PRIITA PIKAMÄE
przedstawiona w dniu 16 marca 2023 r. ( 1 )
Sprawa C‑634/21
OQ
przeciwko
Land Hessen
przy udziale:
SCHUFA Holding AG
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy)]
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 6 ust. 1 – Zgodność z prawem przetwarzania danych – Artykuł 22 – Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach – Profilowanie – Prywatne biura informacji kredytowej – Wyliczenie wartości prawdopodobieństwa zdolności kredytowej osoby fizycznej („scoring”) – Przekazanie osobom trzecim decydującym o zawarciu, wykonaniu lub rozwiązaniu stosunków umownych z tą osobą na podstawie tej wartości
I. Wprowadzenie
|
1. |
Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy) na podstawie art. 267 TFUE dotyczy wykładni art. 6 ust. 1 i art. 22 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ( 2 ) (zwanego dalej „RODO”). |
|
2. |
Wniosek ten został złożony w ramach sporu pomiędzy skarżącą UQ, osobą fizyczną a Land Hessen (krajem związkowym Hesja, Niemcy), reprezentowanym przez Hessischer Beauftragter für Datenschutz und Informationsfreiheit (inspektora ochrony danych i wolności informacji kraju związkowego Hesja, zwanego dalej „HBDI”), w sprawie ochrony danych osobowych. SCHUFA Holding AG (zwana dalej „SCHUFA”), będąca przedsiębiorstwem prawa prywatnego, wspiera HBDI jako interwenient. W ramach swojej działalności gospodarczej, polegającej na dostarczaniu swoim klientom informacji dotyczących zdolności kredytowej osób trzecich, SCHUFA przekazała instytucji kredytowej wartość scoringu skarżącej, która posłużyła za podstawę odmowy udzielenia kredytu, o który wnioskowała. Skarżąca zwróciła się do spółki SCHUFA o usunięcie dotyczącego jej wpisu i udostępnienie jej odpowiednich danych, lecz SCHUFA przekazała jej jedynie właściwą wartość scoringu i, w sposób ogólny, zasady leżące u podstaw metody obliczania wartości scoringu, nie informując jej o konkretnych danych uwzględnionych w tym obliczeniu i o przypisywanym im w tym kontekście znaczeniu, podnosząc, że metoda obliczeniowa wchodzi w zakres tajemnicy handlowej. |
|
3. |
Ponieważ skarżąca podnosi, że odmowa uwzględnienia jej wniosku przez spółkę SCHUFA jest sprzeczna z systemem ochrony danych, Trybunał będzie musiał wypowiedzieć się w przedmiocie ograniczeń, jakie RODO nakłada na działalność gospodarczą biur informacyjnych w sektorze finansowym, w szczególności w zakresie zarządzania danymi, a także w przedmiocie wpływu, jaki należy przypisać tajemnicy handlowej. Podobnie Trybunał będzie musiał wyjaśnić zakres uprawnień regulacyjnych, które niektóre przepisy RODO przyznają prawodawcy krajowemu w drodze odstępstwa od ogólnego celu harmonizacji realizowanego przez ten akt prawny. |
II. Ramy prawne
A. Prawo Unii
|
4. |
Artykuł 4 pkt 4 RODO stanowi: „Na użytek niniejszego rozporządzenia: […]
|
|
5. |
Artykuł 6 RODO, zatytułowany „Zgodność przetwarzania z prawem”, stanowi: „1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. 2. Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX. 3. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:
Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu. 4. Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:
|
|
6. |
Artykuł 15 RODO, zatytułowany „Prawo dostępu przysługujące osobie, której dane dotyczą”, stanowi: „1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: […]
[…]” |
|
7. |
Artykuł 21 RODO, zatytułowany „Prawo do sprzeciwu” przewiduje: „1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. […]” |
|
8. |
Zgodnie z art. 22 RODO, zatytułowanym „Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie”: „1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. 2. Ustęp 1 nie ma zastosowania, jeżeli ta decyzja:
3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. 4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą”. |
B. Prawo niemieckie
|
9. |
Paragraf 31 Bundesdatenschutzgesetz (ustawy federalnej o ochronie danych) z dnia 30 czerwca 2017 r. ( 3 ), zmienionej ustawą z dnia 20 listopada 2019 r. ( 4 ). (zwaną dalej „BDSG”), zatytułowany „Ochrona obrotu gospodarczego w przypadku scoringu i informacji dotyczących zdolności kredytowej” stanowi: „1) Wykorzystanie wartości prawdopodobieństwa dotyczącego określonego przyszłego zachowania osoby fizycznej w celu podjęcia decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z tą osobą (scoring) jest dozwolone tylko wtedy, gdy
2) Wykorzystanie ustalonej przez biuro informacji kredytowej wartości prawdopodobieństwa dotyczącej wypłacalności i gotowości do zapłaty osoby fizycznej w przypadku uwzględnienia informacji o jej wierzytelnościach jest dozwolone tylko wtedy, gdy są spełnione warunki określone w ust. 1 i uwzględnione zostają tylko wierzytelności dotyczące należnego świadczenia, które nie zostało spełnione, mimo że jest wymagalne,
Nie narusza to dopuszczalności przetwarzania, w tym ustalania wartości prawdopodobieństwa, innych danych dotyczących zdolności kredytowej zgodnie z ogólnymi przepisami prawa o ochronie danych. |
III. Okoliczności powstania sporu, postępowanie główne i pytania prejudycjalne
|
10. |
Z postanowienia odsyłającego wynika, że skarżąca w postępowaniu głównym nie uzyskała kredytu z powodu oceny zdolności kredytowej przeprowadzonej przez spółkę SCHUFA. Ta ostatnia jest spółką prawa prywatnego, która prowadzi biuro informacji kredytowej, dostarczając swoim klientom informacji na temat zdolności kredytowej konsumentów. W tym celu SCHUFA przeprowadza oceny zdolności kredytowej, w których ustala, na podstawie pewnych cech osoby, w oparciu o metodę matematyczno-statystyczną, prognozę dotyczącą prawdopodobieństwa wystąpienia zachowania, takiego jak spłata kredytu. |
|
11. |
Skarżąca zwróciła się do spółki SCHUFA o usunięcie niewłaściwych danych jej dotyczących oraz o udostępnienie przechowywanych danych jej dotyczących. SCHUFA poinformowała skarżącą m.in. o obliczonej wobec niej wartości scoringu i o tym, w jaki sposób przebiegało zasadniczo jej obliczenie, ale nie o tym, jak były ważone poszczególne informacje przy obliczeniu. SCHUFA uważa, że nie jest zobowiązana do ujawnienia swoich metod obliczeniowych, ponieważ są one objęte tajemnicą zawodową i handlową. Ponadto SCHUFA uważa, że udziela informacji jedynie swoim kontrahentom, którzy podejmują faktyczne decyzje dotyczące umów kredytu. |
|
12. |
Skarżąca złożyła do strony przeciwnej – inspektora ochrony danych osobowych – skargę na raport spółki SCHUFA, w której wniosła, aby strona przeciwna nakazała spółce udzielenia i usunięcia informacji zgodnie z jej wnioskiem. W decyzji wydanej na skutek tej skargi HBDI uznał, że nie ma podstaw do podjęcia dalszych działań przeciwko spółce, ponieważ spełniała ona wymogi niemieckiej federalnej ustawy o ochronie danych. |
|
13. |
Na decyzję strony przeciwnej skarżąca wniosła skargę do sądu odsyłającego. Sąd ten uważa, że dla potrzeb postępowania głównego istotne jest ustalenie, czy działalność podmiotów świadczących usługi w zakresie informacji kredytowej, w ramach której wyliczają one wartości scoringu dotyczące osób fizycznych i przekazują je, bez dalszych zaleceń lub komentarzy, osobom trzecim, wchodzi w zakres stosowania art. 22 ust. 1 RODO. |
|
14. |
Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
|
IV. Postępowanie przed Trybunałem
|
15. |
Postanowienie odsyłające z dnia 1 października 2021 r. wpłynęło do sekretariatu Trybunału w dniu 15 października 2021 r. |
|
16. |
Strony w postępowania głównym, SCHUFA, rządy duński, fiński i portugalski oraz Komisja Europejska złożyły uwagi na piśmie w terminie wskazanym w art. 23 statutu Trybunału Sprawiedliwości Unii Europejskiej. |
|
17. |
Podczas rozprawy w dniu 26 stycznia 2023 r. wysłuchano uwag pełnomocników procesowych stron w postępowaniu głównym oraz spółki SCHUFA, przedstawicieli rządów niemieckiego i fińskiego, a także Komisji. |
V. Analiza prawna
A. Uwagi wstępne
|
18. |
Ponieważ wzajemne zaufanie stanowi podstawę każdego zobowiązania umownego w gospodarce rynkowej, jest co do zasady zrozumiałe z punktu widzenia przedsiębiorczości, że dostawcy usług i towarów pragną znać swoich klientów oraz ryzyko związane z takim zobowiązaniem umownym. Biura informacji kredytowej mogą przyczynić się do zbudowania takiego wzajemnego zaufania za pomocą metod statystycznych umożliwiających przedsiębiorstwom ustalenie, czy w danym przypadku spełnione są pewne odpowiednie kryteria, w tym kryterium wypłacalności ich klientów. W ten sposób pomagają one przedsiębiorstwom w przestrzeganiu różnych przepisów prawa Unii, które nakładają na nie właśnie taki obowiązek w odniesieniu do niektórych kategorii umów, w szczególności umów kredytu ( 5 ). Niektóre z zastosowanych metod mogą opierać się na danych osobowych klientów, gromadzonych i przetwarzanych w sposób zautomatyzowany za pomocą technologii komputerowej. Temu interesowi przeciwstawia się interes osób, których dane dotyczą i które chcą wiedzieć, w jaki sposób zarządza się danymi i rejestruje je oraz jakie metody są stosowane przez przedsiębiorstwa przy podejmowaniu decyzji w odniesieniu do swoich klientów. |
|
19. |
RODO, mające zastosowanie od dnia 25 maja 2018 r., stworzyło ramy prawne, które mają na celu uwzględnienie wyżej wymienionych interesów w całej Unii, między innymi poprzez nałożenie pewnych ograniczeń w przetwarzaniu danych osobowych. I tak, stosuje się szczególne ograniczenia w odniesieniu do zautomatyzowanego przetwarzania, które może wywołać skutki prawne wobec osoby fizycznej lub istotnie na nią wpłynąć. Ograniczenia te są uzasadnione w kontekście profilowania, tj. oceny aspektów osobowych mającej na celu analizę lub przewidywanie sytuacji ekonomicznej, wiarygodności lub zachowania osoby fizycznej. W tym kontekście należy zwrócić uwagę na ograniczenia zawarte w art. 22 RODO, które mają znaczenie w niniejszej sprawie. Mają one na celu ochronę godności ludzkiej i uniemożliwiają wydanie decyzji wobec osoby, której dane dotyczą, wyłącznie na podstawie zautomatyzowanego przetwarzania, bez jakiejkolwiek interwencji ludzkiej, poprzez którą można by sprawdzić w razie potrzeby, czy decyzję tę wydano w sposób prawidłowy, sprawiedliwy i niedyskryminujący ( 6 ). Interwencja ludzka, którą należy przewidzieć w kontekście tego rodzaju zautomatyzowanego przetwarzania danych, gwarantuje, że osoba, której dane dotyczą, będzie miała możliwość wyrażenia własnego stanowiska, uzyskania wyjaśnienia decyzji podjętej w wyniku tego rodzaju oceny oraz jej zakwestionowania, jeśli nie zgadza się z tą decyzją. Zakres ograniczeń, o których mowa w art. 22 RODO, jest właśnie przedmiotem pierwszego pytania prejudycjalnego. |
|
20. |
Chociaż RODO stworzyło ogólne ramy prawne dotyczące ochrony danych osobowych, które są zasadniczo kompletne, należy jednak zauważyć, że niektóre przepisy dają państwom członkowskim możliwość ustanowienia dodatkowych – bardziej restrykcyjnych lub wprowadzających odstępstwa – uregulowań krajowych, które pozostawiają tym państwom pewien zakres uznania co do sposobu, w jaki owe przepisy mogą być wprowadzane w życie („klauzule upoważniające”), pod warunkiem że wspomniane uregulowania nie naruszają istoty i celów RODO ( 7 ). Zakres tego pozostałego uprawnienia regulacyjnego państwa członkowskiego stanowi sedno drugiego pytania prejudycjalnego, które zostanie przeanalizowane w niniejszej opinii. |
B. W przedmiocie dopuszczalności
|
21. |
HBDI i SCHUFA kwestionują dopuszczalność wniosku o wydanie orzeczenia w trybie prejudycjalnym. W tym względzie SCHUFA podnosi, że odesłanie to nie jest konieczne dla rozstrzygnięcia sporu, ani wystarczająco uzasadnione, otwiera drugi środek ochrony prawnej i pozostaje w sprzeczności z innymi wnioskami o wydanie orzeczenia w trybie prejudycjalnym, które zostały złożone i później wycofane przez ten sam sąd odsyłający. |
1. W przedmiocie znaczenia pytań prejudycjalnych dla rozstrzygnięcia sporu
|
22. |
Na wstępie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału w ramach ustanowionej w art. 267 TFUE współpracy pomiędzy Trybunałem i sądami krajowymi wyłącznie do sądu krajowego, przed którym zawisł spór i który ma obowiązek wydać w tej sprawie orzeczenie, należy dokonanie oceny, z uwzględnieniem szczególnych okoliczności tej sprawy, zarówno tego, czy orzeczenie w trybie prejudycjalnym jest niezbędne do wydania wyroku w zawisłej przed nim sprawie, jak i oceny znaczenia pytań, z którymi zwraca się on do Trybunału. W konsekwencji, jeśli postawione pytania dotyczą wykładni lub ważności przepisu prawa Unii, Trybunał jest co do zasady zobowiązany do wydania orzeczenia. Oznacza to, że pytania dotyczące prawa Unii korzystają z domniemania posiadania znaczenia dla sprawy. Odmowa wydania przez Trybunał orzeczenia w przedmiocie pytania prejudycjalnego postawionego przez sąd krajowy jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia lub ocena ważności zasady prawa Unii, o którą wniesiono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem postępowania głównego, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego niezbędnymi do udzielenia użytecznej odpowiedzi na przedstawione mu pytania ( 8 ). |
|
23. |
Warunki te nie zostały spełnione w niniejszej sprawie, ponieważ z pkt 40 postanowienia odsyłającego wyraźnie wynika, że wynik postępowania zależy od pierwszego pytania prejudycjalnego. Sąd odsyłający wyjaśnia, że jeżeli art. 22 ust. 1 RODO należałoby interpretować w ten sposób, że wyliczenie wartości scoringu przez biuro informacji kredytowej stanowi niezależną decyzję w rozumieniu art. 22 ust. 1 RODO, to owo przedsiębiorstwo, a ściślej rzecz ujmując jego istotna działalność, podlegałaby zakazowi podejmowania indywidualnych decyzji w sposób zautomatyzowany. Wymagałoby to istnienia podstawy prawnej w prawie państwa członkowskiego w rozumieniu art. 22 ust. 2 lit. b) RODO, którą może stanowić jedynie § 31 BDSG. Sąd odsyłający ma jednak poważne wątpliwości co do zgodności tego przepisu krajowego z art. 22 ust. 1 RODO. Zdaniem sądu odsyłającego SCHUFA nie tylko działałaby bez podstawy prawnej, ale również naruszałaby zakaz zawarty w tym ostatnim przepisie. W rezultacie skarżąca mogłaby żądać, aby HBDI, jako organ nadzorczy, w dalszym ciągu rozpatrywał jej sprawę. Nie ulega zatem wątpliwości, że odpowiedź na pytania przedstawione przez sąd odsyłający ma znaczenie dla rozstrzygnięcia sporu. |
|
24. |
SCHUFA podnosi również, że wniosek o wydanie orzeczenia w trybie prejudycjalnym jest niedopuszczalny ze względu na to, że skarżąca została już poinformowana o zasadach dokonywania obliczeń. Z postanowienia odsyłającego wynika jednak, że skarżąca chciała być poinformowana w sposób jak najbardziej szczegółowy o wszystkich zebranych danych i metodologii zastosowanej do wyliczenia wartości scoringu. Ponieważ SCHUFA poinformowała skarżącą w sposób ogólny o tym, w jaki sposób zasadniczo przebiegało obliczenie wartości scoringu, ale nie o tym, jakie konkretnie informacje zostały uwzględnione przy obliczaniu i jak były one ważone, oczywiste jest, że SCHUFA nie uwzględniła tego wniosku o udzielenie informacji. W konsekwencji skarżąca ma uzasadniony interes w tym, by prawa osoby, której dane dotyczą, wobec biura informacji kredytowej, takiego jak SCHUFA, zostały ustalone w drodze orzeczenia w trybie prejudycjalnym. |
2. Istnienie dwóch równoległych środków ochrony prawnej
|
25. |
W odniesieniu do rzekomego ryzyka zastosowania drugiego środka ochrony prawnej dla osoby, której dane dotyczą, należy zauważyć, że wbrew temu, co podnosi SCHUFA w swoich uwagach, okoliczność, że skarżąca najpierw wszczęła postępowanie przed sądami powszechnymi, a następnie przed odsyłającym sądem administracyjnym, nie stoi na przeszkodzie dopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym. W tych dwóch postępowaniach skarżąca skorzystała ze środków ochrony prawnej przewidzianych w art. 78 i 79 RODO, czyli w przepisach, które gwarantują prawo do skutecznego środka ochrony prawnej przeciwko odpowiednio organowi nadzorczemu i administratorowi. Jako że te środki ochrony prawnej współistnieją w sposób autonomiczny, a jeden nie jest zależny od drugiego, mogą one być stosowane równolegle ( 9 ). Nie można zatem zarzucić skarżącej żadnej nieprawidłowości w obronie jej praw chronionych przez RODO. |
|
26. |
Ponadto należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału w braku uregulowań prawa Unii w danej dziedzinie zadaniem krajowego porządku prawnego każdego z państw członkowskich jest wyznaczenie właściwych sądów i określenie zasad postępowań sądowych mających na celu zapewnienie ochrony praw, które jednostki wywodzą z prawa Unii ( 10 ). W związku z tym nie ma obiektywnego powodu, aby podważyć system środków ochrony prawnej państwa członkowskiego, z wyjątkiem przypadków, w których zagrożona byłaby skuteczność prawa Unii, na przykład, gdyby sądy krajowe zostały pozbawione przewidzianej w art. 267 TFUE możliwości lub zwolnione z przewidzianego w tym postanowieniu obowiązku kierowania do Trybunału pytań dotyczących wykładni lub ważności prawa Unii. |
|
27. |
W niniejszej sprawie nic nie wskazuje na to, aby istnienie dwóch środków ochrony prawnej, umożliwiających wniesienie skutecznego środka zaskarżenia przeciwko odpowiednio organowi nadzorczemu i administratorowi, zagrażało skuteczności prawa Unii lub pozbawiało sądy krajowe możliwości skorzystania z procedury przewidzianej w art. 267 TFUE. Wręcz przeciwnie, jak już wyjaśniłem, w świetle art. 78 i 79 RODO oczywiste jest, że RODO nie stoi na przeszkodzie takiemu systemowi środków ochrony prawnej, pozostawiając państwu członkowskiemu odpowiedzialność za wyznaczanie właściwych sądów i określanie zasad postępowań sądowych, przy pełnym poszanowaniu zasady autonomii proceduralnej. Trybunał uznał to w swoim najnowszym orzecznictwie ( 11 ). |
|
28. |
Wreszcie należy zauważyć, że SCHUFA ogranicza się do krytyki środków ochrony prawnej przewidzianych w prawie niemieckim, nie wyjaśniając dokładnie, dlaczego wyrok Trybunału wydany w niniejszym postępowaniu prejudycjalnym byłby zbędny dla rozstrzygnięcia sprawy. Tymczasem, jak wskazuje sąd odsyłający, dokonana przez Trybunał wykładnia art. 22 ust. 1 RODO może umożliwić drugiej stronie postępowania wykonywanie uprawnień nadzorczych wobec spółki SCHUFA w sposób zgodny z prawem Unii. W związku z tym wydaje mi się, że argumentacja spółki SCHUFA, kwestionująca dopuszczalność wniosku o wydanie orzeczenia w trybie prejudycjalnym, jest bezzasadna. |
3. Podnoszony brak uzasadnienia wniosku o wydanie orzeczenia w trybie prejudycjalnym
|
29. |
Te rozważania są w zasadzie wystarczające, aby oddalić argumentację spółki SCHUFA. Uważam jednak, że w celu lepszego zrozumienia niniejszej sprawy należy odnieść się do argumentu, iż wniosek o wydanie orzeczenia w trybie prejudycjalnym nie jest wystarczająco uzasadniony. Wbrew temu, co twierdzi SCHUFA, postanowienie odsyłające określa przedmiot sporu w niniejszej sprawie w sposób wystarczająco szczegółowy, aby spełnić wymogi art. 94 lit. c) regulaminu postępowania przed Trybunałem. W szczególności sąd odsyłający wyjaśnia, że skarżąca zamierza dochodzić swoich praw wobec spółki SCHUFA. Zdaniem sądu odsyłającego, art. 22 ust. 1 RODO może co do zasady zapewnić jej ochronę w odniesieniu do automatycznego przetwarzania jej danych osobowych, chyba że będzie on interpretowany w sposób zawężający. |
|
30. |
Sąd odsyłający uważa, że z uwagi na wagę, jaką niektórzy przedsiębiorcy przywiązują do wartości scoringu, wyliczonej przez prywatne biura informacji kredytowej w celu prognostycznej oceny zdolności ekonomicznej osoby fizycznej, wartość ta mogłaby zostać uznana za autonomiczną „decyzję” w rozumieniu powyższego przepisu. Zdaniem sądu wykładnia w tym zakresie jest konieczna, aby usunąć lukę prawną, która wynika z faktu, że osoba, której dane dotyczą, w przeciwnym razie nie byłaby w stanie uzyskać informacji niezbędnych na mocy art. 15 ust. 1 lit. h) RODO. W świetle tego szczegółowego uzasadnienia uważam, że argumentację spółki SCHUFA należy oddalić, a wniosek o wydanie orzeczenia w trybie prejudycjalnym uznać za dopuszczalny. |
C. Co do istoty
1. W przedmiocie pierwszego pytania prejudycjalnego
a) Ogólny zakaz zawarty w art. 22 ust. 1 RODO
|
31. |
Artykuł 22 ust. 1 RODO wyróżnia się na tle innych ograniczeń przetwarzania danych zawartych w tym rozporządzeniu, gdyż ustanawia „prawo” osoby, której dane dotyczą, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Niezależnie od użytej terminologii, zastosowanie art. 22 ust. 1 RODO nie wymaga od osoby, której dane dotyczą, aktywnego powoływania się na to prawo. Wykładnia tego przepisu w świetle motywu 71 tego rozporządzenia i z uwzględnieniem jego systematyki, w szczególności ust. 2, który określa przypadki, w których takie zautomatyzowane przetwarzanie jest wyjątkowo dozwolone, prowadzi bowiem raczej do wniosku, że przepis ten ustanawia ogólny zakaz decyzji tego rodzaju, o których mowa powyżej. W związku z tym należy podkreślić, że zakaz ten ma zastosowanie tylko w bardzo szczególnych okolicznościach, a mianowicie konkretnie do „decyzji, która […] wywołuje wobec tej osoby skutki prawne” lub „w podobny sposób istotnie na nią wpływa”. |
|
32. |
Poprzez pierwszym pytanie pierwsze sąd odsyłający dąży do ustalenia, czy wyliczenie wartości scoringu dokonane przez biuro informacji kredytowej wchodzi w zakres stosowania art. 22 ust. 1 RODO, jeżeli uzyskana wartość scoringu jest przekazywana przedsiębiorstwu, które wykorzystuje ją w sposób decydujący do podjęcia decyzji w sprawie ustanowienia, wykonania lub zakończenia stosunku umownego z osobą, której dane dotyczą. Innymi słowy, pytanie brzmi, czy przepis ten ma zastosowanie do biur informacji kredytowej, które udostępniają wartości scoringu przedsiębiorstwom finansowym. Rozpatrzenie tego pytania będzie wymagało ustalenia, czy w niniejszej sprawie zostały spełnione przesłanki, o których mowa w art. 22 ust. 1 RODO. |
b) Stosowanie art. 22 ust. 1 RODO
1) Istnienie „profilowania” w rozumieniu art. 4 pkt 4 RODO
|
33. |
Przepis ten wymaga najpierw istnienia zautomatyzowanego przetwarzania danych osobowych, przy czym, sądząc po jego brzmieniu, „profilowanie” jest uważane za podkategorię ( 12 ). W tym względzie należy zauważyć, że „scoring” przeprowadzony przez spółkę SCHUFA mieści się w definicji prawnej zawartej w art. 4 pkt 4 RODO, ponieważ procedura ta wykorzystuje dane osobowe do oceny niektórych aspektów dotyczących osób fizycznych w celu analizy lub przewidywania okoliczności dotyczących ich sytuacji ekonomicznej, wiarygodności i prawdopodobnego zachowania. Z akt sprawy wynika bowiem, że metoda stosowana przez spółkę SCHUFA dostarcza „wartość scoringu” na podstawie określonych kryteriów, czyli wynik pozwalający na wyciągnięcie wniosków co do zdolności kredytowej osoby, której dane dotyczą. Wreszcie pragnę podkreślić, że żadna z zainteresowanych stron nie kwestionuje zakwalifikowania rozpatrywanej procedury jako „profilowania”, tak więc można uznać, że przesłanka ta została w niniejszej sprawie spełniona. |
2) Decyzja musi wywoływać „skutki prawne” dla osoby, której dane dotyczą lub „w podobny sposób istotnie na nią wpływać”
|
34. |
Zastosowanie art. 22 ust. 1 RODO wymaga, aby odnośna decyzja wywoływała „skutki prawne” dla osoby, której dane dotyczą lub „w podobny sposób istotnie na nią wpływa[ła]”. RODO uznaje zatem, że zautomatyzowane podejmowanie decyzji, w tym profilowanie, może mieć poważne konsekwencje dla osób, których dane dotyczą. Chociaż RODO nie definiuje terminu „skutki prawne” ani wyrażenia „w podobny sposób istotnie”, to jednak użyte sformułowanie wyraźnie wskazuje, że tylko skutki o poważnym znaczeniu będą objęte tym przepisem. W tym względzie należy na wstępie zwrócić uwagę, że motyw 71 RODO wyraźnie wymienia „automatyczne odrzucenie elektronicznego wniosku kredytowego” jako typowy przykład decyzji wpływającej „znacząco” na osobę, której dane dotyczą. |
|
35. |
Następnie, należy wziąć pod uwagę z jednej strony, że chociaż rozpatrywanie wniosku kredytowego stanowi etap poprzedzający zawarcie umowy kredytu, odrzucenie takiego wniosku może wywołać „skutki prawne” dla osoby, której dane dotyczą, ponieważ nie może ona już skorzystać ze stosunku umownego z daną instytucją finansową. Z drugiej strony należy zauważyć, że takie odrzucenie może mieć również wpływ na sytuację finansową osoby, której dane dotyczą. Logiczny jest zatem wniosek, że decyzja taka będzie wpływać na tę osobę w każdym przypadku „w podobny sposób” w rozumieniu tego przepisu. Wydaje się, że prawodawca Unii miał tego świadomość, redagując motyw 71 RODO, w świetle którego należy interpretować art. 22 ust. 1 tego rozporządzenia. W rezultacie uważam, że biorąc pod uwagę sytuację, w jakiej znajduje się skarżąca, przesłanki tego przepisu są spełnione w niniejszej sprawie, niezależnie od tego, czy nacisk zostanie położony na prawne czy ekonomiczne konsekwencje odmowy udzielenia kredytu. |
3) „Decyzja” musi „opiera[ć] się wyłącznie na zautomatyzowanym przetwarzaniu”
|
36. |
Należy spełnić dwie dodatkowe przesłanki. Po pierwsze, konieczne jest, aby w stosunku do osoby, której dane dotyczą, podjęto akt o charakterze „decyzji”. Po drugie, rzeczona decyzja musi „opiera[ć] się wyłącznie na zautomatyzowanym przetwarzaniu”. W odniesieniu do drugiej przesłanki, w opisie stanu faktycznego postanowienia odsyłającego nic nie wskazuje, aby oprócz matematycznej i statystycznej formuły stosowanej przez spółkę SCHUFA, wartości scoringu były wyliczane w jakikolwiek decydujący sposób przez człowieka za pomocą indywidualnej oceny i analizy. W konsekwencji należy uznać, że wyliczenie wartości scoringu, jako czynność wykonywana przez spółkę SCHUFA, „opiera się wyłącznie na zautomatyzowanym przetwarzaniu”. Mając to na uwadze, nie należy zapominać, że instytucja finansowa, której SCHUFA przekazuje wartość scoringu, ma dokonać rzekomo autonomicznej czynności w odniesieniu do osoby, której dane dotyczą, a mianowicie udzielić lub odmówić udzielenia kredytu. Powstaje zatem pytanie, którą z tych dwóch czynności można zakwalifikować jako „decyzję” w rozumieniu art. 22 ust. 1 RODO, które to pytanie zostanie przeanalizowane poniżej. |
|
37. |
Jeśli chodzi o pierwszą przesłankę, to najpierw należy ustalić, jaki jest charakter prawny „decyzji” i jaką formę powinna ona przyjąć. Z etymologicznego punktu widzenia, pojęcie to oznacza „opinię” lub „zajęcie stanowiska” w odniesieniu do określonej sytuacji. Decyzja ta musi mieć również „wiążący charakter”, aby odróżnić ją od zwykłych „rekomendacji”, które, co do zasady, nie mają żadnych skutków prawnych ani faktycznych ( 13 ). Mając to na uwadze, wbrew temu, co podnosi HBDI, analogia do art. 288 akapit czwarty TFUE nie wydaje mi się w niniejszym kontekście istotna, tym bardziej że nie ma ona żadnej podstawy w przepisach RODO. |
|
38. |
Brak definicji prawnej prowadzi do wniosku, że prawodawca Unii wybrał pojęcie szerokie, mogące obejmować szereg czynności, które mogą w różny sposób wpływać na osobę, której dane dotyczą. Jak już bowiem wskazałem, „decyzja” w rozumieniu art. 22 ust. 1 RODO może wywoływać „skutki prawne” albo wpływać na osobę, której dane dotyczą „w podobny sposób”, co oznacza, że dana „decyzja” może wywoływać skutki niekoniecznie prawne, lecz raczej ekonomiczne i społeczne. Zważywszy, że art. 22 ust. 1 RODO ma na celu ochronę osób fizycznych przed potencjalnie dyskryminacyjnymi i niesprawiedliwymi skutkami zautomatyzowanego przetwarzania danych, wydaje mi się, że należy zachować szczególną czujność, która powinna znaleźć odzwierciedlenie również w wykładni tego przepisu. |
|
39. |
Wreszcie należy podkreślić, że skoro czynności, które można przypisać prywatnej instytucji finansowej, mogą mieć również poważne konsekwencje dla niezależności i swobody działania osoby, której dane dotyczą w gospodarce rynkowej, zwłaszcza jeśli chodzi o poświadczenie zdolności kredytowej osoby ubiegającej się o kredyt ( 14 ), nie widzę żadnego obiektywnego powodu, aby ograniczyć pojęcie „decyzji” do sfery ściśle publicznej, tj. do relacji między państwem a obywatelem, jak sugeruje w sposób dorozumiany analogia zaproponowana przez HBDI. Wydaje mi się, że zakwalifikowanie stanowiska przyjętego wobec osoby, której dane dotyczą, jako „decyzji” wymaga zbadania każdego przypadku z osobna, z uwzględnieniem szczególnych okoliczności, a także wagi skutków dla statusu prawnego, ekonomicznego i społecznego tej osoby ( 15 ). |
|
40. |
Na podstawie kryteriów przedstawionych w poprzednich punktach należy następnie ustalić, co jest właściwą „decyzją” w niniejszej sprawie. Jak wspomniano powyżej, z jednej strony mamy do czynienia z czynnością wyrażenia zgody na udzielenie kredytu lub odmowy jego udzielenia wobec wnioskodawcy, a z drugiej strony z wartością scoringu wynikającą z procedury profilowania przeprowadzonej przez spółkę SCHUFA. W mojej ocenie nie sposób udzielić kategorycznej odpowiedzi na to pytanie, gdyż kwalifikacja zależy od okoliczności każdego konkretnego przypadku. Ściślej rzecz ujmując, kluczowe znaczenie ma sposób, w jaki zorganizowana jest procedura podejmowania decyzji. Procedura ta obejmuje zazwyczaj kilka etapów, takich jak profilowanie, wyliczenie wartości scoringu i sama decyzja kredytowa. |
|
41. |
Wydaje mi się oczywiste, że jeśli instytucja finansowa może podjąć się tej procedury, to nic nie stoi na przeszkodzie, aby w drodze umowy przekazać pewne zadania, na przykład profilowanie i scoring, biuru informacji kredytowej. Artykuł 22 ust. 1 RODO nie wymaga bowiem wcale, aby zadania te były wykonywane przez jedną instytucję lub przez kilka instytucji. W związku z tym wydaje mi się, że ewentualne przekazanie pewnych kompetencji zewnętrznemu usługodawcy nie odgrywa zasadniczej roli w analizie, ponieważ takie przekazanie jest na ogół podyktowane względami ekonomicznymi i organizacyjnymi, które mogą się różnić w poszczególnych przypadkach. |
|
42. |
Natomiast aspektem, który wydaje mi się odgrywać kluczową rolę, jest aspekt związany z pytaniem, czy procedura decyzyjna jest skonstruowana w taki sposób, że scoring przeprowadzony przez biuro informacji kredytowej przesądza o decyzji instytucji finansowej o udzieleniu lub odmowie udzielenia kredytu. W przypadku, gdy scoring ma być przeprowadzany bez jakiejkolwiek ingerencji ludzkiej, która, w razie potrzeby, mogłaby zweryfikować jego wynik i prawidłowość decyzji podejmowanej w stosunku do osoby ubiegającej się o kredyt, logiczne wydaje się uznanie, że sam scoring stanowi „decyzję”, o której mowa w art. 22 ust. 1 RODO. |
|
43. |
Przyjęcie przeciwnego założenia, ze względu na to że decyzja o udzieleniu lub odmowie udzielenia kredytu formalnie spoczywa na instytucji finansowej, byłoby nie tylko nadmiernym formalizmem, ale nie oddawałoby w ogóle sprawiedliwości szczególnym okolicznościom takiego przypadku. Wydaje się to tym bardziej prawdziwe, że art. 22 ust. 1 RODO nie wymaga w ogóle, aby „decyzja” przybrała jakąś szczególną formę. Czynnikiem decydującym jest skutek, jaki „decyzja” wywiera na osobę, której dane dotyczą. Ponieważ negatywna wartość scoringu może sama w sobie wywołać negatywne skutki dla osoby, której dane dotyczą, a mianowicie znacznie ograniczyć ją w korzystaniu z wolności, a nawet napiętnować w społeczeństwie, zasadne wydaje się zakwalifikowanie jej jako „decyzji” w rozumieniu wspomnianego przepisu, gdy instytucja finansowa przypisuje jej pierwszorzędną wagę w procedurze decyzyjnej ( 16 ). W takich okolicznościach bowiem już etap oceny zdolności kredytowej, dokonywanej przez biuro informacji kredytowej, wpływa na osobę ubiegającą się o kredyt, a nie dopiero końcowy etap odmowy udzielenia kredytu, na którym instytucja finansowa jedynie stosuje wynik tej oceny do konkretnego przypadku ( 17 ). |
|
44. |
Zważywszy, że, po pierwsze, art. 22 ust. 1 RODO wymaga, aby rzeczona decyzja opierała się „wyłącznie” na zautomatyzowanym przetwarzaniu ( 18 ), a po drugie, że brzmienie przepisu zasadniczo stanowi granicę jakiejkolwiek wykładni, wydaje się konieczne, aby zautomatyzowane przetwarzanie pozostało jedynym elementem uzasadniającym podejście instytucji finansowej wobec osoby ubiegającej się o kredyt. Byłoby tak w przypadku, gdyby w procedurze tej uczestniczył człowiek, nie mając jednak możliwości wywarcia wpływu na związek przyczynowy między zautomatyzowanym przetwarzaniem a ostateczną decyzją. Konieczne byłoby, aby biuro informacji kredytowej podjęło de facto ostateczną decyzję za instytucję finansową. Zależy to od wewnętrznych zasad i praktyk danej instytucji finansowej, które zasadniczo nie powinny pozostawiać jej żadnego zakresu uznania, jeśli chodzi o zastosowanie wartości scoringu do wniosku kredytowego. |
|
45. |
Jest to przede wszystkim kwestia faktyczna, którą według mnie najlepiej ocenić mogą sądy krajowe. Proponuję zatem powierzyć samemu sądowi odsyłającemu zadanie ustalenia, w jakim stopniu instytucja finansowa jest ogólnie związana scoringiem przeprowadzanym przez biuro informacji kredytowej, takie jak SCHUFA, z uwzględnieniem kryteriów, o których mowa powyżej ( 19 ). W celu udzielenia użytecznej odpowiedzi sądowi krajowemu w niniejszej sprawie będę opierał się na informacjach zawartych w postanowieniu odsyłającym. |
|
46. |
W tym względzie pragnę przede wszystkim zauważyć, że zdaniem sądu odsyłającego, nawet jeśli interwencja człowieka jest jeszcze zasadniczo możliwa na tym etapie procesu decyzyjnego, decyzja o nawiązaniu stosunku umownego z osobą, której dane dotyczą, „jest w praktyce zdeterminowana w takim stopniu przez wartość scoringu przekazaną przez biura informacji, że znajduje ona odzwierciedlenie w decyzji osób trzecich odpowiedzialnych za przetwarzanie”. Zdaniem sądu odsyłającego „w rzeczywistości to wartość scoringu wyliczona przez biuro informacji kredytowej na podstawie automatycznego przetwarzania ostatecznie decyduje o tym, czy i na jakich warunkach administrator będący osobą trzecią zawrze umowę z osobą, której dane dotyczą”. Sąd odsyłający wyjaśnia również, że chociaż osoba trzecia nie musi uzależniać swojej decyzji wyłącznie od wartości scoringu, „zazwyczaj czyni to jednak w znacznym stopniu”. Sąd ten dodaje, że „można odmówić udzielenia kredytu pomimo zasadniczo wystarczającej wartości scoringu (z innych powodów, takich jak brak zabezpieczenia lub wątpliwości co do powodzenia inwestycji, która ma być finansowana), ale niewystarczająca wartość scoringu prowadzi do odmowy udzielenia kredytu w niemalże każdym przypadku, przynajmniej w obszarze kredytów konsumenckich, nawet jeżeli inwestycja wydaje się poza tym opłacalna”. Wreszcie sąd ten stwierdza, że „o tym, że wartości scoringu odgrywają decydującą rolę w udzielaniu kredytów i kształtowaniu ich warunków, świadczą doświadczenia urzędu nadzoru nad ochroną danych”. |
|
47. |
Wydaje mi się, że przedstawione powyżej twierdzenia wskazują, z zastrzeżeniem oceny okoliczności faktycznych, której dokonanie w każdym konkretnym przypadku należy do sądu odsyłającego, że wartość scoringu wyliczona przez biuro informacji kredytowej i przekazana instytucji finansowej na ogół przesądza o decyzji tej ostatniej w przedmiocie udzielenia lub odmowy udzielenia kredytu osobie, której dane dotyczą, w taki sposób, że jej podjęcie należy uznać za czystą formalność w ramach procedury ( 20 ). Wynika z tego, że samą wartość scoringu należy uznać za „decyzję” w rozumieniu art. 22 ust. 1 RODO. |
|
48. |
Taki wniosek wydaje mi się rozsądny, ponieważ każda inna wykładnia podważałaby cel, jaki przyświecał prawodawcy Unii przy tworzeniu tego przepisu, czyli ochronę praw osób, których dane dotyczą. Jak słusznie stwierdził sąd odsyłający, ścisła interpretacja art. 22 ust. 1 RODO skutkowałoby luką w ochronie prawnej: biuro informacji kredytowej, od którego można uzyskać informacje żądane przez osobę, której dane dotyczą, nie jest zobowiązane do ich udzielenia na podstawie art. 15 ust. 1 lit. h) RODO, ponieważ rzekomo nie podejmuje ono własnych „zautomatyzowanych decyzji” w rozumieniu tego przepisu, a instytucja finansowa, która podejmuje decyzje na podstawie wyliczonej w sposób zautomatyzowany wartości scoringu i jest zobowiązana do udzielenia żądanych informacji na podstawie art. 15 ust. 1 lit. h) RODO, nie może ich udzielić, ponieważ ich nie posiada. |
|
49. |
W konsekwencji, w przypadku zaskarżenia decyzji, instytucja finansowa nie będzie w stanie monitorować oceny zdolności kredytowej osoby ubiegającej się o kredyt, jak wymaga tego art. 22 ust. 3 RODO, ani zapewnić uczciwego, przejrzystego i niedyskryminacyjnego przetwarzania danych za pomocą odpowiednich matematycznych lub statystycznych procedur, ani też wymaganych w motywie 71 zdanie szóste RODO właściwych środków technicznych i organizacyjnych ( 21 ). W celu uniknięcia takiej sytuacji, która w oczywisty sposób byłaby sprzeczna z celem legislacyjnym wskazanym w poprzednim punkcie, proponuję wykładnię art. 22 ust. 1 RODO, która uwzględnia rzeczywisty wpływ scoringu na sytuację osoby, której dane dotyczą. |
|
50. |
Takie podejście wydaje mi się logiczne, ponieważ biuro informacji kredytowej powinno być zasadniczo jedynym podmiotem mogącym odpowiedzieć na inne żądania osoby, której dane dotyczą, w oparciu o prawa zagwarantowane również w RODO, a mianowicie prawo do sprostowania danych, o którym mowa w art. 16 RODO, w przypadku gdyby dane osobowe wykorzystane do przeprowadzenia scoringu okazały się nieprawidłowe, a także prawo do usunięcia danych, o którym mowa w art. 17 RODO, w przypadku gdyby dane te były przetwarzane niezgodnie z prawem. Ponieważ instytucja finansowa zasadniczo nie uczestniczy ani w zbieraniu tych danych, ani w profilowaniu, jeżeli zadania te zostały przekazane podmiotowi trzeciemu, należy wykluczyć możliwość, że jest ona w stanie skutecznie zapewnić przestrzeganie tych praw. Osoba, której dane dotyczą, nie powinna być jednak zmuszona do ponoszenia negatywnych konsekwencji takiego przekazania zadań. |
|
51. |
Najskuteczniejszym sposobem zapewnienia ochrony praw podstawowych osoby, której dane dotyczą, a mianowicie prawa do ochrony danych osobowych, o którym mowa w art. 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”), ale także prawa do poszanowania jej życia prywatnego, o którym mowa w art. 7 karty, wydaje mi się pociągnięcie do odpowiedzialności biura informacji kredytowej za wyliczenie wartości scoringu (a nie za jej późniejsze wykorzystanie), ponieważ to działanie jest ostatecznie „źródłem” wszelkich ewentualnych szkód. Z uwagi na ryzyko, że wartość scoringu wyliczona przez biuro informacji kredytowej może zostać wykorzystana przez wiele instytucji finansowych, rozsądne wydaje się, aby umożliwić osobie, której dane dotyczą, dochodzenie swoich praw bezpośrednio wobec tego biura. |
|
52. |
Z przyczyn przedstawionych powyżej uważam, że przesłanki art. 22 ust. 1 RODO są spełnione, stąd przepis ten znajduje zastosowanie w okolicznościach postępowania głównego. |
c) Zakres prawa dostępu do informacji, o którym mowa w art. 15 ust. 1 lit. h) RODO
|
53. |
W tym kontekście nie można lekceważyć znaczenia, jakie ma pełne respektowanie przez administratora jego obowiązków informacyjnych wobec osoby, której dane dotyczą. Zgodnie z art. 15 ust. 1 lit. h) RODO ta ostatnia jest uprawniona do uzyskania od administratora nie tylko potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, ale także innych informacji, jak informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 RODO, istotnych informacji o zasadach podejmowania owych decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. |
|
54. |
Ponieważ SCHUFA odmówiła udostępnienia skarżącej niektórych informacji dotyczących metody obliczeniowej ze względu na to, że stanowią one tajemnicę handlową, istotne wydaje się wyjaśnienie zakresu prawa do informacji, o którym mowa w art. 15 ust. 1 lit. h) RODO, w szczególności w odniesieniu do obowiązku dostarczenia „istotnych informacji o zasadach [podejmowania decyzji]”. Moim zdaniem przepis ten należy interpretować w ten sposób, że obejmuje on zasadniczo również metodę obliczeniową stosowaną przez biuro informacji kredytowej w celu wyliczenia wartości scoringu, o ile nie występują sprzeczne interesy zasługujące na ochronę. W tym względzie należy przytoczyć motyw 63 RODO, który stanowi między innymi, że „prawo [dostępu do danych osobowych] nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie” (wyróżnienie moje). |
|
55. |
Z wykładni art. 15 ust. 1 lit. h) RODO w świetle motywów 58 i 63 tego rozporządzenia można wyciągnąć szereg wniosków. Po pierwsze, oczywiste jest, że prawodawca Unii był w pełni świadomy potencjalnych konfliktów między prawem do ochrony danych osobowych, zagwarantowanym w art. 8 karty, z jednej strony, a prawem do ochrony własności intelektualnej, o którym mowa w art. 17 ust. 2 karty, z drugiej strony. Po drugie, jasne jest, że nie zamierzał on poświęcić jednego prawa podstawowego na rzecz innego. Wręcz przeciwnie, pogłębiona analiza przepisów RODO prowadzi do wniosku, że zamierzał on zapewnić odpowiednią równowagę między prawami i obowiązkami. |
|
56. |
Zawarte w motywie 63 RODO stwierdzenie prawodawcy Unii, iż „względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji” ( 22 ) oznacza moim zdaniem, że w każdym przypadku należy udzielić minimum informacji, aby nie naruszyć istoty prawa do ochrony danych osobowych. Wynika z tego, że o ile ochrona tajemnicy handlowej lub własności intelektualnej jest co do zasady uzasadnionym powodem odmowy ujawnienia przez biuro informacji kredytowej algorytmu użytego do obliczenia wartości scoringu osoby, której dane dotyczą, to jednak w żaden sposób nie może uzasadniać całkowitej odmowy udzielenia informacji. Dotyczy to zwłaszcza sytuacji, gdy istnieją odpowiednie środki komunikacji, które ułatwiają zrozumienie, a jednocześnie gwarantują pewien stopień poufności. |
|
57. |
Artykuł 12 ust. 1 RODO, zgodnie z którym „[a]dministrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem […] udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. [15] w sprawie przetwarzania” ( 23 ) wydaje mi się szczególnie istotny w tym kontekście. Przepis ten stanowi potwierdzenie rozumowania przedstawionego powyżej, gdyż wynika z niego, że rzeczywistym celem art. 15 ust. 1 lit. h) RODO jest zapewnienie, aby osoba, której dane dotyczą, uzyskała informacje w sposób zrozumiały i w dostępnej formie, zgodnie z jej potrzebami. Moim zdaniem już te wymagania wykluczają ewentualny obowiązek ujawniania algorytmu, ze względu na jego złożoność. Przydatność przekazania szczególnie złożonej formuły bez dołączenia niezbędnych wyjaśnień byłaby bowiem wątpliwa. W tym względzie należy zwrócić uwagę na motyw 58 RODO, z którego wynika, że zgodność z wymogami wymienionymi powyżej jest szczególnie istotna „[w sytuacji, gdy] złożoność technologiczna działań sprawia, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu” ( 24 ). |
|
58. |
Z przedstawionych powodów uważam, że obowiązek dostarczenia „istotnych informacji o zasadach [podejmowania decyzji]” należy rozumieć w ten sposób, że obejmuje on wystarczająco szczegółowe wyjaśnienia dotyczące metody zastosowanej do wyliczenia wartości scoringu oraz przyczyn, które doprowadziły do określonego wyniku. Ogólnie rzecz biorąc, administrator danych powinien przekazać osobie, której dane dotyczą ogólne informacje, w szczególności na temat czynników branych pod uwagę w procesie podejmowania decyzji oraz na temat ich wagi na poziomie zbiorczym, które są również przydatne do zakwestionowania wszelkich decyzji w rozumieniu art. 22 ust. 1 RODO ( 25 ). |
d) Odpowiedź na pierwsze pytanie prejudycjalne
|
59. |
W świetle powyższych rozważań uważam, że art. 22 ust. 1 RODO należy interpretować w ten sposób, że zautomatyzowane wyliczenie wartości prawdopodobieństwa dotyczącej zdolności osoby, której dane dotyczą, do obsługi kredytu w przyszłości stanowi opartą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, decyzję wywołującą skutki prawne wobec tej osoby lub w podobny sposób istotnie na nią wpływającą, gdy wartość ta, ustalona na podstawie danych osobowych tej osoby, jest przekazywana przez administratora danych innemu administratorowi, a wartość ta, zgodnie z ustaloną praktyką, ma istotne znaczenie dla tego ostatniego administratora przy podejmowaniu decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z osobą, której dane dotyczą. |
2. W przedmiocie drugiego pytania prejudycjalnego
|
60. |
Chociaż pytanie drugie zostało zadane jedynie przy założeniu, że na pytanie pierwsze zostanie udzielona odpowiedź negatywna, wydaje mi się, że będzie ono również istotne, gdyby Trybunał miał stwierdzić, że scoring jest objęty zakazem zautomatyzowanego podejmowania decyzji ustanowionym w art. 22 ust. 1 RODO. W takim przypadku, jak słusznie wskazuje rząd fiński, należałoby zbadać, czy można zrobić wyjątek od tego zakazu na podstawie art. 22 ust. 2 lit. b) RODO. Zgodnie z tym przepisem zakaz nie ma zastosowania „jeżeli ta decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator”. |
|
61. |
Przepis ten zawiera wyraźny zakres uznania regulacyjnego, jeżeli zautomatyzowane profilowanie, którego dotyczy, opiera się na prawie Unii lub prawie państwa członkowskiego. Jeśli opiera się ono na prawie państwa członkowskiego, to prawo krajowe musi zapewniać szczególne gwarancje dla osoby, której dane dotyczą. Trybunał powinien zatem ustalić, czy takie „zezwolenie” można wywieść z samego art. 6 RODO czy też z przepisu krajowego, przyjętego na przewidzianej w nim podstawie prawnej. Ten ostatni przypadek wydaje mi się wymagać głębszej analizy, ponieważ sąd odsyłający kwestionuje zgodność § 31 BDSG z art. 6 i 22 RODO, co wymaga, aby art. 6 i 22 RODO mogły stanowić odpowiednie podstawy prawne. |
a) Istnienie w RODO podstawy prawnej przyznającej państwom członkowskim uprawnienia regulacyjne
|
62. |
Sąd krajowy wyraża jednak w tym zakresie konkretne wątpliwości, zważywszy, że jego zdaniem żaden z przepisów art. 6 i 22 RODO nie mógłby stanowić podstawy prawnej do przyjęcia przepisu krajowego takiego jak § 31 BDSG, określającego niektóre zasady dotyczące scoringu. Powstaje zatem pytanie, czy prawodawca krajowy prawidłowo zastosował przepisy RODO, które przyznają mu zakres swobody w odniesieniu do ustanawiania krajowych zasad przetwarzania danych osobowych na podstawie RODO lub, w pewnych okolicznościach, odstępowania od nich. Odpowiedź na to pytanie jest złożona, gdyż prawodawca niemiecki w uzasadnieniu ustawy nie powołuje się na żadną klauzulę upoważniającą ( 26 ). Jest ona jednak tym bardziej istotna, że § 31 ust. 1 pkt 1 BDSG wyraźnie stwierdza, że scoring „jest dozwolony tylko wtedy, gdy były przestrzegane przepisy prawa o ochronie danych” (wyróżnienie moje). Jak wyjaśnię poniżej, kilka argumentów skłania mnie do udzielenia negatywnej odpowiedzi na to pytanie. |
1) Stosowanie art. 22 ust. 2 lit. b) RODO
|
63. |
Na wstępie należy przypomnieć przepis art. 22 ust. 2 lit. b) RODO, który przyznaje państwom członkowskim uprawnienie do zezwolenia na decyzję opartą wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, i który w związku z tym mógłby zostać przywołany jako podstawa prawna. Należy jednak zauważyć, że art. 22 ust. 2 RODO nie miałby zastosowania, gdyby Trybunał orzekł, że scoring nie jest objęty zakazem określonym w art. 22 ust. 1 tego rozporządzenia. Jak bowiem wyraźnie wynika z brzmienia i ogólnej systematyki art. 22 RODO, zastosowanie ust. 2 zakłada spełnienie przesłanek określonych w ust. 1. W konsekwencji oczywiste jest, że w przypadku negatywnej odpowiedzi na pierwsze pytanie, należałoby wykluczyć zastosowanie art. 22 ust. 2 lit. b) RODO. |
|
64. |
Tytułem uzupełnienia i zważywszy, że na pytanie pierwsze proponuję udzielić odpowiedzi twierdzącej, uważam, że konieczne jest zbadanie kwestii, czy przepis ten znajdzie zastosowanie w przypadku, gdy Trybunał uzna, że scoring przeprowadzony przez biuro informacji kredytowej stanowi „decyzję” w rozumieniu art. 22 ust. 1 RODO. Jednak nawet w tym przypadku pozostają wątpliwości co do przydatności art. 22 ust. 2 lit. b) tego rozporządzenia jako podstawy prawnej, z kilku powodów. |
|
65. |
Po pierwsze, należy przypomnieć, że art. 22 RODO dotyczy jedynie decyzji podejmowanych „wyłącznie” w oparciu o zautomatyzowane przetwarzanie, podczas gdy – zdaniem sądu odsyłającego – § 31 BDSG zawiera niezróżnicowane przepisy, które mają zastosowanie również do niezautomatyzowanych decyzji, regulując jednocześnie zgodność z prawem wykorzystania przetwarzania danych dla celów scoringu. Innymi słowy, § 31 BDSG ma znacznie szerszy zakres ratione materiae niż art. 22 RODO ( 27 ). W konsekwencji wątpliwe jest, aby art. 22 ust. 2 lit. b) RODO miał służyć jako podstawa prawna. |
|
66. |
Po drugie, należy zauważyć, jak wskazuje sąd odsyłający, że § 31 BDSG reguluje „wykorzystanie” wartości prawdopodobieństwa przez podmioty gospodarcze, a nie „wyliczenie” tej wartości przez biura informacji kredytowej, co stanowi aspekt, który jest jednak przedmiotem pierwszego pytania prejudycjalnego. Można to również wywnioskować z oświadczeń rządu niemieckiego złożonych podczas rozprawy. Jak szczegółowo wyjaśniłem przy okazji omawiania tego pytania, art. 22 ust. 1 RODO ma zastosowanie również na etapie „wyliczenia” wartości scoringu, a nie tylko na etapie jej „wykorzystania” przez instytucję finansową, pod warunkiem spełnienia określonych przesłanek ( 28 ). Innymi słowy, wydaje się, że § 31 BDSG ma na celu uregulowanie innego przypadku niż ten, który wchodzi w zakres ratione materiae art. 22 RODO, czego potwierdzenie należy do sądu odsyłającego. W świetle powyższych rozważań uważam, że należy wykluczyć art. 22 ust. 2 lit. b) RODO jako podstawę prawną przyjęcia krajowego środka legislacyjnego, takiego jak ten przewidziany w § 31 BDSG. |
2) Stosowanie art. 6 ust. 2 i 3 RODO
i) W przedmiocie klauzul przyznających państwom członkowskim uprawnienia regulacyjne
|
67. |
Zgodnie z art. 6 ust. 1 RODO przetwarzanie danych osobowych jest zgodne z prawem tylko wtedy, gdy spełniony jest warunek jednej z wymienionych w nim podstaw. Jak orzekł już Trybunał, jest to wyczerpujący i zamknięty wykaz przypadków, w których takie przetwarzanie może zostać uznane za zgodne z prawem ( 29 ). W związku z tym, aby wyliczenie wartości scoringu przez biuro informacji kredytowej mogło zostać uznane za zgodne z prawem, musi być objęte jednym z przypadków przewidzianych w tym przepisie. |
|
68. |
W przypadku takim jak w postępowaniu głównym zastosowanie mogłyby znaleźć, co do zasady, uregulowania zawarte w art. 6 ust. 1 lit. b), c) i f) RODO. Zgodnie z art. 6 ust. 2 RODO państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów RODO. Należy jednak wyjaśnić, że przepis ten ma zastosowanie jedynie w celu spełnienia wymogów ust. 1 lit. c) i e). Podobnie art. 6 ust. 3 RODO stanowi, że podstawa przetwarzania musi być określona w prawie państwa członkowskiego, któremu podlega administrator, o ile przetwarzanie dotyczy przypadków, o których mowa w ust. 1 lit. c) i e). |
|
69. |
Wynika z tego, że państwa członkowskie mogą wprowadzić bardziej szczegółowe przepisy, jeżeli przetwarzanie jest „niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze” lub „niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”. Skutkiem tych warunków jest nałożenie ścisłych ograniczeń na uprawnienia regulacyjne państw członkowskich, a tym samym uniemożliwienie arbitralnego stosowania klauzul upoważniających przewidzianych w RODO, co mogłoby udaremnić cel harmonizacji prawa w zakresie ochrony danych osobowych. |
|
70. |
Ponadto w tym względzie należy zauważyć, że skoro niektóre z tych klauzul posługują się terminologią właściwą dla RODO, nie odwołując się wyraźnie do prawa państw członkowskich, użyte pojęcia należy interpretować w sposób autonomiczny i jednolity ( 30 ). To w tym kontekście należy następnie zbadać, czy regulacja § 31 BDSG wchodzi w zakres jednej z podstaw wymienionych w art. 6 ust. 1 RODO. |
ii) Zgodność z prawem przetwarzania danych
– Podstawa z art. 6 ust. 1 lit. b) RODO
|
71. |
Jeżeli chodzi o lit. b), to z tego przepisu wynika, że przetwarzanie jest zgodne z prawem wyłącznie w przypadku gdy, i w takim zakresie, w jakim jest ono niezbędne do „wykonania umowy, której stroną jest osoba, której dane dotyczą” lub „podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”. W tym względzie należy zauważyć, że na etapie wykonywania umowy z usług biur informacji kredytowej korzysta się tylko w wyjątkowych przypadkach. Najważniejszą fazą jest faza poprzedzająca zawarcie umowy, podczas której zwykle uzyskuje się informacje o zdolności kredytowej. Przekazanie zapytania o udzielenie informacji do biura informacji kredytowej w celu sprawdzenia zdolności kredytowej wydaje mi się dozwolone na podstawie tego przepisu ( 31 ). Należy jednak wyjaśnić, że przepis ten obejmuje jedynie zezwolenie na przeprowadzenie badania zdolności kredytowej przez potencjalnych partnerów umownych, wierzycieli lub podmiotów świadczących usługi prawne, a zatem stwarza warunki wstępne dla zgodnego z prawem gromadzenia danych przez biura informacji kredytowej. Natomiast przepis ten nie wydaje mi się sam w sobie wystarczający, żeby stanowić podstawę prawną do legitymizowania działalności biura informacji kredytowej w ogóle ( 32 ). |
|
72. |
Ponadto należy przypomnieć, że chociaż art. 6 ust. 1 lit. b) RODO kodyfikuje podstawę prawną przetwarzania danych osobowych, to jednak nie odnosi się do żadnego z przypadków przewidzianych w ust. 2 i 3, zgodnie z którymi państwom członkowskim przysługują uprawnienia regulacyjne. Wynika z tego, że skoro art. 6 RODO wymienia enumeratywnie te przypadki, to przepis krajowy, taki jak zawarty w § 31 BDSG, nie może zostać przyjęty wyłącznie na podstawie art. 6 ust. 1 lit. b) RODO. |
– Podstawa z art. 6 ust. 1 lit. c) RODO
|
73. |
Podstawa z art. 6 ust. 1 lit. c) RODO dotyczy przetwarzania opartego na „obowiązku prawnym” ciążącym na administratorze. Wiąże się to z wymaganiami stawianymi przez samo państwo. Przepis ten natomiast nie obejmuje zobowiązań wynikających z umów cywilnoprawnych, np. umowy zawartej między instytucją finansową a biurem informacji kredytowej. Niemniej jednak instytucje finansowe, które muszą sprawdzać zdolność kredytową swoich klientów zgodnie z ciążącymi na nich obowiązkami wynikającymi z prawa krajowego, mogą powoływać się na tę podstawę prawną do celów odpowiednich zapytań o udzielenie informacji, tak aby zapewnić pełną zgodność z prawem takich zapytań z punktu widzenia biura informacji kredytowej. Natomiast „wyliczenia” wartości scoringu przez biuro informacji kredytowej nie można uznać za środek podjęty w celu wypełnienia ciążącego na nim „obowiązku prawnego”, ponieważ taki obowiązek nie wydaje się istnieć w prawie krajowym. W konsekwencji należy stwierdzić, że nie można skutecznie powołać się na lit. c) jako podstawę prawną do uznania, że czynność scoringu stanowi przetwarzanie zgodne z prawem. |
– Podstawa z art. 6 ust. 1 lit. e) RODO
|
74. |
Powstaje zatem pytanie, czy można powołać się na art. 6 ust. 1 lit. e) RODO jako podstawę prawną przyjęcia § 31 BDSG. Byłoby tak, gdyby przetwarzanie było „niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”. Z jednej strony można podnieść, że, jak wynika z celu legislacyjnego § 31 BDSG, odzwierciedlonego w tytule tego przepisu krajowego („Ochrona obrotu gospodarczego w przypadku scoringu i informacji dotyczących zdolności kredytowej”), a także z prac przygotowawczych ( 33 ), biura informacji kredytowej przyczyniają się do prawidłowego funkcjonowania gospodarki danego państwa ( 34 ). |
|
75. |
W zakresie, w jakim biura te udostępniają informacje o zdolności kredytowej określonych osób, przyczyniają się one bowiem do ochrony konsumentów poprzez unikanie ryzyka nadmiernego zadłużenia ( 35 ), ale także przedsiębiorstw, które sprzedają im towary lub udzielają im kredytów. Biura te zapewniają stabilność systemu finansowego poprzez zapobieganie nieodpowiedzialnemu udzielaniu kredytów kredytobiorcom o wysokim ryzyku niewykonania zobowiązania ( 36 ). Bez wiarygodnego systemu oceny kredytowej duża część społeczeństwa byłaby praktycznie pozbawiona możliwości uzyskania kredytu ze względu na nieobliczalne ryzyka, transakcje gospodarcze w erze informacji byłyby znacznie trudniejsze, a próby oszustw pozostałyby niezauważone. Z tego punktu widzenia można zgodzić się z motywami, które najwyraźniej skłoniły niemieckiego prawodawcę do przyjęcia § 31 BDSG. |
|
76. |
Co więcej, nawet jeśli wiadomo, że osoby prawne prawa prywatnego mogą działać w interesie publicznym, wydaje mi się oczywiste, że jakikolwiek „prawnie uzasadniony interes” nie może uzasadniać zastosowania art. 6 ust. 1 lit. e) RODO. Związek „sprawowania władzy publicznej” z motywami 45, 55 i 56 RODO wskazuje raczej, że przepis ten odnosi si, w pierwszej kolejności do organów publicznych w ścisłym znaczeniu, jak również do osób prawnych sprawujących część władzy publicznej, a w drugiej kolejności do osób prawnych prawa prywatnego, które przetwarzają dane w interesie publicznym, na przykład w dziedzinach „zdrowia publicznego”, „ochrony socjalnej” i „zarządzania usługami opieki zdrowotnej”, wyraźnie wymienionych w motywie 45. Innymi słowy, przepis ten dotyczy klasycznych zadań państwa. |
|
77. |
Podobnie należy zauważyć, że motywy 55 i 56 RODO odnoszą się do „oficjalnie uznanych związków wyznaniowych”, a także do „partii politycznych”, czyli organizacji, które zgodnie z kryteriami prawodawcy Unii, prowadzą działalność w interesie publicznym i w tym celu przetwarzają dane osobowe. W świetle tej uwagi wątpliwe jest, aby przepis ten mógł objąć również działalność biur informacji kredytowej, w tym scoring. Taka wykładnia znacząco rozszerzyłaby zakres stosowania tego przepisu i szczególnie utrudniłaby określenie granic tej klauzuli upoważniającej ( 37 ). |
|
78. |
Poza powyższymi rozważaniami należy w tym kontekście zauważyć, że chociaż § 31 BDSG ma na celu ochronę obrotu gospodarczego, przepis ten nie wymienia żadnych konkretnych zadań rzeczonych biur informacji kredytowej. ( 38 ). Jak już wskazałem w niniejszej opinii, opierając się na informacjach o krajowych ramach prawnych przedstawionych przez sąd odsyłający, przepis ten dotyczy „wykorzystania” wartości scoringu przez podmioty gospodarcze, a nie jej „wyliczenia” przez biura informacji kredytowej ( 39 ). Tymczasem to właśnie zgodność z prawem tej działalności stanowi sedno sporu w postępowaniu głównym. Z przyczyn wskazanych powyżej uważam, że art. 6 ust. 1 lit. e) RODO nie może służyć jako podstawa prawna. |
– Podstawa z art. 6 ust. 1 lit. f) RODO
|
79. |
Następnie należy rozważyć, czy działalność ta wchodzi w zakres stosowania art. 6 ust. 1 lit. f) RODO. Zgodnie z orzecznictwem Trybunału ( 40 ) w rozpatrywanym przepisie określono trzy kumulatywne przesłanki legalności przetwarzania danych osobowych, a mianowicie, po pierwsze, realizację uzasadnionych interesów przez administratora danych lub osobę trzecią bądź osoby trzecie, którym dane są przekazywane, po drugie, konieczność przetwarzania danych osobowych dla potrzeb wynikających z tych uzasadnionych interesów oraz, po trzecie, przesłankę, aby podstawowe prawa i podstawowe wolności osoby objętej ochroną danych nie miały pierwszeństwa. |
|
80. |
Co się tyczy w pierwszej kolejności realizacji jednego z „prawnie uzasadnionych interesów”, chciałbym przypomnieć, że istnieje szeroki wachlarz interesów uznanych w RODO i orzecznictwie za takowe ( 41 ). Pragnę przy tym wyjaśnić, że zgodnie z art. 13 ust. 1 lit. d) RODO to na administratorze ciąży obowiązek podania prawnie uzasadnionych interesów realizowanych w ramach art. 6 ust. 1 lit. f) RODO. Jak już wskazałem w niniejszej opinii, legislacyjny cel § 31 BDSG polega na zapewnieniu zgodności z prawem działalności prowadzonej przez biura informacji kredytowej, ponieważ zdaniem niemieckiego prawodawcy przyczyniają się one do prawidłowego funkcjonowania gospodarki państwa ( 42 ). Ponieważ działania te gwarantują ochronę różnych podmiotów gospodarczych przed ryzykiem związanym z niewypłacalnością, mającą poważne konsekwencje dla stabilności systemu finansowego, na tym etapie analizy można przyjąć, że wspomniany przepis krajowy realizuje cel gospodarczy, który może stanowić „prawnie uzasadniony interes” w rozumieniu art. 6 ust. 1 lit. f) RODO. |
|
81. |
Następnie, w odniesieniu do przesłanki, zgodnie z którą przetwarzanie danych osobowych musi być niezbędne do realizacji prawnie uzasadnionych interesów, zgodnie z orzecznictwem Trybunału odstępstwa od ochrony danych osobowych i jej ograniczenia powinny być stosowane jedynie wtedy, gdy jest to absolutnie konieczne ( 43 ). W braku alternatywnego rozwiązania, które byłoby lepsze z punktu widzenia ochrony danych osobowych, konieczne jest zatem istnienie ścisłego związku między przetwarzaniem a realizowanym interesem, gdyż nie wystarczy, aby przetwarzanie było jedynie użyteczne dla administratora. W tym względzie należy zauważyć, że o ile sąd odsyłający wyraża pewne wątpliwości co do zgodności z prawem czynności scoringu w świetle przepisów RODO, o tyle nie przedstawia on żadnych informacji sugerujących ewentualne istnienie alternatywnych środków, które byłyby lepsze z punktu widzenia ochrony danych osobowych. Wobec braku informacji przeciwnych jestem skłonny uznać pewien zakres swobody w wyborze środków właściwych do osiągnięcia pożądanego celu. |
|
82. |
Wreszcie, jeśli chodzi o wyważenie z jednej strony interesów administratora danych, a z drugiej strony interesów lub podstawowych wolności i podstawowych praw osoby, której dane dotyczą, należy uznać, że w niniejszej sprawie wyważenie różnych, wchodzących w grę interesów zostało przeprowadzone w procesie legislacyjnym. Przyjmując § 31 BDSG, niemiecki prawodawca dał pierwszeństwo interesom ekonomicznym przed prawem do ochrony danych osobowych. Takie podejście byłoby jednak możliwe tylko wtedy, gdyby art. 6 ust. 1 lit. f) RODO zawierał klauzulę umożliwiającą państwom członkowskim zachowanie lub wprowadzenie bardziej szczegółowych przepisów w celu dostosowania przepisów RODO w odniesieniu do przetwarzania. Tak jednak nie jest, co wyjaśnię poniżej. |
|
83. |
Jak wynika jasno z brzmienia art. 6 ust. 2 i 3 RODO, zachowanie lub wprowadzenie bardziej szczegółowych przepisów jest dopuszczalne jedynie w przypadkach, o których mowa w ust. 1 lit. c) i e). Wcześniejsza analiza wykazała, że § 31 BDSG nie odnosi się do żadnych okoliczności, które mogłyby wchodzić w zakres tych przypadków, co logicznie wyklucza możliwość powołania się na art. 6 ust. 2 i 3 RODO jako podstawę prawną. Zastosowanie podstawy z ust. 1 lit. f) nie tylko byłoby niezgodne z brzmieniem tych przepisów, ale także nie uwzględniałoby intencji prawodawcy Unii, która wynika z genezy tych przepisów. |
|
84. |
W tym względzie chciałbym przypomnieć, że zgodnie z art. 5 dyrektywy 95/46/WE ( 44 ) – aktu prawnego poprzedzającego RODO – do państw członkowskich należało „[określanie] warunk[ów] ustalania legalności przetwarzania danych osobowych”. Trybunał zinterpretował ten przepis, stwierdzając, że nic nie stoi na przeszkodzie temu, by do celów korzystania z przysługującego im na mocy art. 5 dyrektywy 95/46 zakresu uznania państwa członkowskie ustanowiły „zasady stanowiące wytyczne” dla przeprowadzenia ważenia wymaganego na mocy art. 7 lit. f) tej dyrektywy, który odpowiada art. 6 ust. 1 lit. f) RODO. Należy jednak zauważyć, że RODO nie przyznaje już takiego uprawnienia państwom członkowskim. Brak równoważnego przepisu w RODO oznacza zatem, że państwa członkowskie nie mogą już ustanowić w swoim prawie krajowym zasad stanowiących wytyczne w celu określenia „prawnie uzasadnionego interesu” w rozumieniu art. 6 ust. 1 lit. f) tego rozporządzenia ( 45 ). |
|
85. |
Odesłanie z ust. 2 i 3 do przepisów dotyczących „innych szczególnych sytuacji związanych z przetwarzaniem” zawartych w rozdziale IX nie skutkuje rozszerzeniem zakresu stosowania art. 6 RODO. Jest to raczej odniesienie do przepisów umożliwiających państwom członkowskim przyjęcie bardziej szczegółowych przepisów w ograniczonych obszarach, a mianowicie, gdy przetwarzanie jest niezbędne do wypełnienia „obowiązku prawnego” w rozumieniu ust. 1 lit. c) albo do wykonania „zadania realizowanego w interesie publicznym” lub w ramach sprawowania „władzy publicznej” w przypadku ust. 1 lit. e) ( 46 ). Jak już wskazałem powyżej, obszary te nie mają jednak żadnego związku z okolicznościami, w których stosuje się § 31 BDSG. |
|
86. |
W tym kontekście należy również przypomnieć, że choć we wniosku dotyczącym rozporządzenia Komisja przyznała sobie uprawnienia do „przyjmowania aktów delegowanych w celu doprecyzowania warunków określonych w art. 6 ust. 1 lit. f) dla różnych sektorów i sytuacji w odniesieniu do przetwarzania danych, w tym przetwarzania danych osobowych dotyczących dziecka”, to jednak wniosek ten nie został przyjęty przez prawodawcę Unii. Analiza ewolucji tekstu pokazuje, że uprawnienia regulacyjne państw członkowskich zostały ograniczone w interesie dalszej harmonizacji, aby zapewnić spójne i jednolite stosowanie zasad w odniesieniu do ochrony danych osobowych, co potwierdzają również motywy 3, 9 i 10 RODO ( 47 ). Przy dokonywaniu wykładni art. 6 RODO należy wziąć tę okoliczność pod uwagę. |
|
87. |
Wreszcie uważam, że należy wskazać, iż nawet gdyby art. 6 ust. 1 lit. f) RODO miał zastosowanie, przepis krajowy, taki jak § 31 BDSG, nie mógłby być uznany za zgodny z prawem Unii. Pragnę przypomnieć, że Trybunał zinterpretował art. 7 lit. f) dyrektywy 95/46 w ten sposób, że „państwo członkowskie nie może […] określić w stosunku do [pewnych kategorii danych osobowych] w sposób ostateczny rezultatu ważenia przeciwstawnych praw i interesów, nie dopuszczając do innego rezultatu będącego wynikiem szczególnych okoliczności konkretnego przypadku” ( 48 ). Wykładnia ta wydaje mi się wciąż aktualna, gdyż przepis ten został zredagowany w niemal identyczny sposób jak przepis, który go zastąpił, czyli art. 6 ust. 1 lit. f) RODO ( 49 ). Tymczasem, jak sugeruje sąd odsyłający, wydaje się, że prawodawca krajowy miał właśnie taki cel, ponieważ w zakresie, w jakim § 31 BDSG zezwala na stosowanie wartości scoringu w sektorze finansowym, interesy gospodarcze sektora finansowego są traktowane priorytetowo w stosunku do prawa do ochrony danych osobowych, bez uwzględnienia szczególnych okoliczności konkretnego przypadku. Takie podejście w sposób niedopuszczalny rozszerzyłoby zakres stosowania art. 6 RODO. |
|
88. |
W związku z powyższym uważam, że nie można skutecznie powołać się na art. 6 ust. 1 lit. f) RODO jako podstawę prawną dla celów przyjęcia przepisu krajowego, takiego jak § 31 BDSG. |
– Podstawa z art. 6 ust. 4 w związku z art. 23 ust. 1 RODO
|
89. |
Sąd odsyłający wskazuje, że art. 6 ust. 4 w związku z art. 23 ust. 1 RODO został powołany jako podstawa prawna w procedurze legislacyjnej, która doprowadziła do przyjęcia § 31 BDSG. Później jednak zrezygnowano z pomysłu powoływania się na te przepisy. Sąd odsyłający uważa, że przepisy te nie mają zastosowania w niniejszej sprawie. |
|
90. |
Wobec braku bardziej szczegółowych informacji nie jest możliwe zajęcie stanowiska w kwestii ewentualnego zastosowania rzeczonych przepisów. Nie wydaje mi się to również konieczne, jeśli wspomniane przepisy nie odgrywały żadnej roli w trakcie procedury legislacyjnej, jak twierdzi sąd odsyłający ( 50 ). |
iii) Wniosek częściowy
|
91. |
W poprzednich akapitach rozważyłem, czy art. 6 i 22 RODO mogą stanowić podstawę prawną do przyjęcia przepisu krajowego, takiego jak § 31 BDSG, w celu uzasadnienia zgodności z prawem wyliczania wartości scoringu w ramach działalności prowadzonej przez biura informacji kredytowej. Kilka powodów, przedstawionych szczegółowo w mojej analizie, utwierdza mnie w przekonaniu, że taką możliwość należy wykluczyć. Podsumowując, uważam, że wobec braku klauzul upoważniających lub wyłączających umożliwiających państwom członkowskim przyjęcie bardziej szczegółowych przepisów, lub odstąpienie od przepisów RODO w celu uregulowania działalności, o której mowa powyżej, a także biorąc pod uwagę stopień harmonizacji realizowany przez to rozporządzenie, które zgodnie z art. 288 TFUE wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich, taki przepis krajowy należy uznać za niezgodny z RODO. |
|
92. |
Ponieważ Trybunał nie jest właściwy do dokonywania wykładni prawa krajowego ani do orzekania o jego zgodności z prawem Unii w ramach postępowania prejudycjalnego na podstawie art. 267 TFUE, argumenty przedstawione w niniejszej opinii należy rozumieć jako wskazówki dotyczące wykładni odpowiednich przepisów RODO, aby umożliwić sądowi odsyłającemu skorzystanie, w razie potrzeby, z tej właściwości po samodzielnym zbadaniu § 31 BDSG w świetle przepisów tego rozporządzenia, w szczególności w zakresie możliwości dokonania wykładni przepisów krajowych zgodnie z wymogami prawa Unii. |
|
93. |
Zasada pierwszeństwa prawa Unii ustanawia prymat prawa Unii nad prawem państw członkowskich. Zasada ta nakłada zatem na wszystkie organy państw członkowskich obowiązek zapewnienia pełnej skuteczności różnych norm prawa Unii, a prawo państw członkowskich nie może mieć wpływu na skuteczność przyznaną tym różnym normom na terytorium wspomnianych państw. Zgodnie z tą zasadą w razie niemożności dokonania wykładni przepisów prawa krajowego w sposób zgodny z wymogami prawa Unii sąd krajowy, do którego należy w ramach jego kompetencji stosowanie przepisów prawa Unii, jest zobowiązany zapewnić pełną ich skuteczność, w razie potrzeby nie stosując, z własnej inicjatywy, wszelkich sprzecznych z nimi przepisów prawa krajowego, także późniejszych, bez potrzeby zwracania się o ich uprzednie usunięcie w drodze ustawodawczej lub w ramach innej procedury konstytucyjnej ani bez konieczności oczekiwania na takie uchylenie ( 51 ). |
b) Odpowiedź na drugie pytanie prejudycjalne
|
94. |
Odpowiadając na drugie pytanie prejudycjalne, uważam, że art. 6 ust. 1 i art. 22 RODO należy interpretować w ten sposób, że nie stoją one na przeszkodzie przepisom prawa krajowego dotyczącym profilowania, jeżeli profilowanie to jest inne niż przewidziane w art. 22 ust. 1 tego rozporządzenia. Jednakże w tym przypadku przepisy krajowe muszą spełniać warunki określone w art. 6 rzeczonego rozporządzenia. W szczególności muszą one opierać się na odpowiedniej podstawie prawnej, której sprawdzenie należy do sądu krajowego. |
VI. Wnioski
|
95. |
W świetle powyższych rozważań proponuję Trybunałowi, by na pytania przedstawione przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy) odpowiedział następująco:
|
( 1 ) Język oryginału: francuski.
( 2 ) Dz.U. 2016, L 119, s. 1.
( 3 ) BGBl. 2017 I, s. 2097.
( 4 ) BGBl. 2019 I, s. 1626.
( 5 ) Chodzi tu konkretnie o art. 18 i 21 dyrektywy Parlamentu Europejskiego i Rady 2014/17/UE z dnia 4 lutego 2014 r. w sprawie konsumenckich umów o kredyt związanych z nieruchomościami mieszkalnymi i zmieniającej dyrektywy 2008/48/WE i 2013/36/UE oraz rozporządzenie (UE) nr 1093/2010 (Dz.U. 2014, L 60, s. 34), a także o art. 8 i 9 dyrektywy Parlamentu Europejskiego i Rady 2008/48/WE z dnia 23 kwietnia 2008 r. w sprawie umów o kredyt konsumencki oraz uchylającej dyrektywę Rady 87/102/EWG (Dz.U. 2008, L 133, s. 66).
( 6 ) Z „Wytycznych dotyczących zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679”, przyjętych w dniu 3 października 2017 r. przez Grupę roboczą art. 29 ds. ochrony danych, wynika, że profilowanie i zautomatyzowane podejmowanie decyzji mogą stanowić poważne ryzyko dla praw i wolności osób fizycznych. W szczególności profilowanie może utrwalać istniejące stereotypy i segregację społeczną. Ponadto w zakresie, w jakim osoby, których dane dotyczą, mogą odczuwać ograniczoną wolność wyboru w przypadku niektórych produktów lub usług, profilowanie może prowadzić do odmowy świadczenia usług i dostępu do towarów oraz nieuzasadnionej dyskryminacji.
( 7 ) Zobacz wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland (C‑319/20, EU:C:2022:322, pkt 57, 60).
( 8 ) Zobacz wyrok z dnia 28 października 2020 r., Pegaso i Sistemi di Sicurezza (C‑521/18, EU:C:2020:867, pkt 26, 27).
( 9 ) Zobacz opinia rzecznika generalnego J. Richarda de la Toura w sprawie Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2022:661, pkt 43 i nast.).
( 10 ) Zobacz wyrok z dnia 22 czerwca 2010 r., Melki i Abdeli (C‑188/10 i C‑189/10, EU:C:2010:363, pkt 45).
( 11 ) Zobacz wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, pkt 57).
( 12 ) Zobacz wersje: hiszpańską („tratamiento automatizado, incluida la elaboración de perfiles”), duńską („automatisk behandling, herunder profilering”), niemiecką („einer automatisierten Verarbeitung – einschließlich Profiling -”), estońską („automatiseeritud töötlusel, sealhulgas profiilianalüüsil”), angielską („automated processing, including profiling”), francuską („un traitement automatisé, y compris le profilage”) i polską („zautomatyzowanym przetwarzaniu, w tym profilowaniu”) (wyróżnienie moje).
( 13 ) Zobacz podobnie L. A. Bygrave, Article 22. Automated individual decision-making, including profiling, w: The EU General Data Protection Regulation (GDPR), ed. C. Kuner, L. A. Bygrave, C. Docksey, Oxford 2020, s. 532.
( 14 ) R. Abel, Automatisierte Entscheidungen im Einzelfall gem. Artykuł 22 DS-GVO – Anwedungsbereich und Grenzen im nicht-öffentlichen Bereich, Zeitschrift für Datenschutz, 7/2018, s. 307, który uważa, że przepis ten dotyczy „decyzji”, które mają wpływ na sytuację prawną osoby, której dane dotyczą, lub trwale zakłócają jej rozwój ekonomiczny lub osobisty.
( 15 ) M. Helfrich, G. Sydow, DS-GVO/BDSG, 2ème édition, Baden-Baden 2018, art. 22, point 51, którzy uważają, że decydujące znaczenie ma ustalenie, czy osoba, której dane dotyczą, doznaje uszczerbku w wykonywaniu swoich praw i wolności, na przykład na skutek obserwacji i oceny, które mogą istotnie wpłynąć na rozwój jej osobowości.
( 16 ) U. Bernhardt, I. Ruhrman, K. Schuler, T. Weichert, Evaluation der Europäischen Datentschutz-Grundverordnung, wersja z dnia 18 lipca 2019 r., Netzwerk Datenschutzexpertise, s. 7, uważają, że algorytmy stosowane w ramach profilowania mają duży potencjał dyskryminacyjny i mogą wyrządzić szkodę, dlatego też autorzy sądzą, że należy wyraźnie zaznaczyć, iż wszystkie formy kompleksowego i kompletnego profilowania są objęte zakazem wymienionym w art. 22 ust. 1 RODO.
( 17 ) Zobacz podobnie G. Sydow, N. Marsch, DS-GVO/BDSG, 3ème édition, Baden-Baden 2022, § 31 BDSG, pkt 5, którzy uważają, że scoring może istotnie wpłynąć na osoby, których dane dotyczą, podobnie jak decyzja wywołująca skutki prawne.
( 18 ) Zobacz wersje: hiszpańską („únicamente”), duńską („alene”), niemiecką („ausschließlich”), francuską („exclusivement”), estońską („üksnes”), angielską („solely”), pi olską („wyłącznie”).
( 19 ) Takie podejście wydaje mi się tym bardziej konieczne, że ani SCHUFA, ani HBDI nie były w stanie podczas rozprawy udzielić jasnej odpowiedzi na pytanie, czy wartości scoringu z góry determinują decyzję instytucji finansowych. Przedstawiciel spółki SCHUFA wskazał jednak, że instytucje te korzystają z doświadczenia i kompetencji biur informacji kredytowej w zakresie ustalania zdolności kredytowej osoby fizycznej, co zasadniczo można interpretować jako wskazanie na istotny wpływ na proces decyzyjny.
( 20 ) K. Blasek, Auskunfteiwesen und Kredit-Scoring in unruhigem Fahrwasser – Ein Spagat zwischen Individualschutz und Rechtssicherheit, Zeitschrift für Datenschutz, 8/2022, s. 436 i 438, który uważa, że nie można wykluczyć zastosowania art. 22 ust. 1 RODO w przypadkach, gdy pracownicy banku nie kwestionują zautomatyzowanych ocen (profilowania, scoringu) dokonywanych przez biura informacji kredytowej. Zdaniem tego autora banki nie powinny opierać się wyłącznie na tych zewnętrznych informacjach, ale raczej same powinny je odpowiednio zweryfikować.
( 21 ) Zobacz podobnie J. Horstmann, S. Dalmer, Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen, Zeitschrift für Datenschutz, 5/2022, s. 263.
( 22 ) Wyróżnienie moje,
( 23 ) Wyróżnienie moje.
( 24 ) Zobacz Zanfir-Fortuna, G., „Article 15. Right of access by the data subject” w: The EU General Data Protection Regulation (GDPR), ed. C. Kuner, L.A. Bygrave, C. Docksey, Oxford 2020, s. 463.
( 25 ) Zobacz podobnie „Wytyczne dotyczące zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679”, przyjęte w dniu 3 października 2017 r. przez Grupę roboczą art. 29 ds. ochrony danych s. 28 i 30.
( 26 ) Zobacz „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)”, Bundesrat – Drucksache 110/17 vom 2.2.2017, s. 101, 102; R. Abel, Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht w: Zeitschrift für Datenschutz, 3/2018, s. 105, który krytykuje projekt ustawy za brak wskazania klauzuli upoważniającej, na której opiera się § 31 BDSG i wyraża wątpliwości co do zgodności tego przepisu z prawem Unii.
( 27 ) Zobacz podobnie J. Horstmann, S. Dalmer, Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen w: Zeitschrift für Datenschutz, 5/2022, s. 265.
( 28 ) Zobacz pkt 44 niniejszej opinii.
( 29 ) Wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne) (C‑439/19, EU:C:2021:504, pkt 99).
( 30 ) Wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne) (C‑439/19, EU:C:2021:504, pkt 81).
( 31 ) Zobacz podobnie, K. von Lewinski, D. Pohl, Auskunfteien nach der europäischen Datenschutzreform – Brüche und Kontinuitäten der Rechtslage w: Zeitschrift für Datenschutz, 1/2018, s. 19.
( 32 ) Zobacz podobnie, R. Abel, Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht w: Zeitschrift für Datenschutz, 3/2018, s. 106.
( 33 ) Zobacz „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)”, Bundesrat – Drucksache 110/17 vom 2.2.2017, s. 101, 102. Podczas rozprawy rząd niemiecki potwierdził, że rzeczywiście taki jest cel legislacyjny § 31 BDSG.
( 34 ) Zobacz w tym względzie, N. Guggenberger, G. Sydow, Bundesdatenschutzgesetz, wyd. 1, Baden-Baden 2020, § 31, pkt 2, 5.
( 35 ) Zobacz wyrok z dnia 27 marca 2014 r., LCL Le Crédit Lyonnais (C‑565/12, EU:C:2014:190, pkt 40, 42), dotyczący wynikającego z art. 8 ust. 1 dyrektywy 2008/48 obowiązku kredytodawcy przeprowadzenia oceny zdolności kredytowej konsumenta przed zawarciem umowy kredytu, który to obowiązek może obejmować uzyskanie informacji z odpowiedniej bazy danych. Zdaniem Trybunału ten przedkontraktowy obowiązek ma na celu ochronę konsumentów przed ryzykiem nadmiernego zadłużenia i niewypłacalności, zapewniając wysoki poziom ochrony ich interesów i ułatwiając powstawanie dobrze funkcjonującego wewnętrznego rynku kredytów konsumenckich.
( 36 ) Zobacz wyrok z dnia 6 czerwca 2019 r., Schyns (C‑58/18, EU:C:2019:467, pkt 45, 46), w którym Trybunał orzekł, że wynikający z art. 18 ust. 5 lit. a) dyrektywy 2014/17 obowiązek kredytodawcy sprawdzenia zdolności kredytowej konsumenta przed udzieleniem mu kredytu ma na celu zapobieganie nieodpowiedzialnym zachowaniom uczestników rynku, które mogłyby naruszyć podstawy systemu finansowego.
( 37 ) Zobacz podobnie, G. Sydow, N. Marsch, DS-GVO/BDSG, wyd. 3, Baden-Baden 2022, § 31 BDSG, pkt 6; R. Abel, R., Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht w: Zeitschrift für Datenschutz, 3/2018, s. 105.
( 38 ) Zobacz w tym względzie N. Guggenberger, G. Sydow, Bundesdatenschutzgesetz, wyd. 1, Baden-Baden 2020, § 31, pkt 5.
( 39 ) Zobacz pkt 66 niniejszej opinii.
( 40 ) Wyrok z dnia 17 czerwca 2021 r., M.I.C.M. (C‑597/19, EU:C:2021:492, pkt 106).
( 41 ) Zobacz w tym względzie opinia rzecznika generalnego A. Rantosa w sprawie Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej) (C‑252/21, EU:C:2022:704, pkt 60).
( 42 ) Zobacz pkt 74 niniejszej opinii.
( 43 ) Zobacz wyroki: z dnia 4 maja 2017 r., Rīgas satiksme (C‑13/16, EU:C:2017:336, pkt 30); z dnia 17 czerwca 2021 r., M.I.C.M. (C‑597/19, EU:C:2021:492, pkt 110).
( 44 ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31).
( 45 ) Zobacz podobnie H. Heberlein, DS-GVO – Kommentar, Monachium 2017, art. 6, pkt 28, 32.
( 46 ) Zobacz podobnie H. Heberlei, op.cit., pkt 32; A. Roßnagel, Datenschutzrecht, ed. S.Simitis, G.Hornung, I.Spiecker, Monachium 2019, art. 6, pkt 23.
( 47 ) Zobacz wyrok z 22 czerwca 2022 r., Leistritz (C‑534/20, EU:C:2022:495, pkt 26).
( 48 ) Wyrok z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779, pkt 62).
( 49 ) Zobacz wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, pkt 66), w którym Trybunał dokonał jednolitej wykładni niektórych przepisów dyrektywy 95/46 i RODO.
( 50 ) N. Guggenberger, G. Sydow, Bundesdatenschutzgesetz, wyd. 1, Baden-Baden 2020, § 31, pkt 6, którzy potwierdzają ocenę sądu odsyłającego co do braku znaczenia tych przepisów przy wyborze podstawy prawnej przyjęcia § 31 BDSG.
( 51 ) Wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491, pkt 293).