–

UF a AB, v zastúpení: R. Rohrmoser a S. Tintemann, Rechtsanwälte,

–

Land Hessen, v zastúpení: M. Kottmann a G. Ziegenhorn, Rechtsanwälte,

–

SCHUFA Holding AG, v zastúpení: G. Thüsing a U. Wuermeling, Rechtsanwalt,

–

nemecká vláda, v zastúpení: J. Möller a P.‑L. Krüger, splnomocnení zástupcovia,

–

portugalská vláda, v zastúpení: P. Barros da Costa, M. J. Ramos a C. Vieira Guerra, splnomocnené zástupkyne,

–

Európska komisia, v zastúpení: A. Bouchagiar, F. Erlbacher, H. Kranenborg a W. Wils, splnomocnení zástupcovia,

1

Návrhy na začatie prejudiciálneho konania sa týkajú výkladu článkov 7 a 8 Charty základných práv Európskej únie (ďalej len „Charta“), ako aj článku 6 ods. 1 prvého pododseku písm. f), článku 17 ods. 1 písm. d), článku 40, článku 77 ods. 1 a článku 78 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).

2

Tieto návrhy boli podané v rámci dvoch sporov medzi UF (vec C‑26/22) a AB (vec C‑64/22) na jednej strane a Land Hessen (Spolková krajina Hesensko, Nemecko) na druhej strane vo veci týkajúcej sa toho, že Hessischer Beauftragter für Datenschutz und Informationsfreiheit (splnomocnenec Spolkovej krajiny Hesensko pre ochranu údajov a slobodu informácií, Nemecko) (ďalej len „HBDI“) odmietol uložiť spoločnosti SCHUFA Holding AG (ďalej len „SCHUFA“) povinnosť odstrániť údaje, ktoré táto spoločnosť uchováva v súvislosti s odpustením zostatku dlhu v prospech UF a AB.

3

Podľa odôvodnení 26 a 28 smernice Európskeho parlamentu a Rady 2008/48/ES z 23. apríla 2008 o zmluvách o spotrebiteľskom úvere a o zrušení smernice Rady 87/102/EHS (Ú. v. EÚ L 133, 2008, s. 66):

…

4

Článok 8 tejto smernice, nazvaný „Povinnosť posúdiť úverovú bonitu spotrebiteľa“, v odseku 1 stanovuje:

„Členské štáty zabezpečia, že veriteľ pred uzavretím zmluvy o úvere posúdi úverovú bonitu spotrebiteľa na základe dostatočných informácií získaných, ak je to vhodné, od spotrebiteľa, a v prípade potreby na základe nahliadnutia do príslušnej databázy. Členské štáty, ktorých právne predpisy ukladajú veriteľovi povinnosť posúdiť úverovú bonitu spotrebiteľa na základe nahliadnutia do príslušnej databázy, si môžu túto povinnosť zachovať.“

5

Podľa odôvodnení 55 a 59 smernice Európskeho parlamentu a Rady 2014/17/EÚ zo 4. februára 2014 o zmluvách o úvere pre spotrebiteľov týkajúcich sa nehnuteľností určených na bývanie a o zmene smerníc 2008/48/ES a 2013/36/EÚ a nariadenia (EÚ) č. 1093/2010 (Ú. v. EÚ L 60, 2014, s. 34):

…

6

Článok 18 uvedenej smernice, nazvaný „Povinnosť posúdiť úverovú bonitu spotrebiteľa“, v odseku 1 stanovuje:

„Členské štáty zabezpečia, aby veriteľ pred uzavretím zmluvy o úvere vykonal dôkladné posúdenie úverovej bonity spotrebiteľa. Pri tomto posúdení sa náležite zohľadňujú faktory relevantné z hľadiska overenia perspektívy spotrebiteľa dodržať svoje povinnosti vyplývajúce zo zmluvy o úvere.“

7

Článok 21 uvedenej smernice, nazvaný „Prístup k databázam“, v odsekoch 1 a 2 znie:

„1.   Každý členský štát zabezpečí všetkým veriteľom zo všetkých členských štátov prístup k databázam používaným v danom členskom štáte na posudzovanie úverovej bonity spotrebiteľov a výhradne na účely monitorovania dodržiavania úverových záväzkov spotrebiteľov počas trvania zmluvy o úvere. Podmienky takéhoto prístupu nesmú byť diskriminačné.

2.   Odsek 1 sa uplatňuje na databázy, ktoré prevádzkujú súkromné úverové kancelárie alebo agentúry úverových referencií, ako aj na verejné registre.“

8

Podľa odôvodnenia 76 nariadenia Európskeho parlamentu a Rady (EÚ) 2015/848 z 20. mája 2015 o insolvenčnom konaní (Ú. v. EÚ L 141, 2015, s. 19):

„V snahe zlepšiť poskytovanie informácií príslušným veriteľom a súdom, ako aj v snahe zabrániť začatiu súbežných insolvenčných konaní by sa malo od členských štátov vyžadovať, aby pri cezhraničných insolvenčných konaniach uverejňovali príslušné informácie vo verejne dostupnom elektronickom registri. V snahe uľahčiť veriteľom a súdom s bydliskom alebo sídlom v inom členskom štáte prístup k týmto informáciám by sa v tomto nariadení malo ustanoviť vzájomné prepojenie takýchto insolvenčných registrov prostredníctvom Európskeho portálu elektronickej justície. …“

9

Článok 79 tohto nariadenia, nazvaný „Povinnosti členských štátov týkajúce sa spracúvania osobných údajov v národných insolvenčných registroch“, v odsekoch 4 a 5 stanovuje:

„4.   Členské štáty sú v súlade so smernicou [Európskeho parlamentu a Rady] 95/46/EHS [z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355] zodpovedné za zhromažďovanie a uchovávanie údajov v národných databázach, ako aj za rozhodnutia prijaté s cieľom zabezpečiť dostupnosť týchto údajov vo vzájomne prepojených registroch, do ktorých možno nahliadať prostredníctvom Európskeho portálu elektronickej justície.

5.   V rámci informácií, ktoré by sa mali poskytnúť osobám, ktorých sa údaje týkajú, aby si mohli uplatňovať svoje práva, a najmä právo na vymazanie údajov, členské štáty informujú osoby, ktorých sa údaje týkajú, o období prístupnosti stanovenom pre osobné údaje uložené v insolvenčných registroch.“

10

Podľa odôvodnení 10, 11, 47, 50, 98, 141 a 143 GDPR:

…

…

…

…

…

11

Článok 5 tohto nariadenia s názvom „Zásady spracúvania osobných údajov“ znie:

„1.   Osobné údaje musia byť:

…

…

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

12

Článok 6 uvedeného nariadenia, nazvaný „Zákonnosť spracúvania“, znie:

„1.   Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

…

…

4.   Ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

13

Článok 17 GDPR, nazvaný „Právo na vymazanie („právo na zabudnutie“), v odseku 1 stanovuje:

„Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

…

…“

14

Článok 21 tohto nariadenia s názvom „Právo namietať“ v odsekoch 1 a 2 stanovuje:

„1.   Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

2.   Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom.“

15

Článok 40 uvedeného nariadenia s názvom „Kódexy správania“ v odsekoch 1, 2 a 5 stanovuje:

„1.   Členské štáty, dozorné orgány, výbor a [Európska k]omisia podporia vypracovanie kódexov správania určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy osobitné črty rôznych sektorov spracúvania a osobitné potreby mikropodnikov a malých a stredných podnikov.

2.   Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania alebo zmeniť či rozšíriť takéto kódexy, a to na účely spresnenia uplatňovania tohto nariadenia, ako napríklad v súvislosti s:

…

5.   Združenia a iné subjekty uvedené v odseku 2 tohto článku, ktoré majú v úmysle vypracovať kódex správania, alebo existujúci kódex zmeniť alebo rozšíriť, predložia návrh kódexu, zmeny alebo rozšírenia dozornému orgánu, ktorý je príslušný podľa článku 55. Dozorný orgán vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením a takýto návrh kódexu, zmeny alebo rozšírenia schváli, ak dôjde k záveru, že poskytuje dostatočné primerané záruky.“

16

Článok 51 GDPR, nazvaný „Dozorný orgán“, v odseku 1 stanovuje:

„Každý členský štát stanoví, že za monitorovanie uplatňovania tohto nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie (ďalej len ‚dozorný orgán‘).“

17

Článok 52 tohto nariadenia s názvom „Nezávislosť“ v odsekoch 1, 2 a 4 stanovuje:

„1.   Každý dozorný orgán koná pri plnení svojich úloh a výkone svojich právomocí v súlade s týmto nariadením úplne nezávisle.

2.   Člen alebo členovia dozorného orgánu nesmú byť pri plnení svojich úloh a výkone svojich právomocí podľa tohto nariadenia pod vonkajším vplyvom, či už priamym alebo nepriamym, a nesmú od nikoho požadovať ani prijímať pokyny.

…

4.   Každý členský štát zabezpečí, aby sa každému dozornému orgánu poskytli ľudské, technické a finančné zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie jeho úloh a vykonávanie jeho právomocí vrátane tých, ktoré sa majú plniť a vykonávať v súvislosti so vzájomnou pomocou, spoluprácou a účasťou vo výbore.“

18

Článok 57 uvedeného nariadenia, nazvaný „Úlohy“, v odseku 1 uvádza:

„Bez toho, aby boli dotknuté iné úlohy stanovené podľa tohto nariadenia, každý dozorný orgán na svojom území:

…

…“

19

Článok 58 GDPR, nazvaný „Právomoci“, v odseku 1 vymenúva vyšetrovacie právomoci, ktorými disponuje každý dozorný orgán, a v odseku 2 nápravné právomoci, ktoré môže tento orgán vykonať.

20

Článok 77 tohto nariadenia, nazvaný „Právo podať sťažnosť dozornému orgánu“, znie:

„1.   Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.

2.   Dozorný orgán, ktorému sa sťažnosť podala, informuje sťažovateľa o pokroku a výsledku sťažnosti vrátane možnosti podať súdny prostriedok nápravy podľa článku 78.“

21

Článok 78 uvedeného nariadenia s názvom „Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu“ v odsekoch 1 a 2 stanovuje:

„1.   Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.

2.   Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak dozorný orgán, ktorý je príslušný podľa článkov 55 a 56, sťažnosť nevybavil alebo neinformoval dotknutú osobu do troch mesiacov o pokroku alebo výsledku sťažnosti podanej podľa článku 77.“

22

Článok 79 GDPR s názvom „Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi“ v odseku 1 stanovuje:

„Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.“

23

Podľa § 9 ods. 1 Insolvenzordnung (Insolvenčný poriadok) z 5. októbra 1994 (BGBl. 1994 I, s. 2866) (ďalej len „Insolvenčný poriadok“) v znení uplatniteľnom na skutkový stav vo veci samej:

„Verejné oznámenie sa uskutočňuje centrálnym zverejnením na internete, ktoré platí pre všetky spolkové krajiny, pričom sa môže uskutočniť formou výňatkov. Pri tomto oznámení je potrebné presne označiť dlžníka, najmä treba uviesť jeho adresu a obchodné odvetvie, v ktorom pôsobí. Oznámenie sa považuje za uskutočnené, keď odo dňa zverejnenia uplynuli ďalšie dva dni.“

24

Ustanovenie § 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (nariadenie o verejných oznámeniach v insolvenčných konaniach na internete) z 12. februára 2002 (BGBl. I, s. 677, ďalej len „InsoBekV“) v odsekoch 1 a 2 uvádza:

„1.   Zverejnenie údajov z insolvenčného konania vrátane začatia konania uskutočnené v elektronickom informačnom a komunikačnom systéme sa vymaže najneskôr šesť mesiacov po zrušení alebo právoplatnosti rozhodnutia o zastavení insolvenčného konania. Ak sa konanie nezačne, lehota začína plynúť zrušením zverejnených zabezpečovacích opatrení.

2.   Pre zverejnenia v konaní o odpustení zostatku dlhu vrátane uznesenia podľa § 289 Insolvenčného poriadku platí odsek 1 prvá veta s tým, že lehota začína plynúť právoplatnosťou rozhodnutia o odpustení zostatku dlhu.“

25

V rámci insolvenčných konaní týkajúcich sa UF a AB boli uvedeným osobám doručené súdne rozhodnutia o predčasnom odpustení zostatku dlhu, ktoré boli vydané 17. decembra 2020 a 23. marca 2021. V súlade s § 9 ods. 1 Insolvenzordnung, ako aj § 3 ods. 1 a 2 InsoBekV bolo verejné oznámenie týchto rozhodnutí na internete odstránené po uplynutí lehoty šiestich mesiacov od vydania uvedených rozhodnutí.

26

SCHUFA je súkromná spoločnosť poskytujúca ekonomické informácie, ktorá vo vlastných databázach zaznamenáva a uchováva informácie pochádzajúce z verejných registrov, najmä informácie týkajúce sa odpustenia zostatku dlhu. Tieto posledné uvedené informácie odstraňuje po uplynutí troch rokov od zaznamenania v súlade s kódexom správania vypracovaným v Nemecku združením spoločností poskytujúcich ekonomické informácie a schváleným príslušným dozorným orgánom.

27

UF a AB sa obrátili na spoločnosť SCHUFA s cieľom dosiahnuť výmaz zápisov týkajúcich sa rozhodnutí o odpustení zostatku dlhu, ktoré sa na nich vzťahovali. Táto spoločnosť odmietla vyhovieť ich žiadostiam po tom, čo vysvetlila, že k výkonu jej činnosti dochádza v súlade s GDPR a že šesťmesačná lehota na výmaz stanovená v § 3 ods. 1 InsoBekV sa na ňu neuplatňuje.

28

UF a AB teda podali sťažnosť na HBDI ako príslušný dozorný orgán.

29

V rozhodnutiach vydaných 1. marca a 9. júla 2021 HBDI dospel k záveru, že spracúvanie údajov spoločnosťou SCHUFA bolo zákonné.

30

UF a AB podali žaloby proti rozhodnutiam HBDI na Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden), teda vnútroštátny súd, ktorý podal návrhy na začatie prejudiciálneho konania. Na podporu týchto žalôb uviedli, že HBDI bol v rámci svojich úloh a právomocí povinný prijať opatrenia voči spoločnosti SCHUFA s cieľom uložiť jej povinnosť vymazať zápisy, ktoré sa ich týkajú.

31

HBDI vo svojom vyjadrení k žalobe navrhol žaloby zamietnuť.

32

Na jednej strane HBDI tvrdil, že právo podať sťažnosť stanovené v článku 77 ods. 1 GDPR je koncipované len ako petičné právo. Podlieha tak iba obmedzenému súdnemu preskúmaniu, ktoré sa obmedzuje na overenie, či sa dozorný orgán sťažnosťou zaoberal a informoval jej autora o pokroku a výsledku tejto sťažnosti. Naproti tomu súdu, ktorý vo veci koná, neprináleží preskúmavať vecnú správnosť rozhodnutia o sťažnosti.

33

Na druhej strane HBDI zdôraznil, že údaje, ku ktorým majú spoločnosti poskytujúce ekonomické informácie prístup, sa môžu uchovávať tak dlho, ako je to potrebné na účely, na ktoré boli uchovávané. Vzhľadom na neexistenciu právnej úpravy prijatej vnútroštátnym zákonodarcom dozorné orgány po dohode so združením spoločností poskytujúcich ekonomické informácie schválili kódexy správania, ktoré upravujú výmaz presne tri roky po zápise do databázy.

34

V tejto súvislosti vnútroštátny súd v prvom rade považuje za potrebné objasniť právnu povahu rozhodnutia, ktoré dozorný orgán prijme po tom, ako mu bola predložená sťažnosť podľa článku 77 ods. 1 GDPR.

35

Konkrétne má tento súd pochybnosti, pokiaľ ide o zlučiteľnosť tvrdenia HBDI s GDPR, keďže by to narušilo účinnosť súdneho prostriedku nápravy uvedeného v článku 78 ods. 1 GDPR. Okrem toho vzhľadom na cieľ tohto nariadenia, ktorý v rámci vykonávania článkov 7 a 8 Charty spočíva v zabezpečení účinnej ochrany základných práv a slobôd fyzických osôb, nemožno články 77 a 78 uvedeného nariadenia vykladať reštriktívne.

36

Uvedený súd presadzuje výklad, podľa ktorého rozhodnutie vo veci samej prijaté dozorným orgánom musí podliehať úplnému súdnemu preskúmaniu. Tento orgán však disponuje tak voľnou úvahou, ako aj diskrečnou právomocou a môže byť zaviazaný konať iba vtedy, keď nemožno identifikovať zákonné alternatívy.

37

V druhom rade sa vnútroštátny súd v dvoch ohľadoch pýta na zákonnosť uchovávania údajov o úverovej bonite osoby, ktoré pochádzajú z verejných registrov, akým je insolvenčný register, spoločnosťami poskytujúcimi ekonomické informácie.

38

Po prvé existujú pochybnosti o zákonnosti uchovávania údajov prenášaných z verejných registrov do vlastných databáz takou súkromnou spoločnosťou, akou je SCHUFA.

39

Na začiatok totiž k tomuto uchovávaniu nedochádza pri konkrétnej príležitosti, ale v prípade, že ju zmluvní partneri požiadajú o takéto informácie, a v konečnom dôsledku ide o zálohovanie týchto údajov, najmä v prípade, ak tieto údaje už boli odstránené z národného registra z dôvodu uplynutia doby uchovávania.

40

Okrem toho spracúvanie, a teda aj uchovávanie údajov je povolené len vtedy, ak je splnená jedna z podmienok stanovených v článku 6 ods. 1 GDPR. V prejednávanej veci prichádza do úvahy iba podmienka uvedená v článku 6 ods. 1 prvom pododseku písm. f) tohto nariadenia. Je však otázne, či spoločnosť poskytujúca ekonomické informácie, akou je SCHUFA, sleduje oprávnený záujem v zmysle tohto ustanovenia.

41

SCHUFA je napokon iba jednou z viacerých spoločností poskytujúcich ekonomické informácie, takže údaje sú v Nemecku uchovávané mnohorakými spôsobmi, čo má za následok obrovský zásah do základného práva zakotveného v článku 7 Charty.

42

Po druhé aj za predpokladu, že uchovávanie údajov pochádzajúcich z verejných registrov súkromnými spoločnosťami je samo osebe zákonné, vzniká otázka o možnej dĺžke takéhoto uchovávania.

43

V tejto súvislosti vnútroštátny súd zastáva názor, že od týchto súkromných spoločností treba vyžadovať, aby dodržali lehotu šiestich mesiacov stanovenú v § 3 InsoBekV týkajúcu sa uchovávania rozhodnutí o odpustení zostatku dlhu v insolvenčnom registri. Údaje, ktoré musia byť odstránené z verejného registra, by teda mali byť odstránené súčasne všetkými súkromnými spoločnosťami poskytujúcimi ekonomické informácie, ktoré tieto údaje uchovávajú.

44

Navyše vzniká otázka, či sa kódex správania schválený v súlade s článkom 40 GDPR, ktorý stanovuje trojročnú lehotu na výmaz pri zápise odpustenia zostatku dlhu, musí zohľadniť pri zvážení záujmov, ktoré sa musí vykonať v rámci posúdenia na základe článku 6 ods. 1 prvého pododseku písm. f) GDPR.

45

Za týchto okolností Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

46

Rozhodnutím predsedu Súdneho dvora z 11. februára 2022 boli veci C‑26/22 a C‑64/22 spojené na spoločné konanie na účely písomnej časti konania, ústnej časti konania a rozsudku.

47

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 78 ods. 1 GDPR vykladať v tom zmysle, že súdne preskúmanie rozhodnutia o sťažnosti prijatého dozorným orgánom sa obmedzuje na otázku, či sa tento orgán sťažnosťou zaoberal, riadne prešetril predmet sťažnosti a informoval sťažovateľa o výsledku preskúmania, alebo či toto rozhodnutie podlieha úplnému súdnemu preskúmaniu vrátane právomoci konajúceho súdu uložiť dozornému orgánu povinnosť prijať konkrétne opatrenie.

48

Na úvod treba pripomenúť, že výklad ustanovenia práva Únie si vyžaduje zohľadnenie nielen jeho znenia, ale aj kontextu, do ktorého patrí, a cieľov a účelu aktu, ktorého je súčasťou (rozsudok z 22. júna 2023, Pankki S,C‑579/21, EU:C:2023:501, bod 38 a citovaná judikatúra).

49

Pokiaľ ide o znenie článku 78 ods. 1 GDPR, toto ustanovenie stanovuje, že bez toho, aby boli dotknuté akékoľvek iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.

50

V tejto súvislosti treba najprv uviesť, že v prejednávanej veci rozhodnutia prijaté HBDI predstavujú právne záväzné rozhodnutia v zmysle tohto článku 78 ods. 1 Tento orgán totiž po preskúmaní dôvodnosti sťažností, ktoré mu boli predložené, konštatoval, že spracúvanie osobných údajov, ktoré žalobcovia vo veciach samých napádajú, bolo zákonné podľa GDPR. Právne záväznú povahu týchto rozhodnutí napokon potvrdzuje odôvodnenie 143 tohto nariadenia, podľa ktorého nevyhovenie či odmietnutie sťažnosti dozorným orgánom predstavuje rozhodnutie, ktoré má právne účinky voči sťažovateľovi.

51

Treba tiež uviesť, že z tohto ustanovenia v spojení s odôvodnením 141 tohto nariadenia výslovne vyplýva, že každá dotknutá osoba má právo na „účinný“ súdny prostriedok nápravy v súlade s článkom 47 Charty.

52

Súdny dvor tak už rozhodol, že z článku 78 ods. 1 GDPR so zreteľom na odôvodnenie 143 tohto nariadenia vyplýva, že súdy, na ktoré bol podaný prostriedok nápravy proti rozhodnutiu dozorného orgánu, by mali mať plnú rozhodovaciu právomoc, a najmä právomoc preskúmať všetky skutkové a právne otázky týkajúce sa sporu, o ktorom rozhodujú (rozsudok z 12. januára 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, bod 41).

53

Článok 78 ods. 1 GDPR preto nemožno vykladať v tom zmysle, že súdne preskúmanie rozhodnutia o sťažnosti prijatého dozorným orgánom by sa malo obmedziť na otázku, či sa tento orgán sťažnosťou zaoberal, riadne prešetril predmet sťažnosti a informoval sťažovateľa o výsledku preskúmania. Naopak, na to, aby bol súdny prostriedok nápravy „účinný“, ako to vyžaduje toto ustanovenie, musí takéto rozhodnutie podliehať úplnému súdnemu preskúmaniu.

54

Tento výklad je podporený kontextom, do ktorého patrí článok 78 ods. 1 GDPR, ako aj cieľmi a účelom, ktoré toto nariadenie sleduje.

55

Pokiaľ ide o kontext tohto ustanovenia, treba uviesť, že v súlade s článkom 8 ods. 3 Charty, ako aj článkom 51 ods. 1 a článkom 57 ods. 1 písm. a) GDPR sú vnútroštátne dozorné orgány poverené dohľadom nad dodržiavaním pravidiel Únie týkajúcich sa ochrany fyzických osôb pri spracúvaní osobných údajov (rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 107).

56

Okrem toho podľa článku 57 ods. 1 písm. f) GDPR je každý dozorný orgán povinný na svojom území vybavovať sťažnosti, ktoré má v súlade s článkom 77 ods. 1 tohto nariadenia právo podať každá osoba, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením, a v nevyhnutnom rozsahu preskúmať predmet uvedenej sťažnosti. Dozorný orgán musí pristúpiť k vybaveniu takejto sťažnosti so všetkou vyžadovanou náležitou starostlivosťou (rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 109).

57

Článok 58 ods. 1 GDPR udeľuje na účely vybavovania podaných sťažností každému dozornému orgánu rozsiahle vyšetrovacie právomoci. Ak takýto orgán po skončení svojho prešetrovania konštatuje porušenie ustanovení tohto nariadenia, je povinný reagovať primeraným spôsobom, aby napravil zistený nedostatok. Na tento účel článok 58 ods. 2 uvedeného nariadenia uvádza rôzne nápravné opatrenia, ktoré môže dozorný orgán prijať (pozri v tomto zmysle rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 111).

58

Z toho vyplýva, ako uviedol generálny advokát v bode 42 svojich návrhov, že konanie o sťažnosti, ktoré nie je podobné konaniu o petícii, je koncipované ako mechanizmus, ktorý je spôsobilý účinne chrániť práva a záujmy dotknutých osôb.

59

Vzhľadom na široké právomoci, ktoré má dozorný orgán podľa GDPR, by však požiadavka účinnej súdnej ochrany nebola splnená, ak by rozhodnutia týkajúce sa výkonu vyšetrovacích právomocí alebo nápravných opatrení takýmto dozorným orgánom podliehali len obmedzenému súdnemu preskúmaniu.

60

To isté platí pre rozhodnutia o zamietnutí sťažnosti, keďže článok 78 ods. 1 GDPR nerozlišuje podľa povahy rozhodnutia prijatého dozorným orgánom.

61

Napokon, pokiaľ ide o ciele sledované GDPR, najmä z jeho odôvodnenia 10 vyplýva, že jeho cieľom je zabezpečiť vysokú úroveň ochrany fyzických osôb pri spracúvaní osobných údajov v rámci Únie. Odôvodnenie 11 tohto nariadenia okrem toho uvádza, že účinná ochrana týchto údajov si vyžaduje posilnenie práv dotknutých osôb.

62

Ak by sa však článok 78 ods. 1 uvedeného nariadenia mal vykladať v tom zmysle, že súdne preskúmanie, ktorého sa týka, sa obmedzuje na overenie, či sa tento orgán sťažnosťou zaoberal, riadne prešetril predmet sťažnosti a informoval sťažovateľa o výsledku preskúmania, nevyhnutne by tým bolo ohrozené dosiahnutie cieľov a sledovanie účelu tohto nariadenia.

63

Okrem toho výklad tohto ustanovenia, podľa ktorého rozhodnutie o sťažnosti prijaté dozorným orgánom podlieha úplnému súdnemu preskúmaniu, nespochybňuje záruky nezávislosti, ktoré majú dozorné orgány, ani právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi.

64

V prvom rade je pravda, že v súlade s článkom 8 ods. 3 Charty dodržiavanie pravidiel v oblasti ochrany osobných údajov podlieha kontrole nezávislého orgánu. V tejto súvislosti článok 52 GDPR najmä spresňuje, že každý dozorný orgán koná pri plnení svojich úloh a výkone svojich právomocí v súlade s týmto nariadením úplne nezávisle (odsek 1), že člen alebo členovia každého dozorného orgánu nesmú byť pri plnení svojich úloh a výkone svojich právomocí podľa tohto nariadenia pod vonkajším vplyvom (odsek 2), a že každý členský štát zabezpečí, aby sa každému dozornému orgánu poskytli zdroje, ktoré sú potrebné na účinné plnenie jeho úloh a vykonávanie jeho právomocí (odsek 4).

65

Tieto záruky nezávislosti však nie sú nijako ohrozené skutočnosťou, že právne záväzné rozhodnutia dozorného orgánu podliehajú úplnému súdnemu preskúmaniu.

66

V druhom rade, pokiaľ ide o právo na účinný súdny prostriedok nápravy proti prevádzkovateľovi alebo sprostredkovateľovi stanovené v článku 79 ods. 1 GDPR, treba uviesť, že podľa judikatúry Súdneho dvora možno prostriedky nápravy stanovené v článku 78 ods. 1 a v článku 79 ods. 1 tohto nariadenia uplatniť súbežne a nezávisle (rozsudok z 12. januára 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, bod 35 a výrok). V tomto kontexte Súdny dvor najmä konštatoval, že poskytnutie viacerých prostriedkov nápravy posilňuje cieľ uvedený v odôvodnení 141 nariadenia 2016/679, ktorým je zaručiť každej dotknutej osobe, ktorá sa domnieva, že došlo k porušeniu práv, ktoré jej toto nariadenie priznáva, mať právo na účinný prostriedok nápravy v súlade s článkom 47 Charty (rozsudok z 12. januára 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, bod 44).

67

Preto, hoci členským štátom prináleží, aby v súlade so zásadou procesnej autonómie stanovili náležitosti týkajúce sa vzťahu týchto prostriedkov nápravy (rozsudok z 12. januára 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, bod 45 a výrok), existencia práva na účinný súdny prostriedok nápravy proti prevádzkovateľovi alebo sprostredkovateľovi stanovená v článku 79 ods. 1 GDPR nemá vplyv na rozsah súdneho preskúmania rozhodnutia o sťažnosti prijatého dozorným orgánom v rámci prostriedku nápravy podaného podľa článku 78 ods. 1 tohto nariadenia.

68

Treba však dodať, že hoci, ako bolo pripomenuté v bode 56 tohto rozsudku, dozorný orgán musí pristúpiť k vybaveniu takejto sťažnosti so všetkou vyžadovanou náležitou starostlivosťou, tento orgán má, pokiaľ ide o nápravné právomoci vymenované v článku 58 ods. 2 GDPR, voľnú úvahu, pokiaľ ide o výber vhodných a potrebných prostriedkov (pozri v tomto zmysle rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 112).

69

Hoci vnútroštátny súd, ktorý rozhoduje o žalobe podľa článku 78 ods. 1 GDPR, musí mať, ako bolo konštatované v bode 52 tohto rozsudku, plnú právomoc preskúmať všetky skutkové a právne otázky týkajúce sa dotknutého sporu, záruka účinnej súdnej ochrany neznamená, že je oprávnený nahradiť posúdenie výberu vhodných a potrebných nápravných opatrení týmto orgánom svojím posúdením, ale vyžaduje, aby tento súd preskúmal, či dozorný orgán rešpektoval hranice svojej voľnej úvahy.

70

Vzhľadom na všetky predchádzajúce úvahy treba na prvú otázku odpovedať tak, že článok 78 ods. 1 GDPR sa má vykladať v tom zmysle, že rozhodnutie o sťažnosti prijaté dozorným orgánom podlieha úplnému súdnemu preskúmaniu.

71

Svojou druhou až piatou otázkou, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta,

72

Podľa článku 5 ods. 1 písm. a) GDPR osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe.

73

V tejto súvislosti článok 6 ods. 1 prvý pododsek tohto nariadenia upravuje taxatívny a reštriktívny zoznam prípadov, v ktorých možno spracúvanie osobných údajov považovať za zákonné. Teda na to, aby sa spracúvanie mohlo považovať za zákonné, musí sa naň vzťahovať jeden z prípadov stanovených v tomto ustanovení [rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 90, ako aj citovaná judikatúra].

74

V prejednávanej veci je nesporné, že zákonnosť spracúvania osobných údajov, o ktorú ide vo veciach samých, sa musí posúdiť len z hľadiska článku 6 ods. 1 prvého pododseku písm. f) GDPR. Podľa znenia tohto ustanovenia spracúvanie osobných údajov je zákonné len vtedy a v rozsahu, v akom je takéto spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa.

75

Uvedené ustanovenie tak stanovuje tri kumulatívne podmienky na to, aby spracúvanie osobných údajov bolo zákonné, a to po prvé sledovanie oprávneného záujmu prevádzkovateľom alebo treťou stranou, po druhé nevyhnutnosť spracúvania osobných údajov na dosiahnutie sledovaného oprávneného záujmu a po tretie podmienku, že nad takýmto záujmom neprevažujú záujmy alebo základné práva a slobody dotknutej osoby [rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 106, ako aj citovaná judikatúra].

76

Pokiaľ ide po prvé o podmienku týkajúcu sa sledovania „oprávneného záujmu“ pri neexistencii definície tohto pojmu v GDPR, treba zdôrazniť, ako uviedol generálny advokát v bode 61 svojich návrhov, že existuje široká škála záujmov, ktoré možno v zásade považovať za oprávnené.

77

Pokiaľ ide po druhé o podmienku týkajúcu sa nevyhnutnosti spracúvania osobných údajov na dosiahnutie sledovaného oprávneného záujmu, táto nevyhnutnosť ukladá vnútroštátnemu súdu povinnosť overiť, že sledovaný oprávnený záujem na spracúvaní údajov nemožno primeraným spôsobom rovnako účinne dosiahnuť inými prostriedkami, ktoré menej zasahujú do základných práv a slobôd dotknutých osôb, najmä do práv na rešpektovanie súkromného života a na ochranu osobných údajov zaručených článkami 7 a 8 Charty [rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 108, ako aj citovaná judikatúra].

78

V tejto súvislosti treba tiež pripomenúť, že podmienku týkajúcu sa nevyhnutnosti spracúvania treba preskúmať spoločne so zásadou nazvanou „minimalizácia údajov“ zakotvenou v článku 5 ods. 1 písm. c) nariadenia GDPR, podľa ktorej osobné údaje musia byť „primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú“ [rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 109, ako aj citovaná judikatúra].

79

Pokiaľ ide po tretie o podmienku, že záujmy alebo základné práva a slobody osoby, na ktorú sa vzťahuje ochrana údajov, neprevažujú nad oprávneným záujmom prevádzkovateľa alebo tretej strany, Súdny dvor už rozhodol, že táto podmienka si vyžaduje zváženie protichodných práv a záujmov, ktoré v zásade závisí od konkrétnych okolností konkrétneho prípadu, a že v dôsledku toho prináleží vnútroštátnemu súdu, aby vykonal toto zváženie s prihliadnutím na tieto osobitné okolnosti [rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 110, ako aj citovaná judikatúra].

80

Okrem toho, ako vyplýva z odôvodnenia 47 GDPR, záujmy a základné práva dotknutej osoby môžu prevážiť pred záujmom prevádzkovateľa najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby odôvodnene neočakávajú takéto spracúvanie [rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 112].

81

Hoci v konečnom dôsledku prináleží vnútroštátnemu súdu, aby posúdil, či sú v súvislosti so spracúvaním osobných údajov, o ktoré ide vo veciach samých, splnené tri podmienky pripomenuté v bode 75 tohto rozsudku, Súdny dvor, ktorý rozhoduje o návrhu na začatie prejudiciálneho konania, môže poskytnúť spresnenia, ktorých cieľom je viesť tento súd pri tomto určení (pozri v tomto zmysle rozsudok z 20. októbra 2022, Digi,C‑77/21, EU:C:2022:805, bod 39 a citovanú judikatúru).

82

V prejednávanej veci, pokiaľ ide o sledovanie oprávneného záujmu, SCHUFA tvrdí, že spoločnosti poskytujúce ekonomické informácie spracúvajú údaje potrebné na posúdenie úverovej bonity osôb alebo podnikov, aby mohli tieto informácie sprístupniť svojim zmluvným partnerom. Okrem toho, že táto činnosť chráni ekonomické záujmy podnikov, ktoré chcú uzatvárať zmluvy súvisiace s úverom, určenie úverovej bonity a poskytovanie informácií o nej sú základom úverového systému a funkčnosti hospodárstva. Činnosť týchto spoločností prispieva aj ku konkretizácii obchodných želaní osôb, ktoré sa zaujímajú o úverové transakcie, pretože informácie umožňujú rýchle preskúmanie týchto transakcií bez byrokracie.

83

V tejto súvislosti, hoci spracúvanie osobných údajov, o aké ide vo veciach samých, slúži hospodárskym záujmom spoločnosti SCHUFA, slúži aj na sledovanie oprávneného záujmu zmluvných partnerov spoločnosti SCHUFA, ktorí plánujú uzavrieť zmluvy o úvere s osobami, aby mohli posúdiť ich úverovú bonitu, a teda záujmy úverového sektora na sociálno‑ekonomickej úrovni.

84

Pokiaľ totiž ide o zmluvy o spotrebiteľskom úvere, z článku 8 smernice 2008/48 v spojení s jej odôvodnením 28 vyplýva, že pred uzavretím zmluvy o úvere je veriteľ povinný posúdiť úverovú bonitu spotrebiteľa na základe dostatočných informácií, prípadne vrátane informácií z verejných a súkromných databáz.

85

Okrem toho v súvislosti so zmluvami o spotrebiteľskom úvere týkajúcimi sa nehnuteľností určených na bývanie, z článku 18 ods. 1 a článku 21 ods. 1 smernice 2014/17 v spojení s jej odôvodneniami 55 a 59 vyplýva, že veriteľ musí vykonať dôkladné posúdenie úverovej bonity spotrebiteľa a že má prístup k databázam o úvere, pričom nahliadnutie do takýchto databáz je užitočným prvkom na účely tohto posúdenia.

86

Treba dodať, že povinnosť posúdiť úverovú bonitu spotrebiteľov, ako je stanovená v smerniciach 2008/48 a 2014/17, má za cieľ nielen chrániť žiadateľa o úver, ale aj, ako je zdôraznené v odôvodnení 26 smernice 2008/48, zabezpečiť riadne fungovanie systému úverov ako celku.

87

Je však ešte potrebné, aby toto spracúvanie údajov bolo nevyhnutné na dosiahnutie oprávnených záujmov sledovaných prevádzkovateľom alebo treťou stranou, a aby nad nimi neprevažovali záujmy alebo základné práva a slobody dotknutej osoby. Pri tomto zvážení predmetných protichodných práv a záujmov, a to práv a záujmov dotknutého prevádzkovateľa a tretej strany na jednej strane a práv a záujmov dotknutej osoby na druhej strane, treba zohľadniť, ako bolo uvedené v bode 80 tohto rozsudku, najmä primerané očakávania dotknutej osoby a rozsah predmetného spracúvania a jeho vplyv na túto osobu [pozri rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 116].

88

Pokiaľ ide o článok 6 ods. 1 prvý pododsek písm. f) GDPR, Súdny dvor rozhodol, že toto ustanovenie sa má vykladať v tom zmysle, že spracúvanie možno považovať za nevyhnutné na účely oprávnených záujmov sledovaných prevádzkovateľom alebo treťou stranou v zmysle tohto ustanovenia len vtedy, ak sa toto spracúvanie vykonáva v medziach toho, čo je striktne nevyhnutné na dosiahnutie tohto oprávneného záujmu, a ak zo zváženia protichodných záujmov vzhľadom na všetky relevantné okolnosti vyplýva, že záujmy alebo základné práva a slobody osôb dotknutých predmetným spracúvaním neprevažujú nad uvedeným oprávneným záujmom prevádzkovateľa alebo tretej strany [pozri v tomto zmysle rozsudky zo 4. mája 2017, Rīgas satiksme,C‑13/16, EU:C:2017:336, bod 30, ako aj zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 126].

89

V tomto kontexte vnútroštátny súd odkazuje na dva aspekty spracúvania osobných údajov, o ktoré ide vo veciach samých. V prvom rade by toto spracúvanie zahŕňalo uchovávanie údajov rôznymi spôsobmi, t. j. nielen vo verejnom registri, ale aj v databázach spoločností poskytujúcich ekonomické informácie, pričom sa spresňuje, že tieto spoločnosti by takéto uchovávanie nevykonávali pri konkrétnej príležitosti, ale v prípade, že by ich zmluvní partneri o takéto informácie požiadali. V druhom rade by uvedené spoločnosti uchovávali tieto údaje po dobu troch rokov, a to na základe kódexu správania v zmysle článku 40 GDPR, zatiaľ čo vnútroštátna právna úprava stanovuje, pokiaľ ide o verejný register, dobu uchovávania len šesť mesiacov.

90

Pokiaľ ide o prvý z týchto aspektov, SCHUFA tvrdí, že by nebolo možné poskytnúť informácie včas, ak by spoločnosť poskytujúca ekonomické informácie musela pred začatím zhromažďovania údajov čakať na konkrétnu žiadosť.

91

V tejto súvislosti prináleží vnútroštátnemu súdu overiť, či uchovávanie dotknutých údajov spoločnosťou SCHUFA v jej vlastných databázach je obmedzené na to, čo je striktne nevyhnutné, pokiaľ ide o dosiahnutie sledovaného oprávneného záujmu, keďže do predmetných údajov možno nahliadnuť vo verejnom registri a bez toho, aby obchodný podnik požiadal o informácie v konkrétnom prípade. Ak by to tak nebolo, uchovávanie týchto údajov zo strany spoločnosti SCHUFA by sa nemohlo považovať za nevyhnutné počas obdobia verejnej dostupnosti uvedených údajov.

92

Pokiaľ ide o dobu uchovávania údajov, treba konštatovať, že preskúmanie druhej a tretej podmienky pripomenutej v bode 75 tohto rozsudku splýva, keďže posúdenie otázky, či v prejednávanej veci oprávnené záujmy sledované spracúvaním osobných údajov, o ktoré ide vo veciach samých, nemôžu byť primerane dosiahnuté kratšou dobou uchovávania údajov, si vyžaduje zváženie protichodných práv a záujmov.

93

V súvislosti so zvážením sledovaných oprávnených záujmov treba uviesť, že vzhľadom na to, že analýza predložená spoločnosťou poskytujúcou ekonomické informácie umožňuje objektívne a spoľahlivé posúdenie úverovej bonity potenciálnych klientov zmluvných partnerov spoločnosti poskytujúcej tieto ekonomické informácie, dovoľuje kompenzovať informačné rozdiely, a teda znížiť riziko podvodu, ako aj iných neistôt.

94

Naopak, pokiaľ ide o práva a záujmy dotknutej osoby, spracúvanie údajov týkajúcich sa odpustenia zostatku dlhu spoločnosťou poskytujúcou také ekonomické informácie, ako je uchovávanie, analýza a oznámenie týchto údajov tretej osobe, predstavuje závažný zásah do základných práv dotknutej osoby zakotvených v článkoch 7 a 8 Charty. Takéto údaje totiž slúžia ako negatívny faktor pri posudzovaní úverovej bonity dotknutej osoby, a teda predstavujú citlivé informácie o jej súkromnom živote (pozri v tomto zmysle rozsudok z 13. mája 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, bod 98). Ich spracovanie môže výrazne poškodiť záujmy dotknutej osoby, ak je toto oznámenie údajov spôsobilé značne sťažiť výkon jej slobôd, najmä pokiaľ ide o pokrytie jej základných potrieb.

95

Okrem toho, ako uviedla Komisia, čím dlhšia je doba uchovávania dotknutých údajov spoločnosťami poskytujúcimi ekonomické informácie, tým väčšie sú dôsledky na záujmy a súkromný život dotknutej osoby a tým vyššie sú požiadavky na zákonnosť uchovávania týchto informácií.

96

Okrem toho treba uviesť, že ako vyplýva z odôvodnenia 76 nariadenia 2015/848, cieľom verejného insolvenčného registra je zlepšiť poskytovanie informácií príslušným veriteľom, ako aj súdom. V tejto súvislosti sa článok 79 ods. 5 tohto nariadenia obmedzuje na stanovenie toho, že členské štáty informujú osoby, ktorých sa údaje týkajú, o období prístupnosti stanovenom pre osobné údaje uložené v insolvenčných registroch bez toho, aby určili lehotu na uchovávanie uvedených údajov. Naopak, z článku 79 ods. 4 tohto nariadenia vyplýva, že členské štáty sú v súlade s týmto nariadením zodpovedné za zhromažďovanie a uchovávanie osobných údajov v národných databázach. Lehota na uchovávanie týchto údajov sa teda musí stanoviť v súlade s uvedeným nariadením.

97

V prejednávanej veci nemecký zákonodarca stanovuje, že informácia týkajúca sa odpustenia zostatku dlhu sa uchováva v insolvenčnom registri len šesť mesiacov. Domnieva sa teda, že po uplynutí lehoty šiestich mesiacov majú práva a záujmy dotknutej osoby prednosť pred právami a záujmami verejnosti disponovať touto informáciou.

98

Okrem toho, ako uviedol generálny advokát v bode 75 svojich návrhov, odpustenie zostatku dlhu umožňuje príjemcovi, aby sa opäť zúčastňoval na ekonomickom život, a preto je pre túto osobu v zásade existenčné. Dosiahnutie tohto cieľa by však bolo ohrozené, ak by spoločnosti poskytujúce ekonomické informácie mohli na účely posúdenia ekonomickej situácie osoby uchovávať údaje týkajúce sa odpustenia zostatku dlhu a používať takéto údaje po tom, čo boli vymazané z verejného insolvenčného registra, keďže uvedené údaje sa pri posudzovaní úverovej bonity takejto osoby stále používajú ako negatívny faktor.

99

Za týchto podmienok záujmy úverového sektora disponovať informáciami o odpustení zostatku dlhu nemôžu odôvodniť také spracúvanie osobných údajov, o aké ide vo veciach samých, po uplynutí doby uchovávania údajov vo verejnom insolvenčnom registri, takže uchovávanie týchto údajov spoločnosťou poskytujúcou ekonomické informácie nemôže byť založené na článku 6 ods. 1 prvom pododseku písm. f) GDPR, pokiaľ ide o obdobie nasledujúce po vymazaní uvedených údajov z verejného insolvenčného registra.

100

Pokiaľ ide o obdobie šiestich mesiacov, počas ktorého sú predmetné údaje tiež dostupné v tomto verejnom registri, treba uviesť, že hoci účinky súbežného uchovávania týchto údajov v databázach týchto spoločností možno považovať za menej závažné ako po uplynutí šiestich mesiacov, toto uchovávanie predstavuje zásah do práv zakotvených v článkoch 7 a 8 Charty. V tejto súvislosti Súdny dvor už rozhodol, že prítomnosť tých istých osobných údajov vo viacerých zdrojoch posilňuje zásah do práva osoby na súkromný život (rozsudok z 13. mája 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, body 86 a 87). Vnútroštátnemu súdu prináleží zvážiť vyššie uvedené záujmy a dôsledky na dotknutú osobu s cieľom zistiť, či súbežné uchovávanie týchto údajov súkromnými spoločnosťami poskytujúcimi ekonomické informácie možno považovať za obmedzené na to najnevyhnutnejšie, ako to vyžaduje judikatúra Súdneho dvora citovaná v bode 88 tohto rozsudku.

101

Napokon, pokiaľ ide o existenciu kódexu správania, ako je to v prejednávanej veci, ktorý stanovuje, že spoločnosť poskytujúca ekonomické informácie musí vymazať údaje týkajúce sa odpustenia zostatku dlhu po uplynutí lehoty troch rokov, treba pripomenúť, že v súlade s článkom 40 ods. 1 a 2 GDPR sú kódexy správania určené na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy osobitné črty rôznych sektorov spracúvania a osobitné potreby mikropodnikov a malých a stredných podnikov. Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať, zmeniť alebo predĺžiť kódexy správania s cieľom spresniť pravidlá uplatňovania uvedeného nariadenia, ako sú najmä spravodlivé a transparentné spracúvanie, oprávnené záujmy, ktoré sledujú prevádzkovatelia v konkrétnych kontextoch a získavanie osobných údajov.

102

Okrem toho podľa článku 40 ods. 5 GDPR sa návrh kódexu predkladá príslušnému dozornému orgánu, ktorý ho schváli, ak sa domnieva, že poskytuje dostatočné primerané záruky.

103

V prejednávanej veci kódex správania, o ktorý ide vo veciach samých, bol vypracovaný nemeckým združením spoločností poskytujúcich ekonomické informácie a schválený príslušným dozorným orgánom.

104

Hoci je však v súlade s článkom 40 ods. 1 a 2 GDPR cieľom kódexu správania prispieť k riadnemu uplatňovaniu tohto nariadenia a spresniť pravidlá jeho uplatňovania, nič to nemení na tom, ako uviedol generálny advokát v bodoch 103 a 104 svojich návrhov, že podmienky zákonnosti spracúvania osobných údajov stanovené takýmto kódexom sa nemôžu líšiť od podmienok stanovených v článku 6 ods. 1 GDPR.

105

Kódex správania, ktorý vedie k odlišnému posúdeniu, než je posúdenie získané na základe článku 6 ods. 1 prvého pododseku písm. f) GDPR, tak nemožno zohľadniť pri zvážení vykonanom na základe tohto ustanovenia.

106

Napokon sa vnútroštátny súd v podstate pýta na povinnosti spoločnosti poskytujúcej ekonomické informácie podľa článku 17 GDPR.

107

V tejto súvislosti treba pripomenúť, že v súlade s článkom 17 ods. 1 písm. d) GDPR, na ktorý odkazuje vnútroštátny súd, má dotknutá osoba právo, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, a prevádzkovateľ je bez zbytočného odkladu povinný vymazať tieto osobné údaje, keď sa tieto osobné údaje spracúvali nezákonne.

108

Preto podľa jasného znenia tohto ustanovenia v prípade, ak by vnútroštátny súd na základe svojho posúdenia zákonnosti spracúvania osobných údajov, o ktoré ide vo veciach samých, mal dospieť k záveru, že toto spracúvanie nie je zákonné, prevádzkovateľ, v prejednávanej veci SCHUFA, by bol povinný bez zbytočného odkladu vymazať dotknuté údaje. V súlade s tým, čo bolo konštatované v bode 99 tohto rozsudku, by to tak bolo v prípade spracúvania dotknutých osobných údajov po uplynutí šesťmesačnej doby uchovávania údajov vo verejnom insolvenčnom registri.

109

Pokiaľ ide o predmetné spracúvanie v období šiestich mesiacov, počas ktorého sú údaje dostupné vo verejnom insolvenčnom registri, za predpokladu, že by vnútroštátny súd dospel k záveru, že spracúvanie bolo v súlade s článkom 6 ods. 1 prvým pododsekom písm. f) GDPR, uplatní sa článok 17 ods. 1 písm. c) tohto nariadenia.

110

Toto ustanovenie upravuje právo na vymazanie osobných údajov v prípade, keď dotknutá osoba namieta proti spracúvaniu podľa článku 21 ods. 1 GDPR a neprevažujú žiadne „nevyhnutné oprávnené dôvody na spracúvanie“. Podľa tohto posledného uvedeného ustanovenia má dotknutá osoba právo kedykoľvek z dôvodov týkajúcich sa jej konkrétnej situácie namietať proti spracúvaniu osobných údajov, ktoré sa jej týkajú, na základe článku 6 ods. 1 prvého pododseku písm. e) alebo f) GDPR. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

111

Zo spoločného výkladu týchto ustanovení, ako uviedol generálny advokát v bode 93 svojich návrhov, vyplýva, že dotknutá osoba má právo namietať proti spracúvaniu a právo na vymazanie, pokiaľ neexistujú nevyhnutné oprávnené dôvody, ktoré prevažujú nad záujmami a právami a slobodami dotknutej osoby v zmysle článku 21 ods. 1 GDPR, čo je prevádzkovateľ povinný preukázať.

112

Ak teda prevádzkovateľ nepreukáže existenciu takýchto dôvodov, dotknutá osoba má právo požiadať o vymazanie týchto údajov na základe článku 17 ods. 1 písm. c) GDPR, ak namieta proti spracúvaniu v súlade s článkom 21 ods. 1 tohto nariadenia. Vnútroštátnemu súdu prináleží preskúmať, či výnimočne existujú nevyhnutné oprávnené dôvody, ktoré môžu odôvodniť predmetné spracúvanie.

113

Vzhľadom na všetky predchádzajúce úvahy treba na druhú až piatu otázku odpovedať takto:

114

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (prvá komora) rozhodol takto: