1.

Wnioski o wydanie orzeczenia w trybie prejudycjalnym, złożone przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy) na podstawie art. 267 TFUE, dotyczą wykładni art. 7 i 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”) oraz art. 6 ust. 1 akapit pierwszy lit. f), art. 17 ust. 1 lit. d), art. 40. art. 77 ust. 1 i art. 78 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( 2 ) (ogólne rozporządzenie o ochronie danych) (zwanego dalej „RODO”).

2.

Pytania te zostały przedstawione w ramach dwóch sporów, pomiędzy, odpowiednio, UF (sprawa C‑26/22) i AB (sprawa C‑64/22) a Land Hessen (krajem związkowym Hesja, Niemcy), reprezentowanym przez Hessischer Beauftragte für Datenschutz und Informationsfreiheit (inspektora ochrony danych i wolności informacji kraju związkowego Hesja, zwanego dalej „HBDI”), dotyczących wniosków złożonych odpowiednio przez UF i AB do HBDI o podjęcie działań mających na celu usunięcie przez SCHUFA Holding AG (zwaną dalej „ SCHUFA”) wpisu dotyczącego zwolnienia z pozostałej części długu.

3.

Obie sprawy dotyczą szeregu nowych kwestii prawnych dotyczących między innymi charakteru prawnego decyzji wydanej przez organ nadzorczy rozpatrujący skargę, a także zakresu kontroli sądowej, jaką sąd może sprawować w ramach skargi na taką decyzję. Sprawy te odnoszą się również do kwestii zgodności z prawem przechowywania danych osobowych z rejestrów publicznych przez biura informacji kredytowej.

4.

Zgodnie z art. 79 ust. 4 i 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/848 z dnia 20 maja 2015 r. w sprawie postępowania upadłościowego ( 3 ):

„4.   Państwa członkowskie odpowiadają zgodnie z dyrektywą 95/46/WE [Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31)] za gromadzenie i przechowywanie danych w krajowych bazach i za decyzje powzięte w celu udostępnienia tych danych we wzajemnie połączonym rejestrze, który można przeglądać za pośrednictwem europejskiego portalu »e-Sprawiedliwość«.

5.   Wśród informacji, które należy przekazać podmiotom danych, by mogły korzystać ze swoich praw – zwłaszcza z prawa do uzyskania usunięcia danych – państwa członkowskie podają termin dostępności danych osobowych przechowywanych w rejestrach upadłości”.

5.

Artykuł 5 ust. 1 RODO stanowi:

„Dane osobowe muszą być:

[…]

[…]”.

6.

Artykuł 6 ust. 1 tego rozporządzenia przewiduje:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

[…]

[…]”.

7.

Artykuł 17 ust. 1 RODO stanowi:

„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

[…]

[…]”.

8.

Zgodnie z art. 21 ust. 1 tego rozporządzenia:

„Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń”.

9.

Artykuł 40 wspomnianego rozporządzenia stanowi:

„1.   Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

2.   Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie niniejszego rozporządzenia, między innymi w odniesieniu do:

[…]

5.   Zrzeszenia i inne podmioty, o których mowa w ust. 2 niniejszego artykułu, chcące opracować kodeks postępowania lub zmienić lub rozszerzyć zakres kodeksu już obowiązującego przedkładają projekt kodeksu, zmiany lub rozszerzenia organowi nadzorczemu właściwemu na mocy art. 55. Organ nadzorczy wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z niniejszym rozporządzeniem i zatwierdza taki projekt kodeksu, zmiany lub rozszerzenia, jeżeli uzna, że stanowią one odpowiednie zabezpieczenia.

[…]”.

10.

Artykuł 77 ust. 1 RODO przewiduje:

„Bez uszczerbku dla innych [środków] administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie”.

11.

Artykuł 78 tego rozporządzenia stanowi:

„1.   Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej.

2.   Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy właściwy zgodnie z art. 55 i 56 nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi wniesionej zgodnie z art. 77.

[…]”.

12.

Paragraf 9 ust. 1 Insolvenzordnung (ustawy o postępowaniu upadłościowym), w brzmieniu obowiązującym w chwili zaistnienia okoliczności faktycznych w postępowaniach głównych, stanowi:

„Ogłoszenie publiczne następuje w drodze centralnego i obejmującego wszystkie kraje związkowe opublikowania informacji w Internecie; ogłoszeniu może podlegać wyciąg z informacji. W ogłoszeniu należy dokładnie oznaczyć dłużnika, w szczególności należy podać jego adres i dziedzinę działalności. Ogłoszenie uważa się za dokonane po upływie dwóch kolejnych dni od dnia opublikowania”.

13.

Paragraf 3 ust. 1 i 2 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (rozporządzenia w sprawie publicznych ogłoszeń w Internecie w postępowaniach upadłościowych, zwanego dalej „InsBekV”) stanowi:

„1)   Wpis danych z postępowania upadłościowego, w tym postępowania w przedmiocie otwarcia postępowania upadłościowego, w elektronicznym systemie informacyjnym i komunikacyjnym zostaje usunięty najpóźniej w terminie sześciu miesięcy po zakończeniu postępowania upadłościowego lub uprawomocnieniu się postanowienia o umorzeniu postępowania upadłościowego. Jeżeli postępowanie nie zostaje otwarte, termin rozpoczyna bieg od dnia uchylenia opublikowanych środków zabezpieczających.

2)   Do ogłoszeń w postępowaniu w sprawie zwolnienia z pozostałej części długów, w tym postanowienia na podstawie § 289 Insolvenzordnung (ustawy o postępowaniu upadłościowym), stosuje się ust. 1 zdanie pierwsze, z zastrzeżeniem, że termin zaczyna biec od dnia uprawomocnienia się postanowienia o zwolnieniu z pozostałej części długów”.

14.

UF i AB, w ramach dotyczących ich postępowań upadłościowych na mocy postanowień sądowych wydanych odpowiednio w dniach 17 grudnia 2020 r. i 23 marca 2021 r., uzyskali przedterminowe zwolnienie z pozostałej części długu. Zgodnie z § 9 ust. 1 ustawy o postępowaniu upadłościowym oraz § 3 ust. 1 i 2 InsBekV okoliczność ta była przedmiotem urzędowej publikacji w Internecie, która została usunięta po upływie sześciu miesięcy.

15.

SCHUFA jest prywatnym biurem informacji kredytowej, które rejestruje opublikowane informacje dotyczące przedterminowego zwolnienia z pozostałej części długu we własnych bazach danych, ale usuwa je dopiero trzy lata po wpisie.

16.

SCHUFA, wezwana odpowiednio przez UF i AB do usunięcia dotyczących ich wpisów, poinformowała ich, że jej działalność jest zgodna z RODO i sześciomiesięczny termin na usunięcie przewidziany w § 3 ust. 1 InsBekV nie znajduje do niej zastosowania. Następnie UF i AB złożyli skargi do HBDI jako właściwego organu nadzorczego.

17.

Po rozpoznaniu tych skarg HBDI wydał dwie decyzje odpowiednio w dniu 1 marca 2021 r. i w dniu 9 lipca 2021 r. Jego zdaniem SCHUFA ma prawo przechowywać negatywne wpisy dotyczące zwolnienia z pozostałej części długu przez okres dłuższy niż okres przewidziany dla zwolnienia z wierzytelności.

18.

UF i AB wnieśli skargi na decyzję HBDI do Verwaltungsgericht Wiesbaden (sądu administracyjnego w Wiesbaden), będącego sądem odsyłającym. W tym zakresie podnoszą oni, że HBDI jest zobowiązany, w ramach swoich zadań i uprawnień, do przyjęcia środków wobec SCHUFA w celu nakazania usunięcia dotyczących ich wpisów.

19.

W tym względzie sąd odsyłający uważa, że konieczne jest, w pierwszej kolejności, wyjaśnienie charakteru prawnego decyzji, którą organ nadzorczy wydaje po rozpatrzeniu skargi wniesionej na podstawie art. 77 ust. 1 RODO. Sąd ten wyjaśnia, że zdaniem HBDI prawo przewidziane w tym art. 77 ust. 1 jest rozumiane jako prawo do składania petycji. Tym samym podlega ono jedynie ograniczonej kontroli sądowej, która ogranicza się do sprawdzenia, czy organ nadzorczy rozpatrzył skargę i poinformował skarżącego o jej statusie i wyniku. Sąd nie powinien natomiast kontrolować merytorycznej poprawności decyzji wydanej po rozpatrzeniu skargi.

20.

Wspomniany sąd ma jednak wątpliwości, czy analiza ta jest zgodna z RODO. Jego zdaniem art. 78 ust. 1 tego rozporządzenia wymaga bowiem skutecznego środka ochrony prawnej. Ponadto, biorąc pod uwagę cel tego rozporządzenia polegający na zapewnieniu, w wykonaniu art. 7 i 8 karty, skutecznej ochrony podstawowych praw i wolności osób fizycznych, prawu do skargi nie można nadać wykładni zawężającej. Sąd odsyłający skłania się zatem do przyjęcia takiej wykładni, że wydana przez organ nadzorczy decyzja co do istoty sprawy podlega merytorycznej kontroli sądu w pełnym zakresie, przy czym jednak organ nadzorczy dysponuje zarówno uprawnieniem do swobodnej oceny, jak i uprawnieniami dyskrecjonalnymi i może zostać zobowiązany do działania jedynie wtedy, gdy nie można stwierdzić zgodnych z prawem alternatyw.

21.

W drugiej kolejności sąd odsyłający zastanawia się nad zgodnością z prawem przechowywania danych z rejestrów publicznych przez biura informacji kredytowej. W tym względzie sąd ten wyjaśnia, że biura te uzyskują od państwa wszystkie wpisy z rejestrów publicznych, w tym przypadku z rejestru dłużników i rejestru upadłości. Zdaniem HBDI dane te służą ocenie zdolności kredytowej i mogą być przechowywane tak długo, jak jest to konieczne do celów, dla których są przechowywane. Ponadto z uwagi na brak uregulowania przez prawodawcę krajowego organy nadzorcze w porozumieniu ze stowarzyszeniem biur informacji kredytowej przyjęły kodeksy postępowania, które przewidują usunięcie danych dokładnie po upływie trzech lat od dokonania wpisu w bazie.

22.

Zdaniem sądu odsyłającego w świetle art. 7 i 8 karty powstaje pytanie, czy wpisy z rejestrów publicznych mogą być przenoszone w niezmienionej postaci do rejestrów prywatnych, gdy nie istnieje konkretny powód do przechowywania danych. Prowadzi to ostatecznie do zatrzymywania danych „na zapas”, zwłaszcza gdy dane te zostały już usunięte z krajowego rejestru z uwagi na upływ okresu ich przechowywania. Ponadto SCHUFA jest tylko jednym z kilku biur informacji kredytowej i stąd dane są wielokrotnie przechowywane w Niemczech, co oznacza poważną ingerencję w prawo podstawowe określone w art. 7 karty.

23.

Sąd odsyłający dodaje, że przetwarzanie i tym samym przechowywanie danych jest dopuszczalne tylko wtedy, gdy spełniony jest jeden z warunków określonych w art. 6 ust. 1 RODO, przy czym w niniejszej sprawie znaczenie ma jedynie art. 6 ust. 1 akapit pierwszy lit. f) tego rozporządzenia. Tymczasem wątpliwe jest, czy administrator taki jak SCHUFA ma prawnie uzasadniony interes w rozumieniu tego przepisu. W każdym razie biuro informacji kredytowej, w przypadku zaistnienia prawnie uzasadnionego interesu, może przeglądać dane w rejestrach publicznych dopóty, dopóki dane są tam przechowywane.

24.

Ponadto w § 3 InsBekV prawodawca niemiecki przewidział jedynie względnie krótki okres przechowywania informacji o zwolnieniu z pozostałej części długu w rejestrze upadłości, który to okres wynosi sześć miesięcy. Uregulowanie to ma z kolei swoją podstawę prawną w art. 79 ust. 5 rozporządzenia 2015/848, zgodnie z którym państwa członkowskie podają osobom, których dane dotyczą, termin dostępności danych osobowych przechowywanych w rejestrach upadłości, by mogły one korzystać ze swoich praw, zwłaszcza z prawa do uzyskania usunięcia danych. Prawo to nie znajduje jednak zastosowania w przypadku przechowywania w wielu prywatnych rejestrach, w których dane są przechowywane dłużej.

25.

Ponadto nawet gdyby przyjąć, że przechowywanie danych z rejestrów publicznych przez prywatne biura informacji kredytowej jest zgodne z prawem, powstaje pytanie, czy kodeksy postępowania zatwierdzone zgodnie z art. 40 RODO i przewidujące trzyletnie terminy na usunięcie informacji dotyczącej zwolnienia z pozostałej części długu należy uwzględnić przy dokonywaniu wyważenia interesów, które wymaga oceny zgodnie z art. 6 ust. 1 akapit pierwszy lit. f) RODO.

26.

W tych okolicznościach Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

27.

Postanowienie odsyłające w sprawie C‑26/22 z dnia 23 grudnia 2021 r. wpłynęło do sekretariatu Trybunału w dniu 11 stycznia 2022 r. Postanowienie odsyłające w sprawie C‑64/22 z dnia 31 stycznia 2022 r. wpłynęło do sekretariatu Trybunału w dniu 2 lutego 2022 r.

28.

Postanowieniem Trybunału z dnia 11 lutego 2022 r. sprawy te zostały połączone do łącznego rozpoznania w ramach pisemnego i ustnego etapu postępowania i w celu wydania wyroku.

29.

Strony postępowań głównych, SCHUFA, rządy niemiecki i portugalski oraz Komisja Europejska przedstawiły uwagi na piśmie w terminie określonym w art. 23 statutu Trybunału Sprawiedliwości Unii Europejskiej.

30.

Pełnomocnicy procesowi stron w postępowaniu głównym i spółki SCHUFA oraz przedstawiciele Komisji przedstawili swoje stanowiska na rozprawie w dniu 26 stycznia 2023 r.

31.

Ponieważ wzajemne zaufanie stanowi podstawę każdego zobowiązania umownego w gospodarce rynkowej, jest co do zasady zrozumiałe z punktu widzenia przedsiębiorczości, że dostawcy usług i towarów pragną znać swoich klientów oraz ryzyko związane z takim zobowiązaniem umownym. Biura informacji kredytowej mogą przyczynić się do zbudowania takiego wzajemnego zaufania za pomocą metod statystycznych umożliwiających przedsiębiorstwom ustalenie, czy w danym przypadku spełnione są pewne odpowiednie kryteria, w tym kryterium wypłacalności ich klientów. W ten sposób pomagają one przedsiębiorstwom w przestrzeganiu różnych przepisów prawa Unii, które nakładają na nie właśnie taki obowiązek w odniesieniu do niektórych kategorii umów, w szczególności umów kredytu ( 4 ). Niemniej jednak rzeczone biura nie są jedynymi podmiotami świadczącymi takie usługi. Prawodawca Unii, świadom potrzeby zapewnienia pewnej przejrzystości i przewidywalności w transakcjach finansowych, wymaga od państw członkowskich utworzenia i prowadzenia jednego lub większej liczby rejestrów, w których publikowane są informacje na temat postępowań upadłościowych.

32.

Wynika z tego, że równolegle istnieje kilka baz danych, a mianowicie z jednej strony rejestry „oficjalne” prowadzone przez organy publiczne, a z drugiej strony bazy danych prowadzone przez przedsiębiorstwa prywatne. Taki paralelizm może prowadzić do konkurencji między systemami, a nawet prowadzić do konfliktów prawnych, jeżeli systemy prawne, którym podlegają te rejestry, znacznie się od siebie różnią. Różnice regulacyjne mogą stać się szczególnie problematyczne, jeżeli wpływają na ochronę danych, ponieważ niezależnie od tego, który podmiot – publiczny lub prywatny – prowadzi rejestr, musi on szanować interesy osób, których dane dotyczą, w sposobie zarządzania tymi danymi i ich zapisywania. Ze względu bowiem na to, że informacje dotyczące sytuacji ekonomicznej danej osoby charakteryzują się wrażliwością pod względem poszanowania prawa do ochrony danych osobowych i życia prywatnego, wymagana jest szczególna czujność.

33.

RODO, mające zastosowanie od dnia 25 maja 2018 r., stworzyło ramy prawne, które mają na celu uwzględnienie wyżej wymienionych interesów w całej Unii, między innymi poprzez nałożenie pewnych ograniczeń w przetwarzaniu danych osobowych. Artykuł 6 ust. 1 akapit pierwszy lit. f) RODO wymaga zatem, aby przetwarzanie było niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. Innymi słowy, zgodność przetwarzania z prawem musi być uzależniona od wyważenia różnych wchodzących w grę interesów, przy czym powinny przeważać prawnie uzasadnione interesy realizowane przez administratora danych lub osobę trzecią. Zbadanie, czy przesłanki te zostały spełnione, należy do organu nadzorczego, który na podstawie art. 77 ust. 1 RODO będzie musiał rozpatrzyć wszelkie ewentualne skargi osoby, której dane dotyczą, oparte na naruszeniu jej praw podstawowych. Wreszcie, jeżeli osoba ta podejmie decyzję o wniesieniu środka ochrony prawnej przeciwko decyzjom organu nadzorczego zgodnie z art. 78 ust. 1 RODO, zadaniem sądów krajowych będzie zapewnienie skutecznej kontroli sądowej.

34.

W poprzednich punktach niniejszej opinii pokrótce podsumowałem różne aspekty prawne podniesione przez sąd odsyłający we wnioskach o wydanie orzeczenia w trybie prejudycjalnym. Pytanie pierwsze dotyczy charakteru prawnego decyzji wydanej przez organ nadzorczy rozpatrujący skargę, a także zakresu kontroli sądowej, jaką sąd może sprawować w ramach środka ochrony prawnej przeciwko tej decyzji. Pytania od drugiego do piątego dotyczą w istocie zgodności z prawem przechowywania danych osobowych z rejestrów publicznych przez biura informacji kredytowej. Pytania prejudycjalne zostaną zbadane poniżej w kolejności, w jakiej zostały przedstawione przez sąd odsyłający.

35.

Biorąc pod uwagę, że pytanie pierwsze dotyczy dwóch etapów administracyjnego środka ochrony prawnej, a mianowicie skargi do organu nadzorczego i środka ochrony prawnej przed sądem, uregulowanych, odpowiednio, w art. 77 i 78 RODO, stosowne będzie według mnie zwięzłe opisanie tych dwóch etapów, a tym samym rozpatrzenie kwestii prawnych, nad którymi zastanawia się sąd odsyłający.

36.

Jak wskazałem w uwagach wstępnych, RODO ma na celu zapewnienie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, uznanej za prawo podstawowe w art. 8 ust. 1 karty oraz w art. 16 ust. 1 TFUE. Ponieważ przetwarzanie danych osobowych może mieć wpływ na życie prywatne, należy również wspomnieć o ochronie zagwarantowanej w art. 7 karty ( 5 ). Ponadto z art. 1 ust. 2 RODO w związku z motywami 10, 11 i 13 tego rozporządzenia wynika, że prawodawca Unii powierza to zadanie instytucjom, organom i jednostkom organizacyjnym Unii, jak również właściwym organom państw członkowskich, w tym organom nadzoru i sądom krajowym ( 6 ).

37.

W tym względzie należy zauważyć, że art. 8 ust. 3 karty stanowi, iż przestrzeganie zasad dotyczących ochrony danych osobowych podlega kontroli niezależnego organu. Artykuł 57 ust. 1 lit. a) RODO wdraża ten obowiązek wynikający z prawa pierwotnego, stanowiąc, że każdy organ nadzorczy monitoruje i egzekwuje stosowanie RODO. Do jego obowiązków należy rozpatrywanie skarg złożonych przez osobę, której dane dotyczą, co wyraźnie wynika z art. 57 ust. 1 lit. f) RODO.

38.

Trybunał orzekł, że zgodnie z tym przepisem „każdy organ nadzorczy jest zobowiązany na swoim terytorium rozpatrzyć skargi, które mogą zostać skierowane zgodnie z art. 77 ust. 1 RODO przez każdą osobę, której dane dotyczą, jeżeli ta sądzi, że przetwarzanie tych danych narusza to rozporządzenie, i przeanalizować w koniecznym zakresie ich przedmiot” ( 7 ). W tym kontekście należy zwrócić uwagę na fakt, że Trybunał podkreślił spoczywający na organie nadzorczym obowiązek „rozpatrywania takiej skargi z należytą starannością” w celu zapewnienia przestrzegania przepisów RODO. Podobnie należy zauważyć, że w motywie 141 RODO wyjaśniono, iż „[p]ostępowanie wyjaśniające na podstawie skargi powinno być prowadzone […] w zakresie odpowiadającym konkretnej sprawie” (wyróżnienie moje).

39.

Wszystkie te elementy skłaniają mnie do uznania, że organ nadzorczy ma bezwzględny obowiązek rozpatrywania skarg złożonych przez osobę, której dane dotyczą, z należytą starannością wymaganą w danym przypadku ( 8 ). Ponieważ każde naruszenie RODO może co do zasady stanowić naruszenie praw podstawowych, wydaje mi się, że przyznanie organowi nadzorczemu uprawnienia dyskrecjonalnego w zakresie decydowania o tym, czy rozpatrywać skargi, jest niezgodne z systemem ustanowionym w tym rozporządzeniu. Takie podejście podważa przyznaną mu przez RODO kluczową rolę, polegającą na egzekwowaniu przepisów dotyczących ochrony danych osobowych, i w konsekwencji jest sprzeczne z celami realizowanymi przez prawodawcę Unii ( 9 ). Ostatecznie nie należy zapominać, że skargi stanowią cenne źródło informacji dla organu nadzorczego, umożliwiające mu wykrywanie naruszeń ( 10 ).

40.

Wykładnia ta jest tym bardziej przekonująca, że art. 57 ust. 1 lit. f) RODO nakłada na organ nadzorczy szereg wymogów w ramach rozpatrywania takiej skargi, a mianowicie obowiązek prowadzenia postępowania w przedmiocie tej skargi w odpowiednim zakresie oraz informowania skarżącego o postępach i wynikach tych postępowań w rozsądnym terminie, w szczególności, jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym. Do tego dochodzi przewidziany w art. 77 ust. 2 RODO obowiązek poinformowania skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78 RODO. Wszystkie te wymogi, wchodzące w zakres pojęcia „dobrej administracji”, które znalazło wyraz w art. 41 karty w szczególności w odniesieniu do działalności instytucji i organów Unii ( 11 ), mają na celu wzmocnienie postępowania skargowego, aby uczynić z niego rzeczywisty administracyjny środek ochrony prawnej.

41.

O ile organ nadzorczy, jako gwarant przestrzegania przepisów RODO, jest zobowiązany do rozpatrywania wniesionych do niego skarg, o tyle szereg okoliczności przemawia za wykładnią, zgodnie z którą dysponuje on uprawnieniami dyskrecjonalnymi przy rozpatrywaniu tych skarg, a także pewnym zakresem uznania w odniesieniu do wyboru odpowiednich środków w celu wypełnienia swoich zadań. Rzecznik generalny H. Saugmandsgaard Øe zauważył bowiem, że art. 58 ust. 1 RODO „przyznaje […] organom nadzorczym szerokie uprawnienia dochodzeniowe” i dysponują one, na mocy art. 58 ust. 2 tego rozporządzenia „szeroką gamą środków […] służących do wykonywania powierzonego [im] zadania”, odnosząc się w tym kontekście do różnych uprawnień do przyjmowania środków naprawczych wymienionych w tym przepisie ( 12 ). Rzecznik generalny wyjaśnił następnie, że o ile „organ [nadzorczy] obowiązany jest wywiązać się w pełni z powierzonego mu zadania w zakresie nadzoru”, „wybór najbardziej skutecznego środka zależy od uznania [tego] organu przy uwzględnieniu wszystkich okoliczności rozpatrywanego przekazywania danych” ( 13 ). Mogę się jedynie zgodzić z tą wykładnią.

42.

Szczegółowy opis uprawnień organów nadzorczych do przyjęcia środków naprawczych wskazuje na fakt, że celem prawodawcy Unii nie było nadanie postępowaniu skargowemu charakteru petycyjnego. Przeciwnie, wydaje się, że celem legislacyjnym było stworzenie mechanizmu umożliwiającego skuteczną ochronę praw i interesów osób, które wnoszą skargi. Niemniej jednak wydaje mi się jasne, że ów zakres uznania nie może być interpretowany w ten sposób, że organ nadzorczy dysponuje nieograniczonym uprawnieniem upoważniającym go do działania w sposób arbitralny. Wręcz przeciwnie, organ nadzorczy jest zobowiązany do korzystania z tego zakresu uznania z poszanowaniem granic, jakie nakłada na niego prawo Unii. Również z tego powodu nie można wykluczyć możliwości, że organ nadzorczy, jako organ administracyjny, zostanie zmuszony do przyjęcia określonego środka ze względu na szczególne okoliczności danej sprawy, w szczególności, gdy istnieje poważne ryzyko naruszenia praw podstawowych osoby, której dane dotyczą.

43.

Za przyjęciem takiej wykładni, przyznającej organowi nadzorczemu pewien zakres uznania w wyborze środków, przemawia art. 58 ust. 4 RODO, który stanowi, że „[w]ykonywanie uprawnień powierzonych organowi nadzorczemu na mocy [tego] artykułu podlega odpowiednim zabezpieczeniom, w tym prawu do skutecznego środka ochrony prawnej przed sądem” (wyróżnienie moje) zgodnie z art. 47 karty. Ponadto art. 78 ust. 1 i 2 RODO przyznaje każdej osobie prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej lub w sytuacji, gdy organ ten zwleka z rozpatrzeniem jej skargi.

44.

Prowadzi to do pytania dotyczącego charakteru prawnego decyzji wydanych przez organ nadzorczy, które sąd odsyłający przedstawił we wnioskach o wydanie orzeczenia w trybie prejudycjalnym. W tym względzie należy przywołać motyw 141 RODO, z którego wynika, że „[k]ażda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do jednego organu nadzorczego oraz prawo do skutecznego środka ochrony prawnej przed sądem, zgodnie z art. 47 [karty], […] jeżeli uzna, że jej prawa wynikające z niniejszego rozporządzenia są naruszane, lub jeżeli organ nadzorczy nie reaguje na skargę, częściowo lub w całości ją odrzuca lub oddala, lub nie podejmuje działania, choć jest to niezbędne do ochrony praw tej osoby” (wyróżnienie moje). Motyw ten uwzględnia fakt, że decyzja organu nadzorczego może być niekorzystna dla osoby, której dane dotyczą, w szczególności, jeżeli organ ten stwierdza, że skarga jest bezzasadna, uważa, że nie doszło do naruszenia RODO, a zatem nie podejmuje działań w celu zaradzenia sytuacji, która doprowadziła do wniesienia skargi. Prawodawca Unii uznaje prawnie wiążący skutek takiej decyzji i w konsekwencji przyznaje wnoszącemu skargę środek ochrony prawnej przed sądem krajowym.

45.

Podobnie należy zauważyć, że organ nadzorczy nie może nie reagować, ponieważ z art. 78 ust. 2 RODO wynika, że „każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy właściwy zgodnie z art. 55 i 56 nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi wniesionej zgodnie z art. 77”. Okoliczność ta nie pozwala na zrównanie postępowania skargowego z petycją.

46.

W niniejszej sprawie, jak wskazał sąd odsyłający w postanowieniach odsyłających, organ nadzorczy wydał prawnie wiążące decyzje wobec skarżących w postępowaniu głównym. Stwierdził on zasadniczo, że przetwarzanie danych osobowych skarżących przez SCHUFA było zgodne z art. 6 ust. 1 akapit pierwszy lit. b) i f) RODO i w związku z tym w sposób dorozumiany wykluczyło zastosowanie środka dochodzeniowego lub naprawczego.

47.

Środek ochrony prawnej przewidziany w art. 78 RODO stanowi drugi etap administracyjnego środka ochrony prawnej przewidzianego w tym rozporządzeniu. W tym kontekście należy zauważyć, że zarówno „skarga” do organu nadzorczego, jak i „środek ochrony prawnej przed sądem” zostały ustanowione jako „prawa” osoby, której dane dotyczą, co jest całkowicie zrozumiałe, jeśli wyjdziemy z założenia, że art. 77–79 RODO mają na celu wdrożenie prawa do skutecznego środka prawnego, zagwarantowanego w art. 47 karty. Jak wcześniej wskazałem ( 14 ), łączna lektura art. 58 ust. 4 i art. 78 RODO w świetle motywu 141 tego rozporządzenia pozwala jasno określić ten cel ( 15 ).

48.

Co się tyczy zakresu kontroli sądowej decyzji wydawanych przez organ nadzorczy, należy przypomnieć, że w ramach autonomii proceduralnej zastosowanie mają zasadniczo krajowe zasady postępowania administracyjnego z zastrzeżeniem zasad równoważności i skuteczności ( 16 ). Uważam jednak, że środek prawny może być „skuteczny” w rozumieniu art. 47 karty i art. 78 ust. 1 RODO tylko wtedy, gdy właściwy sąd krajowy jest uprawniony i zobowiązany do poddania decyzji organu nadzorczego kontroli sądowej w pełnym zakresie, w celu sprawdzenia, czy organ nadzorczy prawidłowo zastosował RODO.

49.

Jak Trybunał przypomniał w swoim orzecznictwie, „uregulowanie nieprzewidujące dla jednostek żadnej drogi prawnej w celu uzyskania dostępu do dotyczących ich danych osobowych lub sprostowania czy usunięcia takich danych nie zapewnia poszanowania zasadniczej istoty prawa podstawowego do skutecznej ochrony prawnej, wynikającego z art. 47 karty. Artykuł 47 akapit pierwszy karty stanowi bowiem, że każdy, kogo prawa i wolności zagwarantowane przez prawo Unii zostały naruszone, ma prawo do skutecznego środka prawnego przed sądem, zgodnie z warunkami przewidzianymi w tym artykule. Samo istnienie skutecznej kontroli sądowej służącej zapewnieniu poszanowania przepisów prawa Unii jest zatem nierozerwalnie związane z istnieniem państwa prawa” ( 17 ).

50.

Wydaje mi się, że w celu określenia zakresu kontroli sądowej decyzji wydanych przez organ nadzorczy należy najpierw przytoczyć motyw 141 RODO, z którego wynika, że „[p]ostępowanie wyjaśniające na podstawie skargi powinno być prowadzone – z zastrzeżeniem kontroli sądowej – w zakresie odpowiadającym konkretnej sprawie” (wyróżnienie moje). Następnie należy przytoczyć motyw 143 RODO, który stanowi, że „każda osoba fizyczna lub prawna powinna mieć prawo do skutecznego środka ochrony prawnej przed właściwym sądem krajowym wobec decyzji organu nadzorczego wywołującej skutki prawne wobec tej osoby. Taka decyzja może dotyczyć w szczególności wykonywania przez organ nadzorczy uprawnień do prowadzenia postępowań wyjaśniających, uprawnień naprawczych i do wydawania zezwoleń lub oddalania lub odrzucania skarg” (wyróżnienie moje). Moim zdaniem fragmenty te należy rozumieć w ten sposób, że kontrola sądowa, jaką powinien przeprowadzić sąd krajowy na podstawie art. 78 RODO, powinna być przeprowadzona w pełnym zakresie, co oznacza, że powinna ona obejmować wszystkie istotne aspekty, które wchodzą w zakres uprawnień dyskrecjonalnych wykonywanych przez organ nadzorczy w ramach badania przedmiotu skargi, a także w zakres uznania tego organu w odniesieniu do wyboru środków dochodzeniowych i środków naprawczych.

51.

Cel prawodawcy Unii, jakim jest zapewnienie kontroli sądowej w pełnym zakresie każdej decyzji organu nadzorczego wywołującej skutki prawne wobec osoby, której dane dotyczą, która wniosła skargę do tego organu, staje się szczególnie oczywisty, jeśli weźmie się pod uwagę inny fragment motywu 143 RODO, który stanowi, że „[s]karga przeciwko organowi nadzorczemu powinna być wnoszona do sądu państwa członkowskiego, w którym organ nadzorczy ma siedzibę, a postępowanie powinno się toczyć zgodnie z prawem tego państwa członkowskiego.Sądy te powinny wykonywać pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy” (wyróżnienie moje) ( 18 ). Uważam, że jedynie kontrola sądowa o takim zakresie odpowiada wymogom art. 47 karty ( 19 ).

52.

Natomiast podniesione przez SCHUFA i HBDI argumenty przemawiające za ograniczoną kontrolą sądową decyzji organów nadzorczych nie wydają mi się przekonujące. Po pierwsze, „niezależność” przyznana organowi nadzorczemu na podstawie art. 52 RODO, który konkretyzuje wymóg określony w art. 8 ust. 3 karty, ma na celu ochronę tego organu przed nienależną ingerencją, ale nie zwalnia go z obowiązku wykonywania swoich zadań i uprawnień przy pełnym poszanowaniu prawa Unii oraz poddania swoich decyzji skutecznej kontroli sądowej, który to obowiązek powinien on spełnić, tak jak każdy inny organ krajowy. Po drugie, istnienie prawa do środka prawnego przed sądem przeciwko administratorowi, przewidzianego w art. 79 RODO, nie wyklucza prawa do skorzystania ze środka prawnego wobec decyzji wydanej przez organ nadzorczy na podstawie art. 78 RODO. Jako że środki te istnieją niezależnie, a jeden nie jest zależny od drugiego, mogą być stosowane równolegle ( 20 ). Nie można zatem zarzucać skarżącym, że, dążąc do obrony swoich praw chronionych przez RODO, działali oni w sposób niezgodny z prawem, na tej podstawie, że postanowili oni skorzystać z określonego środka prawnego. W konsekwencji argumenty te należy oddalić.

53.

W świetle powyższych rozważań na pierwsze pytanie prejudycjalne należy odpowiedzieć, iż art. 78 ust. 1 RODO należy interpretować w ten sposób, że z przepisu tego wynika, iż prawnie wiążąca decyzja organu nadzorczego podlega kontroli sądowej w pełnym zakresie pod względem merytorycznym.

54.

Pytania prejudycjalne od drugiego do piątego dotyczą w istocie zgodności z prawem przechowywania danych osobowych z rejestrów publicznych przez biura informacji kredytowej. Pytania przedstawione przez sąd odsyłający dotyczą szeregu zagadnień prawnych związanych z tą praktyką, które należy zbadać w sposób ustrukturyzowany. Dla zachowania jasności uważam, że należy pogrupować te pytania według ich tematyki i rozpatrzyć je w tej kolejności.

55.

W celu udzielenia sądowi odsyłającemu użytecznej odpowiedzi, która umożliwi mu rozstrzygnięcie zawisłego przed nim sporu, Trybunał będzie musiał dokonać wykładni szeregu przepisów RODO, które, mimo że nie zostały wyraźnie wskazane w pytaniach, wydają się jednak istotne. Takie podejście jest możliwe, ponieważ zgodnie z utrwalonym orzecznictwem Trybunał może wywieść ze wszystkich informacji dostarczonych przez sąd odsyłający, a w szczególności z uzasadnienia postanowienia odsyłającego, przepisy i zasady prawa Unii, które wymagają wykładni w kontekście przedmiotu postępowania głównego ( 21 ).

56.

Taka pogłębiona analiza wydaje mi się tym bardziej konieczna, że sąd odsyłający w swoich pytaniach odnosi się niekiedy wyłącznie do art. 7 i 8 karty, mimo że przepisy te nie powinny być stosowane oddzielnie, jak wyjaśnił Trybunał, lecz powinny być brane pod uwagę w ramach wyważenia interesów przewidzianego w art. 6 ust. 1 akapit pierwszy lit. f) RODO ( 22 ). Ponadto w tym kontekście należy przypomnieć, że w zakresie, w jakim przepisy RODO wdrażają rozpatrywane prawa podstawowe, wykładnia prawa wtórnego stanowi logicznie punkt wyjścia dla każdej wykładni, która powinna być odczytywana w świetle prawa pierwotnego, którego integralną częścią jest karta ( 23 ). W związku z tym do poniższej analizy włączę wszystkie przepisy, które wydają mi się istotne.

57.

Rozdział II RODO, zatytułowany „Zasady”, określa zasady dotyczące przetwarzania danych osobowych. Poniżej rozważę, czy praktyka biur informacji kredytowej, polegająca na przechowywaniu danych osobowych z rejestrów publicznych przez okres trzech lat, jest zgodna z zasadami, które wydają mi się najbardziej istotne w niniejszym kontekście, a mianowicie z zasadami zgodności z prawem, ograniczenia celu i minimalizacji danych.

58.

W celu przeprowadzenia analizy będę opierał się na informacjach dostarczonych przez sąd odsyłający i spółkę SCHUFA, podkreślając jednocześnie, że do tej ostatniej, jako administratora danych, należy wykazanie, że wspomniane wyżej zasady były przestrzegane, zgodnie z zasadą rozliczalności ustanowioną w art. 5 ust. 2 RODO.

59.

Artykuł 5 ust. 1 lit. a) RODO wymaga, aby dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Zgodnie z art. 6 ust. 1 RODO przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest warunek jednej z wymienionych w nim podstaw. Jak orzekł Trybunał, jest to wyczerpujący i zamknięty wykaz przypadków, w których takie przetwarzanie może zostać uznane za zgodne z prawem ( 24 ). Sąd odsyłający dąży w istocie do ustalenia, czy art. 6 ust. 1 akapit pierwszy lit. f) RODO zezwala biuru informacji kredytowej na przechowywanie danych osobowych z rejestrów publicznych w celu udostępnienia tych danych klientowi na żądanie.

60.

Zgodnie z orzecznictwem Trybunału ( 25 ) art. 6 ust. 1 akapit pierwszy lit. f) RODO ustanawia trzy kumulatywne przesłanki legalności przetwarzania danych osobowych, a mianowicie, po pierwsze, realizację uzasadnionych interesów przez administratora danych lub osoby trzecie, którym dane są ujawniane, po drugie, konieczność przetwarzania danych osobowych dla potrzeb wynikających z tych uzasadnionych interesów, oraz po trzecie, przesłankę, aby podstawowe prawa i wolności osoby objętej ochroną danych nie miały nadrzędnego charakteru. O ile do sądu odsyłającego należy ocena, czy przesłanki te zostały spełnione, o tyle do Trybunału należy ukierunkowanie go przy dokonywaniu tej oceny poprzez wyjaśnienie podniesionych kwestii prawnych.

61.

Co się tyczy w pierwszej kolejności realizacji jednego z „prawnie uzasadnionych interesów”, chciałbym przypomnieć, że istnieje szeroki wachlarz interesów uznanych w RODO i orzecznictwie za takowe ( 26 ); pragnę przy tym wyjaśnić, że zgodnie z art. 13 ust. 1 lit. d) RODO to na administratorze ciąży obowiązek podania prawnie uzasadnionych interesów realizowanych w ramach art. 6 ust. 1 akapit pierwszy lit. f) RODO.

62.

SCHUFA podnosi, że rozpatrywane przetwarzanie danych służy realizacji prawnie uzasadnionych interesów o dużym znaczeniu. Dokładniej rzecz ujmując, biura informacji kredytowej przetwarzają dane niezbędne do oceny zdolności kredytowej osób lub przedsiębiorstw, aby móc udostępnić te informacje swoim kontrahentom. Ma to chronić również interesy gospodarcze przedsiębiorstw, które chcą zawrzeć umowy kredytu. Ponadto określenie zdolności kredytowej i dostarczenie o niej informacji ma stanowić podstawę kredytowania i zdolności do funkcjonowania gospodarki. Działalność tych biur ma przyczyniać się również do skonkretyzowania planów handlowych osób zainteresowanych transakcjami kredytowymi, ponieważ informacje pozwalają na szybkie i niebiurokratyczne badanie.

63.

Uważam, że nie ma co do zasady żadnego obiektywnego powodu, aby wątpić w zasadność interesu spółki SCHUFA w świadczeniu na rzecz jej klientów usługi handlowej opisanej powyżej oraz interesu klientów tej spółki w korzystaniu z jej usług w celu oceny zdolności kredytowej potencjalnych partnerów handlowych we wskazanym znaczeniu. O ile prawdą jest, że świadczenie tego rodzaju usług ma na celu uzyskanie wynagrodzenia, a tym samym stanowi model biznesowy prywatnego przedsiębiorcy, o tyle okoliczność ta sama w sobie nie wystarcza, aby podważyć fakt, że pierwsza przesłanka, o której mowa w art. 6 ust. 1 akapit pierwszy lit. f) RODO, została spełniona w niniejszej sprawie.

64.

Co więcej, cel realizowany przez rozpatrywaną usługę jest w istocie podobny do celu zamierzonego przez prawodawcę Unii poprzez przyjęcie art. 24 rozporządzenia 2015/848, który zobowiązuje państwa członkowskie do ustanowienia i prowadzenia na ich terytorium jednego lub większej liczby rejestrów, w których ogłasza się informacje o postępowaniach upadłościowych. Jak wynika z motywu 76 wspomnianego rozporządzenia, celem rejestrów publicznych jest „[a]by poprawić informowanie odpowiednich wierzycieli i sądów oraz zapobiec wszczynaniu równoległych postępowań upadłościowych”. Wydaje mi się, że usługa oferowana przez spółkę SCHUFA nie ma innego celu. Kwestia, czy paralelizm systemów może prowadzić do konfliktów prawnych, zostanie omówiona w dalszej części. Na tym etapie analizy wystarczy stwierdzić, że ze względu na identyczność celów należy uznać, iż przetwarzanie danych przez spółkę SCHUFA służy prawnie uzasadnionemu interesowi w rozumieniu art. 6 ust. 1 akapit pierwszy lit. f) RODO.

65.

W odniesieniu do przesłanki, według której przetwarzanie danych osobowych musi być niezbędne do realizacji prawnie uzasadnionych interesów, zgodnie z orzecznictwem Trybunału odstępstwa od ochrony danych osobowych i jej ograniczenia powinny być stosowane jedynie wtedy, gdy jest to absolutnie konieczne ( 27 ). Jeżeli nie ma alternatywnego rozwiązania, które byłoby lepsze z punktu widzenia ochrony danych osobowych, konieczne jest zatem istnienie ścisłego związku między przetwarzaniem a realizowanym interesem, gdyż nie wystarczy, aby przetwarzanie było jedynie użyteczne dla administratora.

66.

W niniejszej sprawie należy wykazać, że pozyskanie danych osobowych dotyczących niewypłacalności z rejestrów publicznych i ich prywatne przechowywanie stanowią jedyną możliwość zaoferowania przez spółkę SCHUFA tych konkretnych informacji jej klientom w celach handlowych. Nie można wykluczyć, że SCHUFA ma możliwość oferowania usługi komercyjnej i dostarczania informacji na temat wypłacalności osób, korzystając z innych dostępnych danych. Do sądu odsyłającego należy zbadanie, czy możliwość ta pozwoliłaby spółce SCHUFA nadal skuteczne oferować tę usługę handlową jej klientom.

67.

SCHUFA uważa, że przetwarzanie danych jest niezbędne. Jej zdaniem, gdyby biuro informacji kredytowej czekało na konkretne zapytanie przed rozpoczęciem zbierania danych, udzielenie informacji w odpowiednim czasie byłoby niemożliwe. SCHUFA jest zdania, że fakt, iż dane są (również) publicznie dostępne przez pewien czas, nie ma żadnego wpływu na prawnie uzasadnione interesy biur informacji kredytowej ani na niezbędność przetwarzania.

68.

Jeżeli przechowywanie danych osobowych z rejestrów publicznych nie byłoby konieczne, aby SCHUFA mogła oferować swoim klientom swoją usługę komercyjną, przetwarzanie to nie byłoby zgodne z prawem na podstawie art. 6 ust. 1 akapit pierwszy lit. f) RODO. Natomiast gdyby druga przesłanka tego przepisu została spełniona, sąd odsyłający powinien jeszcze zbadać trzecią i ostatnią z kumulatywnych przesłanek tego przepisu.

69.

Wreszcie, jeśli chodzi o wyważenie z jednej strony interesów administratora danych, a z drugiej strony interesów lub podstawowych wolności i praw podstawowych osoby, której dane dotyczą, zgodnie z orzecznictwem Trybunału wyważenie wchodzących w grę interesów należy do sądu odsyłającego ( 28 ). W tym względzie wytyczne dawnej Grupy roboczej art. 29, obecnie „Europejskiej Rady Ochrony Danych”, której zadania są określone w art. 70 RODO, wymieniają następujące czynniki, które należy uwzględnić przy tym wyważaniu: i) ocenę uzasadnionego interesu administratora; ii) wpływ na osoby, których dane dotyczą; iii) tymczasową równowagę oraz iv) dodatkowe gwarancje stosowane przez administratora, aby zapobiec nadmiernemu wpływowi na osoby, których dane dotyczą ( 29 ). W celu przeprowadzenia szczegółowej i logicznej analizy proponuję zastosować te czynniki do spraw w postępowaniach głównych. Takie podejście przyczyni się ponadto do bardziej spójnego stosowania RODO zgodnie z celami realizowanymi przez prawodawcę Unii.

70.

W odniesieniu do pierwszego czynnika należy stwierdzić, że interes zarówno spółki SCHUFA, jak i jej klientów ma charakter czysto gospodarczy. Prywatne biura przechowują dane osobowe z rejestrów publicznych w celu oferowania swoim klientom usługi polegającej na dostarczaniu informacji o zdolności kredytowej osoby, której dane dotyczą, w szczególności w oparciu o te dane. Jak powyżej wyjaśniłem ( 30 ), taki interes wydaje się uzasadniony dla celów niniejszej analizy.

71.

Jeśli chodzi o drugi czynnik, tj. wpływ przetwarzania na osobę, której dane dotyczą, termin usunięcia wydaje się istotnym czynnikiem. Im dłuższy jest okres przechowywania danych w bazach danych prywatnych biur informacji kredytowej, tym większe są konsekwencje dla osoby, której dane dotyczą. W niniejszej sprawie dane osobowe skarżących w postępowaniu głównym były przetwarzane w rejestrze publicznym „[a]by poprawić informowanie odpowiednich wierzycieli i sądów oraz zapobiec wszczynaniu równoległych postępowań upadłościowych”, jak tego wymaga motyw 76 rozporządzenia 2015/848. Przy wyważaniu różnych interesów ustawodawca niemiecki uznał, że okres, w którym publikacja danych dotyczących postępowania upadłościowego w takich rejestrach publicznych jest niezbędna do osiągnięcia tego celu, wynosi sześć miesięcy. Wydaje się zatem, że przechowywanie danych osobowych po upływie tego sześciomiesięcznego okresu ma a priori znaczący negatywny wpływ na osobę, której dane dotyczą.

72.

Z orzecznictwa Trybunału wynika, że istnieją inne czynniki, które należy wziąć pod uwagę w ramach analizy, a mianowicie warunki dostępu do baz danych oraz możliwości oferowane w celu rozpowszechniania danych osobowych ( 31 ). Mówiąc prościej, im łatwiejsza jest publiczna dostępność informacji, tym poważniejsza jest ingerencja w prawa podstawowe osoby, której dane dotyczą. Dotyczy to w szczególności przypadków, w których liczba użytkowników mających dostęp do danych osoby, której dane dotyczą, jest znaczna ( 32 ). W związku z tym wydaje mi się oczywiste, że nawet jeśli dane są już dostępne w rejestrach publicznych przez wspomniany sześciomiesięczny okres, to fakt, że są one przechowywane i dostępne równolegle w bazach danych prywatnych biur informacji kredytowej, ma dodatkowy wpływ na życie prywatne danej osoby, który wzmaga negatywne konsekwencje dostępności tych danych w rejestrach publicznych.

73.

Dodatkowym czynnikiem, który należy uwzględnić w analizie jest potencjalnie wrażliwy charakter tych danych ( 33 ). Ogólnie rzecz biorąc, można stwierdzić, że wpływ na osobę, której dane dotyczą, wzrasta wraz ze wzrostem wrażliwości danych osobowych. W tym względzie należy zauważyć, że z orzecznictwa Trybunału wynika, iż dane osobowe dotyczące windykacji należności są rzeczywiście danymi wrażliwymi z punktu widzenia życia prywatnego osoby, której dane dotyczą ( 34 ). Udostępnianie tego rodzaju danych co do zasady nieograniczonej liczbie użytkowników należy zatem uznać za istotną ingerencję w prawa podstawowe tej osoby ( 35 ).

74.

Wreszcie wydaje mi się, że należy wziąć pod uwagę również czynnik czasu. Nawet bowiem zgodne z prawem przetwarzanie danych może z czasem nie być już zgodne z RODO, jeżeli dane te nie są lub przestały być adekwatne lub są nadmierne w stosunku do celu, dla którego zostały pierwotnie zebrane. Z tego punktu widzenia zastanawiam się poważnie, w jaki sposób przechowywanie danych osobowych mogłoby być uzasadnione przez okres trzech lat, podczas gdy ustawodawca krajowy uważa, że sześciomiesięczny okres przechowywania, czyli okres znacznie krótszy, w zupełności wystarczy do uwzględnienia interesów handlowych podmiotów gospodarczych. Pragnę zauważyć, że SCHUFA nie była w stanie udzielić jasnej i przekonującej odpowiedzi na to pytanie ( 36 ), mimo że na mocy art. 5 ust. 2 RODO spoczywa na niej obowiązek wykazania, że przestrzegała przepisów dotyczących przetwarzania danych osobowych ( 37 ).

75.

Ocena wszystkich elementów wymienionych w poprzednich punktach prowadzi mnie do wniosku, że znaczące negatywne konsekwencje, jakie przechowywanie danych będzie miało dla osoby, której dane dotyczą, po upływie rzeczonego sześciomiesięcznego okresu wydają się przeważać nad interesem handlowym przedsiębiorstwa prywatnego i jego klientów w przechowywaniu danych po tym okresie. W tym kontekście należy podkreślić, że przyznane zwolnienie z pozostałej części długu ma umożliwić beneficjentowi ponowny udział w życiu gospodarczym ( 38 ). Skarżący w postępowaniu głównym i Komisja zwrócili również uwagę na ten aspekt podczas rozprawy. Tymczasem cel ten zostałby udaremniony, gdyby prywatne biura informacji kredytowej były uprawnione do przechowywania danych osobowych w swoich bazach danych po usunięciu tych danych z rejestru publicznego.

76.

Wreszcie, jeśli chodzi o dodatkowe gwarancje, jakie może ustanowić administrator, aby zapobiec nadmiernemu wpływowi przetwarzania danych na osoby, których dane dotyczą, w postanowieniu odsyłającym ani w uwagach SCHUFY nie ma nic, co wskazywałoby na istnienie takich gwarancji.

77.

W świetle powyższych rozważań uważam, że przechowywanie danych przez prywatne biuro informacji kredytowej przestaje być zgodne z prawem na podstawie art. 6 ust. 1 akapit pierwszy lit. f) RODO z chwilą usunięcia danych osobowych dotyczących niewypłacalności z rejestrów publicznych.

78.

W odniesieniu do sześciomiesięcznego okresu, w którym dane osobowe są również dostępne w rejestrach publicznych, do sądu odsyłającego należy wyważenie interesów i wpływu przetwarzania danych na osobę, której dane dotyczą, w celu ustalenia, czy równoległe przechowywanie tych danych przez prywatne biura informacji kredytowej jest zgodne z prawem na podstawie art. 6 ust. 1 akapit pierwszy lit. f) RODO.

79.

Zgodnie z zasadą ograniczenia celu określoną w art. 5 ust. 1 lit. b) RODO należy zapewnić, aby dane osobowe zbierane w określonym celu nie były dalej przetwarzane w sposób niezgodny z tymi celami. W niniejszej sprawie dane dotyczące niewypłacalności i zwolnienia z pozostałej części długu były przetwarzane przez organy publiczne w ramach wypełniania obowiązków prawnych.

80.

Jednak w odniesieniu do późniejszego wykorzystania danych przez prywatne biuro informacji kredytowej należy zbadać, w świetle RODO i przy zastosowaniu kryteriów określonych w art. 6 ust. 4 tego rozporządzenia, czy zamierzony cel jest zgodny z pierwotnym celem. Szczególne znaczenie dla niniejszej sprawy mają lit. a), b) i d) tego przepisu. Ustanawiają one następujące kryteria: i) związek między pierwotnym celem a dalszym celem; ii) kontekst, w którym dane zostały zebrane, a w szczególności relacje między osobami, których dane dotyczą a administratorem, jak również iii) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osoby, której dane dotyczą.

81.

Po pierwsze, wydaje się, że związek między celami jest ograniczony, chociażby dlatego, że pierwotny cel jest przewidziany przez ustawę, a konkretnie przez prawo Unii, które nakłada na państwa członkowskie obowiązek utworzenia i prowadzenia rejestrów ( 39 ), a administrator jest organem publicznym działającym w ramach zadań powierzonych mu przez prawo, podczas gdy późniejszy cel jest realizowany przez podmiot prywatny w ramach działalności gospodarczej polegającej na dostarczaniu informacji gospodarczych o osobach.

82.

Po drugie, co się tyczy kontekstu, w jakim dane zostały zebrane, należy stwierdzić, że nie istnieje żaden związek między administratorem danych a osobą, której dane dotyczą, ponieważ dane pobierane są bezpośrednio z rejestrów, a zatem osoba, której dane dotyczą, nie ma wiedzy ani o tym, że jej dane mogą zostać później wykorzystane, ani o tym, przez kogo i w jakim celu mogą one zostać wykorzystane. Aspekt ten wydaje mi się szczególnie poważny z punktu widzenia ochrony danych osobowych, ponieważ co do zasady nikt nie może racjonalnie oczekiwać dalszego przetwarzania swoich danych osobowych ( 40 ). Okoliczność, że ustawa przewiduje określony okres przechowywania danych w rejestrach publicznych, może w sposób uzasadniony sugerować, że rzeczone dane zostaną usunięte po upływie tego okresu.

83.

Po trzecie, co się tyczy możliwych konsekwencji, jakie dalsze przetwarzanie danych może mieć dla osób, których dane dotyczą, należy podkreślić, że informacje dotyczące postępowań upadłościowych będą zawsze wykorzystywane jako czynnik negatywny przy przyszłej ocenie zdolności kredytowej i wypłacalności osoby fizycznej, której dane dotyczą, co ma istotny wpływ na prawa tej osoby. Fałszywy obraz jej sytuacji ekonomicznej może wywołać niekorzystne skutki dla osoby, której dane dotyczą, znacznie utrudniając wykonywanie jej swobód, a nawet piętnując ją w społeczeństwie. W zakresie, w jakim osoba, której dane dotyczą, może napotkać na odmowę dostępu do towarów i usług, może być ona ofiarą nieuzasadnionej dyskryminacji.

84.

W świetle tych trzech kryteriów, które muszą zostać spełnione, aby wykorzystanie danych osobowych było zgodne z pierwotnym celem, jak wymaga tego art. 6 ust. 4 RODO, wydaje się wątpliwe, aby dalsze wykorzystanie tych danych mogło być zgodne z tym celem.

85.

Ponadto należy zauważyć, że ustanawiając maksymalny sześciomiesięczny okres publikacji ogłoszenia o upadłości i sądowej decyzji o zwolnieniu z pozostałej części długu, jeżeli spełnione są przesłanki prawne, ustawodawca krajowy uwzględnił już realizację interesu publicznego i wyważył interes wierzycieli z jednej strony oraz interesy i prawa osób niewypłacalnych z drugiej strony ( 41 ). Przetwarzanie danych osobowych przez przedsiębiorstwo prywatne przez okres sześciokrotnie dłuższy niż okres przewidziany w ustawie dotyczącej rejestrów publicznych wydaje się nadmierny i de facto karze osobę, której dane dotyczą, mimo że ustawa wyraźnie nie przewiduje takiego przetwarzania. Jak już bowiem zauważyłem, przyznane zwolnienie z pozostałej części długu ma umożliwić beneficjentowi ponowny udział w życiu gospodarczym. Tymczasem cel ten zostałby udaremniony, gdyby prywatne biura informacji kredytowej były uprawnione do przechowywania danych osobowych w swoich bazach danych po usunięciu tych danych z rejestru publicznego ( 42 ). W braku dowodu przeciwnego należy obawiać się, że warunki dostępu do bazy danych mogły zostać opracowane z zamiarem obejścia przepisów krajowych przyjętych przez państwo członkowskie w celu wypełnienia obowiązków nałożonych na nie przez prawo Unii ( 43 ).

86.

Ponadto nieproporcjonalne wydaje się „ponowne wykorzystanie” sytuacji przeszłej i już wyjaśnionej pod względem prawnym, takiej jak zwolnienie z pozostałej części długu, w przyszłych ocenach, zamiast wykorzystania czynników zaktualizowanych w momencie przeprowadzania analizy ryzyka w celu zapewnienia dokładniejszej i obiektywnej oceny sytuacji ekonomicznej danej osoby. Można bowiem zastanawiać się nad wartością informacji dotyczącej sytuacji ekonomicznej osoby, która pochodzi sprzed kilku lat. Dane osobowe związane z okolicznością, która sięga w przeszłość, nie dostarczają wiarygodnych informacji na temat aktualnej sytuacji ekonomicznej osoby, której dane dotyczą. Wydaje się, że ustawodawca niemiecki uznał ten problem i wyciągnął z niego dobre wnioski, wybierając znacznie krótszy okres przechowywania danych.

87.

Wreszcie wydaje mi się, że sposób postępowania biur informacji kredytowej jest sprzeczny z zasadą minimalizacji danych ustanowioną w art. 5 ust. 1 lit. c) RODO, zgodnie z którą dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane W tym względzie pojawia się w istocie pytanie, jaki sens ma udostępnianie danych osobowych, które są już publicznie dostępne w rejestrach utworzonych przez państwa członkowskie. Wydaje mi się raczej, że taka działalność może prowadzić do rozpowszechniania wrażliwych informacji, które nie jest bezwzględnie konieczne, aby zaspokoić interesy handlowe podmiotów gospodarczych ( 44 ).

88.

Z powodów przedstawionych powyżej uważam, że przechowywanie tych danych przez prywatne biuro informacji kredytowej nie stanowi praktyki zgodnej z zasadami ograniczenia celu i minimalizacji danych, ustanowionymi odpowiednio w art. 5 ust. 1 lit. b) i c) RODO.

89.

Powyższa analiza prowadzi mnie do wniosku, że praktyka biur informacji kredytowej, polegająca na przechowywaniu danych osobowych z rejestrów publicznych przez okres trzech lat, nie jest zgodna z zasadami dotyczącymi przetwarzania danych osobowych ustanowionymi w RODO. Niemniej jednak należy uściślić, że wniosek ten opiera się na ocenie okoliczności faktycznych, co ostatecznie należy do sądu odsyłającego, który ma rozstrzygnąć spór.

90.

Sąd odsyłający zmierza również do ustalenia, czy „prawo do bycia zapomnianym” ustanowione w art. 17 RODO oznacza, że dane osobowe powinny być usuwane z baz danych prywatnego biura informacji kredytowej, które istnieją równolegle do rejestrów publicznych i zawierają te same dane. Sąd odsyłający dokonuje rozróżnienia między okresem, w którym dane osobowe są również dostępne w rejestrze publicznym, a okresem, w którym dane te nie są już w nim dostępne.

91.

W art. 17 ust. 1 lit. d) RODO przewidziano bezwzględne prawo osoby, której dane dotyczą, do usunięcia jej danych osobowych w przypadku ich niezgodnego z prawem przetwarzania ( 45 ). W związku z tym, biorąc pod uwagę wniosek, do którego doszedłem w ramach mojej analizy ( 46 ), w przypadku gdyby sąd odsyłający uznał, że SCHUFA nie mogła przetwarzać danych osobowych skarżących zgodnie z prawem na podstawie art. 6 ust. 1 akapit pierwszy lit. f) RODO, takie przetwarzanie byłoby niezgodne z prawem, gdyby nie miała zastosowania żadna inna podstawa z art. 6 ust. 1 RODO. W takim przypadku SCHUFA byłaby zobowiązana do usunięcia danych osobowych skarżących, a skarżący mieliby do tego prawo, i to niezależnie od tego, czy wnieśli oni o usunięcie danych w okresie poprzedzającym usunięcie tych danych z rejestru publicznego, czy też po ich usunięciu. Taki rezultat wydaje się również zgodny z wymogami art. 5 ust. 1 lit. e) RODO, który stanowi, że dane osobowe muszą być „przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane” (wyróżnienie moje).

92.

W tym względzie pragnę zwrócić uwagę na art. 79 ust. 5 rozporządzenia 2015/848, który podkreśla znaczenie, jakie prawodawca Unii przypisał prawu do usunięcia danych, w szczególności, gdy organy przetwarzają szczególnie wrażliwe dane osobowe, takie jak dane związane z wypłacalnością osób, których dane dotyczą. Zgodnie z tym przepisem „[w]śród informacji, które należy przekazać podmiotom danych, by mogły korzystać ze swoich praw – zwłaszcza z prawa do uzyskania usunięcia danych – państwa członkowskie podają termin dostępności danych osobowych przechowywanych w rejestrach upadłości” (wyróżnienie moje). Prawodawca Unii ewidentnie uznał konieczność usuwania tego rodzaju danych, gdy ich przechowywanie nie jest już uzasadnione.

93.

Chociaż wnioski o wydanie orzeczenia w trybie prejudycjalnym dotyczą jedynie wykładni art. 17 ust. 1 lit. d) RODO, uważam, że lit. c) wskazanego ustępu może być również istotna dla celów wyroku, który ma zostać wydany w niniejszych sprawach, a mianowicie w przypadku, gdyby sąd odsyłający uznał, wbrew wnioskowi, do którego doszedłem na podstawie dostępnych informacji, że SCHUFA mogła przetwarzać dane osobowe skarżących zgodnie z prawem na podstawie art. 6 ust. 1 akapit pierwszy lit. f) RODO. Przepis ten przewiduje prawo do usunięcia danych osobowych w przypadku, gdy osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania na mocy art. 21 ust. 1 RODO i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania. Sformułowanie to oznacza, że wszelkie „nadrzędne prawnie uzasadnione podstawy przetwarzania” stanowią wyjątek od prawa osoby, której dane dotyczą, do wniesienia sprzeciwu wobec przetwarzania i doprowadzenia do usunięcia jej danych osobowych. W związku z tym domniemywa się, że osobie, której dane dotyczą, przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania oraz prawo do usunięcia danych, chyba że występują nadrzędne prawnie uzasadnione podstawy przetwarzania ( 47 ).

94.

Uważam, że w interesie skutecznej ochrony danych osobowych nie powinno być znaczących przeszkód w korzystaniu z prawa do usunięcia danych, w szczególności w przypadku, gdy na rynku istnieje kilka biur informacji kredytowej, które przechowują dane równolegle z rejestrem publicznym. Gdyby korzystanie z tego prawa stało się nadmiernie utrudnione z powodu ścisłej wykładni art. 17 ust. 1 RODO, powstałoby ryzyko, że ochrona, którą RODO ma zapewnić, mogłaby być obchodzona przez konkurentów. Tymczasem należy przypomnieć, że prawodawca Unii miał na celu, jak wynika z motywu 10 RODO, aby „zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych”. W związku z tym osoba, której dane dotyczą, musi mieć możliwość dochodzenia swoich praw wobec wszystkich przedsiębiorstw, które naruszają te przepisy. Ponieważ SCHUFA jest tylko jednym z wielu dużych biur informacji kredytowej w Niemczech, konieczne będzie ustalenie, czy przechowywanie danych osobowych równolegle z rejestrem publicznym stanowi powszechną praktykę wśród tych biur.

95.

Na tym etapie analizy należy zatem przyjąć, że skarżący mogą co do zasady powoływać się na prawo do usunięcia danych na podstawie art. 17 ust. 1 RODO. Wniosek byłby inny tylko w przypadku, gdyby prywatne biuro informacji kredytowej było w stanie „[wykazać] istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą” zgodnie z art. 21 ust. 1 RODO. Ponieważ dostępne informacje nie pozwalają na dostrzeżenie nadrzędnych podstaw, jakie mogą pojawić się w postępowaniu głównym, do sądu odsyłającego należy ustalenie okoliczności faktycznych i w razie potrzeby wyważenie wchodzących w grę interesów.

96.

W świetle powyższych rozważań art. 17 ust. 1 lit. d) RODO należy interpretować w ten sposób, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, jeżeli dane te były przetwarzane niezgodnie z prawem, w myśl art. 6 ust. 1 tego rozporządzenia. Artykuł 17 ust. 1 lit. c) RODO należy interpretować w ten sposób, że osoba, której dane dotyczą, ma co do zasady prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, jeżeli wniosła sprzeciw wobec przetwarzania zgodnie z art. 21 ust. 1 tego rozporządzenia. Do sądu odsyłającego należy zbadanie, czy wyjątkowo występują nadrzędne prawnie uzasadnione podstawy przetwarzania.

97.

Sąd odsyłający zmierza również do ustalenia, czy zgodne z prawem Unii jest ustanowienie w kodeksie postępowania w rozumieniu art. 40 RODO terminów kontroli i usuwania danych, które wykraczają poza terminy przechowywania przewidziane dla rejestrów publicznych, bez konieczności dokonywania wyważenia przewidzianego w art. 6 ust. 1 akapit pierwszy lit. f) tego rozporządzenia.

98.

W tym względzie należy na wstępie zauważyć, że według sądu odsyłającego nie istnieje obecnie żadne uregulowanie krajowe określające terminy usunięcia w odniesieniu do baz danych prowadzonych przez biura informacji kredytowej. Wydaje się jednak, że zainteresowane strony postrzegają kodeks postępowania przyjęty wspólnie przez organy nadzorcze i stowarzyszenie zrzeszające biura informacji kredytowej, jako rodzaj „podstawy prawnej”, która może uzasadniać praktykę opisaną powyżej. Taka koncepcja wydaje mi się wątpliwa prawnie z następujących powodów.

99.

Z prawnego punktu widzenia taki kodeks postępowania stanowi jedynie dobrowolne zobowiązanie tych, którzy go opracowali i przyjęli, czyli wyżej wymienionego stowarzyszenia i jego członków. Podobnie okoliczność, że wspomniany kodeks postępowania został zatwierdzony przez organ nadzorczy, oznacza jedynie, że organ ten, jako organ administracyjny, uważa się za związany tym kodeksem postępowania. Wydaje mi się jednak oczywiste, że jest on pozbawiony mocy wiążącej wobec osób trzecich zgodnie z zasadą prawną „pacta tertiis nec nocent nec prosunt”. W przeciwnym wypadku dotyczyłby on nie tylko osób fizycznych, których dane są przedmiotem przetwarzania, ale również przedsiębiorstw, które nie uczestniczyły w opracowaniu takiego kodeksu postępowania.

100.

Z definicji kodeks postępowania nie ma w porządku prawnym mocy normatywnej, lecz ma raczej na celu doprecyzowanie przepisów aktu normatywnego w celu ułatwienia jego stosowania. Wykładnię tę potwierdza art. 40 ust. 1 i 2 RODO, z którego wynika, że kodeksy postępowania, które mają zostać opracowane przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające, mają na celu, po pierwsze, „pomóc we właściwym stosowaniu”, a po drugie, „doprecyzować zastosowanie” tego rozporządzenia (wyróżnienie moje). W związku z tym, o ile funkcja rzeczonego kodeksu postępowania ogranicza się do zapewnienia właściwego stosowania RODO w określonym sektorze, nie może on sam w sobie stanowić podstawy prawnej przetwarzania danych osobowych ( 48 ).

101.

Podstawą prawną takiego przetwarzania może być wyłącznie art. 6 RODO lub – w przypadku istnienia mającej zastosowanie klauzuli upoważniającej – prawo krajowe. Wskazałem już w niniejszej opinii, że art. 6 RODO zawiera wyczerpujący i zamknięty wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za zgodne z prawem ( 49 ). Dlatego też przepisy kodeksu postępowania nie mogą skutkować rozszerzeniem tego wykazu bez jednoczesnego naruszenia prawa Unii.

102.

Wydaje mi się, że tak jest właśnie w przypadku, gdy – tak jak w niniejszej sprawie – przepisy te nakładają na biura informacji kredytowej obowiązek przechowywania danych osób, których dane dotyczą, przez okres trzech lat, czyli przez okres dłuższy, który nie może być uzasadniony w świetle zasad regulujących przetwarzanie danych osobowych ustanowionych w RODO. Ściślej rzecz ujmując, jak wskazałem w mojej analizie, nie można uznać przechowywania tych danych za zgodne z prawem na podstawie art. 6 ust. 1 akapit pierwszy lit. f) RODO w okresie następującym po usunięciu danych osobowych dotyczących niewypłacalności z rejestrów publicznych ( 50 ).

103.

Na tym etapie analizy należy zatem przyjąć, że kodeksy postępowania, które prowadziłyby do innego rezultatu niż ten, który zostałby osiągnięty na podstawie art. 6 ust. 1 akapit pierwszy lit. f) RODO, nie mogą być brane pod uwagę przy wyważaniu interesów na podstawie tego przepisu. Biura informacji kredytowej, jako „administratorzy” w rozumieniu art. 4 pkt 7, nie mogą zasłaniać się przepisami kodeksu postępowania, które same opracowały w celu skutecznego zwolnienia się z obowiązków wynikających z tego rozporządzenia.

104.

W świetle powyższych rozważań uważam, że art. 40 ust. 2 i 5 RODO należy interpretować w ten sposób, że kodeksy postępowania sporządzone zgodnie z tymi przepisami i ewentualnie zatwierdzone przez organ nadzorczy nie mogą określać w sposób prawnie wiążący warunków zgodnego z prawem przetwarzania danych osobowych, które różnią się od warunków określonych w art. 6 ust. 1 RODO.

105.

W świetle powyższych rozważań proponuję, aby na pytania prejudycjalne przedstawione przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy) Trybunał udzielił następującej odpowiedzi: