Language of document : ECLI:EU:C:2022:805

ROZSUDEK SOUDNÍHO DVORA (prvního senátu)

20. října 2022(*)

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 5 odst. 1 písm. b) a e) – Zásada ‚účelového omezení‘ – Zásada ‚omezení uložení‘ – Databáze, která byla na základě existující databáze vytvořena za účelem provádění testů a opravení chyb – Další zpracování údajů – Slučitelnost dalšího zpracování těchto údajů s účely původního shromáždění – Doba uložení s ohledem na tyto účely“

Ve věci C‑77/21,

jejímž předmětem je žádost o rozhodnutí o předběžné otázce na základě článku 267 SFEU, podaná rozhodnutím Fővárosi Törvényszék (soud hlavního města Budapešti, Maďarsko) ze dne 21. ledna 2021, došlým Soudnímu dvoru dne 8. února 2021, v řízení

Digi Távközlési és Szolgáltató Kft.

proti

Nemzeti Adatvédelmi és Információszabadság Hatóság,

SOUDNÍ DVŮR (první senát),

ve složení A. Arabadžev, předseda senátu, L. Bay Larsen, místopředseda Soudního dvora vykonávající funkci soudce prvního senátu, P. G. Xuereb, A. Kumin a I. Ziemele (zpravodajka), soudci,

generální advokát: P. Pikamäe,

vedoucí soudní kanceláře: I. Illéssy, rada,

s přihlédnutím k písemné části řízení a po jednání konaném dne 17. ledna 2022,

s ohledem na vyjádření předložená:

–        za Digi Távközlési és Szolgáltató Kft. R. Hatalou a A. D. Lászlem, ügyvédek,

–        za Nemzeti Adatvédelmi és Információszabadság Hatóság G. Barabásem, právním poradcem, ve spolupráci s G. J. Dudásem a Á. Hargitou, ügyvédek,

–        za maďarskou vládu Zs. Biró-Tóth a M. Z. Fehérem, jako zmocněnci,

–        za českou vládu T. Machovičovou, M. Smolkem a J. Vláčilem, jako zmocněnci,

–        za portugalskou vládu P. Barros da Costa, L. Inez Fernandesem, I. Oliveira, M. J. Ramos a C. Vieira Guerra, jako zmocněnci,

–        za Evropskou komisi V. Bottkou a H. Kranenborgem, jako zmocněnci,

po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 31. března 2022,

vydává tento

Rozsudek

1        Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 5 odst. 1 písm. b) a e) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, a oprava Úř. věst. 2018, L 127, s. 2).

2        Tato žádost byla předložena v rámci sporu mezi Digi Távközlési és Szolgáltató Kft. (dále jen „Digi“), jedním z hlavních poskytovatelů internetových a televizních služeb v Maďarsku, a Nemzeti Adatvédelmi és Információszabadság Hatóság (Národní úřad pro ochranu údajů a svobodu informací, Maďarsko) (dále jen „Úřad“) ve věci porušení zabezpečení osobních údajů obsažených v databázi společnosti Digi.

 Právní rámec

3        Body 10 a 50 odůvodnění nařízení 2016/679 uvádějí:

„(10)      S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci Unie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů. […]

[…]

(50)      Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny. V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů. […] S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.

[…]“

4        Článek 4 nařízení 2016/679, nadepsaný „Definice“, uvádí:

„Pro účely tohoto nařízení se rozumí:

[…]

2)      ‚zpracováním‘ jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

[…]“

5        Článek 5 tohoto nařízení, nadepsaný „Zásady zpracování osobních údajů“, zní:

„1.      Osobní údaje musí být:

a)      ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem (‚zákonnost, korektnost a transparentnost‘);

b)      shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely (‚účelové omezení‘);

c)      přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (‚minimalizace údajů‘);

d)      přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny (‚přesnost‘);

e)      uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů (‚omezení uložení‘);

f)      zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (‚integrita a důvěrnost‘);

2.      Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

6        Článek 6 uvedeného nařízení, nadepsaný „Zákonnost zpracování“, stanoví:

„1.      Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

a)      subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

b)      zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;

c)      zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

d)      zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;

e)      zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

f)      zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

[…]

4.      Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

a)      jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;

b)      okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;

c)      povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10;

d)      možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;

e)      existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.“

 Spor v původním řízení a předběžné otázky

7        Digi je jedním z hlavních poskytovatelů internetových a televizních služeb v Maďarsku.

8        V dubnu 2018 vytvořila Digi v důsledku technické závady, která měla dopad na fungování serveru, tzv. zkušební databázi (dále jen „zkušební databáze“), do které zkopírovala osobní údaje přibližně třetiny svých soukromých zákazníků, které byly uloženy v jiné databázi nazvané „digihu“, kterou bylo možné pro účely přímého marketingu propojit s webovou stránkou www.digi.hu obsahující aktualizované údaje osob, které se zaregistrovaly k odběru newsletteru společnosti Digi, jakož i údaje správce systému umožňující přístup k rozhraní webové stránky.

9        Dne 23. září 2019 se společnost Digi dozvěděla, že „etický hacker“ měl přístup k osobním údajům, které uchovávala a které se týkaly přibližně 322 000 osob. Společnost Digi byla o tomto přístupu informována samotným „etickým hackerem“, který jí jako důkaz zaslal řádek testovací databáze. Společnost Digi opravila chybu, která tento přístup umožnila, uzavřela s touto osobou smlouvu o důvěrnosti a poskytla jí odměnu.

10      Po vymazání zkušební databáze oznámila společnost Digi dne 25. září 2019 porušení zabezpečení osobních údajů Úřadu, který následně zahájil šetření.

11      V rozhodnutí ze dne 18. května 2020 Úřad zejména dospěl k závěru, že společnost Digi porušila čl. 5 odst. 1 písm. b) a e) nařízení 2016/679, když po provedení nezbytných testů a odstranění nedostatku zkušební databázi okamžitě nevymazala, v důsledku čehož bylo v této databázi bez jakéhokoli účelu téměř 18 měsíců uloženo velké množství osobních údajů v souboru, který umožňoval identifikaci dotyčných osob. Úřad proto společnosti Digi nařídil, aby přezkoumala všechny své databáze, a uložil jí pokutu ve výši 100 000 000 maďarských forintů (HUF) (přibližně 248 000 eur).

12      Digi zpochybnila legalitu tohoto rozhodnutí u předkládajícího soudu.

13      Předkládající soud uvádí, že osobní údaje, které společnost Digi zkopírovala do zkušební databáze, byly shromážděny za účelem uzavření a plnění smluv o předplatném a že Úřad nezpochybnil zákonnost původního shromažďování osobních údajů. Předkládající soud se však táže, zda mělo zkopírování původně shromážděných údajů do jiné databáze za následek změnu účelu jejich původního shromáždění a zpracování. Dodává, že je třeba rovněž určit, zda jsou vytvoření zkušební databáze a další zpracovávání údajů o zákaznících v této jiné databázi slučitelné s účelem původního shromáždění. Má za to, že zásada „účelového omezení“, jak je uvedena v čl. 5 odst. 1 písm. b) nařízení 2016/679, mu neumožňuje určit interní systémy, ve kterých má správce právo korektně zpracovávat shromážděné údaje, ani zjistit, zda může správce kopírovat tyto údaje do zkušební databáze, aniž se změní účel původního shromáždění údajů.

14      Za předpokladu, že by vytvoření zkušební databáze bylo neslučitelné s účelem původního shromáždění, se předkládající soud rovněž táže, zda vzhledem k tomu, že účelem zpracování údajů předplatitelů v jiné databázi není oprava chyb, ale uzavření smluv, musí doba, po kterou jsou údaje nezbytně uloženy, na základě zásady „omezení uložení“ uvedené v čl. 5 odst. 1 písm. e) nařízení 2016/679 odpovídat době nezbytné pro opravu chyb nebo době nezbytné pro splnění smluvních povinností.

15      Za těchto podmínek se Fővárosi Törvényszék (soud hlavního města Budapešti, Maďarsko) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1)      Musí být pojem ‚účelové omezení‘, který je definován v čl. 5 odst. 1 písm. b) nařízení 2016/679 […], vykládán v tom smyslu, že v souladu s tímto pojmem je také skutečnost, že správce údajů si v jiné databázi současně uchovává osobní údaje, které byly jinak shromážděny pro konkrétní a legitimní účely a uchovávány v souladu s těmito účely, nebo naopak v tom smyslu, že skutečnost, že jsou údaje uchovávány v paralelní databázi, již není slučitelná s legitimními účely, pro které byly dotčené údaje shromážděny?

2)      Je-li odpověď na první otázku taková, že souběžné uchovávání údajů je v zásadě neslučitelné se zásadou ‚účelového omezení‘, je tedy toto uchovávání slučitelné se zásadou ‚omezení uložení‘, která je uvedena v čl. 5 odst. 1 písm. e) nařízení 2016/679, pokud správce údajů současně uchovává v jiné databázi osobní údaje, které byly jinak shromážděny a uloženy za omezeným legitimním účelem?“

 K předběžným otázkám

 K přípustnosti

16      Úřad i maďarská vláda vyjádřily pochybnosti o přípustnosti předběžných otázek s odůvodněním, že tyto otázky neodpovídají skutkovým okolnostem sporu v původním řízení a nejsou bezprostředně relevantní pro jeho vyřešení.

17      V tomto ohledu je třeba zaprvé připomenout, že z ustálené judikatury Soudního dvora vyplývá, že pouze vnitrostátnímu soudu, kterému byl spor předložen a který nese odpovědnost za soudní rozhodnutí, jež bude vydáno, přísluší, aby s ohledem na konkrétní okolnosti věci posoudil jak nezbytnost rozhodnutí o předběžné otázce pro vydání jeho rozsudku, tak relevanci otázek, které Soudnímu dvoru klade. Proto týkají-li se položené otázky výkladu nebo platnosti pravidla unijního práva, je Soudní dvůr v zásadě povinen rozhodnout. Z toho plyne, že na otázky položené vnitrostátními soudy se vztahuje domněnka relevance. Soudní dvůr smí rozhodnutí o předběžné otázce položené vnitrostátním soudem odmítnout pouze tehdy, pokud je zjevné, že žádaný výklad nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, pokud se jedná o hypotetický problém nebo také pokud Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na dané otázky (rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 73 a citovaná judikatura).

18      V projednávaném případě byla k předkládajícímu soudu podána žaloba znějící na neplatnost rozhodnutí, kterým byla společnost Digi jakožto správce sankcionována za to, že nevymazáním databáze obsahující osobní údaje, které umožňovaly identifikaci dotyčných osob, porušila zásadu „účelového omezení“, která je stanovena v čl. 5 odst. 1 písm. b) nařízení 2016/679, a zásadu „omezení uložení“, která je stanovena v čl. 5 odst. 1 písm. e) uvedeného nařízení. Předběžné otázky se přitom týkají právě výkladu těchto ustanovení, takže nelze mít za to, že žádaný výklad unijního práva nemá žádný vztah k realitě nebo předmětu sporu v původním řízení nebo že se jedná o hypotetický problém. Předkládací rozhodnutí mimoto obsahuje skutkové a právní okolnosti dostatečné k tomu, aby byla na otázky položené předkládajícím soudem poskytnuta užitečná odpověď.

19      Zadruhé je třeba připomenout, že v rámci řízení upraveného v článku 267 SFEU, které je založeno na jasném rozdělení funkcí mezi vnitrostátními soudy a Soudním dvorem, má pouze vnitrostátní soud pravomoc vykládat a uplatňovat ustanovení vnitrostátního práva, zatímco Soudní dvůr je oprávněn rozhodovat pouze o výkladu nebo platnosti právního předpisu Unie, a to na základě skutečností, které mu sdělil vnitrostátní soud (rozsudek ze dne 5. května 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, bod 45 a citovaná judikatura).

20      Je tudíž třeba odmítnout argumentaci týkající se nepřípustnosti předběžných otázek, kterou Úřad a maďarská vláda v podstatě vyvozují z toho, že předběžné otázky podle nich neodpovídají skutkovým okolnostem sporu v původním řízení.

21      Z toho plyne, že předběžné otázky jsou přípustné.

 K věci samé

 K první otázce

22      Podstatou první otázky předkládajícího soudu je, zda čl. 5 odst. 1 písm. b) nařízení 2016/679 musí být vykládán v tom smyslu, že zásada „účelového omezení“, která je stanovena v tomto ustanovení, brání tomu, aby správce v databázi vytvořené za účelem provedení testů a opravení chyb zaznamenával a uchovával osobní údaje, které byly předtím shromážděny a uchovávány v jiné databázi.

23      Podle ustálené judikatury výklad ustanovení unijního práva vyžaduje, aby bylo zohledněno nejen znění tohoto ustanovení, ale i kontext, do kterého toto ustanovení zapadá, a cíle a účel, které sleduje akt, jehož je součástí (rozsudek ze dne 1. srpna 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, bod 42 a citovaná judikatura).

24      V tomto ohledu je třeba na prvním místě uvést, že čl. 5 odst. 1 nařízení 2016/679 stanoví zásady zpracování osobních údajů, které musí správce dodržovat a jejichž dodržování musí být schopen prokázat v souladu se zásadou odpovědnosti uvedenou v odstavci 2 tohoto článku.

25      Zejména podle čl. 5 odst. 1 písm. b) tohoto nařízení, který uvádí zásadu „účelového omezení“, musí být osobní údaje jednak shromažďovány pro určité, výslovně vyjádřené a legitimní účely a jednak nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.

26      Ze znění tohoto ustanovení tak vyplývá, že toto ustanovení obsahuje dva požadavky, a sice jeden týkající se účelů původního shromáždění osobních údajů a druhý týkající se dalšího zpracování těchto údajů.

27      Pokud jde zaprvé o požadavek, že osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely, z judikatury Soudního dvora vyplývá, že tento požadavek předně vyžaduje, aby byly účely zpracování identifikovány nejpozději v okamžiku shromažďování osobních údajů, dále aby byly účely tohoto zpracování jasně uvedeny a konečně aby účely uvedeného zpracování zaručovaly zejména zákonnost zpracování těchto údajů ve smyslu čl. 6 odst. 1 nařízení 2016/679 [v tomto smyslu viz rozsudek ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely), C‑175/20, EU:C:2022:124, body 64 až 66].

28      V projednávaném případě ze znění první otázky a odůvodnění předkládacího rozhodnutí vyplývá, že osobní údaje dotčené v původním řízení byly shromážděny pro určité, výslovně vyjádřené a legitimní účely, přičemž předkládající soud kromě toho upřesnil, že tyto údaje byly v souladu s čl. 6 odst. 1 písm. b) nařízení 2016/679 shromážděny za tím účelem, aby společnost Digi uzavřela se svými zákazníky smlouvy o předplatném a tyto smlouvy splnila.

29      Pokud jde zadruhé o požadavek, že osobní údaje nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný, je třeba uvést, že skutečnost, že správce v nově vytvořené databázi zaznamenává a uchovává osobní údaje, které jsou uloženy v jiné databázi, představuje „další zpracování“ těchto údajů.

30      Pojem „zpracování“ je totiž v čl. 4 bodě 2 nařízení 2016/679 definován široce tak, že zahrnuje jakoukoliv operaci nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je mimo jiné shromáždění, zaznamenání a uložení těchto údajů.

31      Mimoto v souladu s obvyklým smyslem výrazu „další“ v běžném jazyce představuje každé zpracování osobních údajů, které následuje po původním zpracování, jež sestává z původního shromáždění těchto údajů, „další“ zpracování uvedených údajů bez ohledu na účel tohoto následného zpracování.

32      Dále je třeba uvést, že čl. 5 odst. 1 písm. b) nařízení 2016/679 neobsahuje informace o podmínkách, za kterých lze další zpracování osobních údajů považovat za slučitelné s účely původního shromáždění těchto údajů.

33      Kontext, do kterého spadá toto ustanovení, však na druhém místě poskytuje v této souvislosti užitečná upřesnění.

34      Ze společného výkladu čl. 5 odst. 1 písm. b), čl. 6 odst. 1 písm. a) a čl. 6 odst. 4 nařízení 2016/679 totiž vyplývá, že otázka slučitelnosti dalšího zpracování osobních údajů s účely, pro které byl tyto údaje původně shromážděny, vyvstává pouze v případě, že by účely uvedeného dalšího zpracování nebyly totožné s účely původního shromáždění.

35      Z tohoto článku 6 odst. 4, vykládaného ve světle bodu 50 odůvodnění uvedeného nařízení, mimoto vyplývá, že pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, je v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, třeba zohlednit mimo jiné zaprvé jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování; zadruhé okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem; zatřetí povahu osobních údajů; začtvrté možné důsledky zamýšleného dalšího zpracování pro subjekty údajů a konečně zapáté existenci vhodných záruk při počátečním zpracování i při zamýšleném dalším zpracování.

36      Jak v podstatě uvedl generální advokát v bodech 28, 59 a 60 svého stanoviska, tato kritéria vyjadřují potřebu konkrétní, logické a dostatečně úzké vazby mezi účely původního shromáždění osobních údajů a dalším zpracováním těchto údajů a umožňují zajistit, aby se toto další zpracování neodchylovalo od legitimních očekávání předplatitelů, pokud jde o následné použití jejich údajů.

37      Tato kritéria ostatně na třetím místě umožňují, jak v podstatě zdůraznil generální advokát v bodě 27 svého stanoviska, regulovat opakované použití dříve shromážděných osobních údajů tím, že zajišťují rovnováhu mezi potřebou předvídatelnosti a právní jistoty, pokud jde o účely zpracování dříve shromážděných osobních údajů, na jedné straně a přiznáním určité flexibility správci při správě těchto údajů na straně druhé, a přispívají tak k dosažení cíle uvedeného v bodě 10 odůvodnění nařízení 2016/679, který spočívá v zajištění konzistentní a vysoké úrovně ochrany fyzických osob.

38      S ohledem na kritéria uvedená v bodě 35 tohoto rozsudku a s ohledem na všechny okolnosti projednávaného případu tak vnitrostátnímu soudu přísluší určit jak účely původního shromáždění osobních údajů, tak účely dalšího zpracování těchto údajů, a za předpokladu, že by účely tohoto dalšího zpracování byly jiné než účely tohoto shromáždění, přísluší mu ověřit, že je další zpracování uvedených údajů slučitelné s účely uvedeného původního shromáždění.

39      Soudní dvůr však při rozhodování o předběžné otázce může podat upřesnění, aby vnitrostátnímu soudu poskytl vodítko při tomto určení (v tomto smyslu viz rozsudek ze dne 7. dubna 2022, Fuhrmann-2, C‑249/21, EU:C:2022:269, bod 32).

40      Jak bylo připomenuto v bodě 13 tohoto rozsudku, v projednávaném případě zaprvé z předkládacího rozhodnutí vyplývá, že osobní údaje byly původně společností Digi jakožto správcem shromážděny pro účely uzavření smluv o předplatném s jejími soukromými zákazníky a pro účely splnění těchto smluv.

41      Zadruhé se účastníci původního řízení neshodují na konkrétním účelu zaznamenávání a uchovávání dotyčných osobních údajů společností Digi ve zkušební databázi. Zatímco totiž společnost Digi tvrdí, že konkrétním účelem vytvoření zkušební databáze bylo zaručit přístup k údajům předplatitelů do doby, než budou opraveny chyby, takže tento účel je podle jejího názoru totožný s účely původního shromáždění těchto údajů, Úřad tvrdí, že konkrétní účel dalšího zpracování se od těchto účelů lišil, neboť spočíval v uskutečnění testů a opravení chyb.

42      V tomto ohledu je třeba připomenout, že z judikatury citované v bodě 19 tohoto rozsudku vyplývá, že v rámci řízení upraveného v článku 267 SFEU, které je založeno na jasném rozdělení funkcí mezi vnitrostátními soudy a Soudním dvorem, je k výkladu a uplatňování ustanovení vnitrostátního práva příslušný pouze vnitrostátní soud, zatímco Soudní dvůr je oprávněn rozhodovat pouze o výkladu nebo platnosti právního předpisu Unie, a to na základě skutečností, které mu sdělil vnitrostátní soud.

43      Z předkládacího rozhodnutí přitom vyplývá, že zkušební databáze byla společností Digi vytvořena za účelem provedení testů a opravení chyb, takže právě s ohledem na tyto účely přísluší předkládajícímu soudu posoudit slučitelnost dalšího zpracování s účely původního shromáždění, které spočívaly v uzavření a plnění smluv o předplatném.

44      Zatřetí, pokud jde o toto posouzení, je třeba uvést, že provedení testů a opravení chyb, které se dotýkají databáze obsahující údaje předplatitelů, mají konkrétní vazbu na plnění smluv o předplatném uzavřených se soukromými zákazníky, jelikož takové chyby mohou mít škodlivý dopad na poskytování smluvně sjednané služby, pro které byly údaje původně shromážděny. Jak totiž uvedl generální advokát v bodě 60 svého stanoviska, takové zpracování se neodchyluje od legitimních očekávání těchto zákazníků, pokud jde o následné použití jejich osobních údajů. Z předkládacího rozhodnutí ostatně nevyplývá, že by všechny tyto údaje nebo jejich část byly citlivé nebo že by dotčené další zpracování těchto údajů mělo jako takové škodlivé důsledky pro předplatitele nebo nebylo doprovázeno vhodnými zárukami, což každopádně musí ověřit předkládající soud.

45      Z výše uvedeného vyplývá, že na první otázku je třeba odpovědět, že čl. 5 odst. 1 písm. b) nařízení 2016/679 musí být vykládán v tom smyslu, že zásada „účelového omezení“, která je stanovena v tomto ustanovení, nebrání tomu, aby správce v databázi vytvořené za účelem provedení testů a opravení chyb zaznamenával a uchovával osobní údaje, které byly předtím shromážděny a uchovávány v jiné databázi, je-li takové další zpracování slučitelné s konkrétními účely, pro které byly osobní údaje původně shromážděny, což je třeba určit s ohledem na kritéria uvedená v čl. 6 odst. 4 tohoto nařízení.

 K druhé otázce

46      Na úvod je třeba poznamenat, že druhou otázku, která se týká toho, zda je uložení osobních údajů zákazníků společností Digi ve zkušební databázi v souladu se zásadou „omezení uložení“, která je uvedena v čl. 5 odst. 1 písm. e) nařízení 2016/679, pokládá předkládající soud pouze pro případ, že bude na první otázku v přeformulovaném znění odpovězeno kladně, tedy za předpokladu, že by toto uložení nebylo slučitelné se zásadou „účelového omezení“ stanovenou v čl. 5 odst. 1 písm. b) tohoto nařízení.

47      Jak však uvedl generální advokát v bodě 24 svého stanoviska, zásady zpracování osobních údajů, které jsou uvedeny v článku 5 nařízení 2016/679, se uplatňují kumulativně. Uložení osobních údajů musí tudíž dodržovat nejenom zásadu „účelového omezení“, ale i zásadu „omezení uložení“.

48      Dále je třeba připomenout, že jak vyplývá z bodu 10 odůvodnění nařízení 2016/679, cílem tohoto nařízení je zejména zajistit vysokou úroveň ochrany fyzických osob v rámci Unie, a za tímto účelem zajistit v celé Unii soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod těchto osob v souvislosti se zpracováním osobních údajů.

49      Za tímto účelem stanoví kapitoly II a III tohoto nařízení zásady zpracování osobních údajů a práva subjektu údajů, která musí být dodržována při každém zpracování osobních údajů. Konkrétně každé zpracování osobních údajů musí být v souladu se zásadami zpracování údajů, které jsou stanoveny v článku 5 uvedeného nařízení, a zvláště s ohledem na zásadu zákonnosti zpracování, která je stanovena v tomto čl. 5 odst. 1 písm. a), musí splňovat jednu z podmínek zákonnosti zpracování, které jsou uvedeny v článku 6 téhož nařízení [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 96, a rozsudek ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely), C‑175/20, EU:C:2022:124, bod 50].

50      S ohledem na tyto úvahy je třeba uvést, že i když po formální stránce předkládající soud položil druhou otázku pouze pro případ, že bude na první otázku v přeformulovaném znění odpovězeno kladně, taková okolnost Soudnímu dvoru nebrání, aby předkládajícímu soudu poskytl všechny prvky výkladu unijního práva, které mohou být užitečné pro rozhodnutí ve věci, která mu byla předložena (v tomto smyslu viz rozsudek ze dne 17. března 2022, Daimler, C‑232/20, EU:C:2022:196, bod 49), a tudíž na tuto druhou otázku odpověděl.

51      Za těchto podmínek je třeba mít za to, že podstatou této otázky předkládajícího soudu je, zda čl. 5 odst. 1 písm. e) nařízení 2016/679 musí být vykládán v tom smyslu, že zásada „omezení uložení“, která je stanovena v tomto ustanovení, brání tomu, aby správce v databázi vytvořené za účelem provedení testů a opravení chyb uchovával osobní údaje, které byly předtím shromážděny pro jiné účely, po dobu delší, než je doba nezbytná k provedení těchto testů a opravení těchto chyb.

52      Na prvním místě je třeba uvést, že podle čl. 5 odst. 1 písm. e) nařízení 2016/679 musí být osobní údaje uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány.

53      Ze znění tohoto článku tedy jednoznačně vyplývá, že zásada „omezení uložení“ vyžaduje, aby byl správce schopen v souladu se zásadou odpovědnosti, která je připomenuta v bodě 24 tohoto rozsudku, prokázat, že osobní údaje jsou uchovávány pouze po dobu nezbytnou k dosažení účelů, pro které byly shromážděny nebo pro které byly dále zpracovávány.

54      Z toho vyplývá, že i zpracování údajů, které bylo původně v souladu s právními předpisy, může být po určité době neslučitelné s nařízením 2016/679, pokud již tyto údaje nejsou nezbytné pro dosažení takových účelů [v tomto smyslu viz rozsudek ze dne 24. září 2019, GC a další (Odstranění odkazů na citlivé údaje), C‑136/17, EU:C:2019:773, bod 74], a že údaje musí být vymazány, jakmile je těchto účelů dosaženo (v tomto smyslu viz rozsudek ze dne 7. května 2009, Rijkeboer, C‑553/07, EU:C:2009:293, bod 33).

55      Tento výklad je na druhém místě v souladu s kontextem, do kterého spadá čl. 5 odst. 1 písm. e) nařízení 2016/679.

56      V tomto ohledu bylo v bodě 49 tohoto rozsudku připomenuto, že každé zpracování osobních údajů musí být v souladu se zásadami zpracování údajů, které jsou uvedeny v článku 5 uvedeného nařízení, a musí splňovat jednu z podmínek týkajících se zákonnosti zpracování, které jsou uvedeny v článku 6 téhož nařízení.

57      Jak přitom vyplývá z tohoto článku 6, pokud subjekt údajů neudělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů v souladu s čl. 6 odst. 1 písm. a) nařízení 2016/679, zpracování musí – jak vyplývá z bodů b) až f) uvedeného odstavce – splňovat požadavek nezbytnosti.

58      Takový požadavek nezbytnosti vyplývá rovněž ze zásady „minimalizace údajů“, která je stanovena v čl. 5 odst. 1 písm. c) tohoto nařízení a podle které musí být osobní údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

59      Takový výklad je na třetím místě v souladu s cílem, který sleduje čl. 5 odst. 1 písm. e) nařízení 2016/679 a který – jak bylo připomenuto v bodě 46 tohoto rozsudku – spočívá zejména v zajištění vysoké úrovně ochrany fyzických osob v rámci Unie v souvislosti se zpracováním osobních údajů.

60      V projednávaném případě společnost Digi tvrdila, že pouze nedopatřením nebyly osobní údaje části jejích soukromých zákazníků, které byly uloženy ve zkušební databázi, po provedení testů a opravení chyb vymazány.

61      V tomto ohledu stačí uvést, že tento argument je irelevantní pro účely posouzení, zda údaje byly uloženy po dobu delší, než je doba nezbytná k dosažení účelů, pro které byly dále zpracovávány, a to v rozporu se zásadou „omezení uložení“, která je stanovena v čl. 5 odst. 1 písm. e) nařízení 2016/679.

62      Z výše uvedeného vyplývá, že na druhou otázku je třeba odpovědět, že čl. 5 odst. 1 písm. e) nařízení 2016/679 musí být vykládán v tom smyslu, že zásada „omezení uložení“, která je stanovena v tomto ustanovení, brání tomu, aby správce v databázi vytvořené za účelem provedení testů a opravení chyb uchovával osobní údaje, které byly předtím shromážděny pro jiné účely, po dobu delší, než je doba nezbytná k provedení těchto testů a opravení těchto chyb.

 K nákladům řízení

63      Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (první senát) rozhodl takto:

1)      Článek 5 odst. 1 písm. b) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

musí být vykládán v tom smyslu, že

zásada „účelového omezení“, která je stanovena v tomto ustanovení, nebrání tomu, aby správce v databázi vytvořené za účelem provedení testů a opravení chyb zaznamenával a uchovával osobní údaje, které byly předtím shromážděny a uchovávány v jiné databázi, je-li takové další zpracování slučitelné s konkrétními účely, pro které byly osobní údaje původně shromážděny, což je třeba určit s ohledem na kritéria uvedená v čl. 6 odst. 4 tohoto nařízení.

2)      Článek 5 odst. 1 písm. e) nařízení 2016/679

musí být vykládán v tom smyslu, že

zásada „omezení uložení“, která je stanovena v tomto ustanovení, brání tomu, aby správce v databázi vytvořené za účelem provedení testů a opravení chyb uchovával osobní údaje, které byly předtím shromážděny pro jiné účely, po dobu delší, než je doba nezbytná k provedení těchto testů a opravení těchto chyb.

Podpisy


*      Jednací jazyk: maďarština.