–

za Digi Távközlési és Szolgáltató Kft. R. Hatalou a A. D. Lászlem, ügyvédek,

–

za Nemzeti Adatvédelmi és Információszabadság Hatóság G. Barabásem, právním poradcem, ve spolupráci s G. J. Dudásem a Á. Hargitou, ügyvédek,

–

za maďarskou vládu Zs. Biró-Tóth a M. Z. Fehérem, jako zmocněnci,

–

za českou vládu T. Machovičovou, M. Smolkem a J. Vláčilem, jako zmocněnci,

–

za portugalskou vládu P. Barros da Costa, L. Inez Fernandesem, I. Oliveira, M. J. Ramos a C. Vieira Guerra, jako zmocněnci,

–

za Evropskou komisi V. Bottkou a H. Kranenborgem, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 5 odst. 1 písm. b) a e) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, a oprava Úř. věst. 2018, L 127, s. 2).

2

Tato žádost byla předložena v rámci sporu mezi Digi Távközlési és Szolgáltató Kft. (dále jen „Digi“), jedním z hlavních poskytovatelů internetových a televizních služeb v Maďarsku, a Nemzeti Adatvédelmi és Információszabadság Hatóság (Národní úřad pro ochranu údajů a svobodu informací, Maďarsko) (dále jen „Úřad“) ve věci porušení zabezpečení osobních údajů obsažených v databázi společnosti Digi.

3

Body 10 a 50 odůvodnění nařízení 2016/679 uvádějí:

[…]

4

Článek 4 nařízení 2016/679, nadepsaný „Definice“, uvádí:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]“

5

Článek 5 tohoto nařízení, nadepsaný „Zásady zpracování osobních údajů“, zní:

„1.   Osobní údaje musí být:

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

6

Článek 6 uvedeného nařízení, nadepsaný „Zákonnost zpracování“, stanoví:

„1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]

4.   Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

7

Digi je jedním z hlavních poskytovatelů internetových a televizních služeb v Maďarsku.

8

V dubnu 2018 vytvořila Digi v důsledku technické závady, která měla dopad na fungování serveru, tzv. zkušební databázi (dále jen „zkušební databáze“), do které zkopírovala osobní údaje přibližně třetiny svých soukromých zákazníků, které byly uloženy v jiné databázi nazvané „digihu“, kterou bylo možné pro účely přímého marketingu propojit s webovou stránkou www.digi.hu obsahující aktualizované údaje osob, které se zaregistrovaly k odběru newsletteru společnosti Digi, jakož i údaje správce systému umožňující přístup k rozhraní webové stránky.

9

Dne 23. září 2019 se společnost Digi dozvěděla, že „etický hacker“ měl přístup k osobním údajům, které uchovávala a které se týkaly přibližně 322000 osob. Společnost Digi byla o tomto přístupu informována samotným „etickým hackerem“, který jí jako důkaz zaslal řádek testovací databáze. Společnost Digi opravila chybu, která tento přístup umožnila, uzavřela s touto osobou smlouvu o důvěrnosti a poskytla jí odměnu.

10

Po vymazání zkušební databáze oznámila společnost Digi dne 25. září 2019 porušení zabezpečení osobních údajů Úřadu, který následně zahájil šetření.

11

V rozhodnutí ze dne 18. května 2020 Úřad zejména dospěl k závěru, že společnost Digi porušila čl. 5 odst. 1 písm. b) a e) nařízení 2016/679, když po provedení nezbytných testů a odstranění nedostatku zkušební databázi okamžitě nevymazala, v důsledku čehož bylo v této databázi bez jakéhokoli účelu téměř 18 měsíců uloženo velké množství osobních údajů v souboru, který umožňoval identifikaci dotyčných osob. Úřad proto společnosti Digi nařídil, aby přezkoumala všechny své databáze, a uložil jí pokutu ve výši 100000000 maďarských forintů (HUF) (přibližně 248000 eur).

12

Digi zpochybnila legalitu tohoto rozhodnutí u předkládajícího soudu.

