WYROK TRYBUNAŁU (pierwsza izba)
z dnia 7 grudnia 2023 r. ( *1 )
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 5 ust. 1 lit. a) – Zasada „zgodności z prawem” – Artykuł 6 ust. 1 akapit pierwszy lit. f) – Niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią – Artykuł 17 ust. 1 lit. d) – Prawo do usunięcia danych w przypadku niezgodnego z prawem przetwarzania danych osobowych – Artykuł 40 – Kodeksy postępowania – Artykuł 78 ust. 1 – Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu – Decyzja organu nadzorczego w sprawie skargi – Zakres kontroli sądowej tej decyzji – Biura informacji kredytowej – Przechowywanie pochodzących z rejestru publicznego danych dotyczących przyznanego danej osobie zwolnienia z pozostałej części długu – Okres przechowywania
W sprawach połączonych C‑26/22 i C‑64/22
mających za przedmiot wnioski o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożone przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy) postanowieniami z dnia 23 grudnia 2021 r. i 31 stycznia 2022 r., które wpłynęły do Trybunału w dniach 11 stycznia 2022 r. i 2 lutego 2022 r., w postępowaniach:
UF (C‑26/22),
AB (C‑64/22)
przeciwko
Land Hessen,
przy udziale:
SCHUFA Holding AG,
TRYBUNAŁ (pierwsza izba),
w składzie: A. Arabadjiev, prezes izby, T. von Danwitz, P.G. Xuereb, A. Kumin (sprawozdawca) i I. Ziemele, sędziowie,
rzecznik generalny: P. Pikamäe,
sekretarz: K. Hötzel, administratorka,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 26 stycznia 2023 r.,
rozważywszy uwagi, które przedstawili:
– |
w imieniu UF i AB – R. Rohrmoser i S. Tintemann, Rechtsanwälte, |
– |
w imieniu Land Hessen – M. Kottmann i G. Ziegenhorn, Rechtsanwälte, |
– |
w imieniu SCHUFA Holding AG – G. Thüsing i U. Wuermeling, Rechtsanwalt, |
– |
w imieniu rządu niemieckiego – J. Möller i P.‑L. Krüger, w charakterze pełnomocników, |
– |
w imieniu rządu portugalskiego – P. Barros da Costa, M.J. Ramos i C. Vieira Guerra, w charakterze pełnomocników, |
– |
w imieniu Komisji Europejskiej – A. Bouchagiar, F. Erlbacher, H. Kranenborg i W. Wils, w charakterze pełnomocników, |
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 16 marca 2023 r.,
wydaje następujący
Wyrok
1 |
Wnioski o wydanie orzeczenia w trybie prejudycjalnym dotyczą wykładni art. 7 i 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”) oraz art. 6 ust. 1 akapit pierwszy lit. f), art. 17 ust. 1 lit. d), art. 40, art. 77 ust. 1 i art. 78 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (JO 2016, L 119, s. 1; sprostowania: Dz.U. 2018, L 127, s. 2; Dz.U. 2021, L 74, s. 35; zwanego dalej „RODO”). |
2 |
Wnioski te zostały złożone w ramach dwóch sporów pomiędzy UF (sprawa C‑26/22) i AB (sprawa C‑64/22) a Land Hessen (krajem związkowym Hesja, Niemcy) w przedmiocie odmówienia przez Hessischer Beauftragter für Datenschutz und Informationsfreiheit (komisarza ds. ochrony danych i wolności informacji dla kraju związkowego Hesja, Niemcy) (zwanego dalej „HBDI”) nakazania biuru SCHUFA Holding AG (zwanemu dalej „SCHUFA”) usunięcia przechowywanych przez nie danych dotyczących przyznanego UF i AB zwolnienia z pozostałej części długu. |
Ramy prawne
Prawo Unii
Dyrektywa 2008/48/WE
3 |
Zgodnie z motywami 26 i 28 dyrektywy Parlamentu Europejskiego i Rady 2008/48/WE z dnia 23 kwietnia 2008 r. w sprawie umów o kredyt konsumencki oraz uchylającej dyrektywę Rady 87/102/EWG (Dz.U. 2008, L 133, s. 66):
[…]
|
4 |
Artykuł 8 tej dyrektywy, zatytułowany „Obowiązek przeprowadzenia oceny zdolności kredytowej”, przewiduje w ust. 1: „Państwa członkowskie zapewniają przeprowadzanie przez kredytodawcę przed zawarciem umowy o kredyt oceny zdolności kredytowej konsumenta na podstawie wystarczających informacji przekazanych mu, w stosownych przypadkach, przez konsumenta oraz, w razie konieczności, na postawie informacji uzyskanych z odpowiedniej bazy danych. Państwa członkowskie, których ustawodawstwo wymaga od kredytodawców dokonania oceny zdolności kredytowej konsumenta na podstawie informacji z danej bazy danych, mogą zachować ten wymóg”. |
Dyrektywa 2014/17/UE
5 |
Stosownie do motywów 55 i 59 dyrektywy Parlamentu Europejskiego i Rady 2014/17/UE z dnia 4 lutego 2014 r. w sprawie konsumenckich umów o kredyt związanych z nieruchomościami mieszkalnymi i zmieniającej dyrektywy 2008/48/WE i 2013/36/UE oraz rozporządzenie (UE) nr 1093/2010 (Dz.U. 2014, L 60, s. 34):
[…]
|
6 |
Artykuł 18 tej dyrektywy, zatytułowany „Obowiązek przeprowadzenia oceny zdolności kredytowej konsumenta”, stanowi w ust. 1: „Państwa członkowskie zapewniają, by – przed zawarciem umowy o kredyt – kredytodawca dokonywał szczegółowej oceny zdolności kredytowej konsumenta. W ocenie tej w odpowiedni sposób uwzględnia się czynniki właściwe dla weryfikowania szans konsumenta na wypełnienie zobowiązań na mocy umowy o kredyt”. |
7 |
Artykuł 21 wspomnianej dyrektywy, zatytułowany „Dostęp do bazy danych”, stanowi w ust. 1 i 2: „1. Każde państwo członkowskie zapewnia wszystkim kredytodawcom ze wszystkich państw członkowskich dostęp do baz danych wykorzystywanych w danym państwie członkowskim na potrzeby przeprowadzania oceny zdolności kredytowej konsumentów i jedynie na potrzeby monitorowania przestrzegania przez konsumentów zobowiązań kredytowych w całym okresie obowiązywania umowy o kredyt. Warunki takiego dostępu są niedyskryminujące. 2. Ust[ęp] 1 ma zastosowanie zarówno do baz danych, które są prowadzone przez prywatne biura informacji kredytowej lub agencje informacji kredytowej, jak i do publicznych rejestrów”. |
Rozporządzenie (UE) 2015/848
8 |
Zgodnie z motywem 76 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/848 z dnia 20 maja 2015 r. w sprawie postępowania upadłościowego (Dz.U. 2015, L 141, s. 19): „Aby poprawić informowanie odpowiednich wierzycieli i sądów oraz zapobiec wszczynaniu równoległych postępowań upadłościowych, państwa członkowskie powinny mieć obowiązek ogłaszania w publicznie dostępnych rejestrach elektronicznych odpowiednich informacji o sprawach dotyczących transgranicznej upadłości. Aby ułatwić dostęp do takich informacji wierzycielom i sądom mającym miejsce zamieszkania lub siedzibę w innych państwach członkowskich, należy w niniejszym rozporządzeniu przewidzieć wzajemne połączenie takich rejestrów upadłości za pośrednictwem europejskiego portalu e‑Sprawiedliwość […]”. |
