1.

Predmetom prejednávaných návrhov na začatie prejudiciálneho konania, ktoré podal Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden, Nemecko) podľa článku 267 ZFEÚ, je výklad článkov 7 a 8 Charty základných práv Európskej únie (ďalej len „Charta“), ako aj článku 6 ods. 1 prvého pododseku písm. f), článku 17 ods. 1 písm. d), článku 40, článku 77 ods. 1 a článku 78 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) ( 2 ) (ďalej len „GDPR“).

2.

Tieto návrhy boli podané v dvoch sporoch medzi po prvé UF (vec C‑26/22) a po druhé AB (vec C‑64/22) na jednej strane a na druhej strane Land Hessen (Spolková krajina Hesensko, Nemecko), ktorú zastupuje Hessischer Beauftragter für Datenschutz und Informationsfreiheit (splnomocnenec spolkovej krajiny Hesensko pre ochranu údajov a slobodu informácií, ďalej len „HBDI“), predmetom ktorých sú žiadosti, ktoré UF a AB podali v HBDI, aby tento splnomocnenec konal na účely vymazania záznamu o odpustení zostatku dlhu v spoločnosti SCHUFA Holding AG (ďalej len „SCHUFA“).

3.

Obe veci nastoľujú rozmanité nové právne otázky týkajúce sa okrem iného právnej povahy rozhodnutia prijatého dozorným orgánom o sťažnosti, ako aj rozsahu súdneho preskúmania, ktoré môže vykonávať súd v konaní o opravnom prostriedku podanom proti takému rozhodnutiu. Tieto veci sa týkajú aj otázky súvisiacej so zákonnosťou uchovávania osobných údajov z verejných registrov u spoločností poskytujúcich ekonomické informácie.

4.

Podľa článku 79 ods. 4 a 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2015/848 z 20. mája 2015 o insolvenčnom konaní ( 3 ):

„4.   Členské štáty sú v súlade so smernicou [Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355] zodpovedné za zhromažďovanie a uchovávanie údajov v národných databázach, ako aj za rozhodnutia prijaté s cieľom zabezpečiť dostupnosť týchto údajov vo vzájomne prepojených registroch, do ktorých možno nahliadať prostredníctvom Európskeho portálu elektronickej justície.

5.   V rámci informácií, ktoré by sa mali poskytnúť osobám, ktorých sa údaje týkajú, aby si mohli uplatňovať svoje práva, a najmä právo na vymazanie údajov, členské štáty informujú osoby, ktorých sa údaje týkajú, o období prístupnosti stanovenom pre osobné údaje uložené v insolvenčných registroch.“

5.

Článok 5 GDPR v odseku 1 stanovuje:

„Osobné údaje musia byť:

…

…“

6.

Článok 6 tohto nariadenia v odseku 1 stanovuje:

„Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

…

…“

7.

Článok 17 GDPR v odseku 1 stanovuje:

„Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

…

…“

8.

Článok 21 tohto nariadenia v odseku 1 stanovuje:

„Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.“

9.

Článok 40 uvedeného nariadenia uvádza:

„1.   Členské štáty, dozorné orgány, výbor a Komisia podporia vypracovanie kódexov správania určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy osobitné črty rôznych sektorov spracúvania a osobitné potreby mikropodnikov a malých a stredných podnikov.

2.   Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania alebo zmeniť či rozšíriť takéto kódexy, a to na účely spresnenia uplatňovania tohto nariadenia, ako napríklad v súvislosti s:

…

5.   Združenia a iné subjekty uvedené v odseku 2 tohto článku, ktoré majú v úmysle vypracovať kódex správania, alebo existujúci kódex zmeniť alebo rozšíriť, predložia návrh kódexu, zmeny alebo rozšírenia dozornému orgánu, ktorý je príslušný podľa článku 55. Dozorný orgán vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením a takýto návrh kódexu, zmeny alebo rozšírenia schváli, ak dôjde k záveru, že poskytuje dostatočné primerané záruky.

…“

10.

Článok 77 GDPR v odseku 1 stanovuje:

„Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.“

11.

Článok 78 tohto nariadenia stanovuje:

„1.   Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.

2.   Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak dozorný orgán, ktorý je príslušný podľa článkov 55 a 56, sťažnosť nevybavil alebo neinformoval dotknutú osobu do troch mesiacov o pokroku alebo výsledku sťažnosti podanej podľa článku 77.

…“

12.

Ustanovenie § 9 Insolvenzordnung (Insolvenčný poriadok) v znení účinnom v čase skutkového stavu v sporoch vo veci samej vo svojom odseku 1 stanovuje:

„Verejné oznámenie sa uskutočňuje centrálnym zverejnením na internete, ktoré platí pre všetky spolkové krajiny, pričom sa môže uskutočniť formou výňatkov. Pri tomto oznámení je potrebné presne označiť dlžníka, najmä treba uviesť jeho adresu a predmet podnikania. Oznámenie sa považuje za uskutočnené, keď odo dňa zverejnenia uplynuli ďalšie dva dni.“

13.

Ustanovenie § 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (nariadenie o verejných oznámeniach v insolvenčných konaniach na internete, ďalej len „InsoBekVO“) v odsekoch 1 a 2 uvádza:

„1.   Zverejnenie údajov z insolvenčného konania vrátane začatia konania uskutočnené v elektronickom informačnom a komunikačnom systéme sa vymaže najneskôr šesť mesiacov po zrušení alebo právoplatnosti rozhodnutia o zastavení insolvenčného konania. Ak sa konanie nezačne, lehota začína plynúť zrušením zverejnených zabezpečovacích opatrení.

2.   Pre zverejnenia v konaní o odpustení zostatku dlhu vrátane uznesenia podľa § 289 insolvenčného poriadku platí odsek 1 prvá veta s tým, že lehota začína plynúť právoplatnosťou rozhodnutia o odpustení zostatku dlhu.“

14.

UF a AB bolo v insolvenčných konaniach uzneseniami súdu vydanými 17. decembra 2020 v prípade UF a 23. marca 2021 v prípade AB predčasne odpustený zostatok dlhu. V súlade s § 9 ods. 1 insolvenčného poriadku, ako aj § 3 ods. 1 a 2 InsoBekVO bola táto okolnosť oficiálne zverejnená na internete a po šiestich mesiacoch vymazaná.

15.

SCHUFA, súkromnoprávna spoločnosť poskytujúca ekonomické informácie, zaznamenáva vo svojich vlastných databázach zverejnené informácie o predčasných odpusteniach zostatku dlhu, ale vymazáva ich až tri roky po zaznamenaní.

16.

Po tom, čo sa UF a AB obrátili na SCHUFA so žiadosťou o vymazanie záznamov, ktoré sa ich týkali, im táto spoločnosť oznámila, že jej činnosť je v súlade s GDPR a že šesťmesačná doba na vymazanie upravená v § 3 ods. 1 InsoBekVO sa na ňu nevzťahuje. UF a AB teda podali sťažnosť u HBDI ako príslušného dozorného orgánu.

17.

HBDI rozhodol o týchto sťažnostiach v dvoch stanoviskách 1. marca 2021 a 9. júla 2021. Podľa jeho názoru bola SCHUFA oprávnená uchovávať negatívne záznamy o odpustení zostatku dlhu aj po uplynutí doby oddlženia.

18.

UF a AB podali žalobu proti stanovisku HBDI na Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden), teda vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania. V tejto súvislosti tvrdili, že HBDI je v rámci svojich úloh a svojich právomocí povinný prijať opatrenia proti spoločnosti SCHUFA a uložiť povinnosť vymazať záznamy, ktoré sa ich týkajú.

19.

V tejto súvislosti vnútroštátny súd považuje za nevyhnutné v prvom rade objasniť právnu povahu rozhodnutia, ktoré dozorný orgán vydáva o sťažnosti podanej podľa článku 77 ods. 1 GDPR. Tento súd vysvetľuje, že podľa HBDI je právo upravené v tomto článku 77 ods. 1 koncipované ako petičné právo. Podlieha tak iba obmedzenému súdnemu preskúmaniu, ktoré sa obmedzuje na overenie toho, že dozorný orgán sa zaoberal sťažnosťou a informoval sťažovateľa o pokroku a výsledku tejto sťažnosti. Súd naopak nesmie preskúmavať vecnú správnosť rozhodnutia o sťažnosti.

20.

Vnútroštátny súd však pochybuje o súlade tejto analýzy s GDPR. Podľa jeho názoru totiž článok 78 ods. 1 tohto nariadenia vyžaduje účinný súdny prostriedok nápravy. Vzhľadom na cieľ uvedeného nariadenia, ktorým je pri vykonávaní článkov 7 a 8 Charty zaručiť účinnú ochranu základných práv a slobôd fyzických osôb, nemožno právo na sťažnosť vykladať reštriktívne. Vnútroštátny súd sa preto prikláňa k výkladu, podľa ktorého meritórne rozhodnutie prijaté dozorným orgánom podlieha neobmedzenému preskúmaniu súdu, pričom však tento orgán disponuje tak voľnou úvahou, ako aj diskrečnou právomocou a môže byť zaviazaný konať iba vtedy, keď nemožno identifikovať zákonné alternatívy.

