Do TSUE wpłynęło następujące pytanie – czy przechowywanie równolegle w innej bazie tych samych danych jest zgodne z ograniczeniem celu?
Cała sprawa dotyczy spółki Digi, która z powodu awarii serwera w 2017 r. stworzyła dodatkową bazę. Znalazły się w niej dane 1/3 klientów. „Uczciwy haker” około 1,5 roku później poinformował, że z powodu błędu w zabezpieczeniach uzyskał dostęp do tych zasobów. Digi zawarła z hakerem umowę o zachowaniu poufności danych, zaproponowała ugodę, a także zawiadomiła organ ochrony danych o zajściu.
Skończyło się to nałożeniem 270 tys. euro kary na podmiot, a jednym z powodów było naruszenie art. 5 ust. 1 lit. b RODO. Przepis ten stanowi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z innymi.
W istocie powyższe odnosi się do tego, czy nowa baza jest wykorzystywana w tym samym celu co pierwotna. Jeśli nie, wówczas ważne jest to, czy przetwarzanie jest zgodne z tym celem, w którym dane zostały zebrane. Spółka, o czym już zostało wspomniane, wskazuje na dwa cele utworzenia bazy. Pierwszy związany z naprawieniem usterki i zabezpieczeniem dostępności danych, drugi natomiast ogólny i pokrywający się z pierwotnym – obsługą klientów.
Argumentację spółki Digi poparła KE. Przekonywała bowiem, że konieczność zapewnienia bezpieczeństwa danych nie może być postrzegana jako nowy cel. Informowanie zainteresowanych o całym zajściu byłoby zatem pozbawione praktycznego znaczenia. Rzecznik generalny TSUE nie podzielił jednak zdania KE. Wskazywał, że usterka techniczna nie doprowadziła do przerwy w świadczeniu usług, a drugą bazę stworzono na wszelki wypadek. Jej nazwa „test” wskazuje, że nie chodziło o wykorzystywanie jej do bieżącej obsługi.
Jednak nawet w sytuacji stwierdzenia odmiennego celu od tego, który występował pierwotnie nie musi oznaczać, że przetwarzanie było niezgodne z prawem. Zdaniem rzecznika generalnego, można wykazać połączenie pomiędzy celem pierwotnym – wykonanie umowy z abonamentami, a zabezpieczeniem danych na potrzeby przeprowadzenia testów bezpieczeństwa. Choć cele nie pokrywają się z sobą, to są logicznie powiązane.