1.

Преюдициалното запитване, отправено от Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия) на основание член 267 ДФЕС, се отнася до тълкуването на член 6, параграф 1 и на член 22, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) ( 2 ) (наричан по-нататък „ОРЗД“).

2.

Запитването е отправено в рамките на спор между жалбоподателя OQ, физическо лице, и Land Hessen (провинция Хесен, Германия), представлявана от Hessischer Beauftragter für Datenschutz und Informationsfreiheit (длъжностно лице за защита на данните и свободата на информацията на провинция Хесен, наричано по-нататък „HBDI“), във връзка със защитата на личните данни. SCHUFA Holding AG (наричано по-нататък „SCHUFA“) е частноправна агенция, която подпомага HBDI като встъпила страна. В рамките на стопанската си дейност по предоставяне на своите клиенти на справки за кредитоспособността на трети лица SCHUFA е предоставило на кредитна институция финансова оценка за жалбоподателя, която е послужила като основание за отказ на искания от жалбоподателя кредит. Жалбоподателят отправя искане до SCHUFA да изтрие свързаните с него данни и да му предостави достъп до съответните данни, но последното му съобщава само релевантната финансова оценка и по общ начин принципите, на които се основава методът на изчисление на финансовата оценка, без да го информира за взетите предвид при това изчисление специфични данни и за придадената им в този контекст значимост, като изтъква, че методът на изчисление представлява търговска тайна.

3.

Доколкото жалбоподателят изтъква, че отказът на SCHUFA да удовлетвори искането му, противоречи на режима на защита на данните, Съдът ще трябва да се произнесе по ограниченията, които ОРЗД налага на стопанската дейност на агенциите за предоставяне на справки във финансовия сектор, по-специално при управлението на данните, както и по последиците, които следва да се признаят на търговската тайна. Освен това Съдът ще трябва да уточни обхвата на регулаторните правомощия, които се предоставят с някои разпоредби на ОРЗД на националния законодател чрез дерогация от общата цел за хармонизиране, преследвана с този правен акт.

4.

Член 4, точка 4 от ОРЗД гласи:

„За целите на настоящия регламент:

[…]

5.

Член 6 от ОРЗД е озаглавен „Законосъобразност на обработването“ и гласи:

„1.   Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.

2.   Държавите членки могат да запазят или въведат по-конкретни разпоредби, за да адаптират прилагането на правилата на настоящия регламент по отношение на обработването, необходимо за спазването на параграф 1, букви в) и д), като установят по-конкретно специални изисквания за обработването и други мерки, за да се гарантира законосъобразно и добросъвестно обработване, включително за други особени случаи на обработване на данни, предвидени в глава IX.

3.   Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:

Целта на обработването се определя в това правно основание или доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Това правно основание може да включва конкретни разпоредби за адаптиране на прилагането на разпоредбите на настоящия регламент, inter alia общите условия, които определят законосъобразността на обработването от администратора, видовете данни, които подлежат на обработване, съответните субекти на данни; образуванията, пред които могат да бъдат разкривани лични данни, и целите, за които се разкриват; ограниченията по отношение на целите на разкриването; периодът на съхранение и операциите и процедурите за обработване, включително мерки за гарантиране на законосъобразното и добросъвестно обработване, като тези за други конкретни случаи на обработване съгласно предвиденото в глава IX. Правото на Съюза или правото на държавата членка се съобразява с обществения интерес и е пропорционално на преследваната легитимна цел.

4.   Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание:

6.

Член 15 от ОРЗД е озаглавен „Право на достъп на субекта на данните“ и предвижда:

„1.   Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

[…]

[…]“.

7.

Член 21 от ОРЗД е озаглавен „Право на възражение“ и гласи:

„1.   Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

[…]“.

8.

Съгласно член 22 от ОРЗД, който е озаглавен „Автоматизирано вземане на индивидуални решения, включително профилиране“:

„1.   Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.

2.   Параграф 1 не се прилага, ако решението:

3.   В случаите, посочени в параграф 2, букви а) и в), администраторът прилага подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните, най-малко правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.

4.   Решенията по параграф 2 не се основават на специалните категории лични данни, посочени в член 9, параграф 1, освен ако не се прилага член 9, параграф 2, буква а) или буква ж) и не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните“.

9.

Член 31 от Bundesdatenschutzgesetz (Федерален закон за защита на личните данни) от 30 юни 2017 г. ( 3 ), изменен със Закона от 20 ноември 2019 г. ( 4 ) (наричан по-нататък „BDSG“), е озаглавен „Защита на икономическия обмен при финансово оценяване и предоставяне на справки за кредитоспособността на лицата“ и предвижда:

„1)   Използването на вероятностна оценка за определено бъдещо поведение на физическо лице за целите на решението относно установяването, изпълняването или прекратяването на договорни отношения с това лице (финансово оценяване) се допуска само ако:

2)   Използването на определена от агенции за икономически справки вероятностна оценка за платежоспособността и готовността за плащане на дадено физическо лице, която включва и информация за вземания, се допуска само ако са налице условията по параграф 1 и само ако се вземат предвид единствено вземания във връзка с неизпълнени изискуеми задължения,

Това не засяга допустимостта на обработването на други релевантни за кредитоспособността данни, включително определянето на вероятностни оценки, съгласно общите правила за защита на данните“.

10.

От акта за преюдициално запитване е видно, че жалбоподателят в главното производство не е получил кредит поради изготвена от SCHUFA оценка на кредитоспособността. Последното е частноправно дружество, което предоставя услуги по събиране на финансова информация за кредитния статус и платежоспособността, като предоставя на клиентите си информация за кредитоспособността на потребителите. За тази цел SCHUFA изготвя оценки на кредитоспособността, при които въз основа на определени характеристики на дадено лице чрез математико-статистически метод изготвя прогноза относно вероятността за дадено бъдещо поведение, като например връщането на кредит.

11.

Жалбоподателят отправя искане до SCHUFA за изтриване на свързаните с него неточни данни и за предоставяне на достъп до съхраняваните за него данни. SCHUFA съобщава на жалбоподателя по-специално изчислената за него финансова оценка и на какъв принцип се изчислява, но не му съобщава тежестта на различните данни в изчислението. SCHUFA счита, че не е длъжно да разкрива методите си на изчисление, тъй като те представляват професионална и търговска тайна. Освен това то счита, че предоставя само информация на своите клиенти, които сами вземат решения относно договорите за кредит.

12.

Жалбоподателят подава пред ответника — длъжностно лице по защита на данните — жалба срещу доклада на SCHUFA, в която моли ответникът да разпореди на агенцията да предостави и да изтрие данни в съответствие с искането му. В решението си по жалбата HBDI приема, че не следва да се предприемат по-нататъшни действия срещу агенцията, тъй като тя спазва изискванията, уточнени в германския Федерален закон за защита на личните данни.

13.

Запитващата юрисдикция е сезирана с жалба на жалбоподателя срещу решението на ответника. Тя счита, че за да се произнесе по спора в главното производство, е от съществено значение да се установи дали дейността на доставчиците на услуги по събиране на финансова информация за кредитния статус и платежоспособността, при която последните изготвят финансови оценки относно лица и ги предават на трети лица без допълнителни препоръки или коментар, попада в приложното поле на член 22, параграф 1 от ОРЗД.

14.

Verwaltungsgericht Wiesbaden (Административен съд Висбаден) решава да спре производството и да постави на Съда следните преюдициални въпроси:

15.

Актът за преюдициално запитване от 1 октомври 2021 г. постъпва в секретариата на Съда на 15 октомври 2021 г.

16.

Страните в главното производство, SCHUFA, датското, португалското и финландското правителство, както и Европейската комисия представят писмени становища в определения в член 23 от Статута на Съда на Европейския съюз срок.

17.

В съдебното заседание от 26 януари 2023 г. процесуалните представители на страните в главното производство, на SCHUFA и представителите на германското и финландското правителство, както и на Комисията представят устни становища.

18.

Тъй като взаимното доверие е в основата на всяко договорно задължение в условията на пазарна икономика, от икономическа гледна точка по принцип е разбираемо, че доставчиците на услуги и стоки желаят да познават клиентите си, както и присъщите на такова договорно задължение рискове. Агенциите за икономически справки могат да допринесат за укрепването на това взаимно доверие чрез статистически методи, позволяващи на предприятията да установят дали в случая са изпълнени определени релевантни критерии, включително кредитоспособността на клиентите им. По този начин те помагат на предприятията да спазват различни разпоредби от правото на Съюза, което им налага именно такова задължение за определени категории договори, по-специално договорите за кредит ( 5 ). Някои от използваните методи могат да се основават на лични данни на клиентите, които се събират и обработват автоматизирано благодарение на информационните технологии. На този интерес се противопоставя интересът на субектите на данните да се запознаят с начина, по който се управляват и записват тези данни, и с методите, които предприятията следват, за да вземат решения по отношение на своите клиенти.

19.

ОРЗД, който е приложим от 25 май 2018 г., създава правна рамка, която има за цел да вземе предвид посочените по-горе интереси в целия Съюз, по-специално като налага определени ограничения при обработването на лични данни. Така, по отношение на автоматизирано обработване, което може да породи правни последствия за физическо лице или да го засегне в значителна степен, се прилагат специални ограничения. Тези ограничения са оправдани в контекста на профилиране, т.е. на оценка на лични аспекти, която има за цел да анализира или да прогнозира икономическото състояние, надеждността или поведението на дадено физическо лице. В този контекст следва да се отбележат посочените в член 22 от ОРЗД ограничения, относими към настоящото дело, които имат за цел да защитят човешкото достойнство, като не позволяват по отношение на субекта на данните да бъде взето решение единствено въз основа на автоматизирано обработване, без каквато и да е човешка намеса, която да е в състояние да провери, ако е необходимо, дали това решение е взето по правилен, справедлив и недискриминационен начин ( 6 ). Човешката намеса, която трябва да се предвиди в рамките на този вид автоматизирано обработване на данни, гарантира, че субектът на данните ще има възможност да изрази гледната си точка, да получи разяснения относно решението, взето след този вид оценка, и да я оспори в случай на несъгласие с това решение. Обхватът на посочените в член 22 от ОРЗД ограничения е именно предмет на първия преюдициален въпрос.

20.

Макар ОРЗД да създава цялостна регулаторна рамка относно защитата на личните данни, която по принцип е пълна, следва все пак да се отбележи, че някои разпоредби дават възможност на държавите членки да предвидят допълнителни, по-строги или дерогиращи национални правила, които им оставят свобода на преценка относно начина, по който тези разпоредби могат да бъдат прилагани („предпазни клаузи“), доколкото посочените правила не засягат съдържанието и целите на ОРЗД ( 7 ). Обхватът на това предоставено регулаторно правомощие на държавите членки е в центъра на втория преюдициален въпрос, който следва да се разгледа в настоящото заключение.

21.

HBDI и SCHUFA оспорват допустимостта на преюдициалното запитване. По този въпрос SCHUFA изтъква, че запитването не е нито необходимо за разрешаването на спора, нито достатъчно мотивирано. To давало второ средство за правна защита и противоречало на останалите преюдициални запитвания, които били отправени и впоследствие оттеглени от същата запитваща юрисдикция.

22.

Най-напред следва да се припомни, че съгласно постоянната практика на Съда, в рамките на установеното в член 267 ДФЕС сътрудничество между Съда и националните юрисдикции, само националният съд, който е сезиран със спора и трябва да поеме отговорността за последващото му съдебно решаване, може да прецени — предвид особеностите на делото — както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда. Следователно, след като поставените въпроси се отнасят до тълкуването или валидността на норма от правото на Съюза, Съдът по принцип е длъжен да се произнесе. От това следва, че въпросите относно правото на Съюза се ползват с презумпция за релевантност. Съдът може да откаже да се произнесе по отправеното от национална юрисдикция запитване, само ако е съвсем очевидно, че исканото тълкуване или исканата преценка на валидността на норма от правото на Съюза няма никаква връзка с действителността или с предмета на спора в главното производство, когато проблемът е от хипотетично естество или още когато Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на поставените му въпроси ( 8 ).

23.

Тези условия не са изпълнени в настоящия случай, тъй като от точка 40 от акта за преюдициално запитване ясно следва, че изходът на делото зависи от първия преюдициален въпрос. Запитващата юрисдикция пояснява, че ако член 22, параграф 1 от ОРЗД следва да се тълкува в смисъл, че изготвянето на финансова оценка от агенция за икономически справки е самостоятелно решение по смисъла на член 22, параграф 1 от ОРЗД, тази агенция — по-точно релевантната дейност на тази агенция — ще попада под забраната на автоматизираното вземане на индивидуални решения. Затова тази дейност ще се нуждае от правно основание в правото на държавата членка по смисъла на член 22, параграф 2, буква б) от ОРЗД, каквото в случая би могъл да е само член 31 от BDSG. Запитващата юрисдикция обаче изразява сериозни съмнения относно съвместимостта на тази национална разпоредба с член 22, параграф 1 от ОРЗД. Според запитващата юрисдикция SCHUFA би действалo не само без правно основание, но и в нарушение на установената в последната разпоредба забрана. Поради това жалбоподателят би имал право да иска от HBDI да извърши (по-нататъшна) надзорна проверка по неговия случай. При това положение е очевидно, че отговорът на поставените от запитващата юрисдикция въпроси е от решаващо значение за разрешаването на спора.

24.

SCHUFA изтъква също така, че преюдициалното запитване е недопустимо, тъй като жалбоподателят вече бил уведомен за логиката на финансовата оценка. От акта за преюдициално запитване обаче е видно, че жалбоподателят е искал да получи възможно най-подробна информация за всички събрани данни и за използвания метод за определяне на финансовата оценка. Доколкото SCHUFA е съобщилo на жалбоподателя в най-общи линии на какъв принцип се изчислява финансовата оценка, но не и коя конкретна информация с каква тежест е включена в изчислението, е очевидно, че SCHUFA не е удовлетворилo това искане за предоставяне на информация. Следователно жалбоподателят има законен интерес да се установят чрез преюдициално запитване правата на субекта на данните по отношение на агенция за икономически справки, каквато е SCHUFA.

25.

Що се отнася до твърдяната опасност да се предостави второ средство за правна защита на субекта на данните, следва да се отбележи, че противно на твърдяното от SCHUFA в становището му, фактът, че жалбоподателят първо е сезирал общите съдилища, а впоследствие е сезирал запитващата административна юрисдикция, не е пречка за допустимостта на преюдициалното запитване. С двете си жалби жалбоподателят е използвал способите за защита, предвидени в членове 78 и 79 от ОРЗД — разпоредби, които гарантират право на ефективна съдебна защита съответно срещу надзорния орган и срещу администратора на данните. Доколкото тези способи за правна защита съществуват едновременно и самостоятелно, без единият да бъде спомагателен спрямо другия, те могат да се упражняват успоредно ( 9 ). Следователно жалбоподателят не може да бъде упрекнат в допускането на каквато и да било нередност при защитата на неговите права, предвидени в ОРЗД.

26.

Освен това следва да се припомни, че съгласно постоянната практика на Съда, при липсата на правна уредба на Съюза в дадена област във вътрешния правен ред на всяка държава членка трябва да се посочат компетентните юрисдикции и да се определят процесуалните правила за съдебните производства, предназначени да гарантират защитата на правата, които правните субекти черпят от правото на Съюза ( 10 ). При това положение няма никаква обективна причина да се поставя под въпрос уредбата на способите за защита на държава членка, с изключение на случаите, в които ефективността на правото на Съюза би била застрашена, например ако националните юрисдикции бъдат лишени от възможността или са освободени от предвиденото в член 267 ДФЕС задължение да сезират Съда с въпроси относно тълкуването или валидността на правото на Съюза.

27.

В случая няма никакви данни, че съществуването на два способа за защита, които позволяват ефективна съдебна защита съответно срещу надзорния орган и администратора на данни, застрашава ефективността на правото на Съюза или лишава националните юрисдикции от възможността да използват предвидената в член 267 ДФЕС процедура. Напротив, както вече обясних, съгласно членове 78 и 79 от ОРЗД е очевидно, че ОРЗД допуска такъв режим на правна защита, като оставя по-скоро на държавата членка отговорността да посочи компетентните юрисдикции и да определи процесуалните правила за съдебните производства, в пълно съответствие с принципа на процесуалната автономия. Съдът признава това в неотдавнашната си практика ( 11 ).

28.

Накрая, следва да се отбележи, че SCHUFA оспорва само способите за правна защита, предоставени по силата на германското право, без обаче да обясни точно по какъв начин постановеното решение на Съда в настоящото преюдициално производство би било безполезно за разрешаването на спора. Както обаче посочва запитващата юрисдикция, тълкуването от Съда на член 22, параграф 1 от ОРЗД би позволило на ответника да упражни правомощията си за контрол върху SCHUFA в съответствие с правото на Съюза. Ето защо ми се струва, че доводите на SCHUFA, с които се оспорва допустимостта на преюдициалното запитване, са неоснователни.

29.

Тези съображения по принцип са достатъчни, за да се отхвърлят доводите на SCHUFA. В интерес на по-доброто разбиране на настоящото дело ми се струва все пак необходимо да разгледам довода, изведен от твърдяната липса на мотиви в преюдициалното запитване. Противно на твърдяното от SCHUFA, актът за преюдициално запитване излага достатъчно подробно предизвикателствата по настоящото дело, така че да изпълни изискванията на член 94, буква в) от Процедурния правилник на Съда. По-конкретно, запитващата юрисдикция обяснява, че жалбоподателят възнамерява да предяви правата си срещу SCHUFA. Според запитващата юрисдикция, освен ако се тълкува ограничително, член 22, параграф 1 от ОРЗД по принцип може да предостави на жалбоподателя защита при автоматизираното обработване на личните му данни.

30.

Запитващата юрисдикция счита, че предвид значението, което някои предприятия отдават на изготвената от агенция за икономически справки финансова оценка за целите на прогнозното оценяване на икономическите възможности на дадено физическо лице, тази финансова оценка би могла да се счита за самостоятелно „решение“ по смисъла на посочената по-горе разпоредба. Тълкуване в този смисъл би било необходимо, за да се запълни празнота в правото, която би произтекла от факта, че в противен случай субектът на данните не би бил в състояние да получи необходимата информация по силата на член 15, параграф 1, буква з) от ОРЗД. Предвид тези подробни мотиви считам, че следва да се отхвърлят доводите на SCHUFA и да се заключи, че преюдициалното запитване е допустимо.

31.

Член 22, параграф 1 от ОРЗД има особеност спрямо останалите съдържащи се в този регламент ограничения на обработването на данните, доколкото установява „право“ на субекта на данните да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране. Независимо от използваната терминология, прилагането на член 22, параграф 1 от ОРЗД не изисква субектът на данните да се позовава активно на това право. Всъщност тълкуването с оглед на съображение 71 от този регламент и като се вземе предвид структурата на тази разпоредба, по-специално параграф 2, който посочва случаите, в които такова автоматизирано обработване е по изключение разрешено, позволява по-скоро да се заключи, че посочената разпоредба установява обща забрана на този вид решения, описани по-горе. Като се има предвид това, следва да се подчертае, че тази забрана се прилага само при много специфични обстоятелства, а именно конкретно за решения, които „поражда[т] правни последствия за субекта на данните или по подобен начин го засяга[т] в значителна степен“.

32.

С първия си въпрос запитващата юрисдикция иска да се установи дали изготвянето на финансова оценка от агенция, която предоставя финансова информация за кредитния статус и платежоспособността, попада в обхвата на член 22, параграф 1 от ОРЗД, когато изготвената финансова оценка е предоставена на предприятие, което основава до голяма степен на тази оценка решението си относно установяването, изпълнението или прекратяването на договорни отношения със субекта на данните. С други думи, следва да се установи дали тази разпоредба се прилага за агенциите, предоставящи финансова информация за кредитния статус и платежоспособността, които изготвят финансови оценки за финансови предприятия. Разглеждането на този въпрос изисква да се установи дали посочените в член 22, параграф 1 от ОРЗД условия са изпълнени в настоящия случай.

33.

Тази разпоредба, първо, изисква наличието на автоматизирано обработване на лични данни, като „профилирането“ се счита за подкатегория, ако се съди по формулировката му ( 12 ). В това отношение следва да се отбележи, че извършваното от SCHUFA „финансово оценяване“ („scoring“) попада в обхвата на легалната дефиниция по член 4, точка 4 от ОРЗД, като се има предвид, че при тази дейност се използват лични данни, за да се оценят определени аспекти, свързани с физически лица, за анализиране или прогнозиране на аспекти, отнасящи се до тяхното икономическо състояние, надеждност и вероятното им поведение. Всъщност от преписката по делото е видно, че използваният от SCHUFA метод предоставя „финансова оценка“ въз основа на определени критерии, т.е. резултат, който позволява да се направят заключения относно кредитоспособността на субекта на данните. Накрая бих искал да подчертая, че нито една от заинтересованите страни не оспорва квалифицирането на разглежданата процедура като „профилиране“, така че това условие може да се счита за изпълнено в настоящия случай.

34.

Член 22, параграф 1 от ОРЗД изисква разглежданото решение да поражда „правни последствия“ по отношение на субекта на данните или „по подобен начин [да] го засяга в значителна степен“. Така ОРЗД признава, че автоматизираното вземане на решения, включващо профилиране, може да има тежки последици за субектите на данните. Макар ОРЗД да не дава определение на понятието „правни последствия“, нито на израза „по подобен начин […] в значителна степен“, използваната формулировка ясно показва, че тази разпоредба се отнася само до последиците със сериозно въздействие. В това отношение най-напред следва да се обърне внимание на факта, че в съображение 71 от ОРЗД изрично се посочва „автоматичен отказ на онлайн искания за кредит“ като типичен пример за решение, засягащо субекта на данните „в значителна степен“.

35.

По-нататък следва да се вземе предвид, от една страна, че доколкото разглеждането на искане за кредит представлява етап, който предхожда сключването на договор за кредит, отказът да се уважи такова искане, може да има „правни последствия“ за субекта на данните, тъй като той вече не може да встъпи в договорни отношения със съответната финансова институция. От друга страна, следва да се отбележи фактът, че такъв отказ може да има отражение и върху финансовото положение на субекта на данните. Ето защо логично е да се заключи, че този субект при всички положения ще бъде засегнат „по подобен начин“ по смисъла на тази разпоредба. Изглежда, че законодателят на Съюза е съзнавал това при редакцията на съображение 71 от ОРЗД, с оглед на което трябва да се тълкува член 22, параграф 1 от този регламент. Поради това считам, че като се има предвид положението, в което се намира жалбоподателят, условията на тази разпоредба са изпълнени в настоящия случай, независимо дали акцентът се поставя върху правните, или върху икономическите последици от отказа да се предостави кредит.

36.

Две допълнителни условия трябва да бъдат изпълнени. Първо, необходимо е по отношение на субекта на данните да бъде приет акт, който има характер на „решение“. Второ, въпросното решение трябва да се „основава[…] единствено на автоматизирано обработване“. Що се отнася до последното условие, нищо в изложението на фактите в акта за преюдициално запитване не показва, че освен прилаганата от SCHUFA математическа и статистическа процедура, финансовите оценки са изготвени до голяма степен чрез индивидуална оценка и преценка от човек. Следователно изготвянето на финансовата оценка като акт на SCHUFA трябва да се разглежда като „основаващ[…] се единствено на автоматизирано обработване“. Въпреки това не трябва да се забравя, че финансовата институция, на която SCHUFA съобщава финансовата оценка, би следвало да приеме предполагаем самостоятелен акт по отношение на субекта на данните, а именно да отпусне или да откаже отпускането на кредит. Така възниква въпросът кой от тези два акта може да се квалифицира като „решение“ по смисъла на член 22, параграф 1 от ОРЗД — въпрос, който ще бъде разгледан по-долу.

37.

Що се отнася до първото условие, най-напред е необходимо да се установи какво е правното естество на „решението“ и каква форма би следвало да има. От етимологична гледна точка това понятие предполага „становище“ или „вземане на позиция“ относно определено положение. То също така трябва да има „задължителен характер“, за да се разграничи от обикновените „препоръки“, които по принцип нямат никакви правни или фактически последици ( 13 ). Като се има предвид това, противно на твърденията на HBDI, аналогията с член 288, четвърта алинея ДФЕС не ми изглежда релевантна в настоящия контекст, още повече че тя не намира никакво основание в разпоредбите на ОРЗД.

38.

Липсата на легална дефиниция позволява да се заключи, че законодателят на Съюза е избрал широко понятие, което може да включва няколко акта, които могат да засегнат субекта на данните по няколко различни начина. Всъщност, както вече посочих, „решение“ по смисъла на член 22, параграф 1 от ОРЗД може или да има „правни последствия“, или да засегне субекта на данните „по подобен начин“, което означава, че разглежданото „решение“ може да има въздействие, което не е непременно правно, а по-скоро икономическо и социално. Като се има предвид, че член 22, параграф 1 от ОРЗД има за цел да защити физическите лица срещу потенциалните дискриминационни и несправедливи последици от автоматизираното обработване на данни, според мен се налага особена бдителност, която трябва да се прояви и при тълкуването на тази норма.

39.

Накрая, важно е да се подчертае, че доколкото актовете на частна финансова институция могат също да имат сериозни последици за независимостта и свободата на действие на субекта на данните в условията на пазарна икономика, по-специално когато става въпрос за удостоверяване на кредитоспособността на дадено лице, което иска да му бъде предоставен кредит ( 14 ), не виждам никаква обективна причина понятието „решение“ да се ограничи до строго публичната сфера, т.е. до отношенията между държавата и гражданина, както имплицитно предполага предложената от HBDI аналогия. Квалифицирането като „решение“ на позиция, взета по отношение на субекта на данните, ми се струва, че изисква преценка във всеки отделен случай, като се отчитат специфичните обстоятелства, както и тежестта на последиците за правния, икономическия и социалния статут на посочения субект ( 15 ).

40.

Въз основа на изложените в предходните точки критерии по-нататък следва да се определи кое е релевантното в настоящия случай „решение“. Както бе посочено по-горе, съществува, от една страна, актът, с който дадена банка приема или отказва да предостави кредит на заявителя, и от друга страна, финансовата оценка в резултат на процедурата по профилиране, осъществена от SCHUFA. Според мен на този въпрос е невъзможно да се даде категоричен отговор, тъй като квалификацията зависи от обстоятелствата във всеки конкретен случай. По-конкретно, начинът, по който е структурирана процедурата по вземане на решение, е от съществено значение. Обикновено тази процедура включва няколко етапа, като профилиране, изготвяне на финансова оценка и самото решение за предоставяне на кредит.

41.

Струва ми се очевидно, че макар финансовата институция да може да поеме тази процедура, нищо не ѝ пречи да делегира чрез договор определени задачи на агенция за икономически справки, като например профилирането и финансовото оценяване (scoring). Всъщност член 22, параграф 1 от ОРЗД изобщо не изисква тези задачи да се изпълняват от един или няколко органа. При все това евентуалното делегиране на определени правомощия на външен доставчик на услуги според мен не играе съществена роля в анализа, тъй като подобно делегиране по принцип се подчинява на икономически и организационни съображения, които могат да са различни във всеки отделен случай.

42.

За сметка на това въпросът, който според мен играе ключова роля, е дали процедурата по вземане на решение е замислена по такъв начин, че изготвеното от агенцията за икономически справки финансово оценяване (scoring) предопределя решението на финансовата институция да предостави или да откаже предоставянето на кредит. Ако финансовото оценяване (scoring) трябва да се осъществи без никаква човешка намеса, която евентуално да може да провери неговия резултат и правилността на решението, което трябва да се вземе по отношение на лицето, което иска да му бъде предоставен кредит, изглежда логично да се приеме, че самото финансово оценяване представлява „решение“ по член 22, параграф 1 от ОРЗД.

43.

Да се приеме обратното, защото решението за предоставяне или за отказ да бъде предоставен кредит, формално принадлежи на финансовата институция, би било не само прекален формализъм, но и изобщо не би отчело конкретните обстоятелства в такъв случай. Това изглежда още по-вярно, тъй като член 22, параграф 1 от ОРЗД не изисква по никакъв начин „решението“ да има някаква конкретна форма. Решаващият фактор е ефектът, който „решението“ има върху субекта на данните. Тъй като сама по себе си отрицателна финансова оценка може да доведе до неблагоприятни последици за субекта на данните, а именно да го ограничи значително при упражняването на свободите му и дори да го стигматизира в обществото, изглежда оправдано тя да бъде квалифицирана като „решение“ по смисъла на цитираната по-горе разпоредба, когато финансовата институция ѝ придава първостепенно значение в процедурата по вземане на решение ( 16 ). Всъщност при такива обстоятелства лицето, което желае да му бъде предоставен кредит, е засегнато още на етапа на оценяване на кредитоспособността му от агенцията за икономически справки, а не само на последния етап на отказа на предоставянето на кредит, при който финансовата институция само прилага резултата от тази оценка към конкретния случай ( 17 ).

44.

Като се има предвид, първо, че член 22, параграф 1 от ОРЗД изисква разглежданото решение да се основава „единствено“ на автоматизирано обработване ( 18 ), и второ, че текстът на дадена разпоредба по принцип представлява границата на всяко тълкуване, изглежда необходимо автоматизираното обработване да остане единствения елемент, който обосновава подхода на финансовата институция към лицето, което желае да му бъде предоставен кредит. Такъв би бил случаят, ако в рамките на процедурата е налице човешка намеса, без обаче тя да е в състояние да повлияе на причинно-следствената връзка между автоматизираното обработване и окончателното решение. Агенцията за икономически справки би трябвало да вземе de facto окончателното решение за финансовата институция. Това зависи от вътрешните правила и практики на съответната финансова институция, които по принцип не трябва да ѝ оставят никаква свобода на действие относно прилагането на финансовата оценка към искането за предоставяне на кредит.

45.

По същество това е фактически въпрос, който според мен може да бъде преценен най-добре от националните юрисдикции. Ето защо предлагам да се предостави на запитващата юрисдикция задачата сама да установи доколко финансовата институция по принцип е обвързана от финансовото оценяване (scoring), извършено от агенция за икономически справки като SCHUFA, като вземе предвид посочените по-горе критерии ( 19 ). Ще се основа на съдържащата се в акта за преюдициално запитване информация, за да дам полезен отговор на националния съд по настоящото дело.

46.

В това отношение държа най-напред да отбележа, че според запитващата юрисдикция, макар по принцип на този етап от процеса по вземане на решение да е все още възможна човешка намеса, решението за установяване на договорни отношения със субекта на данните „на практика […] се определя в дотолкова голяма степен от съобщаваната от агенциите за икономически справки финансова оценка, че тя […] се възпроизвежда в решението на третото лице администратор“. Според запитващата юрисдикция „дали и как третото лице администратор ще сключи договор със субекта на данните, всъщност в крайна сметка зависи от финансовата оценка, която агенцията за икономически справки изготвя именно въз основа на автоматизирано обработване“. Запитващата юрисдикция обяснява също, че макар третото лице администратор да не трябва да взема решението си единствено в зависимост от финансовата оценка, това не променя факта, че то „най-често прави именно това“. Тя добавя, че „кредит може да бъде отказан и при наличието на достатъчна по принцип финансова оценка (по други причини, например поради липса на обезпечение или поради съмнения в успеха на финансираната инвестиция), но когато става дума за потребителски кредити, недостатъчната финансова оценка в почти всички случаи води до отказ за предоставяне на кредит, тоест дори когато инвестицията например изглежда изгодна“. Накрая, тази юрисдикция посочва, че „[о]питът на надзорните органи за защита на данните показва, че финансовите оценки имат решаваща роля при предоставянето на кредити и оформянето на техните условия“.

47.

Струва ми се, че изложените по-горе съображения сочат — при зачитане на преценката на фактите, която трябва да извърши всяка национална юрисдикция във всеки конкретен случай — че финансовата оценка, изготвена от агенция за икономически справки и съобщена на финансова институция, по принцип има насоченост да предопредели решението на последната относно предоставянето или отказа да бъде предоставен кредит на субекта на данните, така че това вземане на становище следва да се разглежда като имащо само чисто формален характер в рамките на процедурата по вземане на решение ( 20 ). От това следва, че самата финансова оценка трябва да се разглежда като имаща качеството на „решение“ по смисъла на член 22, параграф 1 от ОРЗД.

48.

Подобен извод ми се струва разумен, тъй като всяко друго тълкуване би поставило под въпрос целта, която законодателят на Съюза преследва с тази разпоредба, за да защити правата на субектите на данните. Както запитващата юрисдикция правилно посочва, един стриктен прочит на член 22, параграф 1 на ОРЗД би довел до празнота в съдебната защита: агенцията за икономически справки, от която може да бъде получена необходимата на субекта на данните информация, не е длъжна да я предостави съгласно член 15, параграф 1, буква з) от ОРЗД, тъй като се смята, че тя не провежда свой самостоятелен процес на „автоматизирано вземане на решения“ по смисъла на тази разпоредба, а финансовата институция, която основава решението си на автоматично изготвената финансова оценка и която съгласно член 15, параграф 1, буква з) от ОРЗД е длъжна да предостави необходимата информация, не може да я предостави, тъй като не разполага с нея.

49.

Следователно финансовата институция не би била в състояние да контролира оценката на кредитоспособността на лицето, което желае да му бъде предоставен кредит, в случай на оспорване на решението, както изисква член 22, параграф 3 от ОРЗД, или да осигури добросъвестно, прозрачно и недискриминационно обработване чрез подходящи математически или статистически процедури, както и чрез подходящи технически и организационни мерки, както изисква съображение 71, шесто изречение от ОРЗД ( 21 ). За да се избегне подобно положение, което явно би противоречало на посочената в предходната точка законодателна цел, предлагам тълкуване на член 22, параграф 1 от ОРЗД, което отчита действителното въздействие на финансовото оценяване (scoring) върху положението на субекта на данните.

50.

Подобен подход ми изглежда логичен, тъй като по принцип агенцията за икономически справки би трябвало да бъде единственото образувание, което може да отговори на други искания на субекта на данните, основани на също гарантирани от ОРЗД права, а именно посоченото в член 16 от ОРЗД право на коригиране, в случай че използваните за извършването на финансовото оценяване (scoring) лични данни се окажат неточни, както и посоченото в член 17 от ОРЗД право на изтриване, в случай че посочените данни са били обработвани незаконосъобразно. Доколкото финансовата институция по принцип не участва нито в събирането на тези данни, нито в профилирането, когато тези задачи са делегирани на трето лице, разумно е да се изключи възможността тя да бъде в състояние ефективно да осигури спазването на посочените права. Субектът на данните обаче не трябва да бъде задължен да понася неблагоприятните последици от такова делегиране на задачи.

51.

Да се държи отговорна агенцията за икономически справки поради изготвянето на финансовата оценка — а не поради последващото ѝ използване — ми изглежда най-ефективният начин да се осигури защита на основните права на субекта на данните, а именно на правото на защита на личните данни, посочено в член 8 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“), но и на правото на зачитане на личния му живот, посочено в член 7 от Хартата, тъй като в крайна сметка тази дейност е „източникът“ на всяка евентуална вреда. Предвид риска извършената от агенцията за икономически справки финансова оценка да бъде използвана от множество финансови институции, изглежда разумно да се позволи на субекта на данните да предяви правата си директно към нея.

52.

Поради изложените по-горе съображения считам, че условията по член 22, параграф 1 от ОРЗД са изпълнени, така че тази разпоредба е приложима към обстоятелства като тези в главното производство.

53.

В този контекст не може да не се подчертае достатъчно значението на пълното спазване от страна на администратора на задълженията му за информиране на субекта на данните. Съгласно член 15, параграф 1, буква з) от ОРЗД последният има право да получи от администратора не само потвърждение дали се обработват или не лични данни, свързани с него, но и друга информация, като съществуването на автоматизирано вземане на решения, включително профилирането, по смисъла на член 22 от ОРЗД, съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

54.

Тъй като SCHUFA отказва да разкрие на жалбоподателя определена информация относно метода на изчисление, с мотива, че тя представлява търговска тайна, изглежда уместно да се уточни обхватът на правото на информация, посочено в член 15, параграф 1, буква з) от ОРЗД, по-специално що се отнася до задължението да се предостави „съществена информация относно използваната логика“. Според мен тази разпоредба трябва да се тълкува в смисъл, че по принцип обхваща и метода за изчисляване, използван от дадена агенция за икономически справки за целите на изготвянето на финансовата оценка, при условие че не са налице подлежащи на закрила конфликтни интереси. В това отношение следва да се посочи съображение 63 от ОРЗД, от което по-специално следва, че „право на достъп до личните данни […] не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера“ (курсивът е мой).

55.

Редица изводи могат да бъдат направени въз основа на тълкуване на член 15, параграф 1, буква з) от ОРЗД във връзка със съображения 58 и 63 от този регламент. Първо, очевидно е, че законодателят на Съюза е бил напълно наясно с конфликта, който може да възникне между, от една страна, гарантираното с член 8 от Хартата право на защита на личните данни и от друга страна, правото на защита на интелектуалната собственост, посочено в член 17, параграф 2 от Хартата. Второ, ясно е, че той не е възнамерявал да пожертва едно основно право за сметка на друго. Напротив, по-задълбочен анализ на разпоредбите на ОРЗД позволява да се заключи, че той е искал да осигури справедлив баланс между правата и отговорностите.

56.

Призивът на законодателя на Съюза в съображение 63 от ОРЗД, в което се посочва, че „[т]ези съображения […] не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни“ ( 22 ), според мен означава, че минимален обем от информация трябва във всички случаи да бъде предоставен, за да не се компрометира основното съдържание на правото на защита на личните данни. От това следва, че макар защитата на търговската тайна или на интелектуалната собственост да представлява по принцип за дадена агенция за икономически справки легитимно основание да откаже да разкрие алгоритъма, използван за изчисляване на финансовата оценка на субекта на данните, то за сметка на това тя по никакъв начин не може да обоснове абсолютен отказ на информация. Това важи още повече, когато съществуват подходящи средства за комуникация, които улесняват разбирането, като същевременно гарантират определена степен на поверителност.

57.

Член 12, параграф 1 от ОРЗД, по силата на който „администраторът предприема необходимите мерки за предоставяне на всякаква информация [по член 15], която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език“ ( 23 ), ми се струва особено релевантен в този контекст. Тази разпоредба подкрепя изложените по-горе съображения, доколкото от нея следва, че действителната цел на член 15, параграф 1, буква з) от ОРЗД е да гарантира, че субектът на данните получава информация по разбираем и достъпен начин в съответствие с нуждите си. Според мен тези изисквания вече изключват евентуално задължение за разкриване на алгоритъма, като се има предвид неговата сложност. Всъщност ползата от съобщаването на една особено сложна формула би била съмнителна, без да се предоставят във връзка с това необходимите разяснения. В това отношение следва да се обърне внимание на съображение 58 от ОРЗД, от което следва, че спазването на посочените по-горе изисквания е особено важно „за ситуации, където […] технологичната сложност на тази практика прав[и] трудно за субекта на данни да узнае и разбере дали се събират свързани с него лични данни, от кого и с каква цел“ ( 24 ).

58.

Поради изложените причини считам, че задължението за предоставяне на „съществена информация относно използваната логика“ трябва да се разбира в смисъл, че включва достатъчно подробни разяснения относно използвания метод за изчисляване на финансовата оценка и причините, които са довели до определен резултат. По принцип администраторът трябва да предостави на субекта на данните обобщена информация, по-специално относно факторите, които са взети предвид при процеса на вземане на решение, и съответната им значимост на обобщено равнище, която информация е и съществена за оспорването на всяко „решение“ по смисъла на член 22, параграф 1 от ОРЗД ( 25 ).

59.

С оглед на изложените по-горе съображения считам, че член 22, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че още самото автоматизирано изготвяне на вероятностна оценка за възможностите на субекта на данните да обслужва кредит в бъдеще, представлява решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен, при положение че администраторът съобщава на трето лице администратор оценката, която е определил с помощта на личните данни на субекта, и в съответствие с установена практика това трето лице основава до голяма степен на тази оценка решението си относно установяването, изпълняването или прекратяването на договорни отношения със субекта на данните.

60.

Въпреки че вторият въпрос е поставен само в случай че отговорът на първия въпрос е отрицателен, струва ми се, че той е релевантен и ако Съдът стигне до извода, че финансовото оценяване (scoring) попада в обхвата на прогласената в член 22, параграф 1 от ОРЗД забрана за автоматизирано вземане на решения. В такъв случай, както правилно посочва финландското правителство, би било необходимо да се разгледа дали по силата на член 22, параграф 2, буква б) от ОРЗД може да се направи изключение от тази забрана. Съгласно тази разпоредба забраната не се прилага, „ако решението […] е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора“.

61.

Тази разпоредба съдържа изрична регулаторна свобода на действие, когато посоченото в нея автоматизирано профилиране се основава на правото на Съюза или на правото на държава членка. Ако се основава на правото на държава членка, националният закон трябва да предвижда конкретни гаранции за субекта на данните. Тогава Съдът би трябвало да определи дали такова „разрешение“ може да бъде изведено от самия член 6 от ОРЗД или от национална разпоредба, приета на предвидено в него правно основание. Струва ми се, че последната хипотеза изисква задълбочен анализ, тъй като запитващата юрисдикция иска да се установи съответствието на член 31 от BDSG с членове 6 и 22 от ОРЗД, което изисква членове 6 и 22 от ОРЗД да могат да представляват подходящи правни основания.

62.

Националната юрисдикция обаче изразява съмнения в това отношение, тъй като според нея нито една от посочените в членове 6 и 22 от ОРЗД разпоредби не би могла да послужи като правно основание за приемането на национална разпоредба като посочената в член 31 от BDSG, която установява определени правила за финансовото оценяване (scoring). Това поставя въпроса дали националният законодател е приложил правилно разпоредбите на ОРЗД, които му дават свобода на действие да установи национални правила за обработването на лични данни съгласно ОРЗД и дори при определени обстоятелства да се отклони от тях. Отговорът на този въпрос се оказва сложен, тъй като германският законодател не посочва никаква предпазна клауза в изложението на мотивите на закона ( 26 ). Той обаче е още по-релевантен, доколкото в член 31, параграф 1, точка 1 от BDSG изрично се посочва, че финансовото оценяване (scoring)„се допуска само ако са спазени разпоредбите на правото в областта на защитата на данните“ (курсивът е мой). Както ще изложа по-долу, редица доводи ме навеждат да дам отрицателен отговор на този въпрос.

63.

В самото начало следва да се спомене разпоредбата на член 22, параграф 2, буква б) от ОРЗД, която предоставя на държавите членки правомощието да разрешават вземането на решения, основаващи се единствено на автоматизирано обработване на данни, включващо профилиране, и на която следователно може да се направи позоваване като правно основание. Следва обаче да се отбележи, че този параграф 2 не намира приложение, ако Съдът приеме, че финансовото оценяване (scoring) не попада в обхвата на установената в член 22, параграф 1 забрана. Всъщност, както ясно следва от текста и от общата структура на член 22 от ОРЗД, прилагането на параграф 2 предполага, че условията на параграф 1 са изпълнени. Следователно е очевидно, че прилагането на член 22, параграф 2, буква б) от ОРЗД трябва да се изключи, ако на първия въпрос се даде отрицателен отговор.

64.

За пълнота и предвид предложения от мен утвърдителен отговор на първия въпрос, считам за необходимо да се разгледа приложимостта на тази разпоредба, в случай че Съдът на свой ред приеме, че финансовото оценяване (scoring), извършено от агенция за икономически справки, представлява „решение“ по смисъла на член 22, параграф 1. Дори в този случай обаче остават съмнения относно годността на член 22, параграф 2, буква б) от този регламент да служи като правно основание, поради редица причини.

65.

Първо, следва да се припомни, че член 22 от ОРЗД се отнася само до решенията, взети „единствено“ въз основа на автоматизирано обработване на данни, докато според запитващата юрисдикция член 31 от BDSG съдържа без разлика правила, които се прилагат и за неавтоматизираните решения, като същевременно урежда законосъобразността на използването на обработените с цел финансово оценяване данни. С други думи, член 31 от BDSG има много по-широко приложно поле ratione materiae от това на член 22 от ОРЗД ( 27 ). Поради това е съмнително дали член 22, параграф 2, буква б) от ОРЗД може да служи за правно основание.

66.

Второ, следва да се отбележи, както посочва запитващата юрисдикция, че член 31 от BDSG регламентира „използването“ на вероятностна оценка от икономически оператори, но не и „изготвянето“ на тази оценка от агенциите за икономически справки — аспект, който все пак е предмет на първия преюдициален въпрос. Извод за това може да се направи и от изявленията на германското правителство в хода на съдебното заседание. Както подробно обясних при разглеждането на този въпрос, член 22, параграф 1 от ОРЗД се прилага и на етапа на „изготвянето“ на финансовата оценка, а не само на етапа на нейното „използване“ от финансова институция, при условие че са изпълнени определени условия ( 28 ). С други думи, член 31 от BDSG, изглежда, има за цел да регулира положение, различно от това, което попада в приложното поле ratione materiae на член 22 от ОРЗД, което запитващата юрисдикция следва да потвърди. С оглед на изложените по-горе съображения считам, че член 22, параграф 2, буква б) от ОРЗД трябва да бъде изключен като правно основание за приемането на национална законодателна мярка като посочената в член 31 от BDSG.

67.

Съгласно член 6, параграф 1 от ОРЗД обработването на лични данни е законосъобразно само ако е изпълнено условието, свързано с някое от изброените в него основания. Както Съдът вече е постановил, става въпрос за изчерпателен списък на случаите, в които такова обработване може да се счита за законосъобразно ( 29 ). При това положение, за да може да се счита за легитимно, изготвянето на финансова оценка от агенция за икономически справки трябва да попада в някой от предвидените в тази разпоредба случаи.

68.

В случай като разглеждания в главното производство по принцип биха могли да намерят приложение букви б), в) и е) от член 6, параграф 1 от ОРЗД. Съгласно параграф 2 от този член държавите членки могат да запазят или въведат по-конкретни разпоредби, за да адаптират прилагането на правилата на ОРЗД. Следва обаче да се уточни, че тази разпоредба се прилага само за да се спази параграф 1, точки в) и д). Също така член 6, параграф 3 от ОРЗД посочва, че основанието за обработването е установено от правото на държавата членка, което се прилага спрямо администратора, доколкото обработването се отнася до посочените в параграф 1, букви в) и д) случаи.

69.

От това следва, че държавите членки могат да приемат по-специфични правила, когато обработването е „необходимо за спазването на законово задължение, което се прилага спрямо администратора“, или е „необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора“. Тези условия очертават стриктно регулаторните правомощия на държавите членки, като по този начин изключват произволното използване на предвидените в ОРЗД предпазни клаузи, което може да осуети постигането на целта за хармонизиране на правото в областта на защитата на личните данни.

70.

Освен това в този контекст следва да се отбележи, че доколкото някои от тези клаузи използват присъща на ОРЗД терминология, без да предвиждат изрично препращане към правото на държавите членки, използваните термини трябва да бъдат предмет на самостоятелно и еднакво тълкуване ( 30 ). На тази основа следва по-нататък да се провери дали правната уредба по член 31 от BDSG попада в обхвата на едно от основанията, изброени в член 6, параграф 1 от ОРЗД.

71.

Що се отнася до буква б), от тази разпоредба следва, че обработването е законосъобразно само ако и доколкото е необходимо за „изпълнението на договор, по който субектът на данните е страна“, или за „предприемане на стъпки по искане на субекта на данните преди сключването на договор“. Във връзка с това следва да се отбележи фактът, че услугите на агенции за икономически справки се използват само в изключителни случаи на етапа на изпълнението на договор. Най-важният етап е преддоговорният етап, по време на който обикновено се получава справка за кредитоспособността. Струва ми се, че отправянето на искане за предоставяне на справки от агенция за икономически справки с цел проверка на кредитоспособността е разрешено на основание на тази разпоредба ( 31 ). Следва обаче да се уточни, че тази разпоредба обхваща само разрешението за проверки на кредитоспособността от потенциални договорни партньори, кредитори и/или доставчици на правни услуги и по този начин създава предварителните условия за законосъобразното събиране на данни от агенциите за икономически справки. За сметка на това тази разпоредба сама по себе си не ми изглежда достатъчна, за да послужи като правно основание за легитимирането на дейността на дадена агенция за икономически справки като цяло ( 32 ).

72.

Освен това е важно да се припомни, че макар член 6, параграф 1, буква б) от ОРЗД да кодифицира основание за законосъобразност на обработването на лични данни, той не се отнася до нито една от хипотезите, предвидени в параграфи 2 и 3, съгласно които държавите членки разполагат с регулаторни правомощия. От това следва, че доколкото член 6 от ОРЗД изброява изчерпателно тези хипотези, национална разпоредба като посочената в член 31 от BDSG не може да бъде приета само на основание член 6, параграф 1, буква б) от ОРЗД.

73.

Основанието по член 6, параграф 1, буква в) от ОРЗД се отнася до обработване, основано на „законово задължение“, което се прилага спрямо администратора. Това предполага изисквания, наложени от самата държава. Тази разпоредба обаче не включва задълженията, произтичащи от гражданскоправни договори, например договор между финансова институция и агенция за икономически справки. Въпреки това финансовите институции, които трябва да се уверят в кредитоспособността на клиентите си по силата на наложените им от националното право задължения, могат да се позоват на това правно основание за целите на съответните искания за предоставяне на справки, така че да се гарантира от гледна точка на агенцията за икономически справки пълната законосъобразност на подобни искания. За сметка на това „изготвянето“ на финансова оценка от агенцията за икономически справки не може да се счита за мярка, взета при изпълнението на наложено ѝ „законово задължение“, като се има предвид, че такова задължение, изглежда, не съществува по националното право. Ето защо следва да се приеме, че тази буква в) не може да бъде валидно изтъкната като правно основание, за да се счита дейността по финансово оценяване за законосъобразно обработване на данни.

74.

На следващо място, възниква въпросът дали член 6, параграф 1, буква д) от ОРЗД може да се изтъкне като правно основание за приемането на член 31 от BDSG. Такъв би бил случаят, ако обработването е „необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора“. От една страна, би могло да се поддържа, както е видно от законодателната цел на член 31 от BDSG, отразена в заглавието на тази национална разпоредба („Защита на икономическия обмен при финансово оценяване и предоставяне на справки за кредитоспособността на лицата“), и от подготвителните работи ( 33 ), че агенциите за икономически справки допринасят за доброто функциониране на икономиката на дадена страна ( 34 ).

75.

Всъщност, доколкото тези агенции предоставят на разположение справки за кредитоспособността на определени лица, те допринасят за защитата на потребителите, като избягват риска от свръхзадлъжнялост ( 35 ), но също и за защитата на предприятията, които им продават стоки или им предоставят кредити. Тези агенции осигуряват стабилността на финансовата система, като възпрепятстват възможността кредити да бъдат отпускани безотговорно на кредитополучатели, при които има повишен риск от неплатежоспособност ( 36 ). Без надеждна система за кредитна оценка голяма част от населението на практика не би имала възможност да получава кредити, поради неизчислимите рискове, икономическият обмен в информационната ера би бил значително по-труден, а опитите за измама биха останали незабелязани. От тази гледна точка е възможно да се приемат мотивите, които явно са накарали германския законодател да приеме член 31 от BDSG.

76.

Освен това, макар да е известно, че частноправни юридически лица могат да действат в обществен интерес, според мен е очевидно, че какъвто и да е „легитимен интерес“ не би могъл да обоснове прилагането на член 6, параграф 1, буква д) от ОРЗД. Връзката с „упражняването на официални правомощия“ и със съображения 45, 55 и 56 от ОРЗД по-скоро показват, че тази разпоредба визира, на първо място, публичните органи в тесен смисъл, както и юридическите лица, които упражняват публична власт, и на второ място, юридическите лица на частното право, които осъществяват обработване за целите на обществените услуги, например в областта на „общественото здраве“, „социалната закрила“ и „управлението на здравните служби“, изрично посочени в съображение 45. С други думи, тази разпоредба касае класическите задачи на държавата.

77.

Също така следва да се отбележи, че в съображения 55 и 56 се посочват „официално признати[те] религиозни сдружения“, както и „политическите партии“, тоест организации, които съгласно критериите на законодателя на Съюза извършват дейности в обществен интерес и за тази цел извършват обработване на лични данни. С оглед на тази констатация е съмнително дали тази разпоредба би могла да включва и дейностите на агенциите за икономически справки, включително финансовото оценяване (scoring). Подобно тълкуване значително би разширило приложното поле на тази разпоредба и би направило особено трудно определянето на границите на тази предпазна клауза ( 37 ).

78.

Освен изложените съображения, в този контекст следва да се отбележи, че макар член 31 от BDSG да цели да защити икономическия обмен, в тази разпоредба не се упоменава никаква конкретна задача на посочените агенции ( 38 ). Както вече посочих в настоящото заключение, като се основавам на направените от запитващата юрисдикция уточнения относно националната правна уредба, тази разпоредба се отнася до „използването“ на финансовата оценка от икономически оператори, а не до „изготвянето“ ѝ от агенциите за икономически справки ( 39 ). Именно законосъобразността на тази дейност обаче е в основата на спора по главното производство. Поради изложените по-горе съображения считам, че член 6, параграф 1, буква д) от ОРЗД не може да послужи за правно основание.

79.

На следващо място, трябва да се провери дали тази дейност попада в приложното поле на член 6, параграф 1, буква е) от ОРЗД. Според практиката на Съда ( 40 ) въпросната разпоредба предвижда три кумулативни условия, за да бъде обработването на лични данни законосъобразно, а именно, първо, администраторът или третото лице, или третите лица, на които се съобщават данните, да преследват легитимни интереси, второ, обработването на личните данни да е необходимо за целите на преследваните легитимни интереси и трето, основните права и свободи на лицето, ползващо се от защитата на данните, да нямат преимущество.

80.

Най-напред, що се отнася до условието да се преследват „легитимни интереси“, държа да припомня, че ОРЗД и съдебната практика признават широк кръг от интереси за легитимни ( 41 ), като същевременно уточняват, че в съответствие с член 13, параграф 1, буква г) от ОРЗД администраторът трябва да посочи легитимните интереси, които се преследват в рамките на член 6, параграф 1, буква е) от ОРЗД. Както вече посочих в настоящото заключение, законодателната цел на член 31 от BDSG е да се гарантира законосъобразността на извършваните от агенциите за икономически справки дейности, като се има предвид, че според германския законодател последните допринасят за правилното функциониране на икономиката на страната ( 42 ). Доколкото тези дейности гарантират защитата на различните икономически оператори от присъщите на неплатежоспособността рискове с тежки последици за стабилността на финансовата система, на този етап от анализа може да се приеме, че посочената по-горе национална разпоредба преследва икономическа цел, която може да представлява „легитимен интерес“ по смисъла на член 6, параграф 1, буква е) от ОРЗД.

81.

Що се отнася, по-нататък, до условието обработването на личните данни да е необходимо за реализирането на преследвания легитимен интерес, според практиката на Съда дерогации и ограничения на принципа за защита на личните данни се предвиждат само доколкото това е строго необходимо ( 43 ). Следователно при липсата на алтернативи, които зачитат защитата на личните данни в по-голяма степен, е необходимо да е налице тясна връзка между обработването и преследвания интерес, защото не е достатъчно обработването да е просто от полза за администратора. В това отношение следва да се отбележи, че макар запитващата юрисдикция да изразява известни съмнения относно законосъобразността на дейността по финансово оценяване (scoring) с оглед на разпоредбите на ОРЗД, тя не дава никаква информация, която да навежда на мисълта за евентуалното наличие на алтернативни мерки, които зачитат в по-голяма степен защитата на личните данни. При липсата на информация за обратното съм склонен да приема, че съществува известна свобода на действие при избора на подходящи мерки за постигане на преследваната цел.

82.

Накрая, що се отнася до претеглянето, от една страна, на интересите на администратора, и от друга — на интересите или на основните права и свободи на субекта на данните, следва да се отбележи, че претеглянето на различните засегнати интереси в случая е направено по законодателен път. С приемането на член 31 от BDSG германският законодател е дал предимство на икономическите интереси пред правото на защита на личните данни. Такъв подход обаче би бил възможен само ако член 6, параграф 1, буква е) от ОРЗД предвиждаше клауза, която позволява на държавите членки да запазят или въведат по-конкретни разпоредби, за да адаптират правилата на регламента по отношение на обработването. Случаят обаче не е такъв, както ще обясня по-нататък.

83.

Както ясно следва от текста на член 6, параграфи 2 и 3 от ОРЗД, запазването или въвеждането на по-конкретни разпоредби се разрешава само в хипотезите, посочени в букви в) и д) от параграф 1. Анализът по-горе показва, че член 31 BDSG не се отнася до никакво обстоятелство, което може да попадне в обхвата на посочените хипотези, което логично изключва възможността за позоваване като правно основание на член 6, параграфи 2 и 3 от ОРЗД. Прилагането в посочената в буква е) хипотеза би нарушило не само текста на тези разпоредби, но би било в противоречие с волята на законодателя на Съюза, както следва от генезиса на посочените разпоредби.

84.

В това отношение държа да припомня, че по силата на член 5 от Директива 95/46/ЕС ( 44 )— правния акт, който предшества ОРЗД — държавите членки са били длъжни да „определят по-точно условията, при които обработването на данни е законно“. Съдът е тълкувал тази разпоредба, като е стигнал до извода, че няма пречка при упражняването на предвидената в член 5 от Директива 95/46 свобода на преценка държавите членки да установяват „ръководни принципи“ за претеглянето на интересите, необходимо съгласно член 7, буква е) от тази директива, който съответства на член 6, параграф 1, буква е) от ОРЗД. Важно е обаче да се отбележи, че ОРЗД вече не предоставя такова правомощие на държавите членки. Всъщност липсата на еквивалентна разпоредба в ОРЗД означава, че държавите членки вече не могат да установяват ръководни принципи в националното си право, за да уточнят „легитимния интерес“ по смисъла на член 6, параграф 1, буква е) от регламента ( 45 ).

85.

Позоваването на разпоредбите, „свързани с особени ситуации на обработване“, в глава IX, съдържащо се в параграфи 2 и 3, не води до разширяване на приложното поле на член 6 от ОРЗД. Става въпрос по-скоро за препращане към разпоредби, които разрешават на държавите членки да приемат по-конкретни правила в определени области, а именно когато обработването е необходимо за спазването на „законово задължение“ по смисъла на параграф 1, буква в) или за изпълнението на „задача от обществен интерес“ или при упражняването на „официални правомощия“ в хипотезата по буква д) от този параграф ( 46 ). Както вече посочих по-горе обаче, тези области нямат никаква връзка с обстоятелствата, при които се прилага член 31 от BDSG.

86.

В този контекст следва също да се припомни, че макар предложението за регламент на Комисията да ѝ предоставя компетентност да „приема делегирани актове с цел допълнително уточняване на условията, посочени в член 6, параграф 1, буква е), за различните сектори и ситуации на обработване на данни, включително по отношение на обработването на лични данни на дете“, това предложение не е прието от законодателя на Съюза. Анализът на развитието на текста показва, че регулаторните правомощия на държавите членки са били намалени в интерес на по-задълбочената хармонизация, за да се осигури последователно и еднородно прилагане на правилата в областта на защитата на личните данни, както се потвърждава и от съображения 3, 9 и 10 от ОРЗД ( 47 ). Това обстоятелство трябва да се вземе предвид при тълкуването на член 6 от ОРЗД.

87.

Накрая, считам за необходимо да отбележа, че дори в хипотезата, при която член 6, параграф 1, буква е) от ОРЗД е приложим, национална разпоредба като член 31 от BDSG не може да се счита, че е в съответствие с правото на Съюза. Държа да припомня, че Съдът е тълкувал член 7, буква е) от Директива 95/46 в смисъл, че „[д]ържава членка не може да определи за [някои категории лични данни] окончателно резултата от претеглянето на противоположните права и интереси, без да допуска различен резултат в зависимост от обстоятелствата на конкретния случай“ ( 48 ). Тъй като тази разпоредба е формулирана почти по идентичен начин като разпоредбата, която я заменя, а именно член 6, параграф 1, буква е) от ОРЗД, това тълкуване ми се струва все още валидно ( 49 ). Както предполага запитващата юрисдикция обаче, изглежда, че националният законодател е имал именно тази цел, предвид, че доколкото член 31 от BDSG разрешава използването на финансови оценки във финансовия сектор, икономическите интереси на финансовия сектор имат предимство пред правото на защита на личните данни, без обаче да се отчитат особените обстоятелства на конкретния случай. Подобен подход би разширил по недопустим начин приложното поле на член 6 от ОРЗД.

88.

С оглед на гореизложеното считам, че член 6, параграф 1, буква е) от ОРЗД не може да бъде валидно изтъкнат като правно основание за приемането на национална разпоредба като член 31 от BDSG.

89.

Запитващата юрисдикция уточнява, че разпоредбите на член 6, параграф 4 във връзка с член 23, параграф 1 от ОРЗД били посочени като правни основания в законодателната процедура по приемането на член 31 от BDSG. Въпреки това идеята за основаване на тези разпоредби впоследствие е била изоставена. Запитващата юрисдикция счита, че тези разпоредби не са приложими в настоящия случай.

90.

При липсата на по-подробна информация не е възможно да се изрази становище по евентуалната приложимост на посочените по-горе разпоредби. Това не ми се струва и необходимо, щом като посочените разпоредби не са имали никаква роля в хода на законодателната процедура, както твърди запитващата юрисдикция ( 50 ).

91.

В предходните точки разгледах въпроса дали членове 6 и 22 от ОРЗД могат да послужат като правно основание за приемането на национална разпоредба като член 31 от BDSG, за да се обоснове законосъобразността на изготвянето на финансови оценки в рамките на дейността на агенциите за икономически справки. Редица подробно описани в анализа ми причини са в подкрепа на убеждението ми, че тази възможност трябва да бъде изключена. В обобщение, считам, че при липсата на предпазни клаузи и клаузи за дерогация, които да позволяват на държавите членки да приемат по-конкретни правила или да дерогират нормите на ОРЗД, за да уредят посочената по-горе дейност, и като се има предвид степента на хармонизация, преследвана с този регламент, който съгласно член 288 ДФЕС е задължителен в своята цялост и се прилага пряко във всички държави членки, следва да се приеме, че такава национална разпоредба не е в съответствие с ОРЗД.

92.

Тъй като Съдът не е компетентен да тълкува националното право или да се произнесе по съответствието му с правото на Съюза в рамките на преюдициално производство по член 267 ДФЕС, разгледаните в настоящото заключение доводи трябва да се разбират като насоки за тълкуването на релевантните разпоредби на ОРЗД, за да може запитващата юрисдикция евентуално да упражни тази компетентност, след като сама разгледа член 31 от BDSG с оглед на разпоредбите на този регламент, по-специално що се отнася до възможността за тълкуване на националното законодателство в съответствие с изискванията на правото на Съюза.

93.

Принципът на предимство на правото на Съюза утвърждава върховенството на правото на Съюза над правото на държавите членки. Поради това този принцип задължава всички институции на държавите членки да осигурят пълното действие на различните разпоредби на правото на Съюза, като правото на държавите членки не може да накърнява признатото действие на тези разпоредби на територията на посочените държави. По силата на този принцип, при липса на правомощие да тълкува националната правна уредба в съответствие с изискванията на правото на Съюза, националният съд, натоварен в рамките на своята компетентност с прилагането на разпоредбите от правото на Съюза, е длъжен да гарантира пълното им действие, като при необходимост по собствена инициатива оставя без приложение противоречащите им разпоредби от националното законодателство, дори да са по-късни, без да е необходимо да иска или да изчаква тяхната предварителна отмяна по законодателен път или по какъвто и да било друг ред, предвиден в конституцията ( 51 ).

94.

В отговор на втория преюдициален въпрос, считам, че член 6, параграф 1 и член 22 от ОРЗД трябва да се тълкуват в смисъл, че допускат национално законодателство относно профилирането, когато се отнася за различно от предвиденото в член 22, параграф 1 от този регламент профилиране. В този случай обаче националното законодателство трябва да отговаря на предвидените в член 6 от посочения регламент условия. По-специално, то трябва да се основава на подходящо правно основание, което запитващата юрисдикция следва да провери.

95.

С оглед на гореизложените съображения предлагам на Съда да отговори на преюдициалните въпроси, отправени от Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия), по следния начин: