–

Digi Távközlési és Szolgáltató Kft., vertegenwoordigd door R. Hatala en A. D. László, ügyvédek,

–

Nemzeti Adatvédelmi és Információszabadság Hatóság, vertegenwoordigd door G. Barabás, juridisch adviseur, bijgestaan door G. J. Dudás en Á. Hargita, ügyvédek,

–

de Hongaarse regering, vertegenwoordigd door Zs. Biró-Tóth en M. Z. Fehér als gemachtigden,

–

de Tsjechische regering, vertegenwoordigd door T. Machovičová, M. Smolek en J. Vláčil als gemachtigden,

–

de Portugese regering, vertegenwoordigd door P. Barros da Costa, M. Inez Fernandes, I. Oliveira en J. Ramos en C. Vieira Guerra als gemachtigden,

–

de Europese Commissie, vertegenwoordigd door V. Bottka en H. Kranenborg als gemachtigden,

1

Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 5, lid 1, onder b) en e), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificatie in PB 2021, L 74, blz. 35).

2

Dit verzoek is ingediend in het kader van een geding tussen Digi Távközlési és Szolgáltató Kft. (hierna: „Digi”), een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije, enerzijds, en Nemzeti Adatvédelmi és Információszabadság Hatóság (nationale autoriteit voor gegevensbescherming en vrijheid van informatie, Hongarije; hierna: „Autoriteit”), anderzijds, over een inbreuk in verband met persoonsgegevens in een databank van Digi.

3

In de overwegingen 10 en 50 van verordening nr. 2016/679 wordt verklaard:

[…]

4

Artikel 4 („Definities”) van verordening nr. 2016/679 bepaalt:

„Voor de toepassing van deze verordening wordt verstaan onder:

[…]

[…]”

5

Artikel 5 („Beginselen inzake verwerking van persoonsgegevens”) van deze verordening luidt:

„1.   Persoonsgegevens moeten:

2.   De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

6

In artikel 6 („Rechtmatigheid van de verwerking”) van die verordening is bepaald:

„1.   De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

[…]

4.   Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

7

Digi is een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije.

8

In april 2018 heeft Digi, na een technische storing die de werking van een server aantastte, een zogeheten „testdatabank” opgezet, waarnaar zij de persoonsgegevens van ongeveer een derde van haar particuliere klanten heeft gekopieerd. Die persoonsgegevens werden bewaard in een andere, aan de website digi.hu verbonden databank, genaamd „digihu”, met daarin de actuele gegevens van de abonnees van haar elektronische nieuwsbrief voor directmarketingdoeleinden en gegevens van de systeembeheerders die toegang verschaffen tot de interface van de website.

9

Op 23 september 2019 heeft Digi vernomen dat een „ethische hacker” zich toegang had weten te verschaffen tot de persoonsgegevens van ongeveer 322000 personen waarover Digi beschikt. De „ethische hacker” heeft deze toegang zelf aan Digi gemeld en haar als bewijs een regel van de testdatabank toegezonden. Digi heeft het lek dat deze toegang mogelijk maakte hersteld, een geheimhoudingsovereenkomst met de hacker afgesloten en hem een beloning aangeboden.

10

Nadat Digi de testdatabank had gewist, heeft zij de inbreuk in verband met persoonsgegevens op 25 september 2019 gemeld aan de Autoriteit, die vervolgens een onderzoek heeft ingesteld.

11

Bij besluit van 18 mei 2020 heeft de Autoriteit met name vastgesteld dat Digi in strijd met artikel 5, lid 1, onder b) en e), van verordening 2016/679 had gehandeld doordat zij de testdatabank na de uitvoering van de nodige tests en de oplossing van de problemen niet onmiddellijk had gewist, waardoor een groot aantal in deze testdatabank opgeslagen persoonsgegevens bijna anderhalf jaar lang zonder doel was bewaard in een bestand waarmee de betrokkenen konden worden geïdentificeerd. Bijgevolg heeft de Autoriteit Digi gelast al haar databanken te onderzoeken en haar een geldboete van 100000000 Hongaarse forint (HUF) (ongeveer 248000 EUR) opgelegd.

