1.

Šis lūgums sniegt prejudiciālu nolēmumu, ko Verwaltungsgericht Wiesbaden (Vīsbādenes Administratīvā tiesa, Vācija) ir iesniegusi atbilstoši LESD 267. pantam, attiecas uz Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) ( 2 ) (turpmāk tekstā – “VDAR”) 6. panta 1. punkta un 22. panta 1. punkta interpretāciju.

2.

Šis lūgums ir iesniegts saistībā ar tiesvedību strīdā starp prasītāju – fizisku personu OQ (turpmāk tekstā – “prasītāja”) – un Land Hessen (Hesenes federālā zeme, Vācija), ko pārstāv Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Hesenes federālās zemes datu aizsardzības un informācijas brīvības uzraudzītājs; turpmāk tekstā – “HBDI”), par personas datu aizsardzību. HBDI atbalstam pieaicinātās personas statusā lietā piedalās kāds privāttiesisks uzņēmums – SCHUFA Holding AG (turpmāk tekstā – “SCHUFA”). Saistībā ar savu saimniecisko darbību, kas izpaužas kā informācijas par trešo personu kredītspēju sniegšana saviem klientiem, SCHUFA kādai kredītiestādei ir nodevusi prasītājas score vērtību, pamatojoties uz kuru tās lūgtais kredīts tika atteikts. Prasītāja lūdza SCHUFA dzēst ar to saistītos ierakstus un dot tai piekļuvi atbilstošajiem datiem, taču SCHUFA prasītājai paziņoja tikai attiecīgo score vērtību un vispārīgi izklāstīja score vērtības aprēķināšanas metodes pamatā esošos principus, bet neinformēja prasītāju nedz par konkrētajiem datiem, kurus tā ņēmusi vērā šajā aprēķinā, nedz par to, kāda nozīme šiem datiem ir tikusi piešķirta šajā kontekstā, norādot, ka uz aprēķināšanas metodi attiecas komercnoslēpums.

3.

Ciktāl prasītāja apgalvo, ka SCHUFA atteikums apmierināt tās lūgumu ir pretrunā datu aizsardzības regulējumam, Tiesai būs jāspriež par ierobežojumiem, kādus VDAR nosaka kredītinformācijas biroju saimnieciskajai darbībai finanšu nozarē, it īpaši datu pārvaldībā, kā arī par to, kāda nozīme piešķirama komercnoslēpumam. Tāpat Tiesai būs jāprecizē to regulatīvo pilnvaru apjoms, kuras vairākas VDAR normas piešķir valsts likumdevējam, atkāpjoties no vispārējā saskaņošanas mērķa, kuru tiecas sasniegt ar šo tiesību aktu.

4.

VDAR 4. panta 4. punkts noteic:

“Šajā regulā:

[..]

5.

VDAR 6. pants “Apstrādes likumīgums” noteic:

“1.   Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus.

2.   Dalībvalstis var paturēt spēkā vai ieviest konkrētākus noteikumus, lai šīs regulas noteikumu piemērošanu pielāgotu attiecībā uz apstrādi, ko veic, lai ievērotu 1. punkta c) un e) apakšpunktu, nosakot precīzāk konkrētas prasības apstrādei un citus pasākumus, ar ko nodrošina likumīgu un godprātīgu apstrādi, tostarp citās konkrētās apstrādes situācijās, kas paredzētas IX nodaļā.

3.   Šā panta 1. punkta c) un e) apakšpunktā minēto apstrādes pamatu nosaka ar:

Apstrādes nolūku nosaka minētajā juridiskajā pamatā vai – attiecībā uz 1. punkta e) apakšpunktā minēto apstrādi – tas ir vajadzīgs, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. Minētajā juridiskajā pamatā var būt ietverti konkrēti noteikumi, lai pielāgotu šīs regulas noteikumu piemērošanu, cita starpā vispārīgi nosacījumi, kas reglamentē pārziņa īstenotu apstrādes likumību; apstrādājamo datu veidi; attiecīgie datu subjekti; vienības, kurām personas dati var tikt izpausti, un mērķi, kādiem tie var tikt izpausti; apstrādes nolūka ierobežojumi; glabāšanas termiņi; un apstrādes darbības un apstrādes procedūras, tostarp pasākumi, lai nodrošinātu likumīgu un godprātīgu apstrādi, piemēram, citās konkrētās datu apstrādes situācijās, kas paredzētas IX nodaļā. Savienības vai dalībvalsts tiesību akti atbilst sabiedrības interešu mērķim un ir samērīgi ar izvirzīto leģitīmo mērķi.

4.   Ja apstrāde citā nolūkā nekā tajā, kādā personas dati tika vākti, nav balstīta uz datu subjekta piekrišanu vai uz Savienības vai dalībvalsts tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai aizsargātu 23. panta 1. punktā minētos mērķus, pārzinis, lai pārliecinātos, vai apstrāde citā nolūkā ir savietojama ar nolūku, kādā personas dati sākotnēji tika vākti, cita starpā ņem vērā:

6.

VDAR 15. pants “Datu subjekta piekļuves tiesības” noteic:

“1.   Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:

[..]

[..]”

7.

VDAR 21. pants “Tiesības iebilst” noteic:

“1.   Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz 6. panta 1. punkta e) vai f) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minētajiem noteikumiem. Pārzinis personas datus vairs neapstrādā, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

[..]”

8.

Saskaņā ar VDAR 22. pantu “Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana”:

“1.   Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu.

2.   Šā panta 1. punktu nepiemēro, ja lēmums:

3.   Šā panta 2. punkta a) un c) apakšpunktā minētajos gadījumos datu pārzinis veic atbilstīgus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses – vismaz tiesības panākt cilvēka līdzdalību no pārziņa puses –, lai datu subjekts varētu paust savu viedokli un apstrīdēt lēmumu.

4.   Šā panta 2. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas 9. panta 1. punktā, izņemot, ja tiek piemērots 9. panta 2. punkta a) vai g) apakšpunkts un tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses.”

9.

2017. gada 30. jūnijaBundesdatenschutzgesetz (Datu aizsardzības likums; turpmāk tekstā – “BDSG”) ( 3 ), kurā grozījumi izdarīti ar 2019. gada 20. novembra likumu ( 4 ), 31. pants “Saimnieciskās dzīves aizsardzība saistībā ar scoring [score vērtību iegūšanu] un informāciju par kredītspēju” noteic:

“1)   Varbūtības vērtības izmantošana saistībā ar fiziskas personas konkrētu rīcību nākotnē, lai izlemtu par līgumattiecību nodibināšanu, izpildi vai izbeigšanu ar šo personu (t.s. scoring), ir atļauta tikai tad, ja:

2)   Kredītinformācijas biroju noskaidrotas varbūtības vērtības izmantošana saistībā ar fiziskas personas maksātspēju un vēlmi veikt maksājumus, ņemot vērā informāciju par prasījumiem, ir atļauta tikai tad, ja ir izpildīti 1. punktā minētie nosacījumi un tiek ņemti vērā vienīgi tādi prasījumi saistībā ar izpildījumu, kas nav veikts, lai gan tā izpildei ir beidzies termiņš:

Iepriekš minētais neskar citu ar kredītspēju saistīto datu apstrādes, t.sk. varbūtības vērtību noskaidrošanas, pieļaujamību saskaņā ar vispārīgajām datu aizsardzības tiesībām.”

10.

No iesniedzējtiesas nolēmuma izriet, ka prasītājai pamatlietā tika atteikts kredīts SCHUFA veikta kredītspējas vērtējuma dēļ. SCHUFA ir privāttiesību sabiedrība, kas sniedz informācijas pakalpojumus kredītu jomā, sniedzot saviem klientiem informāciju par patērētāju kredītspēju. Tālab SCHUFA veic kredītspējas vērtējumus, kuru vajadzībām tā, vadoties no konkrētām personas pazīmēm un pamatojoties uz matemātiskās statistikas metodi, izveido prognozi par kādas rīcības nākotnē, piemēram, kredīta atmaksas, iespējamību.

11.

Prasītāja lūdza SCHUFA dzēst neprecīzos datus par viņu un piešķirt tai piekļuvi datiem, kas par viņu ir reģistrēti. SCHUFA prasītājai paziņoja tostarp attiecībā uz viņu aprēķināto score vērtību un tās aprēķināšanas principus, taču tā nedarīja prasītājai zināmu, kāda nozīme dažādajiem datiem tiek piešķirta, veicot aprēķinu. SCHUFA uzskata, ka tai nav jāizpauž savas aprēķina metodes, jo uz tām attiecas profesionālais noslēpums un komercnoslēpums. Turklāt tā vienīgi sniedzot informāciju saviem klientiem, taču lēmumus par kredītlīgumiem tie pieņemot paši.

12.

Prasītāja iesniedza atbildētāja statusā esošajam datu aizsardzības uzraudzītājam sūdzību par SCHUFA ziņojumu; šajā sūdzībā tā lūdza atbildētājam uzdot SCHUFA sniegt informāciju un dzēst informāciju saskaņā ar tās lūgumu. Lēmumā, kas pieņemts par prasītājas sūdzību, HBDI uzskatīja, ka nav jāveic turpmākas darbības attiecībā uz šo uzņēmumu, jo tas ievēro Vācijas Federālajā datu aizsardzības likumā precizētās prasības.

13.

Iesniedzējtiesai ir jāizskata prasība, kuru prasītāja ir cēlusi par atbildētāja lēmumu. Tā uzskata, ka, lai izspriestu pamatlietu, ir būtiski noteikt, vai tāda informācijas pakalpojumu sniedzēju darbība kredītu jomā, ar kuru tie nosaka personu score vērtības un bez kādiem citiem ieteikumiem vai komentāriem nodod šīs vērtības trešām personām, ietilpst VDAR 22. panta 1. punkta piemērošanas jomā.

14.

Verwaltungsgericht Wiesbaden (Vīsbādenes Administratīvā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

15.

Lēmums par prejudiciālu jautājumu uzdošanu, kas pieņemts 2021. gada 1. oktobrī, Tiesas kancelejā tika saņemts 2021. gada 15. oktobrī.

16.

Eiropas Savienības Tiesas statūtu 23. pantā noteiktajā termiņā rakstveida apsvērumus iesniedza pamatlietas dalībnieki, SCHUFA, Dānijas, Portugāles un Somijas valdības, kā arī Eiropas Komisija.

17.