21.

V druhom rade sa vnútroštátny súd pýta na zákonnosť uchovávania údajov z verejných registrov u spoločností poskytujúcich ekonomické informácie. V tejto súvislosti spresňuje, že tieto spoločnosti dostávajú od štátu všetky záznamy pochádzajúce z verejných registrov, v tomto prípade registra dlžníkov a insolvenčného registra. Tieto údaje slúžia podľa HBDI na posúdenie úverovej bonity a možno ich uchovávať tak dlho, ako je to nevyhnutné na účely, na ktoré sú uchovávané. Vzhľadom na neexistenciu právnej úpravy prijatej vnútroštátnym zákonodarcom navyše dozorné orgány po dohode so združením spoločností poskytujúcich ekonomické informácie schválili kódexy správania, ktoré upravujú výmaz presne tri roky po zápise do databázy.

22.

Podľa vnútroštátneho súdu vzniká so zreteľom na články 7 a 8 Charty otázka, či záznamy vo verejných registroch môžu byť identicky prenesené do súkromných registrov bez toho, aby na uchovávanie údajov existoval konkrétny dôvod. V konečnom dôsledku ide o zálohovanie údajov, najmä v prípade, ak tieto údaje už boli vymazané z národného registra z dôvodu uplynutia doby uchovávania. Okrem toho SCHUFA je iba jednou z viacerých spoločností poskytujúcich ekonomické informácie, takže údaje sú v Nemecku uchovávané mnohonásobne, čo má za následok obrovský zásah do základného práva zakotveného v článku 7 Charty.

23.

Vnútroštátny súd dodáva, že spracúvanie, a teda uchovávanie údajov, je povolené iba vtedy, ak je splnená niektorá z podmienok stanovených v článku 6 ods. 1 GDPR, pričom spresňuje, že v tomto prípade prichádza do úvahy iba článok 6 ods. 1 prvý pododsek písm. f) GDPR. Je však sporné, či taký prevádzkovateľ ako SCHUFA má oprávnený záujem v zmysle tohto ustanovenia. V každom prípade je spoločnosti poskytujúcej ekonomické informácie vždy dovolené, aby v prípade oprávneného záujmu nahliadla do verejných registrov, pokiaľ sú tam údaje uchovávané.

24.

V § 3 InsoBekVO navyše nemecký zákonodarca upravil iba relatívne krátku, šesťmesačnú dobu uchovávania záznamu o odpustení zostatku dlhu v insolvenčnom registri. Základom tejto právnej úpravy je článok 79 ods. 5 nariadenia 2015/848, podľa ktorého členské štáty informujú dotknuté osoby o období, počas ktorého sú prístupné osobné údaje uložené v insolvenčných registroch, aby si mohli uplatňovať svoje práva a predovšetkým právo na vymazanie údajov. Toto právo však už neexistuje v prípade uchovávania v mnohých súkromných registroch, v ktorých sú potom údaje uchovávané dlhšie.

25.

Navyše aj keby sa pripustilo, že uchovávanie údajov z verejných registrov v súkromných spoločnostiach poskytujúcich ekonomické informácie je zákonné, možno si klásť otázku, či treba pri zvažovaní, ktoré si vyžaduje posúdenie vykonávané podľa článku 6 ods. 1 prvého pododseku písm. f) GDPR, zohľadniť kódexy správania schválené v súlade s článkom 40 GDPR, ktoré upravujú trojročnú dobu na vymazanie záznamu o odpustení zostatku dlhu.

26.

Za týchto okolností Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

27.

Rozhodnutie vnútroštátneho súdu vo veci C‑26/22 z 23. decembra 2021 bolo doručené do kancelárie Súdneho dvora 11. januára 2022. Rozhodnutie vnútroštátneho súdu vo veci C‑64/22 z 31. januára 2022 bolo doručené do kancelárie Súdneho dvora 2. februára 2022.

28.

Rozhodnutím Súdneho dvora z 11. februára 2022 boli tieto veci spojené na účely písomnej a ústnej časti konania, ako aj na účely vyhlásenia rozsudku.

29.

Účastníci konania vo veci samej, SCHUFA, nemecká vláda, portugalská vláda, ako aj Európska komisia, podali písomné pripomienky v lehote stanovenej v článku 23 Štatútu Súdneho dvora Európskej únie.

30.

Na pojednávaní 26. januára 2023 predniesli ústne pripomienky zástupcovia ad litem účastníkov konania vo veci samej a spoločnosti SCHUFA, a splnomocnení zástupcovia Komisie.

31.

Keďže vzájomná dôvera je základom každého zmluvného záväzku v trhovom hospodárstve, je z podnikateľského hľadiska v zásade pochopiteľné, že poskytovatelia služieb a dodávatelia tovarov chcú poznať svojich zákazníkov, ako aj riziká spojené s takýmto zmluvným záväzkom. Spoločnosti poskytujúce ekonomické informácie môžu prispieť k vytvoreniu tejto vzájomnej dôvery prostredníctvom štatistických metód umožňujúcich podnikom zistiť, či sú v danom prípade splnené určité relevantné kritériá, vrátane úverovej bonity ich klientov. Tieto spoločnosti tak pomáhajú podnikom dodržiavať rôzne ustanovenia práva Únie, ktoré im ukladá práve takúto povinnosť v prípade určitých kategórií zmlúv, najmä zmlúv o úvere. ( 4 ) Tieto spoločnosti však nie sú jedinými, ktoré poskytujú takéto služby. Normotvorca Únie, vedomý si nevyhnutnosti zabezpečiť určitú transparentnosť a predvídateľnosť finančných transakcií, vyžaduje od členských štátov, aby vytvorili a viedli jeden alebo viacero registrov, v ktorých sa zverejňujú informácie týkajúce sa insolvenčných konaní.

32.

Z toho vyplýva, že paralelne bude existovať viacero databáz, a to jednak „oficiálne“ registre spravované verejnými orgánmi a jednak databázy spravované súkromnoprávnymi spoločnosťami. Tento paralelizmus môže viesť ku konkurencii medzi systémami a dokonca vyvolať právne konflikty v prípade, ak sa právne úpravy vzťahujúce sa na tieto registre výrazne líšia. Regulačné rozdiely sa môžu stať zvlášť problematickými vtedy, ak majú vplyv na ochranu údajov, pretože každý subjekt, ktorý spravuje register, či už verejnoprávny alebo súkromnoprávny, musí rešpektovať záujem dotknutých osôb na spôsobe, akým sú tieto údaje spravované a zaznamenávané. Keďže sa totiž informácie o ekonomickej situácii osoby vyznačujú ich citlivosťou, pokiaľ ide o právo na ochranu osobných údajov a súkromného života, vyžaduje sa osobitná obozretnosť.

33.

GDPR, ktoré sa uplatňuje od 25. mája 2018, vytvorilo právny rámec, ktorý má zohľadniť vyššie uvedené záujmy v celej Únii, najmä tým, že ukladá určité podmienky pri spracúvaní osobných údajov. Článok 6 ods. 1 prvý pododsek písm. f) GDPR tak vyžaduje, aby spracúvanie bolo nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov. Inými slovami, zákonnosť spracúvania musí vyplývať zo zváženia rôznych prítomných záujmov, pričom musia prevážiť oprávnené záujmy prevádzkovateľa alebo tretej strany. Je na dozornom orgáne, ktorý bude musieť podľa článku 77 ods. 1 GDPR rozhodnúť o každej prípadnej sťažnosti dotknutej osoby založenej na porušení jej základných práv, aby overil, či sú tieto podmienky splnené. Napokon, ak by sa táto osoba rozhodla podať opravný prostriedok proti rozhodnutiam dozorného orgánu, v súlade s článkom 78 ods. 1 GDPR bude prináležať vnútroštátnym súdom, aby zabezpečili účinné súdne preskúmanie.

34.

Predchádzajúce body týchto návrhov stručne sumarizujú rôzne právne aspekty nastolené vnútroštátnym súdom v jeho návrhoch na začatie prejudiciálneho konania. Prvá otázka sa týka právnej povahy rozhodnutia, ktoré prijíma dozorný orgán, na ktorý je podaná sťažnosť, ako aj rozsahu súdneho preskúmania, ktoré môže vykonať súd v konaní o opravnom prostriedku podanom proti takému rozhodnutiu. Druhá až piata otázka sa v podstate týkajú zákonnosti uchovávania osobných údajov pochádzajúcich z verejných registrov spoločnosťami poskytujúcimi ekonomické informácie. Prejudiciálne otázky budú nižšie preskúmané v poradí, v akom ich vnútroštátny súd položil.

35.

Vzhľadom na to, že prvá otázka sa týka dvoch etáp administratívneho opravného prostriedku, a to sťažnosti podanej na dozorný orgán a súdneho prostriedku nápravy podaného na súdny orgán, ktoré sú upravené článkami 77 a 78 GDPR, považujem za vhodné stručne opísať tieto dve etapy a pri tom sa zaoberať aspektami, na ktoré sa pýta vnútroštátny súd.

36.

Ako som uviedol vo svojich úvodných poznámkach, GDPR má zabezpečiť ochranu fyzických osôb pri spracúvaní osobných údajov, uznanú ako základné právo v článku 8 ods. 1 Charty, ako aj článku 16 ods. 1 ZFEÚ. Keďže každé spracúvanie osobných údajov môže mať vplyv na súkromný život, treba spomenúť aj ochranu zaručenú článkom 7 Charty. ( 5 ) Z článku 1 ods. 2 GDPR, vykladaného spoločne s odôvodneniami 10, 11 a 13 tohto nariadenia navyše vyplýva, že normotvorca Únie zveruje túto úlohu orgánom a úradom Únie, ale aj príslušným orgánom členských štátov, medzi ktoré patria vnútroštátne dozorné orgány a súdy. ( 6 )

37.

V tejto súvislosti treba uviesť, že článok 8 ods. 3 Charty stanovuje, že dodržiavanie pravidiel o ochrane osobných údajov podlieha kontrole nezávislého orgánu. Článok 57 ods. 1 písm. a) GDPR vykonáva túto povinnosť vyvodenú z primárneho práva, keď stanovuje, že každý dozorný orgán má za úlohu monitorovať a presadzovať uplatňovanie tohto nariadenia. Ako to výslovne vyplýva z článku 57 ods. 1 písm. f) GDPR, vybavovanie sťažností podaných dotknutou osobou je súčasťou týchto povinností.

38.

Súdny dvor rozhodol, že podľa tohto ustanovenia „je každý dozorný orgán povinný na svojom území vybavovať sťažnosti, ktoré má v súlade s článkom 77 ods. 1 tohto nariadenia právo podať každá osoba, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením, a v nevyhnutnom rozsahu preskúmať predmet tejto sťažnosti“ ( 7 ). V tejto súvislosti treba upozorniť na to, že Súdny dvor zdôraznil povinnosť dozorného orgánu „pristúpiť k vybaveniu takejto sťažnosti so všetkou vyžadovanou náležitou starostlivosťou“, aby zabezpečil dodržiavanie ustanovení GDPR. Rovnako treba uviesť, že odôvodnenie 141 GDPR spresňuje, že „vyšetrovanie na základe sťažnosti by sa… malo vykonávať v rozsahu primeranom pre konkrétny prípad“ (kurzívou zvýraznil generálny advokát).

39.

Všetky tieto skutočnosti ma vedú k názoru, že dozorný orgán má záväznú povinnosť vybaviť sťažnosti podané dotknutou osobou, a to so všetkou starostlivosťou, ktorú si vyžaduje konkrétny prípad. ( 8 ) Keďže každé porušenie GDPR môže v zásade predstavovať zásah do základných práv, zdá sa mi nezlučiteľné so systémom zavedeným týmto nariadením priznať dozornému orgánu diskrečnú právomoc v otázke, či vybaví alebo nevybaví sťažnosti. Takýto prístup by spochybňoval rozhodujúcu úlohu, ktorú dozornému orgánu zveruje GDPR, ktorou je zabezpečiť dodržiavanie pravidiel o ochrane osobných údajov, a preto by odporoval cieľom sledovaným normotvorcom Únie. ( 9 ) Napokon netreba zabúdať na to, že sťažnosti sú pre dozorný orgán cenným zdrojom informácií, ktorý mu umožňuje odhaliť porušenia. ( 10 )

40.

Tento výklad je o to presvedčivejší, že článok 57 ods. 1 písm. f) GDPR kladie na dozorný orgán rad požiadaviek pri vybavovaní takejto sťažnosti, a to povinnosť vyšetriť v primeranom rozsahu podstatu sťažnosti a informovať sťažovateľa o pokroku a výsledkoch vyšetrovania v primeranej lehote, najmä ak je potrebné ďalšie vyšetrovanie alebo koordinácia s iným dozorným orgánom. K tomu sa pripája povinnosť uvedená v článku 77 ods. 2 GDPR informovať sťažovateľa o pokroku a výsledku sťažnosti, vrátane možnosti podať súdny prostriedok nápravy podľa článku 78 GDPR. Všetky tieto požiadavky, na ktoré sa vzťahuje pojem „riadna správa vecí verejných“, ktorý je, pokiaľ ide konkrétne o činnosti inštitúcií a orgánov Únie, vyjadrený v článku 41 Charty ( 11 ), majú posilniť konanie o sťažnosti tak, aby sa z neho stal skutočný administratívny opravný prostriedok.

41.

Hoci dozorný orgán ako garant dodržiavania ustanovení GDPR je povinný vybaviť sťažnosti, ktoré sú mu predložené, viacero skutočností svedčí v prospech výkladu, podľa ktorého má pri preskúmaní týchto sťažností voľnú úvahu, ako aj určitú flexibilitu pri výbere prostriedkov vhodných na plnenie jeho úloh. Generálny advokát Saugmandsgaard Øe totiž poznamenal, že článok 58 ods. 1 GDPR „priznáva dozorným orgánom významné vyšetrovacie právomoci“ a že tieto orgány disponujú podľa článku 58 ods. 2 tohto nariadenia „širokou škálou prostriedkov… na splnenie úlohy, ktorou bol[i] poveren[é]“, pričom v tejto súvislosti odkázal na rôzne právomoci pri prijímaní nápravných opatrení vymenovaných v tomto ustanovení. ( 12 ) Generálny advokát ďalej spresnil, že hoci je príslušný orgán „povinný v plnej miere splniť úlohu dohľadu, ktorá mu bola zverená“, „výber najúčinnejšieho prostriedku patrí do [jeho] diskrečnej právomoci… vzhľadom na všetky okolnosti“ ( 13 ). Tento výklad môžem iba podporiť.

42.

Podrobný opis právomoci dozorných orgánov prijímať nápravné opatrenia preukazuje, že cieľom normotvorcu Únie nebolo urobiť z konania o sťažnosti konanie podobné konaniu o petícii. Naopak sa zdá, že legislatívnym cieľom bolo vytvoriť mechanizmus schopný účinne chrániť práva a záujmy osôb, ktoré podávajú sťažnosti. Napriek tomu sa mi zdá jasné, že túto flexibilitu nemožno vykladať v tom zmysle, že dozorný orgán má neobmedzenú právomoc, ktorá ho oprávňuje konať svojvoľne. Práve naopak, dozorný orgán je povinný uplatňovať túto flexibilitu v medziach, ktoré mu ukladá právo Únie. Práve z tohto dôvodu nemožno vylúčiť, že dozorný orgán ako správny orgán bude nútený prijať určité opatrenie vzhľadom na osobitné okolnosti veci, najmä vtedy, keď existuje riziko závažného zásahu do základných práv dotknutej osoby.

43.

Tento výklad, ktorý priznáva dozornému orgánu určitú flexibilitu pri výbere prostriedkov, je podporený článkom 58 ods. 4 GDPR, ktorý stanovuje, že „výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy“ (kurzívou zvýraznil generálny advokát) v súlade s článkom 47 Charty. Článok 78 ods. 1 a 2 GDPR okrem toho uznáva právo každej osoby podať účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka, alebo keď tento orgán nevybaví jej sťažnosť.

44.

To ma privádza k otázke týkajúcej sa právnej povahy rozhodnutí prijatých dozorným orgánom, ktorú vnútroštátny súd nastolil vo svojich návrhoch na začatie prejudiciálneho konania. V tejto súvislosti treba pripomenúť odôvodnenie 141 GDPR, z ktorého vyplýva, že „každá dotknutá osoba by mala mať právo podať sťažnosť na jednom dozornom orgáne… a mať v súlade s článkom 47 Charty právo na účinný súdny prostriedok nápravy, ak sa domnieva, že boli porušené jej práva podľa tohto nariadenia, alebo ak dozorný orgán nereaguje na sťažnosť, čiastočne alebo v plnom rozsahu ju odmietne, nevyhovie jej alebo nekoná v prípade, keď je takéto konanie nevyhnutné na ochranu práv dotknutej osoby“ (kurzívou zvýraznil generálny advokát). Toto odôvodnenie zohľadňuje skutočnosť, že rozhodnutie dozorného orgánu môže spôsobiť dotknutej osobe ujmu, najmä ak sa v ňom rozhodne, že sťažnosť nie je dôvodná, že nedošlo k porušeniu GDPR a teda nebudú prijaté opatrenia na nápravu situácie, ktorá viedla k podaniu sťažnosti. Normotvorca Únie uznáva právne záväzný účinok takého rozhodnutia a v dôsledku toho priznáva sťažovateľovi opravný prostriedok na vnútroštátnom súde.

45.

Rovnako treba zdôrazniť, že dozornému orgánu nie je dovolené, aby nereagoval, pretože z článku 78 ods. 2 GDPR vyplýva, že „každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak dozorný orgán, ktorý je príslušný podľa článkov 55 a 56, sťažnosť nevybavil alebo neinformoval dotknutú osobu do troch mesiacov o pokroku alebo výsledku sťažnosti podanej podľa článku 77“. Táto okolnosť bráni prirovnávaniu konania o sťažnosti k petícii.

46.

Ako to vnútroštátny súd vysvetlil vo svojich rozhodnutiach, v tomto prípade dozorný orgán prijal voči žalobcom vo veci samej právne záväzné rozhodnutia. V podstate skonštatoval, že spracúvanie osobných údajov žalobcov zo strany spoločnosti SCHUFA bolo zákonné na základe článku 6 ods. 1 prvého pododseku písm. b) a f) GDPR a z tohto dôvodu implicitne vylúčil využitie vyšetrovacieho alebo nápravného opatrenia.

47.

Súdny prostriedok nápravy upravený v článku 78 GDPR predstavuje druhú etapu administratívneho opravného prostriedku upraveného týmto nariadením. V tejto súvislosti treba uviesť, že tak „sťažnosť“ na dozornom orgáne, ako aj „súdny prostriedok nápravy“, sú koncipované ako „práva“ dotknutej osoby, čo je úplne pochopiteľné, ak vychádzame z myšlienky, že články 77 až 79 GDPR majú vykonať právo na účinný prostriedok nápravy zakotvené v článku 47 Charty. Ako som už uviedol, ( 14 ) výklad článku 58 ods. 4 spoločne s článkom 78 GDPR s prihliadnutím na odôvodnenie 141 tohto nariadenia umožňuje jasne odhaliť tento cieľ. ( 15 )

48.

Pokiaľ ide o rozsah súdneho preskúmania rozhodnutí prijatých dozorným orgánom, treba pripomenúť, že vnútroštátne pravidlá v oblasti správneho konania sa vo všeobecnosti uplatňujú v rámci procesnej autonómie s výhradou dodržania zásad ekvivalencie a efektivity. ( 16 ) Domnievam sa však, že opravný prostriedok môže byť „účinný“ v zmysle článku 47 Charty a článku 78 ods. 1 GDPR iba vtedy, ak má príslušný vnútroštátny súd právomoc a povinnosť podrobiť meritórne rozhodnutie dozorného orgánu úplnému súdnemu preskúmaniu, aby overil, či dozorný orgán správne uplatnil GDPR.

49.

Ako to Súdny dvor pripomenul vo svojej judikatúre, „právna úprava, ktorá neupravuje nijakú možnosť osoby podliehajúcej súdnej právomoci uplatniť právne prostriedky nápravy, aby mala prístup k osobným údajom, ktoré sa jej týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov, nerešpektuje podstatu obsahu základného práva na účinnú súdnu ochranu, ako je upravené článkom 47 Charty. Článok 47 prvý odsek Charty totiž vyžaduje, aby každý, koho práva a slobody zaručené právom Únie boli porušené, mal za podmienok ustanovených v tomto článku právo na účinný prostriedok nápravy pred súdom. V tejto súvislosti samotná existencia účinného súdneho preskúmavania na účely dodržania ustanovení práva Únie je súčasťou existencie právneho štátu“ ( 17 ).

50.

Pri určovaní rozsahu súdneho preskúmania rozhodnutí prijatých dozorným orgánom považujem za relevantné pripomenúť najprv odôvodnenie 141 GDPR, z ktorého vyplýva, že „vyšetrovanie na základe sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať v rozsahu primeranom pre konkrétny prípad“ (kurzívou zvýraznil generálny advokát). Ďalej treba pripomenúť odôvodnenie 143 GDPR, ktoré uvádza, že „každá fyzická alebo právnická osoba by mala mať na príslušnom vnútroštátnom súde účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu, ktoré má voči nej právne účinky. Takéto rozhodnutie sa týka najmä výkonu vyšetrovacích, nápravných a povoľovacích právomocí dozorným orgánom alebo nevyhovenia či odmietnutia sťažností“ (kurzívou zvýraznil generálny advokát). Podľa môjho názoru treba tieto pasáže chápať v tom zmysle, že súdne preskúmanie, ktoré má vykonať vnútroštátny súd podľa článku 78 GDPR, musí byť úplné, teda musí sa vzťahovať na všetky relevantné aspekty, na ktoré sa vzťahuje voľná úvaha dozorného orgánu pri preskúmaní predmetu sťažnosti, ako aj jeho rozhodovací priestor pri výbere vyšetrovacích a nápravných opatrení.

51.

Cieľ normotvorcu Únie zaručiť úplné súdne preskúmanie každého rozhodnutia dozorného orgánu, ktoré má právne účinky na dotknutú osobu, ktorá na dozorný orgán podala sťažnosť, sa stane zvlášť evidentný, ak sa vezme do úvahy iná časť odôvodnenia 143 GDPR, ktorá uvádza, že „návrh na začatie konania proti dozornému orgánu by sa mal podávať na súdoch členského štátu, v ktorom má dozorný orgán sídlo, pričom toto konanie by malo prebiehať v súlade s procesným právom tohto členského štátu. Tieto súdy by mali vykonávať plnú právomoc, ktorá by mala zahŕňať právomoc preskúmať všetky skutkové a právne otázky, ktoré sú relevantné pre daný spor“ (kurzívou zvýraznil generálny advokát). ( 18 ) Domnievam sa, že iba súdne preskúmanie takéhoto rozsahu zodpovedá požiadavkám článku 47 Charty. ( 19 )

52.

Tvrdenia, ktoré uvádzajú SCHUFA a HBDI v prospech obmedzeného súdneho preskúmania rozhodnutí dozorného orgánu, sa mi naopak nezdajú presvedčivé. Po prvé „nezávislosť“ priznaná dozornému orgánu podľa článku 52 GDPR, ktorý konkretizuje požiadavku uvedenú v článku 8 ods. 3 Charty, má za cieľ chrániť tento orgán pred každým nenáležitým zasahovaním, ale nezbavuje ho povinnosti plniť jeho úlohy a vykonávať jeho právomoci v plnom súlade s právom Únie a podrobiť jeho rozhodnutia účinnému súdnemu preskúmaniu ako je to v prípade akéhokoľvek iného vnútroštátneho orgánu. Po druhé existencia práva na súdny prostriedok nápravy voči prevádzkovateľovi, upraveného v článku 79 GDPR, nevylučuje právo podať opravný prostriedok proti rozhodnutiu prijatému dozorným orgánom podľa článku 78 GDPR. Tieto opravné prostriedky existujú nezávisle na sebe bez toho, aby bol jeden vo vzťahu k druhému subsidiárny, takže ich možno podať súbežne. ( 20 ) Žalobcom teda nemožno vytýkať, že konali pri obrane svojich práv, ktoré chráni GDPR protiprávne z dôvodu, že uprednostnili jeden určitý opravný prostriedok. V dôsledku toho treba tieto tvrdenia zamietnuť.

53.

Vzhľadom na prechádzajúce úvahy treba odpovedať na prvú prejudiciálnu otázku tak, že článok 78 ods. 1 GDPR sa má vykladať v tom zmysle, že z tohto ustanovenia vyplýva, že právne záväzné rozhodnutie dozorného orgánu podlieha úplnému meritórnemu preskúmaniu súdom.

54.

Druhá až piata prejudiciálna otázka sa v podstate týkajú zákonnosti uchovávania osobných údajov pochádzajúcich z verejných registrov u spoločností poskytujúcich ekonomické informácie. Otázky položené vnútroštátnym súdom nastoľujú rad právnych problémov spojených s touto praxou, ktoré bude potrebné preskúmať systematicky. V záujme prehľadnosti považujem za vhodné zoskupiť tieto otázky podľa témy a zaoberať sa nimi v tomto poradí.

55.

Na to, aby Súdny dvor poskytol vnútroštátnemu súdu užitočnú odpoveď, ktorá mu umožní rozhodnúť prejednávaný spor, bude musieť vyložiť viaceré ustanovenia GDPR, ktoré sa javia relevantné napriek tomu, že nie sú výslovne uvedené v otázkach. Takýto prístup je možný, keďže podľa ustálenej judikatúry môže Súdny dvor zo všetkých informácií, ktoré poskytol vnútroštátny súd, a najmä z odôvodnenia rozhodnutia vnútroštátneho súdu, abstrahovať normy a zásady práva Únie, ktoré si so zreteľom na predmet sporu vo veci samej vyžadujú výklad. ( 21 )

56.

Takáto dôkladná analýza sa mi zdá o to potrebnejšia, že vnútroštátny súd vo svojich otázkach niekedy odkazuje výlučne na články 7 a 8 Charty, hoci tieto ustanovenia sa nemajú uplatňovať izolovane, ako to vysvetlil Súdny dvor, ale treba ich zohľadniť pri zvažovaní upravenom v článku 6 ods. 1 prvom pododseku písm. f) GDPR. ( 22 ) Navyše v tejto súvislosti pripomeniem, že v rozsahu, v akom ustanovenia GDPR vykonávajú dotknuté základné práva, je východiskom každého odborného výkladu logicky výklad sekundárneho práva, ktoré treba vykladať s prihliadnutím na primárneho právo, ktorého neoddeliteľnou súčasťou je Charta. ( 23 ) Do ďalšej analýzy preto zahrniem všetky ustanovenia, ktoré považujem za relevantné.

57.

Kapitola II GDPR, nazvaná „Zásady“, upravuje zásady spracúvania osobných údajov. Nižšie preskúmam, či je prax spoločností poskytujúcich ekonomické informácie spočívajúca v uchovávaní osobných údajov pochádzajúcich z verejných registrov po dobu troch rokov v súlade so zásadami, ktoré sa mi v tomto kontexte zdajú najdôležitejšie, a to so zásadami zákonnosti, obmedzenia účelu a minimalizácie údajov.

58.

Na účely analýzy budem vychádzať z informácií, ktoré poskytol vnútroštátny súd a SCHUFA, pričom zdôrazňujem, že v súlade so zásadou zodpovednosti formulovanou v článku 5 ods. 2 GDPR prináleží uvedenej spoločnosti ako prevádzkovateľovi, aby preukázala, že vyššie uvedené zásady boli rešpektované.

59.

Článok 5 ods. 1 písm. a) GDPR vyžaduje, aby boli osobné údaje spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Podľa článku 6 ods. 1 GDPR je spracúvanie osobných údajov zákonné iba vtedy, keď je splnená niektorá z podmienok, ktoré sú v tomto ustanovení vymenované. Ako zdôraznil Súdny dvor, ide o taxatívny a reštriktívny zoznam prípadov, v ktorých takéto spracúvanie možno považovať za zákonné. ( 24 ) Vnútroštátny súd chce v podstate vedieť, či článok 6 ods. 1 prvý pododsek písm. f) GDPR povoľuje súkromnej spoločnosti poskytujúcej ekonomické informácie uchovávať osobné údaje pochádzajúce z verejných registrov na to, aby ich na požiadanie poskytla klientovi.

60.

Podľa judikatúry Súdneho dvora ( 25 ) článok 6 ods. 1 prvý pododsek písm. f) GDPR upravuje tri kumulatívne podmienky na to, aby spracúvanie osobných údajov bolo zákonné, a to po prvé sledovanie oprávneného záujmu prevádzkovateľom alebo treťou stranou či tretími stranami, ktorým sa osobné údaje poskytujú, po druhé nevyhnutnosť spracúvania osobných údajov na dosiahnutie sledovaného oprávneného záujmu a po tretie podmienku, že neprevažujú základné práva a slobody osoby dotknutej ochranou údajov. Hoci je úlohou vnútroštátneho súdu, aby posúdil, či sú tieto podmienky splnené, prináleží Súdnemu dvoru, aby ho pri tomto posúdení usmernil tým, že objasní nastolené právne otázky.

61.

Pokiaľ ide najprv o sledovanie „oprávneného záujmu“, chcem pripomenúť, že v GDPR a judikatúre sa uznáva široká škála záujmov považovaných za oprávnené, ( 26 ) pričom sa v nich spresňuje, že v súlade s článkom 13 ods. 1 písm. d) GDPR prináleží prevádzkovateľovi, aby uviedol oprávnené záujmy sledované v rámci článku 6 ods. 1 prvého pododseku písm. f) GDPR.

62.

SCHUFA tvrdí, že spracúvanie dotknutých údajov sleduje oprávnené záujmy, ktoré majú veľký význam. Konkrétnejšie tvrdí, že spoločnosti poskytujúce ekonomické informácie spracúvajú údaje, ktoré sú nevyhnutné na vyhodnotenie úverovej bonity osôb alebo podnikov, aby tieto informácie mohli poskytnúť ich zmluvným partnerom. To chráni aj ekonomické záujmy podnikov, ktoré chcú uzavrieť zmluvy súvisiace s úverom. Určenie úverovej bonity a poskytovanie informácií o nej sú navyše základom úverového systému a funkčnosti hospodárstva. Činnosť týchto spoločností prispieva aj ku konkretizácii obchodných želaní osôb, ktoré sa zaujímajú o úverové transakcie, pretože informácie umožňujú rýchle preskúmanie bez byrokracie.

63.

Domnievam sa, že v zásade neexistuje žiaden objektívny dôvod spochybňovať oprávnenosť záujmu spoločnosti SCHUFA na poskytovaní vyššie opísanej obchodnej služby jej klientom, ani záujmu klientov spoločnosti SCHUFA na využívaní jej služby na vyhodnotenie úverovej bonity potenciálnych obchodných partnerov v uvedenom zmysle. Hoci je pravda, že poskytovanie tohto typu služieb má za cieľ získanie odmeny a teda predstavuje ekonomický model súkromnej spoločnosti, zároveň platí, že táto okolnosť sama osebe nestačí na spochybnenie toho, že v tomto prípade je splnená podmienka uvedená v článku 6 ods. 1 prvom pododseku písm. f) GDPR.

64.

Navyše cieľ sledovaný dotknutou službou je v podstate podobný cieľu, ktorý mal na mysli normotvorca Únie pri prijatí článku 24 nariadenia 2015/848, ktorý ukladá členským štátom, aby vytvorili a viedli jeden alebo viacero registrov, v ktorých sa uverejňujú informácie týkajúce sa insolvenčných konaní. Ako vyplýva z odôvodnenia 76 tohto nariadenia, cieľom týchto verejných registrov je „zlepšiť poskytovanie informácií príslušným veriteľom a súdom, ako aj… zabrániť začatiu súbežných insolvenčných konaní“. Myslím si, že služba, ktorú ponúka SCHUFA, nemá iný cieľ. Otázka, či súbežnosť systémov môže viesť k právnym konfliktom bude preskúmaná ďalej. V tomto štádiu analýzy stačí uviesť, že vzhľadom na túto totožnosť cieľov sa treba domnievať, že spracúvanie údajov spoločnosťou SCHUFA slúži oprávnenému záujmu v zmysle článku 6 ods. 1 prvého pododseku písm. f) GDPR.

65.

Pokiaľ ide o podmienku, aby spracúvanie osobných údajov bolo nevyhnutné na dosiahnutie sledovaného oprávneného záujmu, podľa judikatúry Súdneho dvora sa výnimky zo zásady ochrany osobných údajov a jej obmedzenia majú robiť v medziach toho, čo je striktne nevyhnutné. ( 27 ) Vyžaduje sa teda, aby existovala úzka súvislosť medzi spracúvaním a sledovaným záujmom a neexistovalo náhradné riešenie, ktoré by viac rešpektovalo ochranu osobných údajov, pretože nestačí, aby spracúvanie bolo pre prevádzkovateľa iba užitočné.

66.

V tomto prípade treba preukázať, že získavanie osobných údajov, ktoré sa týkajú úverovej bonity a pochádzajú z verejných registrov, a ich súkromné uchovávanie sú pre SCHUFA jedinou možnosťou, ako môže svojim klientom ponúknuť presné informácie na obchodné účely. Nemožno vylúčiť, že SCHUFA môže ponúkať obchodnú službu a poskytovať informácie o úverovej bonite osôb pomocou iných dostupných údajov. Prináleží vnútroštátnemu súdu, aby overil, či táto možnosť tiež umožňuje spoločnosti SCHUFA, aby ponúkala túto obchodnú službu svojim klientom.

67.

SCHUFA sa domnieva, že spracúvanie údajov je nevyhnutné. Podľa jej názoru, ak by spoločnosť poskytujúca ekonomické informácie čakala na konkrétnu žiadosť skôr, než začne zhromažďovať údaje, nebolo by možné poskytnúť informáciu včas. SCHUFA sa domnieva, že skutočnosť, že údaje sú počas určitého času dostupné (aj) verejnosti, nemá žiaden vplyv na oprávnené záujmy spoločností, ktoré poskytujú ekonomické informácie, ani na nevyhnutnosť spracúvania.

68.

Ak by uchovávanie osobných údajov pochádzajúcich z verejných registrov nebolo nevyhnutné na to, aby mohla SCHUFA svoju obchodnú službu ponúkať svojim klientom, toto spracúvanie by nemohlo byť zákonné na základe článku 6 ods. 1 prvého pododseku písm. f) GDPR. Ak by naopak druhá podmienka tohto ustanovenia bola splnená, vnútroštátny súd by musel preskúmať ešte tretiu a poslednú kumulatívnu podmienku obsiahnutú v uvedenom ustanovení.

69.

Pokiaľ ide napokon o zváženie záujmov prevádzkovateľa na jednej strane a záujmov alebo základných práv dotknutej osoby na druhej strane, podľa judikatúry Súdneho dvora prináleží vnútroštátnemu súdu, aby zvážil prítomné záujmy. ( 28 ) V tejto súvislosti usmernenia bývalej pracovnej skupiny zriadenej podľa článku 29, z ktorej sa stal „Európsky výbor pre ochranu údajov“, ktorého úlohy sú definované v článku 70 GDPR, vymenúvajú nasledujúce kritériá, ktoré treba zohľadniť pri tomto zvažovaní: i) posúdenie oprávneného záujmu prevádzkovateľa; ii) vplyv na dotknuté osoby; iii) predbežná bilancia a iv) dodatočné záruky poskytnuté prevádzkovateľom na to, aby zabránil akémukoľvek neodôvodnenému vplyvu na dotknuté osoby. ( 29 ) V záujme podrobnej a logickej analýzy navrhujem uplatniť tieto kritéria na veci samé. Takýto prístup navyše prispeje ku koherentnejšiemu uplatňovaniu GDPR v súlade s cieľmi sledovanými normotvorcom Únie.

70.

Pokiaľ ide o prvé kritérium, treba uviesť, že záujem tak spoločnosti SCHUFA, ako aj jej klientov, je čisto ekonomický. Súkromné spoločnosti uchovávajú osobné údaje prenesené z verejných registrov, aby s využitím najmä týchto údajov ponúkali svojim klientom službu spočívajúcu v poskytovaní informácií o úverovej bonite dotknutej osoby. Ako som už vysvetlil, ( 30 ) takýto záujem sa mi na účely tejto analýzy zdá oprávnený.

71.

Pokiaľ ide o druhé kritérium, teda vplyv spracúvania na dotknutú osobu, zdá sa byť relevantným faktorom lehota na vymazanie. Čím je dlhšia doba uchovávania údajov v databázach súkromných spoločností poskytujúcich ekonomické informácie, tým väčšie sú dôsledky na dotknutú osobu. V tomto prípade boli osobné údaje žalobcov vo veci samej spracúvané vo verejnom registri „v snahe zlepšiť poskytovanie informácií príslušným veriteľom a súdom, ako aj v snahe zabrániť začatiu súbežných insolvenčných konaní“, ako to vyžaduje odôvodnenie 76 nariadenia 2015/848. Pri zvažovaní rôznych záujmov sa nemecký zákonodarca domnieval, že obdobie, počas ktorého je zverejnenie údajov o insolvenčnom konaní v takýchto registroch nevyhnutné na dosiahnutie tohto cieľa, je šesť mesiacov. A priori sa teda zdá, že uchovávanie osobných údajov po uplynutí tohto šesťmesačného obdobia má značný negatívny vplyv na dotknutú osobu.

72.

Z judikatúry Súdneho dvora vyplýva, že existujú ďalšie faktory, ktoré treba zohľadniť pri analýze, a to podmienky prístupu k databázam, ako aj možnosti ponúkané na účely šírenia osobných údajov. ( 31 ) Jednoducho povedané, čím ľahšie je informácia dostupná verejnosti, tým závažnejší je zásah do základných práv dotknutej osoby. Platí to predovšetkým vtedy, keď je počet užívateľov, ktorí majú prístup k údajom dotknutej osoby vysoký. ( 32 ) Zdá sa mi teda zjavné, že hoci sú údaje počas uvedeného šesťmesačného obdobia už dostupné vo verejných registroch, skutočnosť, že sú súbežne uchovávané a dostupné v databázach súkromných spoločností poskytujúcich ekonomické informácie má ďalší vplyv na súkromný život jednotlivca, ktorý sa pripája k negatívnym dôsledkom dostupnosti týchto údajov vo verejných registroch.

73.

Dodatočným faktorom, ktorý treba zohľadniť pri analýze, je prípadná citlivosť dotknutých údajov. ( 33 ) Vo všeobecnosti možno tvrdiť, že vplyv na dotknutú osobu rastie v závislosti od citlivosti osobných údajov. V tejto súvislosti treba uviesť, že z judikatúry Súdneho dvora vyplýva, že osobné údaje týkajúce sa vymáhania pohľadávok sú skutočne údajmi citlivými pre súkromný život dotknutej osoby. ( 34 ) Poskytnutie tohto typu údajov v zásade neobmedzenému počtu užívateľov treba teda považovať za veľký zásah do základných práv tejto osoby. ( 35 )

74.

Napokon si myslím, že je nevyhnutné zohľadniť aj časový faktor. Dokonca aj zákonné spracúvanie údajov totiž časom prestáva byť v súlade s GDPR, keď tieto údaje nie sú alebo už nie sú relevantné alebo je ich príliš veľa vo vzťahu k účelu, na ktorý boli pôvodne získané. Z tohto pohľadu si vážne kladiem otázku, ako môže byť uchovávanie osobných údajov počas doby troch rokov odôvodnené napriek tomu, že vnútroštátny zákonodarca sa domnieval, že na zohľadnenie obchodných záujmov hospodárskych subjektov úplne stačí doba uchovávania v trvaní šiestich mesiacov, teda oveľa kratšia. Chcem uviesť, že SCHUFA nedokázala poskytnúť jasnú a presvedčivú odpoveď na túto otázku, ( 36 ) hoci podľa článku 5 ods. 2 GDPR je jej úlohou, aby preukázala, že boli rešpektované zásady spracúvania osobných údajov. ( 37 )

75.

Posúdenie všetkých skutočností uvedených v predchádzajúcich bodoch ma vedie k záveru, že značné negatívne dôsledky, ktoré bude mať pre dotknutú osobu uchovávanie údajov po uplynutí uvedeného šesťmesačného obdobia, zrejme prevážia nad obchodným záujmom súkromnej spoločnosti a jej klientov na uchovávaní údajov po tomto období. V tejto súvislosti je dôležité zdôrazniť, že priznané odpustenie zostatku dlhu má umožniť príjemcovi, aby sa opäť zúčastňoval na ekonomickom živote. ( 38 ) Žalobcovia vo veci samej a Komisia tiež upozornili na tento aspekt na pojednávaní. Tomuto cieľu by však odporovalo, ak by súkromné spoločnosti poskytujúce ekonomické informácie boli oprávnené uchovávať vo svojich databázach osobné údaje po tom, čo boli tieto údaje vymazané z verejného registra.

76.

Napokon pokiaľ ide o dodatočné záruky prípadne poskytnuté prevádzkovateľom na to, aby zabránil akémukoľvek neodôvodnenému vplyvu na dotknuté osoby, nič v rozhodnutí vnútroštátneho súdu alebo v pripomienkach spoločnosti SCHUFA neumožňuje zistiť, či takéto záruky existujú.

77.

Vzhľadom na predchádzajúce úvahy sa domnievam, že uchovávanie údajov súkromnou spoločnosťou poskytujúcou ekonomické informácie nemôže byť zákonné na základe článku 6 ods. 1 prvého pododseku písm. f) GDPR od okamihu vymazania osobných údajov týkajúcich sa platobnej neschopnosti z verejných registrov.

78.

Pokiaľ ide o obdobie šiestich mesiacov, počas ktorého sú osobné údaje dostupné aj vo verejných registroch, prináleží vnútroštátnemu súdu, aby zvážil vyššie uvedené záujmy a vplyvy na dotknutú osobu a zistil, či súbežné uchovávanie týchto údajov súkromnými spoločnosťami poskytujúcimi ekonomické informácie je zákonné na základe článku 6 ods. 1 prvého pododseku písm. f) GDPR.

79.

V súlade so zásadou obmedzenia účelu formulovanou v článku 5 ods. 1 písm. b) GDPR treba zabezpečiť, aby osobné údaje získané na určitý účel neboli neskôr spracúvané spôsobom, ktorý nie je zlučiteľný s týmito účelmi. V tomto prípade údaje týkajúce sa platobnej neschopnosti a odpustenia zostatku dlhu spracúvali verejné orgány pri plnení zákonných povinností.

80.

Pokiaľ však ide o ďalšie použitie údajov súkromnou spoločnosťou, treba so zreteľom na GDPR a na základe kritérií formulovaných v článku 6 ods. 4 tohto nariadenia preskúmať, či je sledovaný účel zlučiteľný s pôvodným účelom. V tomto prípade sú zvlášť relevantné písm. a), b) a d) tohto ustanovenia. Tieto písmená upravujú tieto kritéria: i) prepojenie medzi pôvodným účelom a ďalším účelom; ii) okolnosti, za akých sa údaje získali a predovšetkým vzťah medzi dotknutými osobami a prevádzkovateľom, ako aj iii) možné následky zamýšľaného ďalšieho spracúvania pre dotknutú osobu.

81.

Po prvé sa zdá, že prepojenie medzi účelmi je slabé už len pre to, lebo pôvodný účel je stanovený zákonom, konkrétne právom Únie, ktoré ukladá členským štátom povinnosť vytvoriť a viesť registre, ( 39 ) a že prevádzkovateľom je verejný orgán konajúci v rámci úloh, ktoré mu zveruje zákon, zatiaľ čo ďalší účel sleduje súkromnoprávny subjekt v rámci obchodnej činnosti spočívajúcej v poskytovaní informácií ekonomickej povahy o osobách.

82.

Po druhé, pokiaľ ide o okolnosti, za akých sa údaje získali, treba uviesť, že neexistuje žiadny vzťah medzi prevádzkovateľom a dotknutou osobou, keďže údaje sú získavané nepriamo prostredníctvom registrov a dotknutá osoba teda nevie o tom, že jej údaje môžu byť ďalej použité, ani o tom, kým a na aký účel. Tento aspekt považujem za zvlášť závažný z hľadiska ochrany osobných údajov, pretože vo všeobecnosti osoba nemôže dôvodne očakávať ďalšie spracovanie jej osobných údajov. ( 40 ) Na základe toho, že zákon stanovuje určitú dobu pre uchovávanie údajov vo verejných registroch, sa možno dôvodne domnievať, že dotknuté údaje budú po uplynutí tohto obdobia vymazané.

83.

Po tretie, pokiaľ ide o možné následky, ktoré môže mať ďalšie spracúvanie pre dotknuté osoby, treba zdôrazniť, že informácie týkajúce sa insolvenčných konaní budú vždy používané ako negatívny faktor pri budúcom hodnotení úverovej bonity a platobnej schopnosti dotknutej fyzickej osoby, čo má významný vplyv na práva tejto osoby. Nesprávny obraz jej ekonomickej situácie môže mať na ňu nepriaznivé účinky tým, že citeľne sťažuje výkon jej slobôd, ba dokonca ju stigmatizuje v spoločnosti. Keďže dotknutá osoba sa môže stretnúť s odmietnutím tovarov a služieb, môže sa stať obeťou neodôvodnenej diskriminácie.

84.

Vzhľadom na tieto tri kritériá, ktoré musia byť splnené na to, aby bolo používanie osobných údajov v súlade s pôvodným účelom, ako to vyžaduje článok 6 ods. 4 GDPR, sa javí sporné, že ďalšie použitie týchto údajov môže byť v súlade s týmto účelom.

85.

Navyše treba uviesť, že stanovením maximálnej šesťmesačnej doby, počas ktorej je zverejnená situácia platobnej neschopnosti a súdne rozhodnutie o odpustení zostatku dlhu, ak sú splnené zákonné podmienky, už vnútroštátny zákonodarca zohľadnil realizáciu verejného záujmu a zvážil záujem veriteľov na jednej strane a záujmy, ako aj práva platobne neschopných osôb na druhej strane. ( 41 ) Spracúvanie osobných údajov súkromnými spoločnosťami počas obdobia, ktoré je šesťkrát dlhšie ako obdobie stanovené zákonom pre verejné registre sa javí neprimerané a fakticky penalizuje dotknutú osobu, hoci zákon zjavne nič také nepredvídal. Ako som totiž už uviedol, priznané odpustenie zostatku dlhu umožňuje príjemcovi, aby sa opäť zúčastňoval na ekonomickom živote. Tomuto cieľu by však odporovalo, ak by súkromné spoločnosti poskytujúce ekonomické informácie boli oprávnené uchovávať vo svojich databázach osobné údaje po tom, čo boli tieto údaje vymazané z verejného registra. ( 42 ) Bez dôkazu opaku sa treba obávať, že podmienky prístupu k databáze mohli byť koncipované s úmyslom obísť vnútroštátnu právnu úpravu prijatú členským štátom na účely splnenia povinností, ktoré mu ukladá právo Únie. ( 43 )

86.

Okrem toho sa zdá neprimerané „recyklovať“ v budúcich hodnoteniach právne vyriešenú situáciu z minulosti, akou je odpustenie zostatku dlhu, namiesto použitia faktorov, ktoré sú aktualizované v okamihu analýzy rizík, aby bolo zaručené presnejšie a objektívnejšie hodnotenie ekonomickej situácie dotknutej osoby. Možno si totiž klásť otázku, aká je hodnota informácie o ekonomickej situácii osoby, ktorá je stará niekoľko rokov. Osobné údaje súvisiace s okolnosťou, ktorá sa stala pred časom, ťažko poskytnú spoľahlivé informácie o aktuálnej ekonomickej situácii dotknutej osoby. Zdá sa, že nemecký zákonodarca uznal tento problém a vyvodil z neho správne závery, keď zvolil značne kratšiu dobu uchovávania údajov.

87.

Napokon sa domnievam, že spôsob, akým postupujú spoločnosti poskytujúce ekonomické informácie, je v rozpore so zásadou minimalizácie údajov zakotvenou v článku 5 ods. 1 písm. c) GDPR, podľa ktorej musia byť osobné údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. V tejto súvislosti v skutočnosti vzniká otázka, aký zmysel má poskytnutie osobných údajov, ktoré už sú verejnosti dostupné v registroch vytvorených členskými štátmi. Myslím si, že takáto činnosť môže skôr viesť k šíreniu citlivej informácie, ktoré nie je nevyhnutne potrebné na realizáciu obchodných záujmov hospodárskych subjektov. ( 44 )

88.

Z vyššie vysvetlených dôvodov sa domnievam, že uchovávanie týchto údajov súkromnou spoločnosťou poskytujúcou ekonomické informácie nepredstavuje prax, ktorá je v súlade so zásadami obmedzenia účelu a minimalizácie údajov zakotvenými v písm. b) a c) článku 5 ods. 1 GDPR.

89.

Predchádzajúca analýza ma vedie k záveru, že prax spoločností poskytujúcich ekonomické informácie, ktorá spočíva v uchovávaní osobných údajov pochádzajúcich z verejných registrov počas doby troch rokov, nie je v súlade so zásadami, ktorými sa riadi spracúvanie osobných údajov, zakotvenými v GDPR. Treba však spresniť, že tento záver sa zakladá na posúdení skutkového stavu, ktoré v konečnom dôsledku prináleží vnútroštátnemu súdu, ktorý musí rozhodnúť v spore.

90.

Vnútroštátny súd chce vedieť aj to, či „právo byť zabudnutý“, zakotvené v článku 17 GDPR, vyžaduje, aby osobné údaje boli vymazané z databáz súkromnej spoločnosti poskytujúcej ekonomické informácie, ktoré existujú súbežne s verejnými registrami a obsahujú rovnaké údaje. Vnútroštátny súd konštatuje rozdiel medzi obdobím, počas ktorého sú osobné údaje dostupné aj vo verejnom registri a obdobím, počas ktorého v ňom už tieto údaje nie sú k dispozícii.

91.

Článok 17 ods. 1 písm. d) GDPR upravuje absolútne právo dotknutej osoby na to, aby jej osobné údaje boli vymazané, ak boli spracúvané nezákonne. ( 45 ) Ak by sa teda vzhľadom na záver, ku ktorému som dospel vo svojej analýze, ( 46 ) vnútroštátny súd domnieval, že SCHUFA nemohla spracúvať osobné údaje žalobcov zákonným spôsobom na základe článku 6 ods. 1 prvého pododseku písm. f) GDPR, bolo by takéto spracúvanie nezákonné, ak by sa neuplatňoval žiadny iný dôvod uvedený v článku 6 ods. 1 GDPR. V takom prípade by SCHUFA bola povinná vymazať osobné údaje žalobcov a žalobcovia by mali právo v tomto zmysle a to bez ohľadu na skutočnosť, či požiadali o vymazanie údajov v období pred alebo po výmaze týchto údajov z verejného registra. Zdá sa, že takýto výsledok je tiež v súlade s požiadavkami článku 5 ods. 1 písm. e) GDPR, ktorý stanovuje, že osobné údaje sú „uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú“ (kurzívou zvýraznil generálny advokát).

92.

V tejto súvislosti chcem upozorniť na článok 79 ods. 5 nariadenia 2015/848, ktorý zdôrazňuje význam, ktorý normotvorca Únie prikladal právu na vymazanie najmä vtedy, keď orgány spracúvajú osobitne citlivé osobné údaje ako sú údaje súvisiace s úverovou bonitou dotknutých osôb. V súlade s týmto ustanovením „v rámci informácií, ktoré by sa mali poskytnúť osobám, ktorých sa údaje týkajú, aby si mohli uplatňovať svoje práva, a najmä právo na vymazanie údajov, členské štáty informujú osoby, ktorých sa údaje týkajú, o období prístupnosti stanovenom pre osobné údaje uložené v insolvenčných registroch“ (kurzívou zvýraznil generálny advokát). Normotvorca Únie zjavne uznal nevyhnutnosť vymazať tento typ údajov vtedy, ak ich uchovávanie už viac nie je odôvodnené.

93.

Hoci návrhy na začatie prejudiciálneho konania sa týkajú iba výkladu článku 17 ods. 1 písm. d) GDPR, myslím si, že písm. c) tohto odseku 1 sa môže tiež ukázať relevantné na účely rozsudku, ktorý sa má vyhlásiť v prejednávaných veciach, a to v prípade, ak by sa vnútroštátny súd v rozpore so záverom, ku ktorému som dospel na základe dostupných informácií, domnieval, že SCHUFA mohla spracúvať osobné údaje žalobcov zákonným spôsobom podľa článku 6 ods. 1 prvého pododseku písm. f) GDPR. Toto ustanovenie upravuje právo na vymazanie osobných údajov v prípade, keď dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 GDPR a neprevažujú žiadne nevyhnutné oprávnené dôvody na spracúvanie. Táto formulácia znamená, že každý „nevyhnutný oprávnený dôvod na spracúvanie“ je výnimkou z práva dotknutej osoby namietať voči spracúvaniu a dosiahnuť vymazanie jej osobných údajov. V dôsledku toho sa predpokladá, že dotknutá osoba má právo namietať voči spracúvaniu a právo na vymazanie, pokiaľ existujú nevyhnutné oprávnené dôvody. ( 47 )

94.

Domnievam sa, že v záujme účinnej ochrany osobných údajov nesmú existovať významné prekážky výkonu práva na vymazanie, a to najmä vtedy, keď na trhu existuje viacero spoločností poskytujúcich ekonomické informácie, ktoré uchovávajú údaje súbežne s verejným registrom. Ak by výkon tohto práva mal byť neprimerane sťažený v dôsledku doslovného výkladu článku 17 ods. 1 GDPR, hrozilo by, že ochrana, ktorú má ponúkať GDPR, bude obchádzaná konkurentami. Treba však pripomenúť, že cieľom normotvorcu Únie bolo „[zabezpečiť] konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov…v rámci celej Únie“ (kurzívou zvýraznil generálny advokát), ako to vyplýva z odôvodnenia 10 GDPR. Dotknutá osoba preto musí byť schopná uplatňovať svoje práva voči všetkým spoločnostiam, ktoré porušujú tieto pravidlá. Keďže SCHUFA je iba jednou z mnohých spoločností poskytujúcich ekonomické informácie v Nemecku, bude nevyhnutné zistiť, či je uchovávanie osobných údajov súbežne s verejným registrom medzi týmito spoločnosťami rozšírenou praxou.

95.

V tomto štádiu analýzy teda treba konštatovať, že žalobcovia sa v zásade môžu dovolávať práva na vymazanie podľa článku 17 ods. 1 GDPR. Inak by to bolo iba v prípade, ak by súkromná spoločnosť poskytujúca ekonomické informácie preukázala, že existujú „[nevyhnutné] oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby“ v zmysle článku 21 ods. 1 GDPR. Keďže dostupné informácie neumožňujú zistiť naliehavé dôvody, ktoré by mohli existovať v spore vo veci samej, prináleží vnútroštátnemu súdu, aby zistil skutkový stav a prípadne zvážil prítomne záujmy.

96.

Vzhľadom na predchádzajúce úvahy sa má článok 17 ods. 1 písm. d) GDPR vykladať v tom zmysle, že dotknutá osoba má právo, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, keď sa tieto údaje podľa článku 6 ods. 1 tohto nariadenia spracúvali nezákonne. Článok 17 ods. 1 písm. c) GDPR sa má vykladať v tom zmysle, že dotknutá osoba má v zásade právo, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, keď namieta voči spracúvaniu v súlade s článkom 21 ods. 1 tohto nariadenia. Prináleží vnútroštátnemu súdu, aby preskúmal, či výnimočne existujú nevyhnutné oprávnené dôvody na spracúvanie.

97.

Vnútroštátny súd chce ďalej vedieť, či je v súlade s právom Únie upraviť v kódexe správania v zmysle článku 40 GDPR doby na preskúmanie a na vymazanie, ktoré sú dlhšie ako doby na uchovávanie stanovené pre verejné registre bez toho, aby bolo nevyhnutné zváženie záujmov upravené v článku 6 ods. 1 prvom pododseku písm. f) tohto nariadenia.

98.

V tejto súvislosti treba na úvod poznamenať, že podľa vnútroštátneho súdu neexistuje v súčasnosti žiadna vnútroštátna právna úprava stanovujúca doby na vymazanie pre databázy vedené spoločnosťami poskytujúcimi ekonomické informácie. Zdá sa však, že zainteresované strany vnímajú kódex správania prijatý spoločne dozornými orgánmi a združením spoločností poskytujúcich ekonomické informácie ako určitý „právny základ“, ktorý môže legitimizovať prax opísanú vyššie. Myslím si, že takéto chápanie je právne sporné a to z nasledujúcich dôvodov.

99.

Z právneho hľadiska je takýto kódex správania iba dobrovoľným záväzkom tých, ktorí ho vypracovali a schválili, teda vyššie uvedeného združenia a jeho členov. Rovnako skutočnosť, že tento kódex schválil dozorný orgán znamená iba to, že tento orgán ako správny orgán sa považuje za viazaný uvedeným kódexom správania. Zdá sa mi však zjavné, že takýto kódex nezaväzuje tretie osoby v súlade so zásadou práva pacta tertiis nec nocent nec prosunt. V opačnom prípade by boli dotknuté nielen fyzické osoby, ktorých údaje sú spracúvané, ale aj spoločnosti, ktoré sa nezúčastnili na vypracovaní takého kódexu správania.

100.

Kódex správania pojmovo nemá v právnom poriadku žiadnu normatívnu hodnotu, ale má skôr spresniť ustanovenia normatívneho aktu, aby zjednodušil jeho uplatňovanie. Tento výklad je podložený odsekmi 1 a 2 článku 40 GDPR, z ktorých vyplýva, že kódexy správania, ktoré majú vypracovať združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov majú jednak „prisp[ieť] k správnemu uplatňovaniu“ a jednak „spresn[iť] uplatňovani[e]“ tohto nariadenia (kurzívou zvýraznil generálny advokát). Keďže teda funkciou dotknutého kódexu správania je iba zabezpečiť správne uplatňovanie GDPR v určitom odvetví, tento kódex nemôže sám osebe predstavovať právny základ odôvodňujúci spracúvanie osobných údajov. ( 48 )

101.

Právny základ odôvodňujúci takéto spracúvanie sa môže nachádzať iba v článku 6 GDPR alebo vo vnútroštátnom práve v prípade, ak existuje otvorené ustanovenie, ktoré možno uplatniť. V týchto návrhoch som už uviedol, že článok 6 GDPR upravuje taxatívny a reštriktívny zoznam prípadov, v ktorých možno spracúvanie osobných údajov považovať za zákonné. ( 49 ) V dôsledku toho pravidlá kódexu správania nemôžu mať za následok rozšírenie tohto zoznamu bez toho, aby zároveň neporušovali právo Únie.

102.

Myslím si však, že je to tak práve vtedy, keď tieto pravidlá tak, ako v tomto prípade, ukladajú spoločnostiam poskytujúcim ekonomické informácie povinnosť uchovávať údaje dotknutých osôb počas doby troch rokov, teda počas dlhého obdobia, ktoré nemôže byť odôvodnené so zreteľom na zásady, ktorými sa riadi spracúvanie osobných údajov a ktoré sú zakotvené v GDPR. Konkrétnejšie, ako som preukázal vo svojej analýze, uchovávanie týchto údajov nemožno považovať za zákonné na základe článku 6 ods. 1 prvého pododseku písm. f) GDPR počas obdobia po výmaze osobných údajov týkajúcich sa úverovej bonity z verejných registrov. ( 50 )

103.

V tomto štádiu analýzy teda treba skonštatovať, že kódexy správania, ktoré by viedli k výsledku odlišnému od toho, ktorý by bol dosiahnutý uplatnením článku 6 ods. 1 prvého pododseku písm. f) GDPR, nemožno zohľadniť pri zvažovaní záujmov vykonávanom podľa tohto ustanovenia. Spoločnosti poskytujúce ekonomické informácie ako „prevádzkovate[lia]“ v zmysle článku 4 bodu 7 GDPR sa nemôžu skryť za pravidlá kódexu správania, ktorý sami vypracovali, aby sa platne zbavili svojich povinností vyplývajúcich z tohto nariadenia.

104.

Vzhľadom na predchádzajúce úvahy sa domnievam, že článok 40 ods. 2 a 5 GDPR sa má vykladať v tom zmysle, že kódexy správania vypracované v súlade s týmito ustanoveniami a prípadne schválené dozorným orgánom nemôžu právne záväzným spôsobom stanoviť podmienky zákonného spracúvania osobných údajov, ktoré sa líšia od podmienok definovaných v článku 6 ods. 1 GDPR.

105.

Vzhľadom na predchádzajúce úvahy navrhujem Súdnemu dvoru, aby na prejudiciálne otázky, ktoré položil Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden, Nemecko), odpovedal takto: