CJUE s-a pronunțat într-o speță (întrebare preliminară) care pune în discuție legalitatea utilizării unor baze de date de test.
Speța vine din Ungaria și a implicat compania DIGI din Ungaria. Printre altele s-a pus problema dacă o bază de date creată în scop de testare, care a fost „victima” unui atac al unui „hacker etic” care a semnalat vulnerabilitatea, reprezintă în sine o prelucrare legitimă a datelor personale.
Întrebările puse Curții au fost:
1) Noțiunea de «limitări legate de scop», astfel cum este definită la articolul 5 alineatul (1) litera (b) din Regulamentul 2016/679 […], trebuie interpretată în sensul că este conform cu aceasta faptul că operatorul stochează în paralel, într‑o altă bază de date, anumite date cu caracter personal, care de altfel au fost colectate și stocate cu un scop legitim limitat, sau, dimpotrivă, în ceea ce privește baza de date paralelă, nu mai este valabil scopul legitim limitat al colectării datelor?
2) În cazul în care se răspunde la prima întrebare în sensul că stocarea paralelă a datelor este în sine incompatibilă cu principiul «limitărilor legate de scop», faptul că operatorul stochează în paralel, într‑o altă bază de date, anumite date cu caracter personal, care de altfel au fost colectate și stocate cu un scop legitim limitat, este compatibil cu principiul «limitării legate de stocare», prevăzut la articolul 5 alineatul (1) litera (e) din Regulamentul 2016/679?
Răspunsul Curții a fost:
1) Articolul 5 alineatul (1) litera (b) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretat în sensul că principiul „limitărilor legate de scop” prevăzut de această dispoziție nu se opune înregistrării și stocării de către operator într‑o bază de date creată în scopul efectuării unor teste și al corectării unor erori a datelor cu caracter personal colectate și stocate în prealabil într‑o altă bază de date atunci când o astfel de prelucrare ulterioară este compatibilă cu scopurile specifice pentru care datele cu caracter personal au fost colectate inițial, aspect care trebuie stabilit în lumina criteriilor menționate la articolul 6 alineatul (4) din acest regulament.
2) Articolul 5 alineatul (1) litera (e) din Regulamentul 2016/679 trebuie interpretat în sensul că principiul „limitărilor legate de stocare”, prevăzut de această dispoziție, se opune stocării de către operator într‑o bază de date creată în scopul efectuării unor teste și al corectării unor erori a unor date cu caracter personal colectate în prealabil pentru alte scopuri pentru o perioadă care o depășește pe cea necesară pentru efectuarea acestor teste și pentru corectarea acestor erori.
Comentarii