12

Digi heeft de rechtmatigheid van dit besluit aangevochten bij de verwijzende rechter.

13

Deze rechter merkt op dat de door Digi naar de testdatabank gekopieerde persoonsgegevens zijn verzameld met het afsluiten en uitvoeren van abonnementsovereenkomsten als doel en dat de Autoriteit het rechtmatige verloop van de aanvankelijke verzameling van persoonsgegevens niet heeft betwist. Hij wenst evenwel te vernemen of door het kopiëren van aanvankelijk verzamelde gegevens naar een andere databank het doel van de aanvankelijke gegevensverzameling en ‑verwerking is gewijzigd. Ook moet volgens die rechter worden beoordeeld of het opzetten van een testdatabank en het verwerken van klantgegevens in deze andere databank verenigbaar zijn met het doel van de aanvankelijke verzameling van deze gegevens. Naar de opvatting van de verwijzende rechter stelt het beginsel van doelbinding, zoals dat is opgenomen in artikel 5, lid 1, onder b), van verordening 2016/679, hem niet in staat te bepalen in welke interne systemen de verwerkingsverantwoordelijke rechtmatig verzamelde gegevens kan verwerken en of hij deze gegevens mag kopiëren naar een testdatabank, zonder dat het doel van de aanvankelijke verzameling van gegevens daardoor wordt gewijzigd.

14

Voor het geval dat het opzetten van de testdatabank niet verenigbaar is met het doel van de aanvankelijke verzameling, wenst de verwijzende rechter tevens te vernemen of, gelet op het feit dat de verwerking van abonneegegevens in een andere databank niet het herstellen van fouten maar het afsluiten van abonnementsovereenkomsten tot doel heeft, de benodigde bewaartermijn op grond van het in artikel 5, lid 1, onder e), van verordening 2016/679 opgenomen beginsel van opslagbeperking moet overeenkomen met de duur die vereist is om de fouten te herstellen dan wel met de duur die vereist is om de contractuele verplichtingen na te komen.

15

In deze omstandigheden heeft de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije) de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

16

De Autoriteit en de Hongaarse regering hebben twijfels geuit over de ontvankelijkheid van de prejudiciële vragen, omdat deze volgens hen geen afspiegeling vormen van de feiten van het hoofdgeding en niet rechtstreeks relevant zijn voor de beslechting ervan.

17

In dit verband zij er in de eerste plaats aan herinnerd dat het volgens vaste rechtspraak van het Hof uitsluitend een zaak is van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid draagt voor de te geven rechterlijke beslissing om, rekening houdend met de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het Hof voorlegt, te beoordelen. Wanneer de gestelde vragen betrekking hebben op de uitlegging of de geldigheid van een Unierechtelijke regel, is het Hof derhalve in beginsel verplicht daarop te antwoorden. Bijgevolg geldt voor door nationale rechters gestelde vragen over het Unierecht een vermoeden van relevantie. Het Hof kan slechts weigeren uitspraak te doen op een door een nationale rechterlijke instantie gestelde prejudiciële vraag, wanneer blijkt dat de gevraagde uitlegging geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk van hypothetische aard is of wanneer het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vragen (arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punt 73 en aldaar aangehaalde rechtspraak).

18

In casu is bij de verwijzende rechter een beroep ingesteld tot nietigverklaring van een besluit waarbij Digi, in haar hoedanigheid van verwerkingsverantwoordelijke, is bestraft wegens schending van de beginselen van doelbinding en opslagbeperking als bedoeld in respectievelijk de punten b) en e) van artikel 5, lid 1, van verordening 2016/679, doordat zij een databank met persoonsgegevens die de identificatie van de betrokkenen mogelijk maken, niet heeft gewist. De prejudiciële vragen hebben juist betrekking op de uitlegging van deze bepalingen, zodat niet kan worden aangenomen dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding of hypothetisch van aard is. Bovendien bevat de verwijzingsbeslissing voldoende feitelijke en juridische gegevens om een nuttig antwoord te geven op de vragen van de verwijzende rechter.

