–

OQ, atstovaujamos Rechtsanwalt U. Schmidt,

–

Land Hessen, atstovaujamos Rechtsanwälte M. Kottmann ir G. Ziegenhorn,

–

SCHUFA Holding AG, atstovaujamos G. Thüsing ir Rechtsanwalt U. Wuermeling,

–

Vokietijos vyriausybės, atstovaujamos P.-L. Krüger,

–

Danijos vyriausybės, atstovaujamos V. Pasternak Jørgensen, M. Søndahl Wolff ir Y. Thyregod Kollberg,

–

Portugalijos vyriausybės, atstovaujamos P. Barros da Costa, I. Oliveira, J. Ramos ir C. Vieira Guerra,

–

Suomijos vyriausybės, atstovaujamos M. Pere,

–

Europos Komisijos, atstovaujamos A. Bouchagiar, F. Erlbacher ir H. Kranenborg,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, ir klaidų ištaisymas OL L 127, 2018, p. 2, toliau – BDAR) 6 straipsnio 1 dalies ir 22 straipsnio išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant OQ ir Land Hessen (Heseno federalinė žemė, Vokietija) ginčą dėl Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Heseno duomenų apsaugos ir informacijos laisvės priežiūros pareigūnas, Vokietija) (toliau – HBDI) atsisakymo įpareigoti SCHUFA Holding AG (toliau – SCHUFA) patenkinti OQ prašymą leisti susipažinti su jos asmens duomenimis ir ištrinti tuos duomenis.

3

BDAR 71 konstatuojamojoje dalyje teigiama:

„duomenų subjektas turėtų turėti teisę į tai, kad jam nebūtų taikomas sprendimas, kuriame gali būti numatyta priemonė, kuria vertinami su juo susiję asmeniniai aspektai, kuri grindžiama tik automatizuotu duomenų tvarkymu, ir kuri jo atžvilgiu turi teisinių pasekmių arba jam daro panašų didelį poveikį, tokį kaip automatinio [automatinis] internetinės kredito paraiškos atmetimas ar elektroninio įdarbinimo praktika be žmogaus įsikišimo. Toks duomenų tvarkymas apima „profiliavimą“, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, visų pirma siekiant analizuoti arba numatyti aspektus, susijusius su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu, kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį. Tačiau tokiu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimų priėmimas turėtų būti leidžiamas, kai jis yra aiškiai leidžiamas Sąjungos ar valstybės narės teisėje, kuri taikoma duomenų valdytojui, be kita ko, sukčiavimo ir mokesčių slėpimo stebėsenos ir prevencijos tikslais, laikantis [Europos] Sąjungos institucijų ar nacionalinių priežiūros įstaigų taisyklių, standartų ir rekomendacijų, ir siekiant užtikrinti duomenų valdytojo suteiktos paslaugos saugumą ir patikimumą, arba kai tai būtina sudarant arba vykdant duomenų subjekto ir duomenų valdytojo sutartį, arba tada, kai duomenų subjektas yra davęs aiškų sutikimą. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį, gauti sprendimo, priimto atlikus šį vertinimą, paaiškinimą ir teisę ginčyti tą sprendimą. Tokia priemonė negali būti susijusi su vaiku.

Tam, kad būtų užtikrintas sąžiningas ir skaidrus su duomenų subjektu susijusių duomenų tvarkymas, atsižvelgiant į konkrečias aplinkybes ir kontekstą, kuriame tvarkomi asmens duomenys, duomenų valdytojas profiliavimui turėtų naudoti tinkamas matematines ar statistines procedūras, įgyvendinti technines ir organizacines priemones, tinkamas visų pirma užtikrinti, kad veiksniai, dėl kurių atsiranda asmens duomenų netikslumų, būtų ištaisyti, o klaidų rizika būtų kuo labiau sumažinta, apsaugoti asmens duomenis taip, kad būtų atsižvelgiama į galimus pavojus, kylančius duomenų subjekto interesams ir teisėms, ir užkirsti kelią, inter alia, diskriminaciniam poveikiui fiziniams asmenims dėl rasės ar etninės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinei sąjungai, genetinės arba sveikatos būklės ar seksualinės orientacijos arba duomenų tvarkymui tokiu būdu, dėl kurio atsiranda tokį poveikį turinčios priemonės“.

4

Šio reglamento 4 straipsnyje „Apibrėžtys“ numatyta:

„Šiame reglamente:

<…>

<…>“

5

Minėto reglamento 5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ nustatyta:

1.   Asmens duomenys turi būti:

2.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

6

BDAR 6 straipsnio „Tvarkymo teisėtumas“ 1 ir 3 dalyse numatyta:

„1.   Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

<…>

3.   1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. <…>“

7

Šio reglamento 9 straipsnis „Specialių kategorijų asmens duomenų tvarkymas“ suformuluotas taip:

„1.   Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

2.   1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

<…>

<…>“

8

Minėto reglamento 13 straipsnio „Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto“ 2 dalyje nustatyta:

„Be 1 dalyje nurodytos informacijos, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia toliau nurodytą kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

<…>

9

BDAR 14 straipsnio „Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto“ 2 dalyje nustatyta:

„Be 1 dalyje nurodytos informacijos, duomenų valdytojas pateikia duomenų subjektui toliau nurodytą papildomą informaciją, būtiną tvarkymo sąžiningumui ir skaidrumui duomenų subjekto atžvilgiu užtikrinti:

<…>

10

To paties reglamento 15 straipsnio „Duomenų subjekto teisė susipažinti su duomenimis“ 1 dalyje nurodyta:

„Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

<…>

11

Minėto reglamento 22 straipsnyje „Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą“ numatyta:

„1.   Duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį.

2.   1 dalis netaikoma, jeigu sprendimas:

3.   2 dalies a ir c punktuose nurodytais atvejais duomenų valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos duomenų subjekto teisės bei laisvės ir teisėti interesai, bent teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.

4.   2 dalyje nurodyti sprendimai negrindžiami 9 straipsnio 1 dalyje nurodytais specialių kategorijų asmens duomenimis, nebent taikomi 9 straipsnio 2 dalies a arba g punktai ir yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.“

12

BDAR 78 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją“ 1 dalyje nustatyta:

„Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.“

13

2017 m. birželio 30 d.Bundesdatenschutzgesetz (Federalinis duomenų apsaugos įstatymas; BGBl. I, p. 2097, toliau – BDSG) 31 straipsnis „Ekonominių santykių apsauga teikiant informaciją apie „scoring“ ir mokumą“ suformuluotas taip:

„1)   Naudoti tam tikro fizinio asmens elgesio ateityje tikimybės rodiklį siekiant priimti sprendimą dėl sutartinių santykių su šiuo asmeniu pradėjimo, vykdymo ar nutraukimo („scoring“) leidžiama tik tuo atveju, jei:

2)   Naudoti kreditingumo vertinimo agentūrų apskaičiuotą tikimybės rodiklį, susijusį su fizinio asmens mokumu ir pasiryžimu mokėti, tuo atveju, jei įtraukiama informacija apie skolinius reikalavimus, leidžiama tik tuomet, kai įvykdytos 1 dalyje nustatytos sąlygos ir kai įtraukiami tik skoliniai reikalavimai dėl nepaisant suėjusio termino taip ir neįvykdytos prievolės,

5.   dėl kurių sudaryta sutartis atsižvelgiant į įsiskolinimus gali būti nutraukta iš anksto neįspėjus ir dėl kurių skolininkui iš anksto buvo pranešta, kad šį reikalavimą į savo renkamus duomenis gali įtraukti kreditingumo vertinimo agentūra.

Vertinant duomenų tvarkymo, įskaitant tikimybės rodiklių ir kitų kreditingumui reikšmingų duomenų apskaičiavimą, leistinumą taikomos ir kitos bendrosios duomenų apsaugą reglamentuojančios normos.“

14

SCHUFA yra pagal Vokietijos teisę įsteigta privati bendrovė, savo sutarties partneriams teikianti informaciją apie trečiųjų asmenų, visų pirma vartotojų, kreditingumą. Šiuo tikslu, remdamasi tam tikromis asmens savybėmis ir taikydama matematinius statistinius metodus, ji prognozuoja šio asmens elgesio ateityje, pavyzdžiui, kredito grąžinimo, tikimybę („score“). Tikimybės rodiklio nustatymas („scoring“) grindžiamas prielaida, kad, priskiriant tam tikrą asmenį prie grupės asmenų, kuriems būdingi tam tikri panašūs požymiai ir kurie elgėsi tam tikru būdu, galima prognozuoti, kad šis asmuo elgsis panašiai.

15

Iš prašymo priimti prejudicinį sprendimą matyti, kad trečiasis asmuo atsisakė suteikti OQ paskolą po to, kai dėl jos SCHUFA parengė neigiamą informaciją ir ją perdavė tam trečiajam asmeniui. OQ paprašė SCHUFA pateikti jai informaciją apie užregistruotus asmens duomenis ir ištrinti tariamai klaidingus asmens duomenis.

16

Atsakydama į šį prašymą SCHUFA informavo OQ apie jos kreditingumo balų reitingą ir bendrai išdėstė balų apskaičiavimo tvarką. Tačiau remdamasi komercine paslaptimi ji atsisakė atskleisti atskirus duomenis, į kuriuos atsižvelgiama apskaičiuojant minėtus balus, ir tokių duomenų lyginamąjį svorį. Galiausiai SCHUFA nurodė, kad apsiribojo tik duomenų perdavimu savo sutartiniams partneriams ir kad būtent jie priima pačius sprendimus dėl sutarčių.

17

2018 m. spalio 18 d. pateiktu skundu OQ paprašė HBDI, kompetentingos priežiūros institucijos, įpareigoti SCHUFA patenkinti jos prašymą leisti susipažinti su duomenimis ir ištrinti duomenis.

18

2020 m. birželio 3 d. sprendimu HBDI atmetė minėtą prašymą įpareigoti ir paaiškino, jog nenustatyta, kad SCHUFA nesilaikė BDSG 31 straipsnyje nustatytų reikalavimų, kuriuos ji privalėjo vykdyti savo veikloje.

19

Pagal BDAR 78 straipsnio 1 dalį OQ apskundė tokį sprendimą Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija), prašymą priimti prejudicinį sprendimą pateikusiam teismui.

20

Minėto teismo teigimu, siekiant priimti sprendimą jo nagrinėjamoje byloje, reikia nustatyti, ar tokio tikimybės rodiklio, kaip nagrinėjamas pagrindinėje byloje, nustatymas yra automatizuotas atskiras sprendimas, kaip tai suprantama pagal BDAR 22 straipsnio 1 dalį. Jei atsakymas būtų teigiamas, pagal šio reglamento 22 straipsnio 2 dalies b punktą šios veiklos teisėtumas priklausytų nuo sąlygos, kad toks sprendimas yra leidžiamas pagal Sąjungos teisę arba duomenų valdytojui taikomą valstybės narės teisę.

21

Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla abejonių dėl teiginio, kad BDAR 22 straipsnio 1 dalis nėra taikytina tokių bendrovių, kaip SCHUFA, veiklai. Savo abejones faktiniu požiūriu jis grindžia tokio tikimybės rodiklio, kaip nagrinėjamas pagrindinėje byloje, svarba trečiųjų asmenų, kuriems perduodamas šis tikimybės rodiklis, sprendimų priėmimo praktikai, o teisiniu požiūriu – iš esmės šio 22 straipsnio 1 dalimi siekiamais tikslais ir BDAR įtvirtintomis teisinės apsaugos garantijomis.

22

Konkrečiau kalbant, prašymą priimti prejudicinį sprendimą pateikęs teismas pabrėžia, kad būtent nuo tikimybės rodiklio paprastai priklauso, ar trečiasis asmuo sudarys sutartį su duomenų subjektu ir kaip tą darys. BDAR 22 straipsniu kaip tik ir siekiama apsaugoti asmenis nuo rizikos, susijusios su vien automatizuotu duomenų tvarkymu grindžiamais sprendimais.

23

Vis dėlto, jeigu BDAR 22 straipsnio 1 dalis turėtų būti aiškinama taip, kad esant tokiai situacijai, kaip nagrinėjama pagrindinėje byloje, tik trečiojo asmens dėl duomenų subjekto priimtas sprendimas gali būti pripažintas „automatizuotu atskiru sprendimu“, atsirastų teisinės apsaugos spraga. Pirma, tokia bendrovė, kaip SCHUFA, neprivalo leisti susipažinti su papildoma informacija, į kurią duomenų subjektas turi teisę pagal šio reglamento 15 straipsnio 1 dalies h punktą, nes ši bendrovė nėra ta, kuri priima „automatizuotą sprendimą“, kaip tai suprantama pagal šią nuostatą, taigi ir pagal minėto reglamento 22 straipsnio 1 dalį. Antra, trečiasis asmuo, kuriam buvo pranešta apie tikimybės rodiklį, negalėtų pateikti šios papildomos informacijos, nes jos neturi.

24

Taigi, prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, siekiant išvengti tokios teisinės apsaugos spragos, būtina, kad tokio tikimybės rodiklio, kaip nagrinėjamas pagrindinėje byloje, nustatymas patektų į BDAR 22 straipsnio 1 dalies taikymo sritį.

25

Jeigu būtų pritarta tokiam aiškinimui, tokiu atveju šios veiklos teisėtumas priklausytų nuo to, ar atitinkamos valstybės narės lygmeniu egzistuoja teisinis pagrindas, kaip apibrėžta reglamento 22 straipsnio 2 dalies b punkte. Tačiau šiuo atveju, jei tiesa, kad BDSG 31 straipsnis galėtų būti toks teisinis pagrindas Vokietijoje, kyla rimtų abejonių dėl šios nuostatos suderinamumo su BDAR 22 straipsniu, nes Vokietijos teisės aktų leidėjas reglamentuoja tik tokio tikimybės rodiklio, koks nagrinėjamas pagrindinėje byloje, „naudojimą“, o ne patį šio rodiklio nustatymą.

26

Vis dėlto, jeigu tokio tikimybės rodiklio nustatymas nėra automatizuotas atskiras sprendimas, kaip tai suprantama pagal BDAR 22 straipsnį, šio 22 straipsnio 2 dalies b punkte įtvirtinta leidžiančioji išlyga taip pat nebūtų taikoma su šia veikla susijusioms nacionalinės teisės normoms. Atsižvelgiant į iš esmės baigtinį BDAR pobūdį ir nesant jokios kitos teisės aktų leidybos kompetencijos priimti tokias nacionalinės teisės normas, atrodytų, kad Vokietijos teisės aktų leidėjas, susiedamas tikimybės rodiklio nustatymą su platesnėmis materialinio teisėtumo sąlygomis, patikslina reguliuojamą dalyką, viršydamas BDAR 6 ir 22 straipsniuose nustatytus reikalavimus ir neturėdamas tam jokių reguliavimo įgaliojimų. Jei šis požiūris būtų teisingas, pasikeistų nacionalinės priežiūros institucijos diskrecija – komercinę informaciją teikiančių bendrovių veiklos suderinamumą pastaroji turėtų įvertinti pagal minėto reglamento 6 straipsnį.

27

Šiomis aplinkybėmis Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

28

SCHUFA ginčijo prašymo priimti prejudicinį sprendimą priimtinumą teigdama, pirma, kad prašymą priimti prejudicinį sprendimą pateikęs teismas neturi tikrinti tokios priežiūros institucijos, kaip HBDI, priimto sprendimo dėl skundo turinio, nes BDAR 78 straipsnio 1 dalyje numatyta teisminė teisių gynimo priemonė dėl tokio sprendimo skirta tik patikrinti, ar minėta institucija laikėsi jai pagal šį reglamentą tenkančių pareigų, visų pirma pareigos nagrinėti skundus, turint omenyje, kad ši institucija turi diskreciją nuspręsti, ar ir kaip ji turi imtis veiksmų.

29

Antra, SCHUFA tvirtino, kad prašymą priimti prejudicinį sprendimą pateikęs teismas nenurodė tikslių priežasčių, dėl kurių pateikti klausimai turėtų lemiamą reikšmę sprendimui pagrindinėje byloje priimti. Pagrindinės bylos dalykas – prašymas pateikti informaciją apie konkretų tikimybės rodiklį ir jo ištrynimą. Nagrinėjamu atveju SCHUFA pakankamai laikėsi pareigos informuoti ir jau ištrynė tikimybės rodiklį, kuris yra bylos dalykas.

30

Šiuo klausimu reikia priminti, pirma, kad pagal Teisingumo Teismo suformuotą jurisprudenciją tik bylą nagrinėjantis nacionalinis teismas, atsakingas už sprendimo priėmimą, atsižvelgdamas į konkrečias bylos aplinkybes turi įvertinti tai, ar jo sprendimui priimti būtinas prejudicinis sprendimas, ir Teisingumo Teismui pateikiamų klausimų svarbą. Todėl iš principo Teisingumo Teismas turi priimti sprendimą tuo atveju, kai pateikti klausimai susiję su Sąjungos teisės nuostatos išaiškinimu (2023 m. sausio 12 d. Sprendimo DOBELES HES, C‑702/20 ir C‑17/21, EU:C:2023:1, 46 punktas ir jame nurodyta jurisprudencija).

31

Tuo remiantis reikia daryti išvadą, kad klausimams dėl Sąjungos teisės taikoma svarbos prezumpcija. Teisingumo Teismas gali atsisakyti priimti sprendimą dėl nacionalinio teismo pateikto prejudicinio klausimo, tik jeigu akivaizdu, kad prašomas Sąjungos teisės nuostatos išaiškinimas visiškai nesusijęs su pagrindinėje byloje nagrinėjamo ginčo aplinkybėmis ar dalyku, jeigu problema hipotetinė arba Teisingumo Teismas neturi informacijos apie faktines ir teisines aplinkybes, būtinos tam, kad naudingai atsakytų į jam pateiktus klausimus (2023 m. sausio 12 d. Sprendimo DOBELES HES, C‑702/20 ir C‑17/21, EU:C:2023:1, 47 punktas ir jame nurodyta jurisprudencija).

32

Pirma, dėl nepriimtinumo pagrindo, grindžiamo tariamai ribota teismine kontrole, kuri taikoma priežiūros institucijos priimtiems sprendimams dėl skundo, reikia priminti, kad pagal BDAR 78 straipsnio 1 dalį, nedarant poveikio galimybei imtis kitų administracinių ar neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.

33

Nagrinėjamu atveju HBDI, kaip priežiūros institucijos, priimtas sprendimas yra teisiškai privalomas sprendimas, kaip tai suprantama pagal 78 straipsnio 1 dalį. Išnagrinėjusi jai pateikto skundo pagrįstumą, ši institucija priėmė sprendimą ir nustatė, kad pagrindinėje byloje pareiškėjos ginčijamas asmens duomenų tvarkymas buvo teisėtas.

34

Kiek tai susiję su tokio sprendimo teisminės kontrolės apimtimi nagrinėjant teisių gynimo priemonę, kurios buvo imtasi pagal minėto 78 straipsnio 1 dalį, pakanka pažymėti, kad priežiūros institucijos priimtam sprendimui dėl skundo taikoma išsami teisminė kontrolė (2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo skolos likučio), C‑26/22 ir C‑64/22, EU:C:2023:XXX, rezoliucinės dalies 1 punktas).

35

Taigi SCHUFA nurodytą pirmąjį nepriimtinumo pagrindą reikia atmesti.

36

Antra, iš prašymo priimti prejudicinį sprendimą aiškiai matyti, kad prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas dėl kontrolės kriterijaus, taikytino vertinant pagrindinėje byloje nagrinėjamą asmens duomenų tvarkymą pagal BDAR, nes šis kriterijus priklauso nuo to, ar šio reglamento 22 straipsnio 1 dalis yra taikytina, ar ne.

37

Taigi nėra akivaizdu, kad prašymą priimti prejudicinį sprendimą pateikusio teismo prašomas BDAR išaiškinimas visiškai nesusijęs su pagrindinėje bylos faktais arba kad problema hipotetinė. Be to, Teisingumo Teismas turi faktinės ir teisinės informacijos, būtinos naudingai atsakyti į jam pateiktus klausimus.

38

Vadinasi, SCHUFA nurodytą antrąjį nepriimtinumo pagrindą taip pat reikia atmesti.

39

Šiomis aplinkybėmis reikia pripažinti, kad prašymas priimti prejudicinį sprendimą yra priimtinas.

40

Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 22 straipsnio 1 dalis turi būti aiškinama taip, kad komercinę informaciją teikiančios bendrovės atliekamas automatizuotas tikimybės rodiklio, pagrįsto asmens duomenimis, kurie susiję su asmeniu ir jo pajėgumu ateityje įvykdyti mokėjimo įsipareigojimus, nustatymas yra „automatizuotas atskiras sprendimas“, kaip jis suprantamas pagal šią nuostatą, kai nuo šio tikimybės rodiklio iš esmės priklauso tai, ar trečioji šalis, kuriai pranešama apie minėtą tikimybės rodiklį, pradės, vykdys ar nutrauks sutartinius santykius su šiuo asmeniu.

41

Siekiant atsakyti į šį klausimą, pirmiausia reikia priminti, kad aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos formuluotę, bet ir į kontekstą bei teisės akto, kuriame ji įtvirtinta, tikslus bei paskirtį (žr. 2023 m. birželio 22 d. Sprendimo Pankki S, C‑579/21, EU:C:2023:501, 38 punktą ir jame nurodytą jurisprudenciją).

42

Dėl BDAR 22 straipsnio 1 dalies formuluotės pažymėtina, kad šioje nuostatoje numatyta, jog duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinių pasekmių arba kuris jam panašiu būdu daro didelį poveikį.

43

Taigi šios nuostatos taikymas priklauso nuo trijų kumuliacinių sąlygų, t. y. pirma, turi būti „sprendimas“, antra, šis sprendimas turi būti „grindžiamas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą“, ir, trečia, jis turi turėti „teisinių pasekmių [suinteresuotajam asmeniui]“ arba daryti jam „panašiu būdu didelį poveikį“.

44

Pirma, dėl sąlygos, susijusios su sprendimo buvimu, reikia pažymėti, kad sąvoka „sprendimas“, kaip ji suprantama pagal BDAR 22 straipsnio 1 dalį, šiame reglamente neapibrėžta. Vis dėlto iš pačios šios nuostatos formuluotės matyti, kad ši sąvoka reiškia ne tik aktus, sukeliančius teisinių pasekmių atitinkamam asmeniui, bet ir aktus, kurie panašiu būdu jam daro didelį poveikį.

45

Plačią sąvokos „sprendimas“ taikymo sritį patvirtina BDAR 71 konstatuojamoji dalis, pagal kurią sprendime, kuriame vertinami tam tikri su asmeniu susiję asmeniniai aspektai, dėl kurių tas asmuo turėtų turėti teisę į tai, kad jam nebūtų taikomas tas sprendimas, „gali būti numatyta priemonė“, kuri turi „su tuo asmeniu susijusių teisinių pasekmių“ arba „jam daro panašų didelį poveikį“. Pagal šią konstatuojamąją dalį sąvoka „sprendimas“ apima, pavyzdžiui, automatinį internetu pateiktos kredito paraiškos atmetimą arba įdarbinimo internetu praktiką be žmogaus įsikišimo.

46

Kadangi, kaip pažymėjo generalinis advokatas išvados 38 punkte, sąvoka „sprendimas“, kaip ji suprantama pagal BDAR 22 straipsnio 1 dalį, gali apimti kelis veiksmus, kurie gali įvairiais būdais paveikti duomenų subjektą, ši sąvoka yra pakankamai plati, kad būtų apimtas asmens kreditingumo apskaičiavimo rezultatas, t. y. tikimybės rodiklis, susijęs su šio asmens pajėgumu ateityje įvykdyti mokėjimo įsipareigojimus.

47

Antra, kaip pažymėjo generalinis advokatas išvados 33 punkte, dėl sąlygos, kad sprendimas, kaip jis suprantamas pagal šio 22 straipsnio 1 dalį, turi būti „grindžiamas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą“, neginčijama, kad veikla, kaip antai SCHUFA veikla, atitinka BDAR 4 straipsnio 4 punkte pateiktą sąvokos „profiliavimas“ apibrėžtį, todėl ši sąlyga šioje byloje yra įvykdyta; be to, pirmojo prejudicinio klausimo formuluotėje aiškiai kalbama apie automatizuotą tikimybės rodiklio, pagrįsto asmens duomenimis, kurie susiję su asmeniu ir jo pajėgumu ateityje grąžinti paskolą, nustatymą.

48

Trečia, kiek tai susiję su sąlyga, kad sprendimas turi turėti su atitinkamu asmeniu susijusių „teisinių pasekmių“ arba jam daryti „panašiu būdu didelį“ poveikį, jau iš pirmojo prejudicinio klausimo turinio matyti, kad trečiosios šalies, kuriai perduodama informacija apie tikimybės rodiklį, veiksmai „iš esmės“ priklauso nuo šio rodiklio. Taigi, remiantis prašymą priimti prejudicinį sprendimą pateikusio teismo nustatytomis faktinėmis aplinkybėmis, tuo atveju, kai vartotojas bankui pateikia paraišką suteikti paskolą, dėl nepakankamo tikimybės rodiklio beveik visais atvejais bankas atsisako suteikti prašomą paskolą.

49

Šiomis aplinkybėmis reikia konstatuoti, kad trečioji sąlyga, su kuria siejamas BDAR 22 straipsnio 1 dalies taikymas, taip pat yra įvykdyta, nes toks tikimybės rodiklis, kaip nagrinėjamas pagrindinėje byloje, bent jau daro didelį poveikį duomenų subjektui.

50

Tuo remiantis darytina išvada, kad tokiomis aplinkybėmis, kaip nagrinėjamos pagrindinėje byloje, kai komercinę informaciją teikiančios bendrovės nustatytas ir bankui pateiktas tikimybės rodiklis turi lemiamą reikšmę suteikiant kreditą, šio rodiklio nustatymas savaime turi būti laikomas sprendimu, dėl kurio duomenų subjektui „kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį“, kaip tai suprantama pagal BDAR 22 straipsnio 1 dalį.

51

Tokį aiškinimą patvirtina BDAR 22 straipsnio 1 dalies kontekstas ir šiuo reglamentu siekiami tikslai ir paskirtis.

52

Šiuo klausimu svarbu nurodyti, kad, kaip generalinis advokatas pažymėjo išvados 31 punkte, BDAR 22 straipsnio 1 dalyje duomenų subjektui suteikiama „teisė“ reikalauti, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas. Šioje nuostatoje įtvirtintas principinis draudimas, kurio pažeidimu toks duomenų subjektas neprivalo remtis individualiai.

53

Iš tiesų, kaip matyti iš kartu siejamų BDAR 22 straipsnio 2 dalies ir šio reglamento 71 konstatuojamosios dalies, vien automatizuotu duomenų tvarkymu grindžiamą sprendimą leidžiama priimti tik šio 22 straipsnio 2 dalyje nurodytais atvejais, t. y. kai toks sprendimas yra būtinas duomenų subjekto ir duomenų valdytojo sutarčiai sudaryti arba ją vykdyti (a punktas), kai tai leidžiama pagal Sąjungos arba valstybės narės teisę, kuri taikoma duomenų valdytojui (b punktas), arba kai jis pagrįstas aiškiu duomenų subjekto sutikimu (c punktas).

54

Be to, BDAR 22 straipsnio 2 dalies b punkte ir 3 dalyje numatyta, kad turi būti nustatomos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti. Šio reglamento 22 straipsnio 2 dalies a ir c punktuose nurodytais atvejais duomenų valdytojas įgyvendina bent jau duomenų subjekto teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.

55

Taip pat pagal BDAR 22 straipsnio 4 dalį tik tam tikrais konkrečiais atvejais automatizuoti atskiri sprendimai, kaip apibrėžta tame 22 straipsnyje, gali būti grindžiami šio reglamento 9 straipsnio 1 dalyje nurodytais specialių kategorijų asmens duomenimis.

56

Be to, pirma, tokio automatizuoto sprendimo priėmimo, kaip nurodyto BDAR 22 straipsnio 1 dalyje, atveju duomenų valdytojui pagal šio reglamento 13 straipsnio 2 dalies f punktą ir 14 straipsnio 2 dalies g punktą taikomos papildomos pareigos informuoti. Antra, pagal minėto reglamento 15 straipsnio 1 dalies h punktą duomenų subjektas turi teisę iš duomenų valdytojo gauti, be kita ko, „prasmingą [naudingą] informaciją apie loginį jo [automatizuoto sprendimo priėmimo] pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui“.

57

Šie griežtesni reikalavimai dėl automatizuoto sprendimų priėmimo teisėtumo, taip pat papildomos duomenų valdytojo pareigos informuoti ir su tuo susijusios papildomos duomenų subjekto teisės susipažinti su duomenimis paaiškinami BDAR 22 straipsniu siekiamu tikslu apsaugoti asmenis nuo konkretaus pavojaus jų teisėms ir laisvėms, kurį kelia automatizuotas asmens duomenų tvarkymas, įskaitant profiliavimą.

58

Iš tiesų, kaip matyti iš BDAR 71 konstatuojamosios dalies, toks tvarkymas reiškia tokio tvarkymo metu atliekamą asmeninių aspektų, susijusių su atitinkamu fiziniu asmeniu, vertinimą, visų pirma siekiant analizuoti arba numatyti aspektus, susijusius su jo darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu.

59

Pagal šią konstatuojamąją dalį šis konkretus pavojus gali turėti įtakos duomenų subjekto teisėtiems interesams ir teisėms, visų pirma atsižvelgiant į galimą diskriminacinį poveikį fiziniams asmenims dėl rasinės ar etninės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinei sąjungai, genetinės arba sveikatos būklės ar seksualinės orientacijos. Todėl, remiantis ta pačia konstatuojamąja dalimi, svarbu numatyti tinkamas apsaugos priemones ir užtikrinti sąžiningą ir skaidrų požiūrį į duomenų subjektą, visų pirma taikant tinkamas matematines ar statistines profiliavimo procedūras ir įgyvendinant tinkamas technines ir organizacines priemones, siekiant užtikrinti, kad klaidų rizika būtų kuo labiau sumažinta.

60

Šio sprendimo 42–50 punktuose pateiktas aiškinimas, visų pirma plati sąvokos „sprendimas“, kaip ji suprantama pagal BDAR 22 straipsnio 1 dalį, taikymo sritis, sustiprina šioje nuostatoje numatytą veiksmingą apsaugą.

61

Vis dėlto tokiomis aplinkybėmis, kaip nagrinėjamos pagrindinėje byloje, kai dalyvauja trys subjektai, kiltų pavojus, kad bus apeitas BDAR 22 straipsnis, ir dėl to atsirastų teisinės apsaugos spraga, jeigu būtų pritarta siauram šios nuostatos aiškinimui, pagal kurį minėto tikimybės rodiklio nustatymą reikia laikyti tik parengiamuoju veiksmu ir tik trečiosios šalies priimtas aktas prireikus gali būti laikomas „sprendimu“, kaip tai suprantama pagal šio reglamento 22 straipsnio 1 dalį.

62

Iš tiesų tokiu atveju nustatant tikimybės rodiklį, kaip antai nagrinėjamą pagrindinėje byloje, nebūtų taikomi BDAR 22 straipsnio 2–4 dalyse numatyti konkretūs reikalavimai, nors ši procedūra grindžiama automatizuotu duomenų tvarkymu ir sukelia pasekmių, kurios daro didelį poveikį duomenų subjektui, nes trečiosios šalies, kuriai perduodamas šis tikimybės rodiklis, veiksmai iš esmės priklauso nuo šio rodiklio.

63

Be to, kaip generalinis advokatas nurodė išvados 48 punkte, pirma, duomenų subjektas negalėtų, kreipdamasis į bendrovę, teikiančią komercinę informaciją, kuria nustatomas su juo susijęs tikimybės rodiklis, pasinaudoti teise susipažinti su BDAR 15 straipsnio 1 dalies h punkte nurodyta konkrečia informacija, jeigu ši bendrovė nepriimtų automatizuotų sprendimų. Antra, net darant prielaidą, kad trečiosios šalies priimtam aktui taikoma šio reglamento 22 straipsnio 1 dalis, nes jis atitinka šios nuostatos taikymo sąlygas, ši trečioji šalis negalėtų pateikti šios konkrečios informacijos, nes jos apskritai neturi.

64

Kaip pažymėta šio sprendimo 53–55 punktuose, tai, kad tokio tikimybės rodiklio, kaip nagrinėjamas pagrindinėje byloje, nustatymas patenka į BDAR 22 straipsnio 1 dalies taikymo sritį, lemia, jog toks rodiklio nustatymas yra draudžiamas, nebent taikoma viena iš šio reglamento 22 straipsnio 2 dalyje nurodytų išimčių ir laikomasi minėto reglamento 22 straipsnio 3 ir 4 dalyse nustatytų konkrečių reikalavimų.

65

Konkrečiau kalbant apie BDAR 22 straipsnio 2 dalies b punktą, kurį nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas, iš pačios šios nuostatos formuluotės matyti, kad nacionalinėje teisėje, pagal kurią leidžiama priimti automatizuotą atskirą sprendimą, turi būti numatytos tinkamos priemonės duomenų subjekto teisėms, laisvėms ir teisėtiems interesams apsaugoti.

66

Atsižvelgiant į BDAR 71 konstatuojamąją dalį, tokios priemonės visų pirma turi apimti duomenų valdytojo pareigą naudoti tinkamas matematines ar statistines procedūras, taikyti tinkamas technines ir organizacines priemones siekiant užtikrinti, kad klaidų rizika būtų kuo labiau sumažinta ir kad klaidos būtų ištaisytos, taip pat užtikrinti asmens duomenų apsaugą taip, kad būtų atsižvelgta į pavojų, galintį turėti įtakos duomenų subjekto interesams ir teisėms, ir kad būtų išvengta, be kita ko, diskriminacinio poveikio duomenų subjektui. Be to, šios priemonės apima bent duomenų subjekto teisę reikalauti iš duomenų valdytojo žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti dėl jo priimtą sprendimą.

67

Taip pat reikia pažymėti, kad pagal suformuotą Teisingumo Teismo jurisprudenciją bet koks asmens duomenų tvarkymas turi, pirma, atitikti BDAR 5 straipsnyje nurodytus su duomenų tvarkymu susijusius principus ir, antra, atsižvelgiant ypač į šio straipsnio 1 dalies a punkte numatytą duomenų tvarkymo teisėtumo principą, tenkinti vieną iš šio reglamento 6 straipsnyje išvardytų teisėto tvarkymo sąlygų (2022 m. spalio 20 d. Sprendimo Digi, C‑77/21, EU:C:2022:805, 49 punktas ir jame nurodyta jurisprudencija). Duomenų valdytojas turi sugebėti įrodyti, kad šių principų laikomasi pagal reglamento 5 straipsnio 2 dalyje įtvirtintą atskaitomybės principą (šiuo klausimu žr. 2022 m. spalio 20 d. Sprendimo Digi, C‑77/21, EU:C:2022:805, 24 punktą).

68

Taigi, jeigu remiantis BDAR 22 straipsnio 2 dalies b punktu pagal valstybės narės teisės aktus leidžiama priimti tik automatizuotu duomenų tvarkymu grindžiamą sprendimą, šis tvarkymas turi atitikti ne tik toje nuostatoje ir šio reglamento 22 straipsnio 4 dalyje nustatytas sąlygas, bet ir to paties reglamento 5 ir 6 straipsniuose nustatytus reikalavimus. Todėl pagal BDAR 22 straipsnio 2 dalies b punktą valstybės narės negali priimti teisės aktų, pagal kuriuos profiliavimas leidžiamas pažeidžiant šiuose 5 ir 6 straipsniuose nustatytus reikalavimus, kaip jie išaiškinti Teisingumo Teismo jurisprudencijoje.

69

Konkrečiai kalbant apie BDAR 6 straipsnio 1 dalies a, b ir f punktuose numatytas teisėtumo sąlygas, kurios gali būti taikomos tokiu atveju, koks nagrinėjamas pagrindinėje byloje, pažymėtina, kad valstybės narės neturi teisės numatyti papildomų šių sąlygų taikymo taisyklių, nes pagal šio reglamento 6 straipsnio 3 dalį tokia galimybė apribojama minėto reglamento 6 straipsnio 1 dalies c ir e punktuose nurodytais pagrindais.

70

Be to, kiek tai susiję konkrečiai su BDAR 6 straipsnio 1 dalies f punktu, valstybės narės pagal šio reglamento 22 straipsnio 2 dalies b punktą negali nukrypti nuo reikalavimų, kylančių iš Teisingumo Teismo 2023 m. gruodžio 7 d. Sprendime SCHUFA Holding (Atleidimas nuo skolos likučio) (C‑26/22 ir C‑64/22, EU:C:2023:XXX) suformuotos jurisprudencijos, visų pirma galutinai numatydamos nagrinėjamų teisių ir interesų palyginimo rezultatą (šiuo klausimu žr. 2016 m. spalio 19 d. Sprendimo Breyer, C‑582/14, EU:C:2016:779, 62 punktą).

71

Šiuo atveju prašymą priimti prejudicinį sprendimą pateikęs teismas nurodė, kad tik BDSG 31 punktas galėtų būti nacionalinis teisinis pagrindas, kaip tai suprantama pagal BDAR 22 straipsnio 2 dalies b punktą. Vis dėlto jam kyla rimtų abejonių dėl šio BDGS 31 straipsnio suderinamumo su Sąjungos teise. Darant prielaidą, kad ši nuostata būtų pripažinta nesuderinama su Sąjungos teise, SCHUFA ne tik veiktų neturėdama teisinio pagrindo, bet ir ipso iure pažeistų BDAR 22 straipsnio 1 dalyje nustatytą draudimą.

72

Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar BDSG 31 straipsnis gali būti laikomas teisiniu pagrindu, leidžiančiu pagal BDAR 22 straipsnio 2 dalies b punktą priimti tik automatizuotu duomenų tvarkymu grindžiamą sprendimą. Jeigu tas teismas prieitų prie išvados, kad minėtas 31 straipsnis yra toks teisinis pagrindas, jis dar turi patikrinti, ar nagrinėjamu atveju yra įvykdytos BDAR 22 straipsnio 2 dalies b punkte ir 4 dalyje ir šio reglamento 5 ir 6 straipsniuose nustatytos sąlygos.

73

Atsižvelgiant į visa tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti: BDAR 22 straipsnio 1 dalis turi būti aiškinama taip, kad komercinę informaciją teikiančios bendrovės atliekamas automatizuotas tikimybės rodiklio, pagrįsto asmens duomenimis, kurie susiję su asmeniu ir jo pajėgumu ateityje įvykdyti mokėjimo įsipareigojimus, nustatymas yra „automatizuotas atskiras sprendimas“, kaip jis suprantamas pagal šią nuostatą, kai nuo šio tikimybės rodiklio iš esmės priklauso tai, ar trečioji šalis, kuriai pranešama apie minėtą tikimybės rodiklį, pradės, vykdys ar nutrauks sutartinius santykius su šiuo asmeniu.

74

Atsižvelgiant į atsakymą, pateiktą į pirmąjį klausimą, nereikia atsakyti į antrąjį klausimą.

75

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (pirmoji kolegija) nusprendžia:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 22 straipsnio 1 dalis

turi būti aiškinama taip:

komercinę informaciją teikiančios bendrovės atliekamas automatizuotas tikimybės rodiklio, pagrįsto asmens duomenimis, kurie susiję su asmeniu ir jo pajėgumu ateityje įvykdyti mokėjimo įsipareigojimus, nustatymas yra „automatizuotas atskiras sprendimas“, kaip jis suprantamas pagal šią nuostatą, kai nuo šio tikimybės rodiklio iš esmės priklauso tai, ar trečioji šalis, kuriai pranešama apie minėtą tikimybės rodiklį, pradės, vykdys ar nutrauks sutartinius santykius su šiuo asmeniu.