kan tas upp till prövning

16

Tillsynsmyndigheten och den ungerska regeringen har uttryckt tvivel om huruvida tolkningsfrågorna kan tas upp till prövning, av det skälet att de inte återspeglar de faktiska omständigheterna i det nationella målet och inte är direkt relevanta för utgången i det målet.

17

Härvidlag ska det inledningsvis erinras om att enligt fast rättspraxis ankommer det uteslutande på den nationella domstolen, vid vilken målet anhängiggjorts och vilken har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen. EU-domstolen är följaktligen skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen eller giltigheten av en unionsbestämmelse. Härav följer att de frågor som ställs av nationella domstolar presumeras vara relevanta. En tolkningsfråga som har hänskjutits av en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågorna är hypotetiska eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den (dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 73 och där angiven rättspraxis).

18

I förevarande fall har den hänskjutande domstolen att pröva en talan om ogiltigförklaring av ett beslut om sanktionsåtgärder som vidtagits mot Digi i dess egenskap av personuppgiftsansvarig på grund av ett åsidosättande av principerna om ändamålsbegränsning och lagringsminimering som stadfästs i artikel 5.1 b respektive 5.1 e i förordning 2016/679, till följd av att Digi har underlåtit att radera en databas med personuppgifter som gör det möjligt att identifiera de registrerade personerna. Tolkningsfrågorna avser tolkningen av just dessa bestämmelser, vilket innebär att den begärda tolkningen av unionsrätten inte kan anses sakna samband med de verkliga omständigheterna eller saken i det nationella målet eller att den är hypotetisk. Beslutet om hänskjutande innehåller dessutom tillräckliga uppgifter om de faktiska och rättsliga omständigheterna för att EU-domstolen ska kunna ge ett användbart svar på de frågor som ställts av den hänskjutande domstolen.

19

Det ska även erinras om att i ett förfarande enligt artikel 267 FEUF, som grundar sig på en tydlig funktionsfördelning mellan de nationella domstolarna och EU-domstolen, är den nationella domstolen ensam behörig att tolka och tillämpa bestämmelser i nationell rätt, medan EU-domstolen endast är behörig att tolka eller pröva giltigheten av en unionsrättsakt på grundval av de uppgifter om de faktiska omständigheterna som har lämnats av den nationella domstolen (dom av den 5 maj 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, punkt 45 och där angiven rättspraxis).

20

EU-domstolen godtar därför inte tillsynsmyndighetens och den ungerska regeringens argument att tolkningsfrågorna inte kan tas upp till prövning av det skälet att de inte återspeglar de faktiska omständigheterna i det nationella målet.

21

Tolkningsfrågorna kan följaktligen tas upp till prövning.

Prövning i sak

Den första frågan

22

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 5.1 b i förordning 2016/679 ska tolkas så, att den princip om ändamålsbegränsning som föreskrivs i denna bestämmelse utgör hinder mot att den personuppgiftsansvarige – i en databas som skapats för att utföra tester och åtgärda fel – registrerar och lagrar personuppgifter som tidigare samlats in och lagrats i en annan databas.

23

Det framgår av fast rättspraxis att vid tolkningen av en unionsbestämmelse ska inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med den rättsakt som bestämmelsen ingår i (dom av den 1 augusti 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, punkt 42 och där angiven rättspraxis).

24

I detta hänseende ska det inledningsvis noteras att i artikel 5.1 i förordning 2016/679 fastställs de principer för behandlingen av personuppgifter som gäller för den personuppgiftsansvarige, och som denne – i enlighet med den ansvarsprincip som föreskrivs i punkt 2 i denna artikel – måste kunna visa efterlevs.

25

Det framgår närmare bestämt av artikel 5.1 b i förordningen, där principen om ändamålsbegränsning stadfästs, att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål, och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

26

Det framgår således av ordalydelsen i denna bestämmelse att den innehåller två krav, varav det ena avser ändamålet med den ursprungliga insamlingen av personuppgifter, och det andra avser den senare behandlingen av dessa uppgifter.

27

Vad för det första gäller kravet på att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål, följer det av domstolens praxis att detta krav dels innebär att dessa ändamål ska ha bestämts vid den tidpunkt då personuppgifterna samlas in, dels att ändamålen med behandlingen ska framgå klart, samt att dessa ändamål måste garantera en laglig behandling av personuppgifterna, i den mening som avses i artikel 6.1 i förordning 2016/679 (se, för ett liknande resonemang, dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkterna 6466).

28

I förevarande fall framgår det av den första frågans lydelse och av skälen till beslutet om hänskjutande att de personuppgifter som är aktuella i det nationella målet samlades in för särskilda, uttryckligt angivna och berättigade ändamål. Den hänskjutande domstolen har även preciserat att dessa uppgifter samlades in för att Digi skulle kunna ingå och fullgöra abonnemangsavtal med sina kunder, i enlighet med artikel 6.1 b i förordning 2016/679.

29

Vad för det andra gäller kravet på att personuppgifter inte får bli föremål för senare behandling som är oförenlig med dessa ändamål ska det påpekas att den omständigheten att den personuppgiftsansvarige, i en nyskapad databas, registrerar och lagrar personuppgifter som redan förekommer i en annan databas utgör en ”senare behandling” av dessa uppgifter.

30

Begreppet ”behandling” ges nämligen en extensiv definition i artikel 4.2 i förordning nr 2016/679, så att det ska anses avse varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom bland annat insamling, registrering och lagring av dylika uppgifter.

31

Enligt den gängse betydelsen av uttrycket ”senare” i vanligt språkbruk utgör dessutom all behandling av personuppgifter som sker efter den ursprungliga behandlingen av dessa uppgifter en ”senare” behandling av uppgifterna, oberoende av ändamålet med den senare behandlingen.

32

Det ska vidare noteras att artikel 5.1 b i förordning 2016/679 inte innehåller några uppgifter om under vilka omständigheter en senare behandling av personuppgifter kan anses vara förenlig med ändamålen med den ursprungliga insamlingen av dessa uppgifter.

33

Det sammanhang i vilket denna bestämmelse ingår ger emellertid värdefulla preciseringar i detta avseende.

34

Om artikel 5.1 b, artikel 6.1 a och artikel 6.4 i förordning 2016/679 betraktas gemensamt framgår det nämligen att frågan huruvida den senare behandlingen av personuppgifter är förenlig med de ändamål för vilka uppgifterna ursprungligen samlades in endast uppkommer för det fall att ändamålen med den senare behandlingen inte är identiska med ändamålen med den ursprungliga insamlingen.

35

Det framgår dessutom av förordningens artikel 6.4, jämförd med dess skäl 50, att för att fastställa huruvida en behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in, i en situation där behandlingen för andra ändamål inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt, ska hänsyn bland annat tas till följande kriterier. För det första, kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, för det andra, det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige, för det tredje, personuppgifternas art, för det fjärde, eventuella konsekvenser för de registrerade av den planerade fortsatta behandlingen, och slutligen, för det femte, förekomsten av lämpliga skyddsåtgärder både vad gäller den ursprungliga behandlingen och den planerade fortsatta behandlingen.

36

Såsom generaladvokaten påpekade i punkterna 28, 59 och 60 i sitt förslag till avgörande, ger dessa kriterier uttryck för behovet av ett konkret, logiskt och tillräckligt nära samband mellan ändamålet med den ursprungliga insamlingen av personuppgifterna och den senare behandlingen av dem, och de gör det även möjligt att säkerställa att sådan senare behandling inte avviker från abonnenternas berättigade förväntningar på hur deras uppgifter kan komma att användas.

37

Generaladvokaten har också med rätta framhållit, i punkt 27 i sitt förslag till avgörande, att dessa kriterier gör det möjligt att reglera återanvändningen av tidigare insamlade personuppgifter genom att säkerställa en balans mellan, å ena sidan, behovet av förutsägbarhet och rättssäkerhet vad gäller de ändamål dessa uppgifter ursprungligen samlats in för och, å andra sidan, medgivandet av en viss flexibilitet till förmån för den personuppgiftsansvarige vid hanteringen av uppgifterna, vilket bidrar till att uppnå målet att säkra en enhetlig och hög skyddsnivå för fysiska personer i enlighet med skäl 10 i förordning nr 2016/679.

38

Mot bakgrund av de kriterier det hänvisats till i punkt 35 ovan, och med beaktande av samtliga omständigheter i det enskilda fallet, ankommer det på den nationella domstolen att fastställa såväl ändamålen med den ursprungliga insamlingen av personuppgifter som ändamålen med den senare behandlingen av dessa uppgifter och, för det fall att ändamålen med den senare behandlingen skiljer sig från ändamålen med insamlingen, att kontrollera huruvida den senare behandlingen av uppgifterna är förenlig med ändamålen med den ursprungliga insamlingen.

39

EU-domstolen har dock möjlighet, när den meddelar ett förhandsavgörande, att tillhandahålla klargöranden i detta avseende, för att vägleda den nationella domstolen i dess bedömning (se, för ett liknande resonemang, dom av den 7 april 2022, Fuhrmann-2, C‑249/21, EU:C:2022:269, punkt 32).

40

I förevarande fall ska det för det första noteras att i enlighet med vad som påpekats i punkt 13 ovan framgår det av beslutet om hänskjutande att personuppgifterna ursprungligen samlades in av Digi, som också är personuppgiftsansvarig, för att bolaget skulle kunna ingå och fullgöra abonnemangsavtal med privatkunder.

41

För det andra är parterna i det nationella målet inte eniga om det särskilda ändamålet med Digis registrering och lagring av de aktuella personuppgifterna i testdatabasen. Digi har nämligen gjort gällande att det särskilda ändamålet med att skapa en testdatabas var att säkerställa tillgång till abonnenternas uppgifter till dess att de uppdagade felen åtgärdats, vilket innebär att det ändamålet var identiskt med ändamålet med den ursprungliga insamlingen av uppgifterna. Tillsynsmyndigheten har däremot hävdat att det ursprungliga ändamålet skiljer sig från det särskilda ändamålet med den senare behandlingen, eftersom detta bestod i att utföra tester och åtgärda fel.

42

Det ska härvid erinras om att det framgår av den rättspraxis det hänvisats till i punkt 19 ovan att i ett förfarande enligt artikel 267 FEUF, som grundar sig på en tydlig funktionsfördelning mellan de nationella domstolarna och EU-domstolen, är den nationella domstolen ensam behörig att tolka och tillämpa bestämmelser i nationell rätt, medan EU-domstolen endast är behörig att tolka eller pröva giltigheten av en unionsrättsakt på grundval av de uppgifter om de faktiska omständigheterna som har lämnats av den nationella domstolen.

43

Det framgår emellertid av beslutet om hänskjutande att Digi skapade testdatabasen för att kunna utföra tester och åtgärda fel, vilket innebär att det är mot bakgrund av dessa ändamål som den hänskjutande domstolen ska bedöma huruvida den senare behandlingen är förenlig med ändamålen med den ursprungliga insamlingen, bestående i att ingå och fullgöra abonnemangsavtal.

44

Vad för det tredje gäller denna bedömning ska det påpekas att genomförandet av tester och åtgärdandet av fel som påverkar databasen med abonnenternas uppgifter har ett konkret samband med fullgörandet av privatkundernas abonnemangsavtal, eftersom sådana fel kan äventyra tillhandahållandet av de avtalade tjänsterna, för vilka uppgifterna ursprungligen samlades in. Såsom generaladvokaten påpekade i punkt 60 i sitt förslag till avgörande avviker en sådan behandling nämligen inte från abonnenternas berättigade förväntningar på hur deras uppgifter senare kan komma att användas. Det framgår för övrigt inte av beslutet om hänskjutande att samtliga eller delar av dessa uppgifter skulle ha varit känsliga eller att den senare behandlingen av uppgifterna i sig skulle ha haft skadliga följder för abonnenterna, eller att den inte åtföljdes av lämpliga skyddsåtgärder, vilket det under alla omständigheter ankommer på den hänskjutande domstolen att kontrollera.

45

Mot bakgrund av det ovan anförda ska den första tolkningsfrågan besvaras enligt följande. Artikel 5.1 b i förordning 2016/679 ska tolkas så, att den princip om ändamålsbegränsning som föreskrivs i denna bestämmelse inte utgör hinder mot att den personuppgiftsansvarige – i en databas som skapats för att utföra tester och åtgärda fel – registrerar och lagrar personuppgifter som tidigare samlats in och lagrats i en annan databas, förutsatt att en sådan senare behandling är förenlig med de särskilda ändamål för vilka personuppgifterna ursprungligen samlades in, vilket ska avgöras mot bakgrund av de kriterier som anges i artikel 6.4 i nämnda förordning.

Den andra frågan

46

Det ska inledningsvis påpekas att den hänskjutande domstolen har ställt den andra frågan, avseende huruvida Digis lagring av kundernas personuppgifter i en testdatabas är förenlig med principen om lagringsminimering enligt artikel 5.1 c i förordning 2016/679, endast för det fall att den första frågan, såsom denna har omformulerats av EU-domstolen, ska besvaras jakande, alltså för det fall att denna lagring inte kan anses vara förenlig med den princip om ändamålsbegränsning som föreskrivs i artikel 5.1 b i denna förordning.

47

Såsom generaladvokaten påpekade i punkt 24 i sitt förslag till avgörande ska det emellertid noteras att de principer om behandling av personuppgifter som stadfästs i artikel 5 i förordning 2016/679 är kumulativa. Följaktligen måste all lagring av personuppgifter inte bara iaktta principen om ändamålsbegränsning, utan även principen om lagringsminimering.

48

Såsom framgår av skäl 10 i förordning nr 2016/679 ska det vidare erinras om att denna förordning syftar till att säkra en enhetlig och hög skyddsnivå för fysiska personer inom unionen, och till att säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter i hela unionen.

49

Således måste all behandling av personuppgifter vara förenlig med de principer som reglerar behandlingen av sådana uppgifter och med de rättigheter som registrerade personer har enligt kapitel II respektive III i denna förordning. Närmare bestämt måste all behandling av personuppgifter dels överensstämma med de principer om uppgiftsbehandling som anges i artikel 5 i förordningen, dels – med hänsyn till den princip om laglighet som föreskrivs i artikel 5.1 a – uppfylla något av de i artikel 6 uppräknade villkoren som gör att behandlingen anses vara laglig (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 96, och dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkt 50).

50

Mot bakgrund av dessa överväganden finner domstolen att även om den hänskjutande domstolen formellt sett endast har ställt den andra frågan för det fall den första frågan, såsom den har omformulerats, ska besvaras jakande, utgör detta inte hinder mot att EU-domstolen tillhandahåller den hänskjutande domstolen alla uppgifter om unionsrättens tolkning som kan vara användbara vid prövningen av det nationella målet (se, för ett liknande resonemang, dom av den 17 mars 2022, Daimler, C‑232/20, EU:C:2022:196, punkt 49), och således besvarar den andra frågan.

51

Under dessa omständigheter ska den hänskjutande domstolen anses ha ställt den andra frågan för att få klarhet i huruvida artikel 5.1 e i förordning 2016/679 ska tolkas så, att den princip om lagringsminimering som föreskrivs i denna bestämmelse utgör hinder mot att den personuppgiftsansvarige – i en databas som skapats för att utföra tester och åtgärda fel – under längre tid än vad som krävs för att utföra dessa tester och åtgärda dessa fel, lagrar personuppgifter som tidigare samlats in för andra ändamål.

52

Det ska inledningsvis noteras att enligt artikel 5.1 e i förordning 2016/679 får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

53

Det framgår således otvetydigt av ordalydelsen i denna bestämmelse att principen om lagringsminimering kräver att den personuppgiftsansvarige, i enlighet med den ansvarsprincip det erinrats om i punkt 24 ovan, kan visa att personuppgifterna endast lagras under den tid som krävs för att uppnå de ändamål för vilka uppgifterna samlades in eller senare behandlas.

54

Härav följer att även en behandling av uppgifter som inledningsvis är laglig med tiden kan bli oförenlig med förordning 2016/679, om uppgifterna inte längre är nödvändiga för att uppnå dessa ändamål (dom av den 24 september 2019, GC m.fl., (Borttagande av länkar till känsliga uppgifter), C‑136/17, EU:C:2019:773, punkt 74), och att uppgifterna måste raderas när nyssnämnda ändamål är uppfyllda (se, för ett liknande resonemang, dom av den 7 maj 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punkt 33).

55

En sådan tolkning är förenlig med det sammanhang i vilket artikel 5.1 e i förordning 2016/679 ingår.

56

Såsom det har erinrats om i punkt 49 ovan måste all behandling av personuppgifter överensstämma med de principer om uppgiftsbehandling som anges i artikel 5 i nämnda förordning, och uppfylla något av de i artikel 6 uppräknade villkoren som gör att behandlingen anses vara laglig.

57

Först och främst framgår det av denna artikel 6 att om den registrerade inte har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål i enlighet med artikel 6.1 a i förordning 2016/679, måste behandlingen vara nödvändig enligt något av de villkor som anges i artikel 6.1 b–f i samma förordning.

58

Ett sådant villkor avseende att behandlingen ska vara nödvändig följer även av den princip om uppgiftsminimering som stadfästs i artikel 5.1 c i förordningen, där det föreskrivs att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

59

Denna tolkning är dessutom förenlig med det syfte som eftersträvas med artikel 5.1 e i förordning 2016/679, vilket, såsom det har erinrats om i punkt 45 ovan, bland annat består i att säkra en enhetlig och hög skyddsnivå för fysiska personer inom unionen vad gäller behandlingen av personuppgifter.

60

I förevarande fall har Digi hävdat att det var av misstag som de personuppgifter avseende en del av bolagets privatkunder som lagrades i testdatabasen inte raderades sedan testerna utförts och felen åtgärdats.

61

I detta hänseende räcker det att påpeka att detta argument saknar relevans för bedömningen av huruvida uppgifterna, i strid med den princip om lagringsminimering som föreskrivs i artikel 5.1 e i förordning 2016/679, lagrades under längre tid än vad som var nödvändigt för att uppnå de ändamål för vilka uppgifterna senare behandlades.

62

Mot bakgrund av det ovan anförda ska den andra tolkningsfrågan besvaras enligt följande. Artikel 5.1 e i förordning 2016/679 ska tolkas så, att den princip om lagringsminimering som föreskrivs i denna bestämmelse utgör hinder mot att den personuppgiftsansvarige – i en databas som skapats för att utföra tester och åtgärda fel – under längre tid än vad som krävs för att utföra dessa tester och åtgärda dessa fel, lagrar personuppgifter som tidigare samlats in för andra ändamål.

Rättegångskostnader

63

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

 

Mot denna bakgrund beslutar domstolen (första avdelningen) följande:

 

1)

Artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

ska tolkas så,

att den princip om ändamålsbegränsning som föreskrivs i denna bestämmelse inte utgör hinder mot att den personuppgiftsansvarige – i en databas som skapats för att utföra tester och åtgärda fel – registrerar och lagrar personuppgifter som tidigare samlats in och lagrats i en annan databas, förutsatt att en sådan senare behandling är förenlig med de ändamål för vilka personuppgifterna ursprungligen samlades in, vilket ska avgöras mot bakgrund av de kriterier som anges i artikel 6.4 i nämnda förordning.

 

2)

Artikel 5.1 e i direktiv 2016/679

ska tolkas så,

att den princip om lagringsminimering som föreskrivs i denna bestämmelse utgör hinder mot att den personuppgiftsansvarige – i en databas som skapats för att utföra tester och åtgärda fel – under längre tid än vad som krävs för att utföra dessa tester och åtgärda dessa fel, lagrar personuppgifter som tidigare samlats in för andra ändamål.

 

Underskrifter


( *1 ) Rättegångsspråk: ungerska.

Top