9 |
Artykuł 79 tego rozporządzenia, zatytułowany „Obowiązki państw członkowskich względem przetwarzania danych osobowych w krajowych rejestrach upadłości”, przewiduje w ust. 4 i 5: „4. Państwa członkowskie odpowiadają zgodnie z dyrektywą 95/46/WE [Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31)] za gromadzenie i przechowywanie danych w krajowych bazach i za decyzje powzięte w celu udostępnienia tych danych we wzajemnie połączonym rejestrze, który można przeglądać za pośrednictwem europejskiego portalu e‑Sprawiedliwość. 5. Wśród informacji, które należy przekazać podmiotom danych, by mogły korzystać ze swoich praw – zwłaszcza z prawa do uzyskania usunięcia danych – państwa członkowskie podają termin dostępności danych osobowych przechowywanych w rejestrach upadłości”. |
RODO
10 |
Zgodnie z motywami 10, 11, 47, 50, 98, 141 i 143 RODO:
[…]
[…]
[…]
[…]
[…]
|
11 |
Artykuł 5 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, ma następujące brzmienie: „1. Dane osobowe muszą być:
[…]
[…] 2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”. |
12 |
Artykuł 6 wspomnianego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, stanowi: „1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: […]
[…] 4. Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:
|
13 |
Artykuł 17 RODO, zatytułowany „Prawo do usunięcia danych (»prawo do bycia zapomnianym«)”, przewiduje w ust. 1: „Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: […]
[…]”. |
14 |
Artykuł 21 tego rozporządzenia, zatytułowany „Prawo do sprzeciwu”, stanowi w ust. 1 i 2: „1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. 2. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim”. |
15 |
Artykuł 40 wspomnianego rozporządzenia, zatytułowany „Kodeksy postępowania”, stanowi w ust. 1, 2 i 5: „1. Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja [Europejska] zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. 2. Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie niniejszego rozporządzenia, między innymi w odniesieniu do:
[…] 5. Zrzeszenia i inne podmioty, o których mowa w ust. 2 niniejszego artykułu, chcące opracować kodeks postępowania lub zmienić lub rozszerzyć zakres kodeksu już obowiązującego przedkładają projekt kodeksu, zmiany lub rozszerzenia organowi nadzorczemu właściwemu na mocy art. 55. Organ nadzorczy wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z niniejszym rozporządzeniem i zatwierdza taki projekt kodeksu, zmiany lub rozszerzenia, jeżeli uzna, że stanowią one odpowiednie zabezpieczenia”. |
16 |
Artykuł 51 RODO, zatytułowany „Organ nadzorczy”, przewiduje w ust. 1: „Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej »organem nadzorczym«)”. |
17 |
Artykuł 52 tego rozporządzenia, zatytułowany „Niezależność”, stanowi w ust. 1, 2 i 4: „1. Każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny. 2. Członek lub członkowie każdego organu nadzorczego podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem pozostają wolni od bezpośrednich i pośrednich wpływów zewnętrznych, nie zwracają się do nikogo o instrukcje ani ich od nikogo nie przyjmują. […] 4. Każde państwo członkowskie zapewnia, by każdy organ nadzorczy dysponował zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami i infrastrukturą niezbędnymi do skutecznego wypełniania swoich zadań i wykonywania swoich uprawnień, w tym w zakresie wzajemnej pomocy, współpracy i uczestnictwa w pracach Europejskiej Rady Ochrony Danych”. |
18 |
Artykuł 57 wspomnianego rozporządzenia, zatytułowany „Zadania”, stanowi w ust. 1: „Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:
[…]
[…]”. |
19 |
Artykuł 58 RODO, zatytułowany „Uprawnienia”, wymienia w ust. 1 przysługujące każdemu organowi nadzorczemu uprawnienia w zakresie prowadzonych postępowań, a w ust. 2 – działania naprawcze, jakie organ nadzorczy może podjąć. |
20 |
Artykuł 77 tego rozporządzenia, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, stanowi: „1. Bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie. 2. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78”. |
21 |
Artykuł 78 wspomnianego rozporządzenia, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”, stanowi w ust. 1 i 2: „1. Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej. 2. Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy właściwy zgodnie z art. 55 i 56 nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi wniesionej zgodnie z art. 77”. |
22 |
Artykuł 79 RODO, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, przewiduje w ust. 1: „Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego [jej] danych osobowych z naruszeniem niniejszego rozporządzenia”. |
Prawo niemieckie
23 |
Zgodnie z § 9 ust. 1 Insolvenzordnung (ustawy o postępowaniu upadłościowym) z dnia 5 października 1994 r. (BGBl. 1994 I, s. 2866), w brzmieniu mającym zastosowanie do okoliczności faktycznych w postępowaniach głównych: „Ogłoszenie publiczne następuje w drodze centralnego i obejmującego wszystkie kraje związkowe opublikowania informacji w Internecie; ogłoszeniu może podlegać wyciąg z informacji. W ogłoszeniu należy dokładnie oznaczyć dłużnika, w szczególności należy podać jego adres i dziedzinę działalności. Ogłoszenie uważa się za dokonane po upływie dwóch kolejnych dni od dnia opublikowania”. |
24 |
Paragraf 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (rozporządzenia w sprawie publicznych ogłoszeń w Internecie w postępowaniach upadłościowych) z dnia 12 lutego 2002 r. (BGBl. I, s. 677; zwanego dalej „InsoBekV”) stanowi w ust. 1 i 2: „1. Wpis danych z postępowania upadłościowego, w tym postępowania w przedmiocie otwarcia postępowania upadłościowego, w elektronicznym systemie informacyjnym i komunikacyjnym zostaje usunięty najpóźniej w terminie sześciu miesięcy po zakończeniu postępowania upadłościowego lub uprawomocnieniu się postanowienia o umorzeniu postępowania upadłościowego. Jeżeli postępowanie nie zostaje otwarte, termin rozpoczyna bieg od dnia uchylenia opublikowanych środków zabezpieczających. 2. Do ogłoszeń w postępowaniu w sprawie zwolnienia z pozostałej części długu, w tym postanowienia na podstawie § 289 ustawy o postępowaniu upadłościowym, stosuje się ust. 1 zdanie pierwsze, z zastrzeżeniem, że termin zaczyna biec od dnia uprawomocnienia się postanowienia o zwolnieniu z pozostałej części długu”. |
Postępowania główne i pytania prejudycjalne
25 |
UF i AB w ramach dotyczących ich postępowań upadłościowych uzyskali przedterminowe zwolnienie z pozostałej części długu na mocy postanowień sądowych wydanych odpowiednio w dniach 17 grudnia 2020 r. i 23 marca 2021 r. Zgodnie z § 9 ust. 1 Insolvenzordnung oraz § 3 ust. 1 i 2 InsoBekV umieszczone w Internecie publiczne ogłoszenie obejmujące te postanowienia usunięto z upływem sześciu miesięcy od ich wydania. |
26 |
SCHUFA jest prywatnym biurem informacji kredytowej, które rejestruje i przechowuje we własnych bazach danych pochodzące z publicznych rejestrów informacje, w szczególności te dotyczące zwolnienia z pozostałej części długu. Ostatni wymieniony rodzaj informacji wspomniane biuro usuwa z upływem trzech lat od ich zarejestrowania, zgodnie z kodeksem postępowania opracowanym w Niemczech przez zrzeszenie biur informacji kredytowej i zatwierdzonym przez właściwy organ nadzorczy. |
27 |
UF i AB zwrócili się do SCHUFA o usunięcie wpisów dotyczących wydanych względem nich postanowień o zwolnieniu z pozostałej części długu. Biuro to odmówiło uwzględnienia ich wniosków, wyjaśniwszy, że jego działalność jest zgodna z RODO oraz że przewidziany w § 3 ust. 1 InsoBekV sześciomiesięczny termin na usunięcie wpisu nie ma do niego zastosowania. |
28 |
UF i AB wnieśli skargi do HBDI jako właściwego organu nadzorczego. |
29 |
W decyzjach wydanych, odpowiednio, w dniach 1 marca 2021 r. i 9 lipca 2021 r. HBDI uznał, że przetwarzanie danych przez SCHUFA było zgodne z prawem. |
30 |
UF i AB wnieśli skargi na decyzje HBDI do Verwaltungsgericht Wiesbaden (sądu administracyjnego w Wiesbaden, Niemcy), będącego sądem odsyłającym. W uzasadnieniu owych skarg podnieśli oni, że w ramach swoich zadań i uprawnień HBDI miał obowiązek podjęcia działań względem SCHUFA w celu nakazania temu biuru usunięcia dotyczących ich wpisów. |
31 |
W odpowiedzi HBDI wniósł o oddalenie skarg. |
32 |
Po pierwsze, HBDI stwierdził, że prawo do wniesienia skargi przewidziane w art. 77 ust. 1 RODO jest jedynie prawem do złożenia petycji. Kontrola sądowa ogranicza się zatem do sprawdzenia, czy organ nadzorczy rozpatrzył skargę i poinformował skarżącego o postępach w jej rozpatrywaniu oraz wyniku przeprowadzonego badania. W jego ocenie sąd nie powinien natomiast kontrolować merytorycznej poprawności decyzji wydanej wskutek rozpatrzenia skargi. |
33 |
Po drugie, HBDI zwrócił uwagę, że dane, do których biura informacji kredytowej mają dostęp, mogą być przechowywane tak długo, jak jest to niezbędne do celów, dla których zaczęto je przechowywać. Wskazał on, że z uwagi na brak uregulowania tej kwestii przez prawodawcę krajowego organy nadzorcze przyjęły kodeksy postępowania, a ten, który opracowało zrzeszenie biur informacji kredytowej, przewiduje usunięcie tych danych dokładnie trzy lata po dokonaniu wpisu w bazie. |
34 |
W tym względzie w pierwszej kolejności sąd odsyłający uważa, że konieczne jest wyjaśnienie charakteru prawnego decyzji, jaką organ nadzorczy przyjmuje po wniesieniu do niego skargi na podstawie art. 77 ust. 1 RODO. |
35 |
W szczególności sąd ten ma wątpliwości co do argumentacji HBDI, ponieważ mogłaby ona zmniejszyć skuteczność środka ochrony prawnej przed sądem, o którym mowa w art. 78 ust. 1 RODO. Ponadto w świetle celu tego rozporządzenia – polegającego na zapewnieniu, w wykonaniu art. 7 i 8 karty, skutecznej ochrony podstawowych praw i wolności osób fizycznych – wykładni art. 77 i 78 wspomnianego rozporządzenia nie można w jego ocenie dokonywać w sposób zawężający. |
36 |
Sąd ten skłania się ku wykładni, zgodnie z którą wydana przez organ nadzorczy decyzja co do istoty sprawy musi podlegać pełnej kontroli sądu. Jego zdaniem organ ten dysponuje jednak zarówno uprawnieniem do swobodnej oceny, jak i uprawnieniami dyskrecjonalnymi i może zostać zobowiązany do działania jedynie wtedy, gdy nie można stwierdzić zgodnych z prawem alternatyw. |
37 |
W drugiej kolejności sąd odsyłający zastanawia się – w dwóch aspektach – nad zgodnością z prawem przechowywania przez biura informacji kredytowej danych, które dotyczą zdolności kredytowej danej osoby i pochodzą z rejestrów publicznych, takich jak rejestr upadłości. |
38 |
Po pierwsze, istnieją wątpliwości co do zgodności z prawem przechowywania uzyskanych z rejestrów publicznych danych przez prywatne biura, takie jak SCHUFA, w ich własnych bazach danych. |
39 |
Przede wszystkim bowiem przechowywanie takich danych odbywa się nie w związku z konkretnym przypadkiem, lecz na wypadek zwrócenia się do nich o takie informacje przez ich kontrahentów, i ostatecznie skutkuje umieszczeniem tych danych w rezerwie, zwłaszcza gdy usunięto je już z rejestru publicznego ze względu na upływ okresu przechowywania. |
40 |
Ponadto przetwarzanie danych – a więc także ich przechowywanie – dozwolone jest tylko wtedy, gdy spełniona jest jedna z przesłanek przewidzianych w art. 6 ust. 1 RODO. W niniejszym przypadku w rachubę wchodzi jedynie przesłanka, o której mowa w art. 6 ust. 1 akapit pierwszy lit. f) tego rozporządzenia. Tymczasem wątpliwe jest, czy biuro informacji kredytowej takie jak SCHUFA realizuje prawnie uzasadniony interes w rozumieniu tego przepisu. |
41 |
Wreszcie SCHUFA jest tylko jednym z wielu biur informacji kredytowej, w związku z czym dane przechowywane są w Niemczech w wielorakich formach, co oznacza poważną ingerencję w prawo podstawowe zapisane w art. 7 karty. |
42 |
Po drugie, nawet przy założeniu, że przechowywanie przez prywatne biura danych pochodzących z rejestrów publicznych jest samo w sobie zgodne z prawem, powstaje pytanie o możliwy okres ich przechowywania. |
43 |
W tym względzie sąd odsyłający jest zdania, że należy wymagać od tych prywatnych biur przestrzegania przewidzianego w § 3 InsoBekV sześciomiesięcznego okresu odnoszącego się do przechowywania w rejestrze upadłości postanowień o zwolnieniu z pozostałej części długu. Dane, które należy usunąć z rejestru publicznego, musiałyby więc zostać równolegle usunięte również przez wszystkie prywatne biura informacji kredytowej, które te dane przechowują. |
44 |
Ponadto pojawia się pytanie, czy przy wyważeniu interesów, którego trzeba dokonać w ramach oceny na podstawie art. 6 ust. 1 akapit pierwszy lit. f) RODO, należy uwzględnić zatwierdzony zgodnie z art. 40 RODO kodeks postępowania, który przewiduje trzyletni termin na usunięcie wpisu dotyczącego zwolnienia z pozostałej części długu. |
45 |
W tych okolicznościach Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden) postanowił zawiesić postępowania i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
|
46 |
Postanowieniem prezesa Trybunału z dnia 11 lutego 2022 r. sprawy C‑26/22 i C‑64/22 zostały połączone do celów pisemnego i ustnego etapu postępowania oraz wydania wyroku. |
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania pierwszego
47 |
Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 78 ust. 1 RODO należy interpretować w ten sposób, że kontrola sądowa wydanej przez organ nadzorczy decyzji w sprawie skargi ogranicza się do kwestii, czy organ ten rozpatrzył skargę, prawidłowo zbadał jej przedmiot i poinformował skarżącego o wyniku przeprowadzonego badania, czy też decyzja ta podlega pełnej kontroli sądowej, obejmującej uprawnienie sądu jej dokonującego do zobowiązania organu nadzorczego do podjęcia konkretnych działań. |
48 |
W celu udzielenia odpowiedzi na to pytanie należy na wstępie przypomnieć, że wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, lecz także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią (wyrok z dnia 22 czerwca 2023 r., Pankki S, C‑579/21, EU:C:2023:501, pkt 38 i przytoczone tam orzecznictwo). |
49 |
Co się tyczy brzmienia art. 78 ust. 1 RODO, przepis ten przewiduje, że bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej. |
50 |
W tym względzie należy od razu zauważyć, że w niniejszym przypadku decyzje wydane przez HBDI są decyzjami prawnie wiążącymi w rozumieniu owego art. 78 ust. 1. Po zbadaniu bowiem zasadności wniesionych do niego skarg organ ten stwierdził, że kwestionowane przez skarżących w postępowaniach głównych przetwarzanie danych osobowych było zgodne z prawem w świetle RODO. Prawnie wiążący charakter tych decyzji znajduje zresztą potwierdzenie w motywie 143 tego rozporządzenia, zgodnie z którym oddalenie lub odrzucenie skargi przez organ nadzorczy stanowi decyzję wywołującą skutki prawne wobec skarżącego. |
51 |
Należy również zauważyć, że ze wspomnianego przepisu w świetle motywu 141 tego rozporządzenia wynika wyraźnie, iż każda osoba, której dane dotyczą, ma prawo do „skutecznego” środka ochrony prawnej przed sądem zgodnie z art. 47 karty. |
52 |
I tak Trybunał orzekł już, że z art. 78 ust. 1 RODO w świetle motywu 143 tego rozporządzenia wynika, że sądy, do których wniesiono skargę na decyzję organu nadzorczego, powinny wykonywać pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy (wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, pkt 41). |
53 |
W związku z tym art. 78 ust. 1 RODO nie można interpretować w ten sposób, że kontrola sądowa wydanej przez organ nadzorczy decyzji w sprawie skargi ogranicza się do kwestii, czy organ ten rozpatrzył skargę, prawidłowo zbadał jej przedmiot i poinformował skarżącego o wyniku przeprowadzonego badania. Przeciwnie, aby środek ochrony prawnej przed sądem był „skuteczny”, jak wymaga tego wspomniany przepis, taka decyzja musi podlegać pełnej kontroli sądowej. |
54 |
Wykładnię tę potwierdzają kontekst, w jaki wpisuje się art. 78 ust. 1 RODO, a także cele realizowane przez to rozporządzenie. |
55 |
Jeżeli chodzi o kontekst owego przepisu, należy zauważyć, że zgodnie z art. 8 ust. 3 karty oraz z art. 51 ust. 1 i art. 57 ust. 1 lit. a) RODO krajowe organy nadzorcze są odpowiedzialne za kontrolę przestrzegania przepisów Unii dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych (wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 107). |
56 |
W szczególności zgodnie z art. 57 ust. 1 lit. f) RODO każdy organ nadzorczy jest zobowiązany na swoim terytorium rozpatrzyć skargi, które mogą zostać skierowane zgodnie z art. 77 ust. 1 tego rozporządzenia przez każdą osobę, jeżeli ta sądzi, że przetwarzanie dotyczących jej danych osobowych narusza to rozporządzenie, i przeanalizować w koniecznym zakresie ich przedmiot. Organ nadzorczy jest zobowiązany do rozpatrzenia tej skargi z wszelką wymaganą starannością (wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 109). |
57 |
Do celów rozpatrywania wniesionych skarg art. 58 ust. 1 RODO przyznaje każdemu organowi nadzorczemu daleko idące uprawnienia w zakresie prowadzonych w tym kontekście postępowań. Jeżeli organ taki po zakończeniu postępowania stwierdzi naruszenie przepisów tego rozporządzenia, jest on zobowiązany zareagować w odpowiedni sposób, aby zaradzić stwierdzonemu brakowi ochrony. W tym względzie w art. 58 ust. 2 tego rozporządzenia wymieniono różnego rodzaju działania naprawcze, jakie organ nadzorczy może podjąć (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 111). |
58 |
Wynika stąd, jak zauważył rzecznik generalny w pkt 42 opinii, że postępowanie skargowe, które nie jest zbliżone do postępowania w sprawie petycji, pomyślano jako mechanizm umożliwiający skuteczną ochronę praw i interesów osób, których dane dotyczą. |
59 |
Zważywszy na szerokie uprawnienia przysługujące organowi nadzorczemu na mocy RODO, wymóg skutecznej ochrony sądowej nie byłby zaś spełniony, gdyby decyzje dotyczące wykonywania przez taki organ nadzorczy uprawnień w zakresie prowadzonych postępowań lub uprawnień do podejmowania działań naprawczych podlegały jedynie ograniczonej kontroli sądowej. |
60 |
To samo dotyczy decyzji odrzucających lub oddalających skargę, ponieważ art. 78 ust. 1 RODO nie dokonuje rozróżnienia w zależności od charakteru decyzji wydanej przez organ nadzorczy. |
61 |
Jeżeli chodzi o cele RODO, z jego motywu 10 wynika w szczególności, że ma ono na celu zapewnienie wysokiego stopnia ochrony osób fizycznych w zakresie przetwarzania danych osobowych w Unii. Ponadto zgodnie z motywem 11 owego rozporządzenia skuteczna ochrona tych danych wymaga wzmocnienia praw osób, których dane dotyczą. |
62 |
Gdyby zaś art. 78 ust. 1 wspomnianego rozporządzenia należało interpretować w ten sposób, że kontrola sądowa, o której w nim mowa, ogranicza się do sprawdzenia, czy organ nadzorczy rozpatrzył skargę, prawidłowo zbadał jej przedmiot i poinformował skarżącego o wyniku przeprowadzonego badania, niewątpliwie zagrażałoby to osiągnięciu celów tego rozporządzenia. |
63 |
Ponadto wykładnia tego przepisu, zgodnie z którą wydana przez organ nadzorczy decyzja w sprawie skargi podlega pełnej kontroli sądowej, nie podważa gwarancji niezależności, z jakich korzystają organy nadzorcze, ani prawa do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu. |
64 |
W pierwszej kolejności – prawdą jest, że zgodnie z art. 8 ust. 3 karty przestrzeganie zasad dotyczących ochrony danych osobowych podlega kontroli niezależnego organu. W tym kontekście art. 52 RODO stanowi w szczególności, że każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z tym rozporządzeniem działa w sposób w pełni niezależny (ust. 1), że członek lub członkowie każdego organu nadzorczego podczas wypełniania swoich zadań i wykonywania swoich uprawnień pozostają wolni od wpływów zewnętrznych (ust. 2) oraz że każde państwo członkowskie zapewnia, by każdy organ nadzorczy dysponował zasobami niezbędnymi do skutecznego wypełniania swoich zadań i wykonywania swoich uprawnień (ust. 4). |
65 |
Tych gwarancji niezależności w żaden sposób nie podważa jednak to, że prawnie wiążące decyzje organu nadzorczego podlegają pełnej kontroli sądowej. |
66 |
W drugiej kolejności, co się tyczy przewidzianego w art. 79 ust. 1 RODO prawa do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu, należy zauważyć, że zgodnie z orzecznictwem Trybunału środki ochrony prawnej przewidziane, odpowiednio, w art. 78 ust. 1 i w art. 79 ust. 1 tego rozporządzenia mogą być wykonywane równocześnie i niezależnie od siebie (wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, pkt 35 i sentencja). W tym kontekście Trybunał uznał w szczególności, że zapewnienie wielości środków ochrony prawnej wzmacnia cel określony w motywie 141 wspomnianego rozporządzenia polegający na zagwarantowaniu każdej osobie, której dane dotyczą i która uzna, że jej prawa wynikające z owego rozporządzenia zostały naruszone, prawa do skutecznego środka prawnego przed sądem zgodnie z art. 47 karty (wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, pkt 44). |
67 |
W związku z tym chociaż do państw członkowskich należy, zgodnie z zasadą autonomii proceduralnej, określenie zasad powiązania tych środków ochrony prawnej (wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, pkt 45 i sentencja), istnienie przewidzianego w art. 79 ust. 1 RODO prawa do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu nie ma wpływu na zakres kontroli sądowej sprawowanej – w ramach skargi wniesionej na podstawie art. 78 ust. 1 tego rozporządzenia – w odniesieniu do wydanej przez organ nadzorczy decyzji w sprawie skargi. |
68 |
Należy jednak dodać, że chociaż – jak przypomniano w pkt 56 niniejszego wyroku – organ nadzorczy musi rozpatrzyć skargę z wszelką wymaganą starannością, to jednak w odniesieniu do działań naprawczych wymienionych w art. 58 ust. 2 RODO dysponuje on zakresem uznania co do wyboru odpowiednich i niezbędnych środków (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 112). |
69 |
O ile zaś sąd krajowy, do którego wniesiono skargę na podstawie art. 78 ust. 1 RODO, powinien, jak stwierdzono w pkt 52 niniejszego wyroku, wykonywać pełną jurysdykcję w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy, o tyle gwarancja skutecznej ochrony sądowej nie oznacza, że jest on uprawniony do zastąpienia dokonanej przez ten organ oceny co do wyboru odpowiednich i niezbędnych działań naprawczych własną oceną, lecz wymaga, aby sąd ten zbadał, czy organ nadzorczy przestrzegał granic przysługujących mu uprawnień do swobodnej oceny. |
70 |
W świetle całości powyższych rozważań na pytanie pierwsze trzeba odpowiedzieć, iż art. 78 ust. 1 RODO należy interpretować w ten sposób, że wydana przez organ nadzorczy decyzja w sprawie skargi podlega pełnej kontroli sądowej. |
W przedmiocie pytań od drugiego do piątego
71 |
Poprzez pytania od drugiego do piątego, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia:
|
W przedmiocie art. 5 ust. 1 lit. a) RODO
72 |
Stosownie do brzmienia art. 5 ust. 1 lit. a) RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. |
73 |
W tym kontekście w art. 6 ust. 1 akapit pierwszy tego rozporządzenia zawarto wyczerpujący i zamknięty wykaz przypadków, w których przetwarzanie danych osobowych można uznać za zgodne z prawem. Aby zatem dane przetwarzanie można było uznać za zgodne z prawem, musi ono stanowić jeden z przewidzianych w tym przepisie przypadków [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 90 i przytoczone tam orzecznictwo]. |
74 |
W niniejszym przypadku nie ulega wątpliwości, że zgodność z prawem rozpatrywanego w postępowaniach głównych przetwarzania danych osobowych należy oceniać wyłącznie w świetle art. 6 ust. 1 akapit pierwszy lit. f) RODO. Zgodnie z brzmieniem tego przepisu przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadku, gdy – i w takim zakresie, w jakim – jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. |
75 |
We wspomnianym przepisie określono zatem trzy kumulatywne przesłanki zgodności przetwarzania danych osobowych z prawem, obejmujące, po pierwsze, realizację prawnie uzasadnionego interesu przez administratora lub przez osobę trzecią, po drugie, niezbędność przetwarzania danych osobowych do realizacji tego prawnie uzasadnionego interesu, oraz po trzecie, przesłankę, aby interesy lub podstawowe prawa i wolności osoby objętej ochroną danych nie miały pierwszeństwa [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 106 i przytoczone tam orzecznictwo]. |
76 |
Co się tyczy, po pierwsze, przesłanki związanej z realizacją „prawnie uzasadnionego interesu”, w braku definicji tego pojęcia w RODO należy podkreślić, jak zauważył rzecznik generalny w pkt 61 opinii, że za zgodny z prawem można co do zasady uznać szeroki wachlarz interesów. |
77 |
Jeżeli chodzi, po drugie, o przesłankę, zgodnie z którą przetwarzanie danych osobowych musi być niezbędne do realizacji prawnie uzasadnionego interesu, wiąże się ona ze spoczywającym na sądzie odsyłającym obowiązkiem zweryfikowania tego, czy tego prawnie uzasadnionego interesu w przetwarzaniu danych nie można, racjonalnie rzecz biorąc, zrealizować w równie skuteczny sposób za pomocą innych środków, w mniejszym stopniu naruszających podstawowe prawa i wolności osób, których te dane dotyczą, w szczególności zagwarantowane w art. 7 i 8 karty prawa do poszanowania życia prywatnego i do ochrony danych osobowych [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 108 i przytoczone tam orzecznictwo]. |
78 |
W tym kontekście należy również przypomnieć, że przesłankę, zgodnie z którą przetwarzanie musi być niezbędne, należy badać łącznie z zasadą tzw. minimalizacji danych ustanowioną w art. 5 ust. 1 lit. c) RODO, zgodnie z którą dane osobowe muszą być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane” [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 109 i przytoczone tam orzecznictwo]. |
79 |
Co się tyczy, po trzecie, przesłanki, zgodnie z którą interesy lub podstawowe prawa i wolności osoby objętej ochroną danych nie mają pierwszeństwa przed prawnie uzasadnionym interesem administratora lub osoby trzeciej, Trybunał orzekł już, że wiąże się ona z wyważeniem wchodzących w grę przeciwstawnych praw i interesów, co jest co do zasady uzależnione od konkretnych okoliczności danego przypadku, w związku z czym dokonanie tego wyważenia, z uwzględnieniem tych szczególnych okoliczności, należy do sądu odsyłającego [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 110 i przytoczone tam orzecznictwo]. |
80 |
Ponadto, jak wynika z motywu 47 RODO, interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mogą, racjonalnie rzecz biorąc, spodziewać się takiego przetwarzania [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 112]. |
81 |
O ile ostatecznie to do sądu odsyłającego należy zatem ocena, czy przetwarzanie danych osobowych rozpatrywane w postępowaniach głównych spełnia trzy przypomniane w pkt 75 niniejszego wyroku przesłanki, o tyle Trybunał, orzekając w przedmiocie odesłania prejudycjalnego, może udzielić temu sądowi wskazówek stanowiących dla niego pomoc przy dokonywaniu tego ustalenia (zob. podobnie wyrok z dnia 20 października 2022 r., Digi, C‑77/21, EU:C:2022:805, pkt 39 i przytoczone tam orzecznictwo). |
82 |
W niniejszym przypadku, jeżeli chodzi o realizację prawnie uzasadnionego interesu, SCHUFA podnosi, że biura informacji kredytowej przetwarzają dane niezbędne do oceny zdolności kredytowej osób lub przedsiębiorstw, aby móc udostępniać te informacje swoim kontrahentom. Biuro to twierdzi, że poza tym, iż działalność ta chroni interesy gospodarcze przedsiębiorstw, które chcą zawrzeć umowę związaną z kredytem, ustalenie zdolności kredytowej i dostarczenie dotyczących jej informacji stanowią podstawę kredytowania i możliwości funkcjonowania gospodarki. Zdaniem SCHUFA działalność tych biur przyczynia się również do konkretyzowania planów handlowych osób zainteresowanych transakcjami kredytowymi, ponieważ udzielane informacje pozwalają na szybkie zbadanie tych transakcji bez zbędnej biurokracji. |
83 |
W tym względzie chociaż przetwarzanie danych osobowych takie jak to rozpatrywane w postępowaniach głównych służy interesom gospodarczym SCHUFA, służy ono również realizacji prawnie uzasadnionego interesu kontrahentów SCHUFA, którzy zamierzają zawrzeć umowę związaną z kredytem z pewnymi osobami, w możliwości przeprowadzenia oceny zdolności kredytowej tych osób, a zatem służy interesom sektora kredytowego na płaszczyźnie społeczno-gospodarczej. |
84 |
Co się tyczy umów o kredyt konsumencki, z art. 8 dyrektywy 2008/48 w świetle jej motywu 28 wynika bowiem, że przed zawarciem umowy o kredyt kredytodawca ma obowiązek przeprowadzenia oceny zdolności kredytowej konsumenta na podstawie wystarczających informacji, w tym, w stosownych przypadkach, informacji pochodzących z publicznych i prywatnych baz danych. |
85 |
Ponadto, jeżeli chodzi o umowy o kredyt konsumencki związane z nieruchomościami mieszkalnymi, z art. 18 ust. 1 i z art. 21 ust. 1 dyrektywy 2014/17 w świetle jej motywów 55 i 59 wynika, że kredytodawca powinien przeprowadzić szczegółową ocenę zdolności kredytowej konsumenta i że ma on dostęp do baz danych o kredytach, ponieważ kwerenda w takich bazach danych jest użytecznym elementem tej oceny. |
86 |
Należy dodać, że przewidziany w dyrektywach 2008/48 i 2014/17 obowiązek przeprowadzenia oceny zdolności kredytowej konsumentów ma na celu nie tylko ochronę osoby ubiegającej się o kredyt, lecz również, jak podkreślono w motywie 26 dyrektywy 2008/48, zapewnienie prawidłowego funkcjonowania systemu kredytowego jako całości. |
87 |
Konieczne jest jednak jeszcze, aby przetwarzanie danych było niezbędne do realizacji prawnie uzasadnionych interesów administratora lub osoby trzeciej oraz aby nie miały przed nimi pierwszeństwa interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. W kontekście tego wyważania wchodzących w grę przeciwstawnych praw i interesów, a mianowicie praw i interesów administratora i zaangażowanych osób trzecich z jednej strony oraz praw i interesów osoby, której dane dotyczą, z drugiej strony, należy wziąć w szczególności pod uwagę, jak zauważono w pkt 80 niniejszego wyroku, racjonalne oczekiwania osoby, której dane dotyczą, oraz zakres przedmiotowej operacji przetwarzania i jej wpływ na tę osobę [zob. wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 116]. |
88 |
Co się tyczy art. 6 ust. 1 akapit pierwszy lit. f) RODO, Trybunał orzekł, że przepis ten należy interpretować w ten sposób, że przetwarzanie można uznać za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią w rozumieniu tego przepisu jedynie wtedy, gdy przetwarzanie to odbywa się w granicach tego, co jest absolutnie niezbędne do realizacji tego prawnie uzasadnionego interesu, oraz gdy z wyważenia przeciwstawnych interesów w świetle wszystkich istotnych okoliczności wynika, że interesy lub podstawowe prawa i wolności osób, których odnośne przetwarzanie dotyczy, nie mają pierwszeństwa przed tym prawnie uzasadnionym interesem administratora lub osoby trzeciej [zob. podobnie wyroki: z dnia 4 maja 2017 r., Rīgas satiksme, C‑13/16, EU:C:2017:336, pkt 30; z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 126]. |
89 |
W tym kontekście sąd odsyłający odnosi się do dwóch aspektów rozpatrywanego w postępowaniach głównych przetwarzania danych osobowych. W pierwszej kolejności wskazuje on, że przetwarzanie to wiąże się z przechowywaniem danych w wielorakich formach, a mianowicie nie tylko w rejestrze publicznym, lecz również w bazach danych biur informacji kredytowej, przy czym biura te przechowują takie dane nie w związku z konkretnym przypadkiem, lecz na wypadek zwrócenia się do nich o takie informacje przez ich kontrahentów. W drugiej kolejności zauważa on, że wspomniane biura przechowują te dane przez trzy lata, czyniąc to na podstawie kodeksu postępowania w rozumieniu art. 40 RODO, podczas gdy w odniesieniu do rejestru publicznego przepisy krajowe przewidują okres przechowywania wynoszący jedynie sześć miesięcy. |
90 |
W odniesieniu do pierwszego z tych aspektów SCHUFA twierdzi, że udzielenie informacji w odpowiednim czasie byłoby niemożliwe, gdyby możliwość rozpoczęcia zbierania danych była uzależniona od złożenia w biurze informacji kredytowej konkretnego wniosku. |
91 |
W tym względzie do sądu odsyłającego należy zbadanie, czy rozpatrywane przechowywanie danych przez SCHUFA we własnych bazach danych ogranicza się tego, co jest absolutnie niezbędne w zakresie realizacji prawnie uzasadnionego interesu, w sytuacji gdy odnośne dane można przeglądać w rejestrze publicznym, a żadne przedsiębiorstwo handlowe nie zwróciło się w konkretnym przypadku o udzielenie informacji. Gdyby tak nie było, przechowywania tych danych przez SCHUFA nie można by uznać za niezbędne w okresie ich publicznego udostępniania. |
92 |
Co się tyczy okresu przechowywania danych, należy stwierdzić, że analiza drugiej przesłanki przypomnianej w pkt 75 niniejszego wyroku pokrywa się z analizą trzeciej przypomnianej tam przesłanki, a to z uwagi na to, że ocena tego, czy w niniejszym przypadku realizacji prawnie uzasadnionych interesów, którym służy rozpatrywane w postępowaniach głównych przetwarzanie danych osobowych, nie może, racjonalnie rzecz biorąc, zapewnić krótszy okres przechowywania danych, wymaga wyważenia wchodzących w grę przeciwstawnych praw i interesów. |
93 |
Co się tyczy wyważenia realizowanych prawnie uzasadnionych interesów, należy zauważyć, że z uwagi na to, iż analiza przeprowadzana przez biuro informacji kredytowej pozwala na dokonanie obiektywnej i wiarygodnej oceny zdolności kredytowej potencjalnych klientów kontrahentów biur dostarczających tych informacji kredytowych, umożliwia ona usunięcie rozbieżności w informacjach, a tym samym – zmniejszenie ryzyka oszustwa i wystąpienia innych niejasności. |
94 |
Co się natomiast tyczy praw i interesów osoby, której dane dotyczą, przetwarzanie przez biuro informacji kredytowej danych dotyczących przyznanego zwolnienia z pozostałej części długu, takie jak przechowywanie, analiza i ujawnianie tych danych osobie trzeciej, stanowi poważną ingerencję w zapisane w art. 7 i 8 karty prawa podstawowe osoby, której dane dotyczą. Takie dane są bowiem wykorzystywane jako czynnik wpływający negatywnie na ocenę zdolności kredytowej osoby, której dane dotyczą, a zatem stanowią szczególnie chronione informacje na temat jej życia prywatnego (zob. podobnie wyrok z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 98). Ich przetwarzanie może poważnie zaszkodzić interesom osoby, której dane dotyczą, ponieważ takie ujawnienie może znacznie utrudnić korzystanie przez nią z przysługujących jej wolności, w szczególności w zakresie zaspokajania podstawowych potrzeb. |
95 |
Ponadto, jak zauważyła Komisja, im dłuższy jest okres przechowywania przez biura informacji kredytowej odnośnych danych, tym znaczniejszy ma to wpływ na interesy i życie prywatne osoby, której dane dotyczą, i tym bardziej rygorystyczne są wymogi w zakresie zgodności przechowywania tych informacji z prawem. |
96 |
Należy ponadto zauważyć, że – jak wynika z motywu 76 rozporządzenia 2015/848 – celem publicznego rejestru upadłości jest usprawnienie informowania odpowiednich wierzycieli i sądów. W tym kontekście art. 79 ust. 5 tego rozporządzenia przewiduje jedynie, że państwa członkowskie podają podmiotom danych termin dostępności danych osobowych przechowywanych w rejestrach upadłości, nie wskazując okresu przechowywania tych danych. Natomiast z art. 79 ust. 4 tego rozporządzenia wynika, że państwa członkowskie odpowiadają, zgodnie z nim, za gromadzenie i przechowywanie danych osobowych w krajowych bazach danych. Okres przechowywania tych danych należy zatem ustalić z poszanowaniem owego rozporządzenia. |
97 |
W niniejszym przypadku prawodawca niemiecki przewiduje, że informacja dotycząca przyznanego zwolnienia z pozostałej części długu jest przechowywana w rejestrze upadłości jedynie przez sześć miesięcy. W jego ocenie po upływie okresu sześciu miesięcy prawa i interesy osoby, której dane dotyczą, mają zatem pierwszeństwo przed prawem i interesem ogółu w zakresie dysponowania tą informacją. |
98 |
Ponadto, jak zauważył rzecznik generalny w pkt 75 opinii, zwolnienie z pozostałej części długu ma umożliwić osobie, której takie zwolnienie przyznano, ponowny udział w życiu gospodarczym, a zatem ma ono zwykle dla tej osoby znaczenie egzystencjalne. Osiągnięcie tego celu byłoby zaś zagrożone, gdyby biura informacji kredytowej mogły na potrzeby oceny sytuacji ekonomicznej danej osoby przechowywać dane odnoszące się do zwolnienia z pozostałej części długu i wykorzystywać je po usunięciu ich z publicznego rejestru upadłości, ponieważ dane te byłyby nadal wykorzystywane jako czynnik wpływający negatywnie na ocenę zdolności kredytowej takiej osoby. |
99 |
W tych okolicznościach interes sektora kredytowego w dysponowaniu informacjami dotyczącymi zwolnienia z pozostałej części długu nie może uzasadniać przetwarzania danych osobowych takiego jak rozpatrywane w postępowaniach głównych po upływie okresu przechowywania danych w publicznym rejestrze upadłości, w związku z czym przechowywanie tych danych przez biuro informacji kredytowej nie może być oparte na art. 6 ust. 1 akapit pierwszy lit. f) RODO w okresie następującym po usunięciu wspomnianych danych z publicznego rejestru upadłości. |
100 |
Co się tyczy sześciomiesięcznego okresu, w którym rozpatrywane dane są dostępne również w tym rejestrze publicznym, należy zauważyć, że o ile skutki równoległego przechowywania tych danych w bazach danych takich biur można uznać za mniej poważne niż po upływie owych sześciu miesięcy, o tyle przechowywanie to stanowi jednak ingerencję w prawa zapisane w art. 7 i 8 karty. W tym względzie Trybunał orzekł już, że obecność tych samych danych osobowych w wielu źródłach potęguje ingerencję w prawo osoby do życia prywatnego (zob. wyrok z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 86, 87). Do sądu odsyłającego należy wyważenie wchodzących w grę interesów i skutków dla osoby, której dane dotyczą, w celu ustalenia, czy równoległe przechowywanie tych danych przez biura informacji kredytowej można uznać za ograniczone do tego, co absolutnie niezbędne, jak wymaga tego orzecznictwo Trybunału przywołane w pkt 88 niniejszego wyroku. |
101 |
Wreszcie, co się tyczy istnienia, jak w niniejszym przypadku, kodeksu postępowania przewidującego, że biuro informacji kredytowej musi usunąć dane dotyczące zwolnienia z pozostałej części długu z upływem trzech lat, należy przypomnieć, że zgodnie z art. 40 ust. 1 i 2 RODO kodeksy postępowania mają pomagać we właściwym stosowaniu tego rozporządzenia, z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. W związku z tym zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie wspomnianego rozporządzenia, między innymi w odniesieniu do rzetelnego i przejrzystego przetwarzania, prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach oraz zbierania danych osobowych. |
102 |
Ponadto zgodnie z art. 40 ust. 5 RODO projekt kodeksu jest przedkładany właściwemu organowi nadzorczemu, który go zatwierdza, jeżeli uzna, że stanowi on odpowiednie zabezpieczenie. |
103 |
W niniejszym przypadku kodeks postępowania rozpatrywany w postępowaniach głównych został opracowany przez zrzeszenie biur informacji kredytowej i zatwierdzony przez właściwy organ nadzorczy. |
104 |
Niemniej jednak o ile zgodnie z art. 40 ust. 1 i 2 RODO kodeks postępowania ma pomagać we właściwym stosowaniu tego rozporządzenia i precyzować jego zastosowanie, o tyle, jak zauważył rzecznik generalny w pkt 103 i 104 opinii, przesłanki zgodności przetwarzania danych osobowych z prawem określone w takim kodeksie nie mogą różnić się od przesłanek przewidzianych w art. 6 ust. 1 RODO. |
105 |
Wobec tego kodeksu postępowania, który prowadzi do oceny innej niż ta wynikająca z zastosowania art. 6 ust. 1 akapit pierwszy lit. f) RODO, nie można uwzględnić przy dokonywanym na podstawie tego przepisu wyważeniu interesów. |
W przedmiocie art. 17 RODO
106 |
Wreszcie sąd odsyłający zastanawia się w istocie nad obowiązkami spoczywającymi na biurze informacji kredytowej na podstawie art. 17 RODO. |
107 |
W tym względzie należy przypomnieć, że zgodnie z art. 17 ust. 1 lit. d) RODO, do którego odwołuje się sąd odsyłający, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli były one przetwarzane niezgodnie z prawem. |
108 |
Z jasnego brzmienia tego przepisu wynika zatem, że gdyby w rezultacie przeprowadzenia oceny zgodności rozpatrywanego w postępowaniach głównych przetwarzania danych osobowych z prawem sąd odsyłający doszedł do wniosku, że przetwarzanie to nie jest zgodne z prawem, administrator, którym w niniejszym przypadku jest SCHUFA, musiałby bez zbędnej zwłoki usunąć odnośne dane. Dotyczyłoby to – zgodnie z tym, co stwierdzono w pkt 99 niniejszego wyroku – przetwarzania danych osobowych po upływie sześciomiesięcznego okresu przechowywania danych w publicznym rejestrze upadłości. |
109 |
Co się tyczy przetwarzania, które ma miejsce w okresie sześciu miesięcy, kiedy to dane są dostępne w publicznym rejestrze upadłości, gdyby sąd odsyłający doszedł do wniosku, że przetwarzanie było zgodne z art. 6 ust. 1 akapit pierwszy lit. f) RODO, zastosowanie znajdowałby art. 17 ust. 1 lit. c) tego rozporządzenia. |
110 |
Przepis ten przewiduje prawo do usunięcia danych osobowych, w przypadku gdy osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania na mocy art. 21 ust. 1 RODO i nie występują „nadrzędne prawnie uzasadnione podstawy przetwarzania”. Zgodnie z tym ostatnim przepisem osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 akapit pierwszy lit. e) lub f) RODO. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. |
111 |
Z treści tych przepisów, rozpatrywanych we wzajemnym powiązaniu, wynika, jak zauważył rzecznik generalny w pkt 93 opinii, że osobie, której dane dotyczą, przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania oraz prawo do usunięcia danych, chyba że występują nadrzędne prawnie uzasadnione podstawy, które mają pierwszeństwo przed interesami oraz prawami i wolnościami tej osoby w rozumieniu art. 21 ust. 1 RODO, czego udowodnienie należy do administratora. |
112 |
W związku z tym jeżeli administrator nie przedstawi takiego dowodu, osoba, której dane dotyczą, ma prawo żądać usunięcia tych danych na podstawie art. 17 ust. 1 lit. c) RODO, gdy wnosi ona sprzeciw wobec przetwarzania zgodnie z art. 21 ust. 1 tego rozporządzenia. Do sądu odsyłającego należy zbadanie, czy wyjątkowo występują nadrzędne prawnie uzasadnione podstawy mogące usprawiedliwiać odnośne przetwarzanie. |
113 |
W świetle całości powyższych rozważań na pytania od drugiego do piątego trzeba odpowiedzieć w następujący sposób:
|
W przedmiocie kosztów
114 |
Dla stron w postępowaniach głównych niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniach głównych, nie podlegają zwrotowi. |
Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje: |
|
|
|
|
Podpisy |
( *1 ) Język postępowania: niemiecki.