–

za OQ: U. Schmidt, Rechtsanwalt,

–

za Land Hessen: M. Kottmann a G. Ziegenhorn, Rechtsanwälte,

–

za SCHUFA Holding AG: G. Thüsing a U. Wuermeling, Rechtsanwalt,

–

za německou vládu: P.-L. Krüger, jako zmocněnec,

–

za dánskou vládu: V. Pasternak Jørgensen, M. Søndahl Wolff a Y. Thyregod Kollberg, jako zmocněnkyně,

–

za portugalskou vládu: P. Barros da Costa, I. Oliveira, J. Ramos a C. Vieira Guerra, jako zmocněnkyně,

–

za finskou vládu: M. Pere, jako zmocněnkyně,

–

za Evropskou komisi: A. Bouchagiar, F. Erlbacher a H. Kranenborg, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 6 odst. 1 a článku 22 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, a oprava Úř. věst. 2018, L 127, s. 2, dále jen „GDPR“).

2

Tato žádost byla předložena v rámci sporu mezi OQ a Land Hessen (Spolková země Hesensko, Německo) ve věci odmítnutí Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Hesenský pověřenec pro ochranu údajů a informační svobodu, Německo) (dále jen „pověřenec“) uložit společnosti SCHUFA Holding AG (dále jen „SCHUFA“), aby vyhověla žádosti osoby OQ o přístup k jejím osobním údajům a jejich výmaz.

3

Bod 71 odůvodnění GDPR zní:

„Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou automatizované zamítnutí on-line žádosti o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové zpracování zahrnuje ‚profilování‘, jehož podstatou je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká. Rozhodování založené na takovém zpracování, včetně profilování, by však mělo být umožněno, pokud jej výslovně povoluje právo Unie nebo členského státu, které se na správce vztahuje, mimo jiné pro účely monitorování podvodů a daňových úniků a jejich předcházení, jež jsou v souladu s předpisy, normami a doporučeními orgánů [Evropské unie] nebo vnitrostátních dozorových úřadů, a s cílem zajistit bezpečnost a spolehlivost služby poskytované správcem, nebo pokud je nezbytné pro uzavření nebo plnění smlouvy mezi subjektem údajů a správcem nebo pokud k tomu subjekt údajů dal svůj výslovný souhlas. V každém případě by se na takové zpracování měly vztahovat vhodné záruky, které by měly zahrnovat konkrétní informování subjektu údajů a právo na lidský zásah, na vyjádření svého názoru, na získání vysvětlení o rozhodnutí učiněném po takovém posouzení a na napadnutí tohoto rozhodnutí. Toto opatření by se nemělo týkat dítěte.

V zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů a s přihlédnutím ke konkrétním okolnostem a souvislostem, za kterých se dané osobní údaje zpracovávají, by měl správce použít vhodné matematické nebo statistické postupy profilování, zavést technická a organizační opatření, která zejména zajistí opravu faktorů vedoucích k nepřesnosti osobních údajů a minimalizaci rizika chyb, a zabezpečit osobní údaje takovým způsobem, který zohledňuje potenciální rizika pro zájmy a práva subjektu údajů, a mimo jiné předcházet diskriminačním účinkům vůči fyzickým osobám na základě rasy nebo etnického původu, politických názorů, náboženského vyznání nebo přesvědčení, členství v odborech, genetických údajů nebo zdravotního stavu či sexuální orientace nebo zamezit zpracování, které by vedlo k opatřením, jež mají takové účinky.“

4

Článek 4 tohoto nařízení, nadepsaný „Definice“, stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]“

5

Článek 5 uvedeného nařízení, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1.   Osobní údaje musí být:

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

6

Článek 6 GDPR, nadepsaný „Zákonnost zpracování“, v odst. 1 a 3 stanoví:

„1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]

3.   Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:

Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. […]“

7

Článek 9 tohoto nařízení, nadepsaný „Zpracování zvláštních kategorií osobních údajů“, zní takto:

„1.   Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

2.   Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

[…]

[…]“

8

Článek 13 uvedeného nařízení, nadepsaný „Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů“, v odstavci 2 stanoví:

„Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:

[…]

9

Článek 14 GDPR, nadepsaný „Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů“, v odstavci 2 stanoví:

„Kromě informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:

[…]

10

Článek 15 tohoto nařízení, nadepsaný „Právo subjektu údajů na přístup“, v odstavci 1 uvádí:

„Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

[…]

