1.

Tyto žádosti o rozhodnutí o předběžné otázce, které podal na základě článku 267 SFEU Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu, Německo) se týkají výkladu článků 7 a 8 Listiny základních práv Evropské unie (dále jen „Listina“), jakož i čl. 6 odst. 1 prvního pododstavce písm. f), čl. 17 odst. 1 písm. d), článku 40, čl. 77 odst. 1 a čl. 78 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ( 2 ) (dále jen „GDPR“).

2.

Tyto návrhy byly podány v rámci dvou sporů mezi jednak společností UF (věc C‑26/22) a jednak společností AB (věc C‑64/22) a spolkovou zemí Hesensko, zastoupenou Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Hesenský pověřenec pro ochranu údajů a informační svobodu, dále jen „HBDI“), ohledně žádostí jednotlivě podaných společnostmi UF a AB u HBDI, aby tento orgán přijal opatření k výmazu záznamu týkajícího se oddlužení u společnosti SCHUFA Holding AG (dále jen „SCHUFA“).

3.

Oba případy přinášejí řadu nových právních otázek týkajících se mimo jiné právní povahy rozhodnutí přijatého dozorovým úřadem, jemuž byla stížnost postoupena, jakož i rozsahu soudního přezkumu, který může soud vykonávat v rámci žaloby podané proti takovému rozhodnutí. Tyto případy se rovněž zabývají otázkou zákonnosti uchovávání osobních údajů z veřejných rejstříků u subjektů poskytujících informace ekonomického charakteru (obchodní informační agentury).

4.

Ustanovení čl. 79 odst. 4 a 5 nařízení Evropského parlamentu a Rady (EU) 2015/848 ze dne 20. května 2015 o insolvenčním řízení stanoví ( 3 ):

„4.   Členské státy v souladu se směrnicí 95/46/ES [směrnice Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, s. 31)] odpovídají za shromažďování a uchovávání údajů ve vnitrostátních databázích a za rozhodnutí o zpřístupnění těchto údajů v propojeném rejstříku, který lze konzultovat prostřednictvím portálu evropské e-justice.

5.   V rámci informací, které by měly být subjektům údajů poskytnuty s cílem umožnit jim uplatnit svá práva, zejména právo na výmaz údajů, informují členské státy subjekty údajů o době přístupnosti osobních údajů uchovávaných v insolvenčních rejstřících.“

5.

Článek 5 GDPR v odstavci 1 stanoví:

„Osobní údaje musí být:

[…]

[…]“

6.

Článek 6 tohoto nařízení v odstavci 1 stanoví:

„Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]

[…]“

7.

Článek 17 GDPR v odstavci 1 stanoví:

„Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

[…]

[…]“

8.

Článek 21 tohoto nařízení v odstavci 1 stanoví:

„Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.“

9.

V článku 40 zmíněného nařízení je uvedeno:

„1.   Členské státy, dozorové úřady, sbor a Komise podporují vypracování kodexů chování, které mají přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví provádějících zpracování a na konkrétní potřeby mikropodniků a malých a středních podniků.

2.   Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat kodexy chování nebo tyto kodexy upravovat či rozšiřovat, a to s cílem upřesnit uplatňování ustanovení tohoto nařízení, mimo jiné pokud jde o:

[…]

5.   Sdružení nebo jiné subjekty uvedené v odstavci 2 tohoto článku, které mají v úmyslu vypracovat kodex chování nebo upravit či rozšířit existující kodex, předloží návrh kodexu či návrhy na úpravu či rozšíření kodexu dozorového úřadu, který je příslušný podle článku 55. Dozorový úřad vydá stanovisko k tomu, zda je daný návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením, a pokud shledá, že tento návrh nebo návrh na úpravu či rozšíření kodexu poskytuje dostatečné vhodné záruky, schválí jej.

[…]“

10.

Článek 77 GDPR v odstavci 1 stanoví:

„Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.“

11.

Článek 78 tohoto nařízení stanoví:

„1.   Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

2.   Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku.

[…]“

12.

Ustanovení § 9 Insolvenzordnung (insolvenční řád), ve znění platném v době rozhodné pro spor v původním řízení, stanoví v odstavci 1 toto:

„Veřejné oznámení se uskutečňuje centrálním zveřejněním na internetu na celostátní úrovni; zveřejnění může být učiněno rovněž ve výňatcích. Musí být přesně uveden dlužník, zejména jeho adresa a obor jeho podnikání. Oznámení je považováno za zveřejněné uplynutím dvou dnů po dni zveřejnění.“

13.

Článek 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (nařízení o veřejných oznámeních v insolvenčním řízení na internetu, dále jen „InsBekV“) v odstavcích 1 a 2 stanoví:

„1)   Údaje z insolvenčního řízení zveřejněné v elektronickém informačním a komunikačním systému včetně zahajovacího řízení se vymažou nejpozději šest měsíců po zrušení nebo pravomocném rozhodnutí o zastavení insolvenčního řízení. Není-li řízení zahájeno, začíná lhůta plynout zrušením zveřejněných zajišťovacích opatření.

2)   Odstavec 1 věta první se vztahuje na zveřejnění učiněná v rámci řízení o oddlužení, včetně usnesení uvedeného v § 289 insolvenčního řádu, s tím, že předmětná lhůta počíná běžet od právní moci rozhodnutí o oddlužení.“

14.

V rámci insolvenčního řízení bylo společnostem UF a AB soudními rozhodnutími vydanými dne 17. prosince 2020 a 23. března 2021 povoleno předčasné osvobození od splacení zbytku dluhu (oddlužení). V souladu s § 9 odst. 1 insolvenčního řádu a § 3 odst. 1 a 2 InsBekV byla tato okolnost oficiálně zveřejněna na internetu a po uplynutí šesti měsíců odstraněna.

15.

Společnost SCHUFA, která je soukromou informační agenturou, eviduje zveřejněné informace o předčasném oddlužení ve svých vlastních databázích, ale jejich výmaz provádí až po třech letech od provedení záznamu.

16.

Na žádost společností UF a AB o výmaz záznamů, které se jich týkaly, jim společnost SCHUFA sdělila, že její činnost je v souladu s GDPR a že se na ni nevztahuje šestiměsíční lhůta pro výmaz stanovená v čl. 3 odst. 1 InsBekV. Společnosti UF a AB poté podaly stížnost u HBDI jako příslušného dozorového úřadu.

17.

HBDI o těchto nárocích rozhodl ve dvou stanoviscích vydaných dne 1. března 2021 a dne 9. července 2021. Podle něj je společnost SCHUFA oprávněna uchovávat negativní záznamy o oddlužení nad rámec období osvobození od pohledávky.

18.

Společnosti UF a AB podaly proti stanovisku HBDI žalobu k Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu), který je předkládajícím soudem. Tvrdí, že HBDI je povinen v rámci svých úkolů a pravomocí přijmout opatření vůči společnosti SCHUFA, aby jí uložil výmaz záznamů, které se jich týkají.

19.

V tomto ohledu předkládající soud považuje za nezbytné nejprve objasnit právní povahu rozhodnutí dozorového úřadu o stížnosti podané podle čl. 77 odst. 1 GDPR. Tento soud uvádí, že podle názoru HBDI je právo stanovené v čl. 77 odst. 1 koncipováno jako petiční právo. Podléhá tedy pouze omezené soudní kontrole, která se omezuje na kontrolu toho, zda se dozorový úřad stížností zabýval a zda stěžovatele informoval o stavu a výsledku této stížnosti. Na druhou stranu by soud neměl přezkoumávat obsahovou správnost rozhodnutí o stížnosti.

20.

Tento soud však pochybuje o tom, zda je tato analýza v souladu s GDPR. Podle jeho názoru vyžaduje ustanovení čl. 78 odst. 1 tohoto nařízení účinnou soudní ochranu. S ohledem na cíl sledovaný tímto nařízením, kterým je zajistit při naplňování článků 7 a 8 Listiny účinnou ochranu základních práv a svobod fyzických osob, nelze nakládání s právem na podání stížnosti vykládat restriktivně. Předkládající soud se proto přiklání k výkladu, podle něhož rozhodnutí přijaté dozorovým úřadem ve věci samé podléhá plnému přezkumu soudu, přičemž je však třeba mít na paměti, že tento úřad disponuje jak prostorem pro uvážení, tak posuzovací pravomocí, a že mu může být uloženo, aby konal, pouze v případě, nejsou-li zjevné žádné zákonné alternativy.

21.

Zadruhé předkládající soud pokládá otázku týkající se zákonnosti uchovávání údajů z veřejných rejstříků u obchodních informačních agentur. V této souvislosti soud uvádí, že tyto agentury získávají veškeré záznamy z veřejných rejstříků, tj. z rejstříku dlužníků a insolvenčního rejstříku, od státu. Tyto údaje podle HBDI slouží k posouzení úvěruschopnosti a smí být uloženy tak dlouho, dokud je to nezbytné pro účely, pro které byly uloženy. Kromě toho byly z důvodu neexistence příslušné právní úpravy vnitrostátního zákonodárce přijaty dozorovými úřady po konzultaci se sdružením obchodních informačních agentur kodexy chování, které stanoví výmaz přesně tři roky po vložení informací.

22.

Podle předkládajícího soudu vyvstává s ohledem na články 7 a 8 Listiny v této souvislosti otázka, zda mohou být záznamy z veřejných rejstříků v plném rozsahu přebírány do seznamů vedených soukromými subjekty, aniž existuje konkrétní důvod pro uložení těchto údajů. V konečném důsledku by se jednalo o hromadění údajů, zejména pokud již byly údaje z vnitrostátního rejstříku vymazány z důvodu uplynutí doby uchovávání. Kromě toho je společnost SCHUFA pouze jednou z obchodních informačních agentur, takže by údaje byly v Německu uchovávány vícenásobně, což by znamenalo masivní porušení základního práva zakotveného v článku 7 Listiny.

23.

Předkládající soud dodává, že zpracování, a tedy i uchovávání údajů, je přípustné pouze tehdy, je-li splněna jedna z podmínek stanovených v čl. 6 odst. 1 GDPR, přičemž upřesňuje, že v projednávané věci je relevantní pouze čl. 6 odst. 1 písm. f) tohoto nařízení. Je však sporné, zda správce údajů, jako je společnost SCHUFA, má oprávněný zájem ve smyslu tohoto ustanovení. V každém případě by obchodní informační agentura byla stále oprávněna nahlížet do veřejných rejstříků v případě oprávněného zájmu, pokud jsou v nich údaje uchovávány.

24.

Kromě toho německý zákonodárce v článku 3 InsBekV stanoví pro zápis do insolvenčního rejstříku týkající se oddlužení pouze poměrně krátkou dobu šesti měsíců. Toto ustanovení se zakládá na čl. 79 odst. 5 nařízení 2015/848, podle něhož členské státy informují subjekty údajů o době přístupnosti osobních údajů uchovávaných v insolvenčních rejstřících s cílem umožnit jim uplatnit svá práva, zejména právo na výmaz údajů. Toto právo však odpadá v případě uložení ve velkém počtu soukromých rejstříků, v nichž jsou tyto údaje uloženy po delší dobu.

25.

Kromě toho, i kdyby se připustilo, že uchovávání údajů z veřejných rejstříků u soukromých obchodních informačních agentur je zákonné, mohlo by být zpochybněno, že kodexy chování schválené v souladu s článkem 40 GDPR, které stanoví tříletou lhůtu pro výmaz záznamu týkajícího se oddlužení, by měly být zohledněny při poměřování zájmů, které vyžaduje posouzení podle čl. 6 odst. 1 prvního pododstavce písm. f) GDPR.

26.

Za těchto podmínek se Verwaltungsgericht Wiesbaden (správní soud ve Wiesbadenu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

27.

Předkládací rozhodnutí ve věci C‑26/22 ze dne 23. prosince 2021 došlo kanceláři Soudního dvora dne 11. ledna 2022. Předkládací rozhodnutí ve věci C‑64/22 ze dne 31. ledna 2022 došlo kanceláři Soudního dvora dne 2. února 2022.

28.

Rozhodnutím Soudního dvora ze dne 11. února 2022 byly tyto věci spojeny pro účely písemné a ústní části řízení a rozsudku.

29.

Účastníci původního řízení, společnost SCHUFA, německá a portugalská vláda, jakož i Evropská komise předložili písemná vyjádření ve lhůtě stanovené článkem 23 statutu Soudního dvora Evropské unie.

30.

Na jednání, které se uskutečnilo dne 14. dubna 2023, se za účelem přednesení své argumentace dostavili zástupci účastníků původního řízení, společnosti SCHUFA a zástupci Komise.

31.

Vzhledem k tomu, že základem každého smluvního závazku v tržním hospodářství je vzájemná důvěra, je z obchodního hlediska v zásadě pochopitelné, že poskytovatelé služeb a zboží chtějí znát své zákazníky a rizika spojená s takovým smluvním závazkem. Obchodní informační agentury mohou přispět k budování této vzájemné důvěry prostřednictvím statistických metod, které umožňují podnikům zjistit, zda jsou v daném případě splněna určitá relevantní kritéria, včetně úvěruschopnosti jejich zákazníků. Pomáhají tak společnostem dodržovat různá ustanovení právních předpisů EU, která jim tuto povinnost ukládají u určitých kategorií smluv, včetně úvěrových smluv ( 4 ). Tyto společnosti však nejsou jediné, které takové služby poskytují. Vzhledem k tomu, že je třeba zajistit transparentnost a předvídatelnost finančních transakcí, požaduje zákonodárce EU, aby členské státy zřídily a vedly jeden nebo více rejstříků, v nichž budou zveřejňovány informace o insolvenčních řízeních.

32.

Proto bude paralelně existovat několik databází: na jedné straně „oficiální“ rejstříky spravované veřejnými orgány a na druhé straně databáze spravované soukromými společnostmi. Tato souběžná existence může vést ke konkurenci mezi systémy, a dokonce k právním konfliktům, pokud se právní režimy, kterým tyto rejstříky podléhají, od sebe výrazně liší. Rozdíly v právní úpravě mohou být obzvláště problematické, pokud mají vliv na ochranu údajů, protože ať už registr spravuje jakýkoli subjekt, veřejný nebo soukromý, musí respektovat zájem subjektů údajů na způsobu, jakým jsou tyto údaje spravovány a jakým byly zaznamenávány. Informace týkající se ekonomické situace osoby se totiž vyznačují citlivostí, pokud jde o dodržování práva na ochranu osobních údajů a soukromí, a je zapotřebí zvláštní ostražitosti.

33.

GDPR, které platí od 25. května 2018, vytvořilo právní rámec, který se snaží zohlednit výše uvedené zájmy v celé Unii, mimo jiné tím, že ukládá určité podmínky pro zpracování osobních údajů. Ustanovení čl. 6 odst. 1 první pododstavec písm. f) GDPR tedy vyžaduje, aby zpracování bylo nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů. Jinými slovy, zákonnost zpracování musí být založena na vyvážení různých zájmů, přičemž přednost mají oprávněné zájmy příslušného správce nebo třetí strany. Zda jsou tyto podmínky splněny, musí ověřit dozorový úřad, který se podle čl. 77 odst. 1 GDPR musí zabývat případnou stížností subjektu údajů, že byla porušena jeho základní práva. A konečně, pokud se tato osoba rozhodne podat opravný prostředek proti rozhodnutí dozorového úřadu v souladu s čl. 78 odst. 1 GDPR, bude na vnitrostátních soudech, aby zajistily účinný soudní přezkum.

34.

Předchozí body tohoto stanoviska stručně shrnují různé právní otázky, které předkládající soud vznesl v žádostech o rozhodnutí o předběžné otázce. První otázka se týká právní povahy rozhodnutí přijatého dozorovým úřadem, jakož i rozsahu soudního přezkumu, který může soud vykonávat v rámci žaloby podané proti takovému rozhodnutí. Druhá až pátá otázka se v podstatě týkají zákonnosti uchovávání osobních údajů z veřejných rejstříků u obchodních informačních agentur. Předběžné otázky budou dále zkoumány v pořadí, ve kterém byly předkládajícím soudem položeny.

35.

Vzhledem k tomu, že první otázka se týká dvou fází správního opravného prostředku, a to stížnosti k dozorovému úřadu a žaloby před soudním orgánem, které jsou upraveny v článcích 77 a 78 GDPR, považuji za vhodné tyto dvě fáze stručně popsat a zabývat se přitom právními aspekty, jimiž se zabývá předkládající soud.

36.

Jak jsem již zmínil v úvodu, cílem GDPR je zajistit ochranu fyzických osob v souvislosti se zpracováním osobních údajů, která je uznána jako základní právo v čl. 8 odst. 1 Listiny a v čl. 16 odst. 1 SFEU. Vzhledem k tomu, že každé zpracování osobních údajů může mít dopad na soukromí, měla by být zmíněna také ochrana zaručená článkem 7 Listiny ( 5 ). Z článku 1 odst. 2 GDPR ve spojení s body 10, 11 a 13 odůvodnění uvedeného nařízení dále vyplývá, že zákonodárce Unie svěřuje tento úkol orgánům a jiným subjektům Unie, ale také příslušným orgánům členských států, včetně dozorových úřadů a vnitrostátních soudů ( 6 ).

37.

V této souvislosti je třeba poznamenat, že čl. 8 odst. 3 Listiny stanoví, že dodržování pravidel ochrany osobních údajů podléhá kontrole nezávislého orgánu. Článek 57 odst. 1 písm. a) nařízení GDPR tuto povinnost vyplývající z primárního práva provádí tím, že stanoví, že každý dozorový úřad má za úkol monitorovat a vymáhat uplatňování tohoto nařízení. Vyřizování stížností podaných subjektem údajů je součástí jeho povinností, jak je výslovně uvedeno v čl. 57 odst. 1 písm. f) GDPR.

38.

Soudní dvůr rozhodl, že podle tohoto ustanovení se má „každý dozorový úřad povinnost na svém území […] zabývat se stížnostmi, které mu má podle čl. 77 odst. 1 tohoto nařízení právo podat každý subjekt údajů, jenž se domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení, a také povinnost ve vhodné míře prošetřit předmět takové stížnosti“ ( 7 ). V této souvislosti je třeba poznamenat, že Soudní dvůr zdůraznil povinnost dozorového úřadu se „stížností zabývat s veškerou náležitou péčí“, aby bylo zajištěno dodržování ustanovení GDPR. Stejně tak je třeba poznamenat, že bod 141 odůvodnění GDPR uvádí, že „[š]etření, které následuje po podání stížnosti, by mělo být […] provedeno v rozsahu, jenž je v daném případě přiměřený“ (kurzivou zvýraznil autor stanoviska).

39.

Všechny tyto prvky mě vedou k přesvědčení, že dozorový úřad má povinnost zabývat se stížnostmi podanými subjektem údajů s veškerou náležitou péčí, jež je v daném případě přiměřená ( 8 ). Vzhledem k tomu, že každé porušení GDPR může v zásadě představovat porušení základních práv, zdá se mi, že by bylo v rozporu se systémem zavedeným tímto nařízením, kdyby byla dozorovému úřadu dána diskreční pravomoc, zda se stížností bude zabývat, či nikoli. Takový přístup by oslabil klíčovou úlohu, kterou tomuto úřadu svěřuje GDPR při zajišťování souladu s pravidly ochrany osobních údajů, a byl by proto v rozporu s cíli, které sleduje unijní zákonodárce ( 9 ). Konečně je třeba připomenout, že stížnosti jsou pro dozorový úřad cenným zdrojem informací, který mu umožňuje odhalovat protiprávní jednání ( 10 ).

40.

Tento výklad je o to přesvědčivější, že čl. 57 odst. 1 písm. f) GDPR ukládá dozorovému úřadu při vyřizování takové stížnosti řadu požadavků, konkrétně povinnost ve vhodné míře prošetřit předmět stížnosti, informovat stěžovatele o vývoji a výsledku šetření v přiměřené lhůtě, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem. Kromě toho existuje povinnost podle čl. 77 odst. 2 GDPR informovat stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 78 RGPD. Všechny tyto požadavky, které jsou součástí pojmu „řádná správa“, jenž je vyjádřen v článku 41 Listiny konkrétně s ohledem na činnost orgánů a institucí Unie ( 11 ), mají posílit vyřizování stížností tak, aby se stalo skutečným správním opravným prostředkem.

41.

Ačkoli je dozorový úřad jako garant dodržování ustanovení GDPR povinen zabývat se stížnostmi, které mu byly předloženy, existuje několik důvodů pro výklad v tom smyslu, že tento orgán má při posuzování těchto stížností posuzovací pravomoc, jakož i určitý manévrovací prostor, pokud jde o výběr vhodných prostředků k plnění jeho úkolů. Generální advokát H. Saugmandsgaard Øe totiž uvedl, že čl. 58 odst. 1 GDPR „svěřuje […] orgánům dozoru značné vyšetřovací pravomoci“ a že dozorové úřady mají podle čl. 58 odst. 2 GDPR „širokou škálu prostředků […] k plnění úkolu, který mu byl svěřen“, přičemž v této souvislosti odkázal na různá nápravná opatření uvedená v tomto ustanovení ( 12 ). Generální advokát dále uvedl, že ačkoli je dozorový úřad „povinen plně splnit svůj úkol dozoru, který mu byl svěřen“, „volba nejúčinnějšího prostředku spadá do uvážení [tohoto] orgánu […] s ohledem na všechny [dotčené] okolnosti“ ( 13 ). S tímto výkladem mohu jen souhlasit.

42.

Podrobný popis pravomoci dozorových úřadů přijímat nápravná opatření zdůrazňuje skutečnost, že unijní zákonodárce nezamýšlel, aby řízení o stížnostech bylo řízením podobným petičnímu. Naopak se zdá, že legislativním cílem bylo vytvořit mechanismus schopný účinně chránit práva a zájmy stěžovatelů. Jeví se mi tudíž jako jasné, že tento manévrovací prostor by neměl být vykládán tak, že dává dozorovému úřadu neomezenou pravomoc jednat svévolně. Naopak dozorový úřad je povinen tento manévrovací prostor využít v mezích, které mu ukládá unijní právo. Z tohoto důvodu také nelze vyloučit, že dozorový úřad jako správní orgán bude povinen přijmout určité opatření z důvodu konkrétních okolností případu, zejména pokud existuje vážné riziko porušení základních práv subjektu údajů.

43.

Tento výklad, který dává dozorovému úřadu určitý manévrovací prostor při výběru prostředků, je podpořen čl. 58 odst. 4 GDPR který stanoví, že „výkon pravomocí svěřených tímto článkem dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu“ (kurzivou zvýraznil autor stanoviska), v souladu s článkem 47 Listiny. Článek 78 odst. 1 a 2 GDPR kromě toho uznává právo každé osoby na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká, nebo pokud se tento orgán nezabývá její stížností.

44.

Tím se dostáváme k otázce právní povahy rozhodnutí přijatých dozorovým úřadem, kterou předkládající soud vznesl v žádostech o rozhodnutí o předběžné otázce. V tomto ohledu je třeba odkázat na bod 141 odůvodnění uvedeného nařízení, který stanoví, že „[k]aždý subjekt údajů by měl mít právo podat stížnost u jediného dozorové[ho] úřadu, […] a právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů“ (kurzivou zvýraznil autor stanoviska). Tento bod odůvodnění zohledňuje skutečnost, že rozhodnutí dozorového úřadu může být pro subjekt údajů nepříznivé, zejména pokud dojde k závěru, že stížnost je neopodstatněná a že se domnívá, že nedošlo k porušení GDPR, a proto nepřijme opatření k nápravě situace, která byla důvodem stížnosti. Unijní zákonodárce uznává závazný právní účinek takového rozhodnutí, a proto dává stěžovateli právo podat opravný prostředek k vnitrostátnímu soudu.

45.

Stejně tak je třeba poznamenat, že není možné, aby dozorový úřad nereagoval, neboť z čl. 78 odst. 2 GDPR vyplývá, že každý subjekt údajů [má] právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku“. Tato okolnost znemožňuje přirovnat toto řízení o stížnosti k řízení o petici.

46.

V projednávané věci, jak uvedl předkládající soud v předkládacích rozhodnutích, přijal dozorový úřad rozhodnutí, která jsou pro žalobce v původním řízení právně závazná. V podstatě shledal, že zpracování osobních údajů žalobců ze strany společnosti SCHUFA bylo zákonné podle čl. 6 odst. 1 první pododstavec písm. b) a f) GDPR, a proto implicitně vyloučil použití vyšetřovacího nebo nápravného opatření.

47.

Soudní ochrana stanovená v článku 78 GDPR je druhým stupněm správního opravného prostředku stanoveného tímto nařízením. V této souvislosti je třeba poznamenat, že jak „stížnost“ dozorovému úřadu, tak „soudní ochrana“ jsou koncipovány jako „práva“ subjektu údajů, což je zcela pochopitelné, pokud vycházíme z toho, že články 77 až 79 GDPR mají za cíl realizovat právo na účinnou právní ochranu zakotvené v článku 47 Listiny. Jak jsem uvedl výše ( 14 ), výklad čl. 58 odst. 4 ve spojení s článkem 78 GDPR a ve světle bodu 141 odůvodnění tohoto nařízení tento cíl jasně odhaluje ( 15 ).

48.

Pokud jde o rozsah soudního přezkumu rozhodnutí přijatých dozorovým úřadem, je třeba připomenout, že vnitrostátní pravidla správního řízení se obecně uplatňují v rámci procesní autonomie, s výhradou zásad rovnocennosti a efektivity ( 16 ). Domnívám se však, že opravný prostředek může být „účinný“ ve smyslu článku 47 Listiny a čl. 78 odst. 1 GDPR pouze tehdy, pokud má příslušný vnitrostátní soud pravomoc a povinnost podrobit rozhodnutí dozorového úřadu ve věci samé plnému soudnímu přezkumu, aby ověřil, zda dozorový úřad správně uplatnil GDPR.

49.

Jak Soudní dvůr připomněl ve své judikatuře, „právní úprava, která nestanoví procesním subjektům žádnou možnost využít právních prostředků s cílem získat přístup k osobním údajům, jež se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů, nerespektuje podstatu základního práva na účinnou právní ochranu zakotveného v článku 47 Listiny. Ustanovení čl. 47 prvního pododstavce Listiny totiž vyžaduje, aby každý, jehož práva a svobody zaručené právem Unie byly porušeny, měl za podmínek stanovených tímto článkem právo na účinné prostředky nápravy před soudem. V tomto ohledu je samotná existence účinného soudního přezkumu, který má zajistit dodržování ustanovení práva Unie, neodmyslitelnou součástí existence právního státu“ ( 17 ).

50.

Pro určení rozsahu soudního přezkumu rozhodnutí přijatých dozorovým úřadem považuji za vhodné nejprve odkázat na bod 141 odůvodnění GDPR, v němž se uvádí, že „[š]etření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený“ (kurzivou zvýraznil autor stanoviska). Zadruhé je třeba odkázat na bod 143 odůvodnění GDPR, který stanoví, že „každá fyzická nebo právnická osoba by měla právo na účinnou soudní ochranu u příslušného vnitrostátního soudu proti rozhodnutím dozorového úřadu, která vůči ní zakládají právní účinky. Taková rozhodnutí se týkají zejména výkonu vyšetřovacích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností“ (kurzivou zvýraznil autor stanoviska). Podle mého názoru je třeba tyto pasáže chápat v tom smyslu, že soudní přezkum, který má vnitrostátní soud provádět podle článku 78 GDPR, musí být komplexní, tj. musí se vztahovat na všechny relevantní aspekty, které spadají do posuzovací pravomoci dozorového úřadu při posuzování předmětu stížnosti, jakož i do jeho diskreční pravomoci, pokud jde o volbu vyšetřovacích a nápravných opatření.

51.

Cíl unijního zákonodárce, kterým je zajistit úplný soudní přezkum každého rozhodnutí dozorového úřadu, které má právní účinky vůči subjektu údajů, jenž u něj podal stížnost, je obzvláště zřejmý, vezmeme-li v úvahu další výňatek bodu 143 odůvodnění GDPR, kde se uvádí, že „[ř]ízení proti dozorovému úřadu by mělo být zahájeno u soudů toho členského státu, v němž je daný dozorový úřad zřízen, a mělo by probíhat podle procesního práva tohoto členského státu. Tyto soudy by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní“ (kurzivou zvýraznil autor stanoviska) ( 18 ). Domnívám se, že pouze soudní přezkum takového rozsahu splňuje požadavky článku 47 Listiny ( 19 ).

52.

Na druhou stranu se mi argumenty společnosti SCHUFA a HBDI pro omezený soudní přezkum rozhodnutí dozorových úřadů nezdají být přesvědčivé. Zaprvé „nezávislost“ přiznaná dozorovému úřadu podle článku 52 GDPR, která konkretizuje požadavek stanovený v čl. 8 odst. 3 Listiny, má chránit tento úřad před nepatřičnými zásahy, ale nezbavuje jej povinnosti plnit své úkoly a vykonávat své pravomoci v plném souladu s právem Unie a podrobovat svá rozhodnutí účinnému soudnímu přezkumu jako každý jiný vnitrostátní orgán. Zadruhé existence práva na soudní ochranu proti příslušnému správci podle článku 79 GDPR nevylučuje právo na podání žaloby proti rozhodnutí přijatému dozorovým úřadem podle článku 78 GDPR. Tyto opravné prostředky existují nezávisle na sobě, aniž by jeden byl subsidiární vůči druhému, takže je lze uplatňovat souběžně ( 20 ). Žalobcům proto nelze vytýkat, že při obraně svých práv chráněných GDPR jednali protiprávně z toho důvodu, že upřednostnili určitý opravný prostředek. Tyto argumenty je tudíž na místě zamítnout.

53.

S ohledem na výše uvedené úvahy je třeba na první předběžnou otázku odpovědět tak, že čl. 78 odst. 1 GDPR musí být vykládán v tom smyslu, že z tohoto ustanovení vyplývá, že pravomocné rozhodnutí dozorového úřadu podléhá plnému soudnímu přezkumu ve věci samé.

54.

Druhá až pátá předběžná otázka se v podstatě týkají zákonnosti uchovávání osobních údajů z veřejných rejstříků u obchodních informačních agentur. Otázky položené předkládajícím soudem vyvolávají řadu právních otázek týkajících se této praxe, které bude třeba strukturovaně přezkoumat. Z důvodu přehlednosti považuji za vhodné seskupit otázky podle témat a zabývat se jimi v tomto pořadí.

55.

Aby mohl předkládající soud poskytnout užitečnou odpověď, která mu umožní rozhodnout v projednávané věci, bude muset Soudní dvůr vyložit několik ustanovení GDPR, která sice nejsou v otázkách výslovně uvedena, nicméně se jeví jako relevantní. Takový přístup je možný, neboť podle ustálené judikatury může Soudní dvůr ze všech poznatků předložených předkládajícím soudem, zejména z odůvodnění předkládacího rozhodnutí, vytěžit normy a zásady unijního práva, které je s přihlédnutím k předmětu sporu v původním řízení třeba vyložit ( 21 ).

56.

Taková hloubková analýza se mi zdá být o to nezbytnější, že předkládající soud se ve svých otázkách někdy odvolává výhradně na články 7 a 8 Listiny, ačkoli tato ustanovení nelze použít izolovaně, jak Soudní dvůr vysvětlil, ale je třeba je zohlednit v rámci poměřování zájmů stanoveného v čl. 6 odst. 1 prvním pododstavci písm. f) GDPR ( 22 ). V této souvislosti je dále třeba připomenout, že pokud ustanovení GDPR provádějí dotčená základní práva, je logickým východiskem pro jakoukoli exegezi výklad sekundárních právních předpisů, které je třeba vykládat ve světle primárních právních předpisů, jejichž nedílnou součástí je Listina ( 23 ). Do následující analýzy proto zahrnu všechna ustanovení, která jsou podle mého názoru relevantní.

57.

Kapitola II GDPR s názvem „Zásady“ stanoví zásady zpracování osobních údajů. Níže se budu zabývat tím, zda je praxe obchodních informačních agentur uchovávat osobní údaje z veřejných rejstříků po dobu tří let v souladu se zásadami, které se mi v tomto kontextu jeví jako nejdůležitější, a to se zásadami zákonnosti, účelového omezení a minimalizace údajů.

58.

Pro účely analýzy se budu opírat o informace poskytnuté předkládajícím soudem a společností SCHUFA, nicméně zdůrazňuji, že je povinností společnosti SCHUFA jakožto správce prokázat, že výše uvedené zásady byly dodrženy v souladu se zásadou odpovědnosti stanovenou v čl. 5 odst. 2 GDPR.

59.

Ustanovení čl. 5 odst. 1 písm. a) GDPR vyžaduje, aby osobní údaje ve vztahu k subjektu údajů byly zpracovávány korektně a zákonným a transparentním způsobem. Podle čl. 6 odst. 1 GDPR je zpracování osobních údajů zákonné pouze tehdy, je-li splněna podmínka jednoho z důvodů uvedených v tomto ustanovení. Jak rozhodl Soudní dvůr, jedná se o taxativní a omezující výčet případů, v nichž lze zpracování osobních údajů považovat za zákonné ( 24 ). Předkládající soud chce v podstatě vědět, zda čl. 6 odst. 1 první pododstavec písm. f) GDPR umožňuje soukromé obchodní informační agentuře uchovávat osobní údaje z veřejných rejstříků, aby je mohla na žádost zpřístupnit zákazníkovi.

60.

Podle judikatury Soudního dvora ( 25 ) stanoví čl. 6 odst. 1 první pododstavec písm. f) GDPR tři kumulativní podmínky pro to, aby bylo zpracování osobních údajů zákonné, a to zaprvé sledování oprávněného zájmu správce nebo třetí strany, jimž jsou údaje sdělovány, zadruhé nezbytnost zpracování osobních údajů pro uskutečnění sledovaného oprávněného zájmu a zatřetí podmínku, že před tímto zájmem nemají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů. Zatímco posouzení splnění těchto podmínek přísluší předkládajícímu soudu, Soudnímu dvoru přísluší, aby jej při tomto posouzení vedl objasněním položených právních otázek.

61.

Pokud jde především o sledování „oprávněného zájmu“, připomínám, že GDPR a judikatura uznávají širokou škálu zájmů považovaných za oprávněné ( 26 ), přičemž upřesňují, že v souladu s čl. 13 odst. 1 písm. d) GDPR je na správci, aby označil oprávněné zájmy sledované v rámci čl. 6 odst. 1 prvního pododstavce písm. f) GDPR.

62.

Společnost SCHUFA tvrdí, že předmětné zpracování údajů slouží ke sledování velmi důležitých oprávněných zájmů. Konkrétně obchodní informační agentury zpracovávají údaje nezbytné k posouzení úvěruschopnosti jednotlivců nebo společností, aby tyto informace mohly poskytnout svým smluvním partnerům. To rovněž chrání ekonomické zájmy společností, které chtějí uzavírat úvěrové smlouvy. Konstatování úvěruschopnosti a poskytování informací o úvěruschopnosti je navíc základem pro poskytnutí úvěru a pro funkčnost ekonomiky. Činnost těchto společností rovněž pomáhá plnit podnikatelské záměry zájemců o úvěrové operace, neboť tyto informace umožňují rychlé a nebyrokratické přezkoumání.

63.

Domnívám se, že v zásadě neexistuje žádný objektivní důvod pochybovat o oprávněnosti zájmu společnosti SCHUFA poskytovat svým klientům výše popsanou komerční službu ani o zájmu zákazníků společnosti SCHUFA využívat její služby k posouzení úvěruschopnosti potenciálních obchodních partnerů v uvedeném smyslu. Ačkoli je pravda, že poskytování těchto služeb je zaměřeno na získání odměny, a představuje tedy obchodní model soukromé společnosti, nestačí tato okolnost sama o sobě k tomu, aby bylo možné zpochybnit, že je v projednávané věci splněna první podmínka stanovená v čl. 6 odst. 1 prvním pododstavci písm. f) GDPR.

64.

To platí navíc, když je cíl sledovaný danou službou v podstatě podobný cíli, který sledoval unijní zákonodárce při přijetí článku 24 nařízení 2015/848, který vyžaduje, aby členské státy na svém území zřídily a vedly jeden nebo více rejstříků, v nichž budou zveřejňovány informace o insolvenčních řízeních. Jak je uvedeno v bodě 76 odůvodnění tohoto nařízení, cílem těchto veřejných rejstříků je „zlepši[t] poskytování informací věřitelům a soudům a aby se zabránilo zahajování souběžných insolvenčních řízení“. Zdá se mi, že služba, kterou společnost SCHUFA nabízí, nemá žádný jiný účel. Otázka, zda souběžná existence systémů může vést k právním konfliktům, bude posouzena níže. V této fázi analýzy postačuje učinit závěr, že s ohledem na tuto totožnost účelů musí být zpracování údajů prováděné společností SCHUFA považováno za zpracování sloužící oprávněnému zájmu ve smyslu čl. 6 odst. 1 prvního pododstavce písm. f) GDPR.

65.

Co se týče podmínky nezbytnosti zpracování osobních údajů pro uskutečnění sledovaného oprávněného zájmu, výjimky ze zásady ochrany osobních údajů a její omezení musí být činěny v mezích toho, co je naprosto nezbytné ( 27 ). Proto je třeba, aby existovala úzká vazba mezi zpracováním a sledovaným zájmem, pokud neexistují alternativy, které by více respektovaly ochranu osobních údajů, protože nestačí, že zpracování závisí na prosté užitečnosti pro správce údajů.

66.

V projednávané věci je třeba prokázat, že vyhledávání osobních údajů o insolvencích ve veřejných rejstřících a jejich soukromé uchovávání je jedinou možností, jak může společnost SCHUFA tyto konkrétní informace nabídnout svým zákazníkům pro obchodní účely. Nelze vyloučit, že by společnost SCHUFA mohla nabízet komerční službu a poskytovat informace o úvěruschopnosti osob s využitím jiných dostupných údajů. Předkládajícímu soudu přísluší ověřit, zda by tato možnost ještě umožnila společnosti SCHUFA užitečně nabízet tuto komerční službu svým zákazníkům.

67.

Společnost SCHUFA považuje zpracování údajů za nezbytné. Podle jejího názoru, pokud by obchodní informační agentura čekala na konkrétní žádost a teprve poté začala shromažďovat údaje, nebylo by možné poskytnout informace včas. Společnost SCHUFA je toho názoru, že skutečnost, že údaje jsou (také) po určitou dobu veřejně přístupné, nemá vliv na oprávněné zájmy obchodních informačních agentur ani na nezbytnost zpracování.

68.

Pokud by uchovávání osobních údajů z veřejných rejstříků nebylo nezbytné k tomu, aby společnost SCHUFA mohla poskytovat své obchodní služby zákazníkům, nebylo by toto zpracování zákonné na základě čl. 6 odst. 1 prvního pododstavce písm. f) GDPR. Pokud by však byla splněna druhá podmínka tohoto ustanovení, musel by předkládající soud ještě zkoumat třetí a poslední kumulativní podmínku tohoto ustanovení.

69.

Pokud jde konečně o poměřování zájmů správce údajů na jedné straně a zájmů nebo základních svobod a základních práv subjektu údajů na straně druhé, podle judikatury Soudního dvora, je věcí předkládajícího soudu, aby zvážil dotčené zájmy ( 28 ). V tomto ohledu pokyny bývalé pracovní skupiny „Článek 29“, nyní „Evropského sboru pro ochranu osobních údajů“, jehož úkoly jsou stanoveny v článku 70 GDPR, uvádějí následující kritéria, která je třeba při tomto vyvažování zohlednit: i) posouzení oprávněného zájmu správce; ii) dopad na subjekty údajů; iii) předběžnou rozvahu a iv) dodatečná ochranná opatření zavedená správcem s cílem zabránit nepřiměřenému dopadu na subjekty údajů ( 29 ). V zájmu důkladné a logické analýzy navrhuji použít tato kritéria na věci v původním řízení. Takový přístup rovněž přispěje k důslednějšímu uplatňování GDPR v souladu s cíli vytčenými unijním zákonodárcem.

70.

Pokud jde o první kritérium, je třeba poznamenat, že zájem společnosti SCHUFA i jejích zákazníků je čistě ekonomické povahy. Soukromé společnosti uchovávají osobní údaje získané z veřejných rejstříků, aby mohly svým zákazníkům nabídnout službu poskytování informací o úvěruschopnosti subjektu údajů, mimo jiné s využitím těchto údajů. Jak jsem již vysvětlil dříve ( 30 ), takový zájem se pro účely této analýzy jeví jako legitimní.

71.

Pokud jde o druhé kritérium, tj. dopad zpracování údajů na subjekt údajů, zdá se, že relevantním faktorem je lhůta pro výmaz. Čím déle jsou údaje uchovávány v databázích soukromých obchodních informačních agentur, tím větší je dopad na subjekt údajů. V projednávané věci byly osobní údaje žalobců v původním řízení zpracovávány ve veřejném rejstříku, aby se „zlepšilo poskytování informací věřitelům a soudům a aby se zabránilo zahajování souběžných insolvenčních řízení“, jak požaduje bod 76 odůvodnění nařízení 2015/848. Při poměřování různých zájmů se německý zákonodárce domníval, že doba, po kterou je zveřejnění údajů týkajících se insolvenčních řízení v těchto veřejných rejstřících nezbytné k dosažení tohoto cíle, je šest měsíců. Zdá se tedy, že uchovávání osobních údajů po uplynutí této šestiměsíční lhůty má a priori značně negativní dopad na subjekt údajů.

72.

Z judikatury Soudního dvora vyplývá, že existují i další faktory, které by měly být při analýze rovněž zohledněny, a to pravidla pro přístup do databází a nabízené možnosti šíření osobních údajů ( 31 ). Zjednodušeně řečeno, čím snadněji jsou informace přístupné veřejnosti, tím závažnější je zásah do základních práv subjektu údajů. To platí zejména v případě, že počet uživatelů s přístupem k údajům subjektu údajů je velký ( 32 ). Jeví se mi tedy jako jasné, že i když jsou údaje během tohoto období šesti měsíců již dostupné ve veřejných rejstřících, skutečnost, že jsou souběžně uchovávané a dostupné v databázích soukromých obchodních informačních agentur, má vedle negativních důsledků dostupnosti těchto údajů ve veřejných rejstřících další dopad na soukromí jednotlivce.

73.

Dalším faktorem, který je třeba při analýze zohlednit, je případně citlivá povaha příslušných údajů ( 33 ). Obecně lze říci, že dopad na subjekt údajů se zvyšuje s citlivostí osobních údajů. V této souvislosti je třeba poznamenat, že z judikatury Soudního dvora vyplývá, že osobní údaje týkající se vymáhání dluhů jsou skutečně citlivými údaji pro soukromý život subjektu údajů ( 34 ). Poskytnutí těchto údajů v zásadě neomezenému počtu uživatelů je proto třeba považovat za významný zásah do základních práv této osoby ( 35 ).

74.

V neposlední řadě si myslím, že je nutné vzít v úvahu také faktor času. Dokonce i zákonné zpracování údajů nemusí být během plynutí času v souladu s GDPR, pokud údaje nejsou nebo již nejsou relevantní nebo jsou nepřiměřené s ohledem na účel, pro který byly původně shromážděny. V této souvislosti si kladu otázku, jak by mohlo být odůvodněno uchovávání osobních údajů po dobu tří let, když se vnitrostátní zákonodárce domnívá, že doba uchovávání v délce šesti měsíců, tj. mnohem kratší doba, je více než dostatečná pro zohlednění obchodních zájmů hospodářských subjektů. Rád bych poznamenal, že společnost SCHUFA nebyla schopna na tuto otázku jasně a přesvědčivě odpovědět ( 36 ), ačkoli má podle čl. 5 odst. 2 GDPR povinnost prokázat, že zásady týkající se zpracování osobních údajů byly dodrženy ( 37 ).

75.

Posouzení všech prvků uvedených v předchozích bodech mě vede k závěru, že značné negativní důsledky, které bude mít uchovávání údajů pro subjekt údajů po uplynutí daného šestiměsíčního období, zřejmě převáží nad obchodním zájmem soukromé společnosti a jejích zákazníků uchovávat údaje po uplynutí tohoto období. V této souvislosti je důležité zdůraznit, že oddlužení má příjemci umožnit opětovné zapojení do hospodářského života ( 38 ). Na tento aspekt upozornili na jednání také žalobci v původním řízení a Komise. Tento cíl by byl zmařen, pokud by soukromé obchodní informační agentury mohly uchovávat osobní údaje ve svých databázích i poté, co byly tyto údaje vymazány z veřejného rejstříku.

76.

Pokud jde konečně o případné dodatečné záruky zavedené správcem údajů s cílem zabránit jakémukoli nepřiměřenému dopadu na subjekty údajů, nelze žádné takové záruky z předkládacího rozhodnutí ani z připomínek společnosti SCHUFA vyčíst.

77.

S ohledem na výše uvedené skutečnosti se domnívám, že uchovávání údajů soukromou obchodní informační agenturou nemůže být na základě čl. 6 odst. 1 prvního pododstavce písm. f) GDPR po výmazu osobních údajů týkajících se úpadku z veřejných rejstříků zákonné.

78.

Pokud jde o šestiměsíční období, během něhož jsou osobní údaje rovněž k dispozici ve veřejných rejstřících, je na předkládajícím soudu, aby zvážil výše uvedené zájmy a dopady na subjekt údajů s cílem určit, zda je souběžné uchovávání těchto údajů soukromými obchodními informačními agenturami zákonné na základě čl. 6 odst. 1 prvního pododstavce písm. f) GDPR.

79.

V souladu se zásadou omezení účelu podle čl. 5 odst. 1 písm. b) GDPR je třeba zajistit, aby osobní údaje shromážděné pro určitý účel nebyly dále zpracovávány způsobem, který je s tímto účelem neslučitelný. V projednávané věci byly údaje týkající se úpadku a oddlužení zpracovávány veřejnými orgány v souvislosti s plněním zákonných povinností.

80.

Pokud však jde o pozdější použití údajů soukromou společností, mělo by být podle GDPR a za použití kritérií stanovených v čl. 6 odst. 4 tohoto nařízení přezkoumáno, zda je zamýšlený účel slučitelný s původním účelem. V projednávané věci jsou relevantní zejména písmena a), b) a d) tohoto ustanovení. Stanoví tato kritéria: i) vazba mezi původním účelem a pozdějším účelem; ii) okolnosti, za nichž byly údaje shromážděny, a zejména vztah mezi subjekty údajů a správcem, jakož i iii) možné důsledky zamýšleného dalšího zpracování pro subjekty údajů.

81.

Zaprvé se zdá, že vazba mezi účely je slabá, už proto, že původní účel je stanoven zákonem, konkrétně právem EU, které členským státům ukládá povinnost vytvářet a vést rejstříky ( 39 ), a správcem údajů je veřejný orgán jednající v rámci úkolů, které mu byly svěřeny zákonem, zatímco pozdější účel sleduje soukromý subjekt v rámci obchodní činnosti spočívající v poskytování ekonomických informací o osobách.

82.

Zadruhé, pokud jde o okolnosti, za nichž byly údaje shromážděny, je třeba poznamenat, že neexistuje žádná vazba mezi správcem a subjektem údajů, neboť údaje jsou shromažďovány nepřímo prostřednictvím rejstříků, a subjekt údajů si proto není vědom skutečnosti, že jeho údaje mohou být později použity, ani kdo a za jakým účelem je použije. To se mi jeví jako obzvláště závažné z hlediska ochrany osobních údajů, neboť zpravidla nikdo nemůže důvodně očekávat, že jeho osobní údaje budou dále zpracovávány ( 40 ). Skutečnost, že zákon stanoví pevnou dobu pro uchovávání údajů ve veřejných rejstřících, pravděpodobně vyvolává důvodné očekávání, že dotyčné údaje budou po uplynutí této doby vymazány.

83.

Zatřetí, pokud jde o možné důsledky, které může mít další zpracování údajů pro subjekty údajů, je třeba zdůraznit, že informace o insolvenčním řízení budou vždy použity jako negativní faktor při budoucím posuzování úvěruschopnosti a platební schopnosti dotčené fyzické osoby, což má významný dopad na práva této osoby. Chybná představa o ekonomické situaci může mít na dotyčnou osobu nepříznivé dopady, výrazně ztěžovat výkon jejích svobod, a dokonce ji ve společnosti stigmatizovat. V rozsahu, v jakém může být subjektu údajů odepřeno zboží a služby, se může stát obětí neoprávněné diskriminace.

84.

Vzhledem k těmto třem kritériím, která musí být splněna, aby použití osobních údajů odpovídalo původnímu účelu, jak vyžaduje čl. 6 odst. 4 GDPR, se zdá být sporné, zda pozdější použití těchto údajů může být v souladu s tímto účelem.

85.

Dále je třeba poznamenat, že již stanovením maximální lhůty šesti měsíců, během níž jsou při splnění zákonných podmínek zveřejněny informace o platební neschopnosti a rozhodnutí soudu o oddlužení, vzal vnitrostátní zákonodárce v úvahu realizaci veřejného zájmu a zvážil zájmy věřitelů na jedné straně a zájmy a práva osob v platební neschopnosti na straně druhé ( 41 ). Zpracovávání osobních údajů soukromými společnostmi po dobu šestkrát delší, než je zákonem stanovená doba pro veřejné rejstříky, se zdá být nepřiměřené a de facto postihuje subjekt údajů, ačkoli zákon nic takového zjevně nepředpokládá. Jak jsem již uvedl, oddlužení má příjemci umožnit opětovnou účast na hospodářském životě. Tento cíl by byl zmařen, pokud by soukromé obchodní informační agentury mohly uchovávat osobní údaje ve svých databázích i poté, co byly tyto údaje vymazány z veřejného rejstříku ( 42 ). Vzhledem k neexistenci důkazů v opačném smyslu se lze obávat, že podmínky přístupu k databázi byly vytvořeny s cílem obejít vnitrostátní právní předpisy, které členský stát přijal za účelem plnění svých povinností podle práva Unie ( 43 ).

86.

Kromě toho se zdá být nepřiměřené „opětovně použít“ minulou a již právně vyjasněnou situaci, jako je oddlužení, v budoucích posouzeních, místo aby se použily faktory aktualizované v době analýzy rizik, aby se zajistilo přesnější a objektivnější posouzení ekonomické situace dotyčné osoby. Lze totiž pochybovat o hodnotě informací o ekonomické situaci osoby, které jsou staré několik let. Osobní údaje vztahující se k okolnostem, které se týkají určitého minulého období, stěží poskytnou spolehlivé informace o stávající ekonomické situaci subjektu údajů. Zdá se, že německý zákonodárce si tento problém uvědomuje a vyvodil správné závěry, když se rozhodl pro podstatně kratší dobu uchovávání údajů.

87.

A konečně se domnívám, že způsob, jakým obchodní informační agentury postupují, je v rozporu se zásadou minimalizace údajů zakotvenou v čl. 5 odst. 1 písm. c) GDPR, podle níž musí být osobní údaje přiměřené, relevantní a omezené na to, co je nezbytné ve vztahu k účelu, pro který jsou zpracovávány. V této souvislosti vyvstává otázka, jaký smysl má zpřístupnění osobních údajů, které jsou již veřejně dostupné v rejstřících zřízených členskými státy. Zdá se mi, že taková činnost spíše povede k šíření citlivých informací, které nejsou nezbytně nutné k uspokojení obchodních zájmů hospodářských subjektů ( 44 ).

88.

Z výše uvedených důvodů se domnívám, že uchovávání těchto údajů soukromou obchodní informační agenturou nepředstavuje postup v souladu se zásadami omezení účelu a minimalizace údajů zakotvenými v čl. 5 odst. 1 písm. b) a c) GDPR.

89.

Na základě výše uvedené analýzy jsem dospěl k závěru, že praxe, kdy obchodní informační agentury uchovávají osobní údaje z veřejných rejstříků po dobu tří let, není v souladu se zásadami zpracování osobních údajů zakotvenými v GDPR. Je však třeba zdůraznit, že tento závěr vychází z posouzení skutkového stavu, za něž je v konečném důsledku odpovědný předkládající soud, který má spor rozhodnout.

90.

Předkládající soud si rovněž přeje vědět, zda „právo být zapomenut“ zakotvené v článku 17 GDPR znamená, že osobní údaje mají být vymazány z databází soukromé obchodní informační agentury, které existují vedle veřejných rejstříků a obsahují stejné údaje. Předkládající soud rozlišuje mezi obdobím, kdy jsou osobní údaje dostupné i ve veřejném rejstříku, a obdobím, kdy tam již dostupné nejsou.

91.

Ustanovení čl. 17 odst. 1 písm. d) GDPR stanoví absolutní právo subjektu údajů na výmaz jeho osobních údajů, pokud byly zpracovány protiprávně ( 45 ). Proto za předpokladu, že by předkládající soud s ohledem na závěr, k němuž jsem dospěl ve své analýze ( 46 ), konstatoval, že společnost SCHUFA nemohla zpracovávat osobní údaje žalobců zákonným způsobem na základě čl. 6 odst. 1 prvního pododstavce písm. f) GDPR, bylo by takové zpracování protiprávní, pokud by se neuplatnily žádné další důvody podle čl. 6 odst. 1 GDPR. V takovém případě by společnost SCHUFA byla povinna osobní údaje žalobců vymazat a tito žalobci by na to měli právo bez ohledu na to, zda o výmaz údajů požádali v období před výmazem údajů z veřejného rejstříku, nebo po něm. Takový výsledek se rovněž zdá být v souladu s požadavky čl. 5 odst. 1 písm. e) GDPR, který stanoví, že osobní údaje musí být „uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány“ (kurzivou zvýraznil autor stanoviska).

92.

V této souvislosti bych chtěl upozornit na ustanovení čl. 79 odst. 5 nařízení 2015/848, které zdůrazňuje význam, který unijní zákonodárce přikládá právu na výmaz, zejména pokud orgány zpracovávají zvláště citlivé osobní údaje, jako jsou údaje týkající se úvěruschopnosti subjektů údajů. Podle tohoto ustanovení [v] rámci informací, které by měly být subjektům údajů poskytnuty s cílem umožnit jim uplatnit svá práva, zejména právo na výmaz údajů (kurzivou zvýraznil autor stanoviska), informují členské státy subjekty údajů o době přístupnosti osobních údajů uchovávaných v insolvenčních rejstřících“. Unijní zákonodárce zjevně uznal potřebu vymazat tento typ údajů, pokud jejich uchovávání již není opodstatněné.

93.

Ačkoli se žádosti o rozhodnutí o předběžné otázce týkají pouze výkladu čl. 17 odst. 1 písm. d) GDPR, domnívám se, že ustanovení písmena c) tohoto odstavce 1 může být relevantní i pro účely rozsudku, který má být vydán v projednávaných věcech, a to v případě, že by předkládající soud v rozporu se závěrem, k němuž jsem dospěl na základě dostupných informací, dospěl k závěru, že společnost SCHUFA mohla zpracovávat osobní údaje žalobců zákonně podle čl. 6 odst. 1 prvního pododstavce písm. f) GDPR. Toto ustanovení stanoví právo na výmaz osobních údajů, pokud subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 GDPR a neexistují žádné převažující oprávněné důvody. Z této formulace vyplývá, že jakýkoli „převažující oprávněný důvod pro zpracování“ představuje výjimku z práva subjektu údajů vznést námitku proti zpracování a požadovat výmaz svých osobních údajů. Proto se předpokládá, že subjekt údajů má právo vznést námitku proti zpracování a právo na výmaz, pokud neexistují převažující oprávněné důvody ( 47 ).

94.

Domnívám se, že v zájmu účinné ochrany osobních údajů by neměly existovat žádné významné překážky pro výkon práva na výmaz, zejména pokud na trhu existuje několik obchodních informačních agentur, které vedou údaje souběžně s veřejným rejstříkem. Pokud by byl výkon tohoto práva příliš ztížen striktním výkladem čl. 17 odst. 1 GDPR, hrozilo by, že ochrana, kterou má GDPR poskytovat, by mohla být obcházena konkurencí. Je však třeba připomenout, že cílem unijního zákonodárce je – jak je uvedeno v bodě 10 odůvodnění GDPR – „zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů“ (kurzivou zvýraznil autor stanoviska). Proto musí mít subjekt údajů možnost uplatnit svá práva vůči všem společnostem, které tato pravidla porušují. Vzhledem k tomu, že společnost SCHUFA je pouze jednou z mnoha velkých obchodních informačních agentur v Německu, bude nutné zjistit, zda je uchovávání osobních údajů souběžně s veřejným rejstříkem mezi těmito agenturami rozšířenou praxí.

95.

V této fázi analýzy je proto třeba poznamenat, že žalobci se v zásadě mohou dovolávat práva na výmaz podle čl. 17 odst. 1 GDPR. Výsledek by byl jiný pouze v případě, že by se soukromé obchodní informační agentuře podařilo prokázat, že existují „závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů“ ve smyslu čl. 21 odst. 1 GDPR. Pokud dostupné informace neumožňují rozeznat převažující důvody, které by mohly vyvstat v původním řízení, přísluší předkládajícímu soudu zjistit skutkový stav a případně poměřit dotčené zájmy.

96.

S ohledem na výše uvedené úvahy je nutno čl. 17 odst. 1 písm. d) GDPR vykládat v tom smyslu, že subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, pokud byly tyto údaje zpracovány protiprávně, jak stanoví čl. 6 odst. 1 tohoto nařízení. Ustanovení čl. 17 odst. 1 písm. c) GDPR je nutno vykládat v tom smyslu, že subjekt údajů má v zásadě právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, pokud vznese námitku proti zpracování v souladu s čl. 21 odst. 1 tohoto nařízení. Předkládajícímu soudu přísluší přezkoumat, zda výjimečně neexistují převažující oprávněné důvody pro zpracování.

97.

Předkládající soud se rovněž táže, zda je v souladu s unijním právem, aby v kodexu chování ve smyslu článku 40 RGPD byly stanoveny lhůty pro kontrolu a výmaz, které přesahují lhůty pro uchovávání stanovené pro veřejné rejstříky, aniž by bylo nutné provést poměření zájmů stanovené v čl. 6 odst. 1 prvním pododstavci písm. f) tohoto nařízení.

98.

V tomto ohledu je třeba na úvod poznamenat, že podle vnitrostátního soudu v současné době neexistují žádné vnitrostátní právní předpisy, které by stanovily lhůty pro výmaz databází, které vedou obchodní informační agentury. Zdá se však, že kodex chování přijatý společně dozorovými úřady a sdružením obchodních informačních agentur je zúčastněnými stranami vnímán jako určitý „právní základ“ pro legitimizaci výše popsané praxe. Takové pojetí se mi zdá být právně sporné z následujících důvodů.

99.

Z právního hlediska je takový kodex chování pouze dobrovolným závazkem těch, kteří jej vypracovali a přijali, tj. výše uvedeného sdružení a jeho členů. Stejně tak skutečnost, že kodex chování byl schválen dozorovým úřadem, znamená pouze to, že se tento orgán jako správní orgán považuje za vázaný tímto kodexem chování. Zdá se mi však jasné, že v souladu s právní zásadou pacta tertiis nec nocent nec prosunt není tento kodex chování pro třetí strany závazný. V opačném případě by byly dotčeny nejen fyzické osoby, jejichž údaje jsou zpracovávány, ale i společnosti, které se na vypracování takového kodexu chování nepodílely.

100.

Kodex chování nemá z definice normativní hodnotu v právním řádu, jeho cílem je spíše upřesnit ustanovení normativního aktu, aby se usnadnilo jeho uplatňování. Tento výklad podporují ustanovení čl. 40 odst. 1 a 2 GDPR, podle nichž mají kodexy chování, které mají vypracovat sdružení a jiné subjekty zastupující různé kategorie správců nebo zpracovatelů, na jedné straně „přispět k řádnému uplatňování“ a na druhé straně „upřesnit uplatňování“ tohoto nařízení (kurzivou zvýrazni autor stanoviska). Pokud se tedy funkce dotčeného kodexu chování omezuje na zajištění správného uplatňování GDPR v daném odvětví, nemůže sám o sobě představovat právní základ pro odůvodnění zpracování osobních údajů ( 48 ).

101.

Právní základ pro takové zpracování lze nalézt pouze v článku 6 GDPR, nebo – pokud existuje použitelné zmocňovací ustanovení – ve vnitrostátním právu. V tomto stanovisku jsem již uvedl, že pokud jde o zásady týkající se zákonnosti zpracování, článek 6 GDPR obsahuje taxativní a omezující výčet případů, v nichž lze zpracování osobních údajů považovat za zákonné ( 49 ). Pravidla kodexu chování proto nemohou mít za následek rozšíření tohoto seznamu, aniž by zároveň neporušila unijní právo.

102.

Zdá se mi však, že k takovému porušení právě došlo v případě, kdy tato pravidla ukládají obchodním informačním agenturám povinnost uchovávat údaje subjektů údajů po dobu tří let, tj. po delší dobu, kterou nelze odůvodnit s ohledem na zásady, jimiž se řídí zpracování osobních údajů zakotvené v GDPR. Přesněji řečeno, jak jsem ukázal ve své analýze, uchovávání těchto údajů nelze považovat za zákonné na základě čl. 6 odst. 1 prvního pododstavce písm. f) GDPR, pokud jde o dobu následující po výmazu osobních údajů týkajících se platební neschopnosti z veřejných rejstříků ( 50 ).

103.

V této fázi analýzy je proto třeba poznamenat, že kodexy chování, které by vedly k jinému výsledku, než jakého by bylo dosaženo podle čl. 6 odst. 1 prvního pododstavce písm. f) GDPR, nelze při poměřování zájmů podle tohoto ustanovení zohlednit. Jako „správci“ ve smyslu čl. 4 odst. 7 se obchodní informační agentury nemohou schovávat za pravidla kodexu chování, který samy vypracovaly, aby se tak účinně vyhnuly svým povinnostem podle tohoto nařízení.

104.

S ohledem na výše uvedené úvahy se domnívám, že ustanovení čl. 40 odst. 2 a 5 GDPR musí být vykládáno v tom smyslu, že kodexy chování vypracované v souladu s těmito ustanoveními a případně schválené dozorovým úřadem nemohou stanovit právně závazné podmínky zákonného zpracování osobních údajů, které se liší od podmínek vymezených v čl. 6 odst. 1 GDPR.

105.

S ohledem na výše uvedené úvahy navrhuji, aby Soudní dvůr na předběžné otázky Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu) odpověděl takto: