Sprawy połączone C‑26/22 i C‑64/22
UF
i
AB
przeciwko
Land Hessen
(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Verwaltungsgericht Wiesbaden)
Wyrok Trybunału (pierwsza izba) z dnia 7 grudnia 2023 r.
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 5 ust. 1 lit. a) – Zasada „zgodności z prawem” – Artykuł 6 ust. 1 akapit pierwszy lit. f) – Niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią – Artykuł 17 ust. 1 lit. d) – Prawo do usunięcia danych w przypadku niezgodnego z prawem przetwarzania danych osobowych – Artykuł 40 – Kodeksy postępowania – Artykuł 78 ust. 1 – Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu – Decyzja organu nadzorczego w sprawie skargi – Zakres kontroli sądowej tej decyzji – Biura informacji kredytowej – Przechowywanie pochodzących z rejestru publicznego danych dotyczących przyznanego danej osobie zwolnienia z pozostałej części długu – Okres przechowywania
Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Środki ochrony prawnej – Środek ochrony prawnej przed sądem przeciwko decyzji organu nadzorczego w sprawie skargi – Kontrola sądowa – Zakres – Ograniczenia – Brak
(Karta praw podstawowych Unii Europejskiej, art. 8 ust. 3, art. 47; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, motywy 141, 143, art. 52, art. 78 ust. 1, art. 79 ust. 1)
(zob. pkt 50–53, 58, 59, 62, 67–70; pkt 1 sentencji)
Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Przesłanki zgodności z prawem przetwarzania danych osobowych – Przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią – Przetwarzanie niezbędne do działalności prywatnego biura polegającej na udzielaniu informacji kredytowych swoim kontrahentom na potrzeby oceny zdolności kredytowej ich potencjalnych klientów – Systematyczne przechowywanie pochodzących z rejestru publicznego danych dotyczących przyznanego danej osobie zwolnienia z pozostałej części długu – Okres przechowywania dłuższy niż ten, w którym dane są przechowywane w publicznym rejestrze upadłości – Niedopuszczalność
[Karta praw podstawowych Unii Europejskiej, art. 7, 8; rozporządzenie Parlamentu Europejskiego i Rady 2015/848, motyw 76, art. 79 ust. 4, 5; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 5 ust. 1 lit. a), art. 6 ust. 1 akapit pierwszy lit. f)]
(zob. pkt 75, 83, 88–100, 113; pkt 2 sentencji)
Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Przesłanki zgodności z prawem przetwarzania danych osobowych – Kodeks postępowania opracowany przez zrzeszenie reprezentujące administratorów lub podmioty przetwarzające i zatwierdzony przez właściwy organ nadzorczy – Kodeks określający przesłanki zgodności z prawem przetwarzania, które nie odpowiadają przesłankom przewidzianym przez rozporządzenie 2016/679 – Nieuwzględnienie
[rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 6 ust. 1 akapit pierwszy lit. f), art. 40 ust. 1, 2, 5]
(zob. pkt 101–105)
Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Prawo do usunięcia danych – Zakres – Niezgodne z prawem przetwarzanie danych osobowych – Włączenie
[rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 17 ust. 1 lit. d)]
(zob. pkt 107, 108, 113; pkt 4 sentencji)
Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Prawo do usunięcia danych – Zakres – Przysługujące osobie, której dane dotyczą, prawo do wniesienia sprzeciwu wobec przetwarzania danych – Włączenie – Wyjątek – Występowanie nadrzędnych prawnie uzasadnionych podstaw przetwarzania, które mają pierwszeństwo przed interesami oraz prawami i wolnościami tej osoby – Ciężar dowodu spoczywający na administratorze
[rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 17 ust. 1 lit. c), art 21 ust. 1]
(zob. pkt 109–113; pkt 3 sentencji)
Streszczenie
SCHUFA Holding AG, prywatne biuro utworzone według prawa niemieckiego, rejestruje i przechowuje we własnych bazach danych pochodzące z publicznych rejestrów informacje, w szczególności te dotyczące zwolnienia z pozostałej części długu, oraz udostępnia je w razie potrzeby swoim kontrahentom. Informacje te wspomniane biuro usuwa z upływem trzech lat od ich zarejestrowania, zgodnie z kodeksem postępowania opracowanym w Niemczech przez zrzeszenie biur informacji kredytowej.
Uzyskawszy w ramach postępowań upadłościowych na mocy postanowień sądowych przedterminowe zwolnienie z pozostałej części długu, UF i AB zwrócili się do SCHUFA o usunięcie wpisów dotyczących tych postanowień. Biuro to odmówiło uwzględnienia ich wniosków, wyjaśniając, że przewidziany w przepisach niemieckich ( 1 ) sześciomiesięczny termin na usunięcie tych danych z rejestru publicznego nie ma do niego zastosowania.
UF i AB wnieśli przeciwko SCHUFA skargi do HBDI ( 2 ), właściwego organu nadzorczego, które ten oddalił z uwagi na to, że w jego ocenie przetwarzanie danych przez SCHUFA było zgodne z prawem.
Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy), do którego UF i AB wnieśli skargi na decyzje HBDI, zwrócił się do Trybunału z pytaniami związanymi z wykładnią kilku przepisów RODO ( 3 ) dotyczących między innymi niezbędności przetwarzania danych do celów wynikających z realizowanych interesów oraz prawa do usunięcia danych ( 4 ).
W wydanym wyroku Trybunał stwierdził, że RODO ( 5 ) stoi na przeszkodzie praktyce prywatnych biur informacji kredytowej polegającej na przechowywaniu, we własnych bazach danych, pochodzących z rejestru publicznego informacji dotyczących przyznanego osobom fizycznym zwolnienia z pozostałej części długu przez okres dłuższy niż ten, który przepisy krajowe przewidują w odniesieniu do przechowywania tych danych w takim rejestrze. Wypowiedział się on również w przedmiocie prawa osoby, której dane dotyczą, do uzyskania od tego biura usunięcia dotyczących jej danych.
Ocena Trybunału
W pierwszej kolejności Trybunał przypomniał, że stosownie do RODO przetwarzanie danych osobowych można uznać za zgodne z prawem w szczególności wtedy, gdy spełnione są trzy kumulatywne przesłanki, obejmujące, po pierwsze, realizację prawnie uzasadnionego interesu przez administratora lub przez osobę trzecią, po drugie, niezbędność przetwarzania danych osobowych do realizacji tego prawnie uzasadnionego interesu, oraz po trzecie, przesłankę, aby interesy lub podstawowe prawa i wolności osoby objętej ochroną danych nie miały pierwszeństwa przed prawnie uzasadnionym interesem administratora lub osoby trzeciej ( 6 ).
Co się tyczy przesłanki pierwszej, Trybunał zwrócił uwagę, że chociaż w niniejszym wypadku przetwarzanie danych osobowych służy interesom gospodarczym prywatnego biura, służy ono również realizacji prawnie uzasadnionych interesów kontrahentów tego biura, którzy mają obowiązek przeprowadzenia oceny zdolności kredytowej osób, z którymi zamierzają zawrzeć umowy związane z kredytem, a zatem służy interesom sektora kredytowego na płaszczyźnie społeczno‑gospodarczej.
Jeżeli chodzi o przesłankę drugą, Trybunał przypomniał, że przetwarzanie danych można uznać za „niezbędne” jedynie wtedy, gdy odbywa się ono w granicach tego, co jest absolutnie niezbędne do realizacji prawnie uzasadnionego interesu administratora lub osoby trzeciej.
W odniesieniu do przesłanki trzeciej Trybunał stwierdził, że w niniejszym wypadku jej analiza pokrywa się z analizą przesłanki drugiej i wymaga wyważenia przeciwstawnych praw i interesów w celu dokonania oceny, czy realizacji prawnie uzasadnionych interesów nie może, racjonalnie rzecz biorąc, zapewnić krótszy okres przechowywania danych.
I tak, co się tyczy wyważenia realizowanych prawnie uzasadnionych interesów, Trybunał zauważył, że z uwagi na to, iż analiza przeprowadzana przez biuro informacji kredytowej pozwala na dokonanie obiektywnej i wiarygodnej oceny zdolności kredytowej potencjalnych klientów kontrahentów tego biura, umożliwia ona usunięcie rozbieżności w informacjach, a tym samym – zmniejszenie ryzyka oszustwa i wystąpienia innych niejasności.
Co się natomiast tyczy praw i interesów osoby, której dane dotyczą, Trybunał stwierdził, że przetwarzanie przez owo biuro danych dotyczących przyznanego zwolnienia z pozostałej części długu, takie jak przechowywanie, analiza i ujawnianie tych danych osobie trzeciej, stanowi poważną ingerencję w prawa podstawowe osoby, której dane dotyczą ( 7 ). Takie dane są bowiem wykorzystywane jako czynnik wpływający negatywnie na ocenę zdolności kredytowej takiej osoby, a zatem stanowią szczególnie chronione informacje na temat jej życia prywatnego, których przetwarzanie może poważnie zaszkodzić jej interesom. Co więcej, im dłuższy jest okres przechowywania takich danych, tym znaczniejszy ma to wpływ na interesy i życie prywatne osoby, której dane dotyczą, i tym bardziej rygorystyczne są wymogi w zakresie zgodności przechowywania tych informacji z prawem.
Ponadto w odniesieniu do przechowywania danych w publicznych rejestrach upadłości Trybunał zauważył, że za gromadzenie i przechowywanie danych w krajowych bazach danych odpowiadają państwa członkowskie ( 8 ), w związku z czym powinny one również ustalić okres przechowywania tych danych. W niniejszym wypadku prawodawca krajowy uznał, że po upływie okresu sześciu miesięcy prawa i interesy osoby, której dane dotyczą, mają pierwszeństwo przed prawem i interesem ogółu w zakresie dysponowania tą informacją.
Co więcej, zwolnienie z pozostałej części długu ma umożliwić osobie, której takie zwolnienie przyznano, ponowny udział w życiu gospodarczym i ma ono zwykle dla tej osoby znaczenie egzystencjalne. Osiągnięcie tego celu byłoby zaś zagrożone, gdyby odnoszące się do tego zwolnienia informacje mogły być przechowywane i wykorzystywane po ich usunięciu z publicznego rejestru upadłości.
W związku z tym Trybunał stwierdził, że interes sektora kredytowego w dysponowaniu informacjami dotyczącymi zwolnienia z pozostałej części długu nie może uzasadniać przechowywania danych po upływie okresu przechowywania w publicznym rejestrze upadłości.
Trybunał dodał, że przechowywanie danych przez okres sześciu miesięcy również stanowi ingerencję w prawa podstawowe osoby, której dane dotyczą. W tym względzie do sądu odsyłającego należy ocena, czy równoległe przechowywanie tych danych przez prywatne biura można uznać za ograniczone do tego, co absolutnie niezbędne.
Wreszcie, co się tyczy istnienia kodeksu postępowania przewidującego usuwanie danych z upływem trzech lat, Trybunał zauważył, że o ile taki kodeks ma pomagać we właściwym stosowaniu RODO ( 9 ), o tyle przesłanki zgodności z prawem przetwarzania danych osobowych określone w takim kodeksie nie mogą różnić się od przesłanek przewidzianych w RODO. W związku z tym nie można uwzględnić kodeksu postępowania, który prowadzi do oceny innej niż ta wynikająca z zastosowania RODO.
W drugiej kolejności, co się tyczy obowiązków administratora w zakresie usuwania danych osobowych, Trybunał zauważył, po pierwsze, że administrator musi usunąć dane, które poddano niezgodnemu z prawem przetwarzaniu takiemu jak rozpatrywane w niniejszym wypadku przetwarzanie danych przez odnośne biuro po upływie sześciomiesięcznego okresu przechowywania w rejestrze publicznym ( 10 ). Po drugie, nawet gdyby sąd odsyłający doszedł do wniosku, że przetwarzanie danych przez okres sześciu miesięcy jest zgodne z prawem, osobie, której dane dotyczą, przysługuje prawo do wniesienia sprzeciwu wobec takiego przetwarzania ( 11 ) oraz do uzyskania usunięcia dotyczących jej danych, jeżeli wspomniane biuro nie udowodni występowania nadrzędnych prawnie uzasadnionych podstaw, które mają pierwszeństwo przed interesami oraz prawami i wolnościami tej osoby ( 12 ).
( 1 ) Paragraf 3 ust. 1 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (rozporządzenia w sprawie publicznych ogłoszeń w Internecie w postępowaniach upadłościowych) z dnia 12 lutego 2002 r. (BGBl. I, s. 677).
( 2 ) Hessischer Beauftragter für Datenschutz und Informationsfreiheit (komisarz ds. ochrony danych i wolności informacji dla kraju związkowego Hesja, Niemcy).
( 3 ) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2, zwane dalej „RODO”).
( 4 ) Odpowiednio, art. 6 ust. 1 akapit pierwszy lit. f) i art. 17 ust. 1 lit. c) i d) tego rozporządzenia.
( 5 ) Artykuł 5 ust. 1 lit. a) w związku z art. 6 ust. 1 akapit pierwszy lit. f) RODO.
( 6 ) Zgodnie z mającym zastosowanie w niniejszym wypadku art. 6 ust. 1 akapit pierwszy lit. f) RODO.
( 7 ) Prawa zapisane w art. 7 i 8 Karty praw podstawowych Unii Europejskiej dotyczące, odpowiednio, poszanowania życia prywatnego i ochrony danych osobowych.
( 8 ) Zgodnie z art. 79 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/848 z dnia 20 maja 2015 r. w sprawie postępowania upadłościowego (wersja przekształcona) (Dz.U. 2015, L 141, s. 19). Artykuł 79 ust. 5 tego rozporządzenia przewiduje jedynie, że państwa członkowskie podają podmiotom danych termin dostępności danych osobowych przechowywanych w rejestrach upadłości, nie wskazując okresu przechowywania tych danych.
( 9 ) Stosownie do art. 40 ust. 1 i 2 RODO.
( 10 ) Zgodnie z art. 17 ust. 1 lit. d) RODO.
( 11 ) Stosownie do art. 21 ust. 1 RODO.
( 12 ) Zgodnie z art. 17 ust. 1 lit. c) RODO.