Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62022CJ0026

Rozsudek Soudního dvora (prvního senátu) ze dne 7. prosince 2023.
UF a AB v. Land Hessen.
Žádosti o rozhodnutí o předběžné otázce Podané Verwaltungsgericht Wiesbaden.
Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 5 odst. 1 písm. a) – Zásada ‚zákonnosti‘ – Článek 6 odst. 1 první pododstavec písm. f) – Nezbytnost zpracování pro účely oprávněných zájmů správce nebo třetí strany – Článek 17 odst. 1 písm. d) – Právo na výmaz v případě protiprávního zpracování osobních údajů – Článek 40 – Kodexy chování – Článek 78 odst. 1 – Právo na účinnou soudní ochranu vůči dozorovému úřadu – Rozhodnutí dozorového úřadu o stížnosti – Rozsah soudního přezkumu tohoto rozhodnutí – Společnosti poskytující obchodní informace – Uložení údajů pocházejících z veřejného rejstříku týkajících se oddlužení určité osoby – Doba uložení.
Spojené věci C-26/22 a C-64/22.

Court reports – general

ECLI identifier: ECLI:EU:C:2023:958

 ROZSUDEK SOUDNÍHO DVORA (prvního senátu)

7. prosince 2023 ( *1 )

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 5 odst. 1 písm. a) až c) – Zásada ‚zákonnosti‘ – Článek 6 odst. 1 první pododstavec písm. f) – Nezbytnost zpracování pro účely oprávněných zájmů správce nebo třetí strany – Článek 17 odst. 1 písm. d) – Právo na výmaz v případě protiprávního zpracování osobních údajů – Článek 40 – Kodexy chování – Článek 78 odst. 1 – Právo na účinnou soudní ochranu vůči dozorovému úřadu – Rozhodnutí dozorového úřadu o stížnosti – Rozsah soudního přezkumu tohoto rozhodnutí – Společnosti poskytující obchodní informace – Uložení údajů pocházejících z veřejného rejstříku týkajících se oddlužení určité osoby – Doba uložení“

Ve spojených věcech C‑26/22 a C‑64/22,

jejichž předmětem jsou žádosti o rozhodnutí o předběžné otázce podané na základě článku 267 SFEU rozhodnutími Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu, Německo) ze dne 23. prosince 2021 a ze dne 31. ledna 2022, došlými Soudnímu dvoru dne 11. ledna 2022 a dne 2. února 2022, v řízeních

UF (C‑26/22),

AB (C‑64/22)

proti

Land Hessen,

za účasti:

SCHUFA Holding AG,

SOUDNÍ DVŮR (první senát),

ve složení: A. Arabadžev, předseda senátu, T. von Danwitz, P. G. Xuereb, A. Kumin (zpravodaj) a I. Ziemele, soudci,

generální advokát: P. Pikamäe,

za soudní kancelář: K. Hötzel, radová,

s přihlédnutím k písemné části řízení a po jednání konaném dne 26. ledna 2023,

s ohledem na vyjádření, která předložili:

za UF a AB: R. Rohrmoser a S. Tintemann, Rechtsanwälte,

za Land Hessen: M. Kottmann a G. Ziegenhorn, Rechtsanwälte,

za SCHUFA Holding AG: G. Thüsing a U. Wuermeling, Rechtsanwälte,

za německou vládu: J. Möller a P.-L. Krüger, jako zmocněnci,

za portugalskou vládu: P. Barros da Costa, J. Ramos a C. Vieira Guerra, jako zmocněnkyně,

za Evropskou komisi: A. Bouchagiar, F. Erlbacher, H. Kranenborg a W. Wils, jako zmocněnci,

po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 16. března 2023,

vydává tento

Rozsudek

1

Žádosti o rozhodnutí o předběžné otázce se týkají výkladu článků 7 a 8 Listiny základních práv Evropské unie (dále jen „Listina“), jakož i čl. 6 odst. 1 prvního pododstavce písm. f), čl. 17 odst. 1 písm. d), článku 40, čl. 77 odst. 1 a čl. 78 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1 a oprava Úř. věst. 2018, L 127, s. 2, dále jen „GDPR“).

2

Tyto žádosti byly předloženy v rámci dvou sporů mezi UF (věc C‑26/22) a AB (věc C‑64/22) na straně jedné a Land Hessen (spolková země Hesensko, Německo) na straně druhé ve věci odmítnutí Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Hessenský pověřenec pro ochranu údajů a informační svobodu, Německo) (dále jen „HBDI“) nařídit společnosti SCHUFA Holding AG (dále jen „SCHUFA“), aby vymazala u ní uložené údaje týkající se oddlužení UF a AB.

Právní rámec

Unijní právo

Směrnice 2008/48/ES

3

Body 26 a 28 odůvodnění směrnice Evropského parlamentu a Rady 2008/48/ES ze dne 23. dubna 2008 o smlouvách o spotřebitelském úvěru a o zrušení směrnice Rady 87/102/EHS (Úř. věst. 2008, L 133, s. 66) uvádí:

„(26)

[…] Především na rozšiřujícím se úvěrovém trhu je důležité, aby se věřitelé nepouštěli do nezodpovědného půjčování ani neposkytovali úvěry bez předchozího posouzení úvěruschopnosti, a členské státy by měly vykonávat nezbytný dohled s cílem předejít takovému jednání, a měly by pro tyto případy stanovit nezbytné prostředky k sankcionování věřitelů. […] [V]ěřitelé [by měli mít] povinnost kontrolovat v jednotlivých případech úvěruschopnost spotřebitele. […]

[…]

(28)

K posouzení úvěruschopnosti spotřebitele by měl věřitel rovněž vyhledávat v příslušných databázích; právní a faktické okolnosti mohou vyžadovat, aby se toto vyhledávání lišilo co do rozsahu. Aby se předešlo narušení hospodářské soutěže mezi věřiteli, mělo by se zajistit, aby věřitelé měli přístup do soukromých nebo veřejných databází týkajících se spotřebitelů v členském státě, ve kterém nejsou usazeni, za podmínek nevedoucích k diskriminaci oproti věřitelům v tomto členském státě.“

4

Článek 8 této směrnice, nadepsaný „Povinnost posoudit úvěruschopnost spotřebitele“, v odstavci 1 stanoví:

„Členské státy zajistí, aby před uzavřením úvěrové smlouvy věřitel posoudil úvěruschopnost spotřebitele na základě dostatečných informací získaných případně od spotřebitele, a pokud je to nezbytné, na základě vyhledávání v příslušné databázi. Členské státy, jejichž právní předpisy vyžadují, aby věřitelé posoudili úvěruschopnost spotřebitelů na základě vyhledávání v příslušné databázi, mohou tento požadavek zachovat.“

Směrnice 2014/17/EU

5

Body 55 a 59 odůvodnění směrnice Evropského parlamentu a Rady 2014/17/EU ze dne 4. února 2014 o smlouvách o spotřebitelském úvěru na nemovitosti určené k bydlení a o změně směrnic 2008/48/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 (Úř. věst. 2014, L 60, s. 34) uvádí:

„(55)

Je nezbytné, aby před uzavřením smlouvy o úvěru byla posouzena a ověřena schopnost a vůle spotřebitele úvěr splatit. Toto posouzení úvěruschopnosti by mělo vzít v úvahu všechny nezbytné a relevantní faktory, které by mohly ovlivnit schopnost spotřebitele daný úvěr po dobu jeho trvání splácet. […]

[…]

(59)

Vyhledávání v úvěrové databázi je užitečný prvek při posuzování úvěruschopnosti. […]“

6

Článek 18 této směrnice, nadepsaný „Povinnost posoudit úvěruschopnost spotřebitele“, v odstavci 1 stanoví:

„Členské státy zajistí, aby před uzavřením smlouvy o úvěru věřitel důkladně posoudil úvěruschopnost spotřebitele. Při tomto posuzování se náležitě zohlední faktory, které jsou relevantní pro ověření pravděpodobnosti, že spotřebitel své závazky ze smlouvy o úvěru splní.“

7

Článek 21 uvedené směrnice, nadepsaný „Přístup k databázím“, v odstavcích 1 a 2 stanoví:

„1.   Každý členský stát zajistí pro všechny věřitele ze všech členských států přístup k databázím používaným v daném členském státě k posuzování úvěruschopnosti spotřebitelů a za výhradním účelem kontroly plnění jejich úvěrových závazků po dobu trvání smlouvy o úvěru. Podmínky přístupu musí být nediskriminační.

2.   Odstavec 1 se použije na databáze spravované soukromými úvěrovými kancelářemi nebo agenturami, jež referují o úvěrech, i na veřejné registry.“

Nařízení (EU) 2015/848

8

Bod 76 odůvodnění nařízení Evropského parlamentu a Rady (EU) 2015/848 ze dne 20. května 2015 o insolvenčním řízení (Úř. věst. L 141, s. 19) uvádí:

„Aby se zlepšilo poskytování informací věřitelům a soudům a aby se zabránilo zahajování souběžných insolvenčních řízení, měly by mít členské státy povinnost zveřejňovat příslušné informace z přeshraničních úpadkových věcí ve veřejně přístupných elektronických rejstřících. Aby se zlepšil přístup věřitelů a soudů s bydlištěm nebo sídlem v jiném členském státě k těmto informacím, mělo by toto nařízení stanovit propojení těchto insolvenčních rejstříků prostřednictvím portálu evropské e-justice. […]“

9

Článek 79 tohoto nařízení, nadepsaný „Povinnosti členských států v oblasti zpracování osobních údajů ve vnitrostátních insolvenčních rejstřících“, v odstavcích 4 a 5 stanoví:

„4.   Členské státy v souladu se směrnicí 95/46/ES [směrnice Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, s. 31)] odpovídají za shromažďování a uchovávání údajů ve vnitrostátních databázích a za rozhodnutí o zpřístupnění těchto údajů v propojeném rejstříku, který lze konzultovat prostřednictvím portálu evropské e-justice.

5.   V rámci informací, které by měly být subjektům údajů poskytnuty s cílem umožnit jim uplatnit svá práva, zejména právo na výmaz údajů, informují členské státy subjekty údajů o době přístupnosti osobních údajů uchovávaných v insolvenčních rejstřících.“

GDPR

10

Body 10, 11, 47, 50, 98, 141 a 143 odůvodnění GDPR uvádí:

„(10)

S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci [Evropské] [u]nie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů. […]

(11)

Účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení a podrobné vymezení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a rovnocenné sankce za jejich porušování v členských státech.

[…]

(47)

Oprávněné zájmy správce, včetně správce, jemuž mohou být osobní údaje poskytnuty, nebo třetí strany se mohou stát právním základem zpracování za předpokladu, že nepřevažují zájmy nebo základní práva a svobody subjektu údajů, a to při zohlednění přiměřeného očekávání subjektu údajů na základě jeho vztahu se správcem. Tento oprávněný zájem by mohl být dán například v situaci, kdy existuje relevantní a odpovídající vztah mezi subjektem údajů a správcem, například pokud je subjekt údajů zákazníkem správce nebo mu naopak poskytuje služby. Existenci oprávněného zájmu je v každém případě třeba pečlivě posoudit, včetně toho, zda subjekt údajů může v okamžiku a v kontextu shromažďování osobních údajů důvodně očekávat, že ke zpracování pro tento účel může dojít. Zájmy a základní práva subjektu údajů by mohly převážit nad zájmy správce údajů zejména tehdy, jestliže ke zpracování osobních údajů dochází za okolností, kdy subjekt údajů jejich další zpracování důvodně neočekává. […]

[…]

(50)

Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny. V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů. […] S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.

[…]

(98)

Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů by měly být vybízeny k tomu, aby v mezích tohoto nařízení vypracovaly kodexy chování s cílem usnadnit účinné uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování prováděného v některých odvětvích a specifických potřeb mikropodniků a malých a středních podniků. Tyto kodexy chování by zejména mohly upřesňovat povinnosti správců a zpracovatelů s přihlédnutím k riziku, které ze zpracování pravděpodobně vyplyne pro práva a svobody fyzických osob.

[…]

(141)

Každý subjekt údajů by měl mít právo podat stížnost u jediného dozorového úřadu, zejména v členském státě, kde má své obvyklé bydliště, a právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Dozorový úřad by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. […]

[…]

(143)

[…] [K]aždá fyzická nebo právnická osoba [by měla mít] právo na účinnou soudní ochranu u příslušného vnitrostátního soudu proti rozhodnutím dozorového úřadu, která vůči ní zakládají právní účinky. Taková rozhodnutí se týkají zejména výkonu vyšetřovacích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností. Právo na účinnou soudní ochranu se však nevztahuje na další opatření dozorových úřadů, která nejsou právně závazná, jako jsou stanoviska vydávaná dozorovým úřadem nebo poradenství jím poskytované. Řízení proti dozorovému úřadu by mělo být zahájeno u soudů toho členského státu, v němž je daný dozorový úřad zřízen, a mělo by probíhat podle procesního práva tohoto členského státu. Tyto soudy by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní.

Pokud dozorový úřad odmítl nebo zamítl stížnost, může se stěžovatel obrátit na soudy v tomtéž členském státě. Pokud jde o soudní ochranu související s uplatňováním tohoto nařízení, vnitrostátní soudy, které zvažují rozhodnutí o otázce nezbytné pro vydání jejich rozsudku, mohou, nebo v případě uvedeném v článku 267 Smlouvy o fungování EU musí, požádat Soudní dvůr o rozhodnutí o předběžné otázce týkající se výkladu práva Unie včetně tohoto nařízení. […]“

11

Článek 5 tohoto nařízení, nadepsaný „Zásady zpracování osobních údajů“, zní:

„1.   Osobní údaje musí být:

a)

ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem (‚zákonnost, korektnost a transparentnost‘);

[…]

c)

přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (‚minimalizace údajů‘);

[…]

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

12

Článek 6 uvedeného nařízení, nadepsaný „Zákonnost zpracování“, stanoví:

„1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]

f)

zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

[…]

4.   Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

a)

jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;

b)

okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;

c)

povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se odsouzení v trestních věcech a trestných činů podle článku 10;

d)

možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;

e)

existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.“

13

Článek 17 GDPR, nadepsaný „Právo na výmaz (‚právo být zapomenut‘)“, v odstavci 1 stanoví:

„Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

[…]

c)

subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2;

d)

osobní údaje byly zpracovány protiprávně;

[…]“

14

Článek 21 tohoto nařízení, nadepsaný „Právo vznést námitku“, v odstavcích 1 a 2 stanoví:

„1.   Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

2.   Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.“

15

Článek 40 uvedeného nařízení, nadepsaný „Kodexy chování“, v odstavcích 1, 2 a 5 stanoví:

„1.   Členské státy, dozorové úřady, sbor a [Evropská] [k]omise podporují vypracování kodexů chování, které mají přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví provádějících zpracování a na konkrétní potřeby mikropodniků a malých a středních podniků.

2.   Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat kodexy chování nebo tyto kodexy upravovat či rozšiřovat, a to s cílem upřesnit uplatňování ustanovení tohoto nařízení, mimo jiné pokud jde o:

a)

spravedlivé a transparentní zpracování;

b)

oprávněné zájmy, jež správci v konkrétních situacích sledují;

c)

shromažďování osobních údajů;

[…]

5.   Sdružení nebo jiné subjekty uvedené v odstavci 2 tohoto článku, které mají v úmyslu vypracovat kodex chování nebo upravit či rozšířit existující kodex, předloží návrh kodexu či návrhy na úpravu či rozšíření kodexu dozorového úřadu, který je příslušný podle článku 55. Dozorový úřad vydá stanovisko k tomu, zda je daný návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením, a pokud shledá, že tento návrh nebo návrh na úpravu či rozšíření kodexu poskytuje dostatečné vhodné záruky, schválí jej.“

16

Článek 51 GDPR, nadepsaný „Dozorový úřad“, v odstavci 1 stanoví:

„Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen ‚dozorový úřad‘).“

17

Článek 52 tohoto nařízení, nadepsaný „Nezávislost“, v odstavcích 1, 2 a 4 stanoví:

„1.   Každý dozorový úřad jedná při plnění úkolů a při výkonu svých pravomocí podle tohoto nařízení zcela nezávisle.

2.   Člen či členové každého dozorového úřadu musí být při plnění svých úkolů a výkonu svých pravomocí podle tohoto nařízení i nadále nezávislí na vnějším vlivu, přímém či nepřímém, a od nikoho nesmějí vyžadovat ani přijímat pokyny.

[…]

4.   Každý členský stát zajistí, aby byl každý dozorový úřad vybaven lidskými, technickými a finančními zdroji, prostorami a infrastrukturou, které bude potřebovat pro účinné plnění svých úkolů a výkon svých pravomocí, včetně úkolů a pravomocí, jež je třeba plnit v rámci vzájemné pomoci, spolupráce a účasti ve sboru.“

18

Článek 57 uvedeného nařízení, nadepsaný „Úkoly“, v odstavci 1 stanoví:

„Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:

a)

monitoruje a vymáhá uplatňování tohoto nařízení;

[…]

f)

zabývá se stížnostmi, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 80, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem;

[…]“

19

Článek 58 GDPR, nadepsaný „Pravomoci“, v odstavci 1 uvádí vyšetřovací pravomoci, které má každý dozorový úřad, a v odstavci 2 nápravná opatření, která tento orgán může přijmout.

20

Článek 77 tohoto nařízení, nadepsaný „Právo podat stížnost u dozorového úřadu“, stanoví:

„1.   Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.

2.   Dozorový úřad, kterému byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 78.“

21

Článek 78 uvedeného nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči dozorovému úřadu“, v odstavcích 1 a 2 stanoví:

„1.   Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

2.   Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku.“

22

Článek 79 GDPR, nadepsaný „Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.“

Německé právo

23

Ustanovení § 9 odst. 1 Insolvenzordnung (insolvenční řád) ze dne 5. října 1994 (BGBl. 1994 I, s. 2866), ve svém znění použitelném na skutkové okolnosti v původním řízení, stanoví:

„Veřejné oznámení se uskutečňuje centrálním zveřejněním na internetu na celostátní úrovni; zveřejnění může být provedeno rovněž formou výňatků. Dlužník musí být přesně identifikován; zejména musí být uvedena jeho adresa a obor jeho podnikání. Oznámení je považováno za zveřejněné uplynutím dvou dnů po dni zveřejnění.“

24

Ustanovení § 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (nařízení o veřejných oznámeních v insolvenčním řízení na internetu) ze dne 12. února 2002 (BGBl. I, p. 677, dále jen „InsoBekV“) v odstavcích 1 a 2 stanoví:

„(1)   Údaje z insolvenčního řízení zveřejněné v elektronickém informačním a komunikačním systému včetně zahajovacího řízení se vymažou nejpozději šest měsíců po zrušení nebo pravomocném rozhodnutí o zastavení insolvenčního řízení. Není-li řízení zahájeno, začíná lhůta plynout zrušením zveřejněných zajišťovacích opatření.

(2)   Odstavec 1 věta první se vztahuje na zveřejnění provedená v rámci řízení o oddlužení, včetně usnesení uvedeného v § 289 insolvenčního řádu, s tím, že předmětná lhůta počíná běžet od nabytí právní moci rozhodnutí o oddlužení.“

Spory v původním řízení a předběžné otázky

25

V rámci insolvenčních řízení vedených vůči UF a AB bylo soudními rozhodnutími vydanými dne 17. prosince 2020 a 23. března 2021 povoleno oddlužení. Podle § 9 odst. 1 Insolvenzordnung, jakož i podle § 3 odst. 1 a 2 InsoBekV bylo úřední zveřejnění těchto rozhodnutí na internetu po uplynutí lhůty šesti měsíců od vydání těchto rozhodnutí smazáno.

26

SCHUFA je soukromá společnost poskytující obchodní informace, která ve svých vlastních databázích zaznamenává a uchovává informace z veřejných rejstříků, zejména informace týkající se oddlužení. Výmaz těchto informací provádí po uplynutí lhůty tří let od provedení záznamu, v souladu s kodexem chování, který byl v Německu vypracován sdružením společností poskytujících obchodní informace a schválen příslušným dozorovým orgánem.

27

UF a AB se obrátili na společnost SCHUFA a požádali ji o vymazání všech záznamů týkajících se rozhodnutí o jejich oddlužení. Tato společnost odmítla jejich žádostem vyhovět, poté co prohlásila, že svoji činnost provádí v souladu s GDPR a nevztahuje se na ni šestiměsíční lhůta pro výmaz stanovená v § 3 odst. 1 InsoBekV.

28

UF a AB poté podali stížnost k HBDI, který je příslušným dozorovým orgánem.

29

V rozhodnutích ze dne 1. března 2021 a ze dne 9. července 2021 vycházel HBDI z toho, že společnost SCHUFA provádí zpracování údajů v souladu se zákonem.

30

UF a AB podali proti rozhodnutím HBDI žalobu k Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu, Německo), který je předkládajícím soudem. Na podporu těchto žalob tvrdí, že HBDI byl v rámci svých úkolů a pravomocí povinen přijmout opatření vůči společnosti SCHUFA, kterými měl zajistit vymazání záznamů, které se jich týkaly.

31

Ve svých žalobních odpovědích HBDI navrhl, aby byly žaloby zamítnuty.

32

HBDI tvrdí, že právo podat stížnost stanovené v čl. 77 odst. 1 GDPR je koncipováno pouze jako petiční právo. Soudní přezkum se tedy omezuje na ověření toho, zda se dozorový úřad stížností zabýval a zda stěžovatele informoval o pokroku v řešení stížnosti a o jeho výsledku. Naproti tomu soudu, jemuž byla věc předložena k rozhodnutí, nepřísluší, aby přezkoumával věcnou správnost rozhodnutí o stížnosti.

33

HBDI dále zdůrazňuje, že údaje, k nimž mají společnosti poskytující obchodní informace přístup, mohou být uchovávány po dobu nezbytnou pro účely, pro které byly uloženy. Vzhledem k neexistenci právní úpravy stanovené vnitrostátním zákonodárcem byly dozorovými úřady po konzultaci se sdružením společností poskytujících obchodní informace přijaty kodexy chování, které stanoví výmaz těchto údajů přesně tři roky po uložení do databáze.

34

V této souvislosti považuje předkládající soud za nezbytné zaprvé vyjasnit právní povahu rozhodnutí dozorového úřadu o stížnosti podané podle čl. 77 odst. 1 GDPR.

35

Tento soud má zejména pochybnosti o argumentaci HBDI, protože tato argumentace by vedla k narušení účinnosti soudní ochrany ve smyslu čl. 78 odst. 1 GDPR. Kromě toho, s ohledem na cíl sledovaný tímto nařízením, kterým je zajistit při naplňování článků 7 a 8 Listiny účinnou ochranu základních práv a svobod fyzických osob, nelze články 77 a 78 uvedeného nařízení vykládat restriktivně.

36

Uvedený soud se přiklání k výkladu, podle kterého rozhodnutí ve věci samé přijaté dozorovým úřadem musí podléhat soudnímu přezkumu v plné jurisdikci. Tento úřad je nicméně nadán jak posuzovací pravomocí, tak i diskreční pravomocí a může být povinen jednat pouze tehdy, pokud neexistují jiné legální možnosti.

37

Zadruhé si předkládající soud klade ve dvou ohledech otázku, zda je přípustné, aby společnosti poskytující obchodní informace uchovávaly údaje o úvěruschopnosti osoby pocházející z takových veřejných rejstříků, jako je insolvenční rejstřík.

38

Zaprvé existují pochybnosti o zákonnosti uchovávání údajů získaných z veřejných rejstříků takovou soukromou společností, jako je SCHUFA, v jejích vlastních databázích.

39

K tomuto uchovávání totiž nejprve nedochází z konkrétního důvodu, nýbrž pro případ, že by její smluvní partneři požádali o takovéto informace a v konečném důsledku tedy vede k uložení těchto údajů tzv. do zásoby, zejména tehdy, pokud z veřejného rejstříku již byly z důvodu uplynutí doby uchovávání vymazány.

40

Kromě toho, zpracování a tedy uložení údajů je povoleno pouze tehdy, pokud je splněna některá z podmínek stanovených v čl. 6 odst. 1 GDPR. V projednávané věci připadá v úvahu pouze podmínka uvedená v čl. 6 odst. 1 prvním pododstavci písm. f) tohoto nařízení. Je však sporné, zda taková společnost poskytující obchodní informace, jako je společnost SCHUFA, sleduje oprávněný zájem ve smyslu tohoto ustanovení.

41

Společnost SCHUFA je konečně pouze jednou z mnoha společností poskytujících obchodní informace, údaje by tedy byly v Německu uchovávány vícenásobně, což by znamenalo masivní porušení základního práva zakotveného v článku 7 Listiny.

42

Zadruhé i za předpokladu, že by uchovávání údajů z veřejných rejstříků soukromými společnostmi bylo jako takové zákonné, vyvstala by otázka možné doby takového uložení.

43

V této souvislosti zastává předkládající soud názor, že je třeba od těchto soukromých společností vyžadovat, aby dodržovaly šestiměsíční lhůtu, kterou pro uložení rozhodnutí o oddlužení v insolvenčním rejstříku stanoví § 3 InsoBekV. Údaje, které musí být vymazány ve veřejném rejstříku, by tedy měly být současně vymazány i u všech soukromých společností, které poskytují obchodní informace, u nichž byly tyto údaje uloženy.

44

Kromě toho vyvstává otázka, zda kodex chování schválený podle článku 40 GDPR, který pro výmaz záznamu týkajícího se oddlužení stanoví tříletou lhůtu, musí být zohledněn při zvážení, které je nutno provést v rámci posouzení podle čl. 6 odst. 1 prvního pododstavce písm. f) GDPR.

45

Za těchto podmínek se Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1)

Musí být čl. 77 odst. 1 ve spojení s čl. 78 odst. 1 GDPR chápán v tom smyslu, že závěr dozorového úřadu, který tento úřad sdělí subjektu údajů,

má povahu rozhodnutí o petici? Omezuje se v důsledku toho soudní přezkum rozhodnutí dozorového úřadu o stížnosti podle čl. 78 odst. 1 GDPR v zásadě na otázku, zda se tento úřad stížností zabýval, zda řádně prošetřil předmět stížnosti, a zda stěžovatele informoval o závěru šetření,

nebo

je nutno jej považovat za úřední rozhodnutí ve věci? Musí v důsledku toho soud přezkoumat rozhodnutí dozorového úřadu o stížnosti podle čl. 78 odst. 1 GDPR z obsahového hlediska v plném rozsahu, přičemž v konkrétním případě, kdy např. úřad nemá žádný prostor pro uvážení, může soud uložit dozorovému úřadu rovněž povinnost přijmout konkrétní opatření ve smyslu článku 58 GDPR?

2)

Je s články 7 a 8 [Listiny] slučitelné uchovávání údajů u soukromé společnosti poskytující obchodní informace, která uchovává osobní údaje z veřejného rejstříku, který je ‚vnitrostátní databází‘ ve smyslu čl. 79 odst. 4 a 5 nařízení [2015/848], bez konkrétního podnětu, aby mohla na vyžádání poskytnout informace?

3)

a)

Jsou v zásadě přípustné paralelní soukromé databáze (zejména databáze vedené společností poskytující obchodní informace), které jsou vytvářeny mimo státní databáze a v nichž jsou údaje pocházející ze státních databází (v projednávané věci oznámení o insolvencích) uloženy po delší dobu, než jak striktně stanoví nařízení 2015/848 ve spojení s vnitrostátním právem?

b)

V případě kladné odpovědi na třetí otázku písm. a), vyplývá z práva být zapomenut, které je zakotveno v čl. 17 odst. 1 písm. d) [GDPR], že tyto údaje musí být vymazány po uplynutí doby zpracování stanovené pro veřejný rejstřík?

4)

Přichází-li čl. 6 odst. 1 první pododstavec písm. f) [GDPR] do úvahy jako jediný právní základ pro uchovávání údajů u soukromých společností poskytujících obchodní informace, a to i pokud jde o údaje uložené ve veřejných rejstřících, je třeba existenci oprávněného zájmu takovéto společnosti konstatovat již tehdy, pokud tato společnost přebírá údaje z veřejného rejstříku bez konkrétního podnětu, aby tyto údaje později měla na vyžádání k dispozici?

5)

Mohou kodexy chování, které byly podle článku 40 [GDPR] schváleny dozorovými úřady a které stanoví lhůty pro kontrolu a výmaz, jež jsou delší než doby uložení ve veřejných rejstřících, „suspendovat“ zvážení, které je nutno provést podle čl. 6 odst. 1 prvního pododstavce písm. f) tohoto nařízení?“

46

Rozhodnutím předsedy Soudního dvora ze dne 11. února 2022 byly věci C‑26/22 a C‑64/22 spojeny pro účely písemné i ústní části řízení, jakož i pro účely rozsudku.

K předběžným otázkám

K první otázce

47

Podstatou první otázky předkládajícího soudu je, zda čl. 78 odst. 1 GDPR musí být vykládán v tom smyslu, že soudní přezkum rozhodnutí o stížnosti, které vydal dozorový úřad, se omezuje na otázku, zda se tento úřad stížností zabýval, zda řádně prošetřil předmět stížnosti, a zda stěžovatele informoval o závěru šetření, nebo zda toto rozhodnutí podléhá plnému soudnímu přezkumu, který zahrnuje pravomoc soudu, jemuž byla věc předložena k rozhodnutí, uložit dozorovému úřadu povinnost přijmout konkrétní opatření.

48

Za účelem odpovědi na tuto otázku je třeba úvodem připomenout, že výklad ustanovení unijního práva vyžaduje, aby bylo zohledněno nejen znění tohoto ustanovení, ale i kontext, do něhož je zasazeno, jakož i cíle a účel, které sleduje akt, jehož je součástí (rozsudek ze dne 22. června 2023, Pankki S,C‑579/21EU:C:2023:501, bod 38 a citovaná judikatura).

49

Pokud jde o znění čl. 78 odst. 1 GDPR, toto ustanovení stanoví, že aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

50

V této souvislosti je třeba úvodem poznamenat, že v projednávaném případě jsou rozhodnutí přijatá HBDI právně závaznými rozhodnutími ve smyslu čl. 78 odst. 1. Po přezkoumání opodstatněnosti stížností, které k němu byly podány, tento úřad totiž konstatoval, že zpracování osobních údajů, které žalobci v původních řízeních napadli, bylo podle GDPR zákonné. Právně závaznou povahu těchto rozhodnutí navíc potvrzuje bod 143 odůvodnění tohoto nařízení, podle něhož odmítnutí či zamítnutí stížnosti dozorovým úřadem představuje rozhodnutí, které vůči stěžovateli zakládá právní účinky.

51

Je třeba rovněž připomenout, že z tohoto ustanovení vykládaného ve světle bodu 141 odůvodnění tohoto nařízení vyplývá, že každý subjekt údajů má právo na „účinnou“ soudní ochranu v souladu s článkem 47 Listiny.

52

Soudní dvůr tak již rozhodl, že z čl. 78 odst. 1 GDPR ve spojení s bodem 143 odůvodnění tohoto nařízení vyplývá, že soudy, k nimž je podána žaloba proti rozhodnutí dozorového úřadu, by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní (rozsudek ze dne 12. ledna 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21EU:C:2023:2, bod 41).

53

Článek 78 odst. 1 GDPR proto nelze vykládat v tom smyslu, že se soudní přezkum rozhodnutí dozorového úřadu o stížnosti omezuje na otázku, zda se tento úřad stížností zabýval, zda řádně prošetřil předmět stížnosti, a zda stěžovatele informoval o závěru šetření. Naopak, aby byla soudní ochrana „účinná“, jak vyžaduje toto ustanovení, musí být takové rozhodnutí podrobeno soudnímu přezkumu v plné jurisdikci.

54

Tento výklad je potvrzen kontextem čl. 78 odst. 1 GDPR, jakož i cíli a účelem, které toto nařízení sleduje.

55

Pokud jde o kontext tohoto ustanovení, je třeba uvést, že podle čl. 8 odst. 3 Listiny, jakož i podle čl. 51 odst. 1 a čl. 57 odst. 1 písm. a) GDPR jsou vnitrostátní dozorové úřady pověřeny dohlížením na dodržování unijních pravidel týkajících se ochrany fyzických osob v souvislosti se zpracováním osobních údajů (rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18EU:C:2020:559, bod 107).

56

Podle čl. 57 odst. 1 písm. f) GDPR má každý dozorový úřad zejména povinnost zabývat se na svém území stížnostmi, které mu má podle čl. 77 odst. 1 tohoto nařízení právo podat každý subjekt údajů, jenž se domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení, a také povinnost ve vhodné míře prošetřit předmět takové stížnosti. Dozorový úřad se musí takovou stížností zabývat s veškerou náležitou péčí (rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18EU:C:2020:559, bod 109).

57

Za účelem vyřizování podaných stížností přiznává čl. 58 odst. 1 GDPR každému dozorovému úřadu významné vyšetřovací pravomoci. Pokud takovýto orgán na základě svého šetření zjistí porušení ustanovení tohoto nařízení, je povinen přijmout vhodná opatření k nápravě zjištěného nedostatku. Pro tyto účely jsou v čl. 58 odst. 2 uvedeného nařízení vyjmenovány různé nápravné pravomoci, které dozorový úřad má (v tomto smyslu viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18EU:C:2020:559, bod 111).

58

Z toho vyplývá, jak uvedl generální advokát v bodě 42 svého stanoviska, že řízení o stížnosti, které není podobné řízení o petici, je koncipováno jako mechanismus schopný účinně chránit práva a zájmy subjektů údajů.

59

Vzhledem k rozsáhlým pravomocem, kterými dozorový úřad podle GDPR disponuje, by přitom nebyl splněn požadavek účinné soudní ochrany, pokud by rozhodnutí týkající se výkonu vyšetřovací pravomoci takového dozorového úřadu nebo přijetí nápravných opatření podléhala pouze omezenému soudnímu přezkumu.

60

Totéž platí pro rozhodnutí o zamítnutí stížnosti, protože čl. 78 odst. 1 GDPR nerozlišuje podle povahy rozhodnutí přijatého dozorovým úřadem.

61

Pokud jde o cíle sledované GDPR, zejména z bodu 10 odůvodnění tohoto nařízení vyplývá, že jeho cílem je zajistit vysokou úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů v rámci Unie. Bod 11 odůvodnění tohoto nařízení kromě toho uvádí, že účinná ochrana těchto osobních údajů vyžaduje posílení práv subjektů údajů.

62

Pokud by přitom čl. 78 odst. 1 uvedeného nařízení měl být vykládán v tom smyslu, že soudní přezkum, který má být proveden, se omezuje na ověření toho, zda se dozorový úřad stížností zabýval, zda řádně prošetřil předmět stížnosti a zda stěžovatele informoval o závěru šetření, bylo by dosažení cílů a sledování účelu tohoto nutně ohroženo.

63

Kromě toho výklad tohoto ustanovení, podle něhož rozhodnutí o stížnosti přijaté dozorovým úřadem podléhá soudnímu přezkumu v plné jurisdikci, nezpochybňuje záruky nezávislosti, které mají dozorové úřady, ani právo na účinnou soudní ochranu vůči správci nebo zpracovateli.

64

Zaprvé je pravda, že podle čl. 8 odst. 3 Listiny dohlíží na dodržování pravidel v oblasti ochrany osobních údajů nezávislý orgán. V této souvislosti článek 52 GDPR mimo jiné upřesňuje, že každý dozorový úřad jedná při plnění úkolů a při výkonu svých pravomocí podle tohoto nařízení zcela nezávisle (odstavec 1), že člen či členové každého dozorového úřadu musí být při plnění svých úkolů a výkonu svých pravomocí i nadále nezávislí na vnějším vlivu (odstavec 2) a každý členský stát zajistí, aby byl každý dozorový úřad vybaven zdroji, které bude potřebovat pro účinné plnění svých úkolů a výkon svých pravomocí (odstavec 4).

65

Tyto záruky nezávislosti však nejsou nijak ohroženy skutečností, že právně závazná rozhodnutí dozorového úřadu podléhají soudnímu přezkumu v plné jurisdikci.

66

Zadruhé, pokud jde o právo na účinnou soudní ochranu vůči správci nebo zpracovateli zakotvené v čl. 79 odst. 1 GDPR, je třeba uvést, že podle judikatury Soudního dvora mohou být procesní prostředky zakotvené v čl. 78 odst. 1 a v čl. 79 odst. 1 tohoto nařízení využity současně a nezávisle (rozsudek ze dne 12. ledna 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21EU:C:2023:2, bod 35 a výrok). V této souvislosti Soudní dvůr mimo jiné rozhodl, že poskytnutí několika procesních prostředků posiluje cíl uvedený v bodě 141 odůvodnění uvedeného nařízení, kterým je zaručit každému subjektu údajů, který se domnívá, že byla porušena jeho práva podle tohoto nařízení, právo na účinnou soudní ochranu v souladu s článkem 47 Listiny (rozsudek ze dne 12. ledna 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21EU:C:2023:2, bod 44).

67

I když tedy v souladu se zásadou procesní autonomie přísluší členským státům, aby stanovily podrobná pravidla pro uplatnění těchto procesních prostředků (rozsudek ze dne 12. ledna 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21EU:C:2023:2, bod 45 a výrok), existence práva na účinnou soudní ochranu vůči správci nebo zpracovateli zakotveného v čl. 79 odst. 1 GDPR nemá vliv na rozsah soudního přezkumu rozhodnutí o stížnosti vydaného dozorovým úřadem prováděného v rámci rozhodování o žalobě podané na základě čl. 78 odst. 1 tohoto nařízení.

68

Je však třeba dodat, že i když, jak bylo připomenuto v bodě 56 tohoto rozsudku, dozorový úřad se musí stížností zabývat s veškerou náležitou péčí, má tento úřad, pokud jde o nápravná opatření uvedená v čl. 58 odst. 2 GDPR, prostor pro uvážení, pokud jde o volbu vhodných a nezbytných prostředků (v tomto smyslu viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18EU:C:2020:559, bod 112).

69

I když vnitrostátní soud, k němuž byla podána žaloba na základě čl. 78 odst. 1 GDPR, musí mít, jak bylo konstatováno v bodě 52 tohoto rozsudku, plnou pravomoc k přezkumu všech skutkových a právních otázek týkajících se dotčeného sporu, záruka účinné soudní ochrany neznamená, že je oprávněn nahradit svým posouzením volby vhodných a nezbytných nápravných opatření posouzení tohoto orgánu, nýbrž vyžaduje, aby tento soud přezkoumal, zda dozorový úřad dodržel meze své posuzovací pravomoci.

70

S ohledem na výše uvedené úvahy je třeba na první otázku odpovědět, že čl. 78 odst. 1 GDPR musí být vykládán v tom smyslu, že rozhodnutí o stížnosti vydané dozorovým úřadem podléhá soudnímu přezkumu v plné jurisdikci.

Ke druhé až páté otázce

71

Podstatou druhé až páté otázky předkládajícího soudu, které je třeba zkoumat společně, je

zda čl. 5 odst. 1 písm. a) GDPR ve spojení s čl. 6 odst. 1 prvním pododstavcem písm. f) tohoto nařízení musí být vykládán v tom smyslu, že brání praxi soukromých společností poskytujících obchodní informace, která spočívá v tom, že tyto společnosti ve svých vlastních databázích uchovávají informace pocházející z veřejného rejstříku, které se týkají schválení oddlužení fyzických osob, a že podle kodexu chování ve smyslu článku 40 tohoto nařízení tyto informace vymazávají po uplynutí lhůty tří let, zatímco doba uložení uvedených informací ve veřejném rejstříku činí šest měsíců, a

zda čl. 17 odst. 1 písm. c) a d) GDPR musí být vykládán v tom smyslu, že soukromá společnost poskytující obchodní informace, která převzala informace o schválení oddlužení z veřejného rejstříku, je povinna tyto informace vymazat.

K článku 5 odst. 1 písm. a) GDPR

72

Podle čl. 5 odst. 1 písm. a) GDPR musí být osobní údaje ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem.

73

V této souvislosti čl. 6 odst. 1 první pododstavec tohoto nařízení stanoví taxativní a vyčerpávající výčet případů, v nichž lze zpracování osobních údajů považovat za zákonné. Aby mohlo být zpracování považováno za oprávněné, musí tedy jít o jeden z případů stanovených v tomto ustanovení [rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21EU:C:2023:537, bod 90, jakož i citovaná judikatura].

74

V projednávaném případě je nesporné, že zákonnost zpracování osobních údajů, o které se jedná ve věcech v původních řízeních, musí být posuzována pouze s ohledem na čl. 6 odst. 1 první pododstavec písm. f) GDPR. Podle tohoto ustanovení je zpracování osobních údajů zákonné pouze tehdy, pokud je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

75

Uvedené ustanovení tedy stanoví tři kumulativní podmínky pro to, aby bylo zpracování osobních údajů zákonné, a to zaprvé sledování oprávněného zájmu správce nebo třetí strany, zadruhé nezbytnost zpracování osobních údajů pro uskutečnění sledovaného oprávněného zájmu a zatřetí podmínku, že před tímto zájmem nemají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů [rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21EU:C:2023:537, bod 106, jakož i citovaná judikatura].

76

Pokud jde zaprvé o podmínku týkající se sledování „oprávněného zájmu“, vzhledem k tomu, že GDPR tento pojem nedefinuje, je třeba zdůraznit, jak uvedl generální advokát v bodě 61 svého stanoviska, že za oprávněný zájem lze v zásadě považovat širokou škálu zájmů.

77

Pokud jde zadruhé o podmínku týkající se nezbytnosti zpracování osobních údajů pro uskutečnění sledovaného oprávněného zájmu, ta předkládajícímu soudu ukládá, aby ověřil, že sledovaného oprávněného zájmu na zpracování údajů nemůže být rozumně dosaženo stejně účinným způsobem jinými prostředky, které by méně zasahovaly do základních práv a svobod subjektů údajů, zejména pak práv na respektování soukromého života a na ochranu osobních údajů, které jsou zaručeny články 7 a 8 Listiny [rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21EU:C:2023:537, bod 108, jakož i citovaná judikatura].

78

V této souvislosti je třeba rovněž připomenout, že podmínka nezbytnosti zpracování údajů musí být posuzována společně se zásadou „minimalizace údajů“ zakotvenou v čl. 5 odst. 1 písm. c) GDPR, podle které musí být osobní údaje „přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány“ [rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21EU:C:2023:537, bod 109, jakož i citovaná judikatura].

79

Pokud jde zatřetí o podmínku, že zájmy nebo základní práva a svobody subjektu, na který se vztahuje ochrana údajů, nemají přednost před oprávněným zájmem správce nebo třetí osoby, Soudní dvůr již rozhodl, že tato podmínka zahrnuje vyvážení protichůdných práv a zájmů, které v zásadě závisí na konkrétních okolnostech každého jednotlivého případu, a že je tedy na předkládajícím soudu, aby toto vyvážení provedl s přihlédnutím k těmto specifickým okolnostem [rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21EU:C:2023:537, bod 110, jakož i citovaná judikatura].

80

Kromě toho, jak vyplývá z bodu 47 odůvodnění GDPR, zájmy a základní práva subjektu údajů by mohly mít přednost před zájmy správce údajů zejména tehdy, jestliže ke zpracování osobních údajů dochází za okolností, kdy subjekty údajů jejich další zpracování důvodně neočekávají [rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21EU:C:2023:537, bod 112].

81

Ačkoli je tedy v konečném důsledku na předkládajícím soudu, aby posoudil, zda jsou v souvislosti se zpracováním osobních údajů, o které se jedná ve věcech v původních řízeních, splněny tři podmínky připomenuté v bodě 75 tohoto rozsudku, Soudní dvůr může při rozhodování o předběžné otázce podat upřesnění, aby tomuto soudu poskytl vodítko při tomto určení (v tomto smyslu viz rozsudek ze dne 20. října 2022, Digi,C‑77/21EU:C:2022:805, bod 39 a citovaná judikatura).

82

V projednávané věci, pokud jde o sledování oprávněného zájmu, společnost SCHUFA tvrdí, že společnosti poskytující obchodní informace zpracovávají údaje nezbytné k posouzení úvěruschopnosti jednotlivců nebo společností proto, aby tyto informace mohly poskytnout svým smluvním partnerům. Kromě toho, že tato činnost chrání hospodářské zájmy podniků, které hodlají uzavřít úvěrové smlouvy, představuje stanovení úvěruschopnosti a poskytnutí informací o úvěruschopnosti základ úvěrování a schopnosti ekonomiky fungovat. Činnost těchto společností podle SCHUFA rovněž napomáhá plnit podnikatelské záměry osob, které mají zájem na operacích, s nimiž je úvěrování spojeno, neboť tyto informace umožňují rychlé a nebyrokratické posouzení těchto operací.

83

V tomto ohledu sice takové zpracování osobních údajů, jako je to, o které se jedná ve věcech v původních řízeních, slouží hospodářským zájmům společnosti SCHUFA, avšak toto zpracování slouží i sledování oprávněného zájmu smluvních partnerů společnosti SCHUFA, kteří hodlají uzavřít smlouvy spojené s úvěrem s určitými osobami, na tom, aby mohli posoudit úvěruschopnost těchto osob, a tedy socioekonomickým zájmům úvěrového sektoru.

84

Pokud jde o smlouvy o spotřebitelském úvěru, z článku 8 směrnice 2008/48 vykládaného ve světle bodu 28 odůvodnění této směrnice totiž vyplývá, že před uzavřením úvěrové smlouvy je věřitel povinen posoudit úvěruschopnost spotřebitele na základě dostatečných informací, včetně případných informací z veřejných a soukromých databází.

85

Kromě toho, pokud jde o smlouvy o spotřebitelském úvěru na nemovitosti určené k bydlení, z čl. 18 odst. 1 a z čl. 21 odst. 1 směrnice 2014/17, vykládaných ve světle bodů 55 a 59 odůvodnění této směrnice, vyplývá, že věřitel musí provést důkladné posouzení úvěruschopnosti spotřebitele a má přístup k úvěrovým databázím, přičemž vyhledávání v takovýchto databázích je pro účely tohoto posouzení důležitým prvkem.

86

Je třeba dodat, že cílem povinnosti posoudit úvěruschopnost spotřebitelů, která je stanovena ve směrnicích 2008/48 a 2014/17, je nejen chránit žadatele o úvěr, ale také, jak je zdůrazněno v bodě 26 odůvodnění směrnice 2008/48, zajistit řádné fungování úvěrového systému jako celku.

87

Je však ještě třeba, aby zpracování údajů bylo nezbytné k naplnění oprávněných zájmů správce nebo třetích osob a aby zájmy nebo základní práva a svobody subjektu údajů neměly před tímto právem přednost. V rámci tohoto zvažování předmětných protichůdných práv a zájmů, a sice práv a zájmů správce a třetích osob na straně jedné a práv a zájmů subjektu údajů na straně druhé, je třeba zohlednit – jak bylo uvedeno v bodě 80 tohoto rozsudku – mimo jiné rozumná očekávání subjektu údajů a rozsah předmětného zpracování a jeho dopad na tuto osobu [viz rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21EU:C:2023:537, bod 116].

88

Pokud jde o čl. 6 odst. 1 první pododstavec písm. f) GDPR, Soudní dvůr rozhodl, že toto ustanovení musí být vykládáno v tom smyslu, že zpracování může být považováno za nezbytné pro účely oprávněných zájmů sledovaných správcem nebo třetí osobou ve smyslu tohoto ustanovení pouze tehdy, je-li toto zpracování prováděno v mezích toho, co je nezbytně nutné pro uskutečnění tohoto oprávněného zájmu, a pokud z posouzení protichůdných zájmů s ohledem na všechny relevantní okolnosti vyplývá, že zájmy nebo základní práva a svobody subjektů údajů nemají přednost před uvedeným oprávněným zájmem správce nebo třetí osoby [v tomto smyslu viz rozsudky ze dne 4. května 2017, Rīgas satiksme,C‑13/16EU:C:2017:336, bod 30, jakož i ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21EU:C:2023:537, bod 126].

89

V této souvislosti předkládající soud poukazuje na dva aspekty zpracování osobních údajů, o které se jedná ve věcech v původních řízeních. Zaprvé toto zpracování zahrnuje uložení údajů mnoha různými způsoby, to znamená nejen ve veřejném rejstříku, ale i v databázích společností poskytujících obchodní informace, přičemž je třeba upřesnit, že tyto společnosti toto uložení provádí nikoli v souvislosti s konkrétním případem, nýbrž pro případ, že by jejich smluvní partneři o takovéto informace požádali. Zadruhé u uvedených společností jsou tyto údaje uloženy po dobu tří let, a to na základě kodexu chování ve smyslu článku 40 GDPR, zatímco pro veřejný rejstřík je vnitrostátními právními předpisy stanovena lhůta pro uložení pouze šest měsíců.

90

Pokud jde o první z těchto aspektů, společnost SCHUFA tvrdí, že by nebylo možné poskytnout informace včas, pokud by společnost poskytující obchodní informace byla povinna čekat na konkrétní žádost než by mohla začít údaje shromažďovat.

91

V tomto ohledu přísluší předkládajícímu soudu, aby ověřil, zda se uložení dotčených údajů společností SCHUFA v jejích vlastních databázích omezuje na to, co je nezbytně nutné k naplňování sledovaného oprávněného zájmu, pokud tyto údaje jsou dostupné ve veřejném rejstříku a aniž by obchodní podnik o informace v konkrétním případě požádal. Pokud by tomu tak nebylo, nemohlo by být uložení těchto údajů společností SCHUFA považováno za nezbytné po dobu, kdy má veřejnost k uvedeným údajům přístup.

92

Pokud jde o dobu uchovávání údajů, je třeba vycházet z toho, že se přezkum druhé a třetí podmínky uvedené v bodě 75 tohoto rozsudku překrývá v tom smyslu, že posouzení otázky, zda v projednávané věci nelze oprávněného zájmu sledovaného zpracováním osobních údajů, o které se jedná ve věcech v původních řízeních, rozumně dosáhnout kratší dobou uchovávání údajů, vyžaduje zvážení předmětných protichůdných práv a zájmů.

93

Pokud jde o zvážení sledovaných oprávněných zájmů, je třeba uvést, že vzhledem k tomu, že analýza provedená společností poskytující obchodní informace umožňuje objektivní a spolehlivé posouzení úvěruschopnosti potenciálních zákazníků smluvních partnerů společnosti poskytující tyto obchodní informace, umožňuje vyrovnat informační rozdíly, a tím snížit riziko podvodů a jiných nejistot.

94

Pokud jde naproti tomu o práva a zájmy subjektu údajů, zpracování údajů týkajících se schválení oddlužení společností poskytující obchodní informace, jako je uložení, analýza a sdělení těchto údajů třetí osobě, představuje závažný zásah do základních práv subjektu údajů zakotvených v článcích 7 a 8 Listiny. Takovéto údaje totiž slouží jako negativní faktor při posuzování úvěruschopnosti subjektu údajů, a představují tedy citlivé informace o jeho soukromém životě (v tomto smyslu viz rozsudek ze dne 13. května 2014, Google Spain a Google, C‑131/12EU:C:2014:317, bod 98). Jejich zpracování může značně poškodit zájmy subjektu údajů, protože toto sdělení může citelně ztížit výkon jeho svobod, zejména pokud jde o uspokojování základních potřeb.

95

Kromě toho, jak uvedla Komise, čím déle jsou dotyčné údaje společnostmi poskytujícími obchodní informace uchovávány, tím závažnější jsou důsledky pro zájmy a soukromí subjektu údajů a tím vyšší jsou požadavky na zákonnost uchovávání těchto informací.

96

Kromě toho je třeba uvést, že jak vyplývá z bodu 76 odůvodnění nařízení 2015/848, cílem veřejného insolvenčního rejstříku je zlepšit poskytování informací věřitelům, jakož i příslušným soudům. V této souvislosti čl. 79 odst. 5 tohoto nařízení pouze stanoví, že členské státy informují subjekty údajů o době přístupnosti osobních údajů uchovávaných v insolvenčních rejstřících, aniž by stanovil lhůtu pro uchovávání těchto údajů. Z článku 79 odst. 4 tohoto nařízení naopak vyplývá, že členské státy v souladu s tímto nařízením odpovídají za shromažďování a uchovávání osobních údajů ve vnitrostátních databázích. Lhůta pro uchovávání těchto údajů proto musí být stanovena v souladu s tímto nařízením.

97

V projednávaném případě německý zákonodárce stanoví, že informace týkající se schválení oddlužení se v insolvenčním rejstříku uchovávají pouze po dobu šesti měsíců. Má tedy za to, že po uplynutí lhůty šesti měsíců převažují práva zájmy subjektu údajů nad právy a zájmy veřejnosti mít tyto informace k dispozici.

98

Kromě toho, jak uvedl generální advokát v bodě 75 svého stanoviska, oddlužení má osobě, která této možnosti využila, umožnit, aby se znovu zapojila do hospodářského života, a pro tuto osobu tedy zpravidla má existenční význam. Dosažení tohoto cíle by přitom bylo ohroženo, pokud by společnosti poskytující obchodní informace mohly pro účely posouzení hospodářské situace určité osoby uchovávat údaje týkající se oddlužení a takovéto údaje použít poté, co byly vymazány z veřejného insolvenčního rejstříku, protože uvedené údaje jsou při posuzování úvěruschopnosti takovéto osoby stále používány jako negativní faktor.

99

Za těchto podmínek nemohou – po uplynutí lhůty pro uchovávání údajů ve veřejném insolvenčním rejstříku – zájmy úvěrového odvětví mít k dispozici informace o oddlužení odůvodnit takové zpracování osobních údajů, jako je to, o které se jedná ve věcech v původních řízeních, a proto se uchovávání těchto údajů společností poskytující obchodní informace nemůže opírat o čl. 6 odst. 1 první pododstavec písm. f) GDPR, pokud jde o období následující po výmazu uvedených údajů z veřejného insolvenčního rejstříku.

100

Pokud jde o dobu šesti měsíců, během níž jsou dotčené údaje dostupné i v tomto veřejném rejstříku, je třeba uvést, že i když dopady souběžného uchovávání těchto údajů v databázích takovýchto společností mohou být považovány za méně závažné než po uplynutí šesti měsíců, toto uchovávání přesto představuje zásah do práv zakotvených v článcích 7 a 8 Listiny. V této souvislosti již Soudní dvůr rozhodl, že výskyt týchž osobních údajů v několika zdrojích zesiluje zásah do práva jednotlivce na soukromí (viz rozsudek ze dne 13. května 2014, Google Spain a Google, C‑131/12EU:C:2014:317, body 8687). Je na předkládajícím soudu, aby zvážil dotčené zájmy a dopady na subjekt údajů, aby zjistil, zda souběžné uchovávání těchto údajů soukromými společnostmi, které poskytují obchodní informace, může být považováno za omezené na to, co je nezbytně nutné, jak vyžaduje judikatura Soudního dvora citovaná v bodě 88 tohoto rozsudku.

101

Konečně, pokud jde o existenci, jako v projednávaném případě, kodexu chování, který stanoví, že společnost poskytující obchodní informace musí po uplynutí lhůty tří let vymazat údaje týkající se oddlužení, je třeba připomenout, že podle čl. 40 odst. 1 a 2 GDPR mají kodexy chování přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví provádějících zpracování a na konkrétní potřeby mikropodniků a malých a středních podniků. Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů tedy mohou vypracovávat kodexy chování nebo tyto kodexy upravovat či rozšiřovat, a to s cílem upřesnit uplatňování ustanovení tohoto nařízení, mimo jiné pokud jde o spravedlivé a transparentní zpracování, oprávněné zájmy, jež správci v konkrétních situacích sledují a shromažďování osobních údajů.

102

Kromě toho, podle čl. 40 odst. 5 GDPR se návrh kodexu předloží příslušnému dozorovému úřadu, který jej schválí, má-li za to, že poskytuje dostatečné vhodné záruky.

103

V projednávaném případě byl kodex chování, o který se jedná ve věcech v původních řízeních, vypracován sdružením německých společnosti poskytujících obchodní informace a schválen příslušným dozorovým úřadem.

104

Podle čl. 40 odst. 1 a 2 GDPR má kodex chování sice přispět k řádnému uplatňování tohoto nařízení a upřesnit uplatňování jeho ustanovení, nic to ale nemění na tom, jak uvedl generální advokát v bodech 103 a 104 svého stanoviska, že podmínky pro zákonnost zpracování osobních údajů stanovené takovým kodexem se nemohou lišit od podmínek stanovených v čl. 6 odst. 1 GDPR.

105

Kodex chování, který by vedl k jinému posouzení, než je posouzení, jehož by bylo dosaženo na základě použití čl. 6 odst. 1 prvního pododstavce písm. f) GDPR, nelze při posuzování podle tohoto ustanovení zohlednit.

K článku 17 GDPR

106

Předkládající soud se konečně táže v podstatě na povinnosti, které má podle článku 17 GDPR společnost poskytující obchodní informace.

107

V této souvislosti je třeba připomenout, že podle čl. 17 odst. 1 písm. d) GDPR, na který odkazuje předkládající soud, má subjekt údajů právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, a správce má povinnost tyto osobní údaje bez zbytečného odkladu vymazat, pokud osobní údaje byly zpracovány protiprávně.

108

Podle jasného znění tohoto ustanovení by tedy v případě, že by předkládající soud po posouzení zákonnosti zpracování osobních údajů, o které se jedná ve věcech v původních řízeních, dospěl k závěru, že toto zpracování není zákonné, by správce, v projednávané věci společnost SCHUFA, byl bez zbytečného odkladu povinen dotčené údaje vymazat. Tak by tomu bylo, jak bylo konstatováno v bodě 99 tohoto rozsudku, v případě zpracování osobních údajů, které by bylo provedeno po uplynutí šestiměsíční lhůty pro uchovávání údajů ve veřejném insolvenčním rejstříku.

109

Pokud jde o zpracování probíhající během doby šesti měsíců, během níž jsou údaje dostupné ve veřejném insolvenčním rejstříku, v případě, že předkládající soud dospěje k závěru, že zpracování je v souladu s čl. 6 odst. 1 prvním pododstavcem písm. f) GDPR, použije se čl. 17 odst. 1 písm. c) tohoto nařízení.

110

Toto ustanovení stanoví právo na výmaz osobních údajů, pokud subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 GDPR a neexistují žádné „převažující oprávněné důvody pro zpracování“. Podle tohoto posledně uvedeného ustanovení má subjekt údajů z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 prvního pododstavce písm. e) nebo f) GDPR. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

111

Ze znění těchto ustanovení ve vzájemném spojení, jak uvedl generální advokát v bodě 93 svého stanoviska, vyplývá, že subjekt údajů má právo vznést námitku proti zpracování a právo na výmaz, pokud neexistují závažné oprávněné důvody, které převažují nad jeho zájmy nebo právy a svobodami ve smyslu čl. 21 odst. 1 GDPR, což musí prokázat správce.

112

Pokud se správci nepodaří toto prokázat, subjekt údajů je oprávněn požadovat výmaz těchto údajů na základě čl. 17 odst. 1 písm. c) GDPR, pokud proti tomuto zpracování vznese námitku podle čl. 21 odst. 1 tohoto nařízení. Předkládajícímu soudu přísluší přezkoumat, zda výjimečně neexistují závažné oprávněné důvody, které by mohly dotčené zpracování odůvodnit.

113

Vzhledem k veškerým předchozím úvahám je třeba na druhou až pátou otázku odpovědět následovně:

článek 5 odst. 1 písm. a) GDPR ve spojení s čl. 6 odst. 1 prvním pododstavcem písm. f) tohoto nařízení musí být vykládán v tom smyslu, že brání praxi soukromých společností poskytujících obchodní informace, která spočívá v tom, že tyto společnosti ve svých vlastních databázích uchovávají informace pocházející z veřejného rejstříku, které se týkají schválení oddlužení fyzických osob, aby mohly informace o úvěruschopnosti těchto osob poskytovat po dobu, která je delší než doba, po kterou jsou tyto údaje uloženy ve veřejném rejstříku;

článek 17 odst. 1 písm. c) GDPR musí být vykládán v tom smyslu, že subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, pokud proti tomuto zpracování vznese námitku podle čl. 21 odst. 1 tohoto nařízení a pokud neexistují závažné oprávněné důvody, které by výjimečně mohly dotčené zpracování odůvodnit;

článek 17 odst. 1 písm. d) GDPR musí být vykládán v tom smyslu, že správce je povinen bez zbytečného odkladu vymazat osobní údaje, které byly zpracovány protiprávně.

K nákladům řízení

114

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

 

Z těchto důvodů Soudní dvůr (první senát) rozhodl takto:

 

1)

Článek 78 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

musí být vykládán v tom smyslu, že

rozhodnutí o stížnosti vydané dozorovým úřadem podléhá soudnímu přezkumu v plné jurisdikci.

 

2)

Článek 5 odst. 1 písm. a) nařízení 2016/679 ve spojení s čl. 6 odst. 1 prvním pododstavcem písm. f) tohoto nařízení

musí být vykládán v tom smyslu, že

brání praxi soukromých společností poskytujících obchodní informace, která spočívá v tom, že tyto společnosti ve svých vlastních databázích uchovávají informace pocházející z veřejného rejstříku, které se týkají schválení oddlužení fyzických osob, aby mohly informace o úvěruschopnosti těchto osob poskytovat po dobu, která je delší než doba, po kterou jsou tyto údaje uloženy ve veřejném rejstříku.

 

3)

Článek 17 odst. 1 písm. c) nařízení 2016/679

musí být vykládán v tom smyslu, že

subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, pokud proti tomuto zpracování vznese námitku podle čl. 21 odst. 1 tohoto nařízení a pokud neexistují závažné oprávněné důvody, které by výjimečně mohly dotčené zpracování odůvodnit.

 

4)

Článek 17 odst. 1 písm. d) nařízení 2016/679

musí být vykládán v tom smyslu, že

správce je povinen bez zbytečného odkladu vymazat osobní údaje, které byly zpracovány protiprávně.

 

Podpisy


( *1 ) – Jednací jazyk: němčina.

Top