2023. gada 26. janvāra tiesas sēdē mutvārdu apsvērumus sniedza lietas dalībnieku un SCHUFA procesuālie pārstāvji un Vācijas un Somijas valdību, kā arī Komisijas pārstāvji.

18.

Tā kā savstarpēja uzticēšanās tirgus ekonomikā ir ikvienu līgumsaistību pamatā, principā no uzņēmējdarbības viedokļa ir saprotams, ka pakalpojumu sniedzēji un preču pārdevēji vēlas saņemt informāciju par saviem klientiem un par riskiem, kas saistīti ar šādām līgumsaistībām. Kredītinformācijas biroji var palīdzēt tajā, lai tiktu iedibināta šī savstarpējā uzticēšanās, izmantojot statistikas metodes, kas ļauj uzņēmumiem noskaidrot, vai konkrētajā gadījumā ir izpildīti tādi konkrēti būtiskie kritēriji kā, piemēram, klientu kredītspēja. Tādējādi tie palīdz uzņēmumiem izpildīt dažādas Savienības tiesību normas, kurās šiem uzņēmumiem tieši tiek noteikts šāds pienākums attiecībā uz noteiktiem līgumu veidiem, konkrēti – kredītlīgumiem ( 5 ). Dažu izmantoto metožu pamatā var būt klientu personas dati, kas ievākti un apstrādāti automātiski ar IT tehnoloģijas palīdzību. Šīs intereses saduras ar datu subjektu interesēm zināt, kādā veidā šie dati tiek pārvaldīti un reģistrēti un kādas metodes uzņēmumi izmanto, lai pieņemtu lēmumus attiecībā uz saviem klientiem.

19.

Ar VDAR, kas piemērojama kopš 2018. gada 25. maija, ir izveidots juridiskais ietvars, kura nolūks ir ņemt vērā iepriekš minētās intereses visā Savienībā, tostarp paredzot noteiktus ierobežojumus personas datu apstrādei. Tādējādi īpaši ierobežojumi ir piemērojami automātiskai apstrādei, kas attiecībā uz fizisku personu var radīt tiesiskās sekas vai to ievērojami ietekmēt. Šie ierobežojumi ir pamatoti saistībā ar profilēšanu, proti, personisku aspektu vērtējumu, lai analizētu vai paredzētu fiziskas personas ekonomisko situāciju, uzticamību un rīcību. Šajā kontekstā jāmin ierobežojumi, kuri paredzēti VDAR 22. pantā, kuriem ir nozīme šajā lietā un kuru mērķis ir aizsargāt personas cieņu, liedzot attiecībā uz datu subjektu pieņemt lēmumu, kura pamatā ir tikai automatizēta apstrāde bez nekādas cilvēka līdzdalības, kas vajadzības gadījumā varētu pārliecināties, ka šis lēmums ir pieņemts pareizi, taisnīgi un nediskriminējoši ( 6 ). Cilvēka līdzdalība, kas jāparedz saistībā ar šāda veida datu automatizētu apstrādi, nodrošina to, ka datu subjektam būs iespēja paust savu viedokli, saņemt paskaidrojumus par lēmumu, kas pieņemts šāda veida vērtējuma rezultātā, un to apstrīdēt gadījumā, ja tas šim lēmumam nepiekrīt. Pirmais prejudiciālais jautājums ir tieši par VDAR 22. pantā minēto ierobežojumu tvērumu.

20.

Lai gan ar VDAR ir izveidots tāds visaptverošs tiesiskais ietvars personas datu aizsardzībai, kas principā ir pilnīgs, tomēr ir jānorāda, ka dažas normas paver iespēju dalībvalstīm papildus paredzēt stingrākus vai atkāpes paredzošus noteikumus, kuri dod tām rīcības brīvību, lemjot par to, kādā veidā šīs tiesību normas var tikt īstenotas (“atvērējklauzulas”), ar nosacījumu, ka minētie noteikumi neapdraud VDAR saturu un mērķus ( 7 ). Šo dalībvalstīm atlikušo regulatīvo pilnvaru apjoms ir pamatā otrajam šajos secinājumos iztirzājamajam prejudiciālajam jautājumam.

21.

HBDI un SCHUFA apstrīd lūguma sniegt prejudiciālu nolēmumu pieņemamību. Šajā ziņā SCHUFA norāda, ka lūgums sniegt prejudiciālu nolēmumu nav ne nepieciešams lietas atrisinājumam, ne pietiekami pamatots; tas radot vēl vienu tiesību aizsardzības līdzekli un esot pretrunā citiem lūgumiem sniegt prejudiciālu nolēmumu, kurus tā pati iesniedzējtiesa esot iesniegusi, bet pēc tam atsaukusi.

22.

Vispirms jāatgādina, ka saskaņā ar Tiesas pastāvīgo judikatūru Tiesas un valstu tiesu sadarbības ietvaros, kas ieviesta ar LESD 267. pantu, tikai valsts tiesai, kurā iesniegta lieta un kura ir atbildīga par pieņemamo tiesas nolēmumu, ņemot vērā lietas īpatnības, ir jāizvērtē gan prejudiciālā nolēmuma nepieciešamība, lai tā varētu taisīt spriedumu, gan to jautājumu atbilstība, kurus tā uzdod Tiesai. Tādēļ, ja uzdotie jautājumi attiecas uz Savienības tiesību normas interpretāciju vai spēkā esamību, Tiesai principā ir jālemj. No minētā izriet, ka uz jautājumiem par Savienības tiesībām attiecas atbilstības prezumpcija. Tiesa var atteikties lemt par valsts tiesas uzdotu prejudiciālu jautājumu tikai tad, ja ir acīmredzams, ka lūgtajai Savienības tiesiskā regulējuma interpretācijai vai spēkā esamības izvērtējumam nav nekāda sakara ar pamatlietas faktisko situāciju vai tās priekšmetu, ja izvirzītā problēma ir hipotētiska vai ja Tiesai nav zināmi faktiskie vai juridiskie apstākļi, kas nepieciešami, lai sniegtu noderīgu atbildi uz tai uzdotajiem jautājumiem ( 8 ).

23.

Šajā gadījumā šie nosacījumi nav izpildīti, jo no iesniedzējtiesas nolēmuma 40. punkta skaidri izriet, ka tiesvedības iznākums ir atkarīgs no pirmā prejudiciālā jautājuma. Iesniedzējtiesa paskaidro, ka tad, ja VDAR 22. panta 1. punkts būtu jāinterpretē tādējādi, ka kredītinformācijas biroja veikta score vērtības noteikšana ir patstāvīgs lēmums šīs regulas 22. panta 1. punkta izpratnē, uz šo uzņēmumu, konkrētāk, tā attiecīgo darbību, attiektos automatizētas lēmuma pieņemšanas aizliegums. Līdz ar to būtu vajadzīgs juridiskais pamatojums dalībvalsts līmenī VDAR 22. panta 2. punkta b) apakšpunkta izpratnē, kas varētu būt vienīgi BDSG 31. pants. Tomēr iesniedzējtiesai ir nopietnas šaubas par šīs valsts tiesību normas saderīgumu ar VDAR 22. panta 1. punktu. Iesniedzējtiesas ieskatā, SCHUFA ne tikai rīkojusies bez juridiskā pamata, bet arī neesot ievērojusi šajā nupat minētajā tiesību normā noteikto aizliegumu. Līdz ar to prasītājai esot tiesības uz prasīt, lai HBDI kā uzraudzības iestāde turpinātu skatīt tās lietu. Līdz ar to ir skaidri redzams, ka atbilde uz iesniedzējtiesas jautājumiem ir izšķirīga lietas atrisinājumam.

24.

SCHUFA ieskatā, lūgums sniegt prejudiciālu nolēmumu esot nepieņemams arī tāpēc, ka prasītāja jau esot bijusi informēta par score vērtības noteikšanas loģiku. Taču no iesniedzējtiesas nolēmuma izriet, ka prasītāja vēlējās pēc iespējas sīkāk tikt informēta par visiem ievāktajiem datiem un par metodi, kas izmantota score vērtības noteikšanai. Tā kā SCHUFA ir vispārīgi informējusi prasītāju par score vērtības aprēķināšanas principiem, taču nav informējusi to ne par dažādo aprēķinā vērā ņemto informāciju, ne par nozīmi, kāda šai informācijai tika piešķirta, ir skaidrs, ka SCHUFA šo informācijas pieprasījumu nav apmierinājusi. Līdz ar to prasītājai ir leģitīmas intereses panākt, lai prejudiciāla nolēmuma ceļā tiktu konstatētas datu subjekta tiesības attiecībā pret tādu kredītinformācijas biroju kā SCHUFA.

25.

Attiecībā uz apgalvoto risku, ka datu subjektam tiktu radīts vēl viens tiesību aizsardzības līdzeklis, jānorāda, ka – pretēji tam, ko savos apsvērumos apgalvo SCHUFA, – apstāklis, ka prasītāja vispirms vērsusies vispārējās jurisdikcijas tiesās un pēc tam iesniedzējtiesas statusā esošajā administratīvajā tiesā, nerada šķēršļus lūguma sniegt prejudiciālu nolēmumu pieņemamībai. Ar šīm divām prasībām prasītāja izmantoja VDAR 78. un 79. pantā paredzētos tiesību aizsardzības līdzekļus; ar šīm normām tiek nodrošinātas tiesības uz efektīvu tiesību aizsardzību tiesā attiecīgi pret uzraudzības iestādi un pret datu pārzini. Ciktāl šie tiesību aizsardzības līdzekļi pastāv savrupi un nav savstarpēji pakārtoti, tos var izmantot līdztekus ( 9 ). Tādējādi prasītājai nevar pārmest nelikumību tajā, kā tā aizstāv savas ar VDAR aizsargātās tiesības.

26.

Turklāt jāatgādina, ka saskaņā ar Tiesas pastāvīgo judikatūru tad, ja attiecīgajā jomā nav Savienības tiesiskā regulējuma, katras dalībvalsts tiesību sistēmā ir jānorāda kompetentās tiesas un jāparedz procesuālā kārtība, kādā veicama pārsūdzība tiesā, lai aizstāvētu prāvniekiem no Savienības tiesību aktiem izrietošās tiesības ( 10 ). Līdz ar to nav neviena objektīva iemesla apšaubīt kādas dalībvalsts tiesību aizsardzības līdzekļu regulējumu, izņemot gadījumus, ja tas apdraudētu Savienības tiesību efektivitāti, piemēram, tad, ja valsts tiesām būtu liegta iespēja vai tās būtu atbrīvotas no LESD 267. pantā paredzētā pienākuma vērsties Tiesā ar jautājumiem par Savienības tiesību interpretāciju vai spēkā esamību.

27.

Šajā gadījumā nekas neliecina par to, ka divu tādu tiesību aizsardzības līdzekļu esamība, kas dara iespējamu efektīvu tiesību aizsardzību tiesā attiecīgi pret uzraudzības iestādi un pret datu pārzini, apdraudētu Savienības tiesību efektivitāti vai liegtu valsts tiesām iespēju izmantot LESD 267. pantā paredzēto procedūru. Gluži pretēji, kā jau iepriekš paskaidroju, ņemot vērā VDAR 78. un 79. pantu, ir skaidrs, ka VDAR neliedz šādu tiesību aizsardzības līdzekļu regulējumu, bet gan drīzāk nosaka dalībvalstij atbildību norādīt kompetentās tiesas un noteikt procesuālo kārtību pārsūdzībai tiesā pilnīgā saskaņā ar procesuālās autonomijas principu. Tiesa to ir atzinusi savā nesenajā judikatūrā ( 11 ).

28.

Visbeidzot jānorāda, ka SCHUFA tikai kritizē Vācijas tiesību sistēmā paredzētos tiesību aizsardzības līdzekļus, tomēr nepaskaidro, kā tieši Tiesas pasludināts spriedums šajā prejudiciālu jautājumu tiesvedībā nebūtu noderīgs lietas atrisinājumam. Kā norāda iesniedzējtiesa, Tiesas sniegta interpretācija par VDAR 22. panta 1. punktu ļautu atbildētājam īstenot savas uzraudzības pilnvaras attiecībā uz SCHUFA tādā veidā, kas atbilst Savienības tiesībām. Līdz ar to man šķiet, ka SCHUFA argumentācija, ar ko tiek apstrīdēta lūguma sniegt prejudiciālu nolēmumu pieņemamība, ir nepamatota.

29.

Ar šiem apsvērumiem principā jau ir pietiekami, lai noraidītu SCHUFA argumentāciju. Tomēr šīs lietas labākas izpratnes labad man šķiet lietderīgi izvērtēt arī argumentu par to, ka lūgumam sniegt prejudiciālu nolēmumu trūkstot pamatojums. Pretēji tam, ko apgalvo SCHUFA, iesniedzējtiesas nolēmumā šīs lietas problemātika ir izklāstīta pietiekami sīki, lai atbilstu Tiesas Reglamenta 94. panta c) punkta prasībām. Proti, iesniedzējtiesa paskaidro, ka prasītāja vēlas aizstāvēt savas tiesības attiecībā pret SCHUFA. Iesniedzējtiesas ieskatā, ja vien VDAR 22. panta 1. punkts netiek interpretēts šauri, ar to principā prasītājai tiek sniegta aizsardzība pret tās personas datu automatizētu apstrādi.

30.

Iesniedzējtiesa uzskata, ka, ņemot vērā to, kādu nozīmi daži uzņēmumi piešķir kredītinformācijas biroju noteiktajai score vērtībai, vērtējot fiziskas personas finansiālo iespēju prognozi, šo score vērtību varētu uzskatīt par patstāvīgu “lēmumu” iepriekš minētās normas izpratnē. Interpretācija šajā ziņā esot vajadzīga tālab, lai aizpildītu likuma robu, kas izrietot no tā, ka pretējā gadījumā datu subjektam nebūtu iespējams iegūt vajadzīgo informāciju atbilstoši VDAR 15. panta 1. punkta h) apakšpunktam. Ņemot vērā šo detalizēto pamatojumu, manuprāt, SCHUFA argumentācija ir jānoraida, savukārt lūgums sniegt prejudiciālu nolēmumu – jāatzīst par pieņemamu.

31.

VDAR 22. panta 1. punkts no citiem šajā regulā ietvertajiem datu apstrādes ierobežojumiem atšķiras ar to, ka noteic attiecīgā datu subjekta “tiesības” nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana. Neraugoties uz izmantoto terminoloģiju, VDAR 22. panta 1. punkta piemērojamībai nav vajadzīgs, lai datu subjekts aktīvi atsauktos uz šīm tiesībām. Proti, interpretācija, kas veikta šīs regulas 71. apsvēruma gaismā un ņemot vērā šīs tiesību normas, it īpaši tās 2. punkta – kurā minēti gadījumi, kad šāda automatizēta apstrāde izņēmuma kārtā ir atļauta, – sistēmu, drīzāk ļauj secināt, ka ar minēto tiesību normu ir noteikts vispārīgs aizliegums attiecībā uz iepriekš aprakstītā veida lēmumiem. Tomēr jāuzsver, ka šo aizliegumu piemēro tikai ļoti īpašos gadījumos, proti, konkrēti attiecībā uz lēmumiem, “kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu”.

32.

Ar pirmo jautājumu iesniedzējtiesa jautā, vai score vērtības aprēķināšana, ko veic kredītinformācijas birojs, ietilpst VDAR 22. panta 1. punkta piemērošanas jomā, ja iegūtā score vērtība tiek nodota uzņēmumam, kurš to izmanto kā izšķirošu kritēriju tam, lai pieņemtu lēmumu par līgumattiecību nodibināšanu, izpildi vai izbeigšanu ar datu subjektu. Citiem vārdiem sakot, jānoskaidro, vai šī tiesību norma ir piemērojama attiecībā uz kredītinformācijas birojiem, kas nodod score vērtības finanšu iestāžu rīcībā. Lai izvērtētu šo jautājumu, jānoskaidro, vai šajā gadījumā ir izpildīti VDAR 22. panta 1. punktā noteiktie nosacījumi.

33.

Šai tiesību normai vispirmām kārtām ir vajadzīgs, lai tiktu veikta automatizēta personas datu apstrāde, jo “profilēšana” – spriežot pēc šīs normas formulējuma – tiek uzskatīta par tās apakškategoriju ( 12 ). Šajā ziņā jāteic, ka SCHUFA veiktais scoring ietilpst juridiskajā definīcijā, kas minēta VDAR 4. panta 4. punktā, ņemot vērā, ka šajā procedūrā izmanto personas datus, lai novērtētu konkrētus ar fiziskām personām saistītus aspektus, lai analizētu vai prognozētu elementus saistībā ar šo personu ekonomisko situāciju, uzticamību un iespējamo rīcību. Proti, no lietas materiāliem izriet, ka SCHUFA izmantotā metode ļauj iegūt score vērtību, pamatojoties uz noteiktiem kritērijiem, proti, rezultātu, kas ļauj izdarīt secinājumus par datu subjekta kredītspēju. Visbeidzot jāuzsver, ka neviena no iesaistītajām pusēm neapstrīd, ka aplūkojamā procedūra ir kvalificējama par “profilēšanu”, un tādējādi šo nosacījumu šajā gadījumā var uzskatīt par izpildītu.

34.

VDAR 22. panta 1. punkta piemērojamībai ir vajadzīgs, lai aplūkojamais lēmums radītu “tiesiskās sekas” attiecībā uz datu subjektu vai to “līdzīgā veidā ievērojami ietekmē[tu]”. Tādējādi VDAR ir atzīts, ka automatizēta lēmuma pieņemšana, tostarp profilēšana, var radīt nopietnas sekas attiecīgajiem datu subjektiem. VDAR nav definēti ne termins “tiesiskās sekas”, ne vārdkopa “līdzīgā veidā ievērojami”, tomēr lietotais formulējums skaidri norāda, ka šī tiesību norma attiecas vienīgi uz tādām sekām, kas rada būtisku ietekmi. Šajā ziņā vispirms jāvērš uzmanība uz to, ka VDAR 71. apsvērumā ir skaidri minēts “tiešsaistē iesniegta kredītpieteikuma automātisks noraidījums” kā tipisks piemērs tādam lēmumam, kas “ievērojami” ietekmē datu subjektu.

35.

Jāņem vērā arī – pirmām kārtām, ciktāl kredītpieteikuma izskatīšana ir iepriekšējs posms aizdevuma līguma noslēgšanai –, ka šāda pieteikuma atteikumam var būt “tiesiskas sekas” attiecībā uz datu subjektu, jo tas vairs nevar noslēgt līgumsaistības ar aplūkojamo finanšu iestādi. Otrām kārtām, jānorāda, ka šāds atteikums var ietekmēt arī datu subjekta finansiālo situāciju. Līdz ar to ir loģiski secināt, ka šī persona jebkurā gadījumā tiks “līdzīgā veidā” ietekmēta šīs tiesību normas izpratnē. Šķiet, ka Savienības likumdevējs to ir apzinājies, formulējot VDAR 71. apsvērumu, kura gaismā jāinterpretē šīs regulas 22. panta 1. punkts. Līdz ar to uzskatu, ka, ņemot vērā situāciju, kurā atrodas prasītāja, šīs tiesību normas nosacījumi šajā gadījumā ir izpildīti, vienalga, vai uzsvaru liktu uz kredīta atteikuma juridiskajām vai ekonomiskajām sekām.

36.

Jābūt izpildītiem vēl diviem citiem nosacījumiem. Pirmkārt, ir nepieciešams, lai attiecībā uz datu subjektu būtu pieņemts akts, kuram ir “lēmuma” raksturs. Otrkārt, šim lēmumam jābūt tādam, “kura pamatā ir tikai automatizēta apstrāde”. Attiecībā uz šo pēdējo nosacījumu iesniedzējtiesas lēmumā ietvertajā faktu izklāstā nekas neliecina par to, ka vēl papildus SCHUFA piemērotajai matemātiskajai un statistikas procedūrai score vērtības kādā izšķirīgā veidā būtu noteiktas, izmantojot cilvēka veiktu individuālu vērtējumu. Līdz ar to score vērtības noteikšana kā SCHUFA veikts akts ir jāuzskata par tādu, kura “pamatā ir tikai automatizēta apstrāde”. Tomēr nebūtu jāaizmirst, ka finanšu iestādei, kurai SCHUFA dara zināmu score vērtību, attiecībā pret datu subjektu ir jāveic darbība, ko var uzskatīt par patstāvīgu darbību, proti, kredīta piešķiršana vai tās atteikums. Tādējādi rodas jautājums, kura no šīm abām darbībām ir kvalificējama par “lēmumu” VDAR 22. panta 1. punkta izpratnē; šis jautājums tiks iztirzāts šo secinājumu turpinājumā.

37.

Saistībā ar pirmo nosacījumu vispirms jānoskaidro, kāda ir “lēmuma” juridiskā iedaba un kādā formā tam ir jābūt. Etimoloģiski šis jēdziens ietver “uzskatu” vai “nostāju” attiecībā uz noteiktu situāciju. Tāpat tam ir jābūt “saistošam”, lai to nošķirtu no vienkāršiem “ieteikumiem”, kuriem principā nav nekādu juridisku vai faktisku seku ( 13 ). Tomēr pretēji tam, ko apgalvo HBDI, analoģija ar LESD 288. panta ceturto daļu man šajā kontekstā nešķiet iederīga, it īpaši tādēļ, ka tai nav nekāda pamatojuma VDAR normās.

38.

Juridiskās definīcijas neesamība ļauj secināt, ka Savienības likumdevējs izvēlējies lietot plašu jēdzienu, kurā var ietilpt vairākas darbības, kas var ietekmēt datu subjektu vairākos veidos. Proti, kā jau esmu norādījis, “lēmumam” VDAR 22. panta 1. punkta izpratnē vai nu var būt “tiesiskas sekas”, vai arī tas var ietekmēt datu subjektu “līdzīgā veidā”; savukārt tas nozīmē, ka aplūkojamajam “lēmumam” var būt nevis tieši juridiska, bet gan drīzāk ekonomiska un sociāla ietekme. Ņemot vērā to, ka ar VDAR 22. panta 1. punktu tiecas aizsargāt fiziskas personas no potenciāli diskriminējošām un netaisnīgām datu automātiskas apstrādes sekām, man šķiet, ka ir nepieciešama īpaša vērība un ar tādu ir jāveic arī šīs normas interpretācija.

39.

Visbeidzot jāuzsver – ciktāl arī privātu finanšu iestāžu darbībām var būt nopietnas sekas uz datu subjekta neatkarību un rīcības brīvību tirgus ekonomikā, it īpaši tad, ja ir runa par kredīta prasītāja maksātspējas apliecināšanu ( 14 ), neredzu nevienu objektīvu iemeslu, kādēļ jēdziens “lēmums” būtu aprobežojams tikai ar publisko jomu, proti, attiecībām starp valsti un pilsoni, kā to netieši liek domāt HBDI ieteiktā analoģija. Lai attiecībā uz datu subjektu ieņemtu nostāju kvalificētu par “lēmumu”, manuprāt, ir jāveic pārbaude katrā gadījumā atsevišķi, ņemot vērā īpašos apstākļus, kā arī to, cik nopietni ir ietekmēts šā datu subjekta tiesiskais, ekonomiskais un sociālais stāvoklis ( 15 ).

40.

Pēc tam, pamatojoties uz iepriekšējos punktos izklāstītajiem kritērijiem, jānoskaidro arī, kurš ir attiecīgais “lēmums” šajā gadījumā. Kā minēts iepriekš, no vienas puses, ir darbība, ar kuru banka piekrīt vai atsaka piešķirt kredītu tā prasītājam, un, no otras puses, score vērtība, kas iegūta SCHUFA veiktajā profilēšanas procedūrā. Manuprāt, uz šo jautājumu nav iespējams sniegt kategorisku atbildi, jo kvalifikācija ir atkarīga no katra konkrētā gadījuma apstākļiem. Konkrētāk, būtiska nozīme ir tam, kā ir strukturēta lēmuma pieņemšanas procedūra. Šajā procedūrā parasti ietilpst vairāki posmi, tādi kā profilēšana, score vērtības iegūšana un pats lēmums par kredīta piešķiršanu.

41.

Man šķiet acīmredzami, ka, lai arī finanšu iestāde var nodrošināt šo procedūru, nekas tai neliedz dažus uzdevumus – piemēram, profilēšanu un scoring vērtības iegūšanu – līgumsaistību ceļā deleģēt kredītinformācijas birojam. Proti, VDAR 22. panta 1. punktā nebūt nav prasīts, ka šie uzdevumi ir jāveic vienai vai vairākām struktūrām. Tomēr man nešķiet, ka tam, ka noteiktas kompetences, iespējams, tiek deleģētas ārpakalpojumu sniedzējam, būtu izšķiroša loma analīzē, jo šādas deleģēšanas pamatā parasti ir kādi ekonomiski un organizatoriski apsvērumi, kas katrā konkrētajā gadījumā var atšķirties.

42.

Turpretī aspekts, kuram, manuprāt, ir izšķirīga nozīme, ir saistīts ar to, vai lēmuma pieņemšanas procedūra ir veidota tā, ka kredītinformācijas biroja veiktais scoring ir priekšnosacījums finanšu iestādes lēmumam piešķirt vai atteikt kredītu. Gadījumā, ja scoring tiktu veikts bez nekādas cilvēka līdzdalības, kas vajadzības gadījumā varētu pārbaudīt tā rezultātu un attiecībā uz kredīta prasītāju pieņemamā lēmuma pareizību, šķiet loģiski par VDAR 22. panta 1. punktā minēto “lēmumu” uzskatīt pašu scoring.

43.

Uzskatīt pretēji, tāpēc ka lēmumu par kredīta piešķiršanu vai atteikumu pieņemt formāli ir finanšu iestādes ziņā, būtu ne tikai pārmērīgs formālisms, bet arī nebūtu atbilstīgi konkrētā gadījuma īpašajiem apstākļiem. Šķiet, ka tas tā vēl jo vairāk ir tādēļ, ka VDAR 22. panta 1. punktā “lēmumam” nav noteiktas nekādas īpašas formas prasības. Izšķirīgais faktors ir sekas, kādas “lēmums” rada datu subjektam. Tā kā negatīva score vērtība pati par sevi var nelabvēlīgi ietekmēt datu subjektu, proti, ievērojami ierobežot viņu brīvību izmantošanā vai pat viņu stigmatizēt sabiedrībā, šķiet pamatoti šo vērtību kvalificēt par “lēmumu” iepriekš minētās normas izpratnē, ja finanšu iestāde tam piešķir īpašu nozīmi lēmuma pieņemšanas procedūrā ( 16 ). Proti, šādos apstākļos kredīta prasītājs tiek ietekmēts jau posmā, kurā kredītinformācijas birojs vērtē viņa kredītspēju, nevis tikai kredīta atteikuma beigu posmā, kurā finanšu iestāde vienīgi piemēro šā vērtējuma rezultātu konkrētajam gadījumam ( 17 ).

44.

Ņemot vērā, pirmkārt, ka VDAR 22. panta 1. punktā ir prasīts, lai attiecīgā lēmuma pamatā būtu “tikai” automatizēta apstrāde ( 18 ), un, otrkārt, ka tiesību normas formulējums parasti nosaka robežas ikvienai interpretācijai, šķiet nepieciešami, lai automatizēta apstrāde būtu vienīgais elements, kas pamato finanšu iestādes nostāju attiecībā pret kredīta prasītāju. Tā tas būtu tad, ja šā procesa gaitā būtu iesaistījies cilvēks, taču bez iespējas ietekmēt cēloņsakarību starp automatizēto apstrādi un galīgo lēmumu. Kredītinformācijas birojam de facto būtu jāpieņem galīgais lēmums finanšu iestādes vietā. Tas ir atkarīgs no konkrētās finanšu iestādes iekšējiem noteikumiem un prakses, kam parasti nevajadzētu atstāt šai iestādei nekādu rīcības brīvību attiecībā uz score vērtības piemērošanu kredītpieteikumam.

45.

Šis būtībā ir faktuāls jautājums, kuru, manuprāt, vislabāk var vērtēt valsts tiesas. Līdz ar to iesaku uzticēt pašai iesniedzējtiesai, ņemot vērā iepriekš šajos secinājumos minētos kritērijus, noskaidrot, cik saistošs finanšu iestādei parasti ir tāda kredītinformācijas biroja kā SCHUFA veiktais scoring ( 19 ). Lai sniegtu valsts tiesai šajā lietā noderīgu atbildi, balstīšos uz informāciju, kas ir ietverta iesniedzējtiesas nolēmumā.

46.

Šajā ziņā vispirms jānorāda, ka iesniedzējtiesas ieskatā, lai arī principā šajā lēmumu pieņemšanas posmā vēl ir iespējama cilvēka līdzdalība, lēmumu par līgumattiecību noslēgšanu ar datu subjektu “praktiski tik lielā mērā nosaka kredītinformācijas biroju iesniegtā score vērtība, ka šī vērtība ietekmē pārziņa –trešās personas lēmumu”. Iesniedzējtiesas ieskatā “score vērtība, kuru kredītinformācijas birojs ieguvis, pamatojoties uz automatizētu apstrādi, parasti nosaka, vai un kādā veidā pārzinis – trešā persona – slēgs līgumsaistības ar datu subjektu”. Iesniedzējtiesa arī paskaidro – lai arī trešai personai savs lēmums nav jāpieņem atkarībā tikai no score vērtības, tomēr “parasti tā to lielā mērā dara”. Iesniedzējtiesa piebilst, ka “aizdevuma piešķiršana var tikt atteikta, neraugoties uz principā pietiekamu score vērtību (citu iemeslu, tādu kā nodrošinājuma trūkums vai šaubas par finansējamo investīciju izdošanos dēļ), bet katrā ziņā patēriņa aizdevumu jomā nepietiekamas score vērtības dēļ aizdevums tiks atteikts gandrīz visos gadījumos, un tas tā ir, pat ja ieguldījums turklāt šķiet rentabls”. Visbeidzot, šī tiesa norāda, ka “pieredze, kas gūta iestāžu veiktās datu aizsardzības uzraudzības rezultātā, rāda, ka score vērtībām ir izšķirīga nozīme aizdevumu piešķiršanā un to nosacījumu noteikšanā”.

47.

Iepriekš izklāstītie apsvērumi, manuprāt, norāda – ja vien faktu vērtējumā, kas katrā konkrētajā gadījumā jāveic valsts tiesām, neizrādās citādi –, ka ar kredītinformācijas biroja iegūto un finanšu iestādei iesniegto score vērtību parasti ir domāts priekšnoteikt šīs iestādes lēmumu par kredīta piešķiršanu vai atteikumu datu subjektam tik lielā mērā, ka šī nostājas pieņemšana ir jāuzskata par tādu, kam šajā procesā ir tikai formāls raksturs ( 20 ). No tā izriet, ka pati score vērtība ir jāuzskata par tādu, kas kvalificējama par “lēmumu” VDAR 22. panta 1. punkta izpratnē.

48.

Šāds secinājums man šķiet saprātīgs, jo jebkāda cita interpretācija apdraudētu mērķi, ko Savienības likumdevējs paredzējis sasniegt ar šo tiesību normu,– aizsargāt datu subjektu tiesības. Kā to pamatoti izklāstījusi iesniedzējtiesa, VDAR 22. panta 1. punkta šaura interpretācija radītu robu tiesiskajā aizsardzībā, proti, kredītinformācijas birojam, no kura būtu jāiegūst datu subjekta prasītā informācija, nav pienākuma to sniegt atbilstoši VDAR 15. panta 1. punkta h) apakšpunktam tāpēc, ka tas it kā neveicot pats savu “automatizētu lēmuma pieņemšanu” šīs tiesību normas izpratnē, savukārt finanšu iestāde, kura pieņem lēmumu, pamatojoties uz automatizētā veidā iegūtu score vērtību, un kurai ir pienākums sniegt prasīto informāciju atbilstoši VDAR 15. panta 1. punkta h) apakšpunktam, nespēj to sniegt tāpēc, ka tās rīcībā šīs informācijas nav.

49.

Līdz ar to gadījumā, ja lēmums tiktu apstrīdēts, finanšu iestāde nespētu pārbaudīt kredīta prasītāja kredītspējas novērtējumu, kā tas ir prasīts VDAR 22. panta 3. punktā, vai nodrošināt taisnīgu, pārredzamu un nediskriminējošu apstrādi, izmantojot atbilstošas matemātiskas vai statistikas procedūras, kā arī atbilstošus tehniskus un organizatoriskus pasākumus, kā prasīts VDAR 71. apsvēruma sestajā teikumā ( 21 ). Lai izvairītos no tādas situācijas, kas acīmredzami būtu pretrunā iepriekšējā punktā minētajam likumdošanas mērķim, iesaku izmantot tādu VDAR 22. panta 1. punkta interpretāciju, kurā tiek ņemta vērā scoring faktiskā ietekme uz datu subjekta situāciju.

50.

Šāda pieeja man šķiet loģiska, jo kredītinformācijas birojam vispārīgi vajadzētu būt vienīgajai struktūrai, kas spēj izpildīt citus datu subjekta pieprasījumus, kuru pamatā arī ir VDAR garantētās tiesības, proti, VDAR 16. pantā paredzētās tiesības panākt labojumus gadījumā, ja personas dati, kas izmantoti scoring veikšanai, izrādītos neprecīzi, kā arī VDAR 17. pantā paredzētās tiesības uz dzēšanu gadījumā, ja minētie dati būtu apstrādāti nelikumīgi. Tā kā finanšu iestāde parasti nepiedalās ne šo datu vākšanā, ne profilēšanā, jo šie uzdevumi ir deleģēti trešai personai, var pamatoti izslēgt iespēju, ka šī iestāde spēj efektīvi nodrošināt minēto tiesību ievērošanu. Savukārt datu subjektam nebūtu jācieš no nelabvēlīgām sekām šādas uzdevumu deleģēšanas dēļ.

51.

Noteikt, ka kredītinformācijas birojs ir atbildīgs score vērtības iegūšanas dēļ – nevis šīs vērtības turpmākas izmantošanas dēļ –, manuprāt, ir efektīvākais veids, kā nodrošināt to, ka tiek aizsargātas datu subjekta pamattiesības, proti, ne tikai Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 8. pantā noteiktās tiesības uz personas datu aizsardzību, bet arī Hartas 7. pantā noteiktās tiesības uz privātās dzīves neaizskaramību, jo šī darbība galu galā ir jebkura iespējama kaitējuma “avots”. Ņemot vērā risku, ka kredītinformācijas biroja noteikto score vērtību var izmantot daudzas finanšu iestādes, šķiet saprātīgi ļaut, lai datu subjekts varētu savas tiesības aizstāvēt tieši attiecībā pret šo kredītinformācijas biroju.

52.

Iepriekš izklāstīto iemeslu dēļ uzskatu, ka VDAR 22. panta 1. punkta nosacījumi ir izpildīti un tādējādi šī norma ir piemērojama tādos apstākļos kā pamatlietā esošie.

53.

Šajā kontekstā nevar pārvērtēt par daudz to, cik ļoti svarīgi ir pārzinim pilnībā ievērot savu informēšanas pienākumu pret datu subjektu. Saskaņā ar VDAR 15. panta 1. punkta h) apakšpunktu datu subjektam ir tiesības saņemt no pārziņa ne tikai apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, bet arī citu informāciju, piemēram, to, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, VDAR 22. panta izpratnē, un jēgpilnu informāciju par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

54.

Tā kā SCHUFA ir atteikusies atklāt prasītājai noteiktu informāciju par aprēķināšanas metodi, aizbildinoties, ka tā esot komercnoslēpums, ir lietderīgi precizēt VDAR 15. panta 1. punkta h) apakšpunktā paredzēto tiesību uz informāciju apjomu, it īpaši attiecībā uz pienākumu sniegt “jēgpiln[u] informācij[u] par tajā ietverto loģiku”. Manuprāt, šī norma ir jāinterpretē tādējādi, ka tā principā ietver arī aprēķināšanas metodi, kuru kredītinformācijas birojs izmanto, lai iegūtu score vērtību, ja vien nepastāv kādas aizsargājamas pretējas intereses. Šajā ziņā jāatminas VDAR 63. apsvērums, no kura tostarp izriet, ka “tiesībām piekļūt personas datiem [..] nevajadzētu nelabvēlīgi ietekmēt citu personu tiesības vai brīvības, tostarp tirdzniecības noslēpumus [komercnoslēpumus] vai intelektuālā īpašuma tiesības un jo īpaši autortiesības, ar ko aizsargāta programmatūra” (mans izcēlums).

55.

No VDAR 15. panta 1. punkta h) apakšpunkta interpretācijas, lasot to šīs regulas 58. un 63. apsvēruma gaismā, var izdarīt vairākus secinājumus. Pirmkārt, ir acīmredzami, ka Savienības likumdevējs ir pilnībā apzinājies, kādi konflikti var rasties starp Hartas 8. pantā garantētajām tiesībām uz personas datu aizsardzību, no vienas puses, un Hartas 17. panta 2. punktā nostiprinātajām intelektuālā īpašuma aizsardzības tiesībām, no otras puses. Otrkārt, ir skaidrs, ka tas nav vēlējies upurēt kādas vienas pamattiesības par labu otrām. Gluži pretēji, VDAR normu padziļināta analīze ļauj secināt, ka tas ir vēlējies nodrošināt taisnīgu līdzsvaru starp tiesībām un pienākumiem.

56.

VDAR 63. apsvērumā izklāstītais Savienības likumdevēja mudinājums uz to, ka “minēto apsvērumu rezultātam nevajadzētu būt tādam, ka datu subjektam tiek atteikts sniegt jebkādu informāciju” ( 22 ), manuprāt, nozīmē, ka katrā ziņā ir jāsniedz vismaz kāds informācijas minimums, lai neapdraudētu tiesību uz personas datu aizsardzību pašu būtību. No tā izriet, ka, lai gan komercnoslēpuma vai intelektuālā īpašuma aizsardzība principā ir leģitīms iemesls, lai kredītinformācijas birojs varētu atteikties atklāt datu subjekta score vērtības aprēķināšanai izmantoto algoritmu, ar šo iemeslu tomēr nekādi nevar pamatot absolūtu informācijas atteikumu. Tas tā vēl jo vairāk ir tad, ja pastāv piemēroti saziņas līdzekļi, kas atvieglo izpratni, vienlaikus nodrošinot noteiktu konfidencialitātes līmeni.

57.

VDAR 12. panta 1. punkts, saskaņā ar kuru “pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu [..] [15. pantā minēto informāciju] [..] attiecībā uz apstrādi” ( 23 ), man šajā kontekstā šķiet īpaši nozīmīgs. Šajā normā ir rodams apstiprinājums iepriekš izklāstītajai argumentācijai, jo no tās izriet, ka VDAR 15. panta 1. punkta h) apakšpunkta patiesais mērķis ir nodrošināt to, lai datu subjekts iegūtu informāciju saprotamā un pieejamā veidā, atbilstoši savām vajadzībām. Manuprāt, šīs prasības jau nepieļauj iespējamu pienākumu izpaust algoritmu, ņemot vērā tā sarežģītību. Proti, būtu apšaubāms, vai ir lietderīgi izpaust īpaši sarežģītu formulu, nesniedzot vajadzīgos paskaidrojumus. Šajā ziņā ir jāvērš uzmanība uz VDAR 58. apsvērumu, no kura izriet, ka iepriekš minēto prasību ievērošana ir jo īpaši svarīga “situācijās, kad [..] praksē izmantoto tehnoloģiju sarežģītība apgrūtina datu subjekta iespējas zināt un saprast, vai tiek vākti viņa personas dati, kas to dara un kādā nolūkā” ( 24 ).

58.

Izklāstīto iemeslu dēļ uzskatu, ka pienākums sniegt “jēgpiln[u] informācij[u] par tajā ietverto loģiku” ir jāsaprot tādējādi, ka tas ietver vajadzību sniegt pietiekami detalizētus paskaidrojumus par score vērtības aprēķināšanai izmantoto metodi un iemeslus, kuru dēļ ir iegūts noteikts rezultāts. Vispārīgi raugoties, pārzinim būtu jānodrošina datu subjektam vispārēja informācija – it īpaši par faktoriem, kas ņemti vērā lēmumu pieņemšanas procesā, un to attiecīgo nozīmi apkopojuma līmenī –, kas viņam būtu vienlīdz lietderīga, lai apstrīdētu jebkuru “lēmumu” VDAR 22. panta 1. punkta izpratnē ( 25 ).

59.

Ņemot vērā iepriekš minētos apsvērumus, uzskatu, ka VDAR 22. panta 1. punkts ir jāinterpretē tādējādi, ka automatizēta varbūtības vērtības iegūšana par datu subjekta spēju nākotnē pildīt no aizdevuma izrietošas saistības jau ir lēmums, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, un kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu, ja pārzinis šo ar datu subjekta personas datu palīdzību iegūto vērtību nosūta kādam pārzinim, kurš ir trešā persona un kurš šai vērtībai atbilstoši pastāvīgajai praksei piešķir izšķirošu nozīmi, lemjot par līgumattiecību nodibināšanu, izpildi vai izbeigšanu ar šo datu subjektu.

60.

Lai arī otrais jautājums ir uzdots tikai gadījumam, ja uz pirmo tiktu atbildēts noliedzoši, man šķiet, ka tam būtu nozīme arī tad, ja Tiesa nonāktu pie secinājuma, ka uz scoring attiecas VDAR 22. panta 1. punktā noteiktais automatizētas lēmumu pieņemšanas aizliegums. Tādā gadījumā – kā pamatoti norāda Somijas valdība – būtu jāizvērtē, vai ir piemērojams VDAR 22. panta 2. punkta b) apakšpunktā paredzētais izņēmums no šā aizlieguma. Atbilstoši šai tiesību normai aizliegumu nepiemēro, ja “lēmums [..] ir atļauts saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri ir piemērojami pārzinim”.

61.

Šī norma ietver skaidru rīcības brīvību regulējuma ziņā, ja tajā minētā automatizētā profilēšana ir pamatota ar Savienības vai dalībvalsts tiesību aktiem. Ja tā ir pamatota ar dalībvalsts tiesību aktiem, valsts tiesiskajā regulējumā jāparedz īpašas garantijas datu subjektam. Tiesai tātad būtu jānosaka, vai šāda “atļauja” ir secināma no paša VDAR 6. panta vai no kādas valsts tiesību normas, kura ir pieņemta, izmantojot tajā paredzētu juridisko pamatu. Šī pēdējā hipotēze, manuprāt, jāanalizē sīkāk, jo iesniedzējtiesa vaicā par BDSG 31. panta atbilstību VDAR 6. un 22. pantam, un tāpēc ir vajadzīgs, lai VDAR 6. un 22. pants varētu būt atbilstoši juridiskie pamati.

62.

Tieši par to šaubās valsts tiesa, jo, tāsprāt, nevienu no VDAR 6. un 22. panta normām nevarot izmantot par juridisko pamatu, lai pieņemtu tādu valsts tiesību normu kā BDSG 31. pants, kas noteic konkrētus noteikumus attiecībā uz scoring. Tāpēc rodas jautājums par to, vai valsts likumdevējs ir pareizi piemērojis VDAR normas, kas tam piešķir rīcības brīvību noteikt valsts tiesisko regulējumu par personas datu apstrādi atbilstoši VDAR vai pat dažos gadījumos – atkāpes no tās. Atbilde uz šo jautājumu ir sarežģīta, jo Vācijas likumdevējs likuma anotācijā nemin nevienu atvērējklauzulu ( 26 ). Tomēr tai ir nozīme it īpaši tāpēc, ka BDSG 31. panta 1. punkta 1) apakšpunktā ir skaidri noteikts, ka scoring izmantošana “ir atļauta tikai tad, ja ir tikuši ievēroti datu aizsardzības tiesību aktos ietvertie noteikumi” (mans izcēlums). Kā izklāstīšu turpinājumā, vairāki argumenti man liek uz šo jautājumu atbildēt noliedzoši.

63.

Vispirms jāmin VDAR 22. panta 2. punkta b) apakšpunkts, kurā dalībvalstīm ir piešķirtas pilnvaras atļaut tādu lēmumu, kura pamatā ir tikai automatizēta datu apstrāde, tostarp profilēšana, un kurš tādējādi būtu piesaucams kā juridiskais pamats. Tomēr jānorāda, ka šis 2. punkts nebūtu piemērojams, ja Tiesa nospriestu, ka uz scoring neattiecas šā 22. panta 1. punktā noteiktais aizliegums. Proti, gan no VDAR 22. panta formulējuma, gan no šīs normas vispārējās sistēmas skaidri izriet, ka 2. panta piemērošanas priekšnosacījums ir 1. panta nosacījumu izpilde. Līdz ar to ir acīmredzams, ka VDAR 22. panta 2. punkta b) apakšpunkta piemērošana būtu jānoraida, ja uz pirmo jautājumu tiktu atbildēts noliedzoši.

64.

Pilnības labad un ņemot vērā, ka uz pirmo jautājumu iesaku atbildēt apstiprinoši, uzskatu par vajadzīgu vērtēt, vai šī norma ir piemērojama gadījumā, ja Tiesa savukārt uzskatītu, ka kredītinformācijas biroja veikts scoring ir “lēmums” šā 22. panta 1. punkta izpratnē. Tomēr pat tādā gadījumā tas, vai šīs regulas 22. panta 2. punkta b) apakšpunkts var tikt izmantots kā juridiskais pamats, vairāku iemeslu dēļ joprojām ir apšaubāmi.

65.

Pirmkārt, jāatgādina, ka VDAR 22. pants attiecas vienīgi uz lēmumiem, kuru pieņemšanas pamatā ir “tikai” automatizēta datu apstrāde, savukārt iesniedzējtiesas ieskatā BDSG 31. pantā nediferencētā veidā ir ietverti noteikumi, kurus piemēro arī neautomatizētiem lēmumiem, vienlaikus reglamentējot score vērtību noteikšanas vajadzībām veiktās datu apstrādes pieļaujamību. Citiem vārdiem sakot, BDSG 31. pantam ir daudz plašāka materiālā piemērošanas joma nekā VDAR 22. pantam ( 27 ). Līdz ar to ir šaubas par to, vai VDAR 22. panta 2. punkta b) apakšpunktu var izmantot par juridisko pamatu.

66.

Otrkārt, kā norāda iesniedzējtiesa, jāņem vērā, ka BDSG 31. pants reglamentē to, kā saimnieciskās darbības veicēji “izmanto” varbūtības vērtību, nevis to, kā šo vērtību “iegūst” kredītinformācijas biroji; taču par šo pēdējo aspektu ir pirmais prejudiciālais jautājums. To var izsecināt arī no tiesas sēdē Vācijas valdības sniegtajiem paskaidrojumiem. Kā jau esmu sīki izklāstījis, iztirzājot minēto jautājumu, VDAR 22. panta 1. punktu piemēro arī score vērtības “iegūšanas” posmā, nevis tikai kādas finanšu iestādes veiktā tās “izmantošanas” posmā, ja vien ir izpildīti konkrēti nosacījumi ( 28 ). Citiem vārdiem sakot, šķiet, ka BDSG 31. pants reglamentē atšķirīgu situāciju nekā tā, kura ietilpst VDAR 22. panta materiālajā piemērošanas jomā; par šo apstākli gan jāpārliecinās iesniedzējtiesai. Ņemot vērā iepriekš izklāstītos apsvērumus, manuprāt, tādas valsts tiesību normas kā BDSG 31. pants pieņemšanai VDAR 22. panta 2. punkta b) apakšpunkts kā juridiskais pamats ir jāizslēdz.

67.

Saskaņā ar VDAR 6. panta 1. punktu personas datu apstrāde ir likumīga tikai tad, ja ir izpildīts nosacījums par kādu no tajā uzskaitītajiem pamatojumiem. Kā Tiesa jau ir nospriedusi, tas ir izsmeļošs un ierobežots to gadījumu uzskaitījums, kuros personas datu apstrāde var tikt uzskatīta par likumīgu ( 29 ). Līdz ar to, lai kredītinformācijas biroja veikta score vērtības iegūšana būtu atzīstama par likumīgu, tai ir jāatbilst kādai no šajā normā paredzētajām hipotēzēm.

68.

Tādā situācijā kā pamatlietā aplūkotā VDAR 6. panta 1. punkta b), c) un f) apakšpunkts principā varētu būt piemērojami. Saskaņā ar šā panta 2. punktu dalībvalstis var paturēt spēkā vai ieviest konkrētākus noteikumus, lai pielāgotu VDAR noteikumu piemērošanu. Taču jāprecizē, ka šo normu piemēro tikai ar mērķi panākt, lai būtu ievēroti 1. punkta c) un e) apakšpunkts. Tāpat arī minētā 6. panta 3. punktā ir paredzēts, ka apstrādes pamatu nosaka ar dalībvalsts tiesību aktiem, kas piemērojami pārzinim, ciktāl apstrāde attiecas uz 1. punkta c) un e) apakšpunktā minētajiem gadījumiem.

69.

No tā izriet, ka dalībvalstis drīkst pieņemt konkrētākus noteikumus, ja apstrāde ir “vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu,” vai “vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras”. Šo nosacījumu rezultātā tiek stingri regulētas dalībvalstu regulatīvās pilnvaras, tādējādi izslēdzot VDAR paredzēto atvērējklauzulu patvaļīgu izmantošanu, kas varētu apdraudēt mērķi saskaņot tiesību normas personas datu aizsardzības jomā.

70.

Turklāt šajā kontekstā jānorāda, ka, ciktāl dažās no šīm klauzulām ir izmantota VDAR raksturīga terminoloģija un nav nevienas tiešas norādes uz dalībvalstu tiesībām, izmantotais formulējums ir interpretējams autonomi un vienveidīgi ( 30 ). Ievērojot šos aspektus, turpinājumā jāpārbauda, vai uz BDSG 31. panta regulējumu attiecas kāds no VDAR 6. panta 1. punktā uzskaitītajiem pamatojumiem.

71.

Par b) apakšpunktu jāteic: no šīs normas izriet, ka apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja tā ir vajadzīga “līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei” vai “pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas”. Šajā ziņā jānorāda, ka kredītinformācijas biroju pakalpojumi līguma izpildes posmā tiek izmantoti vienīgi izņēmuma gadījumos. Vissvarīgākais ir pirmslīguma posms, kurā parasti tiek iegūta informācija par kredītspēju. Informācijas pieprasījuma nosūtīšana kredītinformācijas birojam ar nolūku panākt, lai tiktu pārbaudīta kredītspēja, manuprāt, ir atļauta, pamatojoties uz šo normu ( 31 ). Tomēr jāprecizē, ka šī norma ietver tikai atļauju potenciālajiem līgumpartneriem, kreditoriem un/vai juridisko pakalpojumu sniedzējiem veikt kredītspējas izpēti un tādējādi rada priekšnosacījumus, lai kredītinformācijas biroji varētu likumīgi vākt datus. Turpretim šī norma pati par sevi, manuprāt, nav pietiekama, lai izmantotu to par juridisko pamatu, kas vispārīgi leģitimētu kāda kredītinformācijas biroja darbības ( 32 ).

72.

Turklāt ir svarīgi atgādināt, ka VDAR 6. panta 1. punkta b) apakšpunkts patiešām kodificē vienu no personas datu apstrādes likumīguma pamatojumiem, taču neietilpst nevienā no gadījumiem, kas minēti 2. un 3. punktā, saskaņā ar kuriem dalībvalstīm ir regulatīvas pilnvaras. No tā izriet, ka, tā kā VDAR 6. pantā šie gadījumi ir izklāstīti izsmeļoši, tādu valsts tiesību normu kā BDSG 31. pants nevar pieņemt, pamatojoties tikai uz VDAR 6. panta 1. punkta b) apakšpunktu.

73.

VDAR 6. panta 1. punkta c) apakšpunktā minētais pamatojums attiecas uz apstrādi, kuras pamatā ir pārzinim saistošs “juridisks pienākums”. Tas ietver pašas valsts noteiktas prasības. Turpretī šī norma neietver pienākumus, kas izriet no tādiem civiltiesiskiem līgumiem kā, piemēram, līgums, kurš noslēgts starp finanšu iestādi un kredītinformācijas biroju. Tomēr finanšu iestādes, kurām ir jāpārliecinās par savu klientu kredītspēju atbilstoši pienākumiem, kas tām noteikti valsts tiesību aktos, var pamatoties uz šo juridisko pamatu attiecīgo informācijas pieprasījumu vajadzībām, lai tādējādi nodrošinātu, ka no kredītinformācijas biroja viedokļa šādi pieprasījumi ir pilnībā likumīgi. Turpretī kredītinformācijas biroja veikta score vērtības “iegūšana” nav uzskatāma par pasākumu, kas veikts, pildot šim birojam noteiktu “juridisku pienākumu”, jo nešķiet, ka šāds pienākums būtu paredzēts valsts tiesību aktos. Līdz ar to jāuzskata, ka šis c) apakšpunkts nevar būt derīgs juridiskais pamats tam, lai scoring atzītu par likumīgu apstrādi.

74.

Tad rodas jautājums par to, vai juridiskais pamats BDSG 31. panta pieņemšanai būtu rodams VDAR 6. panta 1. punkta e) apakšpunktā. Tas tā būtu, ja apstrāde būtu “vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras”. No vienas puses, varētu apgalvot, kā izriet gan no BDSG 31. panta pieņemšanas mērķa, kurš atspoguļots šīs valsts tiesību normas virsrakstā (“Saimnieciskās dzīves aizsardzība saistībā ar scoring un informāciju par kredītspēju”), gan no tā izstrādes materiāliem ( 33 ), ka kredītinformācijas biroji sekmē valsts ekonomikas pareizu darbību ( 34 ).

75.

Proti, tā kā šie biroji sniedz informāciju par noteiktu personu kredītspēju, tie sekmē ne tikai patērētāju aizsardzību, novēršot pārāk lielu kredītsaistību risku ( 35 ), bet arī to uzņēmumu aizsardzību, kuri tiem tirgo preces vai piešķir kredītus. Šie biroji nodrošina finanšu sistēmas stabilitāti, novēršot bezatbildīgu aizdevumu piešķiršanu aizņēmējiem ar lielu saistību nepildīšanas risku ( 36 ). Bez uzticamas kredītspējas vērtēšanas sistēmas lielai daļai sabiedrības praktiski būtu liegta iespēja saņemt aizdevumus nenosakāmu risku dēļ, saimnieciskie darījumi informācijas laikmetā būtu ievērojami apgrūtinošāki un krāpšanas mēģinājumi paliktu nepamanīti. No šāda viedokļa var piekrist iemesliem, kas acīmredzot ir mudinājuši Vācijas likumdevēju pieņemt BDSG 31. pantu.

76.

Turklāt pat tad, ja ir zināms, ka privāttiesību juridiskās personas var rīkoties sabiedrības interesēs, man šķiet skaidrs, ka ar jebkādām “leģitīmām interesēm” nevar pamatot VDAR 6. panta 1. punkta e) apakšpunkta piemērošanu. Saistība ar “oficiālu pilnvaru īstenošanu” un VDAR 45., 55. un 56. apsvērums drīzāk norāda, ka šī norma attiecas, pirmām kārtām, uz valsts iestādēm šaurā nozīmē, kā arī uz juridiskām personām, kam piešķirta kāda valsts pilnvaru daļa, un, otrām kārtām, uz privāttiesību juridiskām personām, kuras veic apstrādi sabiedriskā pakalpojuma vajadzībām, piemēram, tādās jomās kā “sabiedrības veselība”, “sociālā aizsardzība” un “veselības aprūpes pakalpojumu pārvaldība”, kas ir skaidri minētas 45. apsvērumā. Citiem vārdiem sakot, šī norma attiecas uz klasiskajiem valsts uzdevumiem.

77.

Jānorāda arī tas, ka VDAR 55. un 56. apsvērumā ir minētas “oficiāli atzītas reliģiskas apvienības”, kā arī “politiskās partijas”, proti, organizācijas, kas saskaņā ar Savienības likumdevēja kritērijiem veic darbības sabiedrības interesēs un šajā nolūkā veic personas datu apstrādi. Ņemot vērā šo konstatējumu, ir apšaubāmi, vai šī norma var ietvert arī kredītinformācijas biroju darbības, tostarp scoring. Šāda interpretācija ievērojami paplašinātu šīs normas piemērošanas jomu un padarītu ārkārtēji grūtu šīs atvērējklauzulas robežu noteikšanu ( 37 ).

78.

Papildus jau izklāstītajiem apsvērumiem šajā kontekstā vēl jānorāda – lai gan ar BDSG 31. panta mērķis ir aizsargāt saimnieciskos darījumus, šajā normā nav uzskaitīts neviens konkrēts minēto biroju uzdevums ( 38 ). Kā jau esmu norādījis iepriekš šajos secinājumos, pamatojoties uz iesniedzējtiesas sniegtajiem precizējumiem par valsts tiesisko regulējumu, šī norma attiecas uz to, kā saimnieciskās darbības veicēji “izmanto”score vērtību, nevis uz to, kā šo vērtību “iegūst” kredītinformācijas biroji ( 39 ). Taču pamatlieta būtībā ir tieši par šīs pēdējās minētās darbības likumīgumu. Iepriekš izklāstīto iemeslu dēļ uzskatu, ka VDAR 6. panta 1. punkta e) apakšpunktu nevar izmantot par juridisko pamatu.

79.

Vēl jāpārbauda, vai šī darbība ietilpst VDAR 6. panta 1. punkta f) apakšpunkta piemērošanas jomā. Saskaņā ar Tiesas judikatūru ( 40 ) aplūkojamajā tiesību normā ir paredzēti trīs kumulatīvi nosacījumi, kam ir jābūt izpildītiem, lai personas datu apstrāde būtu likumīga, proti, pirmām kārtām, datu pārziņa vai trešās personas vai trešo personu, kurām dati ir darīti zināmi, leģitīmo interešu esamība, otrām kārtām, vajadzība apstrādāt personas datus leģitīmo interešu ievērošanai un, trešām kārtām, nosacījums, ka neprevalē tās personas pamattiesības un pamatbrīvības, uz kuru attiecas datu aizsardzība.

80.

Vispirms – par “leģitīmu interešu” esamību vēlos atgādināt, ka VDAR un judikatūrā par leģitīmām atzīst plašu interešu loku ( 41 ) un vienlaikus ir precizēts, ka saskaņā ar VDAR 13. panta 1. punkta d) apakšpunktu pārzinim ir jānorāda leģitīmās intereses, kas tiek īstenotas atbilstoši VDAR 6. panta 1. punkta f) apakšpunktam. Kā šajos secinājumos jau esmu norādījis, BDSG 31. panta pieņemšanas mērķis ir nodrošināt kredītinformācijas biroju veikto darbību likumīgumu, ņemot vērā to, ka, Vācijas likumdevēja ieskatā, šīs iestādes veicina valsts ekonomikas pareizu darbību ( 42 ). Ciktāl šīs darbības nodrošina dažādu saimnieciskās darbības veicēju aizsardzību pret riskiem, kuri saistīti ar maksātnespēju un kuri nopietni ietekmē finanšu sistēmas stabilitāti, šajā analīzes posmā var pieņemt, ka iepriekš minētās valsts tiesību normas nolūks ir sasniegt ekonomikas mērķi, kas var būt “leģitīmas intereses” VDAR 6. panta 1. punkta f) apakšpunkta izpratnē.

81.

Savukārt attiecībā uz nosacījumu par vajadzību apstrādāt personas datus leģitīmo interešu īstenošanai jāteic, ka saskaņā ar Tiesas judikatūru atkāpes no personas datu aizsardzības principa un tā ierobežojumi ir piemērojami tikai tiktāl, cik tas ir stingri nepieciešams ( 43 ). Tātad apstrādei jābūt cieši saistītai ar īstenotajām interesēm un nav jābūt citām alternatīvām, kas personas datu aizsardzību nodrošinātu labāk, jo nepietiek tikai ar to, ka apstrāde ir ērta pārzinim. Šajā ziņā jānorāda – lai arī iesniedzējtiesa pauž zināmas šaubas par to, vai scoring darbība ir likumīga, ņemot vērā VDAR normas, tā nesniedz nekādu informāciju, kas liecinātu par iespējamām alternatīvām, kuras labāk nodrošinātu personas datu aizsardzību. Tā kā nav informācijas par pretējo, sliecos atzīt zināmu rīcības brīvību izvirzītā mērķa sasniegšanai piemēroto pasākumu izvēlē.

82.

Visbeidzot, par pārziņa interešu samērošanu ar datu subjekta interesēm vai pamatbrīvībām un pamattiesībām jākonstatē, ka dažādu iesaistīto interešu izsvēršana šajā gadījumā ir veikta likumdošanas ceļā. Pieņemot BDSG 31. pantu, Vācijas likumdevējs ekonomiskajām interesēm ir ļāvis prevalēt pār tiesībām uz personas datu aizsardzību. Taču šāda pieeja būtu iespējama tikai tad, ja VDAR 6. panta 1. punkta f) apakšpunktā būtu paredzēta klauzula, kas ļauj dalībvalstīm paturēt spēkā vai ieviest konkrētākas normas, lai minētās regulas noteikumus pielāgotu attiecībā uz apstrādi. Tomēr tā tas šajā gadījumā nav, kā paskaidrošu šo secinājumu turpinājumā.

83.

Kā skaidri izriet no VDAR 6. panta 2. un 3. punkta formulējuma, konkrētāku noteikumu paturēšana spēkā vai ieviešana ir atļauta tikai gadījumos, kas minēti 1. punkta c) un e) apakšpunktā. Iepriekš veiktajā analīzē ir parādīts, ka BDSG 31. pantā nav minēts neviens apstāklis, kas būtu uzskatāms par minētajiem gadījumiem; un tāpēc iespēja atsaukties uz VDAR 6. panta 2. un 3. punktu kā uz juridisko pamatu tiek loģiski izslēgta. Šo normu piemērošana 1. punkta f) apakšpunktā minētajā gadījumā ne tikai būtu pretrunā to formulējumam, bet arī neatbilstu Savienības likumdevēja vēlmei, kas izriet no minēto normu rašanās vēstures.

84.

Šajā ziņā vēlos atgādināt, ka saskaņā ar VDAR priekšteces Direktīvas 95/46/EK ( 44 ) 5. pantu dalībvalstu pienākums bija “precīzāk [noteikt] apstākļus, kādos personas datu apstrāde ir likumīga”. Interpretējot šo normu, Tiesa secināja, ka Direktīvas 95/46 5. pantā dalībvalstīm noteiktās rīcības brīvības īstenošanā šīm dalībvalstīm nekas neliedz noteikt “pamatprincipus” nepieciešamajai samērošanai atbilstoši šīs direktīvas 7. panta f) punktam, kas atbilst VDAR 6. panta 1. punkta f) apakšpunktam. Tomēr jānorāda, ka VDAR vairs nepiešķir dalībvalstīm šādas pilnvaras. Proti, tas, ka VDAR nav iekļauta līdzvērtīga norma, nozīmē, ka dalībvalstis vairs nevar noteikt pamatprincipus savās valsts tiesībās, lai precizētu “leģitīmās intereses” šīs regulas 6. panta 1. punkta f) apakšpunkta izpratnē ( 45 ).

85.

VDAR 6. panta 2. un 3. punktā ietvertā atsauce uz IX nodaļas noteikumiem “par īpašām apstrādes situācijām” nepaplašina šā panta piemērošanas jomu. Drīzāk ir runa par atsaukšanos uz normām, kas ļauj dalībvalstīm pieņemt konkrētākus noteikumus ierobežotās jomās, proti, ja apstrāde ir nepieciešama, lai izpildītu “juridisku pienākumu” 1. punkta c) apakšpunkta izpratnē vai lai izpildītu “uzdevumu, ko veic sabiedrības interesēs” vai īstenojot “oficiālās pilnvaras” šā punkta e) apakšpunktā minētajā gadījumā ( 46 ). Kā jau iepriekš esmu norādījis, šīm jomām tomēr nav nekādas saistības ar apstākļiem, kuros piemēro BDSG 31. pantu.

86.

Šajā kontekstā arī jāatgādina – lai arī Komisijas priekšlikumā regulai bija paredzēts, ka Komisijas kompetencē būs “pieņemt deleģētos aktus [..] ar nolūku sīkāk precizēt [6. panta 1. punkta f) apakšpunktā] minētos nosacījumus dažādām nozarēm un datu apstrādes arī attiecībā uz bērnu personas datu apstrādi”, Savienības likumdevējs šo priekšlikumu nepieņēma. Teksta izstrādes analīze parāda, ka dalībvalstu regulatīvās pilnvaras tika ierobežotas, lai panāktu lielāku saskaņošanu, lai nodrošinātu noteikumu personas datu aizsardzības jomā konsekventu un vienveidīgu piemērošanu, kā tas apstiprināts arī VDAR 3., 9. un 10. apsvērumā ( 47 ). Šis apstāklis ir jāņem vērā, interpretējot VDAR 6. pantu.

87.

Visbeidzot, uzskatu par vajadzīgu norādīt – pat gadījumā, ja VDAR 6. panta 1. punkta f) apakšpunkts būtu piemērojams,– tāda valsts tiesību norma kā BDSG 31. pants nebūtu uzskatāma par atbilstīgu Savienības tiesībām. Vēlos atgādināt, ka Tiesa ir interpretējusi Direktīvas 95/46 7. panta f) punktu tādējādi, ka “dalībvalsts [..] nedrīkst attiecībā uz [noteiktām personas datu] kategorijām galīgi paredzēt pretstatītu tiesību un interešu izsvēršanas rezultātu, nepieļaujot citu iznākumu atsevišķa gadījuma īpašu apstākļu dēļ” ( 48 ). Tā kā šī norma bija formulēta gandrīz identiski tai, ar kuru tā ir aizstāta, proti, VDAR 6. panta 1. punkta f) apakšpunktam, man šī interpretācija joprojām šķiet pareiza ( 49 ). Kā norāda iesniedzējtiesa, šķiet, ka valsts likumdevējam bija tieši šāds mērķis, ņemot vērā, ka, ciktāl ar BDSG 31. pantu ir atļauta score vērtību izmantošana finanšu nozarē, finanšu nozares ekonomiskajām interesēm tiek piešķirta prioritāte salīdzinājumā ar tiesībām uz personas datu aizsardzību, vienlaikus neņemot vērā konkrētā gadījuma īpašos apstākļus. Šāda pieeja nepieļaujami paplašinātu VDAR 6. panta piemērošanas jomu.

88.

Ņemot vērā iepriekš minēto, uzskatu, ka nevar derīgi atsaukties uz VDAR 6. panta 1. punkta f) apakšpunktu kā uz juridisko pamatu, lai pieņemtu tādu valsts tiesību normu kā BDSG 31. pants.

89.

Iesniedzējtiesa norāda, ka VDAR 6. panta 4. punkta un 23. panta 1. punkta normas, tās skatot kopsakarā, esot tikušas norādītas kā juridiskais pamats likumdošanas procedūrā, kuras rezultātā tika pieņemts BDSG 31. pants. Tomēr iecere pamatoties uz šīm tiesību normām vēlāk tika atmesta. Iesniedzējtiesa uzskata, ka šajā gadījumā šīs normas nav piemērojamas.

90.

Bez sīkākas informācijas nav iespējams ieņemt nostāju jautājumā par iepriekš minēto tiesību normu piemērojamību. Tas man arī nešķiet nepieciešams, ņemot vērā, ka minētajām normām nav bijusi nekāda nozīme likumdošanas procedūrā, kā to apstiprina iesniedzējtiesa ( 50 ).

91.

Iepriekšējos punktos esmu iztirzājis jautājumu par to, vai VDAR 6. un 22. pantu var izmantot par juridisko pamatu tādas valsts tiesību normas kā BDSG 31. pants pieņemšanai, lai pamatotu kredītinformācijas biroju darbības ietvaros veiktās score vērtību iegūšanas likumīgumu. Vairāki iemesli, kas ir sīki izklāstīti manā analīzē, apstiprina manu pārliecību par to, ka šāda iespēja ir jānoraida. Īsumā – uzskatu, ka, tā kā nav atvērējklauzulu vai izņēmumu, kas ļautu dalībvalstīm pieņemt konkrētākus noteikumus vai paredzēt atkāpes no VDAR noteikumiem, lai regulētu šo iepriekš minēto darbību, ņemot vērā saskaņošanas līmeni, ko tiecas sasniegt ar šo regulu, kura saskaņā ar LESD 288. pantu uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs, šāda valsts tiesību norma jāuzskata par neatbilstīgu VDAR.

92.

Tā kā interpretēt valsts tiesību normas vai spriest par to saderību ar Savienības tiesībām prejudiciāla nolēmuma tiesvedībā atbilstoši LESD 267. pantam nav Tiesas kompetencē, šajos secinājumos iztirzātie argumenti ir jāsaprot kā norādes lietā nozīmīgo VDAR normu interpretācijai ar mērķi ļaut iesniedzējtiesai vajadzības gadījumā īstenot šo kompetenci pēc tam, kad tā pati būs izvērtējusi BDSG 31. pantu šīs regulas normu gaismā, it īpaši attiecībā uz iespēju veikt valsts tiesību aktu interpretāciju atbilstīgi Savienības tiesībām.

93.

Ar Savienības tiesību pārākuma principu tiek nostiprināta Savienības tiesību prioritāte pār dalībvalstu tiesībām. Tātad šis princips uzliek par pienākumu visām dalībvalstu iestādēm nodrošināt dažādo Savienības tiesību normu pilnīgu iedarbību, jo dalībvalstu tiesības nevar ietekmēt iedarbību, kura šīm normām ir atzīta minēto valstu teritorijā. Saskaņā ar šo principu gadījumā, ja valsts tiesību aktus nav iespējams interpretēt atbilstīgi Savienības tiesību prasībām, valsts tiesai, kurai ir pienākums atbilstoši savai kompetencei piemērot Savienības tiesību normas, ir pienākums nodrošināt šo normu pilnīgu iedarbību, pēc savas ierosmes vajadzības gadījumā atstājot bez piemērošanas jebkuru tām pretrunā esošu valsts tiesību aktu normu, pat vēlāk pieņemtu, un nav nepieciešams lūgt vai gaidīt, lai tā vispirms tiktu atcelta likumdošanas kārtībā vai ar kādu citu konstitūcijā paredzētu metodi ( 51 ).

94.

Atbildot uz otro prejudiciālo jautājumu, uzskatu, ka VDAR 6. panta 1. punkts un 22. pants ir jāinterpretē tādējādi, ka tiem nav pretrunā valsts tiesiskais regulējums par profilēšanu, ja ir runa par citu profilēšanu, nevis šīs regulas 22. panta 1. punktā paredzēto. Tomēr šajā gadījumā valsts tiesiskajam regulējumam ir jāatbilst minētās regulas 6. pantā paredzētajiem nosacījumiem. It īpaši tam ir jābūt balstītam uz pienācīgu juridisko pamatu; un šo apstākli pārbaudīt ir iesniedzējtiesas ziņā.

95.

Ņemot vērā iepriekš izklāstītos apsvērumus, ierosinu Tiesai uz Verwaltungsgericht Wiesbaden (Vīsbādenes Administratīvā tiesa, Vācija) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi: