STANOVISKO GENERÁLNÍHO ADVOKÁTA
PRIITA PIKAMÄEA
přednesené dne 16. března 2023 ( 1 )
Věc C‑634/21
OQ
proti
Land Hessen
za účasti:
SCHUFA Holding AG
[žádost o rozhodnutí o předběžné otázce podaná Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu, Německo)]
„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 6 odst. 1 – Zákonnost zpracování – Článek 22 – Automatizované individuální rozhodování – Profilování – Soukromé obchodní informační agentury – Stanovení hodnoty pravděpodobnosti pro platební schopnost fyzické osoby (,scoring‘) – Předání třetím stranám, které se na základě této hodnoty rozhodnou uzavřít, plnit nebo ukončit smluvní vztahy s touto osobou“
I. Úvod
|
1. |
Předmětem žádosti o rozhodnutí o předběžné otázce předložené Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu) na základě článku 267 SFEU je výklad ustanovení čl. 6 odst. 1 a čl. 22 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ( 2 ) (dále jen „GDPR“). |
|
2. |
Tato žádost je součástí sporu mezi žalobkyní OQ, která je fyzickou osobou, a Land Hessen (Spolková země Hesensko), zastoupenou Hessischer Beauftragter für Datenschutz und Informationsfreiheit (pověřenec pro ochranu osobních údajů a svobodu informací Spolkové země Hesensko, dále jen „HBDI“), ve věci ochrany osobních údajů. SCHUFA Holding AG (dále jen „SCHUFA“), která je soukromoprávní agenturou, podporuje HBDI jako vedlejší účastnice. Společnost SCHUFA poskytla v rámci své obchodní činnosti, která spočívá v tom, že svým zákazníkům poskytuje informace o solventnosti třetích osob, úvěrové instituci scoringový koeficient žalobkyně, na jehož základě bylo žalobkyni odmítnuto poskytnutí požadovaného úvěru. Žalobkyně následně požádala společnost SCHUFA o výmaz příslušného záznamu a o zpřístupnění příslušných údajů, ale společnost SCHUFA jí sdělila pouze příslušný scoringový koeficient a obecně zásady, z nichž vychází metoda výpočtu tohoto koeficientu, aniž ji informovala o konkrétních údajích, které byly při tomto výpočtu zohledněny, a o významu, který jim byl v této souvislosti přisouzen, s odůvodněním, že metoda výpočtu podléhá obchodnímu tajemství. |
|
3. |
V rozsahu, v němž žalobkyně tvrdí, že odmítnutí společnosti SCHUFA vyhovět její žádosti je v rozporu s režimem ochrany údajů, bude úkolem Soudního dvora rozhodnout o omezeních, která GDPR ukládá pro hospodářskou činnost informačních agentur ve finančním odvětví, zejména při správě údajů, a o dopadu, který je třeba přiznat obchodnímu tajemství. Stejně tak bude muset Soudní dvůr objasnit rozsah regulačních pravomocí, které některá ustanovení GDPR svěřují vnitrostátnímu zákonodárci odchylně od obecného cíle harmonizace sledovaného tímto právním aktem. |
II. Právní rámec
A. Unijní právo
|
4. |
Ustanovení čl. 4 bodu 4 GDPR stanoví: „Pro účely tohoto nařízení se rozumí: […]
|
|
5. |
Článek 6 GDPR, nadepsaný „Zákonnost zpracování“, stanoví: „1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů. 2. Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX. 3. Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:
Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli. 4. Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:
|
|
6. |
Článek 15 GDPR, nadepsaný „[p]rávo subjektu údajů na přístup k osobním údajům“, stanoví: „1. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím: […]
[…]“ |
|
7. |
Článek 21 GDPR, nadepsaný „Právo vznést námitku“, stanoví: „1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. […]“ |
|
8. |
Podle článku 22 GDPR, nadepsaného „Automatizované individuální rozhodování, včetně profilování“, platí, že: „1. Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. 2. Odstavec 1 se nepoužije, pokud je rozhodnutí:
3. V případech uvedených v odst. 2 písm. a) a c) provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí. 4. Rozhodnutí uvedená v odstavci 2 se neopírají o zvláštní kategorie osobních údajů uvedené v čl. 9 odst. 1, pokud se neuplatní čl. 9 odst. 2 písm. a) nebo g) a nejsou zavedena vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.“ |
B. Německé právo
|
9. |
Bundesdatenschutzgesetz (spolkový zákon o ochraně údajů) ze dne 30. června 2017 ( 3 ), ve znění zákona ze dne 20. listopadu 2019 ( 4 ) (dále jen „BDSG“), v § 31 nadepsaném „Ochrana obchodní praxe při „scoringu“ [výpočtu scoringových koeficientů] a informacích o bonitě“ uvádí: „(1) Výpočet hodnoty pravděpodobnosti určitého budoucího chování fyzické osoby za účelem rozhodnutí o založení, naplňování nebo ukončení smluvního vztahu s touto osobou („scoring“) je přípustný pouze v případě, že
(2) Použití hodnoty pravděpodobnosti zjištěné obchodní informační agenturou, která se týká platební schopnosti fyzické osoby a její ochoty splácet, je v případě zohlednění informací o pohledávkách přípustné pouze tehdy, pokud jsou splněny podmínky uvedené v odstavci 1 a pokud se zohledňují pouze takové pohledávky z dlužného plnění, které navzdory splatnosti nebyly splněny,
Přípustnost zpracování, včetně výpočtu hodnoty pravděpodobnosti a jiných údajů relevantních pro bonitu podle obecných právních předpisů o ochraně údajů, zůstává nedotčena.“ |
III. Skutkový základ sporu, původní řízení a předběžné otázky
|
10. |
Z předkládacího usnesení vyplývá, že žalobkyni v původním řízení nebyl poskytnut úvěr na základě posouzení platební schopnosti provedeného společností SCHUFA. Tato společnost je soukromoprávním subjektem, který provozuje informační služby v oblasti úvěrů, přičemž poskytuje svým zákazníkům informace o platební schopnosti spotřebitelů. Za tímto účelem společnost SCHUFA provádí hodnocení platební schopnosti, při kterém vychází z určitých charakteristik osoby a na základě matematicko-statistické metody odhaduje pravděpodobnost jejího budoucího chování, například pokud jde o splácení úvěru. |
|
11. |
Žalobkyně požádala společnost SCHUFA, aby vymazala nepřesné údaje, které se jí týkají, a umožnila jí přístup k údajům, které o ní byly zaznamenány. Společnost SCHUFA žalobkyni zejména informovala o tom, jaký scoringový koeficient jí byl vypočten, a o tom, jak výpočet v zásadě funguje, ale neinformovala ji o váze jednotlivých údajů při výpočtu. Společnost SCHUFA se domnívá, že není povinna zveřejňovat své metody výpočtu, protože podléhají profesnímu a obchodnímu tajemství. Dále se domnívá, že poskytuje informace pouze svým klientům, kteří přijímají samotná rozhodnutí o úvěrových smlouvách. |
|
12. |
Žalobkyně podala u žalované, která je inspekčním orgánem ochrany údajů, stížnost na zprávu společnosti SCHUFA, v níž žádala, aby žalovaná nařídila uložit společnosti povinnost poskytnout a vymazat informace v souladu s její žádostí. Ve svém rozhodnutí o stížnosti dospěl HBDI k závěru, že proti společnosti není třeba podniknout další kroky, protože splňuje požadavky stanovené německým spolkovým zákonem o ochraně osobních údajů. |
|
13. |
Předkládajícímu soudu byla předložena žaloba podaná žalobkyní proti rozhodnutí žalované. Předkládající soud má za to, že pro rozhodnutí ve věci v původním řízení je nezbytné určit, zda činnost poskytovatelů informačních služeb v oblasti úvěrů, při níž tito poskytovatelé sestavují scoringové koeficienty týkající se jednotlivců a předávají je třetím osobám bez dalšího doporučení nebo komentáře, spadá do působnosti čl. 22 odst. 1 GDPR. |
|
14. |
Verwaltungsgericht Wiesbaden (správní soud ve Wiesbadenu) se rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
|
IV. Řízení před Soudním dvorem
|
15. |
Předkládací rozhodnutí ze dne 1. října 2021 bylo doručeno kanceláři Soudního dvora dne 15. října 2021. |
|
16. |
Ve lhůtě stanovené v článku 23 statutu Soudního dvora Evropské unie předložili písemná vyjádření účastníci původního řízení, společnost SCHUFA, dánská, portugalská a finská vláda a dále Evropská komise. |
|
17. |
Na jednání konaném dne 26. ledna 2023 přednesli svá vyjádření zástupci účastníků původního řízení, společnost SCHUFA a zmocněnci německé a finské vlády, jakož i Komise. |
V. Právní analýza
A. Úvodní poznámky
|
18. |
Vzhledem k tomu, že základem každého smluvního závazku v tržním hospodářství je vzájemná důvěra, je z obchodního hlediska v zásadě pochopitelné, že poskytovatelé služeb a dodavatelé zboží chtějí znát své zákazníky a rizika spojená s takovým smluvním závazkem. Obchodní informační agentury mohou přispět k posilování této vzájemné důvěry prostřednictvím statistických metod, které podnikům umožňují zjistit, zda jsou v konkrétním případě splněna určitá relevantní kritéria, včetně platební schopnosti jejich zákazníků. Pomáhají tak společnostem dodržovat různá ustanovení unijního práva, která jim tuto povinnost ukládají u určitých kategorií smluv, zejména u smluv úvěrových ( 5 ). Některé z používaných metod se mohou opírat o osobní údaje zákazníků, které jsou shromažďovány a zpracovávány automatizovaným způsobem prostřednictvím výpočetní techniky. Proti tomuto zájmu stojí zájem subjektů údajů vědět, jak jsou tyto údaje spravovány a uchovávány a jakým způsobem společnosti rozhodují o svých zákaznících. |
|
19. |
GDPR, které je použitelné ode dne 25. května 2018, vytvořilo právní rámec, jehož cílem je zohlednit výše uvedené zájmy v celé Unii, a to zejména tím, že ukládá určitá omezení pro zpracovávání osobních údajů. Na automatizované zpracování, které může mít právní účinky na fyzickou osobu nebo se jí významně dotýkat, se proto vztahují zvláštní omezení. Tato omezení jsou odůvodněna v souvislosti s profilováním, tj. hodnocením osobních aspektů za účelem rozboru nebo odhadu ekonomické situace, spolehlivosti nebo chování fyzické osoby. V této souvislosti stojí za zmínku omezení uvedená v článku 22 GDPR, která jsou relevantní v projednávané věci a jejichž cílem je chránit lidskou důstojnost a zabránit tomu, aby se na subjekt údajů vztahovalo rozhodnutí přijaté pouze na základě automatizovaného zpracování bez jakéhokoli lidského zásahu, kterým by mohlo být v případě potřeby prověřeno, zda bylo toto rozhodnutí přijato správným, spravedlivým a nediskriminačním způsobem ( 6 ). Lidský zásah, který se předpokládá v souvislosti s tímto typem automatizovaného zpracování údajů, zajišťuje, že subjekt údajů bude mít možnost vyjádřit svůj názor, získat vysvětlení rozhodnutí přijatého na základě tohoto typu hodnocení a napadnout je, pokud s tímto rozhodnutím nesouhlasí. Rozsah omezení uvedených v článku 22 GDPR je přesně předmětem první předběžné otázky. |
|
20. |
Ačkoli GDPR vytvořilo obecný regulativní rámec pro ochranu osobních údajů, který je v zásadě komplexní, je třeba poznamenat, že některá ustanovení umožňují členským státům stanovit další přísnější nebo odchylná vnitrostátní pravidla, která členským státům ponechávají prostor pro uvážení ohledně způsobu, jakým mohou být tato ustanovení uplatňována („ustanovení o výjimce“), pokud tato pravidla nezasahují do obsahu a cílů GDPR ( 7 ). Rozsah této zbytkové regulační pravomoci členských států je jádrem druhé otázky, která bude v tomto stanovisku posouzena. |
B. K přípustnosti
|
21. |
HBDI a společnost SCHUFA zpochybňují přípustnost žádosti o rozhodnutí o předběžné otázce. V tomto bodě společnost SCHUFA tvrdí, že tato žádost o rozhodnutí o předběžné otázce není ani nezbytná pro vyřešení sporu, ani dostatečně odůvodněná; otevřela by druhý procesní prostředek a byla by v rozporu s jinými žádostmi o rozhodnutí o předběžné otázce podanými a následně vzatými zpět stejným předkládajícím soudem. |
1. K nezbytnosti předběžných otázek pro rozhodnutí sporu
|
22. |
Nejprve je třeba připomenout, že podle ustálené judikatury Soudního dvora je v rámci spolupráce mezi Soudním dvorem a vnitrostátními soudy zavedené článkem 267 SFEU věcí pouze vnitrostátního soudu, kterému byl spor předložen a jenž musí nést odpovědnost za soudní rozhodnutí, které bude vydáno, aby s ohledem na konkrétní okolnosti věci posoudil jak nezbytnost rozhodnutí o předběžné otázce pro vydání rozsudku, tak relevanci otázek, které Soudnímu dvoru klade. Jestliže se tedy tyto otázky týkají výkladu nebo platnosti normy unijního práva, je Soudní dvůr v zásadě povinen rozhodnout. Z toho vyplývá, že k otázkám týkajícím se unijního práva se váže domněnka relevance. Soudní dvůr smí rozhodnutí o předběžné otázce položené vnitrostátním soudem odmítnout pouze tehdy, je-li zjevné, že žádaný výklad nebo žádané posouzení platnosti unijní normy nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, jestliže se jedná o hypotetický problém nebo také nedisponuje-li Soudní dvůr skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na otázky, které jsou mu položeny ( 8 ). |
|
23. |
Tyto podmínky nejsou v projednávané věci splněny, neboť z bodu 40 předkládacího rozhodnutí vyplývá, že výsledek řízení závisí na první položené otázce. Předkládající soud vysvětluje, že v případě, že by bylo nutno čl. 22 odst. 1 GDPR vykládat v tom smyslu, že vytvoření scoringového koeficientu obchodní informační agenturou je samostatným rozhodnutím ve smyslu čl. 22 odst. 1 GDPR, na tuto agenturu – její podstatnou činnost – by se vztahoval zákaz automatizovaného individuálního rozhodování. V důsledku toho by byl nezbytný právní základ v právu členského státu ve smyslu čl. 22 odst. 2 písm. b) GDPR, kterým může být pouze § 31 BDSG. Předkládající soud však vyjadřuje pochybnosti, zda je toto vnitrostátní ustanovení slučitelné s čl. 22 odst. 1 GDPR. Podle předkládajícího soudu by společnost SCHUFA jednala nejen bez právního základu, ale porušovala by také zákaz stanovený tímto ustanovením GDPR. V důsledku toho by žalobkyně měla vůči HBDI nárok na (další) projednání její věci dozorovým úřadem. Je tedy zřejmé, že pro vyřešení sporu je rozhodující odpověď na otázky položené předkládajícím soudem. |
|
24. |
Společnost SCHUFA rovněž tvrdí, že žádost o rozhodnutí o předběžné otázce je nepřípustná z toho důvodu, že žalobkyně již byla informována o logice scoringového koeficientu. Z předkládacího rozhodnutí je však zřejmé, že žalobkyně chtěla být co nejpodrobněji informována o všech shromážděných údajích a metodě použité ke stanovení scoringového koeficientu. Vzhledem k tomu, že společnost SCHUFA žalobkyni obecně sdělila, jak v zásadě funguje výpočet scoringových koeficientů, avšak nesdělila jí, které konkrétní informace se s jakou váhou při tomto výpočtu použijí, je zřejmé, že společnost SCHUFA této žádosti o informace nevyhověla. Žalobkyně má proto oprávněný zájem na tom, aby byla práva subjektu údajů vůči obchodní informační agentuře, jako je SCHUFA, konstatována prostřednictvím rozhodnutí o předběžné otázce. |
2. K existenci dvou souběžných procesních prostředků
|
25. |
Pokud jde o údajné riziko otevření druhého procesního prostředku pro subjekt údajů, je třeba uvést, že na rozdíl od toho, co tvrdí společnost SCHUFA ve svých vyjádřeních, nebrání skutečnost, že žalobkyně nejprve podala žalobu u obecných soudů, a poté podala žalobu u předkládajícího správního soudu, přípustnosti žádosti o rozhodnutí o předběžné otázce. Žalobkyně svými dvěma žalobami uplatnila procesní prostředky stanovené v článcích 78 a 79 GDPR, tedy v ustanoveních, která zaručují právo na účinnou soudní ochranu proti dozorovému úřadu a zpracovateli údajů. Pokud tyto procesní prostředky existují nezávisle na sobě, aniž by jeden byl subsidiární vůči druhému, mohou být uplatňovány souběžně ( 9 ). Žalobkyni proto nelze vytýkat žádné pochybení při obraně jejích práv chráněných GDPR. |
|
26. |
Navíc je na místě připomenout, že podle ustálené judikatury Soudního dvora platí, že při neexistenci unijní právní úpravy v dané oblasti je na vnitrostátním právním řádu každého členského státu, aby určil příslušné soudy a upravil procesní podmínky soudních řízení určených k zajištění ochrany práv, která jednotlivcům vyplývají z unijního práva ( 10 ). Neexistuje tedy žádný objektivní důvod zpochybňovat systém procesních prostředků členského státu, s výjimkou případů, kdy by byla ohrožena účinnost unijního práva, například pokud by vnitrostátní soudy byly zbaveny možnosti nebo povinnosti předložit Soudnímu dvoru otázky týkající se výkladu nebo platnosti unijního práva, jak je stanoveno v článku 267 SFEU. |
|
27. |
V projednávané věci nic nenasvědčuje tomu, že by existence dvou procesních prostředků, které umožňují účinnou soudní ochranu proti dozorovému úřadu a zpracovateli údajů, ohrožovala účinnost unijního práva nebo zbavovala vnitrostátní soudy možnosti použít postup podle článku 267 SFEU. Naopak, jak jsem již vysvětlil, ve světle článků 78 a 79 GDPR je zřejmé, že GDPR takový systém procesních prostředků nevylučuje, nýbrž ponechává na členském státu, aby určil příslušné soudy a upravil procesní podmínky soudních řízení v plném souladu se zásadou procesní autonomie. Soudní dvůr to uznal ve své nedávné judikatuře ( 11 ). |
|
28. |
A konečně, je třeba poznamenat, že společnost SCHUFA pouze kritizuje procesní prostředky, které jsou k dispozici podle německého práva, aniž by přesně vysvětlila, proč by rozsudek Soudního dvora vydaný v projednávaném řízení o předběžné otázce nebyl pro řešení sporu nezbytný. Jak však předkládající soud zdůrazňuje, výklad čl. 22 odst. 1 GDPR Soudním dvorem by žalované umožnil vykonávat její dozorové pravomoci vůči společnosti SCHUFA způsobem, který je v souladu s unijním právem. V důsledku toho se mi zdá, že argument společnosti SCHUFA zpochybňující přípustnost žádosti o rozhodnutí o předběžné otázce je neopodstatněný. |
3. K údajné absenci odůvodnění žádosti o rozhodnutí o předběžné otázce
|
29. |
Tyto úvahy v zásadě postačují k zamítnutí argumentu společnosti SCHUFA. V zájmu lepšího pochopení projednávané věci se domnívám, že je přesto zapotřebí se zabývat tvrzením, že žádost o rozhodnutí o předběžné otázce není odůvodněná. V rozporu s tvrzením společnosti SCHUFA je v předkládacím rozhodnutí dostatečně podrobně uvedeno, o co se v projednávané věci jedná, a byly tak splněny požadavky čl. 94 písm. c) jednacího řádu Soudního dvora. Předkládající soud konkrétně vysvětluje, že žalobkyně hodlá uplatnit svá práva vůči společnosti SCHUFA. Předkládající soud má za to, že pokud není ustanovení čl. 22 odst. 1 GDPR vykládáno restriktivně, je v zásadě způsobilé poskytnout žalobkyni ochranu v souvislosti s automatizovaným zpracováním jejích osobních údajů. |
|
30. |
Předkládající soud se domnívá, že vzhledem k významu, který některé podniky přikládají scoringovému koeficientu stanovenému obchodními informačními agenturami pro prognostické posouzení ekonomické způsobilosti fyzické osoby, by tento scoringový koeficient mohl být považován za samostatné „rozhodnutí“ ve smyslu výše uvedeného ustanovení. Výklad v tomto smyslu by byl nutný k odstranění právní mezery, která by jinak vedla k tomu, že by subjekt údajů nemohl získat potřebné informace podle čl. 15 odst. 1 písm. h) GDPR. Na základě tohoto podrobného odůvodnění se domnívám, že je třeba zamítnout argumenty společnosti SCHUFA a prohlásit žádost o rozhodnutí o předběžné otázce za přípustnou. |
C. K věci samé
1. K první předběžné otázce
a) K obecnému zákazu stanovenému v čl. 22 odst. 1 GDPR
|
31. |
Ustanovení čl. 22 odst. 1 GDPR se od ostatních omezení zpracování údajů, která jsou stanovena v tomto nařízení, liší tím, že stanoví „právo“ subjektu údajů nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování. Bez ohledu na použitou terminologii se při uplatňování čl. 22 odst. 1 GDPR nevyžaduje, aby subjekt údajů toto právo aktivně uplatnil. Výklad ve světle bodu 71 odůvodnění tohoto nařízení a s přihlédnutím k systematice tohoto ustanovení, zejména k jeho odstavci 2, který stanoví případy, kdy je takové automatizované zpracování výjimečně povoleno, vede spíše k závěru, že uvedené ustanovení stanoví obecný zákaz rozhodnutí výše popsaného typu. Je však třeba zdůraznit, že tento zákaz se vztahuje pouze na velmi specifické okolnosti, a to konkrétně na rozhodnutí, „které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká“. |
|
32. |
Svou první otázkou se předkládající soud ptá, zda výpočet scoringového koeficientu subjektem poskytujícím informace v oblasti úvěrů spadá do působnosti čl. 22 odst. 1 GDPR, pokud je získaný scoringový koeficient předán podniku, který je rozhodujícím způsobem použije k rozhodnutí o uzavření, plnění nebo ukončení smluvního vztahu se subjektem údajů. Jinými slovy je otázkou, zda se toto ustanovení vztahuje na subjekty poskytující informace v oblasti úvěrů, které poskytují scoringový koeficient finančním společnostem. Posouzení této otázky bude vyžadovat posouzení, zda jsou v projednávané věci splněny podmínky čl. 22 odst. 1 GDPR. |
b) K použitelnosti ustanovení čl. 22 odst. 1 GDPR
1) Existence „profilování“ ve smyslu čl. 4 bodu 4 GDPR
|
33. |
Toto ustanovení vyžaduje především, aby se jednalo o automatizované zpracování osobních údajů, přičemž „profilování“ je – soudě podle jeho znění – považováno za podkategorii ( 12 ). V tomto ohledu je třeba poznamenat, že tzv. „scoring“ prováděný společností SCHUFA spadá pod právní definici obsaženou v čl. 4 bodu 4 GDPR, neboť tento postup využívá osobní údaje k vyhodnocení určitých aspektů týkajících se fyzických osob k rozboru nebo odhadu aspektů týkajících se jejich ekonomické situace, spolehlivosti a pravděpodobného chování. Ze spisu totiž vyplývá, že metoda používaná společností SCHUFA poskytuje na základě určitých kritérií „scoringový koeficient“, tj. výsledek, který umožňuje vyvodit závěry o platební schopnosti subjektu údajů. Závěrem bych rád zdůraznil, že žádná ze zúčastněných stran nezpochybňuje kvalifikaci daného postupu jako „profilování“, takže tuto podmínku lze v projednávané věci považovat za splněnou. |
2) Rozhodnutí musí mít pro subjekt údajů „právní účinky“ nebo se ho „obdobným způsobem významně dotýkat“.
|
34. |
Uplatnění čl. 22 odst. 1 GDPR vyžaduje, aby rozhodnutí mělo pro subjekt údajů „právní účinky“ nebo se ho „obdobným způsobem významně dotýkalo“. GDPR tedy uznává, že automatizované rozhodování, včetně profilování, může mít pro subjekty údajů závažné důsledky. Ačkoli GDPR nedefinuje pojem „právní účinky“ ani slovní spojení „obdobným způsobem významně dotýká“, nic to nemění na tom, že je z použité formulace zřejmé, že toto ustanovení se bude vztahovat pouze na účinky se závažným dopadem. V této souvislosti je třeba hned na začátku upozornit na skutečnost, že bod 71 odůvodnění GDPR výslovně uvádí „automatizované zamítnutí on-line žádosti o úvěr“ jako typický příklad rozhodnutí, které se „významně“ dotýká subjektu údajů. |
|
35. |
Dále je třeba na jednu stranu vzít v úvahu, že pokud zpracování žádosti o úvěr představuje krok před uzavřením úvěrové smlouvy, může mít zamítnutí takové žádosti pro subjektů údajů „právní účinky“, neboť již nemůže využít smluvního vztahu s danou finanční institucí. Na druhou stranu je třeba poznamenat, že takové odmítnutí bude mít pravděpodobně dopad i na finanční situaci subjektu údajů. Je proto logické dojít k závěru, že tato osoba bude v každém případě „obdobným způsobem dotčena“ ve smyslu tohoto ustanovení. Zdá se, že si toho byl unijní normotvůrce vědom, když vypracovával bod 71 odůvodnění GDPR, v jehož světle je třeba vykládat čl. 22 odst. 1 tohoto nařízení. Domnívám se proto, že vzhledem k situaci, v níž se žalobkyně nachází, jsou podmínky tohoto ustanovení v projednávané věci splněny, ať už je kladen důraz na právní nebo ekonomické důsledky odmítnutí poskytnutí úvěru. |
3) „Rozhodnutí“ musí být „založeno výhradně na automatizovaném zpracování“
|
36. |
Musí být splněny další dvě podmínky. Zaprvé je nutné, aby byl vůči subjektu učiněn úkon, který má povahu „rozhodnutí“. Zadruhé dané rozhodnutí musí být „založeno výhradně na automatizovaném zpracování“. Co se týče posledně uvedeného požadavku, není v rámci vylíčení skutkových okolností v předkládacím rozhodnutí uvedeno, že by kromě matematického a statistického postupu použitého společností SCHUFA byly scoringové koeficienty jakýmkoli určujícím způsobem stanovovány na základě individuálního hodnocení a posouzení člověkem. V důsledku toho musí být stanovení scoringového koeficientu jakožto úkon prováděný společností SCHUFA považováno za „založené výhradně na automatizovaném zpracování“. Přitom je třeba mít na paměti, že finanční instituce, které společnost SCHUFA sdělí daný koeficient, má následně vydat údajně autonomní akt ve vztahu k subjektu údajů, a to o poskytnutí nebo odmítnutí poskytnutí úvěru. Vyvstává tak otázka, který z těchto dvou aktů lze kvalifikovat jako „rozhodnutí“ ve smyslu čl. 22 odst. 1 GDPR, která bude posouzena níže. |
|
37. |
Pokud jde o první podmínku, je třeba nejprve stanovit, jaká je právní povaha „rozhodnutí“ a jakou má mít formu. Etymologicky tento pojem znamená „názor“ nebo „postoj“ týkající se dané situace. Musí mít také „závaznou povahu“, aby se odlišila od pouhých „doporučení“, která v zásadě nemají žádné právní ani faktické důsledky ( 13 ). Na rozdíl od toho, co tvrdí HBDI, se mi tedy analogie s čl. 288 odst. 4 čtvrtým pododstavcem SFEU nezdá být v tomto kontextu relevantní, a to tím spíše, že nemá žádnou oporu v ustanoveních GDPR. |
|
38. |
Absence právní definice naznačuje, že se unijní normotvůrce rozhodl pro široký pojem, který může zahrnovat několik úkonů, jež mohou mít na subjekt údajů řadu dopadů. Jak jsem již uvedl, „rozhodnutí“ ve smyslu čl. 22 odst. 1 GDPR může mít buď „právní účinky“, nebo se subjektu údajů dotknout „obdobným způsobem“, což znamená, že dané „rozhodnutí“ může mít dopad, který nemusí být nutně právní, ale spíše ekonomický a sociální. Vzhledem k tomu, že cílem čl. 22 odst. 1 GDPR je chránit jednotlivce před potenciálně diskriminačními a nespravedlivými účinky automatizovaného zpracování údajů, zdá se mi, že je zapotřebí zvláštní ostražitosti, která se musí odrazit i ve výkladu této normy. |
|
39. |
A konečně, je důležité zdůraznit, že pokud úkony, které lze přičíst soukromé finanční instituci, mohou mít rovněž závažné důsledky pro nezávislost a svobodu jednání subjektu údajů v tržním hospodářství, zejména pokud jde o potvrzení platební schopnosti žadatele o úvěr ( 14 ), nevidím žádný objektivní důvod omezovat pojem „rozhodnutí“ na přísně veřejnou oblast, tj. na vztah mezi státem a občanem, jak nepřímo naznačuje analogie navrhovaná HBDI. Zdá se mi, že charakteristika postoje zaujatého vůči subjektu údajů jakožto „rozhodnutí“ vyžaduje individuální posouzení každého případu s přihlédnutím ke konkrétním okolnostem, jakož i k závažnosti dopadů na právní, ekonomické a sociální postavení dotčeného subjektu ( 15 ). |
|
40. |
Na základě kritérií uvedených v předchozích bodech je pak třeba určit, které „rozhodnutí“ je pro projednávanou věc relevantní. Jak bylo uvedeno výše, existuje na jedné straně úkon, kterým banka poskytuje nebo zamítá žadateli úvěr, a na druhé straně scoringový koeficient vyplývající z profilování provedeného společností SCHUFA. Podle mého názoru nelze na tuto otázku dát kategorickou odpověď, protože kvalifikace závisí na okolnostech každého konkrétního případu. Konkrétněji řečeno, klíčový význam má způsob, jakým je rozhodovací proces strukturován. Tento proces obvykle zahrnuje několik fází, jako je profilování, vytvoření scoringového koeficientu a vlastní rozhodnutí o poskytnutí úvěru. |
|
41. |
Zdá se mi zřejmé, že pokud se finanční instituce může tohoto postupu ujmout, nic jí nebrání v tom, aby určité úkoly, například profilování a scoring, svěřila smluvně obchodní informační agentuře. Ustanovení čl. 22 odst. 1 GDPR totiž nevyžaduje, aby tyto úkoly plnil jeden nebo více subjektů. Přesto se mi nezdá, že by případné přenesení určitých pravomocí na externího poskytovatele služeb hrálo v analýze klíčovou roli, neboť takové přenesení se obvykle řídí ekonomickými a organizačními hledisky, která se mohou případ od případu lišit. |
|
42. |
Nicméně aspekt, u něhož se mi zdá, že hraje klíčovou roli, je otázka, zda je rozhodovací postup koncipován tak, že scoring prováděný obchodní informační agenturou předurčuje rozhodnutí finanční instituce o poskytnutí nebo zamítnutí úvěru. V případě, že je scoring prováděn bez jakéhokoli lidského zásahu, jehož prostřednictvím by mohl být v případě potřeby ověřen jeho výsledek a správnost rozhodnutí, které má být ve vztahu k žadateli o úvěr přijato, se zdá být logické domnívat se, že samotný scoringový koeficient představuje „rozhodnutí“ uvedené v čl. 22 odst. 1 GDPR. |
|
43. |
Předpokládat opak z důvodu, že rozhodnutí o poskytnutí nebo zamítnutí úvěru je formálně v kompetenci finanční instituce, by bylo nejen příliš formalistické, ale sotva by se jednalo o spravedlivé posouzení konkrétních okolností dané situace. Zdá se, že to platí tím spíše, že ustanovení čl. 22 odst. 1 GDPR nevyžaduje, aby „rozhodnutí“ mělo nějakou konkrétní formu. Rozhodujícím faktorem je dopad, který má „rozhodnutí“ na subjekt údajů. Vzhledem k tomu, že negativní výsledek scoringu může mít sám o sobě pro subjekt údajů nepříznivé důsledky, tj. může výrazně omezit výkon jeho svobod, nebo jej dokonce ve společnosti stigmatizovat, jeví se jako oprávněné kvalifikovat tento výsledek jako „rozhodnutí“ ve smyslu výše uvedeného ustanovení, pokud mu finanční instituce při rozhodování přikládá prvořadý význam ( 16 ). Za těchto okolností je totiž žadatel o úvěr ovlivněn již ve fázi posuzování jeho platební schopnosti obchodní informační agenturou, a nikoli až v konečné fázi zamítnutí úvěru, kdy finanční instituce pouze aplikuje výsledek tohoto posouzení na konkrétní případ ( 17 ). |
|
44. |
Vzhledem k tomu, že zaprvé čl. 22 odst. 1 GDPR vyžaduje, aby předmětné rozhodnutí bylo založeno „výhradně“ na automatizovaném zpracování ( 18 ), a zadruhé znění ustanovení obecně představuje hranici jakéhokoli výkladu, zdá se nezbytné, aby automatizované zpracování zůstalo jediným prvkem, který odůvodňuje přístup finanční instituce k žadateli o úvěr. Tak by tomu bylo v případě, že by se na postupu podílel člověk, ale bez možnosti ovlivnit příčinnou souvislost mezi automatizovaným zpracováním a konečným rozhodnutím. Obchodní informační agentura by měla učinit de facto konečné rozhodnutí za finanční instituci. To závisí na interních pravidlech a postupech dané finanční instituce, které by jí obecně neměly ponechávat žádný manévrovací prostor při aplikaci scoringového koeficientu na žádost o úvěr. |
|
45. |
Jedná se v podstatě o skutkovou otázku, kterou mohou podle mého názoru nejlépe posoudit vnitrostátní soudy. Navrhuji proto, aby předkládající soud sám určil, do jaké míry je finanční instituce obecně vázána scoringem provedeným obchodní informační agenturou, jako je společnost SCHUFA, a to s přihlédnutím k výše uvedeným kritériím ( 19 ). Budu vycházet z informací obsažených v předkládacím rozhodnutí, abych mohl v projednávané věci poskytnout užitečnou odpověď vnitrostátnímu soudu. |
|
46. |
V této souvislosti bych chtěl nejprve poukázat na to, že předkládající soud uvádí, že i když je v tomto stadiu rozhodovacího procesu v zásadě stále možný lidský zásah, rozhodnutí o uzavření smluvního vztahu se subjektem údajů „prakticky závisí na scoringovém koeficientu, který poskytnou […] informační kanceláře, v natolik podstatné míře, že tento koeficient […] determinuje rozhodnutí třetího správce“. Předkládající soud dále uvádí, že „[o] tom, zda a jak třetí správce uzavře smlouvu se subjektem údajů, […] vlastně […] rozhoduje scoringový koeficient, který na základě automatizovaného zpracování vytvořila obchodní informační agentura“. Předkládající soud rovněž vysvětluje, že ačkoli třetí správce nemusí rozhodnout jen na základě scoringového koeficientu, „obecně rozhoduje v podstatné míře na základě něho“. Dodává, že [p]oskytnutí úvěru […] může být navzdory v zásadě postačujícímu scoringovému koeficientu odmítnuto (z jiných důvodů, jako je například neexistence zajištění, nebo pochybnosti o úspěšnosti investice, jež má být financována), ale nedostatečný scoringový koeficient v oblasti spotřebitelských úvěrů bude v každém případě vést k zamítnutí úvěru téměř vždy, a to i tehdy, pokud se například investice jinak jeví jako výnosná“. Předkládající soud konečně uvádí, že „[z]kušenosti z dozoru v oblasti ochrany údajů prováděného orgány svědčí o tom, že scoringové koeficienty sehrávají při poskytování úvěrů a stanovení jejich podmínek rozhodující roli“. |
|
47. |
Domnívám se, že z výše uvedených úvah vyplývá, že s výhradou posouzení skutkových okolností, jehož provedení přísluší každému vnitrostátnímu soudu v každém jednotlivém případě, má scoringový koeficient stanovený ekonomickou informační kanceláří a sdělený finanční instituci obecně tendenci předurčit rozhodnutí této instituce o poskytnutí nebo zamítnutí úvěru dotyčné osobě, takže toto stanovisko musí být v rámci daného postupu považováno za stanovisko čistě formální povahy ( 20 ). Z toho vyplývá, že samotný scoringový koeficient je třeba považovat za „rozhodnutí“ ve smyslu čl. 22 odst. 1 nařízení GDPR. |
|
48. |
Takový závěr se mi jeví jako rozumný, protože jakýkoli jiný výklad by zpochybnil cíl, který unijní normotvůrce tímto ustanovením sledoval, tedy ochranu práv subjektů údajů. Jak správně uvedl předkládající soud, striktní výklad čl. 22 odst. 1 GDPR by vedl k mezeře v právní ochraně: obchodní informační agentura, od níž by bylo možné získat informace, které potřebuje subjekt údajů, nemá podle čl. 15 odst. 1 písm. h) GDPR povinnost poskytnout přístup k údajům, protože údajně neprovádí vlastní „automatizované rozhodování“ ve smyslu tohoto ustanovení, a finanční instituce, která rozhoduje na základě scoringového koeficientu stanoveného automatizovaným způsobem a je povinna poskytnout informace požadované podle čl. 15 odst. 1 písm. h) GDPR, je nemůže poskytnout, protože tyto informace nemá. |
|
49. |
V důsledku toho by finanční instituce nebyla schopna zkontrolovat posouzení platební schopnosti žadatele o úvěr v případě napadení rozhodnutí, jak vyžaduje čl. 22 odst. 3 GDPR, ani zajistit spravedlivé, transparentní a nediskriminační zpracování pomocí vhodných matematických nebo statistických postupů a vhodných technických a organizačních opatření, jak vyžaduje šestá věta bodu 71 odůvodnění GDPR ( 21 ). Aby se předešlo takové situaci, která by byla zjevně v rozporu s legislativním cílem uvedeným v předchozím bodě, navrhuji výklad čl. 22 odst. 1 GDPR, který zohledňuje skutečný dopad scoringu na situaci subjektu údajů. |
|
50. |
Takový přístup mi připadá logický, neboť obchodní informační agentura by měla být obecně jediným subjektem, který je schopen reagovat na další žádosti subjektu údajů, a to na základě práv zaručených rovněž GDPR, konkrétně práva na opravu podle článku 16 GDPR, pokud by se ukázalo, že osobní údaje použité k provedení scoringu jsou nepřesné, a práva na výmaz podle článku 17 GDPR, pokud by tyto údaje byly zpracovávány protiprávně. Vzhledem k tomu, že finanční instituce se zpravidla nepodílí na shromažďování těchto údajů ani na profilování, pokud jsou tyto úkoly svěřeny třetí straně, je rozumné vyloučit, že bude schopna účinně zajistit dodržování těchto práv. Subjekt údajů by však neměl být nucen nést nepříznivé důsledky takového přenesení úkolů. |
|
51. |
Stanovení odpovědnosti obchodní informační agentury na základě stanovení scoringového koeficientu – a nikoli na základě jeho následného použití – se mi jeví jako nejúčinnější způsob zajištění ochrany základních práv subjektu údajů, konkrétně práva na ochranu osobních údajů podle článku 8 Listiny základních práv Evropské unie (dále jen „Listina“), ale také práva na respektování jeho soukromého života podle článku 7 Listiny, neboť tato činnost je v konečném důsledku „příčinou“ jakékoliv případné újmy. Vzhledem k riziku, že scoringový koeficient stanovený obchodní informační agenturou bude použit mnoha finančními institucemi, se zdá být rozumné umožnit subjektu údajů, aby svá práva uplatnil přímo vůči této informační kanceláři. |
|
52. |
Z výše uvedených důvodů se domnívám, že podmínky čl. 22 odst. 1 nařízení GDPR jsou splněny, takže toto ustanovení je použitelné za takových okolností, jako jsou okolnosti věci v původním řízení. |
c) K rozsahu práva na informace stanoveného v čl. 15 odst. 1 písm. h) GDPR
|
53. |
V této souvislosti nelze dostatečně zdůraznit význam plného dodržování informačních povinností správce vůči subjektu údajů. Podle čl. 15 odst. 1 písm. h) GDPR má subjekt údajů právo získat od správce nejen potvrzení o tom, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, ale také další informace, jako je skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v článku 22 GDPR, a smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů. |
|
54. |
Vzhledem k tomu, že společnost SCHUFA odmítla sdělit žalobkyni určité informace týkající se metody výpočtu s odůvodněním, že představují obchodní tajemství, je zřejmě vhodné objasnit rozsah práva na informace podle čl. 15 odst. 1 písm. h) GDPR, zejména pokud jde o povinnost poskytnout „smysluplné informace týkající se použitého postupu“. Podle mého názoru by toto ustanovení mělo být vykládáno tak, že se v zásadě vztahuje i na metodu výpočtu používanou obchodní informační agenturou pro účely stanovení scoringového koeficientu, pokud neexistují žádné protichůdné zájmy hodné ochrany. V tomto ohledu je třeba odkázat na bod 63 odůvodnění GDPR, v němž se mimo jiné uvádí, že „práv[em] na přístup ke shromážděným osobním údajům […] by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení“ (kurzivou zvýraznil autor stanoviska). |
|
55. |
Z výkladu čl. 15 odst. 1 písm. h) GDPR ve světle bodů 58 a 63 odůvodnění tohoto nařízení lze vyvodit řadu závěrů. Zaprvé je zřejmé, že unijní normotvůrce si byl plně vědom konfliktů, které by mohly vzniknout mezi právem na ochranu osobních údajů zaručeným článkem 8 Listiny na jedné straně a právem na ochranu duševního vlastnictví uvedeným v čl. 17 odst. 2 Listiny na straně druhé. Zadruhé je zřejmé, že nepředpokládal obětování jednoho základního práva právu druhému. Naopak, bližší analýza ustanovení GDPR umožňuje závěr, že mělo v úmyslu zajistit spravedlivou rovnováhu mezi právy a povinnostmi. |
|
56. |
Výzva unijního normotvůrce uvedená v bodě 63 odůvodnění GDPR, že „[z]ohlednění těchto skutečností by […] nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací“ ( 22 ), podle mého názoru znamená, že v každém případě musí být poskytnuto minimální množství informací, aby nebyl ohrožen základní obsah práva na ochranu osobních údajů. Z toho vyplývá, že i když je ochrana obchodního tajemství nebo duševního vlastnictví v zásadě legitimním důvodem pro to, aby obchodní informační agentura odmítla sdělit algoritmus použitý k výpočtu scoringového koeficientu subjektu údajů, nemůže v žádném případě odůvodnit absolutní odmítnutí informací. To platí zejména v případě, že existují vhodné komunikační prostředky, které usnadňují porozumění a zároveň zajišťují určitou míru důvěrnosti. |
|
57. |
V této souvislosti se mi jeví jako obzvláště relevantní ustanovení čl. 12 odst. 1 GDPR, podle něhož „[s]právce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace [podle článku 15] o zpracování“ ( 23 ). Toto ustanovení podporuje výše uvedenou úvahu, neboť z ní vyplývá, že skutečným účelem čl. 15 odst. 1 písm. h) GDPR je zajistit, aby subjekt údajů získal informace srozumitelným a přístupným způsobem v souladu se svými potřebami. Podle mého názoru tyto požadavky již vylučují možnou povinnost zveřejnit algoritmus vzhledem k jeho složitosti. Užitečnost sdělení obzvláště složitého vzorce by totiž byla sporná bez poskytnutí nezbytných vysvětlení. V tomto ohledu je třeba upozornit na bod 58 odůvodnění GDPR, z něhož vyplývá, že dodržení požadavků uvedených výše je obzvláště důležité „v situacích, kdy […] technologická složitost znesnadňuj[e] subjektu údajů, aby věděl a porozuměl tomu, zda jsou shromažďovány jeho osobní údaje a kdo a za jakým účelem je shromažďuje“ ( 24 ). |
|
58. |
Z uvedených důvodů se domnívám, že povinnost poskytnout „smysluplné informace týkající se použitého postupu“ by měla být chápána tak, že zahrnuje dostatečně podrobné vysvětlení metody použité k výpočtu skoringového koeficientu a důvody, které vedly k určitému výsledku. Obvykle by měl správce poskytnout subjektu údajů souhrnné informace, zejména o faktorech, které byly vzaty v úvahu při rozhodování, a o jejich významu na souhrnné úrovni, což je užitečné i pro napadení jakéhokoli „rozhodnutí“ ve smyslu čl. 22 odst. 1 GDPR ( 25 ). |
d) Odpověď na první předběžnou otázku
|
59. |
Vzhledem k výše uvedeným úvahám se domnívám, že ustanovení čl. 22 odst. 1 GDPR je nutno vykládat v tom smyslu, že již automatizované vytvoření hodnoty pravděpodobnosti týkající se schopnosti subjektu údajů splácet v budoucnu úvěr představuje rozhodnutí založené výhradně na automatizovaném zpracování, včetně profilování, které má pro subjekt údajů právní účinky nebo se ho obdobným způsobem významně dotýká, pokud správce tuto hodnotu zjištěnou prostřednictvím osobních údajů tohoto subjektu poskytne třetímu správci a tento třetí správce v souladu se zavedenou praxí založí své rozhodnutí o uzavření, plnění nebo ukončení smluvního vztahu s tímto subjektem údajů rozhodujícím způsobem na této hodnotě. |
2. Ke druhé předběžné otázce
|
60. |
Ačkoli druhá otázka byla položena pouze pro případ, že první otázka bude zodpovězena záporně, zdá se mi, že je relevantní i v případě, pokud by Soudní dvůr dospěl k závěru, že scoring spadá pod zákaz automatizovaného rozhodování stanovený v čl. 22 odst. 1 GDPR. V takovém případě, jak správně uvádí finská vláda, by bylo nutné přezkoumat, zda lze z tohoto zákazu učinit výjimku podle čl. 22 odst. 2 písm. b) GDPR. Podle tohoto ustanovení se zákaz nepoužije, „pokud je rozhodnutí povoleno právem Unie nebo členského státu, které se na správce vztahuje“. |
|
61. |
Toto ustanovení obsahuje výslovný regulační prostor, pokud je automatizované profilování, na které se vztahuje, prováděno na základě práva Unie nebo členského státu. Pokud je prováděno na základě práva členského státu, musí vnitrostátní právo poskytovat subjektu zvláštní záruky. Soudní dvůr by tedy musel určit, zda lze takové „oprávnění“ dovodit ze samotného článku 6 GDPR nebo z vnitrostátního předpisu přijatého na právním základě v něm stanoveném. Zdá se mi, že posledně uvedený případ vyžaduje další analýzu, neboť předkládající soud se táže, zda je článek 31 BDSG v souladu s články 6 a 22 GDPR, což vyžaduje, aby články 6 a 22 GDPR mohly představovat odpovídající právní základ. |
a) K existenci právního základu v GDPR, které svěřuje regulační pravomoci členským státům
|
62. |
Vnitrostátní soud právě v tomto ohledu vyjadřuje pochybnosti, neboť podle jeho názoru by žádné z ustanovení uvedených v článcích 6 a 22 GDPR nemohlo sloužit jako právní základ pro přijetí takového vnitrostátního ustanovení, jako je ustanovení uvedené v § 31 BDSG, které stanoví určitá pravidla pro scoring. To vyvolává otázku, zda vnitrostátní zákonodárce správně uplatnil ustanovení GDPR, která dávají zákonodárci manévrovací prostor stanovit vnitrostátní pravidla pro zpracování osobních údajů podle GDPR nebo se od nich za určitých okolností odchýlit. Odpověď na tuto otázku je složitá, jelikož německý zákonodárce v důvodové zprávě k zákonu nepočítá s žádným ustanovením o výjimce ( 26 ). Je však o to relevantnější, že ustanovení § 31 odst. 1 bodu 1 BDSG výslovně uvádí, že scoring„je přípustný pouze v případě, že jsou dodržována ustanovení práva na ochranu údajů“ (kurzivou zvýraznil autor stanoviska). Jak vysvětlím níže, existuje několik argumentů, které mě vedou k záporné odpovědi na tuto otázku. |
1) K použitelnosti ustanovení čl. 22 odst. 2 písm. b) GDPR
|
63. |
Na úvod je třeba odkázat na ustanovení čl. 22 odst. 2 písm. b) GDPR, které svěřuje členským státům pravomoc povolit rozhodnutí založené výhradně na automatizovaném zpracování údajů, včetně profilování, a které by proto mohlo být použito jako právní základ. Je však třeba poznamenat, že tento odstavec 2 by se nepoužil za předpokladu, že by Soudní dvůr dospěl k závěru, že se na scoring nevztahuje zákaz uvedený v odstavci 1 článku 22 GDPR. Jak totiž vyplývá ze znění a obecné systematiky článku 22 GDPR, použití odstavce 2 předpokládá, že jsou splněny podmínky odstavce 1. Je tedy zřejmé, že v případě záporné odpovědi na první otázku by bylo nutno vyloučit použití ustanovení čl. 22 odst. 2 písm. b) GDPR. |
|
64. |
Pro úplnost a vzhledem ke kladné odpovědi na první otázku považuji za nutné přezkoumat, zda se toto ustanovení má použít v případě, že Soudní dvůr shledá, že scoring provedený obchodní informační agenturou představuje „rozhodnutí“ ve smyslu odstavce 1 tohoto článku. I v tomto případě však přetrvávají pochybnosti o vhodnosti ustanovení čl. 22 odst. 2 písm. b) GDPR jako právního základu, a to z několika důvodů. |
|
65. |
Zaprvé je třeba připomenout, že článek 22 GDPR se týká pouze rozhodnutí přijatých „výhradně“ na základě automatizovaného zpracování údajů, kdežto podle předkládajícího soudu obsahuje § 31 BDSG nediferencovaná pravidla, která se vztahují i na neautomatizovaná rozhodnutí, přičemž toto ustanovení upravuje zákonnost uplatnění zpracování údajů pro účely stanovení scoringového koeficientu. Jinými slovy, ustanovení § 31 BDSG má mnohem širší působnost ratione materiae než článek 22 GDPR ( 27 ). Je proto sporné, zda má ustanovení čl. 22 odst. 2 písm. b) GDPR sloužit jako právní základ. |
|
66. |
Zadruhé je třeba konstatovat – jak uvádí předkládající soud –, že ustanovení § 31 BDSG upravuje „použití“ hodnoty pravděpodobnosti ze strany hospodářských subjektů, nikoli však „výpočet“ této hodnoty obchodními informačními kancelářemi, což je ovšem aspekt, který je předmětem první předběžné otázky. Toto lze také vyvodit z prohlášení učiněného na jednání německou vládou. Jak jsem již podrobně uvedl v souvislosti s posuzováním této otázky, použije se ustanovení čl. 22 odst. 1 GDPR nikoli pouze ve fázi „použití“ scoringového koeficientu finanční institucí, ale i ve fázi „výpočtu“ tohoto koeficientu, pokud jsou splněny určité podmínky ( 28 ). Jinými slovy, § 31 BDSG má zřejmě upravovat jinou situaci, než která spadá do působnosti ratione materiae článku 22 GDPR, což musí potvrdit předkládající soud. Ve světle výše uvedených úvah se domnívám, že je nutno vyloučit, že by ustanovení čl. 22 odst. 2 písm. b) GDPR představovalo právní základ pro přijetí vnitrostátního legislativního opatření, jako je legislativní opatření uvedené v § 31 BDSG. |
2) K použitelnosti ustanovení čl. 6 odst. 2 a 3 GDPR
i) K ustanovením svěřujícím regulační pravomoci členským státům
|
67. |
Podle čl. 6 odst. 1 GDPR je zpracování osobních údajů zákonné, pouze pokud je splněna podmínka jednoho z důvodů uvedených v tomto článku. Jak již Soudní dvůr konstatoval, jedná se o taxativní a omezující výčet případů, v nichž lze takové zpracování považovat za zákonné ( 29 ). Aby bylo proto možno považovat výpočet scoringového koeficientu obchodní informační agenturou za zákonný, musí spadat do jednoho z případů uvedených v tomto ustanovení. |
|
68. |
V případě, jakým je projednávaná věc v původním řízení, lze v zásadě použít čl. 6 odst. 1 písm. b), c) a f) GDPR. Podle odstavce 2 tohoto článku GDPR mohou členské státy zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel GDPR. Je však třeba upřesnit, že toto ustanovení se použije pouze za účelem splnění ustanovení odst. 1 písm. c) a e). Podobně se v ustanovení čl. 6 odst. 3 GDPR stanoví, že základ pro zpracování musí být stanoven právem členského státu, které se na správce vztahuje, pokud se zpracování týká případů uvedených v odst. 1 písm. c) a e). |
|
69. |
Z toho vyplývá, že členské státy mohou přijmout konkrétnější pravidla, pokud je zpracování „nezbytné pro splnění právní povinnosti, která se na správce vztahuje“ nebo „nezbytné pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce“. Důsledkem těchto podmínek je přísné omezení regulační pravomoci členských států, což vylučuje svévolné používání ustanovení o výjimce stanovených v GDPR, které by mohlo zmařit cíl harmonizace práva v oblasti ochrany osobních údajů. |
|
70. |
V této souvislosti je dále třeba poznamenat, že pokud některá z těchto ustanovení používají terminologii specifickou pro GDPR, aniž by výslovně odkazovala na právo členských států, musí být použité pojmy vykládány autonomním a jednotným způsobem ( 30 ). V této souvislosti je třeba níže přezkoumat, zda se na právní úpravu v § 31 BDSG vztahuje některý z důvodů uvedených v čl. 6 odst. 1 GDPR. |
ii) K zákonnosti zpracování údajů
– K důvodu stanovenému v čl. 6 odst. 1 písm. b) GDPR
|
71. |
Pokud jde o písmeno b), z tohoto ustanovení vyplývá, že zpracování je zákonné pouze tehdy, je-li nezbytné pro „splnění smlouvy, jejíž smluvní stranou je subjekt údajů“, nebo pro „provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů“. V této souvislosti je třeba poznamenat, že služby poskytované informačními kancelářemi jsou využívány pouze ve výjimečných případech ve fázi splnění smlouvy. Nejdůležitější fází je fáze před uzavřením smlouvy, během níž se obvykle získávají informace o platební schopnosti. Předání žádosti o informace obchodní informační agentuře za účelem kontroly platební schopnosti se mi zdá být na základě tohoto ustanovení přípustné ( 31 ). Je však třeba upřesnit, že toto ustanovení se vztahuje pouze na oprávnění provádět šetření o platební schopnosti potenciálních smluvních partnerů, věřitelů a/nebo poskytovatelů právních služeb, a vytváří tak předběžné předpoklady pro zákonné shromažďování údajů obchodními informačními agenturami. Na druhou stranu se mi toto ustanovení samo o sobě nezdá být dostatečným právním základem pro legitimizaci činnosti obchodní informační agentury obecně ( 32 ). |
|
72. |
Navíc je důležité připomenout, že ustanovení čl. 6 odst. 1 písm. b) GDPR sice kodifikuje důvod zákonnosti zpracování osobních údajů, ale nezmiňuje žádnou ze situací uvedených v odstavcích 2 a 3, kdy mají členské státy regulační pravomoc. Z toho vyplývá, že pokud článek 6 GDPR tyto případy taxativně vyjmenovává, nelze vnitrostátní ustanovení, jako je ustanovení uvedené v § 31 BDSG, přijmout pouze na základě čl. 6 odst. 1 písm. b) GDPR. |
– K důvodu uvedenému v čl. 6 odst. 1 písm. c) GDPR
|
73. |
Důvod uvedený v čl. 6 odst. 1 písm. c) GDPR se týká zpracování na základě „právní povinnosti“, která se na správce vztahuje. Jedná se o požadavky stanovené samotným státem. Toto ustanovení naopak nezahrnuje povinnosti vyplývající z občanskoprávních smluv, např. ze smlouvy mezi finanční institucí a obchodní informační agenturou. Nicméně finanční instituce, které musí prověřovat platební schopnost svých zákazníků v rámci svých povinností vyplývajících z vnitrostátního práva, mohou pro účely příslušných žádostí o informace vycházet z tohoto právního základu, aby byla z hlediska obchodní informační agentury zaručena plná zákonnost těchto žádostí. Na druhou stranu „výpočet“ scoringového koeficientu obchodní informační agenturou nelze považovat za opatření přijaté v rámci plnění „právní povinnosti“ uložené této kanceláři, neboť taková povinnost patrně ve vnitrostátním právu neexistuje. Proto je třeba mít za to, že písmeno c) nelze platně použít jako právní základ pro to, aby se ze scoringu stalo zákonné zpracování. |
– K důvodu uvedenému v čl. 6 odst. 1 písm. e) GDPR
|
74. |
Vyvstává tedy otázka, zda se lze dovolávat čl. 6 odst. 1 písm. e) GDPR jako právního základu pro přijetí § 31 BDSG. Bylo by tomu tak v případě, že by zpracování bylo „nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce“. Na jedné straně lze tvrdit, že jak vyplývá z legislativního cíle § 31 BDSG, který se odráží v názvu tohoto vnitrostátního ustanovení („Ochrana obchodních transakcí při „scoringu“ a informacích o bonitě“), a z přípravných prací ( 33 ), obchodní informační agentury přispívají k řádnému fungování ekonomiky země ( 34 ). |
|
75. |
Pokud tyto společnosti poskytují informace o platební schopnosti konkrétních osob, přispívají k ochraně spotřebitelů tím, že zabraňují riziku předlužení ( 35 ), ale také společností, které jim prodávají zboží nebo poskytují úvěry. Tyto společnosti zajišťují stabilitu finančního systému tím, že zabraňují nezodpovědnému poskytování úvěrů dlužníkům s vysokým rizikem selhání ( 36 ). Bez spolehlivého systému hodnocení úvěru by byla velká část obyvatelstva prakticky vyloučena z možnosti získat úvěr z důvodu nevypočitatelných rizik, hospodářské transakce v informačním věku by byly značně obtížné a pokusy o podvod by zůstaly nepovšimnuty. Z tohoto pohledu lze souhlasit s důvody, které zřejmě vedly německého zákonodárce k přijetí § 31 BDSG. |
|
76. |
Kromě toho, i když je známo, že právnické osoby soukromého práva mohou jednat ve veřejném zájmu, jeví se mi jako jasné, že žádný „oprávněný zájem“ nemůže odůvodnit použití ustanovení čl. 6 odst. 1 písm. e) GDPR. Souvislost s „výkonem veřejné moci“ a body 45, 55 a 56 odůvodnění GDPR spíše naznačují, že toto ustanovení je zaměřeno zaprvé na orgány veřejné moci v užším slova smyslu, jakož i na právnické osoby částečně nadané veřejnou mocí, a zadruhé na právnické osoby soukromého práva, které provádějí zpracování pro účely veřejné služby, například v oblasti „veřejného zdraví“, „sociální ochrany“ a „řízení zdravotnických služeb“, jež jsou výslovně uvedeny v bodě 45 odůvodnění. Jinými slovy, toto ustanovení se týká klasických úkolů státu. |
|
77. |
Podobně je třeba poznamenat, že body 55 a 56 odůvodnění GDPR odkazují na „úředně uznaná náboženská sdružení“ a na „politické strany“, tj. organizace, které podle kritérií unijního normotvůrce vykonávají činnost ve veřejném zájmu a za tímto účelem zpracovávají osobní údaje. Vzhledem k tomuto konstatování je sporné, zda toto ustanovení může zahrnovat i činnosti obchodních informačních agentur, včetně scoringu. Takový výklad by značně rozšířil oblast působnosti tohoto ustanovení a ztížil by zejména určení hranic tohoto úvodního ustanovení ( 37 ). |
|
78. |
Kromě výše uvedených úvah je třeba v této souvislosti poznamenat, že ačkoli je cílem ustanovení § 31 BDSG ochrana hospodářských transakcí, toto ustanovení nezmiňuje žádné konkrétní úkoly těchto společností ( 38 ). Jak jsem již uvedl v těchto závěrech, opíraje se o objasnění vnitrostátního právního rámce, které poskytl předkládající soud, toto ustanovení se týká „používání“ scoringového koeficientu hospodářskými subjekty, a nikoli jeho „výpočtu“ obchodními informačními kancelářemi ( 39 ). Jádrem sporu v původním řízení je však zákonnost této činnosti. Z výše uvedených důvodů se domnívám, že ustanovení čl. 6 odst. 1 písm. e) nařízení GDPR není vhodným právním základem. |
– K důvodu uvedenému v čl. 6 odst. 1 písm. f) GDPR
|
79. |
Dále je třeba přezkoumat, zda tato činnost spadá do působnosti čl. 6 odst. 1 písm. f) GDPR. Podle judikatury Soudního dvora ( 40 ) stanoví předmětné ustanovení tři kumulativní podmínky pro to, aby bylo zpracování osobních údajů zákonné, a to zaprvé sledování oprávněného zájmu správce nebo třetí strany či stran, kterým jsou údaje sdělovány, zadruhé nezbytnost zpracování osobních údajů pro uskutečnění sledovaného oprávněného zájmu a zatřetí podmínku, že před tímto zájmem nemají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů. |
|
80. |
Pokud jde především o sledování „oprávněného zájmu“, připomínám, že GDPR a judikatura uznávají širokou škálu zájmů považovaných za oprávněné ( 41 ), přičemž upřesňují, že v souladu s čl. 13 odst. 1 písm. d) GDPR je na správci, aby označil oprávněné zájmy sledované v rámci čl. 6 odst. 1 písm. f) GDPR. Jak jsem již uvedl v tomto stanovisku, je legislativním cílem ustanovení § 31 BDSG zajistit zákonnost činností prováděných obchodními informačními agenturami, neboť podle názoru německého zákonodárce přispívají k řádnému fungování hospodářství země ( 42 ). Vzhledem k tomu, že tyto činnosti zaručují ochranu různých hospodářských subjektů před riziky spojenými s platební neschopností, která mají závažné důsledky pro stabilitu finančního systému, lze v této fázi analýzy předpokládat, že výše uvedené vnitrostátní ustanovení sleduje hospodářský cíl, který může představovat „oprávněný zájem“ ve smyslu čl. 6 odst. 1 písm. f) GDPR. |
|
81. |
Co se dále týče podmínky nezbytnosti zpracování osobních údajů pro uskutečnění sledovaného oprávněného zájmu, podle judikatury Soudního dvora musí být výjimky ze zásady ochrany osobních údajů a její omezení činěny v mezích toho, co je naprosto nezbytné ( 43 ). Proto je třeba, aby existovala úzká vazba mezi zpracováním a sledovaným zájmem, pokud neexistují alternativní řešení, která by více respektovala ochranu osobních údajů, protože nestačí, že zpracování vykazuje prostou užitečnost pro správce. V tomto ohledu je třeba poznamenat, že předkládající soud sice vyjadřuje určité pochybnosti o zákonnosti scoringu s ohledem na ustanovení GDPR, neuvádí však žádné informace, které by naznačovaly možnou existenci alternativních opatření, která by více respektovala ochranu osobních údajů. Vzhledem k absenci informací nasvědčujících opaku se přikláním k tomu, že existuje určitý manévrovací prostor pro volbu vhodných opatření k dosažení požadovaného cíle. |
|
82. |
Pokud jde konečně o vyvažování zájmů správce údajů na jedné straně a zájmů nebo základních svobod a základních práv subjektu údajů na straně druhé, je třeba konstatovat, že vážení různých zájmů bylo v projednávané věci provedeno zákonem. Přijetím ustanovení § 31 BDSG dal německý zákonodárce přednost hospodářským zájmům před právem na ochranu osobních údajů. Takový přístup by však byl možný pouze v případě, že by čl. 6 odst. 1 písm. f) GDPR obsahoval ustanovení, které by členským státům umožňovalo zachovat nebo zavést konkrétnější ustanovení pro přizpůsobení pravidel tohoto nařízení, pokud jde o zpracovávání osobních údajů. Tak tomu však není, jak vysvětlím níže. |
|
83. |
Jak jasně vyplývá ze znění čl. 6 odst. 2 a 3 GDPR, zachování nebo zavedení konkrétnějších ustanovení je povoleno pouze v případech uvedených v odst. 1 písm. c) a e). Předchozí analýza ukázala, že ustanovení § 31 BDSG nestanoví žádné okolnosti, které by mohly spadat pod tyto případy, což logicky vylučuje, aby mohlo být jako právní základ použito ustanovení čl. 6 odst. 2 a 3 GDPR. Použití na případ uvedený v písmenu f) odstavce 1 by bylo nejen v rozporu se zněním těchto ustanovení, ale také by nerespektovalo záměr unijního normotvůrce, jak vyplývá z historie vzniku těchto ustanovení. |
|
84. |
V této souvislosti bych rád připomněl, že podle článku 5 směrnice 95/46/ES ( 44 ) – právního aktu, který předcházel GDPR – bylo povinností členských států „[upřesnit] podmínky, za kterých je zpracovávání osobních údajů zákonné“. Soudní dvůr toto ustanovení vyložil tak, že dospěl k závěru, že členským státům nic nebrání v tom, aby při výkonu svého prostoru pro uvážení podle článku 5 směrnice 95/46/ES stanovily „hlavní zásady“ pro vážení požadované podle čl. 7 písm. f) uvedené směrnice, který odpovídá čl. 6 odst. 1 písm. f) GDPR. Je však důležité poznamenat, že GDPR již tuto pravomoc členským státům nesvěřuje. Absence odpovídajícího ustanovení v GDPR totiž znamená, že členské státy již nemohou ve vnitrostátním právu stanovit hlavní zásady pro upřesnění „oprávněného zájmu“ ve smyslu čl. 6 odst. 1 písm. f) tohoto nařízení ( 45 ). |
|
85. |
Odkaz na „ustanovení týkající se zvláštních situací, při nichž dochází ke zpracování“ v kapitole IX, který je obsažen v odstavcích 2 a 3, nemá za následek rozšíření oblasti působnosti článku 6 GDPR. Jedná se spíše o odkaz na ustanovení, která členským státům umožňují přijmout konkrétnější pravidla ve vymezených oblastech, konkrétně v případech, kdy je zpracování nezbytné pro splnění „právní povinnosti“ ve smyslu odst. 1 písm. c) nebo pro splnění „úkolu ve veřejném zájmu“ nebo při výkonu „veřejné moci“ v případě odst. 1 písm. e) ( 46 ). Jak jsem však již uvedl výše, tyto oblasti nejsou relevantní pro okolnosti, za nichž se použije ustanovení § 31 GDPR. |
|
86. |
V této souvislosti je třeba rovněž připomenout, že ačkoli návrh nařízení, který předložila Komise, jí dával pravomoc „přijímat akty v přenesené pravomoci za účelem dalšího vymezení podmínek uvedených v odst. 1 písm. f) pro různá odvětví a různé situace při zpracovávání údajů, včetně zpracování osobních údajů týkajících se dítěte“, unijní zákonodárce tento návrh nepřijal. Z analýzy vývoje textu vyplývá, že regulační pravomoci členských států byly omezeny v zájmu větší harmonizace, aby bylo zajištěno jednotné a soudržné uplatňování pravidel v oblasti ochrany osobních údajů, což potvrzují rovněž body 3, 9 a 10 odůvodnění GDPR ( 47 ). Tuto okolnost je třeba zohlednit při výkladu článku 6 GDPR. |
|
87. |
Závěrem považuji za nutné zdůraznit, že i kdyby se použilo ustanovení čl. 6 odst. 1 písm. f) GDPR, nebylo by možné považovat vnitrostátní ustanovení, jako je ustanovení § 31 BDSG, za ustanovení slučitelné s právem Unie. Rád bych připomněl, že Soudní dvůr vyložil čl. 7 písm. f) směrnice 95/46 tak, že „[č]lenský stát […] nemůže pro [určité kategorie osobních údajů] předepisovat s konečnou platností výsledek vyvážení proti sobě stojících práv a zájmů, aniž by připouštěl odlišný výsledek z důvodu zvláštních okolností konkrétního případu“ ( 48 ). Vzhledem k tomu, že toto ustanovení je formulováno téměř totožně jako ustanovení, které jej nahradilo, tj. ustanovení čl. 6 odst. 1 písm. f) GDPR, považuji tento výklad za stále platný ( 49 ). Jak však naznačuje předkládající soud, zdá se, že vnitrostátní zákonodárce sledoval právě tento cíl, neboť v rozsahu, v němž ustanovení § 31 BDSG povoluje používání scoringových koeficientů ve finančním sektoru, jsou hospodářské zájmy finančního sektoru upřednostněny před právem na ochranu osobních údajů, aniž by byly zohledněny konkrétní okolnosti v jednotlivých případech. Takový přístup by nepřípustně rozšířil oblast působnosti článku 6 GDPR. |
|
88. |
S ohledem na výše uvedené úvahy se domnívám, že ustanovení čl. 6 odst. 1 písm. f) GDPR se nelze platně dovolávat jako právního základu pro účely přijetí vnitrostátního ustanovení, jako je § 31 BDSG. |
– K důvodu uvedenému v čl. 6 odst. 4 ve spojení s čl. 23 odst. 1 GDPR
|
89. |
Předkládající soud uvádí, že v legislativním postupu vedoucím k přijetí ustanovení § 31 BDSG byl jako právní základ uveden čl. 6 odst. 4 ve spojení s čl. 23 odst. 1 GDPR. Myšlenka opřít se o tato ustanovení však byla později opuštěna. Předkládající soud se domnívá, že tato ustanovení nejsou v projednávané věci použitelná. |
|
90. |
Bez podrobnějších informací není možné zaujmout stanovisko k možné použitelnosti výše uvedených ustanovení. Nezdá se mi to ani nutné, pokud tato ustanovení nehrála žádnou roli v legislativním procesu, jak tvrdí předkládající soud ( 50 ). |
iii) Dílčí závěr
|
91. |
V předchozích odstavcích jsem se zabýval otázkou, zda lze ustanovení článků 6 a 22 GDPR použít jako právní základ pro přijetí vnitrostátního ustanovení, jako je § 31 BDSG, s cílem odůvodnit zákonnost výpočtu scoringových koeficientů v souvislosti s činnostmi prováděnými obchodními informačními agenturami. Existuje řada důvodů, podrobně popsaných v mé analýze, pro které se domnívám, že tato možnost musí být vyloučena. Shrnuji, že vzhledem k neexistenci ustanovení o výjimce, která by členským státům umožňovala přijmout přesnější pravidla nebo se odchýlit od pravidel GDPR za účelem regulace výše uvedené činnosti, a s přihlédnutím k míře harmonizace sledované tímto nařízením, které je v souladu s článkem 288 SFEU závazné v celém rozsahu a přímo použitelné v každém členském státě, existují důvody domnívat se, že takové vnitrostátní ustanovení není v souladu s GDPR. |
|
92. |
Vzhledem k tomu, že Soudní dvůr nemá pravomoc vykládat vnitrostátní právo ani rozhodovat o jeho souladu s právem Unie v řízení o předběžné otázce podle článku 267 SFEU, je třeba argumenty uvedené v tomto stanovisku chápat jako vodítko pro výklad příslušných ustanovení GDPR, s cílem umožnit vnitrostátnímu soudu, aby tuto pravomoc případně vykonal poté, co sám posoudí ustanovení § 31 BDSG ve světle ustanovení tohoto nařízení, zejména pokud jde o možnost výkladu vnitrostátních právních předpisů v souladu s požadavky unijního práva. |
|
93. |
Zásada přednosti unijního práva zakotvuje nadřazenost unijního práva nad právem členských států. Tato zásada tedy ukládá všem orgánům členských států povinnost zajistit plný účinek jednotlivých unijních norem, přičemž právo členských států nemůže narušovat účinek přiznaný těmto jednotlivým normám na území uvedených států. Podle této zásady platí, že pokud vnitrostátní soud, jež má v rámci svých pravomocí uplatnit ustanovení unijního práva, nemůže vyložit vnitrostátní právní úpravu v souladu s požadavky tohoto práva, má povinnost zajistit plný účinek těchto ustanovení tak, že na základě své vlastní pravomoci podle potřeby upustí od použití jakéhokoli odporujícího ustanovení vnitrostátních právních předpisů, i když je pozdějšího data, aniž musí nejprve žádat o jeho odstranění legislativní cestou nebo jakýmkoliv jiným ústavním postupem či na toto odstranění čekat ( 51 ). |
b) Odpověď na druhou předběžnou otázku
|
94. |
V odpovědi na druhou předběžnou otázku se domnívám, že ustanovení čl. 6 odst. 1 a článku 22 GDPR musí být vykládána v tom smyslu, že nebrání vnitrostátní právní úpravě profilování, pokud se týká jiného profilování, než které je stanoveno v čl. 22 odst. 1 tohoto nařízení. V takovém případě však musí vnitrostátní právní předpisy splňovat podmínky stanovené v článku 6 uvedeného nařízení. Zejména musí mít odpovídající právní základ, což musí ověřit předkládající soud. |
VI. Závěry
|
95. |
S ohledem na výše uvedené úvahy navrhuji, aby Soudní dvůr na předběžné otázky Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu) odpověděl takto:
|
( 1 ) – Původní jazyk: francouzština.
( 2 ) – Úř. věst. 2016, L 119, s. 1.
( 3 ) – BGBl. 2017 I, s. 2097.
( 4 ) – BGBl. 2019 I, s. 1626.
( 5 ) – Konkrétně se jedná o články 18 a 21 směrnice Evropského parlamentu a Rady 2014/17/EU ze dne 4. února 2014, o smlouvách o spotřebitelském úvěru na nemovitosti určené k bydlení a o změně směrnic 2008/48/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 (Úř. věst. 2014, L 60, s. 34), jakož i o články 8 a 9 směrnice Evropského parlamentu a Rady 2008/48/ES ze dne 23. dubna 2008 o smlouvách o spotřebitelském úvěru a o zrušení směrnice Rady 87/102/EHS (Úř. věst. 2008, L 133, s. 66).
( 6 ) – Z „Pokynů k automatizovanému individuálnímu rozhodování a profilování pro účely nařízení (EU) 2016/679“, které dne 3. října 2017 přijala pracovní skupina pro ochranu údajů zřízená podle článku 29, vyplývá, že profilování a automatizované rozhodování může představovat značné riziko pro práva a svobody jednotlivých osob. Profilování může zejména udržovat existující stereotypy a sociální segregaci. Vzhledem k tomu, že subjekty údajů mohou být omezeny ve svobodě výběru určitých produktů nebo služeb, může profilování vést k neposkytnutí služeb a zboží a k neodůvodněné diskriminaci.
( 7 ) – Viz rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, body 57 a 60).
( 8 ) – Viz rozsudek ze dne 28. října 2020, Pegaso a Sistemi di Sicurezza (C‑521/18, EU:C:2020:867, body 26 a 27).
( 9 ) – Viz stanoviska generálního advokáta J. Richarda de la Tour ve věci Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2022:661, body 43 a násl.).
( 10 ) – Viz rozsudek ze dne 22. června 2010, Melki a Abdeli (C‑188/10 a C‑189/10, EU:C:2010:363, bod 45).
( 11 ) – Viz rozsudek ze dne 12. ledna 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, bod 57).
( 12 ) – Viz znění španělské („tratamiento automatizado, incluida la elaboración de perfiles“), dánské („automatisk behandling, herunder profilering“), německé („einer automatisierten Verarbeitung – einschließlich Profiling –“), estonské („automatiseeritud töötlusel, sealhulgas profiilianalüüsil“), anglické („automated processing, including profiling“), francouzské („un traitement automatisé, y compris le profilage“) a polské („zautomatyzowanym przetwarzaniu, w tym profilowaniu“) (kurzivou zvýraznil autor stanoviska).
( 13 ) – V tomto smyslu viz Bygrave, L. A., „Article 22. Automated individual decision-making, including profiling“, The EU General Data Protection Regulation (GDPR) (ed. Christopher Kuner, Lee A. Bygrave, Christopher Docksey), Oxford 2020, s. 532.
( 14 ) – Abel, R., „Automatisierte Entscheidungen im Einzelfall gem. Art. 22 DS-GVO – Anwedungsbereich und Grenzen im nicht-öffentlichen Bereich“, Zeitschrift für Datenschutz, 7/2018, s. 307. Autor se domnívá, že toto ustanovení se týká „rozhodnutí“, která mají dopad na právní postavení subjektu údajů nebo trvale narušují jeho hospodářský nebo osobní rozvoj.
( 15 ) – Helfrich, M., Sydow.G., DS-GVO/BDSG, 2. vydání, Baden-Baden 2018, čl. 22 bod 51. Autoři považují za rozhodující zjistit, zda je subjekt údajů dotčen při výkonu svých práv a svobod, například důsledky pozorování a hodnocení, které mohou významně ovlivnit vývoj jeho osobnosti.
( 16 ) – Bernhardt, U., Ruhrman, I., Schuler, K., Weichert, T., „Evaluation der Europäischen Datentschutz-Grundverordnung“ (Hodnocení evropského nařízení o ochraně osobních údajů), verze ze dne 18. července 2019, Netzwerk Datenschutzexpertise, s. 7. Autoři se domnívají, že algoritmy používané při profilování mají vysoký diskriminační potenciál a mohou způsobit újmu, a že by proto mělo být jasně stanoveno, že se na všechny formy komplexního a složitého profilování vztahuje zákaz uvedený v čl. 22 odst. 1 GDPR.
( 17 ) – V tomto ohledu viz Sydow, G., Marsch, N., DS-GVO/BDSG, 3. vydání, Baden-Baden 2022, § 31 BDSG, bod 5. Autoři se domnívají, že scoring pravděpodobně významně ovlivní subjekty údajů, a to podobným způsobem jako rozhodnutí, které má právní účinky.
( 18 ) – Viz znění španělské („únicamente“), dánské („alene“), německé („ausschließlich“), estonské („üksnes“), anglické („solely“), francouzské („exclusivement“) a polské („wyłącznie“).
( 19 ) – Takový přístup se mi zdá být o to nezbytnější, že ani společnost SCHUFA, ani HBDI nebyly schopni během slyšení jasně odpovědět na otázku, zda scoringové koeficienty obvykle předurčují rozhodnutí finančních institucí. Zástupce společnosti SCHUFA však uvedl, že tato společnost má zkušenosti a kompetence obchodních informačních agenturou ke stanovení platební schopnosti fyzické osoby, což lze v zásadě vykládat jako indicii významného vlivu na rozhodovací proces.
( 20 ) – Blasek, K., „Auskunfteiwesen und Kredit-Scoring in unruhigem Fahrwasser – Ein Spagat zwischen Individualschutz und Rechtssicherheit“, Zeitschrift für Datenschutz, 8/2022, s. 436 a 438. Autor se domnívá, že použití čl. 22 odst. 1 GDPR nelze vyloučit v případech, kdy zaměstnanci banky nezpochybňují automatizované hodnocení (profilování, scoring) prováděné obchodními informačními agenturami. Podle autora by se banky neměly spoléhat pouze na tyto externí informace, ale měly by si je samy náležitě ověřit.
( 21 ) – V tomto smyslu viz Horstmann, J., Dalmer, S., „Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen“, Zeitschrift für Datenschutz, 5/2022, s. 263.
( 22 ) – Kurzivou zvýraznil autor stanoviska.
( 23 ) – Kurzivou zvýraznil autor stanoviska.
( 24 ) – V tomto smyslu viz Zanfir-Fortuna, G., „Article 15. Right of access by the data subject“, The EU General Data Protection Regulation (GDPR) (ed. Christopher Kuner, Lee A. Bygrave, Christopher Docksey), Oxford 2020, s. 463.
( 25 ) – V tomto smyslu viz „Pokyny k automatizovanému individuálnímu rozhodování a profilování pro účely nařízení (EU) 2016/679“, které dne 3. října 2017 přijala pracovní skupina pro ochranu údajů zřízená podle článku 29, s. 28 a 30.
( 26 ) – Viz „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“, Bundesrat – Drucksache 110/17 ze dne 2. února 2017, s. 101 a 102; Abel, R., „Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht“, Zeitschrift für Datenschutz, 3/2018, s. 105. Autor kritizuje návrh zákona za to, že neuvádí ustanovení o výjimce, z něhož vychází § 31 BDSG, a vyjadřuje pochybnosti o souladu tohoto ustanovení s právem EU.
( 27 ) – V tomto smyslu viz Horstmann, J., Dalmer, S., „Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen“, Zeitschrift für Datenschutz, 5/2022, s. 265.
( 28 ) – Viz bod 44 tohoto stanoviska.
( 29 ) – Rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body) (C‑439/19, EU:C:2021:504, bod 99).
( 30 ) – Rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body) (C‑439/19, EU:C:2021:504, bod 81).
( 31 ) – V tomto smyslu viz von Lewinski, K., Pohl, D., „Auskunfteien nach der europäischen Datenschutzreform – Brüche und Kontinuitäten der Rechtslage“, Zeitschrift für Datenschutz, 1/2018, s. 19.
( 32 ) – V tomto smyslu viz Abel, R., „Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht“, Zeitschrift für Datenschutz, 3/2018, s. 106.
( 33 ) – Viz „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“, Bundesrat – Drucksache 110/17 ze dne 2. února 2017, s. 101 a 102. Německá vláda na jednání potvrdila, že toto je skutečně legislativní účel ustanovení § 31 BDSG.
( 34 ) – V tomto smyslu viz Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1. vydání, Baden-Baden 2020, § 31, body 2 a 5.
( 35 ) – Viz rozsudek ze dne 27. března 2014, LCL Le Crédit Lyonnais (C‑565/12, EU:C:2014:190, body 40 a 42), který se týká povinnosti věřitele podle čl. 8 odst. 1 směrnice 2008/48 posoudit platební schopnost spotřebitele před uzavřením úvěrové smlouvy, přičemž tato povinnost může zahrnovat nahlížení do příslušných databází. Podle Soudního dvora je cílem této předsmluvní povinnosti chránit spotřebitele před riziky nadměrného zadlužení a platební neschopnosti, zajistit vysokou úroveň ochrany jejich zájmů a usnadnit vznik dobře fungujícího vnitřního trhu spotřebitelských úvěrů.
( 36 ) – Viz rozsudek ze dne 6. června 2019, Schyns (C‑58/18, EU:C:2019:467, body 45 a 46), v němž Soudní dvůr rozhodl, že cílem povinnosti věřitele stanovené v čl. 18 odst. 5 písm. a) směrnice 2014/17 ověřit platební schopnost spotřebitele před poskytnutím úvěru je zabránit nezodpovědnému chování účastníků trhu, které může podkopat základy finančního systému.
( 37 ) – V tomto smyslu viz Sydow, G., Marsch, N., DS-GVO/BDSG, 3. vydání, Baden-Baden 2022, § 31 BDSG, bod 6, a Abel, R., „Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht“, Zeitschrift für Datenschutz, 3/2018, s. 105.
( 38 ) – V tomto smyslu viz Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1. vydání, Baden-Baden 2020, § 31, bod 5.
( 39 ) – Viz bod 66 tohoto stanoviska.
( 40 ) – Rozsudek ze dne 17. června 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, bod 106).
( 41 ) – V tomto ohledu viz stanovisko generálního advokáta A. Rantose ve věci Meta Platforms a další (obecné podmínky používání sociální sítě) (C‑252/21, EU:C:2022:704, bod 60).
( 42 ) – Viz bod 74 tohoto stanoviska.
( 43 ) – Viz rozsudky ze dne 4. května 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, bod 30) a ze dne 17. června 2021, M. I. C. M. (C‑597/19, EU:C:2021:492, bod 110).
( 44 ) – Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31).
( 45 ) – V tomto smyslu viz Heberlein, H., DS-GVO – Kommentar, Mnichov 2017, čl. 6 body 28 a 32.
( 46 ) – V tomto smyslu viz Heberlein, H., op. cit., DS-GVO – Kommentar (ed. Eugen Ehrmann/Martin Salmayr), Mnichov 2017, čl. 6 bod 32; Roßnagel, A., Datenschutzrecht (ed. Spiros Simitis/Gerrit Hornung/Indra Spiecker), Mnichov 2019, čl. 6 bod 23.
( 47 ) – Viz rozsudek ze dne 22. června 2022, Leistritz (C‑534/20, EU:C:2022:495, bod 26).
( 48 ) – Viz rozsudek ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779, bod 62).
( 49 ) – Viz rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, bod 66), v němž Soudní dvůr jednotně vyložil některá ustanovení směrnice 95/46 a GDPR.
( 50 ) – Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1. vydání, Baden-Baden 2020, § 31 bod 6. Autoři potvrzují hodnocení předkládajícího soudu ohledně irelevantnosti těchto ustanovení při volbě právního základu pro přijetí ustanovení § 31 BDSG.
( 51 ) – Rozsudek ze dne 21. června 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, bod 293).