WYROK TRYBUNAŁU (pierwsza izba)

z dnia 20 października 2022 r.

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 5 ust. 1 lit. b) i e) – Zasada „ograniczenia celu” – Zasada „ograniczenia przechowywania” – Utworzenie bazy danych w oparciu o istniejącą bazę danych w celu przeprowadzenia testów i poprawienia błędów – Dalsze przetwarzanie danych – Zgodność dalszego przetwarzania tych danych z celami pierwotnego zbierania – Okres przechowywania w świetle owych celów

W sprawie C‑77/21

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Fővárosi Törvényszék (sąd dla miasta stołecznego Budapeszt, Węgry) postanowieniem z dnia 21 stycznia 2021 r., które wpłynęło do Trybunału w dniu 8 lutego 2021 r., w postępowaniu:

Digi Távközlési és Szolgáltató Kft.

przeciwko

Nemzeti Adatvédelmi és Információszabadság Hatóság

(...)

 Co do istoty

 W przedmiocie pytania pierwszego

22      Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 5 ust. 1 lit. b) rozporządzenia 2016/679 należy interpretować w ten sposób, że przewidziana w tym przepisie zasada „ograniczenia celu” stoi na przeszkodzie utrwalaniu i przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych.

23      Zgodnie z utrwalonym orzecznictwem wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, ale także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią (wyrok z dnia 1 sierpnia 2020 r., HOLD Alapkezelő, C‑352/20, EU:C:2022:606, pkt 42 i przytoczone tam orzecznictwo).

24      W tym względzie w pierwszej kolejności należy zauważyć, że art. 5 ust. 1 rozporządzenia 2016/679 określa zasady dotyczące przetwarzania danych osobowych, które obowiązują administratora danych, zaś ten musi być w stanie wykazać ich przestrzeganie, zgodnie z zasadą rozliczalności przewidzianą w ust. 2 tego artykułu.

25      W szczególności zgodnie z art. 5 ust. 1 lit. b) tego rozporządzenia, który ustanawia zasadę „ograniczenia celu”, dane osobowe, po pierwsze, muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, a po drugie, nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami.

26      Z brzmienia tego przepisu wynika zatem, że zawiera on dwa wymogi, z których pierwszy dotyczy celów pierwotnego zbierania danych osobowych, a drugi – dalszego przetwarzania tych danych.

27      Co się tyczy, po pierwsze, wymogu, zgodnie z którym dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, z orzecznictwa Trybunału wynika, iż ów wymóg oznacza przede wszystkim, że cele przetwarzania należy określić najpóźniej w momencie zbierania danych osobowych, następnie – że cele tego przetwarzania muszą zostać jasno określone i wreszcie – że cele owego przetwarzania powinny gwarantować między innymi zgodność przetwarzania tych danych z prawem w rozumieniu art. 6 ust. 1 rozporządzenia 2016/679 [zob. podobnie wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych uzyskanych do celów podatkowych), C‑175/20, EU:C:2022:124, pkt 64–66].

28      W niniejszej sprawie z brzmienia pytania pierwszego i z uzasadnienia postanowienia odsyłającego wynika, że dane osobowe rozpatrywane w postępowaniu głównym zebrano w konkretnych, wyraźnych i prawnie uzasadnionych celach, a sąd odsyłający uściślił ponadto, iż owe dane zebrano w celu zawarcia i wykonania przez spółkę Digi umów abonenckich z klientami, zgodnie z art. 6 ust. 1 lit. b) rozporządzenia 2016/679.

29      Co się tyczy, po drugie, wymogu, zgodnie z którym dane osobowe nie mogą być przedmiotem dalszego przetwarzania, które byłoby niezgodne z tymi celami, należy zauważyć z jednej strony, że utrwalanie i przechowywanie przez administratora danych, w nowo utworzonej bazie danych, danych osobowych przechowywanych w innej bazie danych stanowi „dalsze przetwarzanie” tych danych.

30      Pojęcie „przetwarzania” jest bowiem zdefiniowane w szeroki sposób w art. 4 pkt 2 rozporządzenia 2016/679 jako oznaczające operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak między innymi zbieranie, utrwalanie i przechowywanie tych danych.

31      Ponadto zgodnie ze zwykłym znaczeniem słowa „dalsze” w języku potocznym każde przetwarzanie danych osobowych, które następuje po pierwotnym przetwarzaniu, jakim jest pierwotne zbieranie tych danych, stanowi „dalsze” przetwarzanie owych danych, niezależnie od celu tego dalszego przetwarzania.

32      Z drugiej strony należy zauważyć, że art. 5 ust. 1 lit. b) rozporządzenia 2016/679 nie zawiera wskazówek co do tego, na jakich warunkach dalsze przetwarzanie danych osobowych można uznać za zgodne z celami pierwotnego zbierania tych danych.

33      W drugiej kolejności należy podkreślić, że kontekst, w jaki wpisuje się ten przepis, dostarcza jednak użytecznych wyjaśnień w tym względzie.

34      Z łącznej lektury art. 5 ust. 1 lit. b), art. 6 ust. 1 lit. a) i art. 6 ust. 4 rozporządzenia 2016/679 wynika bowiem, że kwestia zgodności dalszego przetwarzania danych osobowych z celami, w jakich dane te pierwotnie zebrano, pojawia się jedynie w przypadku, gdy cele tego dalszego przetwarzania nie są identyczne z celami pierwotnego zbierania.

35      Ponadto ze wspomnianego art. 6 ust. 4 w związku z motywem 50 rzeczonego rozporządzenia wynika, że jeżeli przetwarzanie w celu innym niż cel, w którym dane zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego, wówczas aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane, należy uwzględnić między innymi, po pierwsze, wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; po drugie, kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; po trzecie, charakter danych osobowych; po czwarte, ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; i wreszcie po piąte, istnienie odpowiednich zabezpieczeń zarówno w ramach pierwotnego przetwarzania, jak i zamierzonego dalszego przetwarzania.

36      Jak wskazał w istocie rzecznik generalny w pkt 28, 59 i 60 opinii, kryteria te wskazują na konieczność konkretnego, logicznego i dostatecznie ścisłego związku pomiędzy celami pierwotnego zbierania danych osobowych a dalszym przetwarzaniem tych danych i pozwalają upewnić się, czy to dalsze przetwarzanie nie odbiega od uzasadnionych oczekiwań abonentów co do dalszego wykorzystania ich danych.

37      W trzeciej kolejności – owe kryteria pozwalają poza tym, jak podkreślił w istocie rzecznik generalny w pkt 27 opinii, na określenie ram ponownego wykorzystania zebranych wcześniej danych osobowych poprzez zapewnienie równowagi między potrzebą przewidywalności i pewności prawa w odniesieniu do celów przetwarzania zebranych wcześniej danych osobowych z jednej strony a uznaniem pewnej elastyczności na korzyść administratora w zarządzaniu tymi danymi z drugiej strony i przyczyniają się w ten sposób do osiągnięcia przewidzianego w motywie 10 rozporządzenia 2016/679 celu polegającego na zapewnieniu spójnego i wysokiego stopnia ochrony osób fizycznych.

38      W konsekwencji sąd krajowy powinien, biorąc pod uwagę kryteria wymienione w pkt 35 niniejszego wyroku i mając na względzie wszystkie okoliczności charakteryzujące rozpatrywany tu przypadek, ustalić zarówno cele pierwotnego zbierania danych osobowych, jak i cele dalszego przetwarzania tych danych, a także – w przypadku gdyby cele tego dalszego przetwarzania różniły się od celów wspomnianego zbierania – sprawdzić, czy dalsze przetwarzanie wspomnianych danych jest zgodne z celami rzeczonego pierwotnego zbierania.

39      Trybunał może natomiast, orzekając w przedmiocie wniosku o wydanie orzeczenia w trybie prejudycjalnym, udzielić sądowi krajowemu wskazówek stanowiących dla niego pomoc przy dokonaniu tego ustalenia (zob. podobnie wyrok z dnia 7 kwietnia 2022 r., Fuhrmann‑2, C‑249/21, EU:C:2022:269, pkt 32).

40      W niniejszym przypadku, po pierwsze, jak przypomniano w pkt 13 niniejszego wyroku, z postanowienia odsyłającego wynika, że spółka Digi, będąca administratorem danych, zebrała pierwotnie dane osobowe w celu zawarcia i wykonania umów abonenckich ze swymi klientami indywidualnymi.

41      Po drugie, strony postępowania głównego nie zgadzają się co do konkretnego celu utrwalania i przechowywania przez spółkę Digi w testowej bazie danych odnośnych danych osobowych. Otóż spółka Digi podnosi, że konkretnym celem utworzenia testowej bazy danych było zapewnienie dostępu do danych abonentów do czasu poprawienia błędów, wobec czego ów cel był identyczny z celami pierwotnego zbierania tych danych, podczas gdy organ krajowy twierdzi, że konkretny cel dalszego przetwarzania różnił się od tych celów, ponieważ chodziło o przeprowadzenie testów i poprawienie błędów.

42      W tym względzie należy przypomnieć, że z orzecznictwa przytoczonego w pkt 19 niniejszego wyroku wynika, iż w ramach postępowania, o którym mowa w art. 267 TFUE, opartego na wyraźnym rozdziale zadań sądów krajowych i Trybunału, do wykładni i stosowania przepisów prawa krajowego jest wyłącznie właściwy sąd krajowy, podczas gdy Trybunał jest jedynie uprawniony do orzekania w przedmiocie wykładni lub ważności aktów prawa Unii na podstawie stanu faktycznego przedstawionego mu przez sąd krajowy.

43      Z postanowienia odsyłającego wynika, że spółka Digi utworzyła testową bazę danych, aby móc przeprowadzić testy i poprawić błędy, w związku z czym to właśnie w świetle tych celów sąd odsyłający powinien ocenić zgodność dalszego przetwarzania z celami pierwotnego zbierania, którymi było zawieranie i wykonywanie umów abonenckich.

44      Po trzecie, co się tyczy tej oceny, należy zaznaczyć, że przeprowadzenie testów i poprawienie błędów mających wpływ na bazę danych abonentów wykazują konkretny związek z wykonaniem umów abonenckich zawartych z klientami indywidualnymi, na potrzeby czego dane pierwotnie zebrano, ponieważ takie błędy mogą mieć szkodliwy wpływ na świadczenie przewidzianej w umowie usługi. Jak zauważył bowiem rzecznik generalny w pkt 60 opinii, takie przetwarzanie nie odbiega od uzasadnionych oczekiwań tych klientów co do dalszego wykorzystywania ich danych osobowych. Z postanowienia odsyłającego nie wynika zresztą, by owe dane były w całości lub w części szczególnie chronione lub by dalsze przetwarzanie tych danych jako takie miało szkodliwe skutki dla abonentów lub nie wiązało się z odpowiednimi zabezpieczeniami, co powinien w każdym razie zweryfikować sąd odsyłający.

45      Z całości powyższych rozważań wynika, że na pytanie pierwsze należy udzielić następującej odpowiedzi: art. 5 ust. 1 lit. b) rozporządzenia 2016/679 należy interpretować w ten sposób, że przewidziana w tym przepisie zasada „ograniczenia celu” nie stoi na przeszkodzie utrwalaniu i przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych, jeżeli takie dalsze przetwarzanie jest zgodne z konkretnymi celami, w jakich dane osobowe zostały pierwotnie zebrane, co należy ustalić w świetle kryteriów określonych w art. 6 ust. 4 tego rozporządzenia.

 W przedmiocie pytania drugiego

46      Na wstępie należy zauważyć, że sąd odsyłający zadaje pytanie drugie, które dotyczy zgodności przechowywania w testowej bazie danych przez spółkę Digi danych osobowych jej klientów z zasadą „ograniczenia przechowywania” figurującą w art. 5 ust. 1 lit. e) rozporządzenia 2016/679, jedynie na wypadek udzielenia odpowiedzi twierdzącej na pytanie pierwsze w przeformułowanym brzmieniu, a mianowicie na wypadek sytuacji, gdyby takie przechowywanie nie było zgodne z przewidzianą w art. 5 ust. 1 lit. b) tego rozporządzenia zasadą „ograniczenia celu”.

47      Tymczasem, po pierwsze, jak zauważył rzecznik generalny w pkt 24 opinii, określone w art. 5 rozporządzenia 2016/679 zasady dotyczące przetwarzania danych osobowych stosuje się kumulatywnie. W związku z tym przechowywanie danych osobowych powinno być zgodne nie tylko z zasadą „ograniczenia celu”, ale również z zasadą „ograniczenia przechowywania”.

48      Po drugie, należy przypomnieć, że – jak wynika z motywu 10 rozporządzenia 2016/679 – rozporządzenie to zmierza między innymi do zapewnienia wysokiego stopnia ochrony osób fizycznych w Unii i w tym celu do zapewnienia spójnego i jednolitego w całej Unii stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.

49      W tym kontekście rozdziały II i III tego rozporządzenia określają, odpowiednio, zasady dotyczące przetwarzania danych osobowych oraz prawa osoby, której dane dotyczą, które powinny być przestrzegane przy każdym przetwarzaniu danych osobowych. W szczególności każde przetwarzanie danych osobowych powinno z jednej strony być zgodne z zasadami dotyczącymi przetwarzania danych określonymi w art. 5 wspomnianego rozporządzenia, a z drugiej strony, zważywszy zwłaszcza na przewidzianą w art. 5 ust. 1 lit. a) zasadę zgodności przetwarzania z prawem, spełniać jeden z warunków zgodności przetwarzania z prawem wymienionych w art. 6 owego rozporządzenia [zob. podobnie wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 96; z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych uzyskanych do celów podatkowych), C‑175/20, EU:C:2022:124, pkt 50].

50      W świetle tych rozważań nawet jeśli z formalnego punktu widzenia sąd odsyłający zadał pytanie drugie jedynie na wypadek udzielenia odpowiedzi twierdzącej na pytanie pierwsze w przeformułowanym brzmieniu, owa okoliczność nie stoi na przeszkodzie temu, by Trybunał dostarczył sądowi odsyłającemu wszystkich elementów wykładni prawa Unii, które mogą być użyteczne dla oceny rozpoznawanej przez niego sprawy (zob. podobnie wyrok z dnia 17 marca 2022 r., Daimler, C‑232/20, EU:C:2022:196, pkt 49), i tym samym by odpowiedział na owo pytanie drugie.

51      W tych okolicznościach należy uznać, że poprzez to pytanie sąd odsyłający dąży w istocie do ustalenia, czy art. 5 ust. 1 lit. e) rozporządzenia 2016/679 należy interpretować w ten sposób, iż przewidziana w tym przepisie zasada „ograniczenia przechowywania” stoi na przeszkodzie przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – zebranych wcześniej w innych celach danych osobowych przez okres dłuższy, niż jest to niezbędne do przeprowadzenia tych testów i poprawienia owych błędów.

52      W pierwszej kolejności należy zaznaczyć, że zgodnie z art. 5 ust. 1 lit. e) rozporządzenia 2016/679 dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, w których dane te są przetwarzane.

53      Z brzmienia tego artykułu wynika zatem jednoznacznie, że zasada „ograniczenia przechowywania” wymaga od administratora, by był w stanie wykazać, zgodnie z zasadą rozliczalności przypomnianą w pkt 24 niniejszego wyroku, iż dane osobowe są przechowywane wyłącznie przez okres niezbędny do osiągnięcia celów, w których je zebrano lub w których je dalej przetworzono.

54      Wynika stąd, że nawet początkowo zgodne z prawem przetwarzanie danych może wraz z upływem czasu stać się niezgodne z rozporządzeniem 2016/679, jeśli owe dane nie są już niezbędne do osiągnięcia takich celów [wyrok z dnia 24 września 2019 r., GC i in. (Usunięcie linków do danych wrażliwych), C‑136/17, EU:C:2019:773, pkt 74], oraz że dane powinny zostać usunięte, gdy rzeczone cele zostały osiągnięte (zob. analogicznie wyrok z dnia 7 maja 2009 r., Rijkeboer, C‑553/07, EU:C:2009:293, pkt 33).

55      W drugiej kolejności – wykładnia ta jest zgodna z kontekstem, w jaki wpisuje się art. 5 ust. 1 lit. e) rozporządzenia 2016/679.

56      W tym względzie w pkt 49 niniejszego wyroku przypomniano, że każde przetwarzanie danych osobowych powinno być zgodne z zasadami dotyczącymi przetwarzania danych określonymi w art. 5 wspomnianego rozporządzenia oraz spełniać jeden z warunków zgodności przetwarzania z prawem wymienionych w art. 6 owego rozporządzenia.

57      Tymczasem, po pierwsze, jak wynika z tego art. 6, jeżeli osoba, której dane dotyczą, nie wyraziła zgody na przetwarzanie jej danych osobowych w jednym lub większej liczbie określonych celów, zgodnie z art. 6 ust. 1 lit. a) rozporządzenia 2016/679, to przetwarzanie to powinno spełniać wymóg niezbędności, jak wynika z art. 6 ust. 1 lit. b)–f) owego rozporządzenia.

58      Po drugie, taki wymóg niezbędności wynika również z zasady „minimalizacji danych” przewidzianej w art. 5 ust. 1 lit. c) tego rozporządzenia, zgodnie z którą dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne w świetle celów, w których są one przetwarzane.

59      W trzeciej kolejności – taka wykładnia jest zgodna z realizowanym przez art. 5 ust. 1 lit. e) rozporządzenia 2016/679 celem, który – jak przypomniano w pkt 48 niniejszego wyroku – polega między innymi na zapewnieniu wysokiego stopnia ochrony osób fizycznych w Unii w związku z przetwarzaniem danych osobowych.

60      W niniejszym przypadku spółka Digi podniosła, że po przeprowadzeniu testów i poprawieniu błędów nie usunęła – przez nieuwagę – danych osobowych części jej klientów indywidualnych przechowywanych w testowej bazie danych.

61      W tym względzie wystarczy zauważyć, że ów argument jest pozbawiony znaczenia dla oceny, czy dane były przechowywane – z naruszeniem zasady „ograniczenia przechowywania” przewidzianej w art. 5 ust. 1 lit. e) rozporządzenia 2016/679 – przez okres dłuższy, niż było to niezbędne do osiągnięcia celów, w których były one dalej przetwarzane.

62      Z całości powyższych rozważań wynika, że na pytanie drugie należy udzielić następującej odpowiedzi: art. 5 ust. 1 lit. e) rozporządzenia 2016/679 należy interpretować w ten sposób, że przewidziana w tym przepisie zasada „ograniczenia przechowywania” stoi na przeszkodzie przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych zebranych wcześniej w innych celach przez okres dłuższy, niż jest to niezbędne do przeprowadzenia tych testów i poprawienia owych błędów.

Źródło i pełna treść orzeczenia: CURIA - Dokumenty (europa.eu)