11

Článek 22 uvedeného nařízení, nadepsaný „Automatizované individuální rozhodování, včetně profilování“, stanoví:

„1.   Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

2.   Odstavec 1 se nepoužije, pokud je rozhodnutí:

3.   V případech uvedených v odst. 2 písm. a) a c) provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.

4.   Rozhodnutí uvedená v odstavci 2 se neopírají o zvláštní kategorie osobních údajů uvedené v čl. 9 odst. 1, pokud se neuplatní čl. 9 odst. 2 písm. a) nebo g) a nejsou zavedena vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.“

12

Článek 78 GDPR, nadepsaný „Právo na účinnou soudní ochranu vůči dozorovému úřadu“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.“

13

Ustanovení § 31 Bundesdatenschutzgesetz (spolkový zákon o ochraně údajů) ze dne 30. června 2017 (BGBl. I, s. 2097, dále jen „BDSG“), nadepsané „Ochrana obchodní praxe při ‚scoringu‘ a informacích o bonitě“, zní následovně:

„(1)   Výpočet pravděpodobnosti určitého budoucího chování fyzické osoby za účelem rozhodnutí o založení, naplňování nebo ukončení smluvního vztahu s touto osobou (scoring) je přípustný pouze v případě, že

(2)   Použití hodnoty pravděpodobnosti zjištěné obchodní informační agenturou, která se týká platební schopnosti fyzické osoby a její ochoty splácet, je v případě zohlednění informací o pohledávkách přípustné pouze tehdy, pokud jsou splněny podmínky uvedené v odstavci 1 a pokud se zohledňují pouze takové pohledávky z dlužného plnění, které navzdory splatnosti nebyly splněny,

5.   jejichž příslušný smluvní vztah může být ukončen bez výpovědní lhůty z důvodu prodlení s platbami a dlužník byl předem informován o možném zohlednění obchodní informační agenturou.

Přípustnost zpracování, včetně výpočtu hodnoty pravděpodobnosti a jiných údajů relevantních pro bonitu podle obecných právních předpisů o ochraně údajů, zůstává nedotčena.“

14

SCHUFA je soukromá společnost založená podle německého práva, která poskytuje svým smluvním partnerům informace o úvěrové bonitě třetích osob, zejména spotřebitelů. Za tímto účelem z určitých charakteristických znaků osoby vytváří na základě matematicko-statistických postupů prognózu pravděpodobnosti budoucího chování této osoby („score“), například splácení úvěru. Úvěrové bodování („scoring“) je založeno na předpokladu, že je možné zařazením osoby do skupiny jiných osob s určitými srovnatelnými znaky, které se chovaly určitým způsobem, předpovědět podobné chování.

15

Ze žádosti o rozhodnutí o předběžné otázce vyplývá, že třetí osoba odmítla osobě OQ poskytnout úvěr poté, co jí společnost SCHUFA poskytla negativní informace o této osobě. OQ požádala společnost SCHUFA, aby jí poskytla informace o zaznamenaných osobních údajích a vymazala ty z nich, které jsou, jak tvrdí, nesprávné.

16

V odpovědi na tuto žádost společnost SCHUFA informovala OQ o její bodové hodnotě („Score-Wert“) a v obecných rysech uvedla způsoby jejího výpočtu. Nicméně s odvoláním na obchodní tajemství odmítla zveřejnit různé informace, které byly pro účely tohoto výpočtu zohledněny, jakož i jejich poměrné vyvážení. Společnost SCHUFA dále uvedla, že pouze předávala informace svým smluvním partnerům a že právě tito partneři přijímali rozhodnutí ohledně vlastních smluv.

17

Stížností podanou dne 18. října 2018 požádala OQ příslušný dozorový úřad, HBDI, aby společnosti SCHUFA uložil povinnost vyhovět její žádosti o přístup k informacím a výmaz.

18

Rozhodnutím ze dne 3. června 2020 zamítla HBDI tento návrh na uložení povinnosti s tím, že nebylo prokázáno, že by společnost SCHUFA nedodržela požadavky stanovené v § 31 BDSG, které jsou jí uloženy v souvislosti s její činností.

19

OQ podala proti tomuto rozhodnutí žalobu k Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu, Německo), předkládajícímu soudu, na základě čl. 78 odst. 1 GDPR.

20

Podle předkládajícího soudu je pro účely rozhodnutí sporu, který mu byl předložen, třeba určit, zda stanovení takové hodnoty pravděpodobnosti, jako je hodnota dotčená ve věci v původním řízení, představuje automatizované individuální rozhodování ve smyslu čl. 22 odst. 1 GDPR. V případě kladné odpovědi by totiž zákonnost této činnosti byla v souladu s čl. 22 odst. 2 písm. b) tohoto nařízení podmíněna tím, že je toto rozhodnutí povoleno právem Unie nebo členského státu, které se na správce vztahuje.

21

V tomto ohledu má předkládající soud pochybnosti o názoru, podle kterého se čl. 22 odst. 1 GDPR nepoužije na činnost takových společností, jako je společnost SCHUFA. Své pochybnosti zakládá z faktického hlediska na významu takové hodnoty pravděpodobnosti, jako je hodnota dotčená ve věci v původním řízení, pro rozhodovací praxi třetích osob, kterým je tato hodnota pravděpodobnosti poskytnuta, a z právního hlediska především na cílech sledovaných tímto čl. 22 odst. 1 a na zárukách právní ochrany zakotvených GDPR.

22

Konkrétně předkládající soud zdůrazňuje, že právě hodnota pravděpodobnosti obvykle určuje, zda a jak třetí osoba uzavře smlouvu se subjektem údajů. Cílem článku 22 GDPR je přitom právě chránit subjekty před riziky spojenými s rozhodnutími založenými výhradně na automatizaci.

23

Naproti tomu, pokud by měl být čl. 22 odst. 1 GDPR vykládán v tom smyslu, že lze za „automatizované individuální rozhodování“ v takové situaci, jako je situace dotčená ve věci v původním řízení, považovat pouze přijetí rozhodnutí vůči subjektu údajů třetí osobou, vznikla by mezera v právní ochraně. Taková společnost, jako je společnost SCHUFA, totiž není povinna poskytnout přístup k dodatečným informacím, na které má subjekt údajů právo na základě čl. 15 odst. 1 písm. h) tohoto nařízení, neboť tato společnost není osobou, která provádí „automatizované rozhodování“ ve smyslu tohoto ustanovení, a v důsledku toho ve smyslu čl. 22 odst. 1 uvedeného nařízení. Dále třetí osoba, které je sdělena hodnota pravděpodobnosti, nemůže poskytnout tyto dodatečné informace, neboť jimi nedisponuje.

24

Podle předkládajícího soudu je tedy k zabránění takové mezery v právní ochraně nezbytné, aby stanovení takové hodnoty pravděpodobnosti, jako je hodnota dotčená ve věci v původním řízení, spadalo do působnosti čl. 22 odst. 1 GDPR.

25

Pokud by byl přijat takový výklad, závisela by přípustnost této činnosti na existenci právního základu na úrovni dotyčného členského státu v souladu s čl. 22 odst. 2 písm. b) tohoto nařízení. I když je v projednávaném případě pravda, že § 31 BDSG může představovat takový právní základ v Německu, existují vážné pochybnosti o slučitelnosti tohoto ustanovení s článkem 22 GDPR, neboť německý zákonodárce upravuje pouze „použití“ takové hodnoty pravděpodobnosti, jako je hodnota dotčená v původním řízení, a nikoli samotné stanovení této hodnoty.

26

Naproti tomu, pokud stanovení takové hodnoty pravděpodobnosti nepředstavuje automatizované individuální rozhodování ve smyslu článku 22 GDPR, ustanovení o výjimce uvedené v odst. 2 písm. b) tohoto článku 22 se neuplatní ani na vnitrostátní právní předpisy týkající se této činnosti. S ohledem na v zásadě vyčerpávající povahu GDPR a při neexistenci jiné normativní pravomoci pro takové vnitrostátní právní úpravy se zdá, že německý zákonodárce tím, že stanovení hodnot pravděpodobnosti spojuje s dodatečnými obsahovými podmínkami přípustnosti, specifikuje předmět právní úpravy nad rámec požadavků, které jsou stanoveny v článcích 6 a 22 GDPR, i když za tímto účelem nedisponuje regulační pravomocí. Pokud by byl tento názor správný, změnilo by to prostor pro přezkum vnitrostátního dozorového úřadu, který by pak musel posoudit slučitelnost činnosti obchodních informačních agentur s ohledem na článek 6 tohoto nařízení.

27

Za těchto podmínek se Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

28

Společnost SCHUFA zpochybňuje přípustnost žádosti o rozhodnutí o předběžné otázce, přičemž zaprvé tvrdí, že předkládající soud nemá přezkoumávat obsah rozhodnutí o stížnosti přijatého takovým dozorovým úřadem, jako je HBDI, jelikož soudní ochrana vůči takovému rozhodnutí stanovená v čl. 78 odst. 1 GDPR slouží pouze k přezkumu toho, zda tento orgán splnil povinnosti, které pro něj vyplývají z tohoto nařízení, zejména povinnost řešit stížnosti, přičemž je třeba upřesnit, že uvedený orgán má posuzovací pravomoc při rozhodování, zda a jak má jednat.

29

Zadruhé společnost SCHUFA tvrdí, že předkládající soud neuvádí přesné důvody, proč jsou položené otázky rozhodující pro vyřešení sporu v původním řízení. Předmětem tohoto sporu je žádost o informaci týkající se konkrétní bodové hodnoty a jejího výmazu. V projednávaném případě přitom společnost SCHUFA dostatečně splnila svou informační povinnost a již vymazala bodovou hodnotu, která je předmětem řízení.

30

V tomto ohledu je třeba připomenout, že dle ustálené judikatury Soudního dvora přísluší pouze vnitrostátnímu soudu, kterému byl spor předložen a který nese odpovědnost za soudní rozhodnutí, jež bude vydáno, aby s ohledem na konkrétní okolnosti věci posoudil jak nezbytnost rozhodnutí o předběžné otázce pro vydání jeho rozsudku, tak relevanci otázek, které Soudnímu dvoru klade. Jestliže se tedy položené otázky týkají výkladu normy unijního práva, je Soudní dvůr v zásadě povinen rozhodnout (rozsudek ze dne 12. ledna 2023, DOBELES HES, C‑702/20 a C‑17/21, EU:C:2023:1, bod 46 a citovaná judikatura).

31

Z toho vyplývá, že k otázkám týkajícím se unijního práva se váže domněnka relevance. Soudní dvůr smí rozhodnutí o předběžné otázce položené vnitrostátním soudem odmítnout pouze tehdy, pokud je zjevné, že žádaný výklad unijní normy nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, jestliže se jedná o hypotetický problém nebo také pokud Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na otázky, které jsou mu položeny (rozsudek ze dne 12. ledna 2023, DOBELES HES, C‑702/20 a C‑17/21, EU:C:2023:1, bod 47 a citovaná judikatura).

32

Pokud jde zaprvé o důvod nepřípustnosti vycházející z údajně omezeného soudního přezkumu, kterému podléhají rozhodnutí o stížnosti přijatá dozorovým úřadem, je třeba připomenout, že podle čl. 78 odst. 1 GDPR, aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

33

V projednávaném případě představuje rozhodnutí přijaté HBDI jakožto dozorovým úřadem právně závazné rozhodnutí ve smyslu tohoto čl. 78 odst. 1. Tento úřad totiž poté, co přezkoumal opodstatněnost stížnosti, která mu byla předložena, o ní rozhodl a konstatoval, že zpracování osobních údajů, které napadla žalobkyně v původním řízení, bylo zákonné.

34

Pokud jde o rozsah soudního přezkumu takového rozhodnutí v rámci žaloby podané na základě uvedeného čl. 78 odst. 1, stačí uvést, že rozhodnutí o stížnosti přijaté dozorovým úřadem podléhá úplnému soudnímu přezkumu [rozsudek ze dne 7. prosince 2023, SCHUFA Holding (Oddlužení), C‑26/22 a C‑64/22, EU:C:2023:XXX, bod 1 výroku].

35

První důvod nepřípustnosti vznesený společností SCHUFA tedy musí být zamítnut.

36

Zadruhé ze žádosti o rozhodnutí o předběžné otázce jasně vyplývá, že si předkládající soud klade otázku ohledně kritéria, podle něhož orgán dozoru posuzuje zpracování osobních údajů dotčené ve věci v původním řízení z hlediska GDPR, přičemž toto kritérium závisí na tom, zda se uplatní čl. 22 odst. 1 tohoto nařízení.

37

Není tedy zjevné, že by výklad GDPR, o který žádá předkládající soud, neměl žádný vztah k realitě nebo předmětu sporu v původním řízení nebo že by se jednalo o hypotetický problém. Soudní dvůr mimoto disponuje skutkovými a právními poznatky nezbytnými pro užitečnou odpověď na otázky, které jsou mu položeny.

38

Druhý důvod nepřípustnosti vznesený společností SCHUFA musí být tudíž rovněž zamítnut.

39

Za těchto podmínek je žádost o rozhodnutí o předběžné otázce přípustná.

40

Podstatou první otázky předkládajícího soudu je, zda čl. 22 odst. 1 GDPR musí být vykládán v tom smyslu, že automatizované stanovení hodnoty pravděpodobnosti založené na osobních údajích týkajících se osoby a její schopnosti splnit v budoucnu platební závazky, které provádí obchodní informační agentura, představuje „automatizované individuální rozhodování“ ve smyslu tohoto ustanovení, pokud na této hodnotě pravděpodobnosti rozhodujícím způsobem závisí, zda třetí osoba, které je uvedená hodnota pravděpodobnosti sdělena, uzavře smluvní vztah s touto osobou, bude z něj plnit či jej ukončí.

41

Za účelem odpovědi na tuto otázku je třeba úvodem připomenout, že výklad ustanovení unijního práva vyžaduje, aby bylo zohledněno nejen znění takového ustanovení, ale i kontext, do něhož je zasazeno, jakož i cíle a účel, které sleduje akt, jehož je součástí (rozsudek ze dne 22. června 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 38 a citovaná judikatura).

42

Pokud jde o znění čl. 22 odst. 1 GDPR, toto ustanovení stanoví, že má subjekt údajů právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

43

Použitelnost tohoto ustanovení tedy podléhá třem kumulativním podmínkám, a sice zaprvé musí existovat „rozhodnutí“, zadruhé toto rozhodnutí musí být „založeno výlučně na automatizovaném zpracování, včetně profilování“, a zatřetí musí mít „[pro subjekt údajů] právní účinky“ nebo se ho musí „obdobným způsobem významně“ dotýkat.

44

Pokud jde zaprvé o podmínku týkající se existence rozhodnutí, je třeba uvést, že pojem „rozhodnutí“ ve smyslu čl. 22 odst. 1 GDPR není tímto nařízením definován. Ze samotného znění tohoto ustanovení však vyplývá, že tento pojem odkazuje nejen na akty, které vyvolávají právní účinky ve vztahu k dotčené osobě, ale rovněž na akty, které se této osoby obdobným způsobem významně dotýkají.

45

Široký rozsah pojmu „rozhodnutí“ je potvrzen bodem 71 odůvodnění GDPR, podle něhož by měl mít subjekt údajů právo nebýt předmětem žádného rozhodnutí, které hodnotí osobní aspekty týkající se jeho osoby, „a to včetně opatření“, které má „pro něj právní účinky“ nebo „se jej podobně významně dotýká“. Podle tohoto bodu odůvodnění se pojem „rozhodnutí“ vztahuje například na automatické zamítnutí on-line žádosti o úvěr nebo na elektronické postupy náboru zaměstnanců bez jakéhokoliv lidského zásahu.

46

Vzhledem k tomu, že pojem „rozhodnutí“ ve smyslu čl. 22 odst. 1 GDPR může, jak uvedl generální advokát v bodě 38 svého stanoviska, zahrnovat několik aktů, které se mohou subjektu údajů dotýkat několika způsoby, je tento pojem dostatečně široký na to, aby zahrnoval výsledek výpočtu solventnosti osoby ve formě hodnoty pravděpodobnosti týkající se schopnosti této osoby splnit v budoucnu platební závazky.

47

Pokud jde zadruhé o podmínku, podle které musí být rozhodnutí ve smyslu tohoto čl. 22 odst. 1 „založen[o] výhradně na automatizovaném zpracování, včetně profilování“, je nesporné, jak uvedl generální advokát v bodě 33 svého stanoviska, že činnost společnosti SCHUFA odpovídá definici „profilování“ uvedené v čl. 4 bodě 4 GDPR, a je tedy tato podmínka v projednávaném případě splněna; znění první předběžné otázky ostatně výslovně odkazuje na automatizované stanovení hodnoty pravděpodobnosti založené na osobních údajích týkajících se osoby a její schopnosti splatit v budoucnu úvěr.

48

Zatřetí, pokud jde o podmínku, podle které rozhodnutí musí mít „právní účinky“ pro dotčenou osobu nebo se jí musí „obdobným způsobem významně“ dotýkat, ze samotného znění první předběžné otázky vyplývá, že se jednání třetí osoby, které je poskytnuta hodnota pravděpodobnosti, touto hodnotou „rozhodujícím způsobem“ řídí. Podle skutkových zjištění předkládajícího soudu tak v případě žádosti o úvěr zaslané spotřebitelem bance má nedostatečná hodnota pravděpodobnosti téměř ve všech případech za následek odmítnutí této banky poskytnout požadovaný úvěr.

49

Za těchto podmínek je třeba mít za to, že třetí podmínka, které podléhá použití čl. 22 odst. 1 GDPR, je rovněž splněna, jelikož taková hodnota pravděpodobnosti, jako je hodnota dotčená ve věci v původním řízení, se subjektu údajů přinejmenším významně dotýká.

50

Z toho vyplývá, že za takových okolností, jako jsou okolnosti věci v původním řízení, kdy hodnota pravděpodobnosti stanovená obchodní informační agenturou a sdělená bance hraje rozhodující úlohu při poskytování úvěru, musí být stanovení této hodnoty samo o sobě kvalifikováno jako rozhodnutí, které vůči subjektu údajů vyvolává „právní účinky nebo se ho obdobným způsobem významně dotýká“, ve smyslu čl. 22 odst. 1 GDPR.

51

Tento výklad je potvrzen kontextem čl. 22 odst. 1 GDPR, jakož i cíli a účelem, které toto nařízení sleduje.

52

V tomto ohledu je třeba uvést, že čl. 22 odst. 1 GDPR přiznává subjektu údajů, jak uvedl generální advokát v bodě 31 tohoto stanoviska, „právo“ nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování. Toto ustanovení stanoví obecný zákaz, jehož porušení se taková osoba nemusí dovolávat individuálně.

53

Jak totiž vyplývá z čl. 22 odst. 2 GDPR ve spojení s bodem 71 odůvodnění tohoto nařízení, přijetí rozhodnutí založeného výhradně na automatizovaném zpracování je povoleno pouze v případech uvedených v tomto čl. 22 odst. 2, tedy pokud je toto rozhodnutí nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů [písmeno a)], pokud je povoleno právem Unie nebo členského státu, které se na správce vztahuje [písmeno b)], nebo pokud je založeno na výslovném souhlasu subjektu údajů [písmeno c)].

54

Kromě toho článek 22 GDPR v odst. 2 písm. b) a v odstavci 3 uvádí, že musí být stanovena vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů. V případech uvedených v čl. 22 odst. 2 písm. a) a c) tohoto nařízení provede správce údajů alespoň práva na lidský zásah, práva vyjádřit svůj názor a práva napadnout rozhodnutí.

55

Kromě toho podle čl. 22 odst. 4 GDPR mohou být automatizovaná individuální rozhodnutí ve smyslu tohoto článku 22 založena na zvláštních kategoriích osobních údajů uvedených v čl. 9 odst. 1 tohoto nařízení pouze v některých zvláštních případech.

56

Navíc v případě takového automatizovaného rozhodování, jako je rozhodování uvedené v čl. 22 odst. 1 GDPR, podléhá správce údajů dodatečným informačním povinnostem podle čl. 13 odst. 2 písm. f) a čl. 14 odst. 2 písm. g) tohoto nařízení. Kromě toho subjekt údajů má podle čl. 15 odst. 1 písm. h) uvedeného nařízení právo získat od správce zejména „smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů“.

57

Tyto vyšší požadavky na zákonnost automatizovaného rozhodování, jakož i dodatečné informační povinnosti správce údajů a související dodatečná práva subjektu údajů na přístup k údajům lze vysvětlit účelem, který článek 22 GDPR sleduje, jímž je ochrana subjektů údajů před konkrétními riziky, která představuje automatizované zpracování osobních údajů, včetně profilování, pro jejich práva a svobody.

58

Jak totiž vyplývá z bodu 71 odůvodnění GDPR, toto zpracování zahrnuje hodnocení osobních aspektů vztahujících se k fyzické osobě, které se zpracování týká, zejména za účelem analýzy či předvídání aspektů souvisejících s jejím pracovním výkonem, ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu.

59

Tato konkrétní rizika mohou podle tohoto bodu odůvodnění ohrozit oprávněné zájmy a práva subjektu údajů, zejména s ohledem na možné diskriminační účinky vůči fyzickým osobám na základě rasy nebo etnického původu, politických názorů, náboženského vyznání nebo přesvědčení, členství v odborech, genetických údajů nebo zdravotního stavu či sexuální orientace. Podle uvedeného bodu odůvodnění je proto důležité stanovit vhodné záruky a zajistit spravedlivé a transparentní zpracování ve vztahu k subjektu údajů, zejména použitím vhodných matematických nebo statistických postupů profilování a zavedením vhodných technických a organizačních opatření k zajištění minimalizace rizika chyb.

60

Výklad uvedený v bodech 42 až 50 tohoto rozsudku, a zejména široký rozsah pojmu „rozhodnutí“ ve smyslu čl. 22 odst. 1 GDPR, přitom posiluje účinnou ochranu uvedenou v tomto ustanovení.

61

Naproti tomu za takových okolností, jako jsou okolnosti dotčené ve věci v původním řízení, do nichž jsou zapojeni tři aktéři, existuje riziko obcházení článku 22 GDPR, a v důsledku toho mezera v právní ochraně, pokud by byl přijat restriktivní výklad tohoto ustanovení, podle kterého musí být stanovení hodnoty pravděpodobnosti považováno pouze za přípravný akt a za „rozhodnutí“ ve smyslu čl. 22 odst. 1 tohoto nařízení lze případně považovat pouze akt přijatý třetí osobou.

62

V tomto případě by se totiž stanovení takové hodnoty pravděpodobnosti, jako je hodnota dotčená ve věci v původním řízení, vyhnulo zvláštním požadavkům stanoveným v čl. 22 odst. 2 až 4 GDPR, i když je tento postup založen na automatizovaném zpracování a vyvolává účinky, které se významně dotýkají subjektu údajů, jelikož se jednání třetí osoby, které je tato hodnota pravděpodobnosti poskytnuta, touto hodnotou rozhodujícím způsobem řídí.

63

Kromě toho, jak uvedl generální advokát v bodě 48 svého stanoviska, subjekt údajů nemůže uplatnit své právo na přístup ke zvláštním informacím uvedeným v čl. 15 odst. 1 písm. h) GDPR u obchodní informační agentury, která bez automatizovaného rozhodování stanoví hodnotu pravděpodobnosti, jež se ho týká. Kromě toho i za předpokladu, že by se na akt přijatý třetí osobou vztahoval čl. 22 odst. 1 tohoto nařízení, jelikož splňuje podmínky pro použití tohoto ustanovení, tato třetí osoba by nebyla schopna poskytnout tyto zvláštní informace, neboť jimi obvykle nedisponuje.

64

Skutečnost, že se na stanovení takové hodnoty pravděpodobnosti, jako je hodnota dotčená ve věci v původním řízení, vztahuje čl. 22 odst. 1 GDPR, má za následek, jak bylo uvedeno v bodech 53 až 55 tohoto rozsudku, že je zakázáno, ledaže se uplatní jedna z výjimek uvedených v čl. 22 odst. 2 tohoto nařízení a jsou splněny zvláštní požadavky stanovené v čl. 22 odst. 3 a 4 uvedeného nařízení.

65

Pokud jde konkrétně o čl. 22 odst. 2 písm. b) GDPR, na který odkazuje předkládající soud, ze samotného znění tohoto ustanovení vyplývá, že vnitrostátní právo, které dovoluje automatizované individuální rozhodování, musí stanovit vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů.

66

S ohledem na bod 71 odůvodnění GDPR musí taková opatření zahrnovat zejména povinnost správce používat vhodné matematické nebo statistické postupy, zavést technická a organizační opatření, která zajistí minimalizaci rizika chyb a opravu chyb, jakož i zabezpečit osobní údaje takovým způsobem, který zohledňuje potenciální rizika pro zájmy a práva subjektu údajů, a mimo jiné předcházet diskriminačním účinkům vůči tomuto subjektu. Tato opatření kromě toho musí zahrnovat alespoň práva subjektu údajů na lidský zásah ze strany správce, vyjádřit svůj názor a napadnout rozhodnutí přijatá vůči němu.

67

Je třeba ještě uvést, že podle ustálené judikatury Soudního dvora musí každé zpracování osobních údajů být v souladu se zásadami zpracování údajů, které jsou stanoveny v článku 5 GDPR, a zvláště s ohledem na zásadu zákonnosti zpracování, která je stanovena v odst. 1 písm. a) tohoto článku, musí splňovat jednu z podmínek zákonnosti zpracování, které jsou uvedeny v článku 6 tohoto nařízení (rozsudek ze dne 20. října 2022, Digi, C‑77/21, EU:C:2022:805, bod 49 a citovaná judikatura). Správce musí být schopen prokázat dodržení těchto zásad v souladu se zásadou odpovědnosti stanovenou v čl. 5 odst. 2 uvedeného nařízení (v tomto smyslu viz rozsudek ze dne 20. října 2022, Digi, C‑77/21, EU:C:2022:805, bod 24).

68

V případě, že právo členského státu v souladu s čl. 22 odst. 2 písm. b) GDPR umožňuje přijetí rozhodnutí založeného výhradně na automatizovaném zpracování, musí toto zpracování splňovat nejen podmínky stanovené v posledně uvedeném ustanovení a v čl. 22 odst. 4 tohoto nařízení, ale rovněž požadavky stanovené v článcích 5 a 6 uvedeného nařízení. Členské státy tudíž nemohou na základě čl. 22 odst. 2 písm. b) GDPR přijímat právní předpisy, které umožňují profilování v rozporu s požadavky stanovenými těmito články 5 a 6, jak jsou vykládány judikaturou Soudního dvora.

69

Pokud jde konkrétně o podmínky zákonnosti stanovené v čl. 6 odst. 1 písm. a), b) a f) GDPR, které se mohou uplatnit v takovém případě, jako je případ, o nějž se jedná ve věci v původním řízení, nejsou členské státy oprávněny stanovit doplňující pravidla pro uplatňování těchto podmínek, neboť taková možnost je podle čl. 6 odst. 3 tohoto nařízení omezena na důvody uvedené v čl. 6 odst. 1 písm. c) a e) uvedeného nařízení.

70

Kromě toho, pokud jde konkrétně o čl. 6 odst. 1 písm. f) GDPR, členské státy se nemohou na základě čl. 22 odst. 2 písm. b) tohoto nařízení odchýlit od požadavků vyplývajících z judikatury Soudního dvora vycházející z rozsudku ze dne 7. prosince 2023, SCHUFA Holding (Oddlužení) (C‑26/22 a C‑64/22, EU:C:2023:XXX), zejména tím, že by s konečnou platností předepisovaly výsledek vážení dotčených práv a zájmů (v tomto smyslu viz rozsudek ze dne 19. října 2016, Breyer, C‑582/14, EU:C:2016:779, bod 62).

71

V projednávaném případě předkládající soud uvádí, že vnitrostátní právní základ ve smyslu čl. 22 odst. 2 písm. b) GDPR by mohl představovat pouze § 31 BDSG. Má však vážné pochybnosti o slučitelnosti tohoto § 31 s unijním právem. Za předpokladu, že by toto ustanovení bylo považováno za neslučitelné s unijním právem, jednala by společnost SCHUFA nejen bez právního základu, ale porušila by ipso iure zákaz stanovený v čl. 22 odst. 1 GDPR.

72

V tomto ohledu přísluší předkládajícímu soudu ověřit, zda § 31 BDSG může být kvalifikován jako právní základ, který na základě čl. 22 odst. 2 písm. b) GDPR umožňuje přijetí rozhodnutí založeného výhradně na automatizovaném zpracování. Pokud tento soud dospěje k závěru, že uvedený § 31 představuje takový právní základ, bude muset ještě ověřit, zda jsou v projednávaném případě splněny podmínky stanovené v čl. 22 odst. 2 písm. b) a odst. 4 GDPR a podmínky uvedené v článcích 5 a 6 tohoto nařízení.

73

S ohledem na všechny výše uvedené úvahy je třeba na první otázku odpovědět tak, že čl. 22 odst. 1 GDPR musí být vykládán v tom smyslu, že automatizované stanovení hodnoty pravděpodobnosti založené na osobních údajích týkajících se osoby a její schopnosti splnit v budoucnu platební závazky, které provádí obchodní informační agentura, představuje „automatizované individuální rozhodování“ ve smyslu tohoto ustanovení, pokud na této hodnotě pravděpodobnosti rozhodujícím způsobem závisí skutečnost, zda třetí osoba, které je uvedená hodnota pravděpodobnosti sdělena, uzavře smluvní vztah s touto osobou, bude z něj plnit či jej ukončí.

74

Vzhledem k odpovědi na první otázku není namístě na druhou otázku odpovídat.

75

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (první senát) rozhodl takto:

Článek 22 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

musí být vykládán v tom smyslu, že

automatizované stanovení hodnoty pravděpodobnosti založené na osobních údajích týkajících se osoby a její schopnosti splnit v budoucnu platební závazky, které provádí obchodní informační agentura, představuje „automatizované individuální rozhodování“ ve smyslu tohoto ustanovení, pokud na této hodnotě pravděpodobnosti rozhodujícím způsobem závisí skutečnost, zda třetí osoba, které je uvedená hodnota pravděpodobnosti sdělena, uzavře smluvní vztah s touto osobou, bude z něj plnit či jej ukončí.