19

In de tweede plaats zij eraan herinnerd dat in het kader van de procedure van artikel 267 VWEU, die op een duidelijke afbakening van de taken van de nationale rechterlijke instanties en van het Hof berust, de nationale rechter bij uitsluiting bevoegd is om het nationale recht uit te leggen en toe te passen, terwijl het Hof uitsluitend bevoegd is om zich over de uitlegging of de rechtsgeldigheid van een rechtsvoorschrift van de Unie uit te spreken op basis van de door de nationale rechterlijke instantie omschreven feiten (arrest van 5 mei 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, punt 45 en aldaar aangehaalde rechtspraak).

20

Derhalve kan het door de Autoriteit en de Hongaarse regering gevoerde betoog dat de prejudiciële vragen niet-ontvankelijk zijn omdat deze volgens hen, kort gesteld, niet overeenstemmen met de feiten van het hoofdgeding, niet worden aanvaard.

21

Bijgevolg zijn de prejudiciële vragen ontvankelijk.

22

Met zijn eerste vraag wenst de verwijzende rechter in essentie te vernemen of artikel 5, lid 1, onder b), van verordening 2016/679 aldus moet worden uitgelegd dat het in die bepaling opgenomen beginsel van doelbinding zich ertegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens vastlegt en opslaat die eerder in een andere databank zijn verzameld en opgeslagen.

23

Overeenkomstig vaste rechtspraak moet bij de uitlegging van een Unierechtelijke bepaling niet alleen rekening worden gehouden met de bewoordingen, maar ook met de context ervan en met de doelstellingen en het oogmerk van de regeling waarvan zij deel uitmaakt (arrest van 1 augustus 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, punt 42 en aldaar aangehaalde rechtspraak).

24

Dienaangaande moet in de eerste plaats worden opgemerkt dat artikel 5, lid 1, van verordening 2016/679 de beginselen betreffende de verwerking van persoonsgegevens vaststelt die bindend zijn voor de verwerkingsverantwoordelijke en waarvan hij overeenkomstig de in lid 2 van dat artikel bedoelde verantwoordingsplicht moet kunnen aantonen dat hij ze naleeft.

25

In het bijzonder moeten persoonsgegevens volgens artikel 5, lid 1, onder b), van deze verordening, waarin het beginsel van doelbinding is vastgelegd, ten eerste voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld, en mogen zij ten tweede vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.

26

Uit de formulering van deze bepaling blijkt dus dat zij twee vereisten bevat, één met betrekking tot de doeleinden van de aanvankelijke verzameling van persoonsgegevens en één met betrekking tot de verdere verwerking van die gegevens.

27

Wat ten eerste het vereiste betreft dat de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld, volgt uit de rechtspraak van het Hof dat dit vereiste om te beginnen impliceert dat de doeleinden van de verwerking uiterlijk bij het verzamelen van de persoonsgegevens vaststaan, vervolgens dat de doeleinden van de verwerking duidelijk zijn geformuleerd en ten slotte dat de doeleinden van die verwerking met name waarborgen dat deze gegevens rechtmatig worden verwerkt in de zin van artikel 6, lid 1, van verordening 2016/679 [zie in die zin arrest van 24 februari 2022, Valsts ieņēmumu dienests (Verwerking van persoonsgegevens voor fiscale doeleinden), C‑175/20, EU:C:2022:124, punten 64‑66].

28

In casu blijkt uit de bewoordingen van de eerste vraag en uit de motivering van de verwijzingsbeslissing dat de in het hoofdgeding aan de orde zijnde persoonsgegevens zijn verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, waarbij de verwijzende rechter voorts preciseert dat Digi deze gegevens overeenkomstig artikel 6, lid 1, onder b), van verordening 2016/679 heeft verzameld om abonnementsovereenkomsten af te sluiten en uit te voeren.

29

Wat ten tweede het vereiste betreft dat persoonsgegevens niet verder mogen worden verwerkt op een wijze die onverenigbaar is met die doeleinden, moet ten eerste worden opgemerkt dat er sprake is van een „verdere verwerking” wanneer de verwerkingsverantwoordelijke in een nieuw opgezette databank persoonsgegevens vastlegt en opslaat die in een andere databank waren opgeslagen.

30

Het begrip „verwerking” wordt in artikel 4, punt 2, van verordening 2016/679 immers ruim gedefinieerd als een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals onder andere het verzamelen, vastleggen en opslaan van deze gegevens.

31

Bovendien vormt, overeenkomstig de in de omgangstaal gebruikelijke betekenis van de term „verder”, elke verwerking van persoonsgegevens die volgt op de aanvankelijke verwerking – het aanvankelijk verzamelen van die gegevens – een „verdere” verwerking van die gegevens, ongeacht het doel van die verdere verwerking.

32

Ten tweede moet worden opgemerkt dat artikel 5, lid 1, onder b), van verordening 2016/679 niet vermeldt aan welke voorwaarden een verdere verwerking van persoonsgegevens moet voldoen om verenigbaar te zijn met het doel van de oorspronkelijke gegevensverzameling.

33

Wat dat betreft biedt in de tweede plaats de context van deze bepaling evenwel een nuttige verduidelijking.

34

Uit artikel 5, lid 1, onder b), artikel 6, lid 1, onder a), en artikel 6, lid 4, van verordening 2016/679, in hun onderlinge samenhang gelezen, blijkt namelijk dat de vraag of de verdere verwerking van persoonsgegevens verenigbaar is met de doeleinden waarvoor deze gegevens aanvankelijk zijn verzameld, alleen aan de orde is wanneer de doeleinden van die verdere verwerking niet dezelfde zijn als die van de aanvankelijke verzameling.

35

Voorts moet volgens artikel 6, lid 4, van verordening 2016/679, gelezen in samenhang met overweging 50 – wanneer de verwerking voor een ander doel dan dat waarvoor de gegevens zijn verzameld, niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling – om te bepalen of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, onder meer rekening worden gehouden met, ten eerste, ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking; ten tweede, het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft; ten derde, de aard van de persoonsgegevens; ten vierde, de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en ten vijfde en tot slot, het bestaan van passende waarborgen, zowel bij de aanvankelijke verwerking als bij de beoogde verdere verwerking.

36

Zoals de advocaat-generaal in de punten 28, 59 en 60 van zijn conclusie in essentie heeft opgemerkt, geven deze criteria blijk van de noodzaak van een concreet, logisch en voldoende nauw verband tussen het doel van de aanvankelijke verzameling van persoonsgegevens en de verdere verwerking van die gegevens, en maken zij het mogelijk na te gaan of deze verdere verwerking niet afwijkt van de legitieme verwachtingen van de abonnees wat het verdere gebruik van hun gegevens betreft.

37

Deze criteria maken het overigens in de derde plaats mogelijk om, zoals de advocaat-generaal in punt 27 van zijn conclusie in wezen heeft benadrukt, het opnieuw gebruiken van eerder verzamelde persoonsgegevens te regelen door te zorgen voor een evenwicht tussen de behoefte aan voorspelbaarheid en rechtszekerheid met betrekking tot de doeleinden van de verwerking van eerder verzamelde persoonsgegevens enerzijds, en een zekere mate van flexibiliteit voor de verwerkingsverantwoordelijke bij het beheer van die gegevens anderzijds, en dragen aldus bij tot de verwezenlijking van het in overweging 10 van verordening 2016/679 gehuldigde doel om natuurlijke personen een consistent en hoog beschermingsniveau te bieden.

38

Gelet op de in punt 35 van het onderhavige arrest genoemde criteria en rekening houdend met alle omstandigheden van dit geval, staat het dus aan de nationale rechter om zowel de doelstellingen van het aanvankelijke verzamelen van de persoonsgegevens als die van de verdere verwerking van die gegevens te bepalen en, indien de doeleinden van die verdere verwerking verschillen van de doeleinden van die verzameling, na te gaan of de verdere verwerking van die gegevens verenigbaar is met de doeleinden van die aanvankelijke verzameling.

39

Het staat het Hof evenwel vrij om in zijn uitspraak op een verzoek om een prejudiciële beslissing preciseringen te geven teneinde de nationale rechterlijke instantie te leiden bij het bepalen van die doelstellingen (zie in die zin arrest van 7 april 2022, Fuhrmann-2, C‑249/21, EU:C:2022:269, punt 32).

40

Ten eerste blijkt in casu uit de verwijzingsbeslissing dat Digi, in haar hoedanigheid van verwerkingsverantwoordelijke, de persoonsgegevens van haar particuliere klanten aanvankelijk heeft verzameld om abonnementsovereenkomsten af te sluiten en uit te voeren, zoals in punt 13 van het onderhavige arrest in herinnering is gebracht.

41

Ten tweede zijn partijen in het hoofdgeding het er niet over eens met welk specifiek doel Digi de betrokken persoonsgegevens in de testdatabank heeft vastgelegd en bewaard. Terwijl Digi aanvoert dat het opzetten van de testdatabank specifiek tot doel had de toegang tot de gegevens van de abonnees te waarborgen totdat de fouten waren hersteld, en dus dat dit doeleinde identiek is aan de doeleinden die met de aanvankelijke verzameling van die gegevens werden nagestreefd, betoogt de Autoriteit dat het specifieke doel van de verdere verwerking verschilde van die doeleinden, aangezien dit zou hebben bestaan in het uitvoeren van tests en het herstellen van fouten.

42

In zoverre zij eraan herinnerd dat uit de in punt 19 van dit arrest aangehaalde rechtspraak blijkt dat in het kader van de procedure van artikel 267 VWEU, die op een duidelijke afbakening van de taken van de nationale rechterlijke instanties en van het Hof berust, de nationale rechter bij uitsluiting bevoegd is om het nationale recht uit te leggen en toe te passen, terwijl het Hof uitsluitend bevoegd is om zich over de uitlegging of de rechtsgeldigheid van een rechtsvoorschrift van de Unie uit te spreken op basis van de door de nationale rechterlijke instantie omschreven feiten.

43

Uit de verwijzingsbeslissing blijkt dat Digi de testdatabank heeft opgezet om tests te kunnen uitvoeren en fouten te kunnen herstellen, zodat het aan de verwijzende rechter staat om in het licht van die doeleinden te beoordelen of de verdere verwerking verenigbaar is met de doeleinden van de aanvankelijke verzameling, namelijk het afsluiten en uitvoeren van abonnementsovereenkomsten.

44

Wat ten derde deze beoordeling betreft, moet worden opgemerkt dat het uitvoeren van tests en het herstellen van fouten in het abonneebestand concreet verband houden met de uitvoering van abonnementsovereenkomsten van particuliere klanten, aangezien dergelijke fouten negatieve gevolgen kunnen hebben ten aanzien van de contractueel overeengekomen dienst waarvoor de gegevens aanvankelijk zijn verzameld. Zoals de advocaat-generaal in punt 60 van zijn conclusie heeft opgemerkt, wijkt een dergelijke verwerking immers niet af van de legitieme verwachtingen van deze klanten wat het latere gebruik van hun persoonsgegevens betreft. Uit de verwijzingsbeslissing blijkt overigens niet dat deze gegevens of een deel daarvan gevoelig zouden zijn geweest of dat de aan de orde zijnde verdere verwerking ervan als zodanig schadelijke gevolgen voor de abonnees zou hebben gehad of niet gepaard ging met passende waarborgen. Het is hoe dan ook aan de verwijzende rechter om dit na te gaan.

45

Gelet op een en ander moet op de eerste vraag worden geantwoord dat artikel 5, lid 1, onder b), van verordening 2016/679 aldus moet worden uitgelegd dat het in die bepaling bedoelde beginsel van doelbinding zich er niet tegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens vastlegt en opslaat die eerder in een andere databank zijn verzameld en bewaard, wanneer die verdere verwerking verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld, hetgeen moet worden bepaald aan de hand van de in artikel 6, lid 4, van die verordening genoemde criteria.

46

Om te beginnen moet worden opgemerkt dat de tweede vraag van de verwijzende rechter, waarin het erom gaat of de opslag door Digi van persoonsgegevens van haar klanten in een testdatabank te verenigen valt met het in artikel 5, lid 1, onder e), van verordening 2016/679 bedoelde beginsel van opslagbeperking, slechts door deze rechter is gesteld voor het geval dat de eerste vraag, zoals geherformuleerd, bevestigend wordt beantwoord, dat wil zeggen in het geval dat die opslag niet verenigbaar is met het beginsel van doelbinding zoals vastgelegd in artikel 5, lid 1, onder b), van deze verordening.

47

Zoals de advocaat-generaal in punt 24 van zijn conclusie heeft opgemerkt, zijn de in artikel 5 van verordening nr. 2016/679 verankerde beginselen inzake de verwerking van persoonsgegevens cumulatief van toepassing. Bijgevolg moet de bewaring van persoonsgegevens niet alleen voldoen aan het beginsel van doelbinding, maar ook aan dat van opslagbeperking.

48

Verder zij eraan herinnerd dat verordening 2016/679, zoals blijkt uit overweging 10 ervan, met name een hoog niveau van bescherming van natuurlijke personen binnen de Unie beoogt te waarborgen en daartoe een coherente en homogene toepassing van de regels inzake bescherming van de grondrechten van deze personen in verband met de verwerking van persoonsgegevens binnen de gehele Unie wil verzekeren.

49

Daartoe vermelden de hoofdstukken II en III van deze verordening respectievelijk de beginselen die van toepassing zijn op de verwerking van persoonsgegevens en de rechten van de betrokkene die bij elke verwerking van persoonsgegevens moeten worden geëerbiedigd. In het bijzonder moet elke verwerking van persoonsgegevens in overeenstemming zijn met de in artikel 5 van die verordening verankerde beginselen inzake gegevensverwerking en, in het bijzonder gelet op het in lid 1, onder a), van dat artikel neergelegde beginsel dat de verwerking rechtmatig is, beantwoorden aan een van de in artikel 6 van die verordening genoemde voorwaarden inzake de rechtmatigheid van de verwerking [zie in die zin arresten van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 96, en 24 februari 2022, Valsts ieņēmumu dienests (Verwerking van persoonsgegevens voor fiscale doeleinden), C‑175/20, EU:C:2022:124, punt 50].

50

In het licht van deze overwegingen belet de omstandigheid dat de verwijzende rechter zijn tweede vraag formeel slechts heeft gesteld voor het geval dat de eerste vraag, zoals geherformuleerd, bevestigend wordt beantwoord, het Hof niet om hem alle uitleggingsgegevens met betrekking tot het Unierecht te verschaffen die van nut kunnen zijn voor de beoordeling van de bij hem aanhangige zaak (zie in die zin arrest van 17 maart 2022, Daimler, C‑232/20, EU:C:2022:196, punt 49), en dus deze tweede vraag te beantwoorden.

51

Derhalve moet worden geoordeeld dat de verwijzende rechter in essentie wenst te vernemen of artikel 5, lid 1, onder e), van verordening 2016/679 aldus moet worden uitgelegd dat het in die bepaling bedoelde beginsel van opslagbeperking zich ertegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens die eerder in een andere databank zijn verzameld, langer bewaart dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen.

52

In de eerste plaats moet worden opgemerkt dat volgens artikel 5, lid 1, onder e), van verordening 2016/679 persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.

53

Uit de bewoordingen van dit artikel volgt dus ondubbelzinnig dat het beginsel van opslagbeperking vereist dat de verwerkingsverantwoordelijke in staat is om overeenkomstig de in punt 24 van het onderhavige arrest in herinnering gebrachte verantwoordingsplicht aan te tonen dat de persoonsgegevens niet langer worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij zijn verzameld of nadien zijn verwerkt, noodzakelijk is.

54

Hieruit volgt dat zelfs een oorspronkelijk rechtmatige verwerking van gegevens na verloop van tijd onverenigbaar met verordening 2016/679 kan worden wanneer deze gegevens niet langer noodzakelijk zijn in het licht van dergelijke doeleinden [zie in die zin arrest van 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens), C‑136/17, EU:C:2019:773, punt 74] en dat de gegevens moeten worden uitgewist wanneer deze doeleinden zijn bereikt (zie in die zin arrest van 7 mei 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punt 33).

55

Deze uitlegging is in de tweede plaats in overeenstemming met de context van artikel 5, lid 1, onder e), van verordening 2016/679.

56

In dit verband is in punt 49 van het onderhavige arrest in herinnering gebracht dat elke verwerking van persoonsgegevens in overeenstemming moet zijn met de in artikel 5 van deze verordening vermelde beginselen inzake gegevensverwerking en moet beantwoorden aan een van de in artikel 6 van die verordening genoemde voorwaarden inzake de rechtmatigheid van de verwerking.

57

Zoals naar voren komt uit dat artikel 6, moet, wanneer de betrokkene niet overeenkomstig artikel 6, lid 1, onder a), van verordening 2016/679 toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden, de verwerking voldoen aan een noodzakelijkheidsvereiste, zoals blijkt uit de punten b) tot en met f) van dit lid.

58

Verder vloeit een dergelijk noodzakelijkheidsvereiste ook voort uit het in artikel 5, lid 1, onder c), van die verordening vastgelegde beginsel van „minimale gegevensverwerking”, volgens hetwelk de persoonsgegevens toereikend, ter zake dienend moeten zijn en beperkt moeten blijven tot hetgeen noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

59

In de derde plaats is een dergelijke uitlegging in overeenstemming met het doel van artikel 5, lid 1, onder e), van verordening 2016/679, dat, zoals in punt 48 van dit arrest in herinnering is gebracht, met name erin bestaat een hoog niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te verzekeren.

60

In casu heeft Digi aangevoerd dat de in de testdatabank opgeslagen persoonsgegevens van sommige van haar particuliere klanten na de uitvoering van de tests en het herstellen van de fouten niet zijn uitgewist als gevolg van onoplettendheid.

61

In dit verband volstaat het op te merken dat dit argument irrelevant is voor de beoordeling of gegevens langer zijn bewaard dan nodig is voor de verwezenlijking van de doeleinden waarvoor zij vervolgens zijn verwerkt, hetgeen in strijd is met het in artikel 5, lid 1, onder e), van verordening 2016/679 neergelegde beginsel van opslagbeperking.

62

Gelet op een en ander moet op de tweede vraag worden geantwoord dat artikel 5, lid 1, onder e), van verordening 2016/679 aldus moet worden uitgelegd dat het in die bepaling bedoelde beginsel van opslagbeperking zich ertegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens die eerder in een andere databank zijn verzameld, langer bewaart dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen.

63

Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Eerste kamer) verklaart voor recht: