Az ügy előzménye, hogy 2020. májusában a Nemzeti Adatvédelmi és Információszabadság Hatóság
(NAIH) adatkezelési hiányosságokat tárt fel a DIGI internetszolgáltatónál, és 100.000.000 forint
összegű adatvédelmi bírságot szabott ki a DIGI-re.
A feltárt hiányosságok lényege, hogy a DIGI tesztek elvégzésére és hibák kijavítására létrehozott egy adatbázist, amelybe átmásolta körülbelül 322.000 előfizetőjének a személyes adatait és azokat a hibák kijavítását követően sem törölte.
Az adatkezelés során a célhoz kötöttség elvén túlmenően adatbiztonsági előírásokat is megsértett. A személyes adatok között szerepeltek nevek, telefonszámok, e-mail címek és igazolványszámok is. Az problémát egy etikus hacker fedezte fel és jelentette a DIGI felé, a DIGI pedig adatvédelmi incidens keretében bejelentette ezt a hatóságnak.
A DIGI a Fővárosi Törvényszék előtt megtámadta a NAIH határozatát, arra hivatkozással, hogy a
tesztadatbázis létrehozatala nem változtatta meg az adatkezelés célját, miután abból nem következik
olyan előírás, amely meghatározná, hogy mely adatbázisban szükséges adatkezelést lefolytatnia az
adatkezelőnek, továbbá a DIGI azt is állította, hogy a tesztadatbázis létrehozatalának az volt a célja,
hogy jobban megfeleljen a biztonságos adatkezelés követelményének.
A Fővárosi Törvényszék felfüggesztette az eljárást és előzetes döntéshozatal iránti kérdéssel fordult az
Európai Bírósághoz arra vonatkozóan, hogy megváltoztatta-e az adatkezelés célját az ügyféladatok
átmásolása a tesztadatbázisba, valamint, hogy a tesztadatbázis létrehozatala összhangban van-e az
adatkezelés céljával. A Fővárosi Törvényszék arra is rákérdezett, hogy abban az esetben, ha a
tesztadatbázis létrehozatala nincsen összhangban a célhoz kötöttség elvével, akkor hogyan érvényesül
az adatok korlátozott tárolhatóságának elve a tesztadatbázis vonatkozásában.
Az Európai Bíróság október 20-i döntésében egyrészt rámutatott, hogy önmagában a célhoz kötöttség elvével
nem ellentétes, ha az adatkezelő egy tesztadatbázisban rögzíti és tárolja a korábban más adatbázisban gyűjtött és tárolt személyes ügyfél adatokat, amennyiben a tesztadatbázis tekintetében történő adatkezelés megfelel azon konkrét céloknak, melyek kapcsán a személyes adatokat eredetileg gyűjtötték.
Azt ugyanakkor már a Fővárosi Törvényszéknek kell majd meghatároznia, hogy a konkrét ügyben teljesültek-e az előzetes döntésben meghatározott kritériumok. Az Európai Bíróság a korlátozott tárolhatóság elvével összefüggésben arra is rámutatott, hogy azzal ellentétes, ha az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztadatbázisban a szükségesnél hosszabb ideig tárolja.