Byla C‑634/21
OQ
prieš
Land Hessen
(Verwaltungsgericht Wiesbaden (Vokietija) prašymas priimti prejudicinį sprendimą)
2023 m. gruodžio 7 d. Teisingumo Teismo (pirmoji kolegija) sprendimas
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 22 straipsnis – Automatizuotas atskiras sprendimas – Komercinę informaciją teikiančios bendrovės – Automatizuotas tikimybės rodiklio, susijusio su asmens pajėgumu ateityje įvykdyti mokėjimo įsipareigojimus, nustatymas (scoring) – Trečiųjų šalių naudojimasis šiuo tikimybės rodikliu“
Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Teisių gynimo būdai – Teisminės teisių gynimo priemonės dėl priežiūros institucijos priimto sprendimo dėl skundo – Teisminė kontrolė – Apimtis – Ribos – Nebuvimas
(Europos Parlamento ir Tarybos reglamento 2016/679 78 straipsnio 1 dalis)
(žr. 34 punktą)
Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Duomenų subjekto teisė reikalauti, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas – Automatizuotas atskiras sprendimas – Sąvoka – Komercinę informaciją teikiančios bendrovės atliekamas automatizuotas tikimybės rodiklio, kuris susijęs su asmens kreditingumu ir kuriuo naudojasi trečiosios šalys, nustatymas – Įtraukimas – Sąlygos
(Europos Parlamento ir Tarybos reglamento 2016/679 71 konstatuojamoji dalis ir 4 straipsnio 4 punktas ir 22 straipsnio 1 dalis)
(žr. 43, 46–50, 60–63, 73 punktus ir rezoliucinę dalį)
Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Duomenų subjekto teisė reikalauti, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas – Automatizuotas atskiras sprendimas – Išimtys – Sprendimo, grindžiamo tik automatizuotu duomenų tvarkymu ir leidžiamu pagal valstybės narės teisę, priėmimas – Pareiga laikytis šiame reglamente numatytų sąlygų ir reikalavimų – Patikrinimas, kurį turi atlikti nacionalinis teismas
(Europos Parlamento ir Tarybos reglamento 2016/679 71 konstatuojamoji dalis, 5, 6 straipsniai ir 22 straipsnio 2–4 dalys)
(žr. 53–55, 64, 67–70 ir 72 punktus)
Santrauka
SCHUFA Holding AG, pagal Vokietijos teisę įsteigta privati bendrovė, savo sutarties partneriams teikė informaciją apie asmenų kreditingumą. Šiuo tikslu, remdamasi tam tikromis duomenų subjekto savybėmis ir taikydama matematinius statistinius metodus, ji kiekvienam duomenų subjektui priskyrė tikimybės rodiklį („score“). Rodiklio nustatymu siekiama numatyti asmens elgesio ateityje, pavyzdžiui, paskolos grąžinimo, tikimybę, remiantis tuo, kad tas asmuo priskiriamas prie grupės kitų asmenų, kuriems būdingi tam tikri panašūs požymiai.
Po to, kai SCHUFA parengė neigiamą informaciją ir perdavė ją kredito įstaigai, ši įstaiga atsisakė OQ suteikti paskolą. OQ paprašė SCHUFA suteikti jai prieigą prie su ja susijusių duomenų ir ištrinti tariamai klaidingus duomenis. Tačiau SCHUFA informavo OQ apie jos tikimybės rodiklį ir bendrai išdėstė jo apskaičiavimo tvarką, o dėl kitų duomenų ji nurodė, jog tai yra komercinė paslaptis.
Tada OQ pateikė skundą dėl SCHUFA HBDI ( 1 ), Vokietijos priežiūros institucijai, o ši jį atmetė motyvuodama tuo, kad SCHUFA veikla atitiko Vokietijos teisės aktus, reglamentuojančius su kreditingumu susijusio tikimybės rodiklio naudojimo tvarką ( 2 ).
Gavęs OQ skundą dėl HBDI sprendimo Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) pateikė Teisingumo Teismui klausimą dėl BDAR ( 3 ) nuostatų, susijusių su duomenų subjekto teise reikalauti, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas ( 4 ), išaiškinimo.
Savo sprendime Teisingumo Teismas pirmą kartą išaiškino BDAR nuostatas, susijusias su jautria sprendimų, grindžiamų tik automatizuotu duomenų tvarkymu, sritimi. Šiomis aplinkybėmis jis priėmė sprendimą dėl klausimo, ar komercinę informaciją teikiančios bendrovės atliekamas automatizuotas tikimybės rodiklio, susijusio su asmens kreditingumu, nustatymas yra automatizuotas atskiras sprendimas, todėl patenka į šių nuostatų taikymo sritį.
Teisingumo Teismo vertinimas
Visų pirma Teisingumo Teismas konstatavo, kad šiuo atveju įvykdytos trys kumuliacinės BDAR nuostatų, kuriose reglamentuojama asmens teisė į tai, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, taikymo sąlygos.
Dėl pirmosios sąlygos, susijusios su sprendimo buvimu, Teisingumo Teismas patikslino, kad sąvoka „sprendimas“ yra plati ir gali apimti asmens kreditingumo apskaičiavimo rezultatą, t. y. tikimybės rodiklį, susijusį su šio asmens pajėgumu ateityje įvykdyti mokėjimo įsipareigojimus.
Dėl antrosios sąlygos, pagal kurią sprendimas turi būti „grindžiamas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą“, Teisingumo Teismo teigimu, neginčijama, kad aptariamos bendrovės veikla atitinka „profiliavimo“ ( 5 ) apibrėžtį, todėl ši sąlyga šioje byloje yra įvykdyta. Be to, prašymą priimti prejudicinį sprendimą pateikęs teismas aiškiai nurodė, kad kalbama apie automatizuotą tikimybės rodiklio, pagrįsto asmens duomenimis, kurie susiję su asmeniu ir jo pajėgumu ateityje grąžinti paskolą, nustatymą.
Dėl trečiosios sąlygos, pagal kurią sprendimas turi sukelti atitinkamam asmeniui „teisinių pasekmių“ arba jam daryti „panašiu būdu didelį“ poveikį, Teisingumo Teismas pažymėjo, kad nagrinėjamu atveju trečiosios šalies, kuriai perduodama informacija apie tikimybės rodiklį, veiksmai „iš esmės“ priklauso nuo šio rodiklio. Iš tiesų dėl nepakankamo tikimybės rodiklio beveik visada atsisakoma suteikti paskolą. Taigi šis tikimybės rodiklis bent jau daro didelį poveikį duomenų subjektui.
Tuo remdamasis Teisingumo Teismas padarė išvadą, kad tuo atveju, kai komercinę informaciją teikiančios bendrovės nustatytas ir bankui pateiktas tikimybės rodiklis turi lemiamą reikšmę suteikiant kreditą, šio rodiklio nustatymas savaime turi būti laikomas sprendimu, dėl kurio duomenų subjektui „kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį“ ( 6 ).
Be to, Teisingumo Teismas pabrėžė, kad toks aiškinimas ir visų pirma plati sąvokos „sprendimas“ taikymo sritis sustiprina BDAR numatytą veiksmingą apsaugą. Priešingai, dėl siauro aiškinimo, pagal kurį minėto tikimybės rodiklio nustatymą reikia laikyti tik parengiamuoju veiksmu ir tik trečiosios šalies priimtas aktas prireikus gali būti laikomas „sprendimu“, atsirastų teisinės apsaugos spraga. Iš tiesų tokiu atveju nustatant šį tikimybės rodiklį nebūtų taikomi BDAR ( 7 ) numatyti konkretūs reikalavimai, nors ši procedūra grindžiama automatizuotu duomenų tvarkymu ir sukelia pasekmių, kurios daro didelį poveikį duomenų subjektui, nes trečiosios šalies, kuriai perduodamas šis tikimybės rodiklis, veiksmai iš esmės priklauso nuo šio rodiklio.
Be to, pirma, duomenų subjektas negalėtų, kreipdamasis į bendrovę, teikiančią komercinę informaciją, pagal kurią nustatomas su juo susijęs tikimybės rodiklis, pasinaudoti teise susipažinti su konkrečia informacija ( 8 ), jeigu ši bendrovė nepriimtų automatizuoto sprendimo. Antra, net darant prielaidą, kad trečiosios šalies priimtam aktui taikomos BDAR nuostatos, kuriose numatyta asmens teisė į tai, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas, ši trečioji šalis negalėtų pateikti šios konkrečios informacijos, nes jos apskritai neturi.
Galiausiai Teisingumo Teismas pažymėjo, kad tai, jog tikimybės rodiklio nustatymui taikomos BDAR nuostatos, kuriose reglamentuojama asmens teisė į tai, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas, lemia, jog toks rodiklio nustatymas yra draudžiamas, nebent taikoma viena iš BDAR nurodytų išimčių ir laikomasi BDAR nustatytų konkrečių reikalavimų.
Be to, bet koks asmens duomenų tvarkymas turi, pirma, atitikti BDAR nustatytus su duomenų tvarkymu susijusius principus ir, antra, atsižvelgiant ypač į duomenų tvarkymo teisėtumo principą, tenkinti vieną iš teisėto tvarkymo sąlygų.
Šiomis aplinkybėmis Teisingumo Teismas teigė, kad prašymą priimti prejudicinį sprendimą pateikęs teismas nurodė išimtį, pagal kurią gali būti leidžiama priimti tik automatizuotu duomenų tvarkymu grindžiamą sprendimą, kai tai numatyta pagal valstybės narės teisę. Šiuo klausimu jis patikslino, kad prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar nacionalinės teisės aktas, kuriame reglamentuojama su kreditingumu susijusio tikimybės rodiklio naudojimo tvarka, gali būti laikomas teisiniu pagrindu, leidžiančiu priimti tokį sprendimą, ir, jei taip, ar šiuo atveju yra įvykdytos su šia išimtimi susijusios sąlygos ir BDAR numatytos sąlygos, susijusios su duomenų tvarkymui taikomais principais.
( 1 ) Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Heseno duomenų apsaugos ir informacijos laisvės priežiūros pareigūnas, Vokietija).
( 2 ) 2017 m. birželio 30 d.Bundesdatenschutzgesetz (Federalinis duomenų apsaugos įstatymas) (BGBl. I, p. 2097) 31 straipsnis.
( 3 ) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas, BDAR) (OL L 119, 2016, p. 1 ir klaidų ištaisymas OL L 127, 2018, p. 2, toliau – BDAR).
( 4 ) BDAR 22 straipsnis.
( 5 ) Kaip tai suprantama pagal BDAR 4 straipsnio 4 punktą.
( 6 ) Kaip tai suprantama pagal BDAR 22 straipsnio 1 dalį.
( 7 ) Numatyti BDAR 22 straipsnio 2–4 dalyse. Iš šių nuostatų matyti, kad draudimui priimti atskirą tik automatizuotu duomenų tvarkymu grindžiamą sprendimą taikomos trys išimtys, kurioms nustatomos papildomos apsaugos priemonės. Taigi toks sprendimas leistinas, kai jis yra būtinas duomenų subjekto ir duomenų valdytojo sutarčiai sudaryti arba ją vykdyti, kai tai leidžiama pagal Sąjungos ar valstybės narės teisę, kuri taikoma duomenų valdytojui, arba kai jis pagrįstas aiškiu duomenų subjekto sutikimu, su sąlyga, kad taikomos tinkamos priemonės duomenų subjekto teisėms, laisvėms ir teisėtiems interesams apsaugoti.
( 8 ) Nurodyta BDAR 15 straipsnio 1 dalies h punkte, pagal kurį automatizuoto sprendimo priėmimo atveju duomenų subjektui suteikiama plati prieigos prie informacijos teisė.