Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62021CJ0634

Решение на Съда (първи състав) от 7 декември 2023 г.
OQ срещу Land Hessen.
Преюдициално запитване, отправено от Verwaltungsgericht Wiesbaden.
Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 22 — Автоматизирано вземане на индивидуални решения — Агенции за икономически справки — Автоматизирано изготвяне на вероятностна оценка за възможностите на дадено лице да изпълнява задължения за плащане в бъдеще (финансово оценяване, „scoring“) — Използване на тази вероятностна оценка от трети лица.
Дело C-634/21.

Court reports – general

ECLI identifier: ECLI:EU:C:2023:957

 РЕШЕНИЕ НА СЪДА (първи състав)

7 декември 2023 година ( *1 )

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 22 — Автоматизирано вземане на индивидуални решения — Агенции за икономически справки — Автоматизирано изготвяне на вероятностна оценка за възможностите на дадено лице да изпълнява задължения за плащане в бъдеще (финансово оценяване, „scoring“) — Използване на тази вероятностна оценка от трети лица“

По дело C‑634/21

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия) с акт от 1 октомври 2021 г., постъпил в Съда на 15 октомври 2021 г., в рамките на производство по дело

OQ

срещу

Land Hessen,

при участието на

SCHUFA Holding AG,

СЪДЪТ (първи състав),

състоящ се от: Aл. Арабаджиев, председател на състава, A. T. von Danwitz, P. G. Xuereb, A. Kumin (докладчик) и I. Ziemele, съдии,

генерален адвокат: P. Pikamäe,

секретар: C. Di Bella, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 26 януари 2023 г.,

като има предвид становищата, представени:

за OQ, от U. Schmidt, Rechtsanwalt,

за Land Hessen, от M. Kottmann и G. Ziegenhorn, Rechtsanwälte,

за SCHUFA Holding AG, от G. Thüsing и U. Wuermeling, Rechtsanwalt,

за германското правителство, от P.‑L. Krüger, в качеството на представител,

за датското правителство, от V. Pasternak Jørgensen, M. Søndahl Wolff и Y. Thyregod Kollberg, в качеството на представители,

за португалското правителство, от P. Barros da Costa, I. Oliveira, J. Ramos и C. Vieira Guerra, в качеството на представители,

за финландското правителство, от M. Pere, в качеството на представител,

за Европейската комисия, от A. Bouchagiar, F. Erlbacher и H. Kranenborg, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 16 март 2023 г.,

постанови настоящото

Решение

1

Преюдициалното запитване се отнася до тълкуването на член 6, параграф 1 и член 22 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2, наричан по-нататък „ОРЗД“).

2

Запитванията са отправени в рамките на спор между OQ и Land Hessen (провинция Хесен) по повод на отказа на Hessischer Beauftragter für Datenschutz und Informationsfreiheit (длъжностно лице за защита на данните и свобода на информацията на провинция Хесен, Германия) (наричано по-нататък „HBDI“) да разпореди на SCHUFA Holding AG (наричано по-нататък „SCHUFA“) да изпълни искане, подадено от OQ, за достъп и за изтриване на свързани с него лични данни.

Правна уредба

Правото на Съюза

3

Съгласно съображение 71 от ОРЗД:

„Субектът на данни следва да има право да не бъде обект на решение, което може да включва мярка, за оценка на свързани с него лични аспекти единствено въз основа на автоматично обработване, и което поражда правни последствия за него или го засяга също толкова значително, като например автоматичен отказ на онлайн искания за кредит или електронни практики за набиране на персонал без човешка намеса. Това обработване включва „профилиране“, което се състои от всякакви форми на автоматизирано обработване на лични данни за оценка на личните аспекти във връзка с дадено физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението, местоположението или движенията, когато то поражда правни последствия по отношение на лицето или го засяга също толкова значително. Въпреки това, вземането на решения въз основа на такова обработване, включително профилиране, следва да бъде позволено, когато е изрично разрешено от правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът, включително за целите на наблюдението и предотвратяването на измами и укриването на данъци, осъществявани в съответствие с разпоредбите, стандартите и препоръките на институциите на Съюза или националите надзорни органи, и за гарантиране на сигурността и надеждността на услугите, предоставяни от администратора, или когато е необходимо за сключването или изпълнението на договор между субект на данни и администратор, или когато субектът на данни е дал изричното си съгласие. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, които следва да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка и на обжалване на решението. Такава мярка не следва да се отнася до дете.

С цел да се осигури добросъвестно и прозрачно обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства и контекстът, при които се обработват личните данни, администраторът следва да използва подходящи математически или статистически процедури за профилирането, да прилага съответните технически и организационни мерки, по-специално за да гарантира, че факторите, които водят до неточности в личните данни, се коригират, а рискът от грешки се свежда до минимум, да защити личните данни по начин, който отчита потенциалните заплахи за интересите и правата на субекта на данните, и да предотврати, inter alia, ефект на дискриминация за физическите лица въз основа на тяхната раса или етнически произход, политически възгледи, вероизповедание или убеждения, членство в синдикални организации, генетичен или здравен статус или сексуална ориентация или обработване, от което произтичат мерки с такъв ефект“.

4

Член 4 („Определения“) от този регламент предвижда:

„За целите на настоящия регламент:

[…]

4)

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

[…]“.

5

Член 5 („Принципи, свързани с обработването на лични данни“) от посочения регламент гласи:

„1.   Личните данни са:

а)

обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б)

събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; […] („ограничение на целите“);

в)

подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г)

точни и при необходимост да бъдат поддържани в актуален вид; […] („точност“);

д)

съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; […] („ограничение на съхранението“);

е)

обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни […] („цялостност и поверителност“);

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

6

Член 6 („Кодекси за поведение“) от ОРЗД предвижда в параграфи 1 и 3:

„1.   Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

а)

субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б)

обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в)

обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г)

обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д)

обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е)

обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

[…]

3.   Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:

а)

правото на Съюза или

б)

правото на държавата членка, което се прилага спрямо администратора.

Целта на обработването се определя в това правно основание или доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. […]“.

7

Текстът на член 9 („Обработване на специални категории лични данни“) от този регламент е следният:

„1.   Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

2.   Параграф 1 не се прилага, ако е налице едно от следните условия:

а)

субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;

[…]

ж)

обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;

[…]“.

8

Член 13 („Информация, предоставяна при събиране на лични данни от субекта на данните“) от посочения регламент предвижда в параграф 2:

„Освен информацията, посочена в параграф 1, в момента на получаване на личните данни администраторът предоставя на субекта на данните следната допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване:

[…]

е)

съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните“.

9

Член 14 от ОРЗД („Информация, предоставяна, когато личните данни не са получени от субекта на данните“) гласи в параграф 2:

„Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната информация, необходима за осигуряване на добросъвестно и прозрачно обработване на данните по отношение на субекта на данните:

[…]

ж)

съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните“.

10

Член 15 („Право на достъп на субекта на данните“) от този регламент предвижда в параграф 1:

„Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

[…]

з)

съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните“.

11

Член 22 („Автоматизирано вземане на индивидуални решения, включително профилиране“) от посочения регламент гласи:

„1.   Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.

2.   Параграф 1 не се прилага, ако решението:

а)

е необходимо за сключването или изпълнението на договор между субект на данни и администратор;

б)

е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или

в)

се основава на изричното съгласие на субекта на данни.

3.   В случаите, посочени в параграф 2, букви а) и в), администраторът прилага подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните, най-малкото, правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.

4.   Решенията по параграф 2 не се основават на специалните категории лични данни, посочени в член 9, параграф 1, освен ако не се прилага член 9, параграф 2, буква а) или буква ж) и не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните“.

12

Член 78 („Право на ефективна съдебна защита срещу надзорен орган“) от ОРЗД предвижда в параграф 1:

„Без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган“.

Германското право

13

Текстът на член 31 („Защита на икономическия обмен при финансово оценяване („scoring“) и предоставяне на справки за кредитоспособността на лицата“) от Bundesdatenschutzgesetz (Федерален закон за защита на личните данни) от 30 юни 2017 г. (BGBl. I, p. 2097, наричан по-нататък „BDSG“) предвижда:

„(1)   Използването на вероятностна оценка за определено бъдещо поведение на физическо лице за целите на решението относно установяването, изпълняването или прекратяването на договорни отношения с това лице (финансово оценяване, „scoring“) се допуска само ако:

1.

са спазени разпоредбите на правото в областта на защитата на данните;

2.

въз основа на научно признат математико-статистически метод може да се докаже, че данните, които се използват за изчисляване на вероятностната оценка, имат значение за изчисляването на вероятността от съответното поведение;

3.

за изчисляването на вероятностната оценка не се използват единствено данни за адрес и

4.

при използване на данни за адрес субектът на данните е информиран за предвиденото използване на тези данни преди изчисляването на вероятностната оценка; информирането следва да бъде документирано.

(2)   Използването на определена от агенции за икономически справки вероятностна оценка за платежоспособността и готовността за плащане на дадено физическо лице, която включва и информация за вземания, се допуска само ако са налице условията по параграф 1 и само ако се вземат предвид единствено вземания във връзка с неизпълнени изискуеми задължения:

1.

които са установени с влязло в сила решение или с решение, обявено за подлежащо на предварително изпълнение, или за които е налице изпълнителен титул съгласно член 794 от Zivilprozessordnung [(Граждански процесуален кодекс)];

2.

които са установени по реда на член 178 от Insolvenzordnung [(Закон за несъстоятелността)] и не са оспорени от длъжника в срока за проверка;

3.

които са изрично признати от длъжника;

4.

за които:

а)

длъжникът е получил писмена покана за плащане най-малко два пъти след настъпване на изискуемостта на вземането;

б)

първата покана е отправена преди най-малко четири седмици;

в)

длъжникът е бил информиран предварително, но най-рано с първата покана, за евентуалното отчитане на вземането от агенция за икономически справки;

г)

длъжникът не е оспорил вземането; или

5.   които произтичат от договорно отношение, което може да бъде прекратено без предизвестие поради забава при плащането, като длъжникът е бил предварително информиран за евентуалното отчитане на вземането от агенция за икономически справки.

Това не засяга допустимостта на обработването на други релевантни за кредитоспособността данни, включително определянето на вероятностни оценки, съгласно общите правила за защита на данните“.

Спорът в главното производство и преюдициалните въпроси

14

SCHUFA е частна агенция за икономически справки, учредена по германското право, която предоставя на договорните си партньори информация относно кредитоспособността на трети лица, по-специално потребители. За тази цел тя изготвя прогноза за дадено бъдещо поведение на лице (финансова оценка, „score“), например за връщането на кредит, по математико-статистически методи на базата на определени характеристики на лицето. Изготвянето на финансови оценки („scoring“) се основава на схващането, че е възможно чрез причисляването на дадено лице към група от други лица със сравними характеристики, които са имали определено поведение, да се предвиди бъдещо подобно поведение.

15

От акта за преюдициално запитване е видно, че трето лице отказва да предостави кредит на OQ, след като е получило негативна справка за него, която е изготвена от SCHUFA и е изпратена на това трето лице. OQ иска от SCHUFA да му предостави информация относно регистрираните лични данни и да изтрие тези от тях, за които твърди, че са погрешни.

16

В отговор на това искане SCHUFA уведомява OQ за равнището на неговата финансова оценка („score“) и посочва в общи линии реда и условията за изчисляване на финансовите оценки („scores“). Като се позовава на търговската тайна обаче, тя отказва да разкрие различните сведения, взети предвид за целите на това изчисляване, както и тяхното претегляне. Накрая SCHUFA посочва, че само изпраща информация на договорните си партньори и че именно последните вземат самите договорни решения.

17

С жалба, подадена на 18 октомври 2018 г., OQ иска от компетентния надзорен орган HBDI да разпореди на SCHUFA да изпълни искането му за достъп до информация и за изтриване на данни.

18

С решение от 3 юни 2020 г. HBDI отхвърля искането за издаване на разпореждане, като обяснява, че не е доказано, че SCHUFA не отговаря на изискванията по член 31 от BDSG за упражняването на дейността си.

19

OQ обжалва това решение пред запитващата юрисдикция Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия) на основание член 78, параграф 1 от ОРЗД.

20

Според тази юрисдикция, за да се произнесе по разглеждания от нея спор, е необходимо да се определи дали изготвянето на вероятностна оценка като разглежданата в главното производство представлява автоматизирано вземане на индивидуално решение по смисъла на член 22, параграф 1 от ОРЗД. Всъщност, ако това е така, съгласно член 22, параграф 2, буква б) от този регламент законосъобразността на тази дейност би била подчинена на условието решението да е разрешено от правото на Съюза или от правото на държавата членка, което се прилага спрямо администратора.

21

В това отношение запитващата юрисдикция има съмнения относно разбирането, че член 22, параграф 1 от ОРЗД не е приложим към дейността на дружества като SCHUFA. От фактическа гледна точка тя основава съмненията си на значението на вероятностна оценка като разглежданата в главното производство за практиката при вземане на решения на третите лица, на които се изпраща тази вероятностна оценка, и от правна гледна точка — основно на целите, преследвани с посочения член 22, параграф 1, и на гаранциите за правна защита, закрепени в ОРЗД.

22

По-конкретно, запитващата юрисдикция подчертава, че именно вероятностната оценка определя обикновено дали и как третото лице ще сключи договор със субекта на данните. Член 22 от ОРЗД обаче имал за цел именно да защити лицата от рисковете, свързани с решения, които са изцяло основани на автоматизирано обработване.

23

Ако обаче член 22, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че в случай като разглеждания в главното производство качеството на „автоматизирано индивидуално решение“ може да се признае само на решението, взето от третото лице по отношение на субекта на данните, това би довело до празнота в правната защита. Всъщност, от една страна, дружество като SCHUFA не било длъжно да предоставя достъп до допълнителната информация, на която съответното лице има право по силата на член 15, параграф 1, буква з) от този регламент, тъй като това дружество не било лицето, което взема „автоматизирано решение“ по смисъла на тази разпоредба, а следователно и по смисъла на член 22, параграф 1 от посочения регламент. От друга страна, третото лице, на което се съобщава вероятностната оценка, не можело да предостави тази допълнителна информация, тъй като не разполага с нея.

24

Така според запитващата юрисдикция, за да се избегне подобна празнота в правната защита, е необходимо изготвянето на вероятностна оценка като разглежданата в главното производство да попада в приложното поле на член 22, параграф 1 от ОРЗД.

25

Ако се възприеме такова тълкуване, законосъобразността на тази дейност ще зависи от наличието на правно основание на равнището на съответната държава членка в съответствие с член 22, параграф 2, буква б) от този регламент. В случая обаче, макар да е вярно, че член 31 от BDSG би могъл да представлява такова правно основание в Германия, съществували сериозни съмнения относно съвместимостта на тази разпоредба с член 22 от ОРЗД, тъй като германският законодател уреждал само „използването“ на вероятностна оценка като разглежданата в главното производство, а не самото изготвяне на тази оценка.

26

Ако обаче изготвянето на такава вероятностна оценка не представлява автоматизирано вземане на индивидуално решение по смисъла на член 22 от ОРЗД, предпазната клауза, съдържаща се в параграф 2, буква б) от посочения член 22, не би се прилагала и по отношение на националните правни уредби относно тази дейност. Предвид принципно изчерпателния характер на ОРЗД и при липсата на друго правомощие за приемане на такива национални правила изглежда, че като обвързва изготвянето на вероятностни оценки с по-широки материалноправни изисквания, германският законодател дава допълнителна уредба на тази материя свръх изискванията на членове 6 и 22 от ОРЗД, без да разполага с нормотворческо правомощие за тази цел. Ако тази гледна точка е правилна, това би променило обхвата на проверката, извършвана от националния надзорен орган, който тогава ще трябва да преценява съвместимостта на дейността на агенциите за икономически справки от гледна точка на член 6 от ОРЗД.

27

При тези обстоятелства Verwaltungsgericht Wiesbaden (Административен съд Висбаден) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)

Трябва ли член 22, параграф 1 от [ОРЗД] да се тълкува в смисъл, че още самото автоматизирано изготвяне на вероятностна оценка за възможностите на субекта на данните да обслужва кредит в бъдеще представлява решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен, при положение че администраторът съобщава на трето лице администратор оценката, която е определил с помощта на личните данни на субекта, и това трето лице основава до голяма степен на тази оценка решението си относно установяването, изпълняването или прекратяването на договорни отношения със субекта на данните?

2)

При отрицателен отговор на първия въпрос:

трябва ли член 6, параграф 1 и член 22 от [ОРЗД] да се тълкуват в смисъл, че не допускат национална правна уредба, съгласно която използването на вероятностна оценка — в случая оценка за платежоспособността и готовността за плащане на дадено физическо лице, която включва и информация за вземания — за определено бъдещо поведение на физическо лице за целите на решението относно установяването, изпълняването или прекратяването на договорни отношения с това лице (финансово оценяване, „scoring“ [изготвяне на финансови оценки, „scores“]) се допуска само ако са изпълнени определени допълнителни условия, описани подробно в мотивите на това преюдициално запитване?“.

По допустимостта на преюдициалното запитване

28

SCHUFA оспорва допустимостта на преюдициалното запитване, като изтъква, на първо място, че запитващата юрисдикция не следва да контролира съдържанието на решение по жалба, прието от надзорен орган като HBDI, тъй като предвиденото в член 78, параграф 1 от ОРЗД съдебно обжалване на такова решение служи само за да се провери дали този орган е изпълнил задълженията си по посочения регламент, и по-специално задължението да разглежда жалбите, като се има предвид, че посоченият орган разполага с дискреционна власт да реши дали да предприеме действия и как трябва да действа.

29

На второ място, SCHUFA поддържа, че запитващата юрисдикция не излага конкретните причини, поради които поставените въпроси са от решаващо значение за решаването на спора в главното производство. Последният имал за предмет искане за информация относно конкретна финансова оценка („score“) и нейното изтриване. В случая обаче SCHUFA било изпълнило в достатъчна степен задължението си за предоставяне на информация и вече било изтрило финансовата оценка („score“), която е предмет на производството.

30

В това отношение следва да се припомни, че съгласно практиката на Съда само националният съд, който е сезиран със спора и трябва да поеме отговорността за последващото му съдебно решаване, може да прецени — предвид особеностите на делото — както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда. Следователно, след като поставените въпроси се отнасят до тълкуването на норма от правото на Съюза, Съдът по принцип е длъжен да се произнесе (решение от 12 януари 2023 г., DOBELES HES, C‑702/20 и C‑17/21, EU:C:2023:1, т. 46 и цитираната съдебна практика).

31

От това следва, че въпросите относно правото на Съюза се ползват с презумпция за релевантност. Съдът може да откаже да се произнесе по отправеното от национална юрисдикция запитване само ако е съвсем очевидно, че исканото тълкуване на норма от правото на Съюза няма никаква връзка с действителността или с предмета на спора в главното производство, когато проблемът е от хипотетично естество или още когато Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на поставените му въпроси (решение от 12 януари 2023 г., DOBELES HES, C‑702/20 и C‑17/21, EU:C:2023:1, т. 47 и цитираната съдебна практика).

32

Що се отнася, на първо място, до основанието за недопустимост, изведено от твърдения ограничен съдебен контрол, на който подлежат решенията по жалби, приети от надзорен орган, следва да се припомни, че съгласно член 78, параграф 1 от ОРЗД, без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган.

33

В случая решението, прието от HBDI като надзорен орган, представлява решение със задължителен характер по смисъла на член 78, параграф 1. Всъщност, след като е разгледал основателността на жалбата, с която е сезиран, този орган се е произнесъл по нея и е констатирал, че оспорваното от жалбоподателя в главното производство обработване на лични данни е законосъобразно.

34

Що се отнася до обхвата на съдебния контрол, упражняван върху такова решение при обжалване въз основа на посочения член 78, параграф 1, достатъчно е да се отбележи, че решението по жалба, прието от надзорен орган, подлежи на пълен съдебен контрол (решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:XXX, точка 1 от диспозитива).

35

Следователно първото основание за недопустимост, повдигнато от SCHUFA, трябва да се отхвърли.

36

На второ място, от акта за преюдициално запитване е видно, че запитващата юрисдикция иска да се установи какъв е критерият за контрол, който трябва да се възприеме с оглед на ОРЗД при преценката на разглежданото в главното производство обработване на лични данни, тъй като този критерий зависи от това дали се прилага член 22, параграф 1 от посочения регламент.

37

В този смисъл не е очевидно, че исканото от запитващата юрисдикция тълкуване на ОРЗД няма никаква връзка с действителността или с предмета на спора в главното производство, нито че проблемът е от хипотетично естество. Освен това Съдът разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на поставените му въпроси.

38

Ето защо второто основание за недопустимост, повдигнато от SCHUFA, също трябва да се отхвърли.

39

При тези обстоятелства преюдициалното запитване е допустимо.

По преюдициалните въпроси

По първия въпрос

40

С първия си въпрос запитващата юрисдикция по същество иска да се установи дали член 22, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че представлява „автоматизирано вземане на индивидуално решение“ автоматизираното изготвяне от агенция за икономически справки на вероятностна оценка, основаваща се на лични данни, които са свързани с дадено лице и се отнасят до неговите възможности да изпълнява задължения за плащане в бъдеще, когато от тази вероятностна оценка зависи до голяма степен фактът, че трето лице, на което е съобщена посочената вероятностна оценка, установява, изпълнява или прекратява договорно отношение с това лице.

41

За да се отговори на този въпрос, най-напред следва да се припомни, че тълкуването на разпоредба от правото на Съюза изисква да се вземе предвид не само нейният текст, но и контекстът ѝ и целите и предназначението на акта, от който тя е част (решение от 22 юни 2023 г., Pankki S, C‑579/21, EU:C:2023:501, т. 38 и цитираната съдебна практика).

42

Що се отнася до текста на член 22, параграф 1 от ОРЗД, тази разпоредба предвижда, че субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.

43

Следователно приложимостта на тази разпоредба зависи от три кумулативни условия, а именно, първо, трябва да е налице „решение“, второ, това решение трябва да е „основаващо се единствено на автоматизирано обработване, включващо профилиране“, и трето, то трябва да поражда „правни последствия [по отношение на заинтересованото лице]“ или „по подобен начин го засяга в значителна степен“.

44

Първо, относно условието за наличие на решение следва да се отбележи, че понятието „решение“ по смисъла на член 22, параграф 1 от ОРЗД не е дефинирано в този регламент. От самия текст на тази разпоредба обаче следва, че това понятие се отнася не само до актове, които пораждат правни последствия по отношение на съответното лице, но и до актове, които го засягат по подобен начин в значителна степен.

45

Широкият обхват на понятието „решение“ се потвърждава от съображение 71 от ОРЗД, съгласно което решение, включващо оценка на определени лични аспекти, отнасящи се до дадено лице, на която то следва да има право да не бъде обект, „може да включва мярка“, която или поражда „правни последствия за него“, или „го засяга също толкова значително“. Съгласно това съображение понятието „решение“ обхваща например автоматичен отказ на онлайн искания за кредит или електронни практики за набиране на персонал без човешка намеса.

46

Тъй като, както отбелязва генералният адвокат в точка 38 от заключението си, понятието „решение“ по смисъла на член 22, параграф 1 от ОРЗД може да включва няколко акта, които могат да засегнат субекта на данни по няколко различни начина, това понятие е достатъчно широко, за да обхване резултата от изчисляването на платежоспособността на дадено лице под формата на вероятностна оценка за възможностите на това лице да изпълнява задължения за плащане в бъдеще.

47

Второ, що се отнася до условието, че решението по смисъла на посочения член 22, параграф 1 трябва да е „основаващо се единствено на автоматизирано обработване, включващо профилиране“, както отбелязва генералният адвокат в точка 33 от заключението си, безспорно е, че дейност като извършваната от SCHUFA отговаря на определението за „профилиране“, съдържащо се в член 4, параграф 4 от ОРЗД, и следователно, че това условие е изпълнено в случая, тъй като в текста на първия преюдициален въпрос впрочем се посочва изрично автоматизираното изготвяне на вероятностна оценка, основаваща се на лични данни, които са свързани с дадено лице и се отнасят до неговите възможности да обслужва кредит в бъдеще.

48

Трето, относно условието решението да поражда „правни последствия“ за съответното лице или да го засяга „по подобен начин в значителна степен“, от самото съдържание на първия преюдициален въпрос е видно, че действията на третото лице, на което се изпраща вероятностната оценка, се ръководят „до голяма степен“ от тази оценка. Така според фактическите констатации на запитващата юрисдикция при искане за кредит, отправено от потребител до банка, недостатъчна вероятностна оценка в почти всички случаи води до отказ на последната да предостави искания кредит.

49

При тези обстоятелства следва да се приеме, че третото условие, от което зависи прилагането на член 22, параграф 1 от ОРЗД, също е изпълнено, тъй като, най-малкото, вероятностна оценка като разглежданата в главното производство засяга в значителна степен субекта на данните.

50

От това следва, че при обстоятелства като разглежданите в главното производство, при които вероятностна оценка, която е изготвена от агенция за икономически справки и е съобщена на банка, има определяща роля при отпускането на кредит, изготвянето на тази стойност трябва само по себе си да се квалифицира като решение, което поражда за даден субект на данни „правни последствия […] или по подобен начин го засяга в значителна степен“ по смисъла на член 22, параграф 1 от ОРЗД.

51

Това тълкуване се потвърждава от контекста, в който се вписва член 22, параграф 1 от ОРЗД, както и от целите и предназначението на този регламент.

52

В това отношение е необходимо да се отбележи, че както посочва генералният адвокат в точка 31 от заключението си, член 22, параграф 1 от ОРЗД предоставя на субекта на данните „правото“ да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране. Тази разпоредба установява принципна забрана, при нарушаването на която не е необходимо индивидуално предявяване на съответното право от такова лице.

53

Всъщност, както следва от член 22, параграф 2 от ОРЗД във връзка със съображение 71 от този регламент, приемането на решение, основаващо се единствено на автоматизирано обработване, е разрешено само в случаите, посочени в член 22, параграф 2, а именно когато това решение е необходимо за сключването или изпълнението на договор между субект на данни и администратор (буква а), когато е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора (буква б), или когато се основава на изричното съгласие на субекта на данни (буква в).

54

Освен това член 22 от ОРЗД предвижда в параграф 2, буква б) и параграф 3, че трябва да бъдат предвидени подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните. В случаите, посочени в член 22, параграф 2, букви а) и в) от този регламент, администраторът прилага, най-малкото, правото на субекта на данните на човешка намеса, да изрази гледната си точка и да оспори решението.

55

Освен това съгласно член 22, параграф 4 от ОРЗД само в някои специфични случаи автоматизираните индивидуални решения по смисъла на член 22 могат да се основават на специалните категории лични данни, посочени в член 9, параграф 1 от този регламент.

56

Нещо повече, в случай на автоматизирано вземане на решения като посоченото в член 22, параграф 1 от ОРЗД, от една страна, администраторът има допълнителни задължения за предоставяне на информация съгласно член 13, параграф 2, буква е) и член 14, параграф 2, буква ж) от този регламент. От друга страна, съгласно член 15, параграф 1, буква з) от посочения регламент субектът на данните има право да получи от администратора на данни по-конкретно „съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните“.

57

Тези по-високи изисквания по отношение на законосъобразността на автоматизираното вземане на решения, както и допълнителните задължения на администратора за предоставяне на информация и свързаните с това допълнителни права на достъп на субекта на данните се обясняват с целта, която ОРЗД преследва с член 22, а именно защитата на физическите лица срещу конкретните рискове за техните права и свободи, произтичащи от автоматизираното обработване на лични данни, включително профилиране.

58

Всъщност, както следва от съображение 71 от ОРЗД, това обработване предполага оценка на лични аспекти във връзка с физическо лице, за което се отнася обработването, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към неговите резултати в работата, икономическо състояние, здраве, лични предпочитания или интереси, благонадеждност или поведение, местоположението или придвижване.

59

Съгласно това съображение тези конкретни рискове могат да засегнат законните интереси и правата на засегнатото лице, по-специално предвид потенциалните дискриминационни последици за физическите лица въз основа на тяхната раса или етнически произход, политически възгледи, вероизповедание или убеждения, членство в синдикални организации, генетичен или здравен статус или сексуална ориентация. Ето защо, отново съгласно посоченото съображение, е необходимо да се предвидят подходящи гаранции и да се осигури добросъвестно и прозрачно обработване по отношение на субекта на данните, по-специално чрез използването на подходящи математически или статистически процедури за профилирането и чрез прилагането на съответните технически и организационни мерки, за да се гарантира, че рискът от грешки е сведен до минимум.

60

Впрочем тълкуването, изложено в точки 42—50 от настоящото решение, и по-специално широкият обхват на понятието „решение“ по смисъла на член 22, параграф 1 от ОРЗД, засилва предвидената в тази разпоредба ефективна защита.

61

За разлика от това при обстоятелства като разглежданите в главното производство, при които има трима участници, би съществувал риск от заобикаляне на член 22 от ОРЗД, а вследствие на това и празнота в правната защита, ако се възприеме ограничително тълкуване на тази разпоредба, съгласно което изготвянето на вероятностната оценка трябва да се счита само за подготвителен акт и само актът, приет от третото лице, да може евентуално да се квалифицира като „решение“ по смисъла на член 22, параграф 1 от този регламент.

62

Всъщност в тази хипотеза изготвянето на вероятностна оценка като разглежданата в главното производство би се отклонило от специфичните изисквания, предвидени в член 22, параграфи 2—4 от ОРЗД, въпреки че тази процедура се основава на автоматизирано обработване и поражда последствия, които засягат в значителна степен субекта на данните, доколкото действията на третото лице, на което се изпраща тази вероятностна оценка, се ръководят до голяма степен от нея.

63

Освен това, както отбелязва генералният адвокат в точка 48 от заключението си, от една страна, субектът на данните не би могъл да упражни спрямо агенцията за икономически справки, която изготвя отнасящата се до него вероятностна оценка, правото си на достъп до конкретната информация, посочена в член 15, параграф 1, буква з) от ОРЗД, при липсата на автоматизирано решение, взето от посочената агенция. От друга страна, дори да се приеме, че приетият от третото лице акт попада от своя страна в приложното поле на член 22, параграф 1 от този регламент, след като отговаря на условията за прилагане на тази разпоредба, това трето лице не би било в състояние да предостави посочената специфична информация, тъй като поначало не разполага с нея.

64

Както бе посочено в точки 53—55 от настоящото решение, фактът, че изготвянето на вероятностна оценка като разглежданата в главното производство попада в обхвата на член 22, параграф 1 от ОРЗД, има за последица, че то е забранено, освен ако се прилага някое от изключенията, съдържащи се в член 22, параграф 2 от този регламент, и са спазени специфичните изисквания, предвидени в член 22, параграфи 3 и 4 от посочения регламент.

65

Що се отнася по-конкретно до член 22, параграф 2, буква б) от ОРЗД, на който се позовава запитващата юрисдикция, от самия текст на тази разпоредба следва, че националното право, което разрешава автоматизираното вземане на индивидуални решения, трябва да предвижда подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните.

66

С оглед на съображение 71 от ОРЗД такива мерки трябва да обхващат по-специално задължение за администратора да използва подходящи математически или статистически процедури, да прилага съответните технически и организационни мерки, за да се гарантира, че рискът от грешки е сведен до минимум и че грешките се поправят, както и да защитава личните данни по начин, който отчита потенциалните заплахи за интересите и правата на субекта на данните, и наред с това да предотвратява дискриминационните последици спрямо този субект. Освен това тези мерки включват, най-малкото, правото на субекта на данните на човешка намеса от страна на администратора, да изрази гледната си точка и да оспори взетото спрямо него решение.

67

Необходимо е още да се отбележи, че съгласно практиката на Съда всяко обработване на лични данни трябва, от една страна, да е в съответствие с установените в член 5 от ОРЗД принципи във връзка с обработването на такива данни и от друга страна, предвид в частност принципа за законосъобразност на обработването, предвиден в параграф 1, буква а) от този член, да отговаря на някое от условията за законосъобразно обработване, изброени в член 6 от този регламент (решение от 20 октомври 2022 г., Digi, C‑77/21, EU:C:2022:805, т. 49 и цитираната съдебна практика). Администраторът трябва да е в състояние да докаже спазването на тези принципи в съответствие с принципа на отчетност, закрепен в член 5, параграф 2 от посочения регламент (вж. в този смисъл решение от 20 октомври 2022 г., Digi, C‑77/21, EU:C:2022:805, т. 24 и цитираната съдебна практика).

68

Така, в случай че правото на държава членка разрешава в съответствие с член 22, параграф 2, буква б) от ОРЗД приемането на решение, основаващо се единствено на автоматизирано обработване, това обработване трябва да отговаря не само на условията, предвидени в последната разпоредба и в член 22, параграф 4 от този регламент, но и на изискванията по членове 5 и 6 от посочения регламент. Следователно държавите членки не могат да приемат на основание член 22, параграф 2, буква б) от ОРЗД разпоредби, които разрешават профилиране, което не е съобразено с изискванията, установени в тези членове 5 и 6, както са тълкувани в практиката на Съда.

69

Що се отнася по-специално до условията за законосъобразност, предвидени в член 6, параграф 1, букви а), б) и е) от ОРЗД, които могат да намерят приложение в случай като разглеждания в главното производство, държавите членки нямат право да предвиждат допълнителни правила за прилагането на тези условия, тъй като съгласно член 6, параграф 3 от този регламент подобна възможност е ограничена до основанията по член 6, параграф 1, букви в) и д) от посочения регламент.

70

Освен това, що се отнася по-специално до член 6, параграф 1, буква е) от ОРЗД, държавите членки не могат на основание член 22, параграф 2, буква б) от този регламент да се отклоняват от изискванията, произтичащи от практиката на Съда, установена с решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията) (C‑26/22 и C‑64/22, EU:C:2023:XXX), по-специално като определят окончателно резултата от претеглянето на разглежданите права и интереси (вж. в този смисъл решение от 19 октомври 2016 г., Breyer, C‑582/14, EU:C:2016:779, т. 62).

71

В случая запитващата юрисдикция посочва, че само член 31 от BDSG може да представлява правно основание, предвидено в националното право по смисъла на член 22, параграф 2, буква б) от ОРЗД. Тя обаче изпитва сериозни съмнения относно съвместимостта на посочения член 31 с правото на Съюза Ако се приеме, че тази разпоредба трябва да се смята за несъвместима с правото на Съюза, SCHUFA не само би действало без правно основание, но и би нарушило ipso iure забраната, закрепена в член 22, параграф 1 от ОРЗД.

72

В това отношение запитващата юрисдикция следва да провери дали член 31 от BDSG може да се квалифицира като правно основание, което съгласно член 22, параграф 2, буква б) от ОРЗД позволява да се приеме решение, основаващо се единствено на автоматизирано обработване. Ако тази юрисдикция стигне до извода, че посоченият член 31 представлява такова правно основание, тя трябва да провери също дали в случая са изпълнени условията, предвидени в член 22, параграф 2, буква б) и параграф 4 от ОРЗД, и тези, които се съдържат в членове 5 и 6 от същия регламент.

73

С оглед на всички изложени по-горе съображения на първия въпрос следва да се отговори, че член 22, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че автоматизираното изготвяне от агенция за икономически справки на вероятностна оценка, основаваща се на лични данни, които са свързани с дадено лице и се отнасят до неговите възможности да изпълнява задължения за плащане в бъдеще, представлява „автоматизирано вземане на индивидуално решение“ по смисъла на тази разпоредба, когато от тази вероятностна оценка зависи до голяма степен фактът, че трето лице, на което е съобщена посочената вероятностна оценка, установява, изпълнява или прекратява договорно отношение с това лице.

По втория въпрос

74

Предвид отговора на първия въпрос не е необходимо да се отговаря на втория въпрос.

По съдебните разноски

75

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

 

По изложените съображения Съдът (първи състав) реши:

 

Член 22, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните)

 

трябва да се тълкува в смисъл, че

 

автоматизираното изготвяне от агенция за икономически справки на вероятностна оценка, основаваща се на лични данни, които са свързани с дадено лице и се отнасят до неговите възможности да изпълнява задължения за плащане в бъдеще, представлява „автоматизирано вземане на индивидуално решение“ по смисъла на тази разпоредба, когато от тази вероятностна оценка зависи до голяма степен фактът, че трето лице, на което е съобщена посочената вероятностна оценка, установява, изпълнява или прекратява договорно отношение с това лице.

 

Подписи


( *1 ) Език на производството: немски.

Top