TEISINGUMO TEISMO (pirmoji kolegija) SPRENDIMAS

2023 m. gruodžio 7 d. ( *1 )

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 5 straipsnio 1 dalies a punktas – „Teisėtumo“ principas – 6 straipsnio 1 dalies pirmos pastraipos f punktas – Būtinybė tvarkyti duomenis siekiant teisėtų duomenų valdytojo arba trečiojo asmens interesų – 17 straipsnio 1 dalies d punktas – Teisė reikalauti ištrinti asmens duomenis, kai jie tvarkomi neteisėtai – 40 straipsnis – Elgesio kodeksai – 78 straipsnio 1 dalis – Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją – Priežiūros institucijos priimtas sprendimas dėl skundo – Šio sprendimo teisminės kontrolės apimtis – Kreditingumo vertinimo bendrovės – Iš viešojo registro gautų duomenų apie asmens atleidimą nuo likusių skolų saugojimas – Saugojimo trukmė“

Sujungtose bylose C‑26/22 ir C‑64/22

dėl Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) 2021 m. gruodžio 23 d. ir 2022 m. sausio 31 d. nutartimis, kurias Teisingumo Teismas gavo 2022 m. sausio 11 d. ir 2022 m. vasario 2 d., pagal SESV 267 straipsnį pateiktų prašymų priimti prejudicinį sprendimą bylose

UF (C‑26/22),

AB (C‑64/22)

prieš

Land Hessen,

dalyvaujant

SCHUFA Holding AG,

TEISINGUMO TEISMAS (pirmoji kolegija),

kurį sudaro kolegijos pirmininkas A. Arabadjiev, teisėjai T. von Danwitz, P. G. Xuereb, A. Kumin (pranešėjas) ir I. Ziemele,

generalinis advokatas P. Pikamäe,

posėdžio sekretorė K. Hötzel, administratorė,

atsižvelgęs į rašytinę proceso dalį ir įvykus 2023 m. sausio 26 d. posėdžiui,

išnagrinėjęs pastabas, pateiktas:

UF ir AB, atstovaujamų Rechtsanwälte R. Rohrmoser ir S. Tintemann,

Land Hessen, atstovaujamos Rechtsanwälte M. Kottmann ir G. Ziegenhorn,

SCHUFA Holding AG, atstovaujamos G. Thüsing ir Rechtsanwalt U. Wuermeling,

Vokietijos vyriausybės, atstovaujamos J. Möller ir P.-L. Krüger,

Portugalijos vyriausybės, atstovaujamos P. Barros da Costa, J. Ramos ir C. Vieira Guerra,

Europos Komisijos, atstovaujamos A. Bouchagiar, F. Erlbacher, H. Kranenborg ir W. Wils,

susipažinęs su 2023 m. kovo 16 d. posėdyje pateikta generalinio advokato išvada,

priima šį

Sprendimą

1

Prašymai priimti prejudicinį sprendimą pateikti dėl Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 7 ir 8 straipsnių ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1 ir klaidų ištaisymas OL L 127, 2018, p. 2; toliau – BDAR) 6 straipsnio 1 dalies pirmos pastraipos f punkto, 17 straipsnio 1 dalies d punkto, 40 straipsnio, 77 straipsnio 1 dalies ir 78 straipsnio 1 dalies išaiškinimo.

2

Šie prašymai pateikti nagrinėjant du ginčus, t. y. UF (byla C‑26/22) ir AB (byla C‑64/22) ginčus su Land Hessen (Heseno federalinė žemė), dėl Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Heseno žemės duomenų apsaugos ir informacijos laisvės priežiūros pareigūnas, toliau – HBDI) atsisakymo įpareigoti SCHUFA Holding AG (toliau – SHUFA) ištrinti jos saugomus duomenis apie UF ir AB atleidimą nuo likusių skolų.

Teisinis pagrindas

Sąjungos teisė

Direktyva 2008/48/EB

3

2008 m. balandžio 23 d. Europos Parlamento ir Tarybos direktyvos 2008/48/EB dėl vartojimo kredito sutarčių ir panaikinančios Tarybos direktyvą 87/102/EEB (OL L 133, 2008, p. 66) 26 ir 28 konstatuojamosiose dalyse nurodyta:

„(26)

<…> Svarbu – visų pirma besiplečiančioje kredito rinkoje, – kad kreditoriai nesiimtų neatsakingo skolinimo veiklos ar neišduotų kredito, prieš tai neįvertinę kreditingumo, ir valstybės narės turėtų užtikrinti reikalingą priežiūrą, kad būtų išvengta tokio elgesio, ir turėtų nustatyti reikalingas priemones nubausti kreditorius, tuo atveju, jei jie tai daro. <…> [U]ž kiekvieno vartotojo kreditingumo patikrinimą turėtų būti atsakingi kreditoriai. <…>

<…>

(28)

Vartotojų kreditingumui įvertinti kreditorius taip pat turėtų atlikti patikrinimą atitinkamose duomenų bazėse; atsižvelgiant į teisines ir faktines aplinkybes, tokie patikrinimai gali būti įvairios apimties. Siekiant išvengti kreditorių konkurencijos iškraipymo, kreditoriams turėtų būti užtikrinta prieiga prie valstybės narės, kurioje jie nėra įsisteigę, privačiųjų arba viešųjų duomenų bazių apie vartotojus, taikant nediskriminuojančias sąlygas, palyginti su tos valstybės narės kreditoriais [su numatytomis tos valstybės narės kreditoriams].“

4

Šios direktyvos 8 straipsnio „Pareiga įvertinti vartotojo kreditingumą“ 1 dalyje numatyta:

„Valstybės narės užtikrina, kad prieš sudarant kredito sutartį kreditorius įvertintų vartotojo kreditingumą atitinkamais atvejais remdamasis iš vartotojo gauta pakankama informacija ir prireikus atlikęs patikrinimą atitinkamoje duomenų bazėje. Valstybės narės, kurių teisės aktuose reikalaujama, kad kreditorius įvertintų vartotojo kreditingumą atlikęs patikrinimą atitinkamoje duomenų bazėje, gali išlaikyti šį reikalavimą.“

Direktyva 2014/17/ES

5

2014 m. vasario 4 d. Europos Parlamento ir Tarybos direktyvos 2014/17/ES dėl vartojimo kredito sutarčių dėl gyvenamosios paskirties nekilnojamojo turto, kuria iš dalies keičiamos direktyvos 2008/48/EB ir 2013/36/ES bei Reglamentas (ES) Nr. 1093/2010 (OL L 60, 2014, p. 34), 55 ir 59 konstatuojamosiose dalyse teigiama:

„(55)

[L]abai svarbu prieš sudarant kredito sutartį įvertinti ir patikrinti vartotojo gebėjimą ir ketinimą išmokėti kreditą. Atliekant tą kreditingumo vertinimą turėtų būti atsižvelgiama į visus būtinus ir reikšmingus veiksnius, kurie galėtų daryti poveikį vartotojo gebėjimui išmokėti kreditą per visą sutarties galiojimo laikotarpį. <…>

<…>

(59)

[N]audingas kreditingumo vertinimo elementas – kreditų duomenų bazės tikrinimas. <…>“

6

Šios direktyvos 18 straipsnio „Pareiga įvertinti vartotojo kreditingumą“ 1 dalyje nustatyta:

„Valstybės narės užtikrina, kad prieš sudarant kredito sutartį kreditorius atliktų išsamų vartotojo kreditingumo vertinimą. Atliekant tą vertinimą tinkamai atsižvelgiama į veiksnius, kurie svarbūs tikrinant, ar vartotojas galės įvykdyti savo įsipareigojimus pagal kredito sutartį.“

7

Minėtos direktyvos 21 straipsnio „Prieiga prie duomenų bazių“ 1 ir 2 dalyse nurodyta:

„1.   Kiekviena valstybė narė visiems visų valstybių narių kreditoriams užtikrina prieigą prie duomenų bazių, naudojamų toje valstybėje narėje vartotojų kreditingumui įvertinti ir tik siekiant stebėti, ar vartotojai vykdo su kreditu susijusius įsipareigojimus kredito sutarties galiojimo laikotarpiu. Tokios prieigos sąlygos turi būti nediskriminuojančios.

2.   1 dalis taikoma ir duomenų bazėms, kurias administruoja privačios kredito įstaigos arba kredito informacijos teikimo įmonės, ir viešiesiems registrams.“

Reglamentas (ES) 2015/848

8

2015 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamento (ES) 2015/848 dėl nemokumo bylų (OL L 141, 2015, p. 19) 76 konstatuojamojoje dalyje nurodyta:

„[S]iekiant pagerinti informacijos teikimą atitinkamiems kreditoriams ir teismams ir užkirsti kelią lygiagrečių nemokumo bylų iškėlimui, reikėtų reikalauti, kad viešai prieinamame elektroniniame registre valstybės narės skelbtų aktualią informaciją apie tarpvalstybines nemokumo bylas. Siekiant sudaryti palankesnes sąlygas kreditoriams, kurių nuolatinė gyvenamoji vieta ar buveinė yra kitose valstybėse narėse, ir kitose valstybėse narėse esantiems teismams gauti tą informaciją, šiuo reglamentu turėtų būti numatytas tokių nemokumo registrų tarpusavio sujungimas Europos e. teisingumo portale. <…>“

9

Šio reglamento 79 straipsnio „Valstybių narių pareigos, susijusios su asmens duomenų tvarkymu nacionaliniuose nemokumo registruose“ 4 ir 5 dalyse numatyta:

„4.   Pagal [1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355)] valstybės narės atsako už duomenų rinkimą ir saugojimą nacionalinėse duomenų bazėse ir už sprendimus, kurie priimami siekiant užtikrinti, kad su tokiais duomenimis būtų galima susipažinti tarpusavyje sujungtame registre, prie kurio prieiga pateikiama Europos e. teisingumo portale.

5.   Teikdamos informaciją, kuri turėtų būti teikiama duomenų subjektams, kad jie galėtų naudotis savo teisėmis, visų pirma teise reikalauti ištrinti duomenis, valstybės narės informuoja duomenų subjektus apie nustatytą laikotarpį, per kurį bus prieinami nemokumo registruose saugomi asmens duomenys.“

BDAR

10

BDAR 10, 11, 47, 50, 98, 141 ir 143 konstatuojamosiose dalyse nurodyta:

„(10)

[S]iekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo [Europos] Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <…>

(11)

[S]iekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti ir išsamiai nustatyti duomenų subjektų teises ir asmens duomenis tvarkančių ir jų tvarkymą nustatančių subjektų prievoles, bet ir valstybėse narėse suteikti lygiaverčius įgaliojimus stebėti ir užtikrinti asmens duomenų apsaugos taisyklių laikymąsi ir nustatyti lygiavertes sankcijas dėl pažeidimų;

<…>

(47)

[T]eisėti duomenų valdytojo, įskaitant duomenų valdytoją, kuriam gali būti atskleisti asmens duomenys, arba trečiosios šalies interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, atsižvelgiant į pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu. Toks teisėtas interesas galėtų būti, pavyzdžiui, kai egzistuoja susijęs ir atitinkamas santykis tarp duomenų subjekto ir duomenų valdytojo, pavyzdžiui, kai duomenų subjektas yra duomenų valdytojo klientas arba dirba duomenų valdytojo tarnyboje. Bet kuriuo atveju reikėtų atidžiai įvertinti, ar esama teisėto intereso, be kita ko, siekiant nustatyti, ar duomenų subjektas gali tuo metu, kai renkami asmens duomenys, arba asmens duomenų rinkimo kontekste tikėtis, kad duomenys gali būti tvarkomi tuo tikslu. Duomenų subjekto interesai ir pagrindinės teisės gali visų pirma būti viršesni už duomenų valdytojo interesus, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tolesnio tvarkymo. <…>

<…>

(50)

[A]smens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. <…> Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų, aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu dėl tolesnio duomenų naudojimo; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams ir tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose.

<…>

(98)

[A]sociacijos ar kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, turėtų būti skatinamos neviršijant šio reglamento nuostatų parengti elgesio kodeksus, kad palengvintų veiksmingą šio reglamento taikymą, atsižvelgiant į tam tikruose sektoriuose atliekamo duomenų tvarkymo ypatumus ir konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius. Tokiuose elgesio kodeksuose visų pirma galėtų būti nustatomos duomenų valdytojų ir duomenų tvarkytojų prievolės, atsižvelgiant į pavojų, kuris tvarkant duomenis gali kilti fizinių asmenų teisėms ir laisvėms;

<…>

(141)

[K]iekvienas duomenų subjektas turėtų turėti teisę pateikti skundą vienai priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo įprastinė gyvenamoji vieta, ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę pagal Chartijos 47 straipsnį, jeigu duomenų subjektas mano, kad jo teisės pagal šį reglamentą yra pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti. Tyrimas gavus skundą turėtų būti vykdomas, atliekant teisminę peržiūrą, tiek, kiek tai yra tikslinga konkrečiu atveju. Priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatą. <…>

<…>

„(143)

<…> [K]iekvienas fizinis ar juridinis asmuo turėtų turėti galimybę kompetentingame nacionaliniame teisme imtis veiksmingų teisminių teisių gynimo priemonių priežiūros institucijos sprendimo, turinčio tam asmeniui teisinių padarinių, atžvilgiu. Toks sprendimas yra susijęs visų pirma su priežiūros institucijos naudojimusi tyrimo įgaliojimais, įgaliojimais imtis taisomųjų veiksmų ir leidimų išdavimo įgaliojimais arba skundų nepriėmimu ar atmetimu. Tačiau ši teisė imtis veiksmingų teisminių teisių gynimo priemonių neapima kitų priežiūros institucijų priemonių, kurios nėra teisiškai privalomos, pavyzdžiui, priežiūros institucijos pateiktų nuomonių ar patarimų. Procesas prieš priežiūros instituciją turėtų būti pradedamas valstybės narės, kurioje priežiūros institucija yra įsisteigusi, teismuose ir turėtų vykti laikantis tos valstybės narės proceso teisės. Tie teismai turėtų turėti visapusišką jurisdikciją, kuri turėtų apimti jurisdikciją nagrinėti visus faktinius ir teisinius klausimus, susijusius su ginču, dėl kurio į juos kreiptasi.

Jeigu priežiūros institucija atmetė skundą arba jo nepriėmė, skundo pateikėjas gali iškelti bylą tos pačios valstybės narės teismuose. Taikant su šio reglamento taikymu susijusias teismines teisių gynimo priemones, nacionaliniai teismai, manantys, kad sprendimui priimti reikia nutarimo šiuo klausimu, gali arba SESV 267 straipsnyje numatytu atveju privalo prašyti Teisingumo Teismo prejudicinio sprendimo dėl Sąjungos teisės, įskaitant šį reglamentą, aiškinimo. <…>“

11

Šio reglamento 5 straipsnis „Su asmens duomenų tvarkymu susiję principai“ suformuluotas taip:

„1.   „Asmens duomenys turi būti:

a)

duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

<…>

c)

adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

<…>

2.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

12

Minėto reglamento 6 straipsnyje „Tvarkymo teisėtumas“ nurodyta:

„1.   Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

<…>

f)

tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

<…>

4.   Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)

visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b)

aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c)

asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 9 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 10 straipsnį;

d)

numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e)

tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.“

13

BDAR 17 straipsnio „Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)“ 1 dalyje numatyta:

„Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

<…>

c)

asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 2 dalį;

d)

asmens duomenys buvo tvarkomi neteisėtai;

<…>“

14

Šio reglamento 21 straipsnio „Teisė nesutikti“ 1 ir 2 dalyse nustatyta:

„1.   Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

2.   Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara.“

15

Minėto reglamento 40 straipsnio „Elgesio kodeksai“ 1, 2 ir 5 dalyse nurodyta:

„1.   Valstybės narės, priežiūros institucijos, Valdyba ir [Europos] Komisija skatina parengti elgesio kodeksus, kuriais būtų siekiama padėti tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus ir į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.

2.   Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali parengti elgesio kodeksus arba iš dalies pakeisti ar išplėsti tokius kodeksus siekdamos nustatyti, kaip turi būti taikomas šis reglamentas, atsižvelgiant į:

a)

sąžiningą ir skaidrų duomenų tvarkymą;

b)

teisėtus interesus, kuriais konkrečiomis aplinkybėmis vadovaujasi duomenų valdytojai;

c)

asmens duomenų rinkimą;

<…>

5.   Šio straipsnio 2 dalyje nurodytos asociacijos ir kitos įstaigos, ketinančios parengti elgesio kodeksą arba iš dalies pakeisti ar išplėsti galiojantį kodeksą, pateikia kodekso projektą, pakeitimą ar išplėtimą priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį. Priežiūros institucija pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, ir patvirtina tokį kodekso projektą, pakeitimą ar išplėtimą, jei nustato, kad jame numatytos pakankamos tinkamos apsaugos priemonės.“

16

BDAR 51 straipsnio „Priežiūros institucija“ 1 dalyje numatyta:

„Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje (toliau – priežiūros institucija).“

17

Šio reglamento 52 straipsnio „Nepriklausomumas“ 1, 2 ir 4 dalyse nustatyta:

„1.   Atlikdama savo užduotis pagal šį reglamentą ir naudodamasi savo įgaliojimais, kiekviena priežiūros institucija veikia visiškai nepriklausomai.

2.   Kiekvienos priežiūros institucijos narys arba nariai, atlikdami savo užduotis ir naudodamiesi savo įgaliojimais pagal šį reglamentą, nepatiria nei tiesioginės, nei netiesioginės išorės įtakos ir neprašo bei nepriima jokių nurodymų.

<…>

4.   Kiekviena valstybė narė užtikrina, kad kiekvienai priežiūros institucijai būtų suteikti žmogiškieji, techniniai ir finansiniai ištekliai, patalpos ir infrastruktūra, kurie yra būtini, kad ji veiksmingai atliktų savo užduotis ir naudotųsi savo įgaliojimais, įskaitant užduotis ir įgaliojimus, vykdytinus savitarpio pagalbos srityje, bendradarbiaujant ir dalyvaujant Valdybos veikloje.“

18

Minėto reglamento 57 straipsnio „Užduotys“ 1 dalyje nurodyta:

„Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:

a)

stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;

<…>

f)

nagrinėja skundus, kuriuos pagal 80 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie skundo tyrimo pažangą ir rezultatus, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

<…>“

19

BDAR 58 straipsnio „Įgaliojimai“ 1 dalyje išvardyta, kokius tyrimo įgaliojimus turi kiekviena priežiūros institucija, o 2 dalyje – taisomieji veiksmai, kurių ji gali imtis.

20

Šio reglamento 77 straipsnyje „Teisė pateikti skundą priežiūros institucijai“ nurodyta:

„1.   Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.

2.   Priežiūros institucija, kuriai pateiktas skundas, informuoja skundo pateikėją apie skundo nagrinėjimo pažangą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 78 straipsnį.“

21

Minėto reglamento 78 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją“ 1 ir 2 dalyse nustatyta:

„1.   Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.

2.   Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu priežiūros institucija, kuri yra kompetentinga pagal 55 straipsnį ir 56 straipsnius, skundo nenagrinėja arba per tris mėnesius nepraneša duomenų subjektui apie pagal 77 straipsnį pateikto skundo nagrinėjimo pažangą arba rezultatus.“

22

BDAR 79 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją“ 1 dalyje numatyta:

„Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.“

Vokietijos teisė

23

Pagrindinės bylos aplinkybėms taikytinos redakcijos 1994 m. spalio 5 d.Insolvenzordnung (Nemokumo įstatymas; BGBl., 1994 I, p. 2866) 9 straipsnio 1 dalyje nustatyta:

„Vieši pranešimai skelbiami centrinėje ir visas federalines žemes apimančioje interneto svetainėje; gali būti skelbiamos ir pranešimų ištraukos. Skelbime būtina tiksliai nurodyti skolininką, be kita ko, jo adresą ir verslo šaką. Informacija laikoma paskelbta, kai po paskelbimo praeina dar dvi dienos.“

24

2002 m. vasario 12 d.Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (Nutarimas dėl viešo informacijos paskelbimo internete nemokumo bylose; BGBl. I, p. 677; toliau – InsoBekV) 3 straipsnio 1 ir 2 dalyse nurodyta:

„(1)   Elektroninėje informacinėje ir pranešimų sistemoje paskelbti nemokumo bylos duomenys, įskaitant bylos iškėlimo procedūrą, ištrinami ne vėliau nei praėjus šešiems mėnesiams po nemokumo bylos nutraukimo arba sustabdymo įsiteisėjimo. Jeigu byla neiškeliama, terminas pradedamas skaičiuoti nuo paskelbtų apsaugos priemonių panaikinimo dienos.

(2)   1 dalies pirmas sakinys taikomas pranešimams, skelbiamiems per atleidimo nuo likusių skolų procedūrą, įskaitant Nemokumo įstatymo 289 straipsnyje numatytą nutartį, su sąlyga, kad terminas pradedamas skaičiuoti nuo sprendimo dėl atleidimo nuo likusių skolų įsiteisėjimo.“

Pagrindinės bylos ir prejudiciniai klausimai

25

2020 m. gruodžio 17 d. ir 2021 m. kovo 23 d. teismo nutartimis, priimtomis nagrinėjant nemokumo bylas, UF ir AB buvo anksčiau laiko atleisti nuo likusių skolų. Vadovaujantis Insolvenzordnung 9 straipsnio 1 dalimi ir InsoBekV 3 straipsnio 1 ir 2 dalimis, įrašas apie šias internete oficialiai paskelbtas nutartis buvo ištrintas praėjus šešiems mėnesiams nuo jų priėmimo.

26

SCHUFA yra privati kreditingumo vertinimo bendrovė, savo duomenų bazėje registruojanti ir saugojanti viešuosiuose registruose paskelbtą informaciją, įskaitant informaciją apie atleidimą nuo likusių skolų. Šią informaciją ji ištrina praėjus trejiems metams nuo jos įregistravimo, vadovaudamasi elgesio kodeksu, kurį Vokietijoje parengė kreditingumo vertinimo bendroves vienijanti asociacija, o patvirtino kompetentinga priežiūros institucija.

27

UF ir AB kreipėsi į SCHUFA, prašydami ištrinti įrašus apie nutarimus dėl jų atleidimo nuo likusių skolų. Ši bendrovė jų prašymų netenkino, paaiškinusi, kad veiklą vykdo laikydamasi BDAR, o InsoBekV 3 straipsnio 1 dalyje dėl ištrynimo numatytas šešių mėnesių terminas jai netaikomas.

28

Tuomet UF ir AB pateikė skundus HBDI, kaip kompetentingai priežiūros institucijai.

29

2021 m. kovo 1 d. ir 2021 m. liepos 9 d. priimtuose sprendimuose HBDI laikėsi nuomonės, kad SCHUFA duomenis tvarkė teisėtai.

30

UF ir AB atskirai apskundė HBDI sprendimus prašymą priimti prejudicinį sprendimą pateikusiam teismui – Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija). Grįsdami skundus jie teigė, kad HBDI pagal savo užduotis ir įgaliojimus turėjo imtis priemonių prieš SCHUFA, kad ją įpareigotų ištrinti su jais susijusius įrašus.

31

Atsiliepime į skundą HBDI reikalavo skundus atmesti.

32

Pirmiausia HBDI teigė, kad BDAR 77 straipsnio 1 dalyje numatyta teisė pateikti skundą yra tiesiog peticijos teisė. Todėl ribota teisminė kontrolė apima tik patikrinimą, ar priežiūros institucija išnagrinėjo skundą ir jo pareiškėją informavo apie nagrinėjimo pažangą ir baigtį. Savo ruožtu teismui nepriklauso tikrinti, ar sprendimas dėl skundo yra teisingas iš esmės.

33

Be to, HBDI pabrėžė, kad duomenys, prie kurių prieigą turi kreditingumo vertinimo bendrovės, gali būti saugomi tol, kol to reikia siekiant tikslų, kuriais jie buvo saugojami. Kadangi nacionalinės teisės aktų leidėjas nereglamentavo šio klausimo, priežiūros institucijos patvirtino kreditingumo vertinimo bendrovių asociacijos parengtus elgesio kodeksus, kuriuose numatyta, kad šie duomenys turi būti ištrinti praėjus lygiai trejiems metams nuo jų įrašymo į bylą.

34

Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas mano, pirma, kad reikia išsiaiškinti sprendimo, kurį priežiūros institucija priima dėl skundo, pateikto pagal BDAR 77 straipsnio 1 dalį, teisinį pobūdį.

35

Pirmiausia jis abejoja dėl HBDI argumentų, nes dėl jų nukenčia BDAR 78 straipsnio 1 dalyje numatytų teisminių teisių gynimo priemonių veiksmingumas. Be to, atsižvelgiant į šio reglamento tikslą įgyvendinant Chartijos 7 ir 8 straipsnius užtikrinti veiksmingą fizinių asmenų pagrindinių laisvių ir teisių apsaugą, jo 77 ir 78 straipsniai negali būti aiškinami siaurai.

36

Nacionalinis teismas pasisako už tokį aiškinimą, pagal kurį priežiūros institucijos iš esmės priimtam sprendimui turi būti taikoma visapusiška teisminė kontrolė. Tačiau ši institucija turi ir vertinimo laisvę, ir diskreciją ir gali būti įpareigota imtis veiksmų tik tada, kai nėra teisėtų alternatyvų.

37

Antra, prašymą priimti prejudicinį sprendimą pateikusiam teismui dviem aspektais kyla klausimas dėl to, ar kreditingumo vertinimo bendrovės teisėtai saugo viešuosiuose registruose, pavyzdžiui, nemokumo registre, įrašytus duomenis apie asmenų nemokumą.

38

Pirmiausia kyla abejonių dėl to, ar tokia privati bendrovė, kaip SCHUFA, savo duomenų bazėse teisėtai saugo iš viešųjų registrų gautus duomenis.

39

Šie duomenys saugomi be konkretaus pagrindo tik tam, jeigu šių bendrovių kontrahentai paprašytų suteikti tokią informaciją, taigi galiausiai jie saugomi kaip atsarginiai duomenys visų pirma tais atvejais, kai viešajame registre jie jau yra ištrinti, nes pasibaigė saugojimo terminas.

40

Be to, duomenų saugojimo operacija leidžiama tik tuomet, kai įvykdyta viena iš BDAR 6 straipsnio 1 dalies sąlygų. Nagrinėjamu atveju tai gali būti tik BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkto sąlyga. Abejotina, ar tokia kreditingumo vertinimo bendrovė kaip SCHUFA siekia teisėtų interesų, kaip tai suprantama pagal šią nuostatą.

41

Galiausiai, SCHUFA yra tik viena iš kreditingumo vertinimo bendrovių, taigi Vokietijoje duomenys tokiu būdu saugomi daugine forma, o tai reikštų plataus masto Chartijos 7 straipsnyje įtvirtintos pagrindinės teisės suvaržymą.

42

Antra, net suponuojant, kad privačios bendrovės teisėtai saugo iš viešųjų registrų gautus duomenis, kyla klausimas dėl galimos tokio saugojimo trukmės.

43

Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad iš privačių bendrovių reikėtų reikalauti laikytis InsoBekV 3 straipsnyje numatyto šešių mėnesių termino, taikomo nutarčių dėl atleidimo nuo likusių skolų saugojimui nemokumo registre. Todėl duomenys, kuriuos privaloma ištrinti iš viešojo registro, tuo pat metu turėtų būti ištrinti ir visose juos saugojusiose privačiose kreditingumo vertinimo bendrovėse.

44

Beje, kyla klausimas, ar reikia atsižvelgti į pagal BDAR 40 straipsnį patvirtintą elgesio kodeksą, kuriame numatytas trejų metų terminas įrašams dėl atleidimo nuo likusių skolų ištrinti, kai atliekamas palyginimas, būtinas vertinant veiksnius pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą.

45

Šiomis aplinkybėmis Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1.

Ar [BDAR] 77 straipsnio 1 dalį, siejamą su 78 straipsnio 1 dalimi, reikia suprasti taip, kad priežiūros institucijos išvada, kurią ji praneša duomenų subjektui,

yra sprendimo dėl peticijos pobūdžio? Tai reikštų, kad priežiūros institucijos sprendimo dėl skundo teisminė kontrolė pagal BDAR 78 straipsnio 1 dalį iš principo apsiriboja patikrinimu, ar institucija skundą išnagrinėjo, tinkamai ištyrė skundo dalyką ir pranešė skundo pateikėjui patikrinimo išvadą,

ar

laikytina institucijos sprendimu iš esmės? Tai reikštų, kad priežiūros institucijos sprendimo dėl skundo teisminė kontrolė pagal BDAR 78 straipsnio 1 dalį lemia tai, jog teismas turi peržiūrėti visą sprendimo iš esmės turinį, konkrečiu atveju – pavyzdžiui, kai diskrecija sumažėja iki nulio, – teismas priežiūros instituciją gali taip pat įpareigoti imtis konkrečios priemonės, kaip tai suprantama pagal BDAR 58 straipsnį.

2.

Ar duomenų saugojimas privačioje kreditingumo vertinimo bendrovėje, kurioje asmens duomenys iš tokių viešųjų registrų, kaip „nacionalinės duomenų bazės“, kaip jos suprantamos pagal [Reglamento 2015/848] 79 straipsnio 4 ir 5 dalis, saugomi be konkretaus pagrindo tam, kad gavus užklausą būtų galima suteikti informaciją, yra suderinamas su [Chartijos] 7 ir 8 straipsniais?

3.

a)

Ar privačios lygiagrečios duomenų bazės (visų pirma kreditingumo vertinimo bendrovių duomenų bazės), kurios yra sukuriamos greta valstybinių duomenų bazių ir kuriose duomenys iš valstybinių duomenų bazių (nagrinėjamu atveju – skelbimai apie nemokumą) saugomi ilgiau, nei nustatyta Reglamente 2015/848 ir nacionalinėje teisėje, yra iš esmės leidžiamos?

b)

Jeigu į trečiojo klausimo a punktą būtų atsakyta teigiamai, ar teisė būti pamirštam pagal BDAR 17 straipsnio 1 dalies d punktą reiškia, kad šiuos duomenis privaloma ištrinti, kai pasibaigia tvarkymo viešajame registre terminas?

4.

Tiek, kiek BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktas laikytinas vieninteliu teisiniu pagrindu, kuriuo remiantis duomenys, kurie taip pat saugomi viešuosiuose registruose, yra saugomi privačiose kreditingumo vertinimo bendrovėse, ar kreditingumo vertinimo bendrovė turi teisėtą interesą jau tuomet, kai be konkretaus pagrindo perima duomenis iš viešojo registro tam, kad gavusi užklausą galėtų juos pateikti?

5.

Ar priežiūros institucijų pagal BDAR 40 straipsnį patvirtintuose elgesio kodeksuose, kuriuose numatyti patikrinimo ir ištrynimo terminai, ilgesni nei saugojimo viešuosiuose registruose terminai, leidžiama numatyti, kad nereikia atlikti BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkte nustatyto palyginimo?“

46

2022 m. vasario 11 d. Teisingumo Teismo pirmininko sprendimu bylos C‑26/22 ir C‑64/22 buvo sujungtos, kad būtų bendrai vykdomos rašytinė ir žodinė proceso dalys ir priimtas sprendimas.

Dėl prejudicinių klausimų

Dėl pirmojo klausimo

47

Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia sužinoti, ar BDAR 78 straipsnio 1 dalis turi būti aiškinama taip, kad priežiūros institucijos sprendimo dėl skundo teisminė kontrolė apsiriboja patikrinimu, ar ši institucija išnagrinėjo skundą, tinkamai ištyrė skundo dalyką ir pranešė skundo pareiškėjui patikrinimo išvadą, ar vis dėlto tokiam sprendimui turi būti taikoma visapusiška teisminė kontrolė, apimanti bylą nagrinėjančio teismo įgaliojimą įpareigoti priežiūros instituciją imtis konkrečių priemonių.

48

Siekiant atsakyti į šį klausimą, pirmiausia reikia priminti, kad aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos tekstą, bet ir į kontekstą ir teisės akto, kuriame ji įtvirtinta, tikslus bei paskirtį (2023 m. birželio 22 d. Sprendimo Pankki S, C‑579/21,EU:C:2023:501, 38 punktas).

49

BDAR 78 straipsnio 1 dalies formuluotėje numatyta, kad, nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.

50

Šiuo aspektu iš pradžių reikėtų pažymėti, kad nagrinėjamu atveju HBDI priimtos nutartys yra teisiškai privalomi sprendimai, kaip tai suprantama pagal 78 straipsnio 1 dalį. Išnagrinėjusi gautų skundų pagrįstumą, ši institucija konstatavo, kad pareiškėjų pagrindinėse bylose ginčytas asmens duomenų tvarkymas BDAR požiūriu buvo teisėtas. Be to, šių nutarčių teisinį privalomumą patvirtina šio reglamento 143 konstatuojamoji dalis, pagal kurią priežiūros institucijos sprendimas atmesti skundą arba jo nepriimti yra sprendimas, sukeliantis teisinių padarinių skundą pateikusiam asmeniui.

51

Taip pat pažymėtina, kad iš šios nuostatos, siejamos su šio reglamento 141 konstatuojamąja dalimi, aiškiai matyti, kad kiekvienas duomenų subjektas turi teisę imtis „veiksmingų“ teisminių teisių gynimo priemonių, kaip numatyta Chartijos 47 straipsnyje.

52

Teisingumo Teismas jau yra nusprendęs, kad iš BDAR 78 straipsnio 1 dalies, siejamos su jo 143 konstatuojamąja dalimi, matyti, kad teismai, nagrinėjantys skundą dėl priežiūros institucijos sprendimo, turėtų turėti visapusišką jurisdikciją, apimančią jurisdikciją nagrinėti visus faktinius ir teisinius klausimus, susijusius su ginču, dėl kurio į juos kreiptasi (2023 m. sausio 12 d. Sprendimo Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 41 punktas).

53

Taigi BDAR 78 straipsnio 1 dalis negali būti aiškinama taip, kad priežiūros institucijos sprendimo dėl skundo teisminė kontrolė apsiriboja patikrinimu, ar institucija išnagrinėjo skundą, tinkamai ištyrė skundo dalyką ir pranešė skundo pareiškėjui patikrinimo išvadą. Priešingai, tam, kad teisminė teisių gynimo priemonė būtų „veiksminga“, kaip reikalaujama pagal šią nuostatą, tokiam sprendimui turi būti taikoma visapusiška teisminė kontrolė.

54

Tokį aiškinimą patvirtina BDAR 78 straipsnio 1 dalies kontekstas ir šiuo reglamentu siekiami tikslai bei jo paskirtis.

55

Dėl šios nuostatos konteksto pažymėtina, kad pagal Chartijos 8 straipsnio 3 dalį, BDAR 51 straipsnio 1 dalį ir 57 straipsnio 1 dalies a punktą nacionalinės priežiūros institucijos yra atsakingos už Sąjungos taisyklių, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis, laikymosi kontrolę (2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 107 punktas).

56

Visų pirma pagal BDAR 57 straipsnio 1 dalies f punktą kiekviena priežiūros institucija savo teritorijoje privalo nagrinėti skundus, kuriuos pagal šio reglamento 77 straipsnio 1 dalį turi teisę pateikti bet kuris asmuo, manantis, kad tvarkant jo asmens duomenis buvo pažeistas minėtas reglamentas, ir tinkamu mastu tirti šių skundų dalyką. Priežiūros institucija turi ypač kruopščiai, kaip to reikalaujama, išnagrinėti tokį skundą (2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 109 punktas).

57

Tam, kad būtų išnagrinėti pateikti skundai, BDAR 58 straipsnio 1 dalyje kiekvienai priežiūros institucijai suteikti platūs tyrimo įgaliojimai. Kai atlikusi tyrimą tokia institucija nustato šio reglamento nuostatų pažeidimą, ji privalo tinkamai reaguoti, kad ištaisytų nustatytą nepakankamumą. Šiuo tikslu minėto reglamento 58 straipsnio 2 dalyje išvardyti įvairūs taisomieji veiksmai, kurių gali imtis priežiūros institucija (šiuo klausimu žr. 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 111 punktą).

58

Darytina išvada, kad, kaip pažymėjo generalinis advokatas išvados 42 punkte, skundų nagrinėjimo procedūra, kuri nėra peticijos nagrinėjimo procedūra, sukurta kaip mechanizmas, galintis veiksmingai apsaugoti duomenų subjektų teises ir interesus.

59

Atsižvelgiant į plačius įgaliojimus, kurie priežiūros institucijai suteikti pagal BDAR, veiksmingos teisminės apsaugos reikalavimas nebūtų tenkinamas, jeigu sprendimams dėl tokios priežiūros institucijos naudojimosi tyrimo įgaliojimais arba taisomųjų priemonių priėmimo būtų taikoma tik ribota teisminė kontrolė.

60

Tas pats pasakytina apie sprendimus atmesti skundą, nes BDAR 78 straipsnio 1 dalyje nediferencijuojama pagal priežiūros institucijos priimto sprendimo pobūdį.

61

Kalbant apie BDAR siekiamus tikslus pasakytina, kad visų pirma iš jo 10 konstatuojamosios dalies matyti, jog juo siekiama užtikrinti aukšto lygio asmenų apsaugą tvarkant asmens duomenis Sąjungoje. Be to, šio reglamento 11 konstatuojamojoje dalyje nurodyta, kad veiksminga šių duomenų apsauga reikalauja sustiprinti duomenų subjektų teises.

62

Jeigu minėto reglamento 78 straipsnio 1 dalį reikėtų aiškinti taip, kad joje numatyta teisminė kontrolė apsiriboja patikrinimu, ar priežiūros institucija išnagrinėjo skundą, tinkamai ištyrė jo dalyką ir informavo skundo pareiškėją apie patikrinimo išvadą, neišvengiamai būtų pakenkta šio reglamento tikslų ir paskirties įgyvendinimui.

63

Beje, šios nuostatos aiškinimas, kad priežiūros institucijos priimtam sprendimui dėl skundo turi būti taikoma visapusiška teisminė kontrolė, nepaneigia nei priežiūros institucijoms taikomų nepriklausomumo garantijų, nei teisės imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją ar duomenų tvarkytoją.

64

Pirma, remiantis Chartijos 8 straipsnio 3 dalimi, nepriklausoma institucija kontroliuoja, kaip laikomasi asmens duomenų apsaugos taisyklių. Atsižvelgiant į tai, BDAR 52 straipsnyje, be kita ko, nurodyta, kad, atlikdama užduotis ir naudodamasi įgaliojimais pagal šį reglamentą, kiekviena priežiūros institucija veikia visiškai nepriklausomai (1 dalis), kad priežiūros institucijos narys ar nariai negali patirti jokios išorinės įtakos, kai vykdo užduotis arba naudojasi įgaliojimais (2 dalis), o kiekviena valstybė narė užtikrina visoms priežiūros institucijoms būtinus išteklius, kad jos galėtų veiksmingai vykdyti užduotis ir naudotis įgaliojimais (4 dalis).

65

Vis dėlto šioms nepriklausomumo garantijoms neturi jokio neigiamo poveikio aplinkybė, kad teisiškai privalomiems priežiūros institucijos sprendimams taikoma visapusiška teisminė kontrolė.

66

Antra, dėl BDAR 79 straipsnio 1 dalyje numatytos teisės imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją reikia pažymėti, kad pagal Teisingumo Teismo jurisprudenciją šio reglamento 78 straipsnio 1 dalyje ir atitinkamai 79 straipsnio 1 dalyje numatytomis teisių gynimo priemonėmis galima naudotis lygiagrečiai ir nepriklausomai (2023 m. sausio 12 d. Sprendimo Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 35 punktas ir rezoliucinė dalis). Tai, kad yra numatytos kelios teisių gynimo priemonės, Teisingumo Teismo nuomone, visų pirma prisideda prie minėto reglamento 141 konstatuojamojoje dalyje nustatyto tikslo – užtikrinti, kad bet kuris duomenų subjektas, manantis, kad jo teisės pagal tą reglamentą yra pažeistos, turėtų teisę į veiksmingą teisminę teisių gynimo priemonę pagal Chartijos 47 straipsnį (2023 m. sausio 12 d. Sprendimo Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 44 punktas).

67

Taigi, nors valstybės narės, laikydamosi procesinės autonomijos principo, turi nustatyti šių teisių gynimo priemonių tarpusavio santykio sąlygas (2023 m. sausio 12 d. Sprendimo Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 45 punktas ir rezoliucinė dalis), BDAR 79 straipsnio 1 dalyje numatyta teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją neturi įtakos teisminės kontrolės, vykdomos nagrinėjant pagal šio reglamento 78 straipsnio 1 dalį pareikštą skundą dėl priežiūros institucijos priimto sprendimo, apimčiai.

68

Vis dėlto reikia pridurti, kad nors, kaip buvo priminta šio sprendimo 56 punkte, priežiūros institucija turi išnagrinėti skundą ypač kruopščiai, kaip to reikalaujama, ji, kiek tai susiję su BDAR 58 straipsnio 2 dalyje išvardytais taisomaisiais veiksmais, turi diskreciją pasirinkti tinkamas ir reikiamas priemones (šiuo klausimu žr. 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 112 punktą).

69

Nors, kaip konstatuota šio sprendimo 52 punkte, nacionalinis teismas, nagrinėjantis pagal BDAR 78 straipsnio 1 dalį pateiktą skundą, turi turėti neribotą kompetenciją nagrinėti visus su atitinkamu ginču susijusius fakto ir teisės klausimus, veiksmingos teisminės gynybos garantija nereiškia, kad jis turi teisę institucijos vertinimą dėl tinkamų ir reikiamų taisomųjų veiksmų pasirinkimo pakeisti savo vertinimu, bet reikalauja, kad teismas patikrintų, ar priežiūros institucija paisė savo diskrecijos ribų.

70

Atsižvelgiant į tai, kas išdėstyta, į pirmąjį prejudicinį klausimą reikia atsakyti: BDAR 78 straipsnio 1 dalis turi būti aiškinama taip, kad priežiūros institucijos sprendimui dėl skundo taikoma visapusiška teisminė kontrolė.

Dėl antrojo–penktojo prejudicinių klausimų

71

Antruoju–penktuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti,

ar BDAR 5 straipsnio 1 dalies a punktas, siejamas su jo 6 straipsnio 1 dalies pirmos pastraipos f punktu, turi būti aiškinamas kaip draudžiantis privačių kreditingumo vertinimo bendrovių praktiką saugoti savo duomenų bazėse iš viešojo registro gautą informaciją apie fizinių asmenų atleidimą nuo likusios skolos ir, vadovaujantis elgesio kodeksu, kaip jis suprantamas pagal to paties reglamento 40 straipsnį, ją ištrinti pasibaigus trejų metų laikotarpiui, nors minėtos informacijos saugojimo viešajame registre trukmė yra šeši mėnesiai, ir

ar BDAR 17 straipsnio 1 dalies c ir d punktai turi būti aiškinami taip, kad privati kreditingumo vertinimo bendrovė, iš viešojo registro perėmusi informaciją apie atleidimą nuo likusios skolos, privalo ją ištrinti.

Dėl BDAR 5 straipsnio 1 dalies a punkto

72

Pagal BDAR 5 straipsnio 1 dalies a punktą asmens duomenys duomenų subjekto atžvilgiu būtų tvarkomi teisėtai, sąžiningai ir skaidriai.

73

Atsižvelgiant į tai, šio reglamento 6 straipsnio 1 dalies pirmoje pastraipoje numatytas išsamus ir baigtinis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas. Taigi tam, kad tvarkymas galėtų būti laikomas teisėtu, jis turi patekti į kurį nors iš šioje nuostatoje numatytų atvejų (2023 m. liepos 4 d. sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 90 punktas ir jame nurodyta jurisprudencija).

74

Nagrinėjamu atveju neginčijama, kad pagrindinėse bylose aptariamo asmens duomenų tvarkymo teisėtumas turi būti vertinamas atsižvelgiant tik į BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą. Pagal šią nuostatą duomenų tvarkymas yra teisėtas tik tuo atveju ir tik tiek, kiek tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiojo asmens interesų, išskyrus atvejus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

75

Taigi toje nuostatoje numatytos trys kumuliacinės asmens duomenų tvarkymo teisėtumo sąlygos: pirma, tvarkyti asmens duomenis reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečiasis asmuo, antra, asmens duomenis tvarkyti būtina siekiant įgyvendinti nustatytą teisėtą interesą ir, trečia, duomenų subjekto, kurio duomenys turi būti saugomi, interesai ir laisvės bei pagrindinės teisės nėra viršesni (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 106 punktas ir jame nurodyta jurisprudencija).

76

Pirma, kalbant apie „teisėto intereso“ siekimo sąlygą ir turint omenyje, kad ši sąvoka nėra apibrėžta BDAR, pabrėžtina, kaip savo išvados 61 punkte pažymėjo generalinis advokatas, kad teisėtais iš principo gali būti laikomi įvairūs interesai.

77

Antra, sąlyga, susijusi su būtinybe tvarkyti asmens duomenis siekiant įgyvendinti teisėtą interesą, reiškia, kad prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar siekiamas teisėtas duomenų tvarkymo tikslas negali būti tinkamai ir taip pat veiksmingai pasiektas kitomis priemonėmis, kurios mažiau ribotų duomenų subjektų pagrindines laisves ir teises, ypač teises į privatų gyvenimą ir į asmens duomenų apsaugą, garantuojamas Chartijos 7 ir 8 straipsniuose (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 108 punktas ir jame nurodyta jurisprudencija).

78

Šiomis aplinkybėmis taip pat primintina, kad su duomenų tvarkymo būtinumu susijusi sąlyga turi būti nagrinėjama kartu atsižvelgiant į vadinamąjį „duomenų kiekio mažinimo“ principą, įtvirtintą BDAR 5 straipsnio 1 dalies c punkte, pagal kurį asmens duomenys turi būti „adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi“ (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 109 punktas ir jame nurodyta jurisprudencija).

79

Trečia, Teisingumo Teismas jau yra nusprendęs: sąlyga, kad duomenų subjekto, kuriuo duomenys turi būti saugomi, interesai arba laisvės ir pagrindinės teisės neturi būti viršesni už teisėtą duomenų valdytojo ar trečiojo asmens interesą, reiškia, kad reikia palyginti atitinkamas priepriešines teises ir interesus, kurie iš esmės priklauso nuo konkrečių konkretaus atvejo aplinkybių, taigi prašymą priimti prejudicinį sprendimą pateikęs teismas turi palyginti atitinkamas teises ir interesus, atsižvelgdamas į tokias specifines aplinkybes (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 110 punktas ir jame nurodyta jurisprudencija).

80

Be to, kaip matyti iš BDAR 47 konstatuojamosios dalies, duomenų subjekto interesai ir pagrindinės teisės gali būti viršesni už duomenų valdytojo interesus visų pirma tada, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tokio tvarkymo (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 112 punktas).

81

Taigi, nors galiausiai prašymą priimti prejudicinį sprendimą pateikęs teismas turi įvertinti, ar, kiek tai susiję su pagrindinėse bylose nagrinėjamu asmens duomenų tvarkymu, šio sprendimo 75 punkte primintos trys sąlygos yra įvykdytos, priimdamas prejudicinį sprendimą Teisingumo Teismas gali pateikti paaiškinimų, kurie nacionaliniam teismui padėtų tai nustatyti (šiuo klausimu žr. 2022 m. spalio 20 d. Sprendimo Digi, C‑77/21, EU:C:2022:805, 39 punktą ir jame nurodytą jurisprudenciją).

82

Nagrinėjamu atveju kalbėdama apie teisėto intereso siekimą SCHUFA teigia, jog kreditingumo vertinimo bendrovės tvarko duomenis, reikalingus asmenų ar įmonių kreditingumui įvertinti, kad ši informacija būtų prieinama jų kontrahentams. Be to, kad šia veikla apsaugomi ekonominiai įmonių, norinčių sudaryti su kreditu susijusias sutartis, interesai, kreditingumo nustatymas ir informacijos apie mokumą teikimas yra kreditavimo ir ekonomikos veikimo pagrindas. Šių bendrovių veikla taip pat padeda įgyvendinti asmenų, suinteresuotų su kreditais susijusiais sandoriais, komercinius pageidavimus, nes informacija leidžia atlikti greitą ir nebiurokratinę tokių sandorių analizę.

83

Šiuo klausimu pažymėtina, kad nors asmens duomenų tvarkymas, kaip nagrinėjamas pagrindinėse bylose, tenkina SCHUFA ekonominius interesus, jis taip pat skirtas siekti SCHUFA kontrahentų, kurie ketina sudaryti su kreditais susijusias sutartis su asmenimis, teisėto intereso įvertinti šių asmenų kreditingumą, taigi ir kreditų sektoriaus socialinius ir ekonominius interesus.

84

Kiek tai susiję su vartojimo kredito sutartimis, iš Direktyvos 2008/48 8 straipsnio, siejamo su jos 28 konstatuojamąja dalimi, matyti, kad prieš sudarydamas kredito sutartį kreditorius turi įvertinti vartotojo kreditingumą remdamasis pakankama informacija, prireikus ir informacija iš viešųjų ir privačių duomenų bazių.

85

Be to, kiek tai susiję su vartojimo kredito sutartimis dėl gyvenamosios paskirties nekilnojamojo turto, iš Direktyvos 2014/17 18 straipsnio 1 dalies ir 21 straipsnio 1 dalies, siejamų su jos 55 ir 59 konstatuojamosiomis dalimis, matyti, kad kreditorius turi atlikti išsamų vartotojo kreditingumo vertinimą ir turėti prieigą prie kreditų duomenų bazių, nes tokių bazių tikrinimas yra naudingas kreditingumo vertinimo elementas.

86

Pridurtina, kad pareiga įvertinti vartotojų kreditingumą, numatyta direktyvose 2008/48 ir 2014/17, siekiama ne tik apsaugoti kredito prašantį asmenį, bet ir, kaip pabrėžta Direktyvos 2008/48 26 konstatuojamojoje dalyje, užtikrinti tinkamą visos kredito sistemos veikimą.

87

Vis dėlto duomenų tvarkymas turi būti būtinas siekiant įgyvendinti teisėtus duomenų valdytojo arba trečiojo asmens interesus, o duomenų subjekto interesai ar laisvės ir pagrindinės teisės negali būti už jį viršesni. Lyginant nagrinėjamas priešpriešines teises ir interesus, t. y. viena vertus, duomenų valdytojo ir dalyvaujančių trečiųjų asmenų ir, kita vertus, duomenų subjekto teises ir interesus, reikia atsižvelgti, kaip nurodyta šio sprendimo 80 punkte, be kita ko, į pagrįstus duomenų subjekto lūkesčius, nagrinėjamo duomenų tvarkymo apimtį ir poveikį jam (žr. 2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 116 punktą).

88

Dėl BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkto Teisingumo Teismas yra nusprendęs, kad ši nuostata turi būti aiškinama taip, kad duomenų tvarkymas gali būti laikomas būtinu siekiant teisėtų duomenų valdytojo ar trečiojo asmens interesų, kaip tai suprantama pagal šią nuostatą, tik jeigu duomenų tvarkymas neviršija to, kas griežtai būtina šiam teisėtam interesui pasiekti, ir jeigu palyginus priešpriešinius interesus matyti, kad, atsižvelgiant į visas svarbias aplinkybes, duomenų subjektų interesai ar laisvės ir pagrindinės teisės nėra viršesni už minėtą teisėtą duomenų valdytojo arba trečiojo asmens interesą (šiuo klausimu žr. 2017 m. gegužės 4 d. Sprendimo Rīgas satiksme, C‑13/16, EU:C:2017:336, 30 punktą ir 2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos, C‑252/21, EU:C:2023:537, 126 punktą).

89

Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo du pagrindinėse bylose nagrinėjamo asmens duomenų tvarkymo aspektus. Pirma, toks tvarkymas reikštų dauginį duomenų saugojimą, t. y. ne tik viešajame registre, bet ir kreditingumo vertinimo bendrovių duomenų bazėse, turint omenyje, kad šios bendrovės juos saugo be konkretaus pagrindo tik tam, jeigu jų kontrahentai paprašytų tokios informacijos. Antra, minėtos bendrovės duomenis saugo trejus metus, vadovaudamosi elgesio kodeksu, kaip jis suprantamas pagal BDAR 40 straipsnį, nors nacionalinės teisės aktuose viešojo registro atveju numatytas tik šešių mėnesių saugojimo laikotarpis.

90

Dėl pirmojo aspekto SCHUFA teigia, kad būtų neįmanoma laiku pateikti informacijos, jeigu kreditingumo vertinimo bendrovė, prieš pradėdama rinkti duomenis, privalėtų laukti konkrečios užklausos.

91

Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar SCHUFA atliekamas atitinkamų duomenų saugojimas jos pačios duomenų bazėse neviršija to, kas griežtai būtina teisėtai siekiamam interesui įgyvendinti, nors nagrinėjamus duomenis galima gauti iš viešojo registro, o verslo įmonė konkrečiu atveju nėra pateikusi užklausos dėl informacijos. Priešingu atveju SCHUFA atliekamas šių duomenų saugojimas negalėtų būti laikomas būtinu per minėtų duomenų padarymo viešai prieinamų laikotarpį.

92

Kalbant apie duomenų saugojimo trukmę preziumuotina, kad šio sprendimo 75 punkte primintų antrosios ir trečiosios sąlygų tikrinimas sutampa tuo aspektu, kad vertinant, ar nagrinėjamu atveju teisėtų interesų, kurių siekiama tvarkant asmens duomenis pagrindinėse bylose, negalima tinkamai pasiekti taikant trumpesnį duomenų saugojimo laikotarpį, reikia palyginti priešpriešines teises ir interesus.

93

Dėl siekiamų teisėtų interesų palyginimo pažymėtina: kadangi kreditingumo vertinimo bendrovės atlikta analizė leidžia objektyviai ir patikimai įvertinti jų potencialių kontrahentų klientų kreditingumą, ji leidžia kompensuoti informacijos skirtumus ir taip sumažinti sukčiavimo riziką ir kitus neaiškumus.

94

Vis dėlto, kiek tai susiję su duomenų subjekto teisėmis ir interesais, kreditingumo vertinimo bendrovės atliekamas duomenų apie atleidimą nuo likusios skolos tvarkymas, pavyzdžiui, jų saugojimas, analizė ir atskleidimas tretiesiems asmenims, yra didelis duomenų subjekto pagrindinių teisių, įtvirtintų Chartijos 7 ir 8 straipsniuose, suvaržymas. Faktiškai tokie duomenys yra neigiamas veiksnys vertinant duomenų subjekto kreditingumą, todėl tai yra jautri informacija apie jo privatų gyvenimą (šiuo klausimu žr. 2014 m. gegužės 13 d. Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 98 punktą). Jų tvarkymas gali labai pakenkti duomenų subjekto interesams, nes jų atskleidimas gali gerokai apsunkinti jo naudojimąsi laisvėmis, ypač kai reikia patenkinti pagrindinius poreikius.

95

Be to, kaip pažymėjo Komisija, kuo ilgiau kreditingumo vertinimo bendrovės saugo aptariamus duomenis, tuo didesnis poveikis duomenų subjekto interesams ir privačiam gyvenimui ir tuo didesni reikalavimai šios informacijos saugojimo teisėtumui.

96

Be to, pažymėtina, kad, kaip matyti iš Reglamento 2015/848 76 konstatuojamosios dalies, viešo nemokumo registro tikslas – pagerinti informacijos teikimą atitinkamiems kreditoriams ir teismams. Atsižvelgiant į tai, šio reglamento 79 straipsnio 5 dalyje tik numatyta, kad valstybės narės informuoja duomenų subjektus apie laikotarpį, per kurį bus prieinami nemokumo registruose saugomi asmens duomenys, bet nenustatytas šių duomenų saugojimo terminas. Tačiau iš šio reglamento 79 straipsnio 4 dalies išplaukia, kad pagal jį valstybės narės yra atsakingos už asmens duomenų rinkimą ir saugojimą nacionalinėse duomenų bazėse. Taigi šių duomenų saugojimo terminas turi būti nustatytas vadovaujantis minėtu reglamentu.

97

Nagrinėjamu atveju Vokietijos teisės aktų leidėjas numatė, kad informacija apie atleidimą nuo likusios skolos nemokumo registre saugoma tik šešis mėnesius. Taigi jis vadovavosi nuostata, kad pasibaigus šešių mėnesių terminui duomenų subjekto teisės ir interesai yra viršesni už visuomenės interesus ir teises gauti šią informaciją.

98

Be to, kaip pažymėjo generalinis advokatas išvados 75 punkte, atleidimas nuo likusios skolos turi leisti asmeniui, kuriam šis atleidimas pritaikytas, vėl dalyvauti ekonominiame gyvenime, todėl paprastai jam turi egzistencinę reikšmę. Tačiau šiam tikslui būtų pakenkta, jeigu kreditingumo vertinimo bendrovės, siekdamos įvertinti asmens ekonominę padėtį, galėtų saugoti duomenis apie atleidimą nuo likusios skolos ir juos naudoti po jų ištrynimo iš viešo nemokumo registro, nes tokie duomenys visada naudojami kaip neigiamas veiksnys vertinant tokio asmens kreditingumą.

99

Šiomis aplinkybėmis kredito sektoriaus interesai disponuoti informacija apie atleidimą nuo likusios skolos negali pateisinti asmens duomenų tvarkymo, koks nagrinėjamas pagrindinėse bylose, pasibaigus duomenų saugojimo viešajame nemokumo registre terminui, todėl kreditingumo vertinimo bendrovės atliekamas jų saugojimas negali būti grindžiamas BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktu, kiek tai susiję su laikotarpiu po minėtų duomenų ištrynimo iš viešo nemokumo registro.

100

Dėl šešių mėnesių laikotarpio, per kurį aptariami duomenys taip pat yra prieinami šiame viešajame registre, pažymėtina, kad nors šių duomenų lygiagretaus saugojimo tokių bendrovių duomenų bazėse poveikis gali būti laikomos mažesniu nei praėjus šešiems mėnesiams, vis dėlto toks saugojimas yra Chartijos 7 ir 8 straipsniuose įtvirtintų teisių suvaržymas. Šiuo klausimu Teisingumo Teismas jau yra nusprendęs, kad tų pačių asmens duomenų buvimas keliuose šaltiniuose dar labiau suvaržo asmens teisę į privatų gyvenimą (žr. 2014 m. gegužės 13 d. Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 86 ir 87 punktus). Prašymą priimti prejudicinį sprendimą pateikęs teismas turi palyginti nagrinėjamus interesus ir poveikį duomenų subjektui, kad nustatytų, ar privačių kreditingumo bendrovių lygiagrečiai atliekamas šių duomenų saugojimas gali būti laikomas neviršijančiu to, kas griežtai būtina, kaip to reikalaujama pagal šio sprendimo 88 punkte nurodytą Teisingumo Teismo jurisprudenciją.

101

Galiausiai dėl tokio kaip nagrinėjamu atveju aptariamo elgesio kodekso, kuriame numatyta, kad kreditingumo vertinimo bendrovė po trejų metų turi ištrinti duomenis apie atleidimą nuo likusios skolos, primintina, kad pagal BDAR 40 straipsnio 1 ir 2 dalis elgesio kodeksais siekiama padėti tinkamai taikyti šį reglamentą, atsižvelgiant į įvairių su duomenų tvarkymu susijusių sektorių ypatumus ir į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius. Taigi asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali parengti, iš dalies pakeisti ar pratęsti elgesio kodeksus, siekdamos nustatyti, kaip turėtų būti taikomas šis reglamentas, atsižvelgiant į sąžiningą ir skaidrų duomenų tvarkymą, teisėtus interesus, kuriais konkrečiomis aplinkybėmis vadovaujasi duomenų valdytojai, ir asmens duomenų rinkimą.

102

Be to, pagal BDAR 40 straipsnio 5 dalį kodekso projektas pateikiamas kompetentingai priežiūros institucijai, kuri jį patvirtina, jeigu mano, kad jame nustatytos pakankamos ir tinkamos apsaugos priemonės.

103

Nagrinėjamu atveju pagrindinėse bylose aptariamą elgesio kodeksą parengė asociacija, vienijanti Vokietijos kreditingumo vertinimo bendroves, o jį patvirtino kompetentinga priežiūros institucija.

104

Nors pagal BDAR 40 straipsnio 1 ir 2 dalis elgesio kodeksu siekiama padėti tinkamai taikyti šį reglamentą ir nustatyti jo taikymo tvarką, vis dėlto, kaip savo išvados 103 ir 104 punktuose pažymėjo generalinis advokatas, tokiame kodekse nustatytos asmens duomenų tvarkymo teisėtumo sąlygos negali skirtis nuo BDAR 6 straipsnio 1 dalyje numatytų sąlygų.

105

Taigi į elgesio kodeksą, kuris lemia kitokį vertinimą nei gaunamas pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą, negali būti atsižvelgta atliekant palyginimą pagal šią nuostatą.

Dėl BDAR 17 straipsnio

106

Galiausiai prašymą priimti prejudicinį sprendimą pateikusiam teismui iš esmės kyla klausimas dėl kreditingumo vertinimo bendrovėms pagal BDAR 17 straipsnį tenkančių pareigų.

107

Šiuo aspektu primintina, kad pagal BDAR 17 straipsnio 1 dalies d punktą, kurį nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas, duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jeigu jie buvo tvarkomi neteisėtai.

108

Taigi, remiantis aiškia šios nuostatos formuluote, jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas, atlikęs pagrindinėse bylose aptariamo asmens duomenų tvarkymo teisėtumo vertinimą, turėtų prieiti prie išvados, kad toks tvarkymas yra neteisėtas, duomenų valdytojas, šiuo atveju – SCHUFA, turėtų kuo greičiau ištrinti atitinkamus duomenis. Remiantis tuo, kas konstatuota šio sprendimo 99 punkte, taip būtų tokiu atveju, jei asmens duomenys tvarkomi pasibaigus šešių mėnesių duomenų saugojimo viešajame nemokumo registre terminui.

109

Dėl duomenų tvarkymo šešių mėnesių laikotarpiu, per kurį duomenys yra prieinami viešajame nemokumo registre, pažymėtina, kad tuo atveju, jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas turėtų prieiti prie išvados, jog duomenų tvarkymas atitinka BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą, turėtų būti taikomas šio reglamento 17 straipsnio 1 dalies c punktas.

110

Toje nuostatoje numatyta teisė reikalauti ištrinti asmens duomenis, kai duomenų subjektas prieštarauja duomenų tvarkymui pagal BDAR 21 straipsnio 1 dalį ir nėra „viršesnių teisėtų priežasčių tvarkyti duomenis“. Pagal pastarąją nuostatą duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal BDAR 6 straipsnio 1 dalies e arba f punktus. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

111

Kaip pažymėjo generalinis advokatas išvados 93 punkte, iš šių kartu aiškinamų nuostatų matyti, kad duomenų subjektas turi teisę nesutikti su duomenų tvarkymu ir teisę reikalauti ištrinti duomenis, nebent yra teisėtų priežasčių, kurios yra viršesnės už šio subjekto interesus ir teises bei laisves, kaip tai suprantama pagal BDAR 21 straipsnio 1 dalį, o tai turi įrodyti duomenų valdytojas.

112

Taigi, jeigu duomenų valdytojui nepavyksta to įrodyti, duomenų subjektas turi teisę prašyti ištrinti šiuos duomenis pagal BDAR 17 straipsnio 1 dalies c punktą, kai pagal šio reglamento 21 straipsnio 1 dalį nesutinka, kad būtų tvarkomi jo duomenys. Prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar išimties tvarka nėra viršesnių teisėtų priežasčių, pateisinančių asmens duomenų tvarkymą.

113

Atsižvelgiant į visa tai, kas išdėstyta, į antrąjį–penktąjį klausimus atsakytina taip:

BDAR 5 straipsnio 1 dalies a punktas, siejamas su jo 6 straipsnio 1 dalies pirmos pastraipos f punktu, turi būti aiškinamas taip, kad pagal jį draudžiama privačių kreditingumo vertinimo bendrovių praktika saugoti savo duomenų bazėse iš viešojo registro gautą informaciją apie fizinių asmenų atleidimą nuo likusios skolos, kad galėtų pateikti informaciją apie šių asmenų kreditingumą laikotarpiu, kuris viršija duomenų saugojimo viešajame registre trukmę,

BDAR 17 straipsnio 1 dalies c punktas turi būti aiškinamas taip, kad duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų jo asmens duomenis, jeigu pagal šio reglamento 21 straipsnio 1 dalį nesutinka, kad jo duomenys būtų tvarkomi, ir nėra viršesnių teisėtų priežasčių, galinčių išimties tvarka pateisinti tokį duomenų tvarkymą,

BDAR 17 straipsnio 1 dalies d punktas turi būti aiškinamas taip, kad duomenų valdytojas privalo nepagrįstai nedelsdamas ištrinti asmens duomenis, kurie buvo tvarkomi neteisėtai.

Dėl bylinėjimosi išlaidų

114

Kadangi šis procesas pagrindinių bylų šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

 

Remdamasis šiais motyvais, Teisingumo Teismas (pirmoji kolegija) nusprendžia:

 

1.

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 78 straipsnio 1 dalis

turi būti aiškinama taip:

priežiūros institucijos sprendimui dėl skundo taikoma visapusiška teisminė kontrolė.

 

2.

Reglamento 2016/679 5 straipsnio 1 dalies a punktas, siejamas su jo 6 straipsnio 1 dalies pirmos pastraipos f punktu,

turi būti aiškinamas taip:

pagal jį draudžiama privačių kreditingumo vertinimo bendrovių praktika saugoti savo duomenų bazėse iš viešojo registro gautą informaciją apie fizinių asmenų atleidimą nuo likusios skolos, kad galėtų pateikti informaciją apie šių asmenų kreditingumą laikotarpiu, kuris viršija duomenų saugojimo viešajame registre trukmę.

 

3.

Reglamento 2016/679 17 straipsnio 1 dalies c punktas

turi būti aiškinamas taip:

duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų jo asmens duomenis, jeigu pagal šio reglamento 21 straipsnio 1 dalį nesutinka, kad jo duomenys būtų tvarkomi, ir nėra viršesnių teisėtų priežasčių, galinčių išimties tvarka pateisinti tokį duomenų tvarkymą.

 

4.

Reglamento 2016/679 17 straipsnio 1 dalies d punktas

turi būti aiškinamas taip:

duomenų valdytojas privalo nepagrįstai nedelsdamas ištrinti asmens duomenis, kurie buvo tvarkomi neteisėtai.

 

Parašai.


( *1 ) Proceso kalba: vokiečių.