Věc C‑634/21

OQ

v.

Land Hessen

(žádost o rozhodnutí o předběžné otázce, kterou podal Verwaltungsgericht Wiesbaden)

Rozsudek Soudního dvora (prvního senátu) ze dne 7. prosince 2023

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 22 – Automatizované individuální rozhodování – Obchodní informační agentury – Automatizované stanovení hodnoty pravděpodobnosti týkající se schopnosti osoby splnit v budoucnu platební závazky (‚scoring‘) – Použití této hodnoty pravděpodobnosti třetími osobami“

1. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Právní ochrana – Soudní ochrana vůči rozhodnutí o stížnosti přijaté dozorovým úřadem – Soudní přezkum – Rozsah – Meze – Neexistence

   (Nařízení Evropského parlamentu a Rady 2016/679, čl. 78 odst. 1)

   (viz bod 34)

2. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Právo subjektu údajů nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování – Automatizované individuální rozhodování – Pojem – Automatizované stanovení hodnoty pravděpodobnosti solventnosti osoby užívané třetími stranami, které provádí obchodní informační agentura – Zahrnutí – Podmínky

   (Nařízení Evropského parlamentu a Rady 2016/679, bod 71 odůvodnění, čl. 4 bod 4 a čl. 22 odst. 1)

   (viz body 43, 46–50, 60–63, 73 a výrok)

3. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Právo subjektu údajů nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování – Výjimky – Přijetí rozhodnutí založeného výhradně na automatizovaném zpracování, které je povoleno právem členského státu – Povinnost dodržovat podmínky a požadavky stanovené uvedeným nařízením – Ověření příslušející vnitrostátnímu soudu

   (Nařízení Evropského parlamentu a Rady 2016/679, bod 71 odůvodnění, články 5, 6 a čl. 22 odst. 2 až 4)

   (viz body 53–55, 64, 67–70 a 72)

Shrnutí

SCHUFA Holding AG, soukromá společnost založená podle německého práva, poskytuje svým smluvním partnerům informace o úvěrové bonitě osob. Za tímto účelem přisuzuje každému subjektu údajů hodnotu („Score-Wert“), kterou vytváří z určitých charakteristických znaků této osoby na základě matematicko-statistických postupů. Stanovení Score-Wert slouží k předpovědi budoucího chování osoby, například splácení úvěru, na základě jejího zařazení do skupiny jiných osob s určitými srovnatelnými znaky.

Poté, co úvěrová společnost obdržela od společnosti SCHUFA negativní informace o OQ, odmítla této osobě poskytnout úvěr. OQ požádala společnost SCHUFA, aby jí poskytla přístup k údajům, které se jí týkají, a vymazala údajně nesprávné údaje. Společnost SCHUFA jí však sdělila pouze její „Score-Wert“ a obecně způsoby jejího výpočtu, přičemž se ve zbývající části odvolávala na obchodní tajemství.

OQ následně podala stížnost proti společnosti SCHUFA k německému dozorovému úřadu HBDI ( 1 ), kterou tento úřad zamítl z důvodu, že činnost společnosti SCHUFA je v souladu s německými právními předpisy upravujícími podmínky použití hodnoty pravděpodobnosti týkající se solventnosti ( 2 ).

Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu, Německo), ke kterému OQ podala žalobu proti rozhodnutí HBDI, se dotázal Soudního dvora na výklad ustanovení GDPR ( 3 ), která se týkají práva subjektu údajů nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování ( 4 ).

Soudní dvůr ve svém rozsudku poprvé vyložil ustanovení GDPR týkající se citlivé oblasti rozhodnutí založených výhradně na automatizovaném zpracování údajů. V tomto rámci se vyjádřil k otázce, zda automatizované stanovení hodnoty pravděpodobnosti solventnosti osoby, které provádí obchodní informační agentura, představuje automatizované individuální rozhodování, a spadá tak do působnosti těchto ustanovení.

Závěry Soudního dvora

Soudní dvůr nejprve konstatoval, že tři kumulativní podmínky použitelnosti ustanovení GDPR, která upravují právo subjektu údajů nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, jsou v projednávaném případě splněny.

Pokud jde o první podmínku týkající se existence rozhodnutí, Soudní dvůr upřesnil, že pojem „rozhodnutí“ má široký rozsah a může zahrnovat výsledek výpočtu solventnosti osoby ve formě hodnoty pravděpodobnosti týkající se schopnosti této osoby splnit v budoucnu platební závazky.

Pokud jde o druhou podmínku, podle níž musí být rozhodnutí „založeno výhradně na automatizovaném zpracování, včetně profilování“, je podle Soudního dvora nesporné, že činnost dotčené společnosti odpovídá definici „profilování“ ( 5 ) a tato podmínka je tedy v projednávaném případě splněna. Předkládající soud navíc výslovně uvedl, že se jedná o automatizované stanovení hodnoty pravděpodobnosti založené na osobních údajích týkajících se osoby a její schopnosti splácet v budoucnu úvěr.

Pokud jde o třetí podmínku, podle které musí rozhodnutí mít „právní účinky“ pro dotčenou osobu nebo se jí musí „obdobným způsobem významně“ dotýkat, Soudní dvůr uvedl, že se v projednávaném případě jednání třetí osoby, které je poskytnuta hodnota pravděpodobnosti, touto hodnotou „rozhodujícím způsobem“ řídí. Nedostatečná hodnota pravděpodobnosti totiž vede téměř vždy k odmítnutí poskytnout úvěr. Tato hodnota se tak subjektu údajů přinejmenším významně dotýká.

Soudní dvůr z toho vyvodil, že v případě, kdy hodnota pravděpodobnosti stanovená obchodní informační agenturou a sdělená bance hraje rozhodující úlohu při poskytování úvěru, musí být stanovení této hodnoty samo o sobě kvalifikováno jako rozhodnutí, které vůči subjektu údajů vyvolává „právní účinky nebo se ho obdobným způsobem významně dotýká“ ( 6 ).

Soudní dvůr dále zdůraznil, že tento výklad, a zejména široký rozsah pojmu „rozhodnutí“, posiluje účinnou ochranu uvedenou v GDPR. Naproti tomu restriktivní výklad, podle kterého musí být stanovení hodnoty pravděpodobnosti považováno pouze za přípravný akt a za „rozhodnutí“ lze případně považovat pouze akt přijatý třetí osobou, by vedl k mezeře v právní ochraně. V tomto případě by se totiž stanovení takové hodnoty vyhnulo zvláštním požadavkům stanoveným v GDPR ( 7 ), i když je tento postup založen na automatizovaném zpracování a vyvolává účinky, které se významně dotýkají subjektu údajů, jelikož se jednání třetí osoby, které je tato hodnota pravděpodobnosti poskytnuta, touto hodnotou rozhodujícím způsobem řídí.

Kromě toho subjekt údajů nemůže uplatnit své právo na přístup ke zvláštním informacím ( 8 ) u obchodní informační agentury, která bez automatizovaného rozhodování stanoví hodnotu pravděpodobnosti, jež se ho týká. Dále i za předpokladu, že by se na akt přijatý třetí osobou vztahovala ustanovení GDPR, která se týkají práva subjektu údajů nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, tato třetí osoba by nebyla schopna poskytnout tyto zvláštní informace, neboť jimi obvykle nedisponuje.

Nakonec Soudní dvůr poznamenal, že skutečnost, že se na stanovení hodnoty pravděpodobnosti vztahují ustanovení GDPR, která upravují právo subjektu údajů nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, má za následek, že je zakázáno, ledaže se uplatní jedna z výjimek a jsou splněny zvláštní požadavky stanovené v GDPR.

Kromě toho každé zpracování osobních údajů musí být v souladu se zásadami zpracování údajů stanovenými GDPR a zvláště s ohledem na zásadu zákonnosti zpracování musí splňovat jednu z podmínek zákonnosti zpracování.

V této souvislosti Soudní dvůr uvedl, že předkládající soud odkazuje na výjimku, podle níž může být přijetí rozhodnutí založeného výhradně na automatizovaném zpracování povoleno, pokud je to stanoveno právem členského státu. V tomto ohledu upřesňuje, že přísluší předkládajícímu soudu ověřit, zda vnitrostátní právní úprava upravující použití hodnoty pravděpodobnosti týkající se solventnosti může být kvalifikována jako právní základ, který umožňuje přijetí takového rozhodnutí, a pokud ano, zda jsou v projednávaném případě splněny podmínky pro tuto výjimku a podmínky, které se týkají zásad zpracování, stanovené v GDPR.

( 1 ) – Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Hesenský pověřenec pro ochranu údajů a informační svobodu, Německo).

( 2 ) – Ustanovení § 31 Bundesdatenschutzgesetz (spolkový zákon o ochraně údajů) ze dne 30. června 2017 (BGBl. I, s. 2097).

( 3 ) – Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, oprava Úř. věst. 2018, L 127, s. 2, a oprava Úř. věst. 2021, L 74, s. 35, dále jen „GDPR“).

( 4 ) – Článek 22 GDPR.

( 5 ) – Ve smyslu § 4 odst. 4 GDPR.

( 6 ) – Ve smyslu § 22 odst. 1 GDPR.

( 7 ) – Stanovené v čl. 22 odst. 2 až 4 GDPR. Z těchto ustanovení vyplývá, že zákaz individuálního rozhodnutí založeného výhradně na automatizovaném zpracování je doplněn třemi výjimkami doprovázenými dodatečnými zárukami. Takové rozhodnutí je tedy přípustné, pokud je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů, pokud je povoleno právem Unie nebo členského státu, které se na správce vztahuje, nebo pokud je založeno na výslovném souhlasu subjektu údajů, za podmínky, že jsou zavedena vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů.

( 8 ) – Uvedené v čl. 15 odst. 1 písm. h) GDPR, který v případě automatizovaného rozhodování přiznává subjektu údajů rozsáhlé právo na přístup.