GDPR: Foreneligheden af dataopbevaring i testdatabaser med principperne om formålsbegrænsning og opbevaringsbegrænsning (Art. 5(1)(b) og (e))

Denne sag omhandler fortolkningen af principperne om formålsbegrænsning og opbevaringsbegrænsning i artikel 5, stk. 1, litra b) og e), i databeskyttelsesforordningen (GDPR), i forbindelse med en udbyders opbevaring af personoplysninger i en særskilt testdatabase.

Sagen udspringer af en tvist i Ungarn mellem Digi Távközlési és Szolgáltató Kft. (Digi), en stor telekommunikationsudbyder, og Nemzeti Adatvédelmi og Információszabadság Hatóság (den nationale tilsynsmyndighed, NAIH).

Sagens baggrund

I april 2018 kopierede Digi personoplysninger vedrørende ca. 322.000 af sine kunders abonnementsaftaler fra en produktionsdatabase til en særskilt "testdatabase" med det formål at foretage test og korrigere en teknisk fejl. Oplysningerne var oprindeligt indsamlet til brug for indgåelse og opfyldelse af kundekontrakter.

I september 2019 blev det opdaget, at en "etisk hacker" havde skaffet sig adgang til dataene i testdatabasen. NAIH sanktionerede efterfølgende Digi med en bøde på 100 millioner ungarske forint (ca. 248.000 EUR) for at have opbevaret oplysningerne i testdatabasen i næsten 18 måneder efter, at fejlen var korrigeret, hvilket tilsynsmyndigheden anså for at være i strid med GDPR.

Den forelæggende domstol (Fővárosi Törvényszék) stillede to præjudicielle spørgsmål vedrørende:

• Om kopiering af data til testformål og opbevaring i en parallel database er forenelig med princippet om formålsbegrænsning (Art. 5(1)(b)).
• Om opbevaringsperioden i testdatabasen er bundet af det oprindelige kontraktformål eller udelukkende af det tidsrum, der er nødvendigt for fejlkorrektionen (Art. 5(1)(e)).

Domstolens afgørelse om viderebehandling og opbevaring

Domstolen fastslog, at oprettelsen og opbevaringen af personoplysninger i en testdatabase udgør en viderebehandling, som skal vurderes i forhold til principperne i GDPR artikel 5, stk. 1.

Vedrørende Formålsbegrænsning (Art. 5(1)(b))

Domstolen afgjorde, at princippet om formålsbegrænsning ikke som udgangspunkt er til hinder for, at den dataansvarlige opbevarer personoplysninger i en database, der er oprettet med henblik på test og fejlkorrektion, såfremt denne viderebehandling er forenelig med de oprindelige indsamlingsformål.

• Forenelighed skal vurderes af den nationale ret på baggrund af kriterierne i artikel 6, stk. 4, i GDPR.
• Udførelse af test og korrektion af fejl, der påvirker en abonnentdatabase, har en konkret forbindelse med opfyldelsen af de indgåede abonnementsaftaler, og afviger derfor ikke nødvendigvis fra kundernes legitime forventninger.