Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Verwaltungsgericht Wien (Austria) w dniu 16 marca 2022 r. – CK

(Sprawa C-203/22)

(2022/C 222/30)

Język postępowania: niemiecki

Sąd odsyłający

Verwaltungsgericht Wien

Strony w postępowaniu głównym

Strona skarżąca: CK

Uczestnicy postępowania: Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien

Pytania prejudycjalne

Jakie wymogi dotyczące treści muszą spełniać podane informacje, aby można je było zakwalifikować jako wystarczająco „istotne” w rozumieniu art. 15 ust. 1 lit. h) ogólnego rozporządzenia o ochronie danych (RODO) (1)?

Czy w przypadku profilowania administrator musi w ramach udostępnienia „zasad podejmowania decyzji” zasadniczo również ujawnić istotne informacje umożliwiające zrozumienie wyniku zautomatyzowanej decyzji w indywidualnym przypadku – ewentualnie przy zachowaniu istniejącej tajemnicy przedsiębiorstwa – co obejmuje w szczególności 1) ujawnienie przetwarzanych danych dotyczących osoby, której dane dotyczą, 2) ujawnienie części algorytmu, na którym opiera się profilowanie, umożliwiające zrozumienie oraz 3) informacje istotne dla ustalenia związku między przetwarzanymi informacjami a przeprowadzoną oceną?

Czy w przypadkach związanych z profilowaniem osoba uprawniona do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO musi otrzymać następujące informacje na temat konkretnego przetwarzania jej danych, nawet jeśli dotyczy to tajemnicy przedsiębiorstwa, aby umożliwić jej ochronę praw przysługujących jej na mocy art. 22 ust. 3 RODO:

a)	przekazanie wszelkich informacji, ewentualnie poddanych pseudoanonimizacji, w szczególności dotyczących sposobu przetwarzania danych osoby, której dane dotyczą, które umożliwiają sprawdzenie zgodności z RODO,

b)	udostępnianie danych wejściowych użytych do utworzenia profilu,

c)	parametry i zmienne wejściowe stosowane przy dokonywaniu oceny,

d)	wpływ tych parametrów i zmiennych wejściowych na obliczony wskaźnik oceny,

e)	informacje o pochodzeniu parametrów lub zmiennych wejściowych,

f)	wyjaśnienie, dlaczego osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO przypisano konkretny wynik oceny oraz opis, jakie ustalenie związano z tą oceną,

g)	lista kategorii profilowania oraz wyjaśnienie, jakie ustalenie wynikające z oceny jest związane z każdą z kategorii profilowania?

Czy prawo dostępu przyznane na podstawie art. 15 ust. 1 lit. h) RODO jest związane z gwarantowanymi na mocy art. 22 ust. 3 RODO prawami do wyrażenia własnego stanowiska i do zakwestionowania zautomatyzowanej decyzji w rozumieniu art. 22 RODO, ponieważ zakres informacji, które należy przekazać na podstawie wniosku o udzielenie informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, jest wystarczająco „istotny” tylko wtedy, gdy osoba żądająca informacji i osoba, której dane dotyczą w rozumieniu art. 15 ust. 1 lit. h) RODO, ma możliwość korzystania z praw przyznanych jej na podstawie art. 22 ust. 3 RODO do wyrażenia własnego stanowiska i zakwestionowania dotyczącej jej zautomatyzowanej decyzji w rozumieniu art. 22 RODO w sposób skuteczny, dogłębny i konstruktywny?

Czy art. 15 ust. 1 lit. h) RODO należy interpretować w ten sposób, że informacje stanowią „istotne informacje” w rozumieniu tego przepisu tylko wtedy, gdy są one na tyle wyczerpujące, że osoba uprawniona do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO ma możliwość sprawdzenia, czy przekazane informacje odpowiadają również stanowi faktycznemu, to znaczy, czy konkretna zautomatyzowana decyzja, której wniosek dotyczy, została także faktycznie oparta na ujawnionych informacjach?

W przypadku odpowiedzi twierdzącej: jak należy postąpić w sytuacji, gdy prawidłowość informacji udzielonych przez administratora można zweryfikować jedynie w ten sposób, że dane osób trzecich chronione na mocy RODO muszą być również podane do wiadomości osoby uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO (czarna skrzynka)?

Czy ten napięty stosunek między prawem dostępu w rozumieniu art. 15 ust. 1 RODO a prawem osób trzecich do ochrony danych można rozładować również poprzez ujawnienie danych osób trzecich wymaganych do kontroli prawidłowości, które także zostały poddane temu samemu profilowaniu, wyłącznie organowi lub sądowi, tak aby organ lub sąd musiał samodzielnie sprawdzić, czy ujawnione dane tych osób trzecich odpowiadają stanowi faktycznemu?

W przypadku odpowiedzi twierdzącej: jakie prawa należy przyznać osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, w przypadku gdy konieczne jest zapewnienie ochrony praw osób trzecich w rozumieniu art. 15 ust. 4 RODO poprzez utworzenie czarnej skrzynki, o której mowa w punkcie 3b)?

Czy w takim przypadku dane innych osób, które administrator w rozumieniu art. 15 ust. 1 lit. h) RODO ma ujawnić osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, muszą być ujawnione w postaci pseudoanonimizowanej, aby umożliwić sprawdzenie prawidłowości procesu podejmowania decyzji?

Jak należy postępować, jeżeli informacja, którą należy przekazać w rozumieniu art. 15 ust. 1 lit. h) RODO, spełnia również wymogi tajemnicy przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943 (2)?

Czy napięty stosunek między prawem dostępu gwarantowanym przez art. 15 ust. 1 lit. h) RODO a prawem do nieujawniania tajemnicy przedsiębiorstwa chronionym przez dyrektywę 2016/943 można rozładować poprzez ujawnienie informacji zaklasyfikowanych jako tajemnica przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943 wyłącznie organowi lub sądowi, tak aby organ lub sąd musiał samodzielnie sprawdzić, czy należy przyjąć istnienie tajemnicy przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943 i czy informacje przekazane przez administratora w rozumieniu art. 15 ust. 1 RODO odpowiadają stanowi faktycznemu?

W przypadku odpowiedzi twierdzącej: jakie prawa należy w każdym wypadku przyznać osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, w przypadku gdy konieczne jest zapewnienie ochrony praw osób trzecich w rozumieniu art. 15 ust. 4 RODO poprzez utworzenie czarnej skrzynki, o której mowa w punkcie 4a?

Czy (także) w tym przypadku rozbieżności między informacjami, które należy ujawnić organowi lub sądowi, a informacjami, które należy ujawnić osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO w przypadkach dotyczących profilowania, osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO należy w każdym razie udzielić następujących informacji na temat konkretnego przetwarzania danych jej dotyczących, aby w pełni umożliwić jej ochronę praw przysługujących jej na mocy art. 22 ust. 3 RODO:

a)	przekazanie wszelkich informacji, ewentualnie poddanych pseudoanonimizacji, w szczególności dotyczących sposobu przetwarzania danych osoby, której dane dotyczą, które umożliwiają sprawdzenie zgodności z RODO,

b)	udostępnianie danych wejściowych użytych do utworzenia profilu,

c)	parametry i zmienne wejściowe stosowane przy dokonywaniu oceny,

d)	wpływ tych parametrów i zmiennych wejściowych na obliczony wskaźnik oceny,

e)	informacje o pochodzeniu parametrów lub zmiennych wejściowych,

f)	wyjaśnienie, dlaczego osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO przypisano konkretny wynik oceny oraz opis, jakie ustalenie związano z tą oceną,

g)	lista kategorii profilowania oraz wyjaśnienie, jakie ustalenie wynikające z oceny jest związane z każdą z kategorii profilowania?

Czy przepis art. 15 ust. 4 RODO w jakikolwiek sposób ogranicza zakres informacji, które należy przekazać na podstawie art. 15 ust. 1 lit. h) RODO?

W przypadku odpowiedzi twierdzącej: w jaki sposób to prawo dostępu jest ograniczone przez art. 15 ust. 4 RODO i jak należy określić zakres tego ograniczenia w danym przypadku?

Czy przepis § 4 ust. 6 Datenschutzgesetz (austriackiej ustawy o ochronie danych osobowych), zgodnie z którym „prawo dostępu osoby, której dane dotyczą, zgodnie z art. 15 RODO nie przysługuje w stosunku do administratora, bez uszczerbku dla innych ograniczeń prawnych, co do zasady wtedy, gdy zapewnienie dostępu stanowiłoby zagrożenie dla tajemnicy handlowej lub tajemnicy przedsiębiorstwa administratora lub osoby trzeciej” jest zgodny z wymogami art. 15 ust. 1 w związku z art. 22 ust. 3 RODO? Jeśli odpowiedź jest twierdząca, to pod jakimi warunkami istnieje taka zgodność?

(1) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. 2016, L 119, s. 1).

(2) Dyrektywa (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem (Dz.U. 2016, L 157, s. 1)