Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 62021CJ0634

Решение на Съда (първи състав) от 7 декември 2023 г.
OQ срещу Land Hessen.
Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 22 — Автоматизирано вземане на индивидуални решения — Агенции за икономически справки — Автоматизирано изготвяне на вероятностна оценка за възможностите на дадено лице да изпълнява задължения за плащане в бъдеще (финансово оценяване, „scoring“) — Използване на тази вероятностна оценка от трети лица.
Дело C-634/21.

Court reports – general

ECLI identifier: ECLI:EU:C:2023:957

Дело C‑634/21

OQ

срещу

Land Hessen

(Преюдициално запитване, отправено от Verwaltungsgericht Wiesbaden)

Решение на Съда (първи състав) от 7 декември 2023 година

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 22 — Автоматизирано вземане на индивидуални решения — Агенции за икономически справки — Автоматизирано изготвяне на вероятностна оценка за възможностите на дадено лице да изпълнява задължения за плащане в бъдеще (финансово оценяване, „scoring“) — Използване на тази вероятностна оценка от трети лица“

  1. Защита на физическите лица във връзка с обработването на лични данни — Регламент 2016/679 — Способи за защита — Съдебно обжалване на решение по жалба, прието от надзорен орган — Съдебен контрол — Обхват — Граници — Липса

    (член 78, параграф 1 от Регламент 2016/679 на Европейския парламент и на Съвета)

    (вж. т. 34)

  2. Защита на физическите лица във връзка с обработването на лични данни — Регламент 2016/679 — Право на субекта на данните да не бъде обект на решение, основаващо се единствено на автоматизирано обработване — Автоматизирано вземане на индивидуални решения — Понятие — Автоматизирано изготвяне от агенция за икономически справки на вероятностна оценка на платежоспособността на дадено лице, използвана от трети лица — Включване — Условия

    (съображение 71, член 4, точка 4 и член 22, параграф 1 от Регламент 2016/679 на Европейския парламент и на Съвета)

    (вж. т. 43, 46—50, 60—63 и 73 и диспозитива)

  3. Защита на физическите лица във връзка с обработването на лични данни — Регламент 2016/679 — Право на субекта на данните да не бъде обект на решение, основаващо се единствено на автоматизирано обработване — Изключения — Допустимо съгласно правото на държава членка приемане на решение, основаващо се единствено на автоматизирано обработване — Задължение за спазване на предвидените с посочения регламент условия и изисквания — Проверка, възложена на националния съд

    (съображение 71, членове 5 и 6 и член 22, параграфи 2—4 от Регламент 2016/679 на Европейския парламент и на Съвета)

    (вж. т. 53—55, 64, 67—70 и 72)

Резюме

Учредената по германското право частна агенция за икономически справки SCHUFA Holding AG предоставя на договорните си партньори информация относно платежоспособността на лица. За тази цел тя определя за всеки субект на данни стойност (финансова оценка, „score“) по математико-статистически методи на базата на определени характеристики на лицето. Изготвянето на финансовите оценки служи за прогнозиране на бъдещото поведение на лице, например за връщането на кредит, въз основа на причисляването му към група от други лица със сравними характеристики.

След като OQ получава негативна справка, която е изготвена от SCHUFA и е изпратена на кредитна институция, последната отказва да му предостави кредит. OQ иска от SCHUFA да му предостави достъп до отнасящите се до него лични данни и да изтрие данните, за които твърди, че са погрешни. SCHUFA обаче му съобщава само финансовата оценка и най-общо начина на изчисляването ѝ, като за останалото се позовава на търговската тайна.

Впоследствие OQ подава жалба срещу SCHUFA пред компетентния германски надзорен орган, HBDI ( 1 ), който отхвърля жалбата с мотива, че дейността на SCHUFA е в съответствие с германското законодателство, уреждащо условията за използване на вероятностна оценка относно платежоспособността ( 2 ).

Сезиран с жалба от OQ срещу решението на HBDI, Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия) отправя въпрос до Съда по тълкуването на разпоредбите на ОРЗД ( 3 ) относно правото на субекта на данните да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране ( 4 ).

В решението си Съдът тълкува за първи път разпоредбите на ОРЗД относно чувствителната област на решенията, основаващи се единствено на автоматизирано обработване. В този контекст той се произнася по въпроса дали автоматизираното изготвяне от агенция за икономически справки на вероятностна оценка на платежоспособността на дадено лице представлява автоматизирано вземане на индивидуални решения и по този начин попада в приложното поле на тези разпоредби.

Съображения на Съда

Най-напред Съдът констатира, че в случая са изпълнени трите кумулативни условия за прилагането на разпоредбите на ОРЗД, уреждащи правото на субекта на данните да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.

Относно първото условие, свързано с наличието на решение, Съдът уточнява, че понятието „решение“ има широк обхват и може да обхване резултата от изчисляването на платежоспособността на дадено лице под формата на вероятностна оценка за възможностите на това лице да изпълнява задължения за плащане в бъдеще.

Що се отнася до второто условие, че решението трябва да е „основаващо се единствено на автоматизирано обработване, включващо профилиране“, според Съда е безспорно, че дейността на въпросното дружество отговаря на определението за „профилиране“ ( 5 ) и следователно, че това условие е изпълнено в случая. Освен това запитващата юрисдикция изрично посочва, че се разглежда автоматизираното изготвяне на вероятностна оценка, основаваща се на лични данни, които са свързани с дадено лице и се отнасят до неговите възможности да обслужва кредит в бъдеще.

Относно третото условие, решението да поражда „правни последствия“ за съответното лице или да го засяга „по подобен начин в значителна степен“, Съдът отбелязва, че в случая действията на третото лице, на което се изпраща вероятностната оценка, се ръководят „до голяма степен“ от тази оценка. Всъщност недостатъчна вероятностна оценка почти винаги води до отказ да се предостави кредит. По този начин, най-малкото, тази вероятностна оценка засяга в значителна степен субекта на данните.

От това Съдът заключава, че в случай че вероятностна оценка, която е изготвена от агенция за икономически справки и е съобщена на банка, има определяща роля при отпускането на кредит, изготвянето на тази стойност трябва само по себе си да се квалифицира като решение, което поражда за даден субект на данни „правни последствия […] или по подобен начин го засяга в значителна степен“ ( 6 ).

По-нататък Съдът подчертава, че това тълкуване и най-вече широкият обхват на понятието „решение“, засилва предвидената в ОРЗД ефективна защита. За разлика от това едно ограничително тълкуване на тази разпоредба, съгласно което изготвянето на вероятностната оценка трябва да се счита само за подготвителен акт и само актът, приет от третото лице, може евентуално да се квалифицира като „решение“, би довело до празнота в правната защита. Всъщност в тази хипотеза изготвянето на такава оценка би се отклонило от специфичните изисквания, предвидени в ОРЗД ( 7 ), въпреки че тази процедура се основава на автоматизирано обработване и поражда последствия, които засягат в значителна степен субекта на данните, доколкото действията на третото лице, на което се изпраща тази вероятностна оценка, се ръководят до голяма степен от нея.

Освен това, от една страна, субектът на данните не би могъл да упражни спрямо агенцията за икономически справки, която изготвя отнасящата се до него вероятностна оценка, правото си на достъп до конкретната информация ( 8 ) при липсата на автоматизирано решение, взето от посочената агенция. От друга страна, дори да се допусне, че приетият от третото лице акт попада от своя страна в приложното поле на разпоредбите на ОРЗД, отнасящи се до правото на лицето да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, това трето лице не би било в състояние да предостави посочената специфична информация, тъй като поначало не разполага с нея.

Накрая Съдът отбелязва, че фактът, че изготвянето на вероятностна оценка попада в обхвата на разпоредбите на ОРЗД, уреждащи правото на субекта на данните да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, има за последица, че то е забранено, освен ако се прилага някое от изключенията и са спазени специфичните изисквания, предвидени в ОРЗД.

Освен това всяко обработване на лични данни трябва, от една страна, да е в съответствие с установените с ОРЗД принципи във връзка с обработването на такива данни и от друга страна, предвид в частност принципа за законосъобразност на обработването, да отговаря на някое от условията за законосъобразно обработване.

В този контекст Съдът отбелязва, че запитващата юрисдикция посочва изключението, че приемането на решение, основаващо се единствено на автоматизирано обработване, може да бъде разрешено, когато това е предвидено в правото на държава членка. В това отношение Съдът уточнява, че запитващата юрисдикция следва да провери дали националното законодателство, уреждащо условията за използване на вероятностна оценка относно платежоспособността, може да се квалифицира като правно основание, което разрешава приемане на такова решение, и при утвърдителен отговор, дали в случая са изпълнени придружаващите това изключение условия и тези, които се отнасят до приложимите към обработването принципи, предвидени в ОРЗД.

( 1 ) Hessischer Beauftragter für Datenschutz und Informationsfreiheit (длъжностното лице за защита на данните и свободата на информацията на провинция Хесен, Германия).

( 2 ) Член 31 от Bundesdatenschutzgesetz (Федерален закон за защита на личните данни) от 30 юни 2017 г. (BGBl. I, стр. 2097).

( 3 ) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2, наричан по-нататък „ОРЗД“).

( 4 ) Член 22 от ОРЗД.

( 5 ) По смисъла на член 4, точка 4 от ОРЗД.

( 6 ) По смисъла на член 22, параграф 1 от ОРЗД:

( 7 ) Посочени в член 22, параграфи 2—4 от ОРЗД. От тези разпоредби е видно, че забраната на решение, основаващо се единствено на автоматизирано обработване, е придружена от три изключения, подплатени с допълнителни гаранции. Така подобно решение е допустимо, когато е необходимо за сключването или изпълнението на договор между субекта на данни и администратор, когато е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, или когато се основава на изричното съгласие на субекта на данни, при условие че са въведени подходящи мерки за защита на правата, свободите и легитимните интереси на субекта на данните.

( 8 ) Посочена в член 15, параграф 1, буква з) от ОРЗД, който в случай на автоматизирано вземане на решения предоставя на субекта на данните право на разширен достъп.

Top