13

Předkládající soud uvádí, že osobní údaje, které společnost Digi zkopírovala do zkušební databáze, byly shromážděny za účelem uzavření a plnění smluv o předplatném a že Úřad nezpochybnil zákonnost původního shromažďování osobních údajů. Předkládající soud se však táže, zda mělo zkopírování původně shromážděných údajů do jiné databáze za následek změnu účelu jejich původního shromáždění a zpracování. Dodává, že je třeba rovněž určit, zda jsou vytvoření zkušební databáze a další zpracovávání údajů o zákaznících v této jiné databázi slučitelné s účelem původního shromáždění. Má za to, že zásada „účelového omezení“, jak je uvedena v čl. 5 odst. 1 písm. b) nařízení 2016/679, mu neumožňuje určit interní systémy, ve kterých má správce právo korektně zpracovávat shromážděné údaje, ani zjistit, zda může správce kopírovat tyto údaje do zkušební databáze, aniž se změní účel původního shromáždění údajů.

14

Za předpokladu, že by vytvoření zkušební databáze bylo neslučitelné s účelem původního shromáždění, se předkládající soud rovněž táže, zda vzhledem k tomu, že účelem zpracování údajů předplatitelů v jiné databázi není oprava chyb, ale uzavření smluv, musí doba, po kterou jsou údaje nezbytně uloženy, na základě zásady „omezení uložení“ uvedené v čl. 5 odst. 1 písm. e) nařízení 2016/679 odpovídat době nezbytné pro opravu chyb nebo době nezbytné pro splnění smluvních povinností.

15

Za těchto podmínek se Fővárosi Törvényszék (soud hlavního města Budapešti, Maďarsko) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

16

Úřad i maďarská vláda vyjádřily pochybnosti o přípustnosti předběžných otázek s odůvodněním, že tyto otázky neodpovídají skutkovým okolnostem sporu v původním řízení a nejsou bezprostředně relevantní pro jeho vyřešení.

17

V tomto ohledu je třeba zaprvé připomenout, že z ustálené judikatury Soudního dvora vyplývá, že pouze vnitrostátnímu soudu, kterému byl spor předložen a který nese odpovědnost za soudní rozhodnutí, jež bude vydáno, přísluší, aby s ohledem na konkrétní okolnosti věci posoudil jak nezbytnost rozhodnutí o předběžné otázce pro vydání jeho rozsudku, tak relevanci otázek, které Soudnímu dvoru klade. Proto týkají-li se položené otázky výkladu nebo platnosti pravidla unijního práva, je Soudní dvůr v zásadě povinen rozhodnout. Z toho plyne, že na otázky položené vnitrostátními soudy se vztahuje domněnka relevance. Soudní dvůr smí rozhodnutí o předběžné otázce položené vnitrostátním soudem odmítnout pouze tehdy, pokud je zjevné, že žádaný výklad nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, pokud se jedná o hypotetický problém nebo také pokud Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na dané otázky (rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 73 a citovaná judikatura).

18

V projednávaném případě byla k předkládajícímu soudu podána žaloba znějící na neplatnost rozhodnutí, kterým byla společnost Digi jakožto správce sankcionována za to, že nevymazáním databáze obsahující osobní údaje, které umožňovaly identifikaci dotyčných osob, porušila zásadu „účelového omezení“, která je stanovena v čl. 5 odst. 1 písm. b) nařízení 2016/679, a zásadu „omezení uložení“, která je stanovena v čl. 5 odst. 1 písm. e) uvedeného nařízení. Předběžné otázky se přitom týkají právě výkladu těchto ustanovení, takže nelze mít za to, že žádaný výklad unijního práva nemá žádný vztah k realitě nebo předmětu sporu v původním řízení nebo že se jedná o hypotetický problém. Předkládací rozhodnutí mimoto obsahuje skutkové a právní okolnosti dostatečné k tomu, aby byla na otázky položené předkládajícím soudem poskytnuta užitečná odpověď.

19

Zadruhé je třeba připomenout, že v rámci řízení upraveného v článku 267 SFEU, které je založeno na jasném rozdělení funkcí mezi vnitrostátními soudy a Soudním dvorem, má pouze vnitrostátní soud pravomoc vykládat a uplatňovat ustanovení vnitrostátního práva, zatímco Soudní dvůr je oprávněn rozhodovat pouze o výkladu nebo platnosti právního předpisu Unie, a to na základě skutečností, které mu sdělil vnitrostátní soud (rozsudek ze dne 5. května 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, bod 45 a citovaná judikatura).

20

Je tudíž třeba odmítnout argumentaci týkající se nepřípustnosti předběžných otázek, kterou Úřad a maďarská vláda v podstatě vyvozují z toho, že předběžné otázky podle nich neodpovídají skutkovým okolnostem sporu v původním řízení.

