JULKISASIAMIEHEN RATKAISUEHDOTUS
PRIIT PIKAMÄE
16 päivänä maaliskuuta 2023 ( 1 )
Asia C‑634/21
OQ
vastaan
Land Hessen,
jossa asian käsittelyyn osallistuu
SCHUFA Holding AG
(Ennakkoratkaisupyyntö – Verwaltungsgericht Wiesbaden (Wiesbadenin hallintotuomioistuin, Saksa))
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 6 artiklan 1 kohta – Käsittelyn lainmukaisuus – 22 artikla – Automaattisesti tehtävät yksittäispäätökset – Profilointi – Luottotietopalveluja tarjoavat yksityiset yritykset – Luonnollisen henkilön luottokelpoisuuden todennäköisyyttä koskevan arvon määrittäminen (pisteyttäminen) – Pistemäärän ilmoittaminen kolmansille, jotka päättävät sen perusteella sopimussuhteen perustamisesta, täyttämisestä tai päättämisestä luonnollisen henkilön kanssa
I Johdanto
|
1. |
Käsiteltävässä Verwaltungsgericht Wiesbadenin (Wiesbadenin hallintotuomioistuin, Saksa) SEUT 267 artiklan nojalla esittämässä ennakkoratkaisupyynnössä on kyse siitä, miten on tulkittava luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) ( 2 ) 6 artiklan 1 kohtaa ja 22 artiklan 1 kohtaa. |
|
2. |
Ennakkoratkaisupyyntö on esitetty henkilötietojen suojaa koskevassa riita-asiassa, jonka kantajana on luonnollinen henkilö OQ ja vastaajana Land Hessen (Hessenin osavaltio, Saksa), jota edustaa Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Hessenin osavaltion tietosuojavaltuutettu ja tiedonvälityksen vapauden valtuutettu, jäljempänä HBDI). SCHUFA Holding AG (jäljempänä SCHUFA), joka on yksityisoikeudellinen tietopalvelu, tukee HBDI:n vaatimuksia väliintulijana. SCHUFA, jonka liiketoimintamallina on toimittaa asiakkailleen tietoja kolmansien osapuolten luottokelpoisuudesta, on toimittanut rahalaitokselle kantajan pistemäärän, jonka perusteella kantajalle ei ole myönnetty hänen hakemaansa luottoa. Kantaja on pyytänyt SCHUFAa poistamaan häntä koskevan rekisterimerkinnän ja antamaan hänelle tutustuttavaksi tiedot, joihin se perustuu, mutta SCHUFA on ilmoittanut kantajalle ainoastaan kyseisen pistemäärän ja kertonut yleisesti periaatteista, joihin pistemäärän laskentamenetelmä perustuu, ilmoittamatta kantajalle nimenomaisesti, mitä tietoja laskelmassa otetaan huomioon ja millainen merkitys niille annetaan siinä, sillä SCHUFAn mukaan laskentamenetelmä on liikesalaisuus. |
|
3. |
Siltä osin kuin kantaja väittää, että se, että SCHUFA on hylännyt hänen pyyntönsä, on unionin tietosuojasääntöjen vastaista, unionin tuomioistuimen on otettava kantaa yleisessä tietosuoja-asetuksessa säädettyihin rajoituksiin, joita sovelletaan rahoitusalan tietopalvelujen liiketoimintaan ja erityisesti tietojen hallinnointiin, samoin kuin siihen, mikä merkitys asiassa on annettava liikesalaisuuksien suojalle. Unionin tuomioistuimen on myös selvennettävä sitä, kuinka laajaa sääntelyvaltaa tietyissä yleisen tietosuoja-asetuksen säännöksissä annetaan kansalliselle lainsäätäjälle poikkeuksena säädöksen yleisestä lainsäädännön yhdenmukaistamista koskevasta tavoitteesta. |
II Asiaa koskevat oikeussäännöt
A Unionin oikeus
|
4. |
Yleisen tietosuoja-asetuksen 4 artiklan 4 alakohdassa säädetään seuraavaa: ”Tässä asetuksessa tarkoitetaan – –
|
|
5. |
Yleisen tietosuoja-asetuksen 6 artiklassa, jonka otsikko on ”Käsittelyn lainmukaisuus”, säädetään seuraavaa: ”1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä. 2. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi[,] määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään. 3. Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko
Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä[;] yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja ‑menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. 4. Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:
|
|
6. |
Yleisen tietosuoja-asetuksen 15 artiklassa, jonka otsikko on ”Rekisteröidyn oikeus saada tutustua tietoihin”, säädetään seuraavaa: ”1. Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada seuraavat tiedot: – –
– –” |
|
7. |
Yleisen tietosuoja-asetuksen 21 artiklassa, jonka otsikko on ”Vastustamisoikeus”, säädetään seuraavaa: ”1. Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e tai f alakohtaan, kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. – –” |
|
8. |
Yleisen tietosuoja-asetuksen 22 artiklassa, jonka otsikko on ”Automatisoidut yksittäispäätökset, profilointi mukaan luettuna”, säädetään seuraavaa: ”1. Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. 2. Edellä olevaa 1 kohtaa ei sovelleta, jos päätös
3. Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös. 4. Edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.” |
B Saksan oikeus
|
9. |
Tietosuojasta 30.6.2017 annetun liittovaltion lain (Bundesdatenschutzgesetz, jäljempänä tietosuojalaki), ( 3 ) sellaisena kuin se on muutettuna 20.11.2019 annetulla lailla, ( 4 ) 31 §:ssä, jonka otsikko on ”Liiketoimien suojaaminen pisteyttämisen ja luottotietojen osalta”, säädetään seuraavaa: ”1) Luonnollisen henkilön tietyn tulevan käyttäytymisen todennäköisyysarvon (pisteyttäminen) käyttäminen tämän henkilön kanssa solmittavan sopimussuhteen perustamista, täyttämistä tai päättämistä koskevan päätöksen tekemisen yhteydessä on sallittua ainoastaan, jos
2) Luottotietopalvelujen tarjoajien toimittaman luonnollisen henkilön maksukykyä ja ‑valmiutta koskevan todennäköisyysarvon, jonka laskennassa otetaan huomioon saatavia koskevia tietoja, käyttäminen on sallittua vain, mikäli edellä 1 momentissa säädetyt edellytykset täyttyvät ja laskelmassa otetaan huomioon ainoastaan sellaiset saatavat, joita ei ole erääntymisestä huolimatta maksettu ja
Tämä ei vaikuta muiden luottokelpoisuuden kannalta merkityksellisten tietojen käsittelyn, todennäköisyysarvojen määrittäminen mukaan luettuna, yleisen tietosuojalainsäädännön mukaiseen sallittavuuteen.” |
III Tosiseikat, pääasian oikeudenkäynti ja ennakkoratkaisukysymykset
|
10. |
Ennakkoratkaisupyynnöstä ilmenee, että pääasian kantaja ei ole saanut luottoa, koska harkinnassa on otettu huomioon SCHUFAn tekemä luottokelpoisuusselvitys. SCHUFA on luottotietopalvelua tarjoava yksityisoikeudellinen yhtiö, joka toimittaa asiakkailleen tietoja kuluttajien luottokelpoisuudesta. SCHUFA tekee tässä tarkoituksessa luottokelpoisuusselvityksiä, joiden yhteydessä se laatii matemaattistilastollisen menetelmän perusteella henkilön tiettyihin ominaisuuksiin perustuvan ennusteen, joka koskee tietyn tulevan käyttäytymisen, kuten esimerkiksi luoton takaisinmaksun, todennäköisyyttä. |
|
11. |
Kantaja on pyytänyt SCHUFAa poistamaan häntä koskevat virheelliset tiedot ja antamaan hänelle tutustuttavaksi häntä koskevat SCHUFAn rekisteröimät tiedot. SCHUFA on ilmoittanut kantajalle erityisesti hänen pistemääränsä ja kertonut periaatetasolla siitä, miten se tekee laskelmansa, mutta se ei ole ilmoittanut kantajalle, miten eri tietoja painotetaan laskelmassa. SCHUFA katsoo, että sillä ei ole velvollisuutta paljastaa laskentamenetelmiään, koska ne ovat ammatti- ja liikesalaisuuksia. Lisäksi se katsoo, että se vain toimittaa tietoja asiakkailleen, jotka tekevät varsinaiset päätökset luottosopimuksista. |
|
12. |
Kantaja kanteli vastaajalle, joka on tietosuojavaltuutettu, SCHUFAn vastauksesta. Kantelussaan hän vaati vastaajaa määräämään yhtiön toimittamaan hänelle tiedot, joita hän on pyytänyt, ja poistamaan tiedot, joita hän on pyytänyt poistettavaksi. Kantelun perusteella tekemässään päätöksessä HBDI katsoi, että yhtiötä vastaan ei ollut syytä ryhtyä jatkotoimiin, koska se noudattaa toiminnassaan Saksan liittovaltion tietosuojalaissa säädettyjä vaatimuksia. |
|
13. |
Kantaja on nostanut vastaajan päätöksestä kanteen ennakkoratkaisua pyytäneessä tuomioistuimessa. Se katsoo, että ratkaisun antamiseksi pääasiassa on ratkaistava, kuuluuko yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan soveltamisalaan luottotietopalveluja tarjoavien yhtiöiden toimintatapa määritellä henkilön pistemäärä ja toimittaa tämä tieto muuta suositusta tai huomautusta esittämättä kolmansille. |
|
14. |
Tässä tilanteessa Verwaltungsgericht Wiesbaden on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
|
IV Asian käsittelyn vaiheet unionin tuomioistuimessa
|
15. |
Ennakkoratkaisupyyntö, joka on päivätty 1.10.2021, toimitettiin unionin tuomioistuimen kirjaamoon 15.10.2021. |
|
16. |
Pääasian asianosaiset, SCHUFA, Tanskan, Portugalin ja Suomen hallitukset sekä Euroopan komissio toimittivat kirjalliset huomautuksensa Euroopan unionin tuomioistuimen perussäännön 23 artiklan mukaisessa määräajassa. |
|
17. |
Pääasian asianosaisten edustajat, SCHUFA, Saksan ja Suomen hallitusten asiamiehet sekä komission asiamiehet esittivät suullisia huomautuksia 26.1.2023 pidetyssä istunnossa. |
V Oikeudellinen arviointi
A Alustavat huomautukset
|
18. |
Koska markkinataloudessa kaikki sopimussitoumukset perustuvat keskinäiseen luottamukseen, yritysten näkökulmasta on lähtökohtaisesti ymmärrettävää, että palveluntarjoajat ja tavarantoimittajat haluavat tuntea asiakkaansa ja tiedostaa riskit, joita tällaisiin sopimussitoumuksiin liittyy. Luottotietopalveluja tarjoavat yhtiöt voivat auttaa keskinäisen luottamuksen syntymisessä tarjoamalla tilastollisia menetelmiä, joiden avulla yritykset voivat todeta, täyttyvätkö tietyt merkitykselliset kriteerit, mukaan lukien niiden asiakkaiden luottokelpoisuutta koskeva kriteeri, kussakin tapauksessa. Tällä tavalla ne auttavat yrityksiä noudattamaan unionin oikeuden eri säännöksiä, joissa niille asetetaan juuri tällainen velvollisuus tiettyjen sopimusryhmien, ja erityisesti luottosopimusten, osalta. ( 5 ) Tietyt tässä yhteydessä käytetyt tilastolliset menetelmät voivat perustua asiakkaiden henkilötietoihin, joita kerätään ja käsitellään automatisoidusti tietokonetekniikan avulla. Tälle intressille vastakkainen intressi on rekisteröityjen intressi saada tietää, miten kyseisiä tietoja hallinnoidaan ja miten ne kirjataan ja millaisia menetelmiä yritykset soveltavat, kun ne tekevät päätöksiä asiakkaidensa suhteen. |
|
19. |
Yleisellä tietosuoja-asetuksella, jota on sovellettu 25.5.2018 alkaen, on otettu käyttöön oikeudellinen säännöstö, jossa pyritään ottamaan huomioon edellä mainitut intressit koko unionin alueella muun muassa säätämällä tietyistä rajoituksista, joita sovelletaan henkilötietojen käsittelyyn. Näin ollen tietojen automaattiseen käsittelyyn, jolla voi olla luonnollista henkilöä koskevia oikeusvaikutuksia tai joka voi vaikuttaa häneen merkittävästi, sovelletaan erityisiä rajoituksia. Nämä rajoitukset ovat perusteltuja, kun on kyse profiloinnista eli henkilön tiettyjen ominaisuuksien arvioinnista tarkoituksessa analysoida tai ennakoida luonnollisen henkilön taloudellista tilannetta, luotettavuutta tai käyttäytymistä. Tässä yhteydessä mainitsen erityisesti käsiteltävässä asiassa merkitykselliset yleisen tietosuoja-asetuksen 22 artiklassa säädetyt rajoitukset, joiden tarkoituksena on rekisteröidyn ihmisarvon suojaaminen ja jotka ovat esteenä sille, että rekisteröity joutuu sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn ja jonka tekemiseen ei osallistu luonnollinen henkilö, joka voi tarvittaessa tarkistaa, että kyseinen päätös on tehty asianmukaisesti, oikein ja syrjimättömästi. ( 6 ) Edellytyksellä siitä, että luonnollisen henkilön on osallistuttava tämäntyyppiseen tietojen automaattiseen käsittelyyn, varmistetaan, että rekisteröidyllä on mahdollisuus esittää kantansa, saada selitys tämäntyyppisen arvioinnin perusteella tehdylle päätökselle ja riitauttaa se, jos hän on päätöksestä eri mieltä. Ensimmäinen ennakkoratkaisukysymys koskee nimenomaan yleisen tietosuoja-asetuksen 22 artiklassa säädettyjen rajoitusten laajuutta. |
|
20. |
Vaikka yleisellä tietosuoja-asetuksella on otettu käyttöön kattava ja lähtökohtaisesti täydellinen henkilötietojen suojaa koskeva oikeudellinen säännöstö, tietyillä asetuksen säännöksillä annetaan kuitenkin jäsenvaltioille mahdollisuus säätää tiukemmista tai poikkeavista kansallisista täydentävistä säännöistä, jotka jättävät niille harkintavaltaa sen suhteen, miten nämä säännökset voidaan panna täytäntöön (ns. poikkeamisen mahdollistavat säännöt), kunhan kyseisillä säännöillä ei loukata yleisen tietosuoja-asetuksen sisältöä ja tavoitteita. ( 7 ) Tässä ratkaisuehdotuksessa käsiteltävä toinen ennakkoratkaisukysymys koskee ennen kaikkea tämän jäsenvaltioille jätetyn sääntelyvallan ulottuvuutta. |
B Tutkittavaksi ottaminen
|
21. |
HBDI ja SCHUFA katsovat, ettei ennakkoratkaisupyyntöä voida ottaa tutkittavaksi. SCHUFA väittää tältä osin, että ennakkoratkaisupyyntö ei ole tarpeen ratkaisun antamiseksi pääasiassa eikä sitä ole perusteltu riittävästi, sillä otettaisiin käyttöön toinen oikeussuojakeino ja se on ristiriidassa muiden ennakkoratkaisupyyntöjen kanssa, jotka ennakkoratkaisua pyytänyt tuomioistuin on esittänyt ja sittemmin peruuttanut. |
1. Ennakkoratkaisukysymysten merkitys ratkaisun antamiseksi pääasiassa
|
22. |
Aluksi on muistutettava, että unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan SEUT 267 artiklassa käyttöön otetussa unionin tuomioistuimen ja kansallisten tuomioistuinten välisessä yhteistyössä yksinomaan kansallisen tuomioistuimen, jossa asia on vireillä ja joka vastaa annettavasta ratkaisusta, tehtävänä on asian erityispiirteiden perusteella harkita, onko ennakkoratkaisu tarpeen asian ratkaisemiseksi ja onko sen unionin tuomioistuimelle esittämillä kysymyksillä merkitystä asian kannalta. Jos esitetyt kysymykset koskevat unionin oikeussäännön tulkintaa tai pätevyyttä, unionin tuomioistuimen on siten lähtökohtaisesti ratkaistava ne. Tästä seuraa, että unionin oikeutta koskevilla kysymyksillä oletetaan olevan merkitystä asian ratkaisemisen kannalta. Unionin tuomioistuin voi kieltäytyä ratkaisemasta kansallisen tuomioistuimen esittämää ennakkoratkaisukysymystä ainoastaan silloin, kun on ilmeistä, että pyydetyllä unionin oikeuden säännön tulkitsemisella tai sen pätevyyden arvioinnilla ei ole mitään yhteyttä kansallisessa tuomioistuimessa käsiteltävän asian tosiseikkoihin tai kohteeseen, jos ongelma on luonteeltaan hypoteettinen taikka jos unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyihin kysymyksiin. ( 8 ) |
|
23. |
Nämä edellytykset eivät täyty nyt käsiteltävässä asiassa, sillä ennakkoratkaisupyynnön 40 kohdasta ilmenee selvästi, että oikeudenkäynnissä annettava ratkaisu riippuu ensimmäisestä ennakkoratkaisukysymyksestä. Siinä ennakkoratkaisua pyytänyt tuomioistuin toteaa, että jos yleisen tietosuoja-asetuksen 22 artiklan 1 kohtaa on tulkittava siten, että sitä, että luottotietopalveluja tarjoava yhtiö määrittää pistemäärän, on pidettävä kyseisen asetuksen 22 artiklan 1 kohdassa tarkoitettuna itsenäisenä päätöksenä, kyseiseen yhtiöön – ja tarkemmin sanottuna sen kyseiseen toimintaan – sovelletaan automatisoituja yksittäispäätöksiä koskevaa kieltoa. Näin ollen yhtiön toiminta edellyttäisi yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdassa tarkoitettua jäsenvaltion lainsäädäntöön sisältyvää oikeusperustaa, ja ainoa mahdollinen tällainen oikeusperusta on tietosuojalain 31 §. Ennakkoratkaisua pyytänyt tuomioistuin suhtautuu kuitenkin hyvin epäilevästi siihen, että mainittu kansallinen säännös soveltuisi yhteen yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan kanssa. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan SCHUFA toimii paitsi ilman oikeusperustaa myös viimeksi mainitussa säännöksessä säädetyn kiellon vastaisesti. Näin ollen kantajalla on oikeus siihen, että HBDI valvontaviranomaisena jatkaa hänen asiansa käsittelyä. On siis ilmeistä, että ennakkoratkaisua pyytäneen tuomioistuimen esittämiin kysymyksiin annettavalla vastauksella on ratkaisevaa merkitystä riidan ratkaisun kannalta. |
|
24. |
SCHUFA väittää myös, että ennakkoratkaisupyyntö on jätettävä tutkimatta sillä perusteella, että kantajalle on jo kerrottu, millaiseen logiikkaan pisteyttäminen perustuu. Ennakkoratkaisupyynnöstä ilmenee kuitenkin, että kantaja pyysi mahdollisimman yksityiskohtaisia tietoja siitä, mitä kaikkia tietoja hänestä oli kerätty ja millaiseen menetelmään pistemäärän määrittäminen perustui. Koska SCHUFA on kertonut kantajalle pääpiirteittäin ja periaatetasolla siitä, miten sen laskemat pistemäärät määritetään, mutta se ei ole ilmoittanut kantajalle, mitä eri tietoja laskelmassa otetaan huomioon tai miten niitä painotetaan, on ilmeistä, että SCHUFA ei ole vastannut kantajan tietopyyntöön kantajaa tyydyttävällä tavalla. Näin ollen kantajalla on hyväksyttävä intressi siihen, että unionin tuomioistuin määrittelee ennakkoratkaisussa, mitkä ovat rekisteröidyn oikeudet suhteessa SCHUFAn kaltaiseen luottotietopalveluja tarjoavaan yhtiöön. |
2. Kahden rinnakkaisen oikeussuojakeinon olemassaolo
|
25. |
Väitteestä, jonka mukaan rekisteröidyn sallitaan käyttää toista oikeussuojakeinoa, on todettava, että – toisin kuin SCHUFA väittää huomautuksissaan – se, että kantaja on ensin saattanut asian yleisen tuomioistuimen käsiteltäväksi ja tämän jälkeen ennakkoratkaisua pyytäneen hallintotuomioistuimen käsiteltäväksi, ei estä ennakkoratkaisupyynnön tutkittavaksi ottamista. Nostamillaan kanteilla kantaja on käyttänyt yleisen tietosuoja-asetuksen 78 ja 79 artiklassa säädettyjä oikeussuojakeinoja, sillä näissä säännöksissä säädetään oikeudesta tehokkaisiin oikeussuojakeinoihin – tässä järjestyksessä – valvontaviranomaista ja rekisterinpitäjää vastaan. Koska näistä oikeussuojakeinoista on säädetty rinnakkain ja itsenäisesti ilman, että toinen niistä olisi ensisijainen suhteessa toiseen, niitä voidaan käyttää rinnakkain. ( 9 ) Kantajan ei siis voida väittää pyrkineen puolustamaan yleisen tietosuoja-asetuksen mukaisia oikeuksiaan kielletyllä tavalla. |
|
26. |
Lisäksi on muistutettava, että unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan on niin, että jos unioni ei ole antanut alaa koskevia säännöksiä, kunkin jäsenvaltion asiana on sisäisessä oikeusjärjestyksessään määrittää toimivaltaiset tuomioistuimet ja antaa menettelysäännöt sellaisia oikeussuojakeinoja varten, joilla pyritään turvaamaan unionin oikeuteen perustuvat yksityisten oikeudet. ( 10 ) Ei siis ole mitään objektiivista syytä kyseenalaistaa jäsenvaltion oikeussuojakeinojen järjestelmää, ellei unionin oikeuden tehokkuus ole uhattuna esimerkiksi, jos kansallisilla tuomioistuimilla ei ole mahdollisuutta tai niiltä on poistettu SEUT 267 artiklan mukainen velvollisuus esittää unionin tuomioistuimelle kysymyksiä unionin oikeuden tulkinnasta tai pätevyydestä. |
|
27. |
Käsiteltävässä asiassa ei ole mitään viitteitä siitä, että se, että rekisteröidyllä on kaksi oikeussuojakeinoa, joilla turvataan hänen oikeuksiensa tehokas suoja tuomioistuimessa sekä valvontaviranomaista että rekisterinpitäjää vastaan, vaarantaisi unionin oikeuden tehokkuuden tai poistaisi kansallisilta tuomioistuimilta mahdollisuuden käyttää SEUT 267 artiklan mukaista menettelyä. Päinvastoin, kuten olen jo todennut, yleisen tietosuoja-asetuksen 78 ja 79 artiklan perusteella on ilmeistä, että yleinen tietosuoja-asetus ei ole esteenä tällaiselle oikeussuojakeinojen järjestelmälle, vaan siinä jätetään pikemminkin jäsenvaltion asiaksi määrittää toimivaltaiset tuomioistuimet ja antaa menettelysäännöt oikeussuojakeinoja varten täysin jäsenvaltioiden menettelyllisen itsemääräämisoikeuden mukaisesti. Unionin tuomioistuin on vahvistanut tämän tuoreessa oikeuskäytännössään. ( 11 ) |
|
28. |
Lopuksi on huomattava, että SCHUFA esittää väitteitä ainoastaan Saksan lainsäädännön mukaisista oikeussuojakeinoista eikä se ilmoita tarkalleen, millä tavalla unionin tuomioistuimen tässä ennakkoratkaisumenettelyssä antamasta tuomiosta ei olisi hyötyä asiassa annettavan ratkaisun kannalta. Kuten ennakkoratkaisua pyytänyt tuomioistuin toteaa, unionin tuomioistuimen yleisen tietosuoja-asetuksen 22 artiklan 1 kohtaa koskevan tulkinnan avulla vastaaja voi käyttää valvontavaltaansa SCHUFAan nähden unionin oikeuden mukaisesti. Näin ollen minusta näyttää siltä, että SCHUFAn väitteet, joiden mukaan ennakkoratkaisupyyntö on jätettävä tutkimatta, ovat perusteettomia. |
3. Väitteet siitä, että ennakkoratkaisupyyntöä ei ole perusteltu
|
29. |
Nämä seikat ovat lähtökohtaisesti riittävä peruste hylätä SCHUFAn väitteet. Jotta nyt käsiteltävä asia olisi paremmin ymmärrettävissä, mielestäni on kuitenkin tarpeen käsitellä väitettä, jonka mukaan ennakkoratkaisupyyntöä ei ole perusteltu. Toisin kuin SCHUFA väittää, ennakkoratkaisupyynnössä esitetään riittävän yksityiskohtaisesti, mistä tässä asiassa on kyse, jotta se täyttää unionin tuomioistuimen työjärjestyksen 94 artiklan c alakohdan mukaiset vaatimukset. Tarkemmin sanottuna kansallinen tuomioistuin toteaa, että kantaja haluaa vedota oikeuksiinsa, joita hänellä on SCHUFAn suhteen. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan on niin, että yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa – ellei sitä tulkita suppeasti – suojataan lähtökohtaisesti kantajaa hänen henkilötietojensa automaattiselta käsittelyltä. |
|
30. |
Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että kun otetaan huomioon, millaista merkitystä tietyt yritykset antavat luottotietopalveluja tarjoavien yhtiöiden määrittämälle pistemäärälle, jonka tarkoituksena on arvioida ennakoivasti luonnollisen henkilön taloudellista suorituskykyä, tätä pistemäärää voidaan mahdollisesti pitää edellä mainitussa säännöksessä tarkoitettuna itsenäisenä päätöksenä. Tällainen tulkinta on tarpeen, jotta saadaan poistettua oikeusaukko, joka aiheutuu siitä, että muussa tapauksessa rekisteröity ei voi saada yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan nojalla edellytettyjä tietoja. Näiden yksityiskohtaisten perustelujen valossa katson, että SCHUFAn väitteet on hylättävä ja että ennakkoratkaisupyyntö on tutkittava. |
C Pääasia
1. Ensimmäinen ennakkoratkaisukysymys
a) Yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa säädetty yleinen kielto
|
31. |
Yleisen tietosuoja-asetuksen 22 artiklan 1 kohta poikkeaa muista asetuksen mukaisista henkilötietojen käsittelyä koskevista rajoituksista siten, että siinä säädetään rekisteröidyn ”oikeudesta” olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin. Säännöksen sanamuodosta huolimatta yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan soveltaminen ei edellytä, että rekisteröity vetoaa aktiivisesti kyseiseen oikeuteensa. Kun kyseistä säännöstä nimittäin tulkitaan asetuksen johdanto-osan 71 perustelukappaleen valossa ja kun otetaan huomioon säännöksen rakenne ja erityisesti sen 2 kohta, jossa säädetään tilanteista, joissa tietojen tällainen automatisoitu käsittely on poikkeuksellisesti sallittua, on pikemminkin katsottava, että tässä säännöksessä säädetään yleisestä kiellosta, jota sovelletaan edellä kuvatun tyyppisiin päätöksiin. On kuitenkin korostettava, että kyseistä kieltoa sovelletaan vain hyvin erityisissä olosuhteissa, nimittäin nimenomaan päätöksiin, joilla on ”[rekisteröityä] koskevia oikeusvaikutuksia” tai jotka ”vaikutta[vat] häneen vastaavalla tavalla merkittävästi”. |
|
32. |
Ensimmäisellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, kuuluuko se, että luottotietopalvelua tarjoava yhtiö laskee pistemäärän, yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan soveltamisalaan, kun laskettu pistemäärä välitetään yritykselle, joka käyttää sitä ratkaisevana tekijänä, kun se päättää sopimussuhteen perustamisesta, täyttämisestä tai päättämisestä rekisteröidyn kanssa. Toisin sanoen kysymys koskee sitä, sovelletaanko kyseistä säännöstä luottotietopalveluja tarjoaviin yhtiöihin, jotka määrittävät pistemääriä rahoitusyritysten käyttöön. Tämän kysymyksen tarkastelu edellyttää, että ratkaistaan, täyttyvätkö yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa säädetyt edellytykset käsiteltävässä asiassa. |
b) Yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan sovellettavuus
1) Kysymys siitä, onko kyse yleisen tietosuoja-asetuksen 4 artiklan 4 alakohdassa tarkoitetusta profiloinnista
|
33. |
Ensinnäkin yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa edellytetään, että henkilötietoja käsitellään automatisoidusti, ja säännöksen sanamuodon perusteella profilointia pidetään tällaisen käsittelyn alakategoriana. ( 12 ) Tältä osin on huomattava, että SCHUFAn suorittama pisteyttäminen kuuluu yleisen tietosuoja-asetuksen 4 artiklan 4 alakohdassa säädetyn määritelmän soveltamisalaan, koska pisteyttämisessä arvioidaan henkilötietoja käyttämällä luonnollisen henkilön tiettyjä ominaisuuksia tarkoituksessa analysoida tai ennakoida piirteitä, jotka liittyvät kyseisen henkilön taloudelliseen tilanteeseen, luotettavuuteen ja todennäköiseen käyttäytymiseen. Oikeudenkäyntiasiakirjoista nimittäin ilmenee, että SCHUFAn käyttämä menetelmä tuottaa tiettyjen kriteerien perusteella määräytyvän pistemäärän eli tuloksen, jonka perusteella voidaan tehdä päätelmiä rekisteröidyn luottokelpoisuudesta. Haluan lisäksi korostaa, että asianosaiset tai pääasian väliintulija eivät kiistä sitä, että kyseinen menettely voidaan luokitella profiloinniksi, joten tämän edellytyksen voidaan katsoa täyttävän käsiteltävässä asiassa. |
2) Edellytys siitä, että päätöksellä on oltava rekisteröityä koskevia oikeusvaikutuksia tai sen on vaikutettava häneen vastaavalla tavalla merkittävästi
|
34. |
Yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan soveltaminen edellyttää, että päätöksellä on rekisteröityä koskevia oikeusvaikutuksia tai että se vaikuttaa häneen vastaavalla tavalla merkittävästi. Siten yleisessä tietosuoja-asetuksessa otetaan huomioon, että automatisoidulla päätöksenteolla, mukaan lukien profiloinnilla, voi olla vakavia seurauksia rekisteröidyille. Vaikka yleisessä tietosuoja-asetuksessa ei säädetä sanan ”oikeusvaikutukset” tai ilmaisun ”vastaavalla tavalla merkittävästi” määritelmää, säännöksen sanamuoto viittaa kuitenkin selvästi siihen, että säännöstä sovelletaan ainoastaan, jos automatisoidulla päätöksenteolla on vakavia vaikutuksia. Tältä osin on heti alkuun kiinnitettävä huomiota siihen, että yleisen tietosuoja-asetuksen johdanto-osan 71 perustelukappaleessa mainitaan nimenomaisesti ”online-luottohakemuksen automaattinen epääminen” tyypillisenä esimerkkinä päätöksestä, joka vaikuttaa rekisteröityyn ”merkittävästi”. |
|
35. |
Tämän jälkeen on otettava huomioon yhtäältä se, että koska luottohakemuksen käsittely on lainasopimuksen tekemistä edeltävä vaihe, luottohakemuksen hylkäämisellä voi olla rekisteröityä koskevia oikeusvaikutuksia, koska siitä seuraa, ettei rekisteröity voi enää ryhtyä sopimussuhteeseen kyseisen rahalaitoksen kanssa. Toisaalta on huomattava, että hakemuksen hylkääminen voi vaikuttaa myös rekisteröidyn taloudelliseen tilanteeseen. Näin ollen voidaan loogisesti päätellä, että tällainen hylkääminen vaikuttaa joka tapauksessa rekisteröityyn kyseisessä säännöksessä tarkoitetulla vastaavalla tavalla. Unionin lainsäätäjä vaikuttaa olleen tietoinen tästä, kun se laati yleisen tietosuoja-asetuksen johdanto-osan 71 perustelukappaleen, jonka valossa kyseisen asetuksen 22 artiklan 1 kohtaa on tulkittava. Näin ollen katson, että kun otetaan huomioon kantajan tilanne, nämä kyseisen säännöksen mukaiset edellytykset täyttyvät käsiteltävässä asiassa riippumatta siitä, painotetaanko luoton epäämisen oikeusvaikutuksia vai taloudellisia seurauksia. |
3) Edellytys siitä, että päätös perustuu pelkästään automaattiseen käsittelyyn
|
36. |
Vielä on kaksi edellytystä, joiden on täytyttävä. Ensinnäkin edellytetään, että rekisteröidyn suhteen toteutetaan toimi, joka on katsottava päätökseksi. Toiseksi edellytetään, että kyseinen päätös perustuu pelkästään automaattiseen käsittelyyn. Viimeksi mainitun edellytyksen osalta on todettava, että mikään ennakkoratkaisupyynnössä mainituista tosiseikoista ei viittaa siihen, että SCHUFAn soveltaman matemaattisen ja tilastollisen menetelmän lisäksi pistemäärä määritettäisiin jotenkin ratkaisevalla tavalla siten, että ihminen suorittaa tapauskohtaisen analyysin ja arvioinnin. Siten on katsottava, että pistemäärän määrittäminen SCHUFAn toteuttamana toimena perustuu pelkästään automaattiseen käsittelyyn. Ei kuitenkaan pidä unohtaa, että rahalaitoksen, jolle SCHUFA välittää pistemäärän, on toteutettava rekisteröityä koskeva toimi, jonka oletetaan olevan itsenäinen, eli sen on joko myönnettävä tai evättävä haettu luotto. Näin ollen herää kysymys, kumpaa näistä kahdesta toimesta voidaan pitää yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitettuna päätöksenä, mitä käsittelen jäljempänä. |
|
37. |
Ensimmäisen edellytyksen osalta on ensin selvitettävä, millainen oikeudellinen luonne on päätöksellä ja missä muodossa päätös on tehtävä. Etymologisesti tämä käsite viittaa tiettyä tilannetta koskevaan mielipiteeseen tai kannanottoon. Päätöksen on myös oltava sitova erotuksena pelkistä suosituksista, joilla ei lähtökohtaisesti ole oikeudellisia tai tosiasiallisia seurauksia. ( 13 ) Toisin kuin HBDI väittää, analogialla SEUT 288 artiklan neljännen kohdan kanssa ei kuitenkaan ole mielestäni merkitystä tässä yhteydessä varsinkaan, kun tällaiselle analogialle ei ole perustetta yleisen tietosuoja-asetuksen säännöksissä. |
|
38. |
Koska yleisessä tietosuoja-asetuksessa ei ole säädetty päätöksen määritelmää, voidaan päätellä, että unionin lainsäätäjä on tarkoittanut säätää laajasti tulkittavasta päätöksen käsitteestä, jonka alaan voivat kuulua lukuisat eri toimet, jotka voivat vaikuttaa rekisteröityyn monin tavoin. Kuten nimittäin jo totesin, yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitetulla päätöksellä on oltava joko rekisteröityä koskevia oikeusvaikutuksia tai sen on vaikutettava häneen vastaavalla tavalla, mikä merkitsee, että päätöksellä voi olla vaikutus, joka ei välttämättä ole oikeudellinen vaan pikemminkin taloudellinen ja sosiaalinen. Koska yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa säädetyn tarkoituksena on suojata luonnollisia henkilöitä henkilötietojen automaattisen käsittelyn mahdollisesti syrjiviltä ja epäoikeudenmukaisilta vaikutuksilta, minusta näyttää siltä, että kyseisen säännöksen yhteydessä on noudatettava erityistä valppautta ja tämän on vaikutettava myös siihen, miten kyseistä säännöstä tulkitaan. |
|
39. |
Lisäksi on korostettava, että koska yksityisen rahalaitoksen toimiksi katsottavilla toimilla voi myös olla vakavia seurauksia rekisteröidyn riippumattomuudelle ja toimintavapaudelle markkinataloudessa muun muassa silloin, kun on kyse luotonhakijan luottokelpoisuuden tarkistamisesta, ( 14 ) en näe mitään objektiivista syytä tulkita, että päätöksen käsitteellä viitattaisiin vain julkisoikeudellisiin päätöksiin eli valtion ja kansalaisen väliseen suhteeseen, kuten HBDI:n ehdottamasta analogisesta tulkinnasta implisiittisesti seuraisi. Rekisteröityä koskevan kannan luokitteleminen päätökseksi edellyttää minusta tapauskohtaista tarkastelua, jossa otetaan huomioon kyseisen tilanteen erityiset olosuhteet sekä se, kuinka vakavasti kanta vaikuttaa rekisteröidyn oikeudelliseen, taloudelliseen ja sosiaaliseen asemaan. ( 15 ) |
|
40. |
Tämän jälkeen on ratkaistava edellisissä kohdissa esitettyjen kriteerien perusteella, mikä on käsiteltävässä asiassa merkityksellinen päätös. Kuten edellä mainitsin, on olemassa yhtäältä toimi, jolla pankki myöntää hakijalle luoton tai epää sen, ja toisaalta pistemäärä, joka on määritetty SCHUFAn profilointiprosessin tuloksena. Mielestäni tähän kysymykseen on mahdotonta vastata kategorisesti, sillä luokittelu riippuu kunkin yksittäistapauksen olosuhteista. Tarkemmin ottaen keskeistä merkitystä on sillä, millainen on päätöksentekoprosessin rakenne. Päätöksentekoprosessiin kuuluu yleensä useita vaiheita, kuten profilointi, pisteyttäminen ja varsinainen luoton myöntämistä koskeva päätös. |
|
41. |
Minusta on ilmeistä, että vaikka kyseinen prosessi voi olla kokonaan rahalaitoksen sisäinen prosessi, mikään ei estä sitä delegoimasta tiettyjä tehtäviä, kuten profilointia ja pisteyttämistä, sopimuksella luottotietopalveluja tarjoavalle yhtiölle. Yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa ei nimittäin suinkaan edellytetä, että yksi elin suorittaisi nämä tehtävät, eikä myöskään, että niitä suorittaisi useampi elin. Tiettyjen valtuuksien mahdollisella delegoinnilla ulkopuoliselle palveluntarjoajalle ei mielestäni kuitenkaan ole keskeistä merkitystä asian tarkastelun kannalta, sillä delegointi perustuu yleensä taloudellisiin ja organisatorisiin näkökohtiin, jotka voivat vaihdella tilanteesta toiseen. |
|
42. |
Sen sijaan pidän ratkaisevana seikkana sitä, onko päätöksentekoprosessi suunniteltu siten, että luottotietopalveluja tarjoavan yhtiön suorittamalla pisteyttämisellä määrätään ennakolta siitä, päättääkö rahalaitos myöntää luottoa vai epääkö se luoton. Jos pistemäärän määrittämiseen ei osallistu ihminen, joka voi tarvittaessa tarkistaa tuloksen ja varmistaa, että luotonhakijan osalta tehtävä päätös on oikea, vaikuttaa loogiselta tulkita, että itse pisteyttämistä on pidettävä yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitettuna päätöksenä. |
|
43. |
Jos asiaa tulkittaisiin päinvastoin sillä perusteella, että luoton myöntämistä tai epäämistä koskevan päätöksen tekeminen kuuluu muodollisesti rahalaitokselle, asiaa tulkittaisiin liian formalistisesti eikä tulkinta juurikaan vastaisi tällaisen tilanteen erityisiä olosuhteita. Näin on varsinkin, koska yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa ei edellytetä, että päätös olisi tehtävä tietyssä muodossa. Ratkaisevana seikkana pidetään kyseisen päätöksen vaikutusta rekisteröityyn. Koska kielteinen pistemäärä voi jo itsessään vaikuttaa epäsuotuisasti rekisteröityyn eli rajoittaa merkittävästi hänen mahdollisuuksiaan käyttää vapauksiaan tai aiheuttaa hänelle sosiaalisen stigman, vaikuttaa perustellulta tulkita, että kyseistä pistemäärää on pidettävä edellä mainitussa säännöksessä tarkoitettuna päätöksenä, kun rahalaitos antaa sille ensisijaista merkitystä päätöksentekoprosessissa. ( 16 ) Tällaisessa tilanteessa on nimittäin niin, että vaikutus kohdistuu luotonhakijaan jo siinä vaiheessa, kun luottotietopalvelua tarjoava yhtiö selvittää hänen luottokelpoisuutensa, eikä vasta prosessin viimeisessä vaiheessa, jolloin luotto evätään, sillä tässä vaiheessa rahalaitos vain soveltaa kyseisen selvityksen tulosta yksittäistapaukseen. ( 17 ) |
|
44. |
Koska ensinnäkin yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa edellytetään, että päätös perustuu ”pelkästään” automaattiseen käsittelyyn, ( 18 ) ja koska toiseksi säännöstä voidaan yleisesti ottaen tulkita vain sen sanamuodon rajoissa, edellytyksenä on, että hakemuksen automatisoitu käsittely on ainoa seikka, johon rahalaitoksen luotonhakijan osalta omaksuma lähestymistapa perustuu. Tästä olisi kyse, jos ihminen osallistuisi prosessiin, mutta hän ei voisi vaikuttaa automaattisen käsittelyn ja lopullisen päätöksen väliseen syy-yhteyteen. Luottotietopalvelua tarjoavan yhtiön olisi siis tosiasiallisesti tehtävä lopullinen päätös rahalaitoksen puolesta. Se, onko näin, riippuu kyseisen rahalaitoksen sisäisistä säännöistä ja käytännöistä, joiden perusteella sille ei tulisi yleensä jäädä lainkaan liikkumavaraa pistemäärän soveltamisessa luottohakemukseen. |
|
45. |
Tältä osin on kyse ennen kaikkea tosiseikkakysymyksestä, jonka arviointiin parhaat edellytykset on mielestäni kansallisilla tuomioistuimilla. Ehdotan näin ollen, että ennakkoratkaisua pyytäneen tuomioistuimen tehtäväksi jätetään sen selvittäminen, missä määrin rahalaitos on yleensä sidottu SCHUFAn kaltaisen luottotietopalvelua tarjoavan yhtiön suorittamaan pisteyttämiseen, ja tässä yhteydessä sen on otettava huomioon edellä esitetyt kriteerit. ( 19 ) Nojaudun ennakkoratkaisupyynnöstä ilmeneviin tietoihin antaakseni käsiteltävässä asiassa hyödyllisen vastauksen kansalliselle tuomioistuimelle. |
|
46. |
Tältä osin totean aluksi, että ennakkoratkaisua pyytäneen tuomioistuimen mukaan on niin, että vaikka ihminen voi lähtökohtaisesti edelleen osallistua päätöksentekoon kyseisen prosessin tässä vaiheessa, ”luottotietopalveluja tarjoavien yhtiöiden toimittama pistemäärä määrittää käytännössä tätä päätöstä niin merkittävässä määrin, että se vaikuttaa ratkaisevasti kolmannen rekisterinpitäjän päätökseen” siitä, ryhtyykö se sopimussuhteeseen rekisteröidyn kanssa. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan ”sen, tekeekö kolmas rekisterinpitäjä sopimuksen rekisteröidyn kanssa, ja jos tekee, niin miten, ratkaisee oikeastaan luottotietopalveluja tarjoavan yhtiön automatisoidun käsittelyn perusteella määrittämä pistemäärä”. Ennakkoratkaisua pyytänyt tuomioistuin toteaa myös, että vaikka kolmas rekisterinpitäjä ei tosin saa tehdä päätöstään pelkästään pistemäärän perusteella, pistemäärä on kuitenkin ”pääsääntöisesti ratkaiseva sen päätöksen kannalta”. Se lisää, että ”luotto voidaan evätä, vaikka pistemäärä olisikin lähtökohtaisesti riittävä (muista syistä, kuten vakuuksien puuttumisen tai rahoitettavan investoinnin menestykseen liittyvän epävarmuuden takia), mutta liian alhainen pistemäärä johtaa ainakin kulutusluottojen alalla lähes poikkeuksetta luoton epäämiseen, myös silloin, jos esimerkiksi investointi vaikuttaa muutoin kannattavalta”. Lisäksi kyseinen tuomioistuin toteaa, että ”kokemukset viranomaisten harjoittamasta tietosuojavalvonnasta osoittavat, että pistemäärillä on ratkaiseva merkitys luoton myöntämisessä ja sen ehtojen laadinnassa”. |
|
47. |
Jollei kansallisen tuomioistuimen kussakin yksittäistapauksessa tekemästä tosiseikkojen arvioinnista muuta johdu, edellä esitetyn perusteella vaikuttaa siltä, että luottotietopalvelua tarjoavan yhtiön määrittämällä pistemäärällä, jonka se toimittaa rahalaitokselle, määrätään yleensä ennakolta, myöntääkö rahalaitos rekisteröidylle luottoa vai epääkö se sen, joten rahalaitoksen kannanotolla on katsottava olevan ainoastaan muodollinen luonne päätöksentekoprosessissa. ( 20 ) Tästä seuraa, että kyseistä pistemäärää on pidettävä yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitettuna päätöksenä. |
|
48. |
Tällainen päätelmä on mielestäni perusteltu, sillä toisenlainen tulkinta vaarantaisi rekisteröityjen oikeuksien suojaamista koskevan tavoitteen, johon unionin lainsäätäjä tällä säännöksellään pyrkii. Kuten ennakkoratkaisua pyytänyt tuomioistuin on perustellusti todennut, jos yleisen tietosuoja-asetuksen 22 artiklan 1 kohtaa tulkitaan suppeasti, syntyy aukko oikeussuojassa: luottotietopalvelua tarjoavan yhtiön, jolta rekisteröidyn pyytämät tiedot on hankittava, ei ole annettava niitä yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan nojalla, koska se ei väitetysti tee itse päätöstä automatisoidusti kyseisessä alakohdassa tarkoitetulla tavalla, eikä rahalaitos, joka tekee päätöksensä automatisoidusti määritetyn pistemäärän perusteella ja jonka on toimitettava rekisteröidylle yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan mukaiset tiedot, voi toimittaa kyseisiä tietoja, koska sillä ei ole niitä käytettävissään. |
|
49. |
Tästä seuraisi, että rahalaitos ei voisi tarkistaa luotonhakijan luottokelpoisuuden arviointia, jos luotonhakija riitauttaisi sen päätöksen, kuten yleisen tietosuoja-asetuksen 22 artiklan 3 kohdassa edellytetään, eikä varmistua siitä, että rekisteröityjä kohdellaan asianmukaisesti, avoimesti ja syrjimättömästi käyttämällä asianmukaisia matemaattisia tai tilastollisia menetelmiä ja toteuttamalla asianmukaisia teknisiä ja organisatorisia toimenpiteitä, kuten yleisen tietosuoja-asetuksen johdanto-osan 71 perustelukappaleen kuudennessa virkkeessä edellytetään. ( 21 ) Tällaisen selvästi edellisessä kohdassa mainitun lainsäädännöllisen tavoitteen vastaisen tilanteen välttämiseksi ehdotan, että yleisen tietosuoja-asetuksen 22 artiklan 1 kohtaa tulkitaan tavalla, jossa otetaan huomioon pisteyttämisen todellinen vaikutus rekisteröidyn tilanteeseen. |
|
50. |
Tällainen lähestymistapa vaikuttaa minusta loogiselta, sillä luottotietopalvelua tarjoava yhtiö lienee yleensä ainoa taho, joka voi vastata muihin rekisteröidyn pyyntöihin, jotka niin ikään perustuvat yleisellä tietosuoja-asetuksella taattuihin oikeuksiin, joita ovat yleisen tietosuoja-asetuksen 16 artiklassa tarkoitettu oikeus tietojen oikaisemiseen, jos henkilötiedot, joita pisteyttämisessä on käytetty, osoittautuvat virheellisiksi, ja yleisen tietosuoja-asetuksen 17 artiklassa tarkoitettu oikeus tietojen poistamiseen, jos kyseisiä tietoja on käsitelty lainvastaisesti. Koska rahalaitos ei yleensä osallistu kyseisten tietojen keräämiseen eikä profilointiin, kun se on delegoinut kyseiset tehtävät kolmannelle osapuolelle, voidaan olettaa, että rahalaitos ei voi tehokkaasti varmistua siitä, että mainittuja oikeuksia kunnioitetaan. Rekisteröidyn ei voida kuitenkaan edellyttää kantavan tällaisen tehtävien delegoinnin epäsuotuisia seurauksia. |
|
51. |
Se, että vastuullisena rekisterinpitäjänä pidetään luottotietopalvelua tarjoavaa yhtiötä pistemäärän määrittämisen perusteella eikä ratkaisevana pidetä pistemäärän myöhempää käyttöä, on minusta tehokkain tapa turvata rekisteröidyn perusoikeudet eli tässä tapauksessa Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 8 artiklassa tarkoitettu oikeus henkilötietojen suojaan mutta myös perusoikeuskirjan 7 artiklassa tarkoitettu oikeus yksityiselämän kunnioittamiseen, sillä pistemäärän määrittäminen on toiminta, josta mahdolliset haitat viime kädessä aiheutuvat. Koska on vaarana, että lukuisat eri rahalaitokset käyttävät luottotietopalvelua tarjoavan yhtiön määrittämää pistemäärää, on kohtuullista, että rekisteröity voi vedota oikeuksiinsa suoraan suhteessa tällaiseen yhtiöön. |
|
52. |
Edellä esitetyistä syistä katson, että yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa säädetyt edellytykset täyttyvät, joten tätä säännöstä voidaan soveltaa pääasiassa kyseessä olevan kaltaisissa olosuhteissa. |
c) Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa säädetyn tiedonsaantioikeuden laajuus
|
53. |
Tässä yhteydessä ei voida riittävästi korostaa sitä, kuinka tärkeää on, että rekisterinpitäjä noudattaa täysimääräisesti tietojen antamista rekisteröidylle koskevia velvollisuuksiaan. Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan mukaisesti rekisteröidyllä on oikeus saada rekisterinpitäjältä paitsi vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja vai ei, myös muita tietoja, kuten tieto kyseisen asetuksen 22 artiklassa tarkoitetusta automaattisesta päätöksenteosta, mukaan lukien profiloinnista, ja merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyydestä ja mahdollisista seurauksista rekisteröidylle. |
|
54. |
Koska SCHUFA on kieltäytynyt luovuttamasta kantajalle tiettyjä laskentamenetelmään liittyviä tietoja sillä perusteella, että ne ovat liikesalaisuuksia, asiassa on täsmennettävä yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa säädetyn tiedonsaantioikeuden laajuutta erityisesti siltä osin, kuinka laaja on velvollisuus toimittaa ”tiedot käsittelyyn liittyvästä logiikasta”. Mielestäni tätä säännöstä on tulkittava siten, että se kattaa lähtökohtaisesti myös laskentamenetelmän, jota luottotietopalvelua tarjoava yhtiö käyttää pistemäärän määrittämisessä, kunhan asiaan ei liity keskenään ristiriitaisia intressejä, joita on suojattava. Tältä osin on viitattava yleisen tietosuoja-asetuksen johdanto-osan 63 perustelukappaleeseen, jossa todetaan muun muassa, että oikeus tutustua henkilötietoihin ”ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai henkinen omaisuus ja erityisesti ohjelmistojen tekijänoikeudet” (kursivointi tässä). |
|
55. |
Kun yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohtaa tulkitaan asetuksen johdanto-osan 58 ja 63 perustelukappaleen perusteella, voidaan tehdä useita päätelmiä. Ensinnäkin on ilmeistä, että unionin lainsäätäjä on ollut täysin tietoinen siitä, että yhtäältä perusoikeuskirjan 8 artiklassa tarkoitettu oikeus henkilötietojen suojaan ja toisaalta perusoikeuskirjan 17 artiklan 2 kohdassa tarkoitettu teollis- ja tekijänoikeuksien suojaa koskeva oikeus voivat ajoittain olla keskenään ristiriidassa. Toiseksi on selvää, että unionin lainsäätäjän tarkoituksena ei ole ollut suojata yhtä perusoikeutta toisen kustannuksella. Päinvastoin yleisen tietosuoja-asetuksen säännösten perusteellisemman tarkastelun perusteella voidaan päätellä, että unionin lainsäätäjän tarkoituksena on ollut taata oikeudenmukainen tasapaino oikeuksien ja velvollisuuksien välillä. |
|
56. |
Se, että unionin lainsäätäjä on todennut yleisen tietosuoja-asetuksen johdanto-osan 63 perustelukappaleessa, että ”näiden seikkojen huomioon ottaminen ei – – saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa”, ( 22 ) merkitsee mielestäni, että rekisteröidylle on toimitettava ainakin tietyt vähimmäistiedot, jotta henkilötietojen suojaa koskevan oikeuden keskeinen sisältö ei vaarannu. Tästä seuraa, että vaikka liikesalaisuuden tai teollis- ja tekijänoikeuksien suojaaminen on lähtökohtaisesti hyväksyttävä peruste sille, että luottotietopalvelua tarjoava yhtiö kieltäytyy paljastamasta rekisteröidyn pistemäärän laskemisessa käytettyä algoritmia, tällä perusteella ei sen sijaan suinkaan voida oikeuttaa sitä, että mitään tietoja ei luovuteta. Näin on varsinkin, kun on olemassa asianmukaisia viestintävälineitä, jotka helpottavat ymmärtämistä ja takaavat samalla tietynasteisen luottamuksellisuuden. |
|
57. |
Tässä yhteydessä on mielestäni erityistä merkitystä yleisen tietosuoja-asetuksen 12 artiklan 1 kohdalla, jonka mukaan ”rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle – – [15] artiklan – – mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä”. ( 23 ) Tämä säännös tukee edellä esitettyä päättelyä, koska siitä ilmenee, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan todellisena tavoitteena on varmistaa, että rekisteröity saa tietoja ymmärrettävässä ja saatavilla olevassa muodossa tarpeidensa mukaan. Mielestäni näistä vaatimuksista seuraa jo sinänsä, että rekisterinpitäjällä ei ole velvollisuutta paljastaa algoritmiaan, kun otetaan huomioon, että algoritmi on monimutkainen. Erityisen monimutkaisen kaavan antaminen rekisteröidyn tutustuttavaksi olisi tuskin hyödyllistä, jos sitä ei selvennettäisi tarpeellisin tavoin. Tässä yhteydessä on kiinnitettävä huomiota yleisen tietosuoja-asetuksen johdanto-osan 58 perustelukappaleeseen, josta ilmenee, että edellä mainittujen vaatimusten noudattaminen on erityisen tärkeää ”tilanteissa, joissa rekisteröidyn on – – käytänteiden teknisen monimutkaisuuden vuoksi vaikea tietää ja ymmärtää, kerätäänkö hänen henkilötietojaan tai ketkä niitä keräävät ja mitä tarkoitusta varten”. ( 24 ) |
|
58. |
Edellä esitetyistä syistä katson, että velvollisuus toimittaa rekisteröidylle ”merkitykselliset tiedot käsittelyyn liittyvästä logiikasta” on ymmärrettävä siten, että sen nojalla on toimitettava riittävän yksityiskohtaiset tiedot menetelmästä, jota on käytetty pistemäärän määrittämisessä, ja seikoista, joihin tietty tulos perustuu. Rekisterinpitäjän on yleensä toimitettava rekisteröidylle sellaisia yleisiä tietoja, jotka koskevat muun muassa päätöksentekoprosessissa huomioon otettuja tekijöitä ja niiden merkitystä kokonaispisteytyksessä ja joista on hyötyä rekisteröidylle, jos hän riitauttaa yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitetun päätöksen. ( 25 ) |
d) Vastaus ensimmäiseen ennakkoratkaisukysymykseen
|
59. |
Edellä esitetyn perusteella katson, että yleisen tietosuoja-asetuksen 22 artiklan 1 kohtaa on tulkittava siten, että jo rekisteröidyn kykyä hoitaa luottoa koskevan todennäköisyysarvon automatisoitua määrittämistä on pidettävä pelkästään automaattiseen käsittelyyn, kuten profilointiin, perustuvana päätöksenä, jolla on rekisteröityä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi, jos rekisterinpitäjä välittää kyseisen rekisteröidyn henkilötietojen perusteella määritetyn arvon kolmannelle rekisterinpitäjälle ja kyseisellä arvolla on vakiintuneen käytännön mukaan ratkaiseva merkitys, kun mainittu kolmas rekisterinpitäjä tekee päätöksen sopimussuhteen perustamisesta, täyttämisestä tai päättämisestä rekisteröidyn kanssa. |
2. Toinen ennakkoratkaisukysymys
|
60. |
Vaikka toinen kysymys on esitetty vain siltä varalta, että ensimmäiseen kysymykseen vastataan kieltävästi, mielestäni sillä on merkitystä myös siinä tapauksessa, että unionin tuomioistuin katsoo, että pisteyttäminen kuuluu yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa säädetyn automatisoitua päätöksentekoa koskevan kiellon soveltamisalaan. Kuten Suomen hallitus perustellusti toteaa, tällöin on tutkittava, voidaanko tästä kiellosta poiketa yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan nojalla. Mainitun säännöksen mukaan kyseistä kieltoa ei sovelleta, jos päätös ”perustuu rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön” (kursivointi tässä). |
|
61. |
Kyseinen säännös sisältää nimenomaista sääntelyliikkumavaraa silloin, kun siinä tarkoitettu automatisoitu profilointi perustuu unionin oikeuteen tai jäsenvaltion oikeuteen. Jos perusteena on jäsenvaltion oikeus, tulee kansallisessa laissa säätää rekisteröityä koskevista erityisistä suojatoimista. Unionin tuomioistuimen olisi siis ratkaistava, voidaanko tällainen peruste johtaa yleisen tietosuoja-asetuksen 6 artiklasta tai kansallisesta säännöksestä, joka on annettu asetuksessa säädetyn oikeusperustan nojalla. Jälkimmäinen tilanne edellyttää mielestäni perusteellista tarkastelua, sillä ennakkoratkaisua pyytänyt tuomioistuin pohtii, soveltuuko tietosuojalain 31 § yhteen yleisen tietosuoja-asetuksen 6 ja 22 artiklan kanssa, mikä edellyttää, että yleisen tietosuoja-asetuksen 6 ja 22 artikla voivat olla asianmukaisia oikeusperustoja. |
a) Kysymys siitä, säädetäänkö yleisessä tietosuoja-asetuksessa oikeusperustaa, jolla jäsenvaltioille annetaan sääntelyvaltaa
|
62. |
Kansallinen tuomioistuin suhtautuu epäilevästi juuri tähän seikkaan, sillä sen mukaan yleisen tietosuoja-asetuksen 6 ja 22 artiklassa säädettyä ei voida käyttää oikeusperustana tietosuojalain 31 §:n kaltaisen kansalliselle säännökselle, jossa säädetään pisteyttämistä koskevista säännöistä. On siis pohdittava, onko kansallinen lainsäätäjä soveltanut oikein yleisen tietosuoja-asetuksen säännöksiä, joissa sille annetaan liikkumavaraa henkilötietojen käsittelyä yleisen tietosuoja-asetuksen mukaisesti koskevien kansallisten sääntöjen määrittämisessä tai tietyissä tapauksissa liikkumavaraa poiketa kyseisestä asetuksesta. Vastaus tähän kysymykseen on monitahoinen, koska kyseisen lain perusteluissa Saksan lainsäätäjä ei viittaa mihinkään poikkeamisen mahdollistavaan sääntöön. ( 26 ) Tällä vastauksella on kuitenkin merkitystä varsinkin, kun tietosuojalain 31 §:n 1 momentin 1 kohdassa säädetään nimenomaisesti, että pisteyttäminen ”on sallittua ainoastaan, jos tietosuojalainsäädännön säännöksiä on noudatettu” (kursivointi tässä). Kuten esitän jäljempänä, vastaan tähän kysymykseen kieltävästi monista syistä. |
1) Yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan sovellettavuus
|
63. |
Aluksi on viitattava yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohtaan, jossa jäsenvaltioille annetaan toimivalta sallia päätöksen tekeminen pelkästään automaattisen käsittelyn, kuten profiloinnin, perusteella ja johon voitaisiin siis vedota tietosuojalain 31 §:n oikeusperustana. On kuitenkin huomattava, että kyseistä 2 kohtaa ei voida soveltaa, jos unionin tuomioistuin katsoo, että pisteyttäminen ei kuulu 22 artiklan 1 kohdassa säädetyn kiellon piiriin. Kuten nimittäin yleisen tietosuoja-asetuksen 22 artiklan sanamuodosta ja yleisestä rakenteesta selvästi ilmenee, mainitun 2 kohdan soveltaminen edellyttää, että säännöksen 1 kohdassa säädetyt edellytykset täyttyvät. Näin ollen on selvää, että yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohtaa ei voida soveltaa, jos ensimmäiseen kysymykseen vastataan kieltävästi. |
|
64. |
Täydellisyyden nimissä – ja koska ehdotan, että ensimmäiseen kysymykseen vastataan myöntävästi – mielestäni on tutkittava, voidaanko tätä säännöstä soveltaa, jos unionin tuomioistuin katsoo, että luottotietopalvelua tarjoavan yhtiön suorittamaa pisteyttämistä on pidettävä kyseisen 22 artiklan 1 kohdassa tarkoitettuna päätöksenä. Myös tässä tilanteessa on kuitenkin monia syitä epäillä sitä, että yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohtaa voitaisiin käyttää oikeusperustana. |
|
65. |
Ensinnäkin on muistutettava, että yleisen tietosuoja-asetuksen 22 artikla koskee ainoastaan päätöksiä, jotka perustuvat tietojen ”pelkästään” automaattiseen käsittelyyn, kun taas ennakkoratkaisua pyytäneen tuomioistuimen mukaan tietosuojalain 31 §:ssä säädetään erotuksetta säännöistä, joita sovelletaan myös päätöksiin, jotka eivät ole automatisoituja, ja joissa samalla säädetään henkilötietojen käsittelyn sallittavuudesta pistemäärien määrittämisessä. Toisin sanoen tietosuojalain 31 §:n aineellinen soveltamisala on paljon laajempi kuin yleisen tietosuoja-asetuksen 22 artiklan aineellinen soveltamisala. ( 27 ) Näin ollen on syytä epäillä sitä, että yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohtaa voitaisiin käyttää oikeusperustana. |
|
66. |
Toiseksi on huomattava, kuten ennakkoratkaisua pyytänyt tuomioistuin toteaa, että tietosuojalain 31 §:ssä säädetään siitä, miten talouden toimijat voivat käyttää todennäköisyysarvoa, mutta ei siitä, miten luottotietopalveluja tarjoavat yhtiöt voivat määrittää kyseisen arvon, mistä kuitenkin on kyse ensimmäisessä ennakkoratkaisukysymyksessä. Näin voidaan päätellä myös Saksan hallituksen istunnossa toteamasta. Kuten esitin yksityiskohtaisesti mainittua kysymystä koskevassa tarkastelussani, yleisen tietosuoja-asetuksen 22 artiklan 1 kohtaa sovelletaan myös pistemäärän määrittämisvaiheessa eikä vain, kun rahalaitos käyttää sitä, kunhan tietyt edellytykset täyttyvät. ( 28 ) Toisin sanoen tietosuojalain 31 §:ssä näytetään säädettävän tilanteesta, joka eroaa yleisen tietosuoja-asetuksen 22 artiklan aineellisen soveltamisalaan kuuluvasta tilanteesta, mikä ennakkoratkaisua pyytäneen tuomioistuimen on tarkistettava. Edellä esitetyn perusteella katson, että yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohtaa ei voida käyttää oikeusperustana tietosuojalain 31 §:ssä tarkoitetun kaltaisen kansallisen lainsäädäntötoimenpiteen toteuttamiselle. |
2) Yleisen tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdan sovellettavuus
i) Säännöt, joissa jäsenvaltioille annetaan sääntelyvaltaa
|
67. |
Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukaan henkilötietojen käsittely on lainmukaista ainoastaan, jos vähintään yksi kyseisessä säännöksessä säädetyistä edellytyksistä täyttyy. Kuten unionin tuomioistuin on jo katsonut, säännöksessä vahvistetaan tyhjentävä luettelo tilanteista, joissa henkilötietojen käsittelyn voidaan katsoa olevan laillista. ( 29 ) Tästä seuraa, että luottotietopalvelua tarjoavan yhtiön suorittaman pisteyttämisen lainmukaisuus edellyttää, että se kuuluu jonkin mainitussa säännöksessä säädetyn tilanteen soveltamisalaan. |
|
68. |
Pääasiassa kyseessä olevan kaltaisessa tilanteessa on lähtökohtaisesti mahdollista, että henkilötietojen käsittelyyn voidaan soveltaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b, c tai f alakohtaa. Yleisen tietosuoja-asetuksen 6 artiklan 2 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi. On kuitenkin todettava, että tätä säännöstä sovelletaan vain yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohdan noudattamiseksi. Samoin yleisen tietosuoja-asetuksen 6 artiklan 3 kohdassa säädetään, että käsittelyn perustasta on säädettävä rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä, edellyttäen, että kyse on asetuksen 6 artiklan 1 kohdan c ja e alakohdassa tarkoitetuista tilanteista, joissa käsitellään henkilötietoja. |
|
69. |
Tästä seuraa, että jäsenvaltiot voivat ottaa käyttöön yksityiskohtaisempia säännöksiä, kun ”käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi” tai ”yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi”. Näillä edellytyksillä asetetaan tiukat rajat jäsenvaltioille annetulle sääntelyvallalle ja ne ovat siten esteenä sille, että yleisessä tietosuoja-asetuksessa säädettyjä poikkeamisen mahdollistavia sääntöjä käytettäisiin mielivaltaisesti, mikä olisi omiaan estämään henkilötietojen suojaa koskevan lainsäädännön yhdenmukaistamistavoitteen toteutumisen. |
|
70. |
Tässä yhteydessä on lisäksi todettava, että koska osassa näistä säännöistä käytetään yleisen tietosuoja-asetuksen omaa terminologiaa eikä niissä viitata nimenomaisesti jäsenvaltioiden lainsäädäntöön, niissä käytettyjä käsitteitä on tulkittava itsenäisesti ja yhtenäisesti. ( 30 ) Kun jäljempänä tutkin, kuuluuko tietosuojalain 31 §:ssä säädetty jonkin yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa tarkoitetun käsittelyperusteen soveltamisalaan, otan huomioon nämä taustaseikat. |
ii) Henkilötietojen käsittelyn lainmukaisuus
– Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdassa tarkoitettu peruste
|
71. |
Kyseisen säännöksen b alakohdasta on todettava, että sen mukaan tietojen käsittely on lainmukaista jos ja vain siltä osin kuin käsittely on tarpeen ”sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena,” tai ”sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä”. Tässä yhteydessä on todettava, että luottotietopalveluja tarjoavien yhtiöiden palveluja käytetään vain poikkeuksellisesti sopimuksen täyttämisvaiheessa. Tärkein vaihe on sopimuksen tekemistä edeltävä vaihe, jonka aikana yleensä hankitaan tiedot henkilön luottokelpoisuudesta. Tietopyynnön välittäminen luottotietopalveluja tarjoavalle yhtiölle, jotta tämä tutkisi henkilön luottokelpoisuuden, on mielestäni sallittua tämän säännöksen perusteella. ( 31 ) On kuitenkin täsmennettävä, että tämän säännöksen nojalla on sallittua ainoastaan se, että mahdolliset sopimuskumppanit, velkojat ja/tai oikeudellisten palvelujen tarjoajat tekevät luottokelpoisuusselvityksiä, ja siinä säädetään siis ennakkoedellytyksistä, joiden on täytyttävä, jotta luottotietopalveluja tarjoavat yhtiöt voivat kerätä tietoja lainmukaisesti. Minusta vaikuttaa siltä, että säännöstä ei kuitenkaan yksinään voida pitää riittävänä oikeusperustana, jotta luottotietopalvelua tarjoavan yhtiön toiminta olisi yleisesti lainmukaista. ( 32 ) |
|
72. |
Lisäksi on muistutettava, että vaikka yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdassa kodifioidaan peruste henkilötietojen käsittelyn lainmukaisuudelle, siinä ei säädetä asetuksen 6 artiklan 2 ja 3 kohdassa tarkoitetuista tilanteista, joissa jäsenvaltioilla on sääntelyvaltaa. Tästä seuraa, että koska yleisen tietosuoja-asetuksen 6 artiklassa vahvistetaan nämä tilanteet tyhjentävästi, tietosuojalain 31 §:ssä säädetyn kaltaista kansallista säännöstä ei voida säätää yksinomaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan perusteella. |
– Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa tarkoitettu peruste
|
73. |
Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa säädetty henkilötietojen käsittelyperuste koskee tietojen käsittelyä rekisterinpitäjän ”lakisääteisen velvoitteen” noudattamiseksi. Tässä tarkoitetaan valtion säätämiä vaatimuksia. Mainittua säännöstä ei sen sijaan sovelleta velvoitteisiin, joita rekisterinpitäjällä on siviilioikeudellisen sopimuksen, esimerkiksi rahalaitoksen ja luottotietopalvelua tarjoavan yhtiön välisen sopimuksen, perusteella. Rahalaitokset, joiden on kansallisessa lainsäädännössä niille asetettujen velvoitteiden mukaisesti varmistuttava asiakkaidensa luottokelpoisuudesta, voivat kuitenkin tukeutua tähän oikeusperustaan luottokelpoisuuteen liittyvien tietopyyntöjen osalta taatakseen luottotietopalvelua tarjoavalle yhtiölle, että pyynnöt ovat täysin laillisia. Sitä vastoin sitä, että luottotietopalvelua tarjoava yhtiö määrittää pistemäärän, ei voida pitää luottotietopalvelua tarjoavan yhtiön lakisääteisen velvoitteen noudattamiseksi toteutettuna toimenpiteenä, koska tällaisesta velvoitteesta ei ilmeisesti säädetä kansallisessa lainsäädännössä. Näin ollen on katsottava, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan ei voida pätevästi vedota oikeusperustana, jonka nojalla pisteyttäminen olisi lainmukaista tietojen käsittelyä. |
– Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdassa tarkoitettu peruste
|
74. |
Seuraavaksi tulee esiin kysymys siitä, voidaanko yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan vedota tietosuojalain 31 §:n oikeusperustana. Säännökseen voitaisiin vedota tällaisena oikeusperustana, jos tietojen käsittely olisi ”tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi”. Yhtäältä voitaisiin väittää, kuten tietosuojalain 31 §:n lainsäädännöllisestä tavoitteesta, joka ilmenee tämän kansallisen säännöksen otsikosta (”Liiketoimien suojaaminen pisteyttämisen ja luottotietojen avulla”), ja lain esitöistä käy ilmi, ( 33 ) että luottotietopalveluja tarjoavat yhtiöt edistävät maan talouden moitteetonta toimintaa. ( 34 ) |
|
75. |
On nimittäin niin, että koska tällaiset yhtiöt tarjoavat tietoja tiettyjen henkilöiden luottokelpoisuudesta, niiden toiminnalla suojataan kuluttajia, jotka välttyvät ylivelkaantumisriskiltä, ( 35 ) mutta myös yrityksiä, jotka myyvät kuluttajille tavaroita tai myöntävät heille luottoja. Kyseiset yhtiöt varmistavat rahoitusjärjestelmän vakauden estämällä luottojen vastuuttoman myöntämisen lainanottajille, joihin liittyy suuri maksukyvyttömyysriski. ( 36 ) Jos ei olisi luotettavaa luottokelpoisuuden arvioimisjärjestelmää, suuri osa väestöstä ei käytännössä voisi saada luottoa, koska heihin liittyvää riskiä ei voitaisi määrittää, liiketoimien toteuttaminen olisi huomattavasti vaikeampaa tietoyhteiskunnassa eikä petosyrityksiä havaittaisi. Tästä näkökulmasta on helppo yhtyä perusteluihin, joiden perusteella Saksan lainsäätäjän on ilmeisesti säätänyt tietosuojalain 31 §:n. |
|
76. |
Lisäksi on niin, että vaikka yksityisoikeudelliset oikeushenkilöt voivat toimia yleisen edun mukaisesti, on mielestäni ilmeistä, ettei millään oikeutetulla edulla voida perustella tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan soveltamista. Julkisen vallan käyttämisen ja yleisen tietosuoja-asetuksen johdanto-osan 45, 55 ja 56 perustelukappaleen välinen suhde viittaa pikemminkin siihen, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdassa tarkoitetaan ensinnäkin viranomaisia sanan suppeassa merkityksessä samoin kuin oikeushenkilöitä, joilla on annettu hieman julkista valtaa, ja toiseksi yksityisoikeudellisia oikeushenkilöitä, jotka käsittelevät henkilötietoja yleistä etua koskevan tehtävän suorittamiseksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten; kyseiset alat mainitaan nimenomaisesti asetuksen johdanto-osan 45 perustelukappaleessa. Toisin sanoen kyseinen säännös koskee valtion perinteisiä tehtäviä. |
|
77. |
Samoin on todettava, että yleisen tietosuoja-asetuksen johdanto-osan 55 ja 56 perustelukappaleessa viitataan virallisesti tunnustettuihin uskonnollisiin yhdistyksiin ja poliittisiin puolueisiin eli organisaatioihin, jotka unionin lainsäätäjän kriteerien mukaan harjoittavat yleisen edun mukaista toimintaa ja käsittelevät tässä yhteydessä henkilötietoja. Näin ollen on syytä epäillä sitä, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaa voitaisiin soveltaa myös luottotietopalveluja tarjoavien yhtiöiden toimintaan, mukaan lukien pisteyttämiseen. Tällaisella tulkinnalla laajennettaisiin merkittävästi kyseisen säännöksen soveltamisalaa ja sen perusteella olisi erityisen vaikeaa tunnistaa kyseisen poikkeamisen mahdollistavan säännön rajoja. ( 37 ) |
|
78. |
Edellä esitetyn lisäksi tässä yhteydessä on huomattava, että tietosuojalain 31 §:n tarkoituksen on suojata liiketoimia, mutta siinä ei mainita ainuttakaan mainittujen yhtiöiden nimenomaista tehtävää. ( 38 ) Kuten olen tässä ratkaisuehdotuksessa jo todennut – ennakkoratkaisua pyytäneen tuomioistuimen asiaa koskevaa kansallista lainsäädäntöä koskevien toteamusten perusteella –, tietosuojalain 31 §:ssä säädetään siitä, miten talouden toimijat voivat käyttää pistemäärää, mutta ei siitä, miten luottotietopalveluja tarjoavat yhtiöt voivat määrittää sen. ( 39 ) Pääasiassa on kyse ennen kaikkea kyseisen toiminnan lainmukaisuudesta. Edellä esitetyistä syistä katson, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaa ei voida käyttää mainitun säännöksen oikeusperustana. |
– Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitettu peruste
|
79. |
Seuraavaksi on tutkittava, kuuluuko tämä toiminta yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan soveltamisalaan. Unionin tuomioistuimen oikeuskäytännön mukaan ( 40 ) kyseisessä säännöksessä säädetään kolmesta kumulatiivisesta edellytyksestä henkilötietojen käsittelyn lainmukaisuudelle, eli siinä edellytetään ensinnäkin, että käsittely tapahtuu rekisterinpitäjän tai sellaisen kolmannen osapuolen, jolle tiedot välitetään, oikeutetun edun toteuttamiseksi, toiseksi, että henkilötietojen käsittely on tarpeen oikeutetun edun toteuttamiseksi, ja kolmanneksi, että henkilön, jota tietosuoja koskee, edut tai perusoikeudet ja ‑vapaudet eivät syrjäytä tätä etua. |
|
80. |
Siitä, tapahtuuko käsittely oikeutetun edun toteuttamiseksi, muistutan aluksi, että yleisessä tietosuoja-asetuksessa ja oikeuskäytännössä on pidetty oikeutettuina etuina hyvin monenlaisia intressejä, ( 41 ) mutta totean samalla, että yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan d alakohdan mukaan rekisterinpitäjän on ilmoitettava rekisteröidylle käsittelyyn liittyvät oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan. Kuten olen tässä ratkaisuehdotuksessa jo todennut, tietosuojalain 31 §:n lainsäädännöllisenä tavoitteena on varmistaa, että luottotietopalveluja tarjoavien yhtiöiden toiminta on laillista, sillä Saksan lainsäätäjä katsoo, että tällaiset yhtiöt edistävät maan talouden moitteetonta toimintaa. ( 42 ) Koska kyseisellä toiminnalla suojataan eri talouden toimijoita maksukyvyttömyyteen liittyviltä riskeiltä, joilla voi olla vakavia seurauksia rahoitusjärjestelmän vakauden kannalta, tarkastelun tässä vaiheessa voidaan katsoa, että edellä mainitulla kansallisella säännöksellä on taloudellinen tavoite, jota voidaan pitää yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitettuna oikeutettuna etuna. |
|
81. |
Henkilötietojen käsittelyn tarpeellisuutta oikeutetun edun toteuttamiseksi koskevasta edellytyksestä on todettava tämän jälkeen, että unionin tuomioistuimen oikeuskäytännön mukaan henkilötietojen suojaa koskevat poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa. ( 43 ) Käsittelyn ja tavoitellun edun välillä on siis oltava läheinen yhteys, eikä henkilötietojen suojaa paremmin kunnioittavia korvaavia ratkaisuja saa olla, sillä se, että käsittely on ainoastaan hyödyllistä rekisterinpitäjälle, ei riitä. Tältä osin on todettava, että vaikka ennakkoratkaisua pyytänyt tuomioistuin on todennut epäilevänsä sitä, että pisteyttämistoimintaa voitaisiin pitää lainmukaisena yleisen tietosuoja-asetuksen säännösten nojalla, se ei tuo esiin seikkoja, jotka viittaisivat siihen, että on mahdollisesti olemassa henkilötietojen suojaa paremmin kunnioittavia korvaavia ratkaisuja. Kun tiedossani ei ole päinvastaisia seikkoja, katson, että tavoitteiden saavuttamiseksi asianmukaisten keinojen valinnassa on tiettyä liikkumavaraa. |
|
82. |
Lopuksi on todettava yhtäältä rekisterinpitäjän intressien ja toisaalta rekisteröidyn intressien, perusvapauksien ja ‑oikeuksien vertailusta, että käsiteltävässä asiassa asiaan liittyviä eri etuja on punnittu lainsäädännön antamisen yhteydessä. Kun Saksan lainsäätäjä on säätänyt tietosuojalain 31 §:n, se on katsonut, että taloudelliset intressit syrjäyttävät henkilötietojen suojaa koskevan oikeuden. Tällainen lähestymistapa olisi mahdollinen vain, jos yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan nojalla jäsenvaltiot voisivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä kyseisessä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi henkilötietojen käsittelyssä. Säännöksessä ei kuitenkaan säädetä näin, kuten jäljempänä esitän. |
|
83. |
Kuten yleisen tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdan sanamuodosta selvästi ilmenee, yksityiskohtaisempien säännösten voimassa pitäminen tai käyttöön ottaminen on sallittua vain kyseisen artiklan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn osalta. Edellä esitetystä tarkastelusta ilmenee, että tietosuojalain 31 §:ssä ei säädetä mistään sellaisesta tietojen käsittelystä, joka voisi kuulua mainittujen alakohtien soveltamisalaan, joten loogisesti kyseisen säännöksen oikeusperustana ei voida vedota yleisen tietosuoja-asetuksen 6 artiklan 2 tai 3 kohtaan. Jos mainittuja kohtia sovellettaisiin yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitetussa tilanteessa, tällä paitsi rikottaisiin kyseisten kohtien sanamuotoa myös jätettäisiin huomiotta unionin lainsäätäjän tavoite, sellaisena kuin se ilmenee mainittujen 2 ja 3 kohdan syntyhistoriasta. |
|
84. |
Tältä osin muistutan, että direktiivin 95/46/EY ( 44 ) – joka on yleistä tietosuoja-asetusta edeltänyt säädös – 5 artiklassa säädettiin, että jäsenvaltioiden oli ”määriteltävä henkilötietojen käsittelyn laillisuuden edellytykset”. Unionin tuomioistuin on tulkinnut tätä säännöstä ja katsonut, että mikään ei ole esteenä sille, että jäsenvaltiot vahvistavat periaatteellisia ohjeita direktiivin 95/46 7 artiklan f alakohdan, joka vastaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohtaa, nojalla edellytettyä punnitsemista varten niille kyseisen direktiivin 5 artiklassa annetun harkintavallan puitteissa. On kuitenkin todettava, ettei yleisessä tietosuoja-asetuksessa enää anneta tällaista valtaa jäsenvaltioille. Se, että yleisessä tietosuoja-asetuksessa ei ole vastaavaa säännöstä, merkitsee nimittäin sitä, että jäsenvaltiot eivät voi enää vahvistaa kansallisessa lainsäädännössään periaatteellisia ohjeita tarkoituksenaan täsmentää kyseisen asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitettua oikeutettua etua. ( 45 ) |
|
85. |
Yleisen tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdan viittauksella asetuksen IX lukuun, jonka otsikko on ”Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset”, ei laajenneta yleisen tietosuoja-asetuksen 6 artiklan soveltamisalaa. Kyse on pikemminkin viittauksesta säännöksiin, joiden nojalla jäsenvaltiot voivat antaa yksityiskohtaisempia säännöksiä rajatuilla aloilla eli kun käsittely on tarpeen 6 artiklan 1 kohdan c alakohdassa tarkoitetulla tavalla ”lakisääteisen velvoitteen” noudattamiseksi tai kyseisen kohdan e alakohdassa tarkoitetulla tavalla ”yleistä etua koskevan tehtävän” suorittamiseksi tai ”julkisen vallan käyttämiseksi”. ( 46 ) Kuten olen jo edellä todennut, näillä aloilla ei kuitenkaan ole mitään yhteyttä tietosuojalain 31 §:n soveltamisolosuhteisiin. |
|
86. |
Tässä yhteydessä on myös muistutettava, että vaikka komission asetusehdotuksessa annettiin sille toimivalta antaa ”delegoituja säädöksiä, joissa määritellään tarkemmin [6 artiklan] 1 kohdan f alakohdassa tarkoitetut edellytykset eri aloja ja erilaisia tietojenkäsittelytilanteita varten, mukaan lukien lapsen henkilötietojen käsittely”, unionin lainsäätäjä ei hyväksynyt tätä ehdotusta. Kun tarkastellaan säädöstekstin kehitystä, osoittautuu, että jäsenvaltioiden sääntelyvaltaa vähennettiin pidemmälle menevän yhdenmukaistamisen nimissä, jotta voitiin varmistua henkilötietojen suojaa koskevien sääntöjen johdonmukaisesta ja yhdenmukaisesta soveltamisesta, kuten myös yleisen tietosuoja-asetuksen johdanto-osan kolmannesta, yhdeksännestä ja kymmenennestä kappaleessa käy ilmi. ( 47 ) Tämä seikka on otettava huomioon, kun tulkitaan yleisen tietosuoja-asetuksen 6 artiklaa. |
|
87. |
Lisäksi on syytä todeta, että vaikka yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohtaa voitaisiin soveltaa, tietosuojalain 31 §:n kaltaista kansallista säännöstä ei voitaisi pitää unionin oikeuden mukaisena. Muistutan, että unionin tuomioistuin on tulkinnut direktiivin 95/46 7 artiklan f alakohtaa siten, että jäsenvaltio ”ei voi – – [tiettyjen henkilötietoryhmien] osalta vahvistaa lopullisesti, mikä vastakkaisten oikeuksien ja intressien punnitsemisen tulos on, sallimatta muunlaista tulosta tiettyjen konkreettisessa tapauksessa vallitsevien erityisten olosuhteiden perusteella”. ( 48 ) Koska tämän säännöksen sanamuoto on lähes sama kuin sen korvanneen säännöksen eli yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan sanamuoto, tämä tulkinta on mielestäni edelleen pätevä. ( 49 ) Kuten ennakkoratkaisua pyytänyt tuomioistuin esittää, vaikuttaa siltä, että kansallinen lainsäätäjä on pyrkinyt nimenomaan tähän, sillä siitä, että tietosuojalain 31 §:ssä sallitaan pistemäärien käyttö rahoitusalalla, seuraa, että rahoitusalan taloudellisille intresseille annetaan etusija suhteessa henkilötietojen suojaa koskevaan oikeuteen ottamatta kuitenkaan huomioon konkreettisessa tapauksessa vallitsevia erityisolosuhteita. Tällainen lähestymistapa merkitsee yleisen tietosuoja-asetuksen 6 artiklan soveltamisalan laajentamista tavalla, jota ei voida hyväksyä. |
|
88. |
Edellä esitetyn perusteella katson, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohtaan ei voida pätevästi vedota tietosuojalain 31 §:n kaltaisen kansallisen säännöksen säätämisen oikeusperustana. |
– Yleisen tietosuoja-asetuksen 6 artiklan 4 kohdassa tarkoitettu peruste luettuna yhdessä asetuksen 23 artiklan 1 kohdan kanssa
|
89. |
Ennakkoratkaisua pyytänyt tuomioistuin toteaa, että lainsäädäntömenettelyssä, jossa säädettiin tietosuojalain 31 §, sen oikeusperustana vedottiin yleisen tietosuoja-asetuksen 6 artiklan 4 kohtaan yhdessä sen 23 artiklan 1 kohdan kanssa. Kyseisestä oikeusperustasta kuitenkin luovuttiin myöhemmin. Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että näitä säännöksiä ei voida soveltaa nyt käsiteltävässä asiassa. |
|
90. |
Koska unionin tuomioistuimelle ei ole toimitettu tämän yksityiskohtaisempia tietoja, ei ole mahdollista ottaa kantaa siihen, voitaisiinko mainittuja säännöksiä mahdollisesti soveltaa oikeusperustana. Tämä ei mielestäni ole myöskään tarpeen, kun kerran kyseisillä säännöksillä ei ole ollut merkitystä kyseisessä lainsäädäntömenettelyssä, kuten ennakkoratkaisua pyytänyt tuomioistuin toteaa. ( 50 ) |
iii) Välipäätelmä
|
91. |
Olen käsitellyt edellisissä kohdissa sitä, voidaanko yleisen tietosuoja-asetuksen 6 ja 22 artiklaa käyttää tietosuojalain 31 §:n kaltaisen kansallisen säännöksen säätämisen oikeusperustana ja sen oikeutuksena, että sallitaan luottotietopalveluja tarjoavien yhtiöiden liiketoimintaan kuuluva pisteyttäminen. Tarkastelussani olen käsitellyt yksityiskohtaisesti useita syitä, jotka tukevat omaa käsitystäni, jonka mukaan tämä ei ole mahdollista. Lyhyesti sanottuna mielestäni on niin, että koska ei ole poikkeamisen mahdollistavia sääntöjä tai poikkeuksia, joiden nojalla jäsenvaltioilla olisi toimivalta ottaa käyttöön yksityiskohtaisempia sääntöjä tai poiketa kyseisen asetuksen säännöksistä säännelläkseen mainittua toimintaa, ja kun otetaan huomioon, kuinka kattavaan yhdenmukaistamiseen kyseisellä asetuksella – joka SEUT 288 artiklan nojalla on kaikilta osiltaan sitova ja jota sovelletaan suoraan kaikissa jäsenvaltioissa – pyritään, on katsottava, että tällainen kansallinen säännös on ristiriidassa yleisen tietosuoja-asetuksen kanssa. |
|
92. |
Koska unionin tuomioistuimella ei ole SEUT 267 artiklan mukaisessa ennakkoratkaisumenettelyssä toimivaltaa tulkita kansallista oikeutta tai ottaa kantaa siihen, onko se unionin oikeuden mukaista, tässä ratkaisuehdotuksessa esitetyt argumentit on ymmärrettävä yleisen tietosuoja-asetuksen merkityksellisten säännösten tulkintaa koskeviksi ohjeiksi, joiden tarkoituksena on, että ennakkoratkaisua pyytänyt tuomioistuin voi tarvittaessa käyttää tätä toimivaltaa arvioituaan itse tietosuojalain 31 §:ää yleisessä tietosuoja-asetuksessa säädetyn perusteella ja erityisesti ratkaista, voidaanko kansallista lainsäädäntöä tulkita unionin oikeuden vaatimusten mukaisesti. |
|
93. |
Unionin oikeuden ensisijaisuuden periaatteella vahvistetaan unionin oikeuden etusija jäsenvaltioiden oikeuteen nähden. Kyseinen periaate velvoittaa siis kaikki jäsenvaltioiden elimet huolehtimaan unionin eri oikeussääntöjen täyden vaikutuksen toteutumisesta, eikä jäsenvaltioiden oikeudella voida puuttua siihen vaikutukseen, joka näillä oikeussäännöillä katsotaan olevan mainittujen valtioiden alueella. Kyseisen periaatteen mukaan on niin, että jos kansallinen tuomioistuin, jonka tehtävänä on toimivaltansa puitteissa soveltaa unionin oikeuden säännöksiä ja määräyksiä, ei voi tulkita kansallista säännöstöä unionin oikeuden vaatimusten mukaisesti, sillä on velvollisuus varmistaa kyseisten säännösten ja määräysten täysi vaikutus ja jättää tarvittaessa omasta aloitteestaan soveltamatta kaikkia unionin oikeuden kanssa ristiriidassa olevia, myös myöhemmin annettuja kansallisen lainsäädännön säännöksiä ilman, että sen olisi pyydettävä tai odotettava, että tällainen säännös ensin poistetaan lainsäädäntöteitse tai jollakin muulla perustuslain mukaisella keinolla. ( 51 ) |
b) Vastaus toiseen ennakkoratkaisukysymykseen
|
94. |
Vastauksena toiseen ennakkoratkaisukysymykseen katson, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohtaa ja 22 artiklaa on tulkittava siten, etteivät ne ole esteenä profilointia koskevalle kansalliselle lainsäädännölle silloin, kun kyse on muusta kuin asetuksen 22 artiklan 1 kohdassa tarkoitetusta profiloinnista. Tällöin kansallisen lainsäädännön on kuitenkin vastattava kyseisen asetuksen 6 artiklassa säädettyjä edellytyksiä. Sillä on erityisesti oltava asianmukainen oikeusperusta, minkä tarkistaminen kuuluu ennakkoratkaisua pyytäneen tuomioistuimen tehtäviin. |
VI Ratkaisuehdotus
|
95. |
Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Verwaltungsgericht Wiesbadenin esittämiin ennakkoratkaisukysymyksiin seuraavasti:
|
( 1 ) Alkuperäinen kieli: ranska.
( 2 ) EUVL 2016, L 119, s. 1.
( 3 ) BGBl. 2017 I, s. 2097.
( 4 ) BGBl. 2019 I, s. 1626.
( 5 ) Viittaan tässä erityisesti kuluttajille tarkoitetuista kiinteää asunto-omaisuutta koskevista luottosopimuksista ja direktiivien 2008/48/EY ja 2013/36/EU sekä asetuksen (EU) N:o 1093/2010 muuttamisesta 4.2.2014 annetun Euroopan parlamentin ja neuvoston direktiivin 2014/17/EU (EUVL 2014, L 60, s. 34) 18 ja 21 artiklaan ja kulutusluottosopimuksista ja neuvoston direktiivin 87/102/ETY kumoamisesta 23.4.2008 annetun Euroopan parlamentin ja neuvoston direktiivin 2008/48/EY (EUVL 2008, L 133, s. 66) 8 ja 9 artiklaan.
( 6 ) Automatisoiduista yksittäispäätöksistä ja profiloinnista asetuksen (EU) 2016/679 täytäntöön panemiseksi 3.10.2017 annetuista 29 artiklan mukaisen tietosuojatyöryhmän suuntaviivoista ilmenee, että profilointi ja automatisoidut päätökset voivat aiheuttaa henkilöiden oikeuksille ja vapauksille huomattavia riskejä. Profilointi voi erityisesti pitää yllä olemassa olevia stereotypioita ja sosiaalista eriytymistä. Koska profilointi voi heikentää rekisteröityjen vapautta valita esimerkiksi tiettyjä tuotteita tai palveluja, se voi lisäksi aiheuttaa palvelujen ja tavaroiden epäämistä ja perusteetonta syrjintää.
( 7 ) Ks. tuomio 28.4.2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, 57 ja 60 kohta).
( 8 ) Ks. tuomio 28.10.2020, Pegaso ja Sistemi di Sicurezza (C‑521/18, EU:C:2020:867, 26 ja 27 kohta).
( 9 ) Ks. julkisasiamies Richard de la Tourin ratkaisuehdotus Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2022:661, 43 kohta ja sitä seuraavat kohdat).
( 10 ) Ks. tuomio 22.6.2010, Melki ja Abdeli (C‑188/10 ja C‑189/10, EU:C:2010:363, 45 kohta).
( 11 ) Ks. tuomio 12.1.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, 57 kohta).
( 12 ) Ks. säännöksen sanamuoto espanjaksi (”tratamiento automatizado, incluida la elaboración de perfiles”), tanskaksi (”automatisk behandling, herunder profilering”), saksaksi (”einer automatisierten Verarbeitung – einschließlich Profiling”), viroksi (”automatiseeritud töötlusel, sealhulgas profiilianalüüsil”), englanniksi (”automated processing, including profiling”), ranskaksi (”un traitement automatisé, y compris le profilage”) ja puolaksi (”zautomatyzowanym przetwarzaniu, w tym profilowaniu”). Kursivointi tässä.
( 13 ) Ks. vastaavasti Bygrave, L. A., ”Article 22. Automated individual decision-making, including profiling”, teoksessa Kuner, C., Bygrave, L. A. ja Docksey, C. (toim.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, s. 532.
( 14 ) Abel, R. katsoo artikkelissaan ”Automatisierte Entscheidungen im Einzelfall gem. Art. 22 DS-GVO – Anwedungsbereich und Grenzen im nicht-öffentlichen Bereich” (Zeitschrift für Datenschutz, 7/2018, s. 307), että yleisen tietosuoja-asetuksen 22 artiklan 1 kohta koskee päätöksiä, jotka vaikuttavat rekisteröidyn oikeudelliseen tilanteeseen tai haittaavat pitkäkestoisesti hänen taloutensa kehitystä tai hänen henkilökohtaista kehitystään.
( 15 ) Helfrich, M. ja Sydow, G. katsovat teoksessa DS-GVO/BDSG (2. painos, Baden-Baden 2018, 22 artikla, 51 kohta), että ratkaisevaa on selvittää, vaikuttaako kanta siihen, miten rekisteröity voi käyttää oikeuksiaan ja vapauksiaan, ja esimerkiksi havaintojen tai arviointien seuraukset voivat vaikuttaa merkittävästi hänen persoonallisuutensa kehitykseen.
( 16 ) Bernhardt, U., Ruhrman, I., Schuler, K. ja Weichert, T. katsovat artikkelissaan ”Evaluation der Europäischen Datentschutz-Grundverordnung” (18.7.2019 päivätty versio, Netzwerk Datenschutzexpertise, s. 7), että profiloinnissa käytettyihin algoritmeihin liittyy merkittävä syrjinnän vaara ja ne voivat aiheuttaa ennakkoluuloja, mistä syystä kirjoittajat esittävät, että on täsmennettävä, että kaikki täydellinen ja monimutkainen profilointi kuuluu yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa säädetyn kiellon soveltamisalaan.
( 17 ) Ks. vastaavasti Sydow, G., ja Marsch, N., DS-GVO/BDSG, 3. painos, Baden-Baden 2022, tietosuojalain 31 §:n 5 kohta. Kirjoittajat katsovat, että pisteyttäminen voi vaikuttaa rekisteröityihin merkittävästi ja vastaavalla tavalla kuin päätös, jolla on oikeusvaikutuksia.
( 18 ) Ks. säännöksen sanamuoto espanjaksi (”únicamente”), tanskaksi (”alene”), saksaksi (”ausschließlich”), viroksi (”üksnes”), englanniksi (”solely”), ranskaksi (”exclusivement”) ja puolaksi (”wyłącznie”).
( 19 ) Tällainen lähestymistapa vaikuttaa minusta välttämättömältä varsinkin, kun SCHUFA tai HBDI eivät istunnossa kyenneet antamaan selkeää vastausta kysymykseen siitä, määräytyvätkö rahalaitosten päätökset yleensä ratkaisevasti pistemäärien perusteella. SCHUFAn edustaja totesi kuitenkin, että rahalaitokset hyödyntävät luottotietopalveluja tarjoavien yhtiöiden kokemusta ja osaamista luonnollisten henkilöiden luottokelpoisuuden määrittelyssä, minkä voidaan lähtökohtaisesti tulkita viittaavan siihen, että tällaisten yhtiöiden pistemäärillä on merkittävä vaikutus päätöksentekoprosessissa.
( 20 ) Blasek, K. katsoo artikkelissaan ”Auskunfteiwesen und Kredit-Scoring in unruhigem Fahrwasser – Ein Spagat zwischen Individualschutz und Rechtssicherheit” (Zeitschrift für Datenschutz, 8/2022, s. 436 ja 438), että yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan soveltamista ei voida sulkea pois tilanteissa, joissa pankin työntekijät eivät kyseenalaista luottotietopalveluja tarjoavien yhtiöiden automatisoituja arviointeja (profilointeja, pistemääriä). Kirjoittajan mukaan pankit eivät saa luottaa ainoastaan kyseiseen ulkopuoliselta saatuun tietoon vaan niiden on pikemminkin itse tarkistettava riittävällä tavalla tietojen paikkansapitävyys.
( 21 ) Ks. vastaavasti Horstmann, J. ja Dalmer, S., ”Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen”, Zeitschrift für Datenschutz, 5/2022, s. 263.
( 22 ) Kursivointi tässä.
( 23 ) Kursivointi tässä.
( 24 ) Ks. Zanfir-Fortuna, G., ”Article 15. Right of access by the data subject” teoksessa Kuner, C., Bygrave, L. A. ja Docksey, C. (toim.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, s. 463.
( 25 ) Ks. vastaavasti automatisoiduista yksittäispäätöksistä ja profiloinnista asetuksen (EU) 2016/679 täytäntöön panemiseksi 3.10.2017 annetut 29 artiklan mukaisen tietosuojatyöryhmän suuntaviivat, s. 28 ja 30.
( 26 ) Ks. ”Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und ‑Umsetzungsgesetz EU – DSAnpUG-EU)”, Bundesrat – Drucksache 110/17, 2.2.2017, s. 101 ja 102; Abel, R., artikkelissaan ”Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht” (Zeitschrift für Datenschutz, 3/2018, s. 105), arvostelee lakiesitystä, jossa ei mainita poikkeamisen mahdollistavaa sääntöä, jonka perusteella tietosuojalain 31 § on annettu, ja epäilee, että kyseinen säännös ei ole unionin oikeuden mukainen.
( 27 ) Ks. vastaavasti Horstmann, J. ja Dalmer, S., ”Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen”, Zeitschrift für Datenschutz, 5/2022, s. 265.
( 28 ) Ks. tämän ratkaisuehdotuksen 44 kohta.
( 29 ) Tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet) (C‑439/19, EU:C:2021:504, 99 kohta).
( 30 ) Tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet) (C‑439/19, EU:C:2021:504, 81 kohta).
( 31 ) Ks. vastaavasti von Lewinski, K. ja Pohl, D., ”Auskunfteien nach der europäischen Datenschutzreform – Brüche und Kontinuitäten der Rechtslage”, Zeitschrift für Datenschutz, 1/2018, s. 19.
( 32 ) Ks. vastaavasti Abel, R., ”Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht”, Zeitschrift für Datenschutz, 3/2018, s. 106.
( 33 ) Ks. ”Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und ‑Umsetzungsgesetz EU – DSAnpUG-EU)”, Bundesrat – Drucksache 110/17, 2.2.2017, s. 101 ja 102. Saksan hallitus vahvisti istunnossa, että tämä on todellakin tietosuojalain 31 §:n lainsäädännöllinen tavoite.
( 34 ) Ks. tältä osin Guggenberger, N. ja Sydow, G., Bundesdatenschutzgesetz, 1. painos, Baden-Baden 2020, 31 §, 2 ja 5 kohta.
( 35 ) Ks. tuomio 27.3.2014, LCL Le Crédit Lyonnais (C‑565/12, EU:C:2014:190, 40 ja 42 kohta), joka koskee direktiivin 2008/48 8 artiklan 1 kohdassa säädettyä luotonantajan velvollisuutta arvioida kuluttajan luottokelpoisuus ennen luottosopimuksen tekemistä; kyseiseen velvollisuuteen voi mahdollisesti sisältyä tietojen hakeminen asianmukaisista tietokannoista. Unionin tuomioistuimen mukaan kyseisellä sopimuksen tekemistä edeltävällä velvollisuudella pyritään suojaamaan kuluttajia ylivelkaantumis- ja maksukyvyttömyysriskeiltä; sillä varmistetaan, että kuluttajat voivat käyttää hyväkseen etujensa korkeatasoista suojaa, ja helpotetaan kulutusluottoja koskevien toimivien sisämarkkinoiden syntymistä.
( 36 ) Ks. tuomio 6.6.2019, Schyns (C‑58/18, EU:C:2019:467, 45 ja 46 kohta), jossa unionin tuomioistuin katsoi, että direktiivin 2014/17 18 artiklan 5 kohdan a alakohdan mukaisen luotonantajan velvollisuuden, joka koskee kuluttajan luottokelpoisuuden varmistamista ennen luoton myöntämistä, tavoitteena on estää markkinatoimijoiden vastuuton käyttäytyminen, joka voisi heikentää rahoitusjärjestelmän perusteita.
( 37 ) Ks. vastaavasti Sydow, G. ja Marsch, N., DS-GVO/BDSG, 3. painos, Baden-Baden 2022, tietosuojalain 31 §:n 6 kohta, ja Abel, R., ”Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht”, Zeitschrift für Datenschutz, 3/2018, s. 105.
( 38 ) Ks. tältä osin Guggenberger, N. ja Sydow, G., Bundesdatenschutzgesetz, 1. painos, Baden-Baden 2020, 31 §:n 5 kohta.
( 39 ) Ks. tämän ratkaisuehdotuksen 66 kohta.
( 40 ) Tuomio 17.6.2021, M.I.C.M. (C‑597/19, EU:C:2021:492, 106 kohta).
( 41 ) Ks. tältä osin julkisasiamies Rantosin ratkaisuehdotus Meta Platforms ym. (Sosiaalisen median yleiset käyttöehdot) (C‑252/21, EU:C:2022:704, 60 kohta).
( 42 ) Ks. tämän ratkaisuehdotuksen 74 kohta.
( 43 ) Ks. tuomio 4.5.2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, 30 kohta) ja tuomio 17.6.2021, M.I.C.M. (C‑597/19, EU:C:2021:492, 110 kohta).
( 44 ) Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi (EYVL 1995, L 281, s. 31).
( 45 ) Ks. vastaavasti Heberlein, H., DS-GVO – Kommentar, München, 2017, 6 artikla, 28 ja 32 kohta.
( 46 ) Ks. vastaavasti em. Heberlein, H., 32 kohta ja Roßnagel, A., teoksessa Simitis, S, Hornung, G., ja Spiecker, I. (toim.), Datenschutzrecht, München, 2019, 6 artikla:n 23 kohta.
( 47 ) Ks. tuomio 22.6.2022, Leistritz (C‑534/20, EU:C:2022:495, 26 kohta).
( 48 ) Ks. tuomio 19.10.2016, Breyer (C‑582/14, EU:C:2016:779, 62 kohta).
( 49 ) Ks. tuomio 1.8.2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 66 kohta), jossa unionin tuomioistuin tulkitsi tiettyjä direktiivin 95/46 ja yleisen tietosuoja-asetuksen säännöksiä yhdenmukaisesti.
( 50 ) Guggenberger, N. ja Sydow, G., teoksessa Bundesdatenschutzgesetz (1. painos, Baden-Baden 2020, 31 §:n 6 kohta) toteavat samoin kuin ennakkoratkaisua pyytänyt tuomioistuinkin, että kyseisillä säännöksillä ei ollut merkitystä tietosuojalain 31 §:n säätämisen oikeusperustan määrittämisen kannalta.
( 51 ) Tuomio 21.6.2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, 293 kohta).