Language of document : ECLI:EU:C:2022:805

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (πρώτο τμήμα)

της 20ής Οκτωβρίου 2022 (*)

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 5, παράγραφος 1, στοιχεία βʹ και εʹ – Αρχή του “περιορισμού του σκοπού” – Αρχή του “περιορισμού της περιόδου αποθήκευσης” – Δημιουργία βάσεως δεδομένων, στηριζόμενης σε ήδη υφιστάμενη, με σκοπό τη διενέργεια δοκιμών και τη διόρθωση σφαλμάτων – Περαιτέρω επεξεργασία των δεδομένων – Συμβατός χαρακτήρας της περαιτέρω επεξεργασίας των εν λόγω δεδομένων με τους σκοπούς για τους οποίους είχαν συλλεγεί αρχικώς – Χρονικό διάστημα αποθηκεύσεως υπό το πρίσμα των σκοπών αυτών»

Στην υπόθεση C‑77/21,

με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Fővárosi Törvényszék (πρωτοδικείο Περιφέρειας Βουδαπέστης-Πρωτευούσης, Ουγγαρία) με απόφαση της 21ης Ιανουαρίου 2021, η οποία περιήλθε στο Δικαστήριο στις 8 Φεβρουαρίου 2021, στο πλαίσιο της δίκης

Digi Távközlési és Szolgáltató Kft.

κατά

Nemzeti Adatvédelmi és Információszabadság Hatóság,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (πρώτο τμήμα),

συγκείμενο από τους A. Arabadjiev, πρόεδρο τμήματος, L. Bay Larsen, Αντιπρόεδρο του Δικαστηρίου, ασκούντα καθήκοντα δικαστή του πρώτου τμήματος, P. G. Xuereb, A. Kumin και I. Ziemele (εισηγήτρια), δικαστές,

γενικός εισαγγελέας: P. Pikamäe

γραμματέας: I. Illéssy, διοικητικός υπάλληλος,

έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 17ης Ιανουαρίου 2022,

λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:

–        η Digi Távközlési és Szolgáltató Kft., εκπροσωπούμενη από τους R. Hatala και A. D. László, ügyvédek,

–        η Nemzeti Adatvédelmi és Információszabadság Hatóság, εκπροσωπούμενη από τον G. Barabás, νομικό σύμβουλο, επικουρούμενο από τους G. J. Dudás και Á. Hargita, ügyvédek,

–        η Ουγγρική Κυβέρνηση, εκπροσωπούμενη από τη Z. Biró-Tóth και τον M. Z. Fehér,

–        η Τσεχική Κυβέρνηση, εκπροσωπούμενη από την T. Machovičová και τους M. Smolek και J. Vláčil,

–        η Πορτογαλική Κυβέρνηση, εκπροσωπούμενη από την P. Barros da Costa, τον L. Inez Fernandes, καθώς και τις I. Oliveira, M. J. Ramos και C. Vieira Guerra,

–        η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους V. Bottka και H. Kranenborg,

αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 31ης Μαρτίου 2022,

εκδίδει την ακόλουθη

Απόφαση

1        Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 5, παράγραφος 1, στοιχεία βʹ και εʹ, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικά ΕΕ 2018, L 127, σ. 2, και ΕΕ 2021, L 74, σ. 35).

2        Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της Digi Távközlési és Szolgáltató Kft. (στο εξής: Digi), εταιρίας που καταλέγεται μεταξύ των κύριων παρόχων υπηρεσιών Διαδικτύου και τηλεοράσεως στην Ουγγαρία, και της Nemzeti Adatvédelmi és Információszabadság Hatóság (εθνικής αρχής για την προστασία των δεδομένων και την ελευθερία της πληροφόρησης, Ουγγαρία, στο εξής: Αρχή), σχετικά με παραβίαση δεδομένων προσωπικού χαρακτήρα που περιέχονταν σε βάση δεδομένων της Digi.

 Το νομικό πλαίσιο

3        Οι αιτιολογικές σκέψεις 10 και 50 του κανονισμού 2016/679 έχουν ως εξής:

«(10)      Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […]

[…]

(50)      Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. […] Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας.

[…]»

4        Το άρθρο 4 του κανονισμού 2016/679, το οποίο φέρει τον τίτλο «Ορισμοί», ορίζει τα εξής:

«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:

[…]

2)      “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

[…]».

5        Κατά το άρθρο 5 του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα»:

«1.      Τα δεδομένα προσωπικού χαρακτήρα:

α)      υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (“νομιμότητα, αντικειμενικότητα και διαφάνεια”),

β)      συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 (“περιορισμός του σκοπού”),

γ)      είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (“ελαχιστοποίηση των δεδομένων”),

δ)      είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας (“ακρίβεια”),

ε)      διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων (“περιορισμός της περιόδου αποθήκευσης”),

στ)      υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (“ακεραιότητα και εμπιστευτικότητα”).

2.      Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»

6        Το άρθρο 6 του ίδιου κανονισμού, το οποίο φέρει τον τίτλο «Νομιμότητα της επεξεργασίας», ορίζει τα εξής:

«1.      Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α)      το υποκείμενο των δεδομένων έχει παράσχει συγκατάθεση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,

β)      η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,

γ)      η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,

δ)      η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,

ε)      η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,

στ)      η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

[…]

4.      Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:

α)      τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,

β)      το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας,

γ)      τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10,

δ)      τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,

ε)      την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.»

 Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα

7        Η Digi αποτελεί έναν από τους κύριους παρόχους υπηρεσιών Διαδικτύου και τηλεοράσεως στην Ουγγαρία.

8        Τον Απρίλιο του 2018, κατόπιν τεχνικής βλάβης που επηρέασε τη λειτουργία ενός διακομιστή, η Digi δημιούργησε μια βάση δεδομένων με την ονομασία «δοκιμαστική» (στο εξής: δοκιμαστική βάση δεδομένων), στην οποία αντέγραψε τα δεδομένα προσωπικού χαρακτήρα περίπου του ενός τρίτου των ιδιωτών πελατών της, που ήταν αποθηκευμένα για σκοπούς άμεσου μάρκετινγκ σε άλλη βάση δεδομένων, με την ονομασία «digihu», η οποία μπορούσε να συνδεθεί με τον ιστότοπο www.digi.hu και η οποία περιελάμβανε τα επικαιροποιημένα δεδομένα των προσώπων που έχουν εγγραφεί προκειμένου να λαμβάνουν το ενημερωτικό δελτίο της Digi, καθώς και τα δεδομένα διαχειριστή συστήματος με τα οποία παρέχεται πρόσβαση στη διεπαφή του ιστοτόπου.

9        Στις 23 Σεπτεμβρίου 2019 η Digi πληροφορήθηκε ότι ένας «χάκερ με ηθικά κίνητρα» είχε αποκτήσει πρόσβαση στα διατηρούμενα από την εταιρία δεδομένα προσωπικού χαρακτήρα περίπου 322 000 προσώπων. Το συμβάν γνωστοποιήθηκε στην Digi από τον ίδιο τον «χάκερ με ηθικά κίνητρα», ο οποίος της κοινοποίησε, ως αποδεικτικό στοιχείο, μία από τις εγγραφές της δοκιμαστικής βάσεως δεδομένων. Η Digi διόρθωσε το σφάλμα ασφαλείας το οποίο είχε καταστήσει δυνατή την πρόσβαση, συνήψε συμφωνία εμπιστευτικότητας με το εν λόγω πρόσωπο και του προσέφερε αμοιβή.

10      Κατόπιν της διαγραφής της δοκιμαστικής βάσεως δεδομένων, η Digi γνωστοποίησε στις 25 Σεπτεμβρίου 2019 την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην Αρχή, η οποία εν συνεχεία κίνησε διαδικασία έρευνας.

11      Με απόφαση της 18ης Μαΐου 2020, η Αρχή αποφάνθηκε, μεταξύ άλλων, ότι η Digi είχε παραβεί το άρθρο 5, παράγραφος 1, στοιχεία βʹ και εʹ, του κανονισμού 2016/679, καθόσον, μετά τη διενέργεια των αναγκαίων δοκιμών και τη διόρθωση του σφάλματος ασφάλειας, δεν διέγραψε αμέσως τη δοκιμαστική βάση δεδομένων, με αποτέλεσμα μεγάλος αριθμός δεδομένων προσωπικού χαρακτήρα να έχει αποθηκευθεί στη συγκεκριμένη βάση δεδομένων, χωρίς να εξυπηρετείται κανένας σκοπός, επί σχεδόν 18 μήνες, σε αρχείο που μπορούσε να καταστήσει δυνατή την ταυτοποίηση των υποκειμένων των δεδομένων. Κατά συνέπεια, η Αρχή υποχρέωσε την Digi να ελέγξει το σύνολο των βάσεών της δεδομένων και της επέβαλε πρόστιμο ύψους 100 000 000 ουγγρικών φιορινιών (HUF) (περίπου 248 000 ευρώ).

12      Η Digi αμφισβήτησε τη νομιμότητα της αποφάσεως αυτής ενώπιον του αιτούντος δικαστηρίου.

13      Το αιτούν δικαστήριο επισημαίνει ότι τα δεδομένα προσωπικού χαρακτήρα που αντέγραψε η Digi στη δοκιμαστική βάση δεδομένων είχαν συλλεγεί με σκοπό τη σύναψη και την εκτέλεση συμβάσεων παροχής υπηρεσιών έναντι συνδρομής και ότι η αρχή δεν αμφισβήτησε τη νομιμότητα της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα. Ζητεί, πάντως, να διευκρινισθεί αν η αντιγραφή σε άλλη βάση δεδομένων των δεδομένων που είχαν συλλεγεί αρχικώς είχε ως συνέπεια τη μεταβολή του σκοπού της αρχικής συλλογής και της επεξεργασίας τους. Επισημαίνει επίσης ότι πρέπει να εξετασθεί και το ζήτημα αν η δημιουργία δοκιμαστικής βάσεως δεδομένων και η εξακολούθηση, στη νέα αυτή βάση, της επεξεργασίας των δεδομένων των πελατών είναι συμβατές με τον σκοπό της αρχικής συλλογής. Το αιτούν δικαστήριο εκτιμά ότι η αρχή του «περιορισμού του σκοπού», όπως διατυπώνεται στο άρθρο 5, παράγραφος 1, στοιχείο βʹ, του κανονισμού 2016/679, δεν καθιστά δυνατό τον προσδιορισμό των εσωτερικών συστημάτων στο πλαίσιο των οποίων ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να υποβάλλει σε επεξεργασία τα δεδομένα που συλλέγονται κατά σύννομο τρόπο ούτε παρέχει τη δυνατότητα να κριθεί αν ο εν λόγω υπεύθυνος δύναται να αντιγράψει τα δεδομένα αυτά σε δοκιμαστική βάση δεδομένων χωρίς να μεταβάλει τον σκοπό της αρχικής συλλογής δεδομένων.

14      Σε περίπτωση κατά την οποία η δημιουργία της δοκιμαστικής βάσεως δεδομένων δεν συνάδει με τον σκοπό της αρχικής συλλογής, το αιτούν δικαστήριο διερωτάται επίσης αν, καθόσον ο σκοπός της επεξεργασίας των δεδομένων των συνδρομητών σε άλλη βάση δεδομένων δεν είναι η διόρθωση σφαλμάτων αλλά η σύναψη συμβάσεων, το αναγκαίο χρονικό διάστημα αποθηκεύσεως πρέπει, βάσει της αρχής του «περιορισμού της περιόδου αποθηκεύσεως» κατά το άρθρο 5, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679, να αντιστοιχεί στο χρονικό διάστημα που απαιτείται για τη διόρθωση των σφαλμάτων ή για την εκπλήρωση των συμβατικών υποχρεώσεων.

15      Υπό τις συνθήκες αυτές, το Fővárosi Törvényszék (πρωτοδικείο Περιφέρειας Βουδαπέστης-Πρωτευούσης, Ουγγαρία) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1)      Πρέπει ο “περιορισμός του σκοπού”, ο οποίος ορίζεται στο άρθρο 5, παράγραφος 1, στοιχείο βʹ, του κανονισμού 2016/679 […], να ερμηνευθεί υπό την έννοια ότι συμβιβάζεται με αυτόν το γεγονός ότι ο υπεύθυνος επεξεργασίας αποθηκεύει παράλληλα σε άλλη βάση δεδομένων προσωπικά δεδομένα που, κατά τα λοιπά, συνελέγησαν και αποθηκεύτηκαν για περιορισμένο νόμιμο σκοπό ή, αντιθέτως, υπό την έννοια ότι, όσον αφορά την παράλληλη βάση δεδομένων, δεν ισχύει πλέον ο περιορισμένος νόμιμος σκοπός της συλλογής των δεδομένων;

2)      Σε περίπτωση που στο πρώτο προδικαστικό ερώτημα δοθεί απάντηση υπό την έννοια ότι η παράλληλη αποθήκευση δεδομένων είναι αφ’ εαυτής ασυμβίβαστη με την αρχή του “περιορισμού του σκοπού”, συμβιβάζεται με την αρχή του “περιορισμού της περιόδου αποθήκευσης”, που προβλέπεται στο άρθρο 5, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679, το γεγονός ότι ο υπεύθυνος επεξεργασίας αποθηκεύει παράλληλα σε άλλη βάση δεδομένων προσωπικά δεδομένα που, κατά τα λοιπά, συνελέγησαν και αποθηκεύτηκαν για περιορισμένο νόμιμο σκοπό;»

 Επί των προδικαστικών ερωτημάτων

 Επί του παραδεκτού

16      Η Αρχή και η Ουγγρική Κυβέρνηση διατύπωσαν αμφιβολίες ως προς το παραδεκτό της αιτήσεως προδικαστικής αποφάσεως, για τον λόγο ότι τα υποβληθέντα ερωτήματα δεν αντανακλούν τα πραγματικά περιστατικά της υπόθεσης της κύριας δίκης και δεν επηρεάζουν άμεσα την επίλυσή της.

17      Συναφώς, υπενθυμίζεται κατά πρώτον ότι, κατά πάγια νομολογία του Δικαστηρίου, το εθνικό δικαστήριο, το οποίο έχει επιληφθεί της διαφοράς και φέρει την ευθύνη για τη δικαστική απόφαση που πρόκειται να εκδοθεί, είναι αποκλειστικώς αρμόδιο να εκτιμήσει, με γνώμονα τις ιδιαιτερότητες της υπόθεσης, τόσο αν η προδικαστική απόφαση είναι αναγκαία για την έκδοση της δικής του αποφάσεως όσο και αν τα ερωτήματα που υποβάλλει στο Δικαστήριο είναι λυσιτελή. Συνεπώς, εφόσον τα υποβαλλόμενα ερωτήματα αφορούν την ερμηνεία ή το κύρος κανόνα του δικαίου της Ένωσης, το Δικαστήριο οφείλει κατ’ αρχήν να απαντήσει. Ως εκ τούτου, τα ερωτήματα τα οποία υποβάλλονται από τα εθνικά δικαστήρια θεωρούνται, κατά τεκμήριο, λυσιτελή. Το Δικαστήριο μπορεί να αρνηθεί να απαντήσει σε προδικαστικό ερώτημα εθνικού δικαστηρίου μόνον όταν προκύπτει ότι η ερμηνεία την οποία ζητεί το εθνικό δικαστήριο δεν έχει καμία σχέση με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης, αν το πρόβλημα είναι υποθετικής φύσης ή ακόμη αν το Δικαστήριο δεν διαθέτει τα πραγματικά και νομικά στοιχεία που είναι αναγκαία προκειμένου να δώσει χρήσιμη απάντηση στα εν λόγω ερωτήματα (απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems, C‑311/18, EU:C:2020:559, σκέψη 73 και εκεί μνημονευόμενη νομολογία).

18      Εν προκειμένω, το αιτούν δικαστήριο επιλήφθηκε προσφυγής με αίτημα την ακύρωση αποφάσεως βάσει της οποίας επιβλήθηκε κύρωση στην Digi, υπό την ιδιότητά της ως υπευθύνου επεξεργασίας, λόγω παραβιάσεως της αρχής του «περιορισμού του σκοπού» και της αρχής του «περιορισμού της περιόδου αποθήκευσης», οι οποίες προβλέπονται, αντιστοίχως, στα στοιχεία βʹ και εʹ του άρθρου 5, παράγραφος 1, του κανονισμού 2016/679, καθόσον η εταιρία αυτή παρέλειψε να διαγράψει βάση δεδομένων περιέχουσα δεδομένα προσωπικού χαρακτήρα που καθιστούν δυνατή την ταυτοποίηση των υποκειμένων των δεδομένων. Τα προδικαστικά ερωτήματα αφορούν ακριβώς την ερμηνεία των διατάξεων αυτών, οπότε δεν μπορεί να γίνει δεκτό ότι η ζητούμενη ερμηνεία του δικαίου της Ένωσης δεν έχει σχέση με το υποστατό ή το αντικείμενο της διαφοράς της κύριας δίκης ή ότι είναι υποθετικής φύσεως. Επιπλέον, η απόφαση περί παραπομπής περιέχει επαρκή πραγματικά και νομικά στοιχεία ώστε να δοθεί χρήσιμη απάντηση στα ερωτήματα που υπέβαλε το αιτούν δικαστήριο.

19      Κατά δεύτερον, πρέπει να υπομνησθεί ότι, στο πλαίσιο της διαδικασίας του άρθρου 267 ΣΛΕΕ, η οποία στηρίζεται σε σαφή διάκριση των αρμοδιοτήτων μεταξύ των εθνικών δικαστηρίων και του Δικαστηρίου, το εθνικό δικαστήριο είναι το μόνο αρμόδιο να ερμηνεύει και να εφαρμόζει διατάξεις του εθνικού δικαίου, ενώ το Δικαστήριο είναι αποκλειστικώς αρμόδιο να αποφαίνεται επί της ερμηνείας ή του κύρους νομοθετήματος της Ένωσης, βάσει των πραγματικών περιστατικών που του εκθέτει το εθνικό δικαστήριο (απόφαση της 5ης Μαΐου 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, σκέψη 45 και εκεί μνημονευόμενη νομολογία).

20      Ως εκ τούτου, πρέπει να απορριφθούν τα επιχειρήματα περί απαραδέκτου των προδικαστικών ερωτημάτων τα οποία η Αρχή και η Ουγγρική Κυβέρνηση αντλούν, κατ’ ουσίαν, από το ότι τα προδικαστικά ερωτήματα δεν αντιστοιχούν, κατά την άποψή τους, στα πραγματικά περιστατικά της διαφοράς της κύριας δίκης.

21      Επομένως, τα προδικαστικά ερωτήματα είναι παραδεκτά.

 Επί της ουσίας

 Επί του πρώτου προδικαστικού ερωτήματος

22      Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 5, παράγραφος 1, στοιχείο βʹ, του κανονισμού 2016/679 έχει την έννοια ότι η αρχή του «περιορισμού του σκοπού», την οποία προβλέπει η εν λόγω διάταξη, αντιτίθεται στην εκ μέρους του υπευθύνου επεξεργασίας καταχώριση και αποθήκευση, σε βάση δεδομένων που έχει δημιουργηθεί προς τον σκοπό της διενέργειας δοκιμών και της διορθώσεως σφαλμάτων, δεδομένων προσωπικού χαρακτήρα τα οποία έχουν προηγουμένως συλλεγεί και αποθηκευθεί σε άλλη βάση δεδομένων.

23      Κατά πάγια νομολογία, η ερμηνεία διατάξεως του δικαίου της Ένωσης επιτάσσει να λαμβάνονται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιο στο οποίο αυτή εντάσσεται, καθώς και οι σκοποί που επιδιώκονται με το νομοθέτημα του οποίου αποτελεί μέρος (απόφαση της 1ης Αυγούστου 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, σκέψη 42 και εκεί μνημονευόμενη νομολογία).

24      Συναφώς, κατά πρώτον, επισημαίνεται ότι με το άρθρο 5, παράγραφος 1, του κανονισμού 2016/679 καθορίζονται οι αρχές σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, οι οποίες δεσμεύουν τον υπεύθυνο επεξεργασίας και των οποίων την τήρηση πρέπει αυτός να είναι σε θέση να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας που διατυπώνεται στην παράγραφο 2 του εν λόγω άρθρου.

25      Ειδικότερα, κατά το άρθρο 5, παράγραφος 1, στοιχείο βʹ, του κανονισμού αυτού, με το οποίο καθιερώνεται η αρχή του «περιορισμού του σκοπού», τα δεδομένα προσωπικού χαρακτήρα πρέπει, αφενός, να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και, αφετέρου, να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο μη συμβατό με τους σκοπούς αυτούς.

26      Επομένως, από το γράμμα της ανωτέρω διατάξεως προκύπτει ότι αυτή περιλαμβάνει δύο απαιτήσεις, εκ των οποίων η πρώτη αφορά τους σκοπούς της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ενώ η δεύτερη την περαιτέρω επεξεργασία των εν λόγω δεδομένων.

27      Όσον αφορά, πρώτον, την απαίτηση περί του ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς, από τη νομολογία του Δικαστηρίου προκύπτει ότι η συγκεκριμένη απαίτηση συνεπάγεται, κατ’ αρχάς, ότι οι σκοποί της επεξεργασίας πρέπει να προσδιορίζονται το αργότερο κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα, εν συνεχεία, ότι οι σκοποί της επεξεργασίας πρέπει να διατυπώνονται με σαφήνεια και, τέλος, ότι οι σκοποί της εν λόγω επεξεργασίας πρέπει να διασφαλίζουν, μεταξύ άλλων, τον σύννομο χαρακτήρα της επεξεργασίας των δεδομένων αυτών, κατά την έννοια του άρθρου 6, παράγραφος 1, του κανονισμού 2016/679 [πρβλ. απόφαση της 24ης Φεβρουαρίου 2022, Valsts ieņēmumu dienests (Επεξεργασία των δεδομένων προσωπικού χαρακτήρα για φορολογικούς σκοπούς), C‑175/20, EU:C:2022:124, σκέψεις 64 έως 66].

28      Εν προκειμένω, από τη διατύπωση του πρώτου ερωτήματος και από το σκεπτικό της αποφάσεως περί παραπομπής προκύπτει ότι τα επίμαχα στην υπόθεση της κύριας δίκης δεδομένα προσωπικού χαρακτήρα συνελέγησαν για καθορισμένους, ρητούς και νόμιμους σκοπούς, το δε αιτούν δικαστήριο διευκρινίζει, εξάλλου, ότι η συλλογή των δεδομένων αυτών πραγματοποιήθηκε με σκοπό την εκ μέρους της Digi σύναψη και εκτέλεση συμβάσεων παροχής υπηρεσιών έναντι συνδρομής με τους πελάτες της, σύμφωνα με το άρθρο 6, παράγραφος 1, στοιχείο βʹ, του κανονισμού 2016/679.

29      Όσον αφορά, δεύτερον, την απαίτηση περί του ότι τα δεδομένα προσωπικού χαρακτήρα δεν πρέπει να αποτελούν το αντικείμενο περαιτέρω επεξεργασίας μη συμβατής με τους σκοπούς αυτούς, επισημαίνεται, αφενός, ότι η εκ μέρους του υπευθύνου επεξεργασίας καταχώριση και αποθήκευση, σε νεοσυσταθείσα βάση δεδομένων, δεδομένων προσωπικού χαρακτήρα αποθηκευμένων σε άλλη βάση δεδομένων συνιστά «περαιτέρω επεξεργασία» των εν λόγω δεδομένων.

30      Πράγματι, η έννοια της «επεξεργασίας» ορίζεται ευρέως στο άρθρο 4, σημείο 2, του κανονισμού 2016/679 ως καταλαμβάνουσα κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση και η αποθήκευση των δεδομένων αυτών.

31      Επιπλέον, σύμφωνα με τη συνήθη σημασία του όρου «περαιτέρω» στην καθομιλουμένη γλώσσα, οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταγενέστερη της αρχικής επεξεργασίας η οποία συνίσταται στην αρχική συλλογή των εν λόγω δεδομένων συνιστά «περαιτέρω» επεξεργασία των εν λόγω δεδομένων, ανεξαρτήτως του σκοπού της συγκεκριμένης περαιτέρω επεξεργασίας.

32      Αφετέρου, επισημαίνεται ότι το άρθρο 5, παράγραφος 1, στοιχείο βʹ, του κανονισμού 2016/679 δεν περιέχει ενδείξεις ως προς τις προϋποθέσεις υπό τις οποίες περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να θεωρηθεί συμβατή με τους σκοπούς της αρχικής συλλογής των εν λόγω δεδομένων.

33      Ωστόσο, το πλαίσιο στο οποίο εντάσσεται η ως άνω διάταξη παρέχει, κατά δεύτερον, χρήσιμες διευκρινίσεις ως προς το ζήτημα αυτό.

34      Πράγματι, από τη συνδυασμένη ερμηνεία του άρθρου 5, παράγραφος 1, στοιχείο βʹ, του άρθρου 6, παράγραφος 1, στοιχείο αʹ, και του άρθρου 6, παράγραφος 4, του κανονισμού 2016/679 προκύπτει ότι το ζήτημα του συμβατού χαρακτήρα της περαιτέρω επεξεργασίας των δεδομένων προσωπικού χαρακτήρα με τους σκοπούς για τους οποίους είχαν αρχικώς συλλεγεί τα δεδομένα αυτά εγείρεται μόνο στην περίπτωση κατά την οποία οι σκοποί της εν λόγω περαιτέρω επεξεργασίας δεν είναι όμοιοι με εκείνους της αρχικής συλλογής.

35      Επιπλέον, από το ως άνω άρθρο 6, παράγραφος 4, ερμηνευόμενο υπό το πρίσμα της αιτιολογικής σκέψεως 50 του εν λόγω κανονισμού, προκύπτει ότι, οσάκις η επεξεργασία για σκοπό διαφορετικό από εκείνον για τον οποίο συνελέγησαν τα δεδομένα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους, πρέπει, προκειμένου να κριθεί αν η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συνελέγησαν αρχικώς τα δεδομένα προσωπικού χαρακτήρα, να λαμβάνονται υπόψη, μεταξύ άλλων, πρώτον, η ενδεχόμενη ύπαρξη σχέσεως μεταξύ των σκοπών για τους οποίους συνελέγησαν τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· δεύτερον, το πλαίσιο εντός του οποίου συνελέγησαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου της επεξεργασίας· τρίτον, η φύση των δεδομένων προσωπικού χαρακτήρα· τέταρτον, οι πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων και, τέλος, πέμπτον, η ύπαρξη κατάλληλων εγγυήσεων τόσο στο πλαίσιο της αρχικής όσο και της προβλεπόμενης περαιτέρω επεξεργασίας.

36      Επομένως, όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας στα σημεία 28, 59 και 60 των προτάσεών του, τα κριτήρια αυτά εκφράζουν την αναγκαιότητα να υφίσταται συγκεκριμένη, λογική και αρκούντως στενή σχέση μεταξύ των σκοπών της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα και την περαιτέρω επεξεργασία των δεδομένων, παρέχουν δε τη δυνατότητα να διασφαλίζεται ότι η περαιτέρω αυτή επεξεργασία δεν αποκλίνει από τις θεμιτές προσδοκίες των συνδρομητών όσον αφορά την περαιτέρω χρήση των δεδομένων τους.

37      Κατά τα λοιπά, τα κριτήρια αυτά καθιστούν δυνατό, κατά τρίτον, όπως υπογράμμισε κατ’ ουσίαν ο γενικός εισαγγελέας στο σημείο 27 των προτάσεών του, να οριοθετηθεί η εκ νέου χρησιμοποίηση δεδομένων προσωπικού χαρακτήρα τα οποία είχαν συλλεγεί προγενέστερα διασφαλίζοντας την ισορροπία μεταξύ, αφενός, της ανάγκης προβλεψιμότητας και ασφάλειας δικαίου όσον αφορά τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που έχουν προηγουμένως συλλεγεί και, αφετέρου, της αναγνωρίσεως μιας ορισμένης ευελιξίας υπέρ του υπευθύνου επεξεργασίας κατά τη διαχείριση των δεδομένων αυτών, και συμβάλλουν, επομένως, στην επίτευξη του σκοπού ο οποίος συνίσταται στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων, κατά την αιτιολογική σκέψη 10 του κανονισμού 2016/679.

38      Συνεπώς, λαμβανομένων υπόψη των κριτηρίων που μνημονεύθηκαν στη σκέψη 35 της παρούσας αποφάσεως και του συνόλου των περιστάσεων της συγκεκριμένης περιπτώσεως, στο εθνικό δικαστήριο απόκειται να προσδιορίσει τόσο τους σκοπούς της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα όσο και εκείνους της περαιτέρω επεξεργασίας των δεδομένων αυτών και, σε περίπτωση που οι σκοποί της περαιτέρω επεξεργασίας διαφέρουν από εκείνους της αρχικής συλλογής, να διακριβώσει ότι η περαιτέρω επεξεργασία των εν λόγω δεδομένων είναι συμβατή με τους σκοπούς της εν λόγω αρχικής συλλογής.

39      Πάντως, το Δικαστήριο, αποφαινόμενο επί προδικαστικής παραπομπής, έχει τη δυνατότητα να παράσχει διευκρινίσεις προκειμένου να καθοδηγήσει το εθνικό δικαστήριο κατά τον προσδιορισμό αυτόν (πρβλ. απόφαση της 7ης Απριλίου 2022, Fuhrmann-2, C‑249/21, EU:C:2022:269, σκέψη 32).

40      Εν προκειμένω, πρώτον, όπως υπομνήσθηκε στη σκέψη 13 της παρούσας αποφάσεως, από την απόφαση περί παραπομπής προκύπτει ότι τα δεδομένα προσωπικού χαρακτήρα συνελέγησαν αρχικώς από την Digi, υπεύθυνη επεξεργασίας, προς τον σκοπό της συνάψεως και της εκτελέσεως συμβάσεων παροχής υπηρεσιών έναντι συνδρομής με τους ιδιώτες πελάτες της.

41      Δεύτερον, οι διάδικοι της κύριας δίκης δεν συμφωνούν ως προς τον ειδικό σκοπό της εκ μέρους της Digi καταχωρίσεως και αποθηκεύσεως, στη δοκιμαστική βάση δεδομένων, των επίμαχων δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, ενώ η Digi υποστηρίζει ότι η δημιουργία της δοκιμαστικής βάσεως δεδομένων δοκιμής είχε ως ειδικό σκοπό να διασφαλίσει την πρόσβαση στα δεδομένα των συνδρομητών έως ότου διορθωθούν τα σφάλματα ασφάλειας, οπότε ο σκοπός αυτός είναι όμοιος με εκείνους που επιδιώκονταν με την αρχική συλλογή των συγκεκριμένων δεδομένων, η Αρχή υποστηρίζει ότι ο ειδικός σκοπός της περαιτέρω επεξεργασίας ήταν διαφορετικός από τους σκοπούς της αρχικής συλλογής, καθόσον συνίστατο στην πραγματοποίηση δοκιμών και στη διόρθωση σφαλμάτων.

42      Συναφώς, υπενθυμίζεται ότι από τη νομολογία που μνημονεύεται στη σκέψη 19 προκύπτει ότι, στο πλαίσιο της κατά το άρθρο 267 ΣΛΕΕ διαδικασίας, η οποία στηρίζεται σε σαφή διάκριση μεταξύ των αρμοδιοτήτων των εθνικών δικαστηρίων και εκείνων του Δικαστηρίου, το εθνικό δικαστήριο είναι το μόνο αρμόδιο να ερμηνεύει και να εφαρμόζει διατάξεις του εθνικού δικαίου, ενώ το Δικαστήριο είναι αποκλειστικώς αρμόδιο να αποφαίνεται επί της ερμηνείας ή του κύρους νομοθετήματος της Ένωσης, βάσει των πραγματικών περιστατικών που του εκθέτει το εθνικό δικαστήριο.

43      Από την απόφαση περί παραπομπής, όμως, προκύπτει ότι η δοκιμαστική βάση δεδομένων δημιουργήθηκε από την Digi προκειμένου αυτή να έχει τη δυνατότητα να προβεί σε δοκιμές και να διορθώσει σφάλματα, οπότε απόκειται στο αιτούν δικαστήριο να εκτιμήσει τον συμβατό χαρακτήρα της περαιτέρω επεξεργασίας με τους σκοπούς της αρχικής συλλογής, οι οποίοι συνίστανται στη σύναψη και την εκτέλεση συμβάσεων παροχής υπηρεσιών έναντι συνδρομής.

44      Τρίτον, όσον αφορά την ως άνω εκτίμηση, επισημαίνεται ότι η διενέργεια δοκιμών και η διόρθωση σφαλμάτων που επηρεάζουν τη βάση δεδομένων των συνδρομητών έχουν συγκεκριμένη σχέση με την εκτέλεση των συναφθεισών με τους ιδιώτες πελάτες συμβάσεων παροχής υπηρεσιών έναντι συνδρομής, καθόσον τα σφάλματα αυτά ενδέχεται να είναι επιζήμια για την παροχή της προβλεπόμενης εκ της συμβάσεως υπηρεσίας, για την οποία συνελέγησαν αρχικώς τα δεδομένα. Πράγματι, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 60 των προτάσεών του, η επεξεργασία αυτή δεν αποκλίνει από τις θεμιτές προσδοκίες των συγκεκριμένων πελατών όσον αφορά την περαιτέρω χρήση των δεδομένων τους προσωπικού χαρακτήρα. Εξάλλου, από την απόφαση περί παραπομπής δεν προκύπτει ότι το σύνολο ή μέρος των δεδομένων αυτών μπορούσε να χαρακτηρισθεί ως ευαίσθητο ή ότι η εν λόγω περαιτέρω επεξεργασία τους θα είχε επιζήμιες συνέπειες για τους συνδρομητές ή ότι δεν συνοδευόταν από κατάλληλες εγγυήσεις, στοιχείο του οποίου η διακρίβωση απόκειται, εν πάση περιπτώσει, στο αιτούν δικαστήριο.

45      Λαμβανομένων υπόψη των προεκτεθέντων, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 5, παράγραφος 1, στοιχείο βʹ, του κανονισμού 2016/679 έχει την έννοια ότι η αρχή του «περιορισμού του σκοπού», την οποία προβλέπει η εν λόγω διάταξη, δεν αντιτίθεται στην εκ μέρους του υπευθύνου επεξεργασίας καταχώριση και αποθήκευση, σε βάση δεδομένων που έχει δημιουργηθεί προς τον σκοπό της διενέργειας δοκιμών και της διορθώσεως σφαλμάτων, δεδομένων προσωπικού χαρακτήρα τα οποία έχουν προηγουμένως συλλεγεί και αποθηκευθεί σε άλλη βάση δεδομένων, οσάκις η συγκεκριμένη περαιτέρω επεξεργασία είναι συμβατή με τους ειδικούς σκοπούς για τους οποίους συνελέγησαν αρχικώς τα δεδομένα προσωπικού χαρακτήρα, στοιχείο το οποίο πρέπει να εξετασθεί με γνώμονα τα κριτήρια που διαλαμβάνονται στο άρθρο 6, παράγραφος 4, του κανονισμού αυτού.

 Επί του δευτέρου προδικαστικού ερωτήματος

46      Προκαταρκτικώς, επισημαίνεται ότι το δεύτερο προδικαστικό ερώτημα του αιτούντος δικαστηρίου, το οποίο αφορά το ζήτημα αν η εκ μέρους της Digi αποθήκευση δεδομένων προσωπικού χαρακτήρα των πελατών της στη δοκιμαστική βάση δεδομένων είναι σύμφωνη με την αρχή του «περιορισμού της περιόδου αποθήκευσης», η οποία προβλέπεται στο άρθρο 5, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679, υποβάλλεται από το δικαστήριο αυτό μόνο σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα, όπως αναδιατυπώθηκε, δηλαδή στην περίπτωση κατά την οποία η συγκεκριμένη αποθήκευση δεν είναι συμβατή με την αρχή του «περιορισμού του σκοπού», την οποία προβλέπει το άρθρο 5, παράγραφος 1, στοιχείο βʹ, του εν λόγω κανονισμού.

47      Εντούτοις, αφενός, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 24 των προτάσεών του, οι αρχές σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που διατυπώνονται στο άρθρο 5 του κανονισμού 2016/679 τυγχάνουν σωρευτικής εφαρμογής. Ως εκ τούτου, η αποθήκευση δεδομένων προσωπικού χαρακτήρα δεν πρέπει να είναι σύμφωνη μόνο με την αρχή του «περιορισμού του σκοπού», αλλά και με την αρχή του «περιορισμού της περιόδου αποθήκευσης».

48      Αφετέρου, υπενθυμίζεται ότι, όπως προκύπτει από την αιτιολογική σκέψη 10 του κανονισμού 2016/679, ο κανονισμός αυτός αποσκοπεί, μεταξύ άλλων, στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων εντός της Ένωσης και, προς τούτο, στη διασφάλιση συνεκτικής και ομοιόμορφης εφαρμογής των κανόνων προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων αυτών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση.

49      Για τον σκοπό αυτόν, στα κεφάλαια II και III του κανονισμού 2016/679 διατυπώνονται, αντιστοίχως, οι αρχές που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, καθώς και τα δικαιώματα του υποκειμένου των δεδομένων, τα οποία πρέπει να γίνονται σεβαστά σε κάθε περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ειδικότερα, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει, αφενός, να είναι σύμφωνη με τις αρχές που διέπουν την επεξεργασία των δεδομένων, οι οποίες διατυπώνονται στο άρθρο 5 του εν λόγω κανονισμού, και, αφετέρου, λαμβανομένης ιδίως υπόψη της αρχής της νομιμότητας της επεξεργασίας, την οποία προβλέπει η παράγραφος 1, στοιχείο αʹ, του άρθρου αυτού, να πληροί μία από τις προϋποθέσεις νομιμότητας της επεξεργασίας που απαριθμούνται στο άρθρο 6 του ίδιου κανονισμού [πρβλ. αποφάσεις της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 96, και της 24ης Φεβρουαρίου 2022, Valsts ieņēmumu dienests (Επεξεργασία των δεδομένων προσωπικού χαρακτήρα για φορολογικούς σκοπούς), C‑175/20, EU:C:2022:124, σκέψη 50].

50      Λαμβανομένων υπόψη των ανωτέρω σκέψεων, μολονότι τυπικώς το αιτούν δικαστήριο υπέβαλε το δεύτερο ερώτημα μόνο για την περίπτωση κατά την οποία θα δινόταν καταφατική απάντηση στο πρώτο ερώτημα, όπως αναδιατυπώθηκε, τούτο δεν εμποδίζει το Δικαστήριο να παράσχει όλα τα στοιχεία ερμηνείας του δικαίου της Ένωσης τα οποία μπορεί να αποδειχθούν χρήσιμα για την εκδίκαση της υποθέσεως της οποίας έχει επιληφθεί το εθνικό δικαστήριο (πρβλ. απόφαση της 17ης Μαρτίου 2022, Daimler, C‑232/20, EU:C:2022:196, σκέψη 49) και, ως εκ τούτου, να δώσει απάντηση στο δεύτερο ερώτημα.

51      Υπό τις συνθήκες αυτές, πρέπει να γίνει δεκτό ότι, με το συγκεκριμένο ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 5, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679 έχει την έννοια ότι η αρχή του «περιορισμού της περιόδου αποθήκευσης», την οποία προβλέπει η εν λόγω διάταξη, αντιτίθεται στην εκ μέρους του υπευθύνου επεξεργασίας αποθήκευση, σε βάση δεδομένων που έχει δημιουργηθεί προς τον σκοπό της διενέργειας δοκιμών και της διορθώσεως σφαλμάτων, δεδομένων προσωπικού χαρακτήρα τα οποία έχουν προηγουμένως συλλεγεί για άλλους σκοπούς, για χρονικό διάστημα που υπερβαίνει το αναγκαίο για την πραγματοποίηση των δοκιμών και τη διόρθωση των σφαλμάτων.

52      Κατά πρώτον, επισημαίνεται ότι, κατά το άρθρο 5, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679, τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρούνται υπό μορφή που καθιστά δυνατή την ταυτοποίηση των υποκειμένων των δεδομένων για χρονικό διάστημα που δεν υπερβαίνει το αναγκαίο για την επίτευξη των σκοπών για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία.

53      Επομένως, από το γράμμα του ως άνω άρθρου προκύπτει άνευ αμφισημίας ότι η αρχή του «περιορισμού της περιόδου αποθήκευσης» απαιτεί να είναι σε θέση ο υπεύθυνος της επεξεργασίας να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας η οποία υπομνήσθηκε στη σκέψη 24 της παρούσας αποφάσεως, ότι τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται μόνον κατά το χρονικό διάστημα που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους συνελέγησαν τα δεδομένα ή για τους οποίους υποβλήθηκαν σε περαιτέρω επεξεργασία.

54      Ως εκ τούτου, ακόμη και η αρχικώς νόμιμη επεξεργασία δεδομένων μπορεί, με την πάροδο του χρόνου, να καταστεί αντίθετη προς τον κανονισμό 2016/679, εφόσον τα εν λόγω δεδομένα παύσουν να είναι απαραίτητα για την επίτευξη των σκοπών αυτών [απόφαση της 24ης Σεπτεμβρίου 2019, GC κ.λπ. (Διαγραφή συνδέσμων προς ευαίσθητα δεδομένα), C‑136/17, EU:C:2019:773, σκέψη 74], τα δε δεδομένα πρέπει να διαγράφονται μετά την επίτευξη των σκοπών αυτών (πρβλ. απόφαση της 7ης Μαΐου 2009, Rijkeboer, C‑553/07, EU:C:2009:293, σκέψη 33).

55      Κατά δεύτερον, η ερμηνεία αυτή είναι σύμφωνη με το πλαίσιο στο οποίο εντάσσεται το άρθρο 5, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679.

56      Συναφώς, υπομνήσθηκε στη σκέψη 49 της παρούσας αποφάσεως ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι σύμφωνη με τις αρχές σχετικά με την επεξεργασία των δεδομένων οι οποίες διατυπώνονται στο άρθρο 5 του εν λόγω κανονισμού και να πληροί μία από τις προϋποθέσεις σχετικά με τη νομιμότητα της επεξεργασίας οι οποίες απαριθμούνται στο άρθρο 6 του ίδιου κανονισμού.

57      Αφενός, όμως, όπως προκύπτει από το εν λόγω άρθρο 6, οσάκις το υποκείμενο των δεδομένων δεν έχει δώσει τη συγκατάθεσή του για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα ως προς έναν ή περισσότερους ειδικούς σκοπούς, σύμφωνα με το άρθρο 6, παράγραφος 1, στοιχείο αʹ, του κανονισμού 2016/679, η επεξεργασία πρέπει, όπως προκύπτει από τα στοιχεία βʹ έως στʹ της εν λόγω παραγράφου, να πληροί απαίτηση περί αναγκαιότητας.

58      Αφετέρου, η ως άνω απαίτηση περί αναγκαιότητας απορρέει επίσης από την αρχή της «ελαχιστοποιήσεως των δεδομένων», την οποία προβλέπει το άρθρο 5, παράγραφος 1, στοιχείο γʹ, του εν λόγω κανονισμού και κατά την οποία τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο ως προς τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.

59      Κατά τρίτον, η ερμηνεία αυτή είναι σύμφωνη με τον σκοπό που επιδιώκεται με το άρθρο 5, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679, ο οποίος, όπως υπομνήσθηκε στη σκέψη 48 της παρούσας αποφάσεως, συνίσταται μεταξύ άλλων στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων εντός της Ένωσης έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

60      Εν προκειμένω, η Digi υποστήριξε ότι τα δεδομένα προσωπικού χαρακτήρα ορισμένων από τους ιδιώτες πελάτες της τα οποία είχαν αποθηκευθεί στη δοκιμαστική βάση δεδομένων δεν διαγράφηκαν εκ παραδρομής, κατόπιν της πραγματοποιήσεως των δοκιμών και της διορθώσεως των σφαλμάτων.

61      Συναφώς, αρκεί η επισήμανση ότι το επιχείρημα αυτό είναι αλυσιτελές προκειμένου να εκτιμηθεί αν τα δεδομένα αποθηκεύθηκαν για χρονικό διάστημα μεγαλύτερο από εκείνο που ήταν αναγκαίο για την επίτευξη των σκοπών για τους οποίους υποβλήθηκαν σε περαιτέρω επεξεργασία, κατά παραβίαση της αρχής του «περιορισμού της περιόδου αποθήκευσης», η οποία προβλέπεται στο άρθρο 5, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679.

62      Λαμβανομένων υπόψη των προεκτεθέντων, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 5, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679 έχει την έννοια ότι η αρχή του «περιορισμού της περιόδου αποθήκευσης», την οποία προβλέπει η εν λόγω διάταξη, αντιτίθεται στην εκ μέρους του υπευθύνου επεξεργασίας αποθήκευση, σε βάση δεδομένων που έχει δημιουργηθεί προς τον σκοπό της διενέργειας δοκιμών και της διορθώσεως σφαλμάτων, δεδομένων προσωπικού χαρακτήρα τα οποία έχουν προηγουμένως συλλεγεί για άλλους σκοπούς, για χρονικό διάστημα που υπερβαίνει το αναγκαίο για την πραγματοποίηση των δοκιμών και τη διόρθωση των σφαλμάτων.

 Επί των δικαστικών εξόδων

63      Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (πρώτο τμήμα) αποφαίνεται:

1)      Το άρθρο 5, παράγραφος 1, στοιχείο βʹ, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),

έχει την έννοια ότι:

η αρχή του «περιορισμού του σκοπού», την οποία προβλέπει η εν λόγω διάταξη, δεν αντιτίθεται στην εκ μέρους του υπευθύνου επεξεργασίας καταχώριση και αποθήκευση, σε βάση δεδομένων που έχει δημιουργηθεί προς τον σκοπό της διενέργειας δοκιμών και της διορθώσεως σφαλμάτων, δεδομένων προσωπικού χαρακτήρα τα οποία έχουν προηγουμένως συλλεγεί και αποθηκευθεί σε άλλη βάση δεδομένων, οσάκις η συγκεκριμένη περαιτέρω επεξεργασία είναι συμβατή με τους ειδικούς σκοπούς για τους οποίους συνελέγησαν αρχικώς τα δεδομένα προσωπικού χαρακτήρα, στοιχείο το οποίο πρέπει να εξετασθεί με γνώμονα τα κριτήρια που διαλαμβάνονται στο άρθρο 6, παράγραφος 4, του κανονισμού αυτού.

2)      Το άρθρο 5, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679

έχει την έννοια ότι:

η αρχή του «περιορισμού της περιόδου αποθήκευσης», την οποία προβλέπει η εν λόγω διάταξη, αντιτίθεται στην εκ μέρους του υπευθύνου επεξεργασίας αποθήκευση, σε βάση δεδομένων που έχει δημιουργηθεί προς τον σκοπό της διενέργειας δοκιμών και της διορθώσεως σφαλμάτων, δεδομένων προσωπικού χαρακτήρα τα οποία έχουν προηγουμένως συλλεγεί για άλλους σκοπούς, για χρονικό διάστημα που υπερβαίνει το αναγκαίο για την πραγματοποίηση των δοκιμών και τη διόρθωση των σφαλμάτων.

(υπογραφές)

*      Γλώσσα διαδικασίας: η ουγγρική.