21

Z toho plyne, že předběžné otázky jsou přípustné.

22

Podstatou první otázky předkládajícího soudu je, zda čl. 5 odst. 1 písm. b) nařízení 2016/679 musí být vykládán v tom smyslu, že zásada „účelového omezení“, která je stanovena v tomto ustanovení, brání tomu, aby správce v databázi vytvořené za účelem provedení testů a opravení chyb zaznamenával a uchovával osobní údaje, které byly předtím shromážděny a uchovávány v jiné databázi.

23

Podle ustálené judikatury výklad ustanovení unijního práva vyžaduje, aby bylo zohledněno nejen znění tohoto ustanovení, ale i kontext, do kterého toto ustanovení zapadá, a cíle a účel, které sleduje akt, jehož je součástí (rozsudek ze dne 1. srpna 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, bod 42 a citovaná judikatura).

24

V tomto ohledu je třeba na prvním místě uvést, že čl. 5 odst. 1 nařízení 2016/679 stanoví zásady zpracování osobních údajů, které musí správce dodržovat a jejichž dodržování musí být schopen prokázat v souladu se zásadou odpovědnosti uvedenou v odstavci 2 tohoto článku.

25

Zejména podle čl. 5 odst. 1 písm. b) tohoto nařízení, který uvádí zásadu „účelového omezení“, musí být osobní údaje jednak shromažďovány pro určité, výslovně vyjádřené a legitimní účely a jednak nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.

26

Ze znění tohoto ustanovení tak vyplývá, že toto ustanovení obsahuje dva požadavky, a sice jeden týkající se účelů původního shromáždění osobních údajů a druhý týkající se dalšího zpracování těchto údajů.

27

Pokud jde zaprvé o požadavek, že osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely, z judikatury Soudního dvora vyplývá, že tento požadavek předně vyžaduje, aby byly účely zpracování identifikovány nejpozději v okamžiku shromažďování osobních údajů, dále aby byly účely tohoto zpracování jasně uvedeny a konečně aby účely uvedeného zpracování zaručovaly zejména zákonnost zpracování těchto údajů ve smyslu čl. 6 odst. 1 nařízení 2016/679 [v tomto smyslu viz rozsudek ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely), C‑175/20, EU:C:2022:124, body 64 až 66].

28

V projednávaném případě ze znění první otázky a odůvodnění předkládacího rozhodnutí vyplývá, že osobní údaje dotčené v původním řízení byly shromážděny pro určité, výslovně vyjádřené a legitimní účely, přičemž předkládající soud kromě toho upřesnil, že tyto údaje byly v souladu s čl. 6 odst. 1 písm. b) nařízení 2016/679 shromážděny za tím účelem, aby společnost Digi uzavřela se svými zákazníky smlouvy o předplatném a tyto smlouvy splnila.

29

Pokud jde zadruhé o požadavek, že osobní údaje nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný, je třeba uvést, že skutečnost, že správce v nově vytvořené databázi zaznamenává a uchovává osobní údaje, které jsou uloženy v jiné databázi, představuje „další zpracování“ těchto údajů.

30

Pojem „zpracování“ je totiž v čl. 4 bodě 2 nařízení 2016/679 definován široce tak, že zahrnuje jakoukoliv operaci nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je mimo jiné shromáždění, zaznamenání a uložení těchto údajů.

31

Mimoto v souladu s obvyklým smyslem výrazu „další“ v běžném jazyce představuje každé zpracování osobních údajů, které následuje po původním zpracování, jež sestává z původního shromáždění těchto údajů, „další“ zpracování uvedených údajů bez ohledu na účel tohoto následného zpracování.

32

Dále je třeba uvést, že čl. 5 odst. 1 písm. b) nařízení 2016/679 neobsahuje informace o podmínkách, za kterých lze další zpracování osobních údajů považovat za slučitelné s účely původního shromáždění těchto údajů.

33

Kontext, do kterého spadá toto ustanovení, však na druhém místě poskytuje v této souvislosti užitečná upřesnění.

34

Ze společného výkladu čl. 5 odst. 1 písm. b), čl. 6 odst. 1 písm. a) a čl. 6 odst. 4 nařízení 2016/679 totiž vyplývá, že otázka slučitelnosti dalšího zpracování osobních údajů s účely, pro které byl tyto údaje původně shromážděny, vyvstává pouze v případě, že by účely uvedeného dalšího zpracování nebyly totožné s účely původního shromáždění.

35

Z tohoto článku 6 odst. 4, vykládaného ve světle bodu 50 odůvodnění uvedeného nařízení, mimoto vyplývá, že pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, je v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, třeba zohlednit mimo jiné zaprvé jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování; zadruhé okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem; zatřetí povahu osobních údajů; začtvrté možné důsledky zamýšleného dalšího zpracování pro subjekty údajů a konečně zapáté existenci vhodných záruk při počátečním zpracování i při zamýšleném dalším zpracování.

36

Jak v podstatě uvedl generální advokát v bodech 28, 59 a 60 svého stanoviska, tato kritéria vyjadřují potřebu konkrétní, logické a dostatečně úzké vazby mezi účely původního shromáždění osobních údajů a dalším zpracováním těchto údajů a umožňují zajistit, aby se toto další zpracování neodchylovalo od legitimních očekávání předplatitelů, pokud jde o následné použití jejich údajů.

37

Tato kritéria ostatně na třetím místě umožňují, jak v podstatě zdůraznil generální advokát v bodě 27 svého stanoviska, regulovat opakované použití dříve shromážděných osobních údajů tím, že zajišťují rovnováhu mezi potřebou předvídatelnosti a právní jistoty, pokud jde o účely zpracování dříve shromážděných osobních údajů, na jedné straně a přiznáním určité flexibility správci při správě těchto údajů na straně druhé, a přispívají tak k dosažení cíle uvedeného v bodě 10 odůvodnění nařízení 2016/679, který spočívá v zajištění konzistentní a vysoké úrovně ochrany fyzických osob.

38

S ohledem na kritéria uvedená v bodě 35 tohoto rozsudku a s ohledem na všechny okolnosti projednávaného případu tak vnitrostátnímu soudu přísluší určit jak účely původního shromáždění osobních údajů, tak účely dalšího zpracování těchto údajů, a za předpokladu, že by účely tohoto dalšího zpracování byly jiné než účely tohoto shromáždění, přísluší mu ověřit, že je další zpracování uvedených údajů slučitelné s účely uvedeného původního shromáždění.

39

Soudní dvůr však při rozhodování o předběžné otázce může podat upřesnění, aby vnitrostátnímu soudu poskytl vodítko při tomto určení (v tomto smyslu viz rozsudek ze dne 7. dubna 2022, Fuhrmann-2, C‑249/21, EU:C:2022:269, bod 32).

40

Jak bylo připomenuto v bodě 13 tohoto rozsudku, v projednávaném případě zaprvé z předkládacího rozhodnutí vyplývá, že osobní údaje byly původně společností Digi jakožto správcem shromážděny pro účely uzavření smluv o předplatném s jejími soukromými zákazníky a pro účely splnění těchto smluv.

41

Zadruhé se účastníci původního řízení neshodují na konkrétním účelu zaznamenávání a uchovávání dotyčných osobních údajů společností Digi ve zkušební databázi. Zatímco totiž společnost Digi tvrdí, že konkrétním účelem vytvoření zkušební databáze bylo zaručit přístup k údajům předplatitelů do doby, než budou opraveny chyby, takže tento účel je podle jejího názoru totožný s účely původního shromáždění těchto údajů, Úřad tvrdí, že konkrétní účel dalšího zpracování se od těchto účelů lišil, neboť spočíval v uskutečnění testů a opravení chyb.

42

V tomto ohledu je třeba připomenout, že z judikatury citované v bodě 19 tohoto rozsudku vyplývá, že v rámci řízení upraveného v článku 267 SFEU, které je založeno na jasném rozdělení funkcí mezi vnitrostátními soudy a Soudním dvorem, je k výkladu a uplatňování ustanovení vnitrostátního práva příslušný pouze vnitrostátní soud, zatímco Soudní dvůr je oprávněn rozhodovat pouze o výkladu nebo platnosti právního předpisu Unie, a to na základě skutečností, které mu sdělil vnitrostátní soud.

43

Z předkládacího rozhodnutí přitom vyplývá, že zkušební databáze byla společností Digi vytvořena za účelem provedení testů a opravení chyb, takže právě s ohledem na tyto účely přísluší předkládajícímu soudu posoudit slučitelnost dalšího zpracování s účely původního shromáždění, které spočívaly v uzavření a plnění smluv o předplatném.

44

Zatřetí, pokud jde o toto posouzení, je třeba uvést, že provedení testů a opravení chyb, které se dotýkají databáze obsahující údaje předplatitelů, mají konkrétní vazbu na plnění smluv o předplatném uzavřených se soukromými zákazníky, jelikož takové chyby mohou mít škodlivý dopad na poskytování smluvně sjednané služby, pro které byly údaje původně shromážděny. Jak totiž uvedl generální advokát v bodě 60 svého stanoviska, takové zpracování se neodchyluje od legitimních očekávání těchto zákazníků, pokud jde o následné použití jejich osobních údajů. Z předkládacího rozhodnutí ostatně nevyplývá, že by všechny tyto údaje nebo jejich část byly citlivé nebo že by dotčené další zpracování těchto údajů mělo jako takové škodlivé důsledky pro předplatitele nebo nebylo doprovázeno vhodnými zárukami, což každopádně musí ověřit předkládající soud.

45

Z výše uvedeného vyplývá, že na první otázku je třeba odpovědět, že čl. 5 odst. 1 písm. b) nařízení 2016/679 musí být vykládán v tom smyslu, že zásada „účelového omezení“, která je stanovena v tomto ustanovení, nebrání tomu, aby správce v databázi vytvořené za účelem provedení testů a opravení chyb zaznamenával a uchovával osobní údaje, které byly předtím shromážděny a uchovávány v jiné databázi, je-li takové další zpracování slučitelné s konkrétními účely, pro které byly osobní údaje původně shromážděny, což je třeba určit s ohledem na kritéria uvedená v čl. 6 odst. 4 tohoto nařízení.

46

Na úvod je třeba poznamenat, že druhou otázku, která se týká toho, zda je uložení osobních údajů zákazníků společností Digi ve zkušební databázi v souladu se zásadou „omezení uložení“, která je uvedena v čl. 5 odst. 1 písm. e) nařízení 2016/679, pokládá předkládající soud pouze pro případ, že bude na první otázku v přeformulovaném znění odpovězeno kladně, tedy za předpokladu, že by toto uložení nebylo slučitelné se zásadou „účelového omezení“ stanovenou v čl. 5 odst. 1 písm. b) tohoto nařízení.

47

Jak však uvedl generální advokát v bodě 24 svého stanoviska, zásady zpracování osobních údajů, které jsou uvedeny v článku 5 nařízení 2016/679, se uplatňují kumulativně. Uložení osobních údajů musí tudíž dodržovat nejenom zásadu „účelového omezení“, ale i zásadu „omezení uložení“.

48

Dále je třeba připomenout, že jak vyplývá z bodu 10 odůvodnění nařízení 2016/679, cílem tohoto nařízení je zejména zajistit vysokou úroveň ochrany fyzických osob v rámci Unie, a za tímto účelem zajistit v celé Unii soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod těchto osob v souvislosti se zpracováním osobních údajů.

49

Za tímto účelem stanoví kapitoly II a III tohoto nařízení zásady zpracování osobních údajů a práva subjektu údajů, která musí být dodržována při každém zpracování osobních údajů. Konkrétně každé zpracování osobních údajů musí být v souladu se zásadami zpracování údajů, které jsou stanoveny v článku 5 uvedeného nařízení, a zvláště s ohledem na zásadu zákonnosti zpracování, která je stanovena v tomto čl. 5 odst. 1 písm. a), musí splňovat jednu z podmínek zákonnosti zpracování, které jsou uvedeny v článku 6 téhož nařízení [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 96, a rozsudek ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely), C‑175/20, EU:C:2022:124, bod 50].

50

S ohledem na tyto úvahy je třeba uvést, že i když po formální stránce předkládající soud položil druhou otázku pouze pro případ, že bude na první otázku v přeformulovaném znění odpovězeno kladně, taková okolnost Soudnímu dvoru nebrání, aby předkládajícímu soudu poskytl všechny prvky výkladu unijního práva, které mohou být užitečné pro rozhodnutí ve věci, která mu byla předložena (v tomto smyslu viz rozsudek ze dne 17. března 2022, Daimler, C‑232/20, EU:C:2022:196, bod 49), a tudíž na tuto druhou otázku odpověděl.

51

Za těchto podmínek je třeba mít za to, že podstatou této otázky předkládajícího soudu je, zda čl. 5 odst. 1 písm. e) nařízení 2016/679 musí být vykládán v tom smyslu, že zásada „omezení uložení“, která je stanovena v tomto ustanovení, brání tomu, aby správce v databázi vytvořené za účelem provedení testů a opravení chyb uchovával osobní údaje, které byly předtím shromážděny pro jiné účely, po dobu delší, než je doba nezbytná k provedení těchto testů a opravení těchto chyb.

52

Na prvním místě je třeba uvést, že podle čl. 5 odst. 1 písm. e) nařízení 2016/679 musí být osobní údaje uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány.

53

Ze znění tohoto článku tedy jednoznačně vyplývá, že zásada „omezení uložení“ vyžaduje, aby byl správce schopen v souladu se zásadou odpovědnosti, která je připomenuta v bodě 24 tohoto rozsudku, prokázat, že osobní údaje jsou uchovávány pouze po dobu nezbytnou k dosažení účelů, pro které byly shromážděny nebo pro které byly dále zpracovávány.

54

Z toho vyplývá, že i zpracování údajů, které bylo původně v souladu s právními předpisy, může být po určité době neslučitelné s nařízením 2016/679, pokud již tyto údaje nejsou nezbytné pro dosažení takových účelů [v tomto smyslu viz rozsudek ze dne 24. září 2019, GC a další (Odstranění odkazů na citlivé údaje), C‑136/17, EU:C:2019:773, bod 74], a že údaje musí být vymazány, jakmile je těchto účelů dosaženo (v tomto smyslu viz rozsudek ze dne 7. května 2009, Rijkeboer, C‑553/07, EU:C:2009:293, bod 33).

55

Tento výklad je na druhém místě v souladu s kontextem, do kterého spadá čl. 5 odst. 1 písm. e) nařízení 2016/679.

56

V tomto ohledu bylo v bodě 49 tohoto rozsudku připomenuto, že každé zpracování osobních údajů musí být v souladu se zásadami zpracování údajů, které jsou uvedeny v článku 5 uvedeného nařízení, a musí splňovat jednu z podmínek týkajících se zákonnosti zpracování, které jsou uvedeny v článku 6 téhož nařízení.

57

Jak přitom vyplývá z tohoto článku 6, pokud subjekt údajů neudělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů v souladu s čl. 6 odst. 1 písm. a) nařízení 2016/679, zpracování musí – jak vyplývá z bodů b) až f) uvedeného odstavce – splňovat požadavek nezbytnosti.

58

Takový požadavek nezbytnosti vyplývá rovněž ze zásady „minimalizace údajů“, která je stanovena v čl. 5 odst. 1 písm. c) tohoto nařízení a podle které musí být osobní údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

59

Takový výklad je na třetím místě v souladu s cílem, který sleduje čl. 5 odst. 1 písm. e) nařízení 2016/679 a který – jak bylo připomenuto v bodě 46 tohoto rozsudku – spočívá zejména v zajištění vysoké úrovně ochrany fyzických osob v rámci Unie v souvislosti se zpracováním osobních údajů.

60

V projednávaném případě společnost Digi tvrdila, že pouze nedopatřením nebyly osobní údaje části jejích soukromých zákazníků, které byly uloženy ve zkušební databázi, po provedení testů a opravení chyb vymazány.

61

V tomto ohledu stačí uvést, že tento argument je irelevantní pro účely posouzení, zda údaje byly uloženy po dobu delší, než je doba nezbytná k dosažení účelů, pro které byly dále zpracovávány, a to v rozporu se zásadou „omezení uložení“, která je stanovena v čl. 5 odst. 1 písm. e) nařízení 2016/679.

62

Z výše uvedeného vyplývá, že na druhou otázku je třeba odpovědět, že čl. 5 odst. 1 písm. e) nařízení 2016/679 musí být vykládán v tom smyslu, že zásada „omezení uložení“, která je stanovena v tomto ustanovení, brání tomu, aby správce v databázi vytvořené za účelem provedení testů a opravení chyb uchovával osobní údaje, které byly předtím shromážděny pro jiné účely, po dobu delší, než je doba nezbytná k provedení těchto testů a opravení těchto chyb.

63

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (první senát) rozhodl takto: