This document is an excerpt from the EUR-Lex website
Document 62022CJ0026
Judgment of the Court (First Chamber) of 7 December 2023.#UF and AB v Land Hessen.#Requests for a preliminary ruling from the Verwaltungsgericht Wiesbaden.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 5(1)(a) – Principle of ‘lawfulness’ – Point (f) of the first subparagraph of Article 6(1) – Necessity of processing for the purposes of the legitimate interests pursued by the controller or by a third party – Article 17(1)(d) – Right to erasure where personal data have been unlawfully processed – Article 40 – Codes of conduct – Article 78(1) – Right to an effective judicial remedy against a supervisory authority – Decision taken by the supervisory authority on a complaint – Scope of judicial review of that decision – Credit information agencies – Storage of data from a public register relating to the discharge of remaining debts in favour of a person – Storage period.#Joined Cases C-26/22 and C-64/22.
Sodba Sodišča (prvi senat) z dne 7. decembra 2023.
UF in AB proti Land Hessen.
Predloga(i) za sprejetje predhodne odločbe, ki sta ju vložili Verwaltungsgericht Wiesbaden.
Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 5(1)(a) – Načelo ,zakonitosti‘ – Člen 6(1), prvi pododstavek, točka (f) – Potreba po obdelavi podatkov zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba – Člen 17(1)(d) – Pravica do izbrisa v primeru nezakonite obdelave osebnih podatkov – Člen 40 – Kodeksi ravnanja – Člen 78(1) – Pravica do učinkovitega pravnega sredstva zoper nadzorni organ – Odločitev nadzornega organa o pritožbi – Obseg sodnega nadzora nad to odločitvijo – Družbe, ki zagotavljajo poslovne informacije – Hramba podatkov, ki izvirajo iz javnega registra, o odpisu preostanka dolga posamezniku – Trajanje hrambe.
Združeni zadevi C-26/22 in C-64/22.
Sodba Sodišča (prvi senat) z dne 7. decembra 2023.
UF in AB proti Land Hessen.
Predloga(i) za sprejetje predhodne odločbe, ki sta ju vložili Verwaltungsgericht Wiesbaden.
Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 5(1)(a) – Načelo ,zakonitosti‘ – Člen 6(1), prvi pododstavek, točka (f) – Potreba po obdelavi podatkov zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba – Člen 17(1)(d) – Pravica do izbrisa v primeru nezakonite obdelave osebnih podatkov – Člen 40 – Kodeksi ravnanja – Člen 78(1) – Pravica do učinkovitega pravnega sredstva zoper nadzorni organ – Odločitev nadzornega organa o pritožbi – Obseg sodnega nadzora nad to odločitvijo – Družbe, ki zagotavljajo poslovne informacije – Hramba podatkov, ki izvirajo iz javnega registra, o odpisu preostanka dolga posamezniku – Trajanje hrambe.
Združeni zadevi C-26/22 in C-64/22.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:958
Začasna izdaja
SODBA SODIŠČA (prvi senat)
z dne 7. decembra 2023(*)
„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 5(1)(a) – Načelo ,zakonitosti‘ – Člen 6(1), prvi pododstavek, točka (f) – Potreba po obdelavi podatkov zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba – Člen 17(1)(d) – Pravica do izbrisa v primeru nezakonite obdelave osebnih podatkov – Člen 40 – Kodeksi ravnanja – Člen 78(1) – Pravica do učinkovitega pravnega sredstva zoper nadzorni organ – Odločitev nadzornega organa o pritožbi – Obseg sodnega nadzora nad to odločitvijo – Družbe, ki zagotavljajo poslovne informacije – Hramba podatkov, ki izvirajo iz javnega registra, o odpisu preostanka dolga posamezniku – Trajanje hrambe“
V združenih zadevah C‑26/22 in C‑64/22,
katerih predmet sta predloga za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ju je vložilo Verwaltungsgericht Wiesbaden (upravno sodišče v Wiesbadnu, Nemčija) z odločbama z dne 23. decembra 2021 in z dne 31. januarja 2022, ki sta na Sodišče prispeli 11. januarja 2022 in 2. februarja 2022, v postopkih
UF (C‑26/22),
AB (C‑64/22),
proti
Land Hessen,
ob udeležbi
SCHUFA Holding AG,
SODIŠČE (prvi senat),
v sestavi A. Arabadjiev, predsednik senata, T. von Danwitz, P. G. Xuereb, A. Kumin (poročevalec), sodniki, in I. Ziemele, sodnica,
generalni pravobranilec: P. Pikamäe,
sodna tajnica: K. Hötzel, administratorka,
na podlagi pisnega postopka in obravnave z dne 26. januarja 2023,
ob upoštevanju stališč, ki so jih predložili:
– za UF in AB R. Rohrmoser in S. Tintemann, Rechtsanwälte,
– za Land Hessen M. Kottmann in G. Ziegenhorn, Rechtsanwälte,
– za SCHUFA Holding AG G. Thüsing in U. Wuermeling, Rechtsanwalt,
– za nemško vlado J. Möller in P.‑L. Krüger, agenta,
– za portugalsko vlado P. Barros da Costa, M. J. Ramos in C. Vieira Guerra, agentke,
– za Evropsko komisijo A. Bouchagiar, F. Erlbacher, H. Kranenborg in W. Wils, agenti,
po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 16. marca 2023
izreka naslednjo
Sodbo
1 Predloga za sprejetje predhodne odločbe se nanašata na razlago členov 7 in 8 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina) ter člena 6(1), prvi pododstavek, točka (f), člena 17(1)(d), člena 40, člena 77(1) in člena 78(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2; v nadaljevanju: SUVP).
2 Ta predloga sta bila vložena v okviru dveh sporov med UF (zadeva C‑26/22) in AB (zadeva C‑64/22) na eni strani ter Land Hessen (zvezna dežela Hessen, Nemčija) na drugi, ker je Hessischer Beauftragter für Datenschutz und Informationsfreiheit (pooblaščenec za varstvo podatkov in svobodo obveščanja za zvezno deželo Hessen, Nemčija; v nadaljevanju: HBDI) zavrnil, da bi družbi SCHUFA Holding AG (v nadaljevanju: SCHUFA) odredil izbris podatkov, ki jih je ta družba hranila v zvezi z odpisom preostanka dolga osebama UF in AB.
Pravni okvir
Pravo Unije
Direktiva 2008/48/ES
3 V uvodnih izjavah 26 in 28 Direktive 2008/48/ES Evropskega parlamenta in Sveta z dne 23. aprila 2008 o potrošniških kreditnih pogodbah in razveljavitvi Direktive Sveta 87/102/EGS (UL 2008, L 133, str. 66) je navedeno:
„(26) […] Še zlasti na rastočem kreditnem trgu je pomembno, da se dajalci kreditov ne spuščajo v neodgovorno posojanje ali izdajanje kreditov brez poprejšnje ocene kreditne sposobnosti, države članice pa bi morale izvajati potreben nadzor, da se izogne takšnemu ravnanju, in bi morale določiti potrebne ukrepe za sankcioniranje dajalcev kredita, v kolikor bi tako ravnali. […] [D]ajalci kreditov [bi morali biti] odgovorni za individualna preverjanja kreditne sposobnosti potrošnikov. […]
[…]
(28) Pri oceni kreditnega statusa potrošnika bi moral dajalec kredita uporabljati tudi ustrezne zbirke podatkov. Zaradi pravnih in dejanskih okoliščin se te lahko uporabijo v različnem obsegu. Da bi preprečili izkrivljanje konkurence med dajalci kreditov, je treba poskrbeti, da imajo dajalci kreditov dostop do zasebnih ali javnih zbirk podatkov, ki se nanašajo na potrošnike v državi članici, v kateri nimajo sedeža, pod enakimi nediskriminatornimi pogoji kot dajalci kreditov v tej državi članici.“
4 Člen 8 te direktive, naslovljen „Obveznost ocene kreditne sposobnosti potrošnika“, v odstavku 1 določa:
„Države članice zagotovijo, da pred sklenitvijo kreditne pogodbe dajalec kredita oceni potrošnikovo kreditno sposobnost na podlagi zadostnih informacij, ki jih, kjer je to primerno, pridobi od potrošnika, in po potrebi informacij, ki jih pridobi s poizvedbo v ustrezni zbirki podatkov. Države članice, ki v okviru nacionalne zakonodaje zahtevajo, da dajalec kredita oceni potrošnikovo kreditno sposobnost na podlagi poizvedbe v ustrezni zbirki podatkov, lahko ohranijo to zahtevo.“
Direktiva 2014/17/EU
5 V uvodnih izjavah 55 in 59 Direktive 2014/17/ЕU Evropskega parlamenta in Sveta z dne 4. februarja 2014 o potrošniških kreditnih pogodbah za stanovanjske nepremičnine in spremembi direktiv 2008/48/ES in 2013/36/EU ter Uredbe (EU) št. 1093/2010 (UL 2014, L 60, str. 34) je navedeno:
„(55) Potrošnikovo sposobnost odplačevanja kredita in njegovo nagnjenost k temu je nujno treba oceniti in preveriti, preden se sklene kreditna pogodba. Pri tej oceni kreditne sposobnosti bi se morali upoštevati vsi potrebni in relevantni dejavniki, ki bi lahko vplivali na sposobnost potrošnika, da odplača kredit v času njegovega trajanja. […]
[…]
(59) Poizvedbe v zbirki podatkov o kreditih so koristen element pri ocenjevanju kreditne sposobnosti. […]“
6 Člen 18 te direktive, naslovljen „Obveznost ocene kreditne sposobnosti potrošnika“, v odstavku 1 določa:
„Države članice zagotovijo, da dajalec kredita pred sklenitvijo kreditne pogodbe opravi temeljito oceno kreditne sposobnosti potrošnika. Pri tej oceni se upoštevajo dejavniki, ki so pomembni za preverjanje verjetnosti, da bo potrošnik izpolnil obveznosti iz kreditne pogodbe.“
7 Člen 21 navedene direktive, naslovljen „Dostop do zbirke podatkov“, v odstavkih 1 in 2 določa:
„1. Vsaka država članica vsem dajalcem kreditov iz vseh držav članic zagotovi dostop do zbirk podatkov, ki se v zadevni državi članici uporabljajo, da se oceni kreditna sposobnost potrošnikov in le z namenom spremljanja njihovega izpolnjevanja kreditnih obveznosti med trajanjem kreditne pogodbe. Pogoji za takšen dostop so nediskriminatorni.
2. Odstavek 1 se uporablja za zbirke podatkov, ki jih upravljajo zasebni kreditni uradi ali agencije za poročanje o boniteti potrošnikov, in javne registre.“
Uredba (EU) 2015/848
8 V uvodni izjavi 76 Uredbe (EU) 2015/848 Evropskega parlamenta in Sveta z dne 20. maja 2015 o postopkih v primeru insolventnosti (UL 2015, L 141, str. 19) je navedeno:
„Zaradi boljšega zagotavljanja informacij zadevnim upnikom in sodiščem ter preprečevanja uvedbe vzporednih postopkov v primeru insolventnosti bi bilo treba zahtevati, da države članice v čezmejnih postopkih v primeru insolventnosti objavijo ustrezne informacije v javno dostopnem elektronskem registru. Da se upnikom in sodiščem, ki imajo stalno prebivališče oziroma se nahajajo v drugih državah članicah, omogoči dostop do teh informacij, bi v tej uredbi morali predvideti medsebojno povezavo med temi registri insolventnosti prek evropskega portala e-pravosodje. […]“
9 Člen 79 te uredbe, naslovljen „Odgovornosti držav članic v zvezi z obdelavo osebnih podatkov v nacionalnih registrih insolventnosti“, v odstavkih 4 in 5 določa:
„4. Države članice so v skladu z Direktivo [Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355)] odgovorne za zbiranje in shranjevanje podatkov v nacionalnih podatkovnih bazah in za odločitve, sprejete glede dostopnosti takšnih podatkov v medsebojno povezanem registru, do katerega se lahko dostopa prek evropskega portala e-pravosodje.
5. Države članice v okviru obveščanja, ki bi ga morale zagotoviti posameznikom, na katere se nanašajo osebni podatki, da bi jim omogočile uveljavljanje njihovih pravic, zlasti pravice do izbrisa podatkov, osebe, na katere se nanašajo podatki, obvestijo o obdobju dostopnosti, določenem za osebne podatke, shranjene v registrih insolventnosti.“
SUVP
10 V uvodnih izjavah 10, 11, 47, 50, 98, 141 in 143 SUVP je navedeno:
„(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v [Evropski u]niji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. […]
(11) Za učinkovito varstvo osebnih podatkov po vsej Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enakovredne sankcije za kršitve v državah članicah.
[…]
(47) Zakoniti interesi upravljavca, tudi upravljavca, ki se mu osebni podatki lahko razkrijejo, ali tretje osebe lahko predstavljajo pravno podlago za obdelavo, če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca. Tak zakoniti interes lahko na primer obstaja, kadar obstaja zadevno in ustrezno razmerje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, na primer kadar je tak posameznik stranka upravljavca ali dela zanj. V vsakem primeru bi bila za ugotovitev obstoja zakonitega interesa potrebna skrbna ocena, tudi glede tega, ali posameznik, na katerega se nanašajo osebni podatki, lahko v času zbiranja osebnih podatkov in v njegovem okviru razumno pričakuje, da se bodo ti obdelali v zadevni namen. Interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, bi zlasti lahko prevladali nad interesi upravljavca podatkov, kadar se osebni podatki obdelujejo v okoliščinah, ko posamezniki, na katere se nanašajo osebni podatki, razumno ne pričakujejo nadaljnje obdelave. […]
[…]
(50) Obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, bi morala biti dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani. V takšnem primeru ni potrebna ločena pravna podlaga od tiste, na podlagi katere so bili osebni podatki zbrani. […] Za ugotovitev, ali je namen nadaljnje obdelave združljiv z namenom, za katerega so bili osebni podatki prvotno zbrani, bi moral upravljavec, potem ko je izpolnil vse zahteve glede zakonitosti prvotne obdelave, med drugim upoštevati morebitno povezavo med prvotnimi nameni in nameni načrtovane nadaljnje obdelave; okoliščine, v katerih so bili osebni podatki zbrani, zlasti razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, o nadaljnji uporabi teh podatkov ob upoštevanju njihovega razmerja z upravljavcem; naravo osebnih podatkov; posledice načrtovane nadaljnje obdelave za te posameznike in obstoj ustreznih zaščitnih ukrepov, tako pri prvotnih kot načrtovanih nadaljnjih dejanjih obdelave.
[…]
(98) Združenja ali druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, bi bilo treba spodbujati, da v okviru omejitev iz te uredbe in ob upoštevanju posebnih značilnosti obdelave, ki se izvaja na nekaterih področjih, ter posebnih potreb mikro, malih in srednjih podjetij, pripravijo kodekse ravnanja za pospeševanje učinkovite uporabe te uredbe. S takimi kodeksi ravnanja bi lahko določili obveznosti upravljavcev in obdelovalcev ob upoštevanju tveganja za pravice in svoboščine posameznikov, ki bo verjetno izhajalo iz obdelave.
[…]
(141) Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da vloži pritožbo pri enem nadzornem organu, zlasti v državi članici svojega običajnega prebivališča, in pravico do učinkovitega pravnega sredstva v skladu s členom 47 Listine, kadar meni, da so njegove pravice iz te uredbe kršene, ali če nadzorni organ ne obravnava pritožbe, jo v celoti ali deloma zavrže ali zavrne ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločitev nadzornega organa predmet sodne presoje. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v ustreznem roku obvestiti o stanju zadeve in odločitvi o pritožbi. […]
[…]
(143) […] [V]saka fizična ali pravna oseba [bi morala imeti] na voljo učinkovito pravno sredstvo pred pristojnim nacionalnim sodiščem zoper odločitev nadzornega organa, ki ima pravne učinke za to osebo. Taka odločitev se nanaša zlasti na izvajanje preiskovalnih pooblastil nadzornega organa, popravljalnih pooblastil in pooblastil v zvezi z dovoljenji ali na zavržene ali zavrnjene pritožbe. Vendar pa pravica do učinkovitega pravnega sredstva ne zajema ukrepov nadzornih organov, ki niso pravno zavezujoči, kot so mnenja, ki jih izdajo nadzorni organi, ali njihovi nasveti. Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež, izvajati pa bi se morali v skladu s postopkovnim pravom te države članice. Ta sodišča bi morala izvajati polno pristojnost, ki bi morala vključevati pristojnost za preučitev vseh vprašanj, ki se nanašajo na dejstva in zakonodajo v zvezi z zadevnim sporom.
Kadar nadzorni organ zavrne ali zavrže pritožbo, lahko pritožnik sproži postopke na sodiščih v isti državi članici. V okviru pravnih sredstev, ki se nanašajo na uporabo te uredbe, lahko nacionalna sodišča, ki obravnavajo odločitev o vprašanju, potrebno za to, da lahko izrečejo sodbo, od Sodišča zahtevajo predhodno odločanje v zvezi z razlago prava Unije, vključno s to uredbo, v primeru iz člena 267 PDEU pa ga morajo zahtevati. […]“
11 Člen 5 te uredbe, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:
„1. Osebni podatki morajo biti:
(a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (,zakonitost, poštenost in preglednost‘);
[...]
(c) ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (,najmanjši obseg podatkov‘);
[…]
2. Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (,odgovornost‘).“
12 Člen 6 navedene uredbe, naslovljen „Zakonitost obdelave“, določa:
„1. Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:
[…]
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
[…]
4. Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:
(a) kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;
(b) okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;
(c) naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 9 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 10;
(d) morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;
(e) obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.“
13 Člen 17 SUVP, naslovljen „Pravica do izbrisa (,pravica do pozabe‘)“, v odstavku 1 določa:
„Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:
[…]
(c) posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);
(d) osebni podatki so bili obdelani nezakonito;
[…]“
14 Člen 21 te uredbe, naslovljen „Pravica do ugovora“, v odstavkih 1 in 2 določa:
„1. Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1), vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne [prevladujoče zakonite] razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
2. Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem.“
15 Člen 40 navedene uredbe, naslovljen „Kodeksi ravnanja“, v odstavkih 1, 2 in 5 določa:
„1. Države članice, nadzorni organi, odbor in [Evropska k]omisija spodbujajo pripravljanje kodeksov ravnanja, katerih namen je prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo ter posebnih potreb mikro, malih in srednjih podjetij.
2. Združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, lahko pripravijo kodekse ravnanja oziroma takšne kodekse spremenijo ali razširijo z namenom podrobneje obrazložiti uporabo te uredbe, kot na primer glede:
(a) poštene in pregledne obdelave;
(b) zakonitih interesov, za katere si prizadevajo upravljavci v posebnih okoliščinah;
(c) zbiranje osebnih podatkov;
[…]
5. Združenja in druga telesa iz odstavka 2 tega člena, ki nameravajo pripraviti kodeks ravnanja oziroma spremeniti ali razširiti veljaven kodeks, predložijo osnutek kodeksa, spremembo ali razširitev nadzornemu organu, pristojnemu v skladu s členom 55. Nadzorni organ poda mnenje, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo, in takšen osnutek kodeksa, spremembo ali razširitev potrdi, če oceni, da zagotavlja zadostne ustrezne zaščitne ukrepe.“
16 Člen 51 SUVP, naslovljen „Nadzorni organ“, v odstavku 1 določa:
„Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (v nadaljnjem besedilu: nadzorni organ).“
17 Člen 52 te uredbe, naslovljen „Neodvisnost“, v odstavkih 1, 2 in 4 določa:
„1. Vsak nadzorni organ pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu s to uredbo ravna popolnoma neodvisno.
2. Član oziroma člani vsakega nadzornega organa pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to uredbo niso izpostavljeni niti neposrednemu niti posrednemu zunanjemu vplivu in nikogar ne prosijo za navodila niti jih od nikogar ne sprejemajo.
[…]
4. Vsaka država članica zagotovi, da ima vsak nadzorni organi na voljo človeške, tehnične in finančne vire, prostore ter infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog in izvajanje pooblastil, tudi tistih, ki se nanašajo na medsebojno pomoč, sodelovanje in udeležbo v odboru.“
18 Člen 57 navedene uredbe, naslovljen „Naloge“, v odstavku 1 določa:
„Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:
(a) spremlja in zagotavlja uporabo te uredbe;
[…]
(f) obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 80 telo, organizacija ali združenje, v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;
[…]“
19 V členu 58 SUVP, naslovljenem „Pooblastila“, so v odstavku 1 našteta preiskovalna pooblastila, ki jih ima vsak nadzorni organ, v odstavku 2 pa popravljalni ukrepi, ki jih ta lahko sprejme.
20 Člen 77 te uredbe, naslovljen „Pravica do vložitve pritožbe pri nadzornem organu“, določa:
„1. Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.
2. Nadzorni organ, pri katerem je vložena pritožba, obvesti pritožnika o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 78.“
21 Člen 78 navedene uredbe, naslovljen „Pravica do učinkovitega pravnega sredstva zoper nadzorni organ“, v odstavkih 1 in 2 določa:
„1. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsaka fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.
2. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar nadzorni organ, ki je pristojen na podlagi členov 55 in 56, ne obravnava pritožbe ali če posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi, vloženi na podlagi člena 77.“
22 Člen 79 SUVP, naslovljen „Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca“, v odstavku 1 določa:
„Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 77, ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.“
Nemško pravo
23 Člen 9(1) Insolvenzordnung (zakonik o insolventnosti) z dne 5. oktobra 1994 (BGBl. 1994 I, str. 2866) v različici, ki se uporablja za dejansko stanje v postopku v glavni stvari, določa:
„Podatki se centralno in nacionalno javno objavijo na internetu; objavijo se lahko le izvlečki. Pri tem je treba natančno navesti dolžnika, zlasti je treba navesti njegov naslov in njegovo poslovno dejavnost. Objava se šteje za opravljeno, takoj ko pretečeta še dva dneva od datuma objave.“
24 Člen 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (uredba o objavah na internetu v postopkih zaradi insolventnosti) z dne 12. februarja 2002 (BGBl. I, str. 677, v nadaljevanju: InsoBekV) v odstavkih 1 in 2 določa:
„1. Objava podatkov iz postopka zaradi insolventnosti, vključno s podatki o začetku postopka, v elektronskem informacijskem in komunikacijskem sistemu se izbriše najpozneje šest mesecev po koncu oziroma po pravnomočnosti ustavitve postopka zaradi insolventnosti. Če se postopek ne začne, začne rok teči z razveljavitvijo objavljenih ukrepov zavarovanja.
2. Za objave v okviru postopka odpisa preostanka dolga, vključno s sklepom iz člena 289 zakona o insolventnosti, se uporablja prvi stavek odstavka 1, pri čemer začne rok teči s pravnomočnostjo odločbe o odpisu preostanka dolga.“
Spora o glavni stvari in vprašanja za predhodno odločanje
25 Osebama UF in AB je bil v okviru postopkov zaradi insolventnosti, ki sta se nanašala nanju, s sodnima sklepoma, izdanima 17. decembra 2020 oziroma 23. marca 2021, odobren predčasen odpis preostanka dolga. V skladu s členom 9(1) Insolvenzordnung ter členom 3(1) in (2) InsoBekV je bila uradna objava teh sklepov na internetu izbrisana po izteku šestmesečnega roka od izdaje navedenih sklepov.
26 Družba SCHUFA je zasebna družba, ki zagotavlja poslovne informacije in v svojih zbirkah podatkov beleži in hrani informacije iz javnih registrov, zlasti informacije o odpisu preostanka dolga. Zadnjenavedene informacije izbriše tri leta po zabeležbi v skladu s kodeksom ravnanja, ki ga je v Nemčiji pripravilo združenje družb, ki zagotavljajo poslovne informacije, in odobril pristojni nadzorni organ.
27 Osebi UF in AB sta pri družbi SCHUFA vložila zahtevek za izbris vpisov v zvezi s sklepi o odpisu preostanka njunih dolgov. Ta družba je zavrnila njuna zahtevka, potem ko je pojasnila, da njena dejavnost poteka v skladu s SUVP in da zanjo ne velja šestmesečni rok za izbris, določen v členu 3(1) InsoBekV.
28 Osebi UF in AB sta nato vložili pritožbi pri HBDI kot pristojnem nadzornem organu.
29 HBDI je z odločbama z dne 1. marca 2021 in 9. julija 2021 odločil, da je obdelava podatkov, ki jo je izvedla družba SCHUFA, zakonita.
30 Osebi UF in AB sta zoper odločbi HBDI vložili tožbi pri Verwaltungsgericht Wiesbaden (upravno sodišče v Wiesbadnu, Nemčija), ki je predložitveno sodišče. V utemeljitev teh tožb sta navedli, da je bil HBDI v okviru svojih nalog in pooblastil dolžen sprejeti ukrepe zoper družbo SCHUFA, da bi ji odredil izbris vpisov, ki se nanašajo nanju.
31 HBDI je v odgovoru na tožbo predlagal zavrnitev njunih tožb.
32 Po eni strani je HBDI trdil, da je pravica do vložitve pritožbe, določena v členu 77(1) SUVP, zasnovana le kot pravica do peticije. Sodni nadzor je naj bi bil tako omejen na preverjanje, ali je nadzorni organ obravnaval pritožbo ter pritožnika obvestil o napredku in izidu te pritožbe. Sodišče, ki odloča o sporu, pa naj ne bi bilo dolžno preverjati vsebinske pravilnosti odločbe, izdane v zvezi s pritožbo.
33 Po drugi strani je HBDI poudaril, da se podatki, do katerih imajo dostop družbe, ki zagotavljajo poslovne informacije, lahko hranijo toliko časa, kolikor je to potrebno za namene, za katere so bili shranjeni. Ker nacionalni zakonodajalec tega ni uredil, naj bi kodekse ravnanja sprejeli nadzorni organi, kodeks ravnanja, ki ga je pripravilo združenje družb, ki zagotavljajo poslovne informacije, pa naj bi določal izbris teh podatkov natanko tri leta po vpisu v zbirko podatkov.
34 V zvezi s tem predložitveno sodišče na prvem mestu meni, da je treba pojasniti pravno naravo odločbe nadzornega organa o pritožbi na podlagi člena 77(1) SUVP.
35 Navedeno sodišče zlasti dvomi o trditvah HBDI, saj naj bi se z njimi ogrozila učinkovitost pravnega sredstva iz člena 78(1) SUVP. Poleg tega naj ob upoštevanju cilja te uredbe – ki je, v okviru izvajanja členov 7 in 8 Listine, zagotoviti učinkovito varstvo temeljnih pravic in svoboščin posameznikov – členov 77 in 78 navedene uredbe ne bi bilo mogoče razlagati ozko.
36 Navedeno sodišče zagovarja razlago, po kateri mora sodišče v celoti preizkusiti meritorno odločbo nadzornega organa. Ta organ pa naj bi imel tako polje proste presoje kot tudi pravico odločanja po prostem preudarku in mora ukrepati le, če ni drugih zakonitih alternativ.
37 Na drugem mestu, predložitveno sodišče se z dveh vidikov sprašuje, ali je zakonito, da družbe, ki zagotavljajo poslovne informacije, hranijo podatke o plačilni sposobnosti posameznika, ki izvirajo iz javnih registrov, kot je register insolventnosti.
38 Prvič, obstajali naj bi dvomi o tem, ali je zakonito, da zasebna družba, kot je SCHUFA, v svojih lastnih zbirkah podatkov hrani podatke, ki so preneseni iz javnih registrov.
39 Kot prvo, ti podatki naj bi se namreč hranili brez konkretnega razloga za primer, da bi njihovi pogodbeni partnerji od njih zahtevali take informacije, in naj bi to shranjevanje na koncu vodilo do hrambe podatkov na zalogo, zlasti kadar so bili podatki v nacionalnem registru že izbrisani zaradi izteka obdobja hrambe.
40 Poleg tega naj bi bila obdelava in torej hranjenje podatkov dovoljena le, če je izpolnjen eden od pogojev iz člena 6(1) SUVP. V obravnavanem primeru naj bi bil upošteven le pogoj iz člena 6(1), prvi pododstavek, točka (f), te uredbe. Obstajal pa naj bi dvom, ali družba za zagotavljanje poslovnih informacij, kot je družba SCHUFA, sledi zakonitemu interesu v smislu te določbe.
41 Nazadnje, družba SCHUFA naj bi bila le ena od več družb, ki zagotavljajo poslovne informacije, tako da naj bi se podatki v Nemčiji hranili na več načinov, kar naj bi pomenilo velik poseg v temeljno pravico iz člena 7 Listine.
42 Drugič, tudi ob predpostavki, da je to, da zasebna družba hrani podatke iz javnih registrov, zakonito, se postavlja vprašanje, kako dolgo je mogoče hraniti podatke.
43 V zvezi s tem predložitveno sodišče meni, da bi bilo treba od teh zasebnih družb zahtevati spoštovanje šestmesečnega obdobja iz člena 3 InsoBekV glede hrambe odločb o odpisu preostanka dolga v registru insolventnosti. To pomeni, da bi bilo treba podatke, ki jih je treba izbrisati v javnem registru, istočasno izbrisati tudi pri vseh zasebnih družbah, ki zagotavljajo poslovne informacije in so hranile te podatke.
44 Poleg tega naj bi se postavljalo vprašanje, ali je treba kodeks ravnanja, odobren v skladu s členom 40 SUVP – ki določa, da se vpis odpisa preostanka dolga izbriše po treh letih – upoštevati pri tehtanju, ki ga je treba opraviti v okviru presoje na podlagi člena 6(1), prvi pododstavek, točka (f), SUVP.
45 V teh okoliščinah je Verwaltungsgericht Wiesbaden (upravno sodišče v Wiesbadnu) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:
„1. Ali je treba člen 77(1) v povezavi s členom 78(1) [SUVP] razlagati tako, da ima odločitev nadzornega organa, o kateri ta obvesti posameznika, na katerega se nanašajo osebni podatki,
– naravo odločbe o peticiji? To pomeni, da je sodni nadzor nad odločbo nadzornega organa o pritožbi v skladu s členom 78(1) [SUVP] načeloma omejen na to, ali je organ pritožbo obravnaval, ustrezno preučil predmet pritožbe in pritožnika obvestil o izidu preučitve,
ali
– pa jo je treba razumeti kot meritorno odločitev organa? To pomeni, da mora sodišče odločbo nadzornega organa o pritožbi v skladu s členom 78(1) [SUVP] v celoti vsebinsko preučiti, pri čemer lahko sodišče v posameznem primeru – na primer pri redukciji prostega preudarka na ničlo – nadzornemu organu naloži tudi konkreten ukrep v smislu člena 58 [SUVP].
2. Ali je shranjevanje podatkov pri zasebni družbi, [ki zagotavlja poslovne informacije,] v primeru osebnih podatkov iz javnega registra, kot so ,nacionalne podatkovne baze‘ v smislu člena 79(4) in (5) [Uredbe 2015/848], ki se shranjujejo brez konkretnega razloga, da bi te družbe lahko v primeru poizvedbe posredovale informacije, združljivo s členoma 7 in 8 [Listine]?
3. (a) Ali so zasebne vzporedne baze podatkov (zlasti baze podatkov družbe, [ki zagotavlja poslovne informacije]), ki so vzpostavljene poleg državnih baz podatkov in v katerih se podatki iz državnih baz podatkov (v tem primeru obvestila o postopkih zaradi insolventnosti) hranijo dlje, kot je določeno v ozkem okviru Uredbe (EU) 2015/848 v povezavi z nacionalnim pravom, načeloma zakonite?
(b) Če je odgovor na tretje vprašanje, točka (a), pritrdilen, ali pravica do pozabe iz člena 17(1)(d) [SUVP] pomeni, da je treba te podatke izbrisati, če je obdobje obdelave, določeno za javni register, poteklo?
4. Ali je treba, če se člen 6(1), prvi pododstavek, točka (f), [SUVP] upošteva kot edina pravna podlaga za hrambo podatkov pri zasebnih družbah, [ki zagotavljajo poslovne informacije,] v zvezi s podatki, ki se shranjujejo tudi v javnih registrih, pritrditi zakonitemu interesu družbe, [ki zagotavlja poslovne informacije], že če ta družba pridobiva podatke iz javne evidence brez konkretnega razloga, zato da bi bili potem ti podatki na voljo v primeru poizvedbe?
5. Ali lahko kodeks ravnanja, ki ga je potrdil nadzorni organ v skladu s členom 40 [SUVP] in določa roke za preverjanje in izbris, ki presegajo roke hrambe, ki veljajo za javni register, ne upošteva tehtanja, ki se zahteva v skladu s členom 6(1), prvi pododstavek, točka (f), [SUVP]?“
46 S sklepom predsednika Sodišča z dne 11. februarja 2022 sta bili zadevi C‑26/22 in C‑64/22 združeni za pisni in ustni del postopka ter izdajo sodbe.
Vprašanja za predhodno odločanje
Prvo vprašanje
47 Predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba člen 78(1) SUVP razlagati tako, da je sodni nadzor nad odločbo nadzornega organa o pritožbi omejen na vprašanje, ali je ta organ obravnaval pritožbo, ustrezno preiskal predmet pritožbe in pritožnika obvestil o zaključku preučitve, oziroma ali je ta odločba predmet celovitega sodnega nadzora, ki vključuje pristojnost sodišča, ki odloča o zadevi, da nadzornemu organu odredi sprejetje konkretnega ukrepa.
48 Za odgovor na to vprašanje je treba najprej opozoriti, da je treba pri razlagi določbe prava Unije upoštevati ne le njeno besedilo, ampak tudi njen kontekst ter cilje in namen, ki jim sledi akt, katerega del je ta določba (sodba z dne 22. junija 2023, Pankki S, C‑579/21, EU:C:2023:501, točka 38 in navedena sodna praksa).
49 Kar zadeva člen 78(1) SUVP, ta določba določa, da ima vsaka fizična ali pravna oseba brez poseganja v katero koli drugo upravno ali izvensodno sredstvo pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.
50 V zvezi s tem je treba najprej navesti, da so v obravnavanem primeru odločbe HBDI pravno zavezujoče odločitve v smislu tega člena 78(1). Ta organ je namreč po preučitvi utemeljenosti pritožb, ki sta mu bili predloženi, ugotovil, da je bila obdelava osebnih podatkov, ki sta jo izpodbijali tožeči stranki iz postopkov v glavni stvari, zakonita na podlagi SUVP. Pravno zavezujoča narava teh odločitev je poleg tega potrjena z uvodno izjavo 143 te uredbe, v skladu s katero je zavrnitev ali zavrženje pritožbe s strani nadzornega organa odločitev, ki ima pravne učinke za pritožnika.
51 Poudariti je treba tudi, da iz te določbe v povezavi z uvodno izjavo 141 te uredbe izrecno izhaja, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do „učinkovitega“ pravnega sredstva v skladu s členom 47 Listine.
52 Tako je Sodišče že razsodilo, da iz člena 78(1) SUVP v povezavi z uvodno izjavo 143 te uredbe izhaja, da bi morala imeti sodišča, ki odločajo o tožbi zoper odločbo nadzornega organa, neomejeno pristojnost in zlasti pristojnost za preučitev vseh dejanskih in pravnih vprašanj v zvezi z zadevnim sporom (sodba z dne 12. januarja 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, točka 41).
53 Zato člena 78(1) SUVP ni mogoče razlagati tako, da naj bi bil sodni nadzor nad odločitvijo nadzornega organa o pritožbi omejen na vprašanje, ali je ta organ pritožbo obravnaval, ustrezno preučil predmet pritožbe in pritožnika obvestil o izidu preučitve. Nasprotno, da bi bilo pravno sredstvo „učinkovito“, kot se zahteva s to določbo, mora biti taka odločitev predmet celovitega sodnega nadzora.
54 Ta razlaga je podprta s kontekstom, v katerega je umeščen člen 78(1) SUVP ter s cilji in namenom te uredbe.
55 Glede konteksta te določbe je treba poudariti, da so v skladu s členom 8(3) Listine ter členom 51(1) in členom 57(1)(a) SUVP nacionalni nadzorni organi pristojni za nadzor nad spoštovanjem pravil Unije, ki se nanašajo na varstvo posameznikov pri obdelavi osebnih podatkov (sodba z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 107).
56 Zlasti mora na podlagi člena 57(1)(f) SUVP vsak nadzorni organ na svojem ozemlju obravnavati pritožbe, ki jih lahko v skladu s členom 77(1) te uredbe vloži vsaka oseba, kadar meni, da obdelava osebnih podatkov, ki se nanašajo nanjo, pomeni kršitev navedene uredbe, in v ustreznem obsegu preučiti vsebino pritožbe. Nadzorni organ mora tako pritožbo obravnavati z vso potrebno skrbnostjo (sodba z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 109).
57 Za obravnavo vloženih pritožb daje člen 58(1) SUVP vsakemu nadzornemu organu obširna preiskovalna pooblastila. Kadar tak organ ob koncu preiskave ugotovi kršitev določb te uredbe, se mora ustrezno odzvati, da bi odpravil ugotovljeno pomanjkljivost. Za to so v členu 58(2) navedene uredbe našteti različni popravljalni ukrepi, ki jih nadzorni organ lahko sprejme (glej v tem smislu sodbo z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 111).
58 Iz tega sledi, kot je generalni pravobranilec navedel v točki 42 sklepnih predlogov, da je pritožbeni postopek, ki ni podoben postopku peticije, zasnovan kot mehanizem, ki lahko učinkovito zavaruje pravice in interese zadevnih oseb.
59 Glede na široka pooblastila, ki jih ima nadzorni organ na podlagi SUVP, pa zahteva po učinkovitem sodnem varstvu ne bi bila izpolnjena, če bi bil nad odločitvami glede izvajanja preiskovalnih pooblastil ali sprejetja popravljalnih ukrepov s strani takega nadzornega organa opravljen le omejen sodni nadzor.
60 Enako velja za odločbe o zavrženju pritožbe, saj člen 78(1) SUVP ne razlikuje glede na naravo odločitve, ki jo sprejme nadzorni organ.
61 Glede ciljev, ki jim sledi SUVP, je zlasti iz njene uvodne izjave 10 razvidno, da je njen namen zagotoviti visoko raven varstva posameznikov pri obdelavi osebnih podatkov v Uniji. V uvodni izjavi 11 te uredbe je poleg tega navedeno, da učinkovito varstvo teh podatkov zahteva okrepitev pravic posameznikov, na katere se osebni podatki nanašajo.
62 Če pa bi bilo treba člen 78(1) navedene uredbe razlagati tako, da je sodni nadzor, na katerega se ta člen nanaša, omejen na preverjanje, ali je nadzorni organ obravnaval pritožbo, ustrezno raziskal predmet pritožbe in pritožnika obvestil o ugotovitvah preučitve, bi bilo nujno ogroženo doseganje ciljev in uresničevanje namena te uredbe.
63 Poleg tega razlaga te določbe, v skladu s katero je odločitev o pritožbi, ki jo sprejme nadzorni organ, predmet celovitega sodnega nadzora, ne ogroža jamstev neodvisnosti, ki jih imajo nadzorni organi, niti pravice do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca.
64 Na prvem mestu, res je, da v skladu s členom 8(3) Listine spoštovanje pravil na področju varstva osebnih podatkov nadzira neodvisen organ. V tem kontekstu člen 52 SUVP med drugim določa, da vsak nadzorni organ pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu s to uredbo ravna popolnoma neodvisno (odstavek 1), da član oziroma člani vsakega nadzornega organa pri opravljanju svojih nalog in izvajanju pooblastil niso izpostavljeni nikakršnemu zunanjemu vplivu (odstavek 2) ter da vsaka država članica zagotovi, da ima vsak nadzorni organ na voljo potrebna sredstva za učinkovito opravljanje svojih nalog in izvajanje pooblastil (odstavek 4).
65 Vendar teh jamstev neodvisnosti nikakor ne ogroža dejstvo, da so pravno zavezujoče odločitve nadzornega organa predmet celovitega sodnega nadzora.
66 Na drugem mestu, kar zadeva pravico do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca, določeno v členu 79(1) SUVP, je treba poudariti, da se v skladu s sodno prakso Sodišča pravni sredstvi iz člena 78(1) oziroma člena 79(1) te uredbe lahko uveljavljata hkrati in neodvisno (sodba z dne 12. januarja 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, točka 35 in izrek). V tem kontekstu je Sodišče med drugim štelo, da zagotovitev več pravnih sredstev krepi cilj, naveden v uvodni izjavi 141 navedene uredbe, in sicer, da se vsakemu posamezniku, na katerega se nanašajo osebni podatki in ki meni, da so pravice, ki jih ima na podlagi te uredbe, kršene, zagotovi pravica do učinkovitega pravnega sredstva v skladu s členom 47 Listine (sodba z dne 12. januarja 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, točka 44).
67 Zato, čeprav morajo države članice v skladu z načelom procesne avtonomije določiti podrobna pravila za razmerje med temi pravnimi sredstvi (sodba z dne 12. januarja 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, točka 45 in izrek), obstoj pravice do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca iz člena 79(1) SUVP ne vpliva na obseg sodnega nadzora, ki se v okviru pravnega sredstva, vloženega na podlagi člena 78(1) te uredbe, izvaja nad odločitvijo o pritožbi, ki jo sprejme nadzorni organ.
68 Vendar je treba dodati, da – čeprav mora nadzorni organ, kot je bilo opozorjeno v točki 56 te sodbe, pritožbo obravnavati z vso potrebno skrbnostjo – ima ta organ v zvezi s popravljalnimi ukrepi, naštetimi v členu 58(2) GDPR, polje proste presoje glede izbire ustreznih in potrebnih sredstev (glej v tem smislu sodbo z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 112).
69 Čeprav mora imeti nacionalno sodišče, ki odloča o pravnem sredstvu na podlagi člena 78(1) SUVP, kot je bilo ugotovljeno v točki 52 te sodbe, polno pristojnost za preučitev vseh dejanskih in pravnih vprašanj v zvezi z zadevnim sporom, pa jamstvo učinkovitega sodnega varstva ne pomeni, da lahko presojo tega organa nadomesti s svojo presojo izbire popravljalnih ukrepov, ki so ustrezni in potrebni, ampak zahteva, da to sodišče preuči, ali je nadzorni organ spoštoval meje svojega polja proste presoje.
70 Ob upoštevanju vseh zgornjih preudarkov je treba na prvo vprašanje odgovoriti, da je treba člen 78(1) SUVP razlagati tako, da je odločitev o pritožbi, ki jo sprejme nadzorni organ, predmet celovitega sodnega nadzora.
Drugo, tretje, četrto in peto vprašanje
71 Predložitveno sodišče z drugim, tretjim, četrtim in petim vprašanjem, ki jih je treba obravnavati skupaj, v bistvu sprašuje:
– ali je treba člen 5(1)(a) SUVP v povezavi s členom 6(1), prvi pododstavek, točka (f), te uredbe razlagati tako, da nasprotuje praksi zasebnih družb, ki zagotavljajo poslovne informacije, da v lastnih zbirkah podatkov hranijo informacije iz javnega registra, ki se nanašajo na odobritev odpisa preostanka dolga fizičnim osebam, in da te informacije po treh letih izbrišejo v skladu s kodeksom ravnanja v smislu člena 40 te iste uredbe, medtem ko se te informacije v javnem registru hranijo šest mesecev, in
– ali je treba člen 17(1)(c) in (d) SUVP razlagati tako, da mora zasebna družba, ki zagotavlja poslovne informacije, povzete po informacijah o odobritvi odpisa preostanka dolga iz javnega registra, te informacije izbrisati.
Člen 5(1)(a) SUVP
72 V skladu s členom 5(1)(a) SUVP morajo biti osebni podatki v zvezi s posameznikom, na katerega se nanašajo ti podatki, obdelani zakonito, pošteno in na pregleden način.
73 V tem kontekstu člen 6(1), prvi pododstavek, te uredbe določa izčrpen in taksativen seznam primerov, v katerih je mogoče šteti, da je obdelava osebnih podatkov zakonita. Da bi se obdelava lahko štela za zakonito, mora spadati v okvir enega od primerov, opredeljenih v tej določbi (sodba z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 90 in navedena sodna praksa).
74 V obravnavanem primeru ni sporno, da je treba zakonitost obdelave osebnih podatkov iz postopkov v glavni stvari presojati zgolj z vidika člena 6(1), prvi pododstavek, točka (f), SUVP. V skladu s to določbo je obdelava osebnih podatkov zakonita le, če in kolikor je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
75 Navedena določba tako določa tri kumulativne pogoje za to, da je obdelava osebnih podatkov zakonita, in sicer, prvič, da si upravljavec ali tretja oseba, ki so ji osebni podatki posredovani, prizadeva za zakoniti interes, drugič, da je obdelava osebnih podatkov potrebna za uresničitev zakonitega interesa, ki se mu sledi, in tretjič, da ne prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanaša varstvo podatkov (sodba z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 106 in navedena sodna praksa).
76 Prvič, kar zadeva pogoj glede uresničevanja „zakonitega interesa“, je treba, ker ta pojem v SUVP ni opredeljen, poudariti, kot je generalni pravobranilec navedel v točki 61 sklepnih predlogov, da se za zakonit načeloma lahko šteje širok nabor interesov.
77 Drugič, kar zadeva pogoj v zvezi s potrebnostjo obdelave osebnih podatkov za uresničitev zakonitega interesa, za katerega se prizadeva, ta pogoj predložitvenemu sodišču nalaga, da preveri, da zakonitega interesa obdelave podatkov, ki se mu sledi, ni mogoče razumno enako učinkovito doseči z drugimi sredstvi, ki manj posegajo v temeljne svoboščine in pravice posameznikov, na katere se nanašajo osebni podatki, zlasti v pravici do spoštovanja zasebnega življenja in varstva osebnih podatkov, zagotovljeni s členoma 7 in 8 Listine (sodba z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 108 in navedena sodna praksa).
78 V tem kontekstu je treba tudi opozoriti, da je treba pogoj v zvezi s potrebnostjo obdelave preučiti skupaj z načelom „najmanjšega obsega podatkov“ iz člena 5(1)(c) SUVP, v skladu s katerim morajo biti osebni podatki „ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo“ (sodba z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 109 in navedena sodna praksa).
79 Tretjič, glede pogoja, da interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanaša varstvo podatkov, ne prevladajo nad zakonitim interesom upravljavca ali tretje osebe, je Sodišče že razsodilo, da ta pogoj zahteva tehtanje zadevnih nasprotujočih si pravic in interesov, ki je načeloma odvisno od konkretnih okoliščin posameznega primera, in da mora zato predložitveno sodišče to tehtanje opraviti ob upoštevanju teh specifičnih okoliščin (sodba z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 110 in navedena sodna praksa).
80 Poleg tega, kot je razvidno iz uvodne izjave 47 SUVP, lahko interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, zlasti prevladajo nad interesom upravljavca, kadar se osebni podatki obdelujejo v okoliščinah, v katerih posamezniki, na katere se nanašajo osebni podatki, take obdelave razumno ne pričakujejo (sodba z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 112).
81 Čeprav mora torej na koncu predložitveno sodišče presoditi, ali so v zvezi z obdelavo osebnih podatkov iz postopkov v glavni stvari izpolnjeni trije pogoji, navedeni v točki 75 te sodbe, lahko Sodišče, ki odloča o predlogu za sprejetje predhodne odločbe, poda pojasnila, ki predložitveno sodišče usmerjajo pri tej določitvi (glej v tem smislu sodbo z dne 20. oktobra 2022, Digi, C‑77/21, EU:C:2022:805, točka 39 in navedena sodna praksa).
82 V obravnavanem primeru družba SCHUFA glede uresničevanja zakonitega interesa trdi, da družbe, ki zagotavljajo poslovne informacije, obdelujejo podatke, ki so potrebni za oceno plačilne sposobnosti oseb ali podjetij, da bi te informacije lahko dale na voljo svojim pogodbenim partnerjem. Poleg tega, da naj bi ta dejavnost varovala ekonomske interese podjetij, ki želijo skleniti kreditne pogodbe, pa naj bi bila določitev kreditne sposobnosti in zagotavljanje informacij o kreditni sposobnosti podlaga za kredit in sposobnost delovanja gospodarstva. Dejavnost teh družb naj bi prispevala tudi k uresničitvi poslovnih želja posameznikov, ki se zanimajo za transakcije, povezane s posojili, saj naj bi informacije omogočale hitro in nebirokratsko preverjanje teh transakcij.
83 V zvezi s tem je treba navesti, da čeprav obdelava osebnih podatkov, kakršna je ta iz postopkov v glavni stvari, služi ekonomskim interesom družbe SCHUFA, je namen te obdelave tudi uresničevanje zakonitega interesa pogodbenih partnerjev družbe SCHUFA – ki nameravajo skleniti pogodbe v zvezi s kreditom s posamezniki, da lahko ocenijo njihovo kreditno sposobnost – in torej interesov kreditnega sektorja na socialno‑ekonomski ravni.
84 Glede potrošniških kreditnih pogodb je namreč iz člena 8 Direktive 2008/48 v povezavi z njeno uvodno izjavo 28 razvidno, da mora dajalec kredita pred sklenitvijo kreditne pogodbe oceniti potrošnikovo kreditno sposobnost na podlagi zadostne količine informacij, po potrebi vključno z informacijami iz javnih in zasebnih zbirk podatkov.
85 Poleg tega je glede potrošniških kreditnih pogodb za stanovanjske nepremičnine iz člena 18(1) in člena 21(1) Direktive 2014/17 v povezavi z uvodnima izjavama 55 in 59 te direktive razvidno, da mora dajalec kredita natančno oceniti potrošnikovo kreditno sposobnost in imeti dostop do zbirk podatkov o kreditu, pri čemer je vpogled v take zbirke podatkov koristen element za to oceno.
86 Dodati je treba, da namen obveznosti ocene kreditne sposobnosti potrošnikov, kot je določena v direktivah 2008/48 in 2014/17, ni le zaščititi prosilca kredita, ampak tudi, kot je poudarjeno v uvodni izjavi 26 Direktive 2008/48, zagotoviti pravilno delovanje celotnega kreditnega sistema.
87 Vendar je potrebno tudi, da je obdelava podatkov potrebna za uresničevanje zakonitih interesov, za katere si prizadeva upravljavec podatkov ali tretja oseba, ter da interesi ali temeljne svoboščine in pravice posameznika, na katerega se nanašajo osebni podatki, ne prevladajo nad temi zakonitimi interesi. V okviru tega tehtanja zadevnih nasprotujočih si pravic in interesov, in sicer pravic in interesov upravljavca ter vpletenih tretjih oseb na eni strani ter pravic in interesov posameznika, na katerega se nanašajo osebni podatki, na drugi strani, je treba upoštevati, kot je bilo poudarjeno v točki 80 te sodbe, zlasti razumna pričakovanja posameznika, na katerega se nanašajo osebni podatki, ter obseg zadevne obdelave in njen vpliv na tega posameznika (glej sodbo z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 116).
88 Sodišče je glede člena 6(1), prvi pododstavek, točka (f), SUVP razsodilo, da je treba to določbo razlagati tako, da se obdelava lahko šteje za potrebno za namene zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, v smislu te določbe, le če se obdelava izvaja v mejah tega, kar je nujno potrebno za uresničitev tega zakonitega interesa, in če iz tehtanja nasprotujočih si interesov glede na vse upoštevne okoliščine izhaja, da interesi ali temeljne svoboščine in pravice posameznikov, na katere se zadevna obdelava nanaša, ne prevladajo nad navedenim zakonitim interesom upravljavca ali tretje osebe (glej v tem smislu sodbi z dne 4. maja 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, točka 30, in z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 126).
89 Predložitveno sodišče se v tem kontekstu sklicuje na dva vidika obdelave osebnih podatkov iz postopkov v glavni stvari. Na prvem mestu, ta obdelava naj bi vključevala hrambo podatkov na različne načine, namreč ne le v javnem registru, ampak tudi v zbirkah podatkov družb, ki zagotavljajo poslovne informacije, pri čemer je pojasnjeno, da naj bi te družbe podatke hranile brez konkretnega razloga, da bi take informacije posredovale pogodbenim partnerjem, kadar bi ti od njih to zahtevali. Na drugem mestu, navedene družbe naj bi te podatke hranile tri leta, in sicer na podlagi kodeksa ravnanja v smislu člena 40 SUVP, medtem ko naj bi nacionalna zakonodaja za javni register določala le šestmesečno hrambo podatkov.
90 Družba SCHUFA glede prvega od teh vidikov trdi, da informacij ne bi bilo mogoče zagotoviti pravočasno, če bi družba, ki zagotavlja poslovne informacije, morala počakati na konkretno zahtevo, preden bi lahko začela zbirati podatke.
91 V zvezi s tem mora predložitveno sodišče preveriti, ali je hramba zadevnih podatkov s strani družbe SCHUFA v lastnih zbirkah podatkov omejena na to, kar je nujno potrebno za uresničitev zakonitega interesa, ki se mu sledi, čeprav je zadevne podatke mogoče pregledati v javnem registru in ne da bi podjetje v konkretnem primeru zahtevalo informacije. Če ne bi bilo tako, hrambe teh podatkov s strani družbe SCHUFA ne bi bilo mogoče šteti za nujno v obdobju, ko so navedeni podatki dani na voljo javnosti.
92 Kar zadeva obdobje hrambe podatkov, je treba ugotoviti, da se preučitvi drugega in tretjega pogoja, na katera je bilo opozorjeno v točki 75 te sodbe, prekrivata do te mere, da je za presojo vprašanja, ali v obravnavanem primeru zakonitih interesov obdelave osebnih podatkov iz postopkov v glavni stvari ni mogoče razumno doseči s krajšim obdobjem hrambe podatkov, potrebno tehtanje zadevnih nasprotujočih si pravic in interesov.
93 Glede tehtanja zakonitih interesov, ki se jim sledi, je treba poudariti, da če analiza, ki jo opravi družba, ki zagotavlja poslovne informacije, omogoča objektivno in zanesljivo oceno plačilne sposobnosti potencialnih strank pogodbenih partnerjev družbe, ki posreduje te poslovne informacije, ta analiza omogoča izravnavo razlik v informacijah in torej zmanjšanje tveganj goljufij in drugih negotovosti.
94 Kar pa zadeva pravice in interese posameznika, na katerega se nanašajo osebni podatki, obdelava podatkov – glede odpisa preostanka dolga – s strani družbe, ki zagotavlja poslovne informacije, kot so shranjevanje, analiza in posredovanje teh podatkov tretji osebi, pomeni resno poseganje v temeljne pravice posameznika, na katerega se nanašajo osebni podatki, določene v členih 7 in 8 Listine. Taki podatki se namreč uporabljajo kot negativni dejavnik pri ocenjevanju kreditne sposobnosti zadevne osebe in so torej občutljive informacije o njenem zasebnem življenju (glej v tem smislu sodbo z dne 13. maja 2014, Google Spain in Google (C‑131/12, EU:C:2014:317, točka 98). Njihova obdelava lahko znatno škodi interesom posameznika, na katerega se nanašajo osebni podatki, saj lahko to sporočilo znatno oteži izvrševanje njegovih svoboščin, zlasti kadar gre za zadovoljevanje osnovnih potreb.
95 Poleg tega, kot je poudarila Komisija, dlje kot družbe, ki zagotavljajo poslovne informacije, hranijo zadevne podatke, večje so posledice za interese in zasebnost posameznika, na katerega se nanašajo osebni podatki, in večje so zahteve glede zakonitosti hrambe teh informacij.
96 Poleg tega je treba poudariti, da je cilj javnega registra insolventnosti, kot je razvidno iz uvodne izjave 76 Uredbe 2015/848, izboljšati zagotavljanje informacij zadevnim upnikom in sodiščem. V tem kontekstu člen 79(5) te uredbe določa le, da države članice posameznike, na katere se nanašajo osebni podatki, obvestijo o obdobju, v katerem so osebni podatki, ki se hranijo v registrih insolventnosti, dostopni, ne da bi določal obdobje hrambe navedenih podatkov. Po drugi strani pa iz člena 79(4) te uredbe izhaja, da so države članice v skladu s to uredbo odgovorne za zbiranje in shranjevanje osebnih podatkov v nacionalnih zbirkah podatkov. Obdobje hrambe teh podatkov mora biti torej določeno ob spoštovanju navedene uredbe.
97 V obravnavanem primeru nemški zakonodajalec določa, da se informacije o odobritvi odpisa preostanka dolga v registru insolventnosti hranijo le šest mesecev. Nemški zakonodajalec torej šteje, da po izteku šestmesečnega roka pravice in interesi osebe, na katero se podatki nanašajo, prevladajo nad pravicami in interesi javnosti, da ima dostop do teh informacij.
98 Poleg tega, kot je generalni pravobranilec navedel v točki 75 sklepnih predlogov, je namen odpisa preostanka dolga omogočiti osebi, ki ji je bil odpis odobren, da ponovno sodeluje v gospodarskem življenju in je zato na splošno za to osebo eksistenčnega pomena. Uresničevanje tega cilja pa bi bilo ogroženo, če bi lahko družbe, ki zagotavljajo poslovne informacije, za oceno ekonomskega položaja osebe, hranile podatke o odpisu preostanka dolga in take podatke uporabile po tem, ko so bili ti izbrisani iz javnega registra insolventnosti, ker se navedeni podatki pri oceni plačilne sposobnosti take osebe vedno uporabljajo kot negativni dejavnik.
99 V teh okoliščinah interesi kreditnega sektorja, da razpolaga z informacijami o odpisu preostanka dolga, ne morejo upravičiti obdelave osebnih podatkov, kakršna je ta iz postopkov v glavni stvari, po izteku obdobja hrambe podatkov v javnem registru insolventnosti, tako da hramba teh podatkov s strani družbe, ki zagotavlja poslovne informacije, ne more temeljiti na členu 6(1), prvi pododstavek, točka (f), SUVP, kar zadeva obdobje po izbrisu navedenih podatkov iz javnega registra insolventnosti.
100 Glede šestmesečnega obdobja, v katerem so zadevni podatki na voljo tudi v tem javnem registru, je treba poudariti, da čeprav se lahko učinki vzporedne hrambe teh podatkov v zbirkah podatkov teh družb štejejo za manj resne kot po preteku šestih mesecev, takšna hramba kljub temu pomeni poseg v pravice iz členov 7 in 8 Listine. Glede tega je Sodišče že razsodilo, da prisotnost istih osebnih podatkov v več virih krepi poseganje v pravico posameznika do zasebnosti (glej sodbo z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točki 86 in 87). Predložitveno sodišče mora pretehtati zadevne interese in vplive na posameznika, na katerega se nanašajo osebni podatki, da bi ugotovilo, ali je mogoče šteti, da je vzporedna hramba teh podatkov s strani zasebnih družb, ki zagotavljajo poslovne informacije, omejena na to, kar je nujno potrebno, kot to zahteva sodna praksa Sodišča, navedena v točki 88 te sodbe.
101 Nazadnje, glede obstoja kodeksa ravnanja – kot v obravnavanem primeru – ki določa, da mora družba, ki zagotavlja poslovne informacije, po treh letih izbrisati podatke o odpisu preostanka dolga, je treba spomniti, da je v skladu s členom 40(1) in (2) SUVP namen kodeksov ravnanja prispevati k pravilni uporabi te uredbe ob upoštevanju posebnosti različnih sektorjev obdelave ter posebnih potreb mikro, malih in srednjih podjetij. Tako lahko združenja in drugi organi, ki zastopajo kategorije upravljavcev ali obdelovalcev, pripravijo, spremenijo ali razširijo kodekse ravnanja, da se določijo podrobna pravila za uporabo navedene uredbe, kot so poštena in pregledna obdelava, zakoniti interesi, za katere si prizadevajo upravljavci v posebnih okoliščinah, in zbiranje osebnih podatkov.
102 Poleg tega se v skladu s členom 40(5) SUVP osnutek kodeksa predloži pristojnemu nadzornemu organu, ki ga odobri, če meni, da zagotavlja ustrezne zaščitne ukrepe.
103 V obravnavanem primeru je kodeks ravnanja iz postopkov v glavni stvari pripravilo združenje nemških družb, ki zagotavljajo poslovne informacije, odobril pa ga je pristojni nadzorni organ.
104 Vendar, čeprav je v skladu s členom 40(1) in (2) SUVP kodeks ravnanja namenjen prispevanju k pravilni uporabi te uredbe in določitvi podrobnih pravil za njeno izvajanje, ostaja dejstvo – kot je generalni pravobranilec navedel v točkah 103 in 104 sklepnih predlogov – da se pogoji za zakonitost obdelave osebnih podatkov, določeni s takim kodeksom, ne smejo razlikovati od pogojev iz člena 6(1) SUVP.
105 Tako kodeksa ravnanja, ki vodi k presoji, drugačni od tiste, ki je podana na podlagi člena 6(1), prvi pododstavek, točka (f), SUVP, ni mogoče upoštevati pri tehtanju, opravljenem na podlagi te določbe.
Člen 17 SUVP
106 Nazadnje, predložitveno sodišče se v bistvu sprašuje o obveznostih družbe, ki zagotavlja poslovne informacije, na podlagi člena 17 SUVP.
107 V zvezi s tem je treba opozoriti, da ima posameznik, na katerega se nanašajo osebni podatki, v skladu s členom 17(1)(d) SUVP, na katerega se sklicuje predložitveno sodišče, pravico zahtevati od upravljavca, da brez nepotrebnega odlašanja izbriše osebne podatke, ki se nanašajo nanj, upravljavec pa mora te osebne podatke čim prej izbrisati, če so bili osebni podatki obdelani nezakonito.
108 Zato bi v skladu z jasnim besedilom te določbe – če bi predložitveno sodišče po presoji zakonitosti obdelave osebnih podatkov iz postopkov v glavni stvari ugotovilo, da ta obdelava ni zakonita – upravljavec, v obravnavanem primeru družba SCHUFA, moral zadevne podatke čim prej izbrisati. V skladu s tem, kar je bilo ugotovljeno v točki 99 te sodbe, bi to veljalo za obdelavo zadevnih osebnih podatkov, opravljeno po izteku šestmesečnega obdobja hrambe podatkov v javnem registru insolventnosti.
109 Če bi predložitveno sodišče glede obdelave, opravljene v šestmesečnem obdobju, v katerem so podatki na voljo v javnem registru insolventnosti, ugotovilo, da je obdelava v skladu s členom 6(1), prvi pododstavek, točka (f), SUVP, bi se uporabil člen 17(1)(c) te uredbe.
110 Ta določba določa pravico do izbrisa osebnih podatkov, kadar posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1) SUVP in kadar ni „nujnih legitimnih [prevladujočih zakonitih] razlogov za obdelavo“. Na podlagi te zadnjenavedene določbe ima posameznik, na katerega se nanašajo osebni podatki, pravico, da na podlagi razlogov, povezanih z njegovim posebnim položajem, kadar koli ugovarja obdelavi osebnih podatkov, ki se nanj nanašajo, na podlagi člena 6(1), prvi pododstavek, točki (e) ali (f), SUVP. Upravljavec preneha obdelovati osebne podatke, razen če dokaže prevladujoče zakonite razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
111 Iz povezane razlage teh določb izhaja, kot je generalni pravobranilec navedel v točki 93 sklepnih predlogov, da ima posameznik, na katerega se nanašajo osebni podatki, pravico ugovarjati obdelavi in pravico do izbrisa, razen če obstajajo prevladujoči zakoniti razlogi, ki prevladajo nad interesi ter pravicami in svoboščinami tega posameznika v smislu člena 21(1) SUVP, kar mora dokazati upravljavec.
112 Če torej upravljavcu tega ne uspe dokazati, ima posameznik, na katerega se nanašajo osebni podatki, pravico zahtevati izbris teh podatkov na podlagi člena 17(1)(c) SUVP, kadar obdelavi ugovarja v skladu s členom 21(1) te uredbe. Predložitveno sodišče mora preveriti, ali izjemoma obstajajo prevladujoči zakoniti razlogi, ki upravičujejo zadevno obdelavo.
113 Ob upoštevanju vseh zgornjih preudarkov je treba na drugo, tretje, četrto in peto vprašanje odgovoriti tako:
– člen 5(1)(a) SUVP v povezavi s členom 6(1), prvi pododstavek, točka (f), te uredbe je treba razlagati tako, da nasprotuje praksi zasebnih družb, ki zagotavljajo poslovne informacije, da v svojih zbirkah podatkov hranijo informacije iz javnega registra glede odobritve odpisa preostanka dolga fizičnim osebam, da bi lahko zagotovile informacije o plačilni sposobnosti teh oseb, za obdobje, ki presega obdobje, v katerem se podatki hranijo v javnem registru;
– člen 17(1)(c) SUVP je treba razlagati tako, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar obdelavi ugovarja v skladu s členom 21(1) te uredbe in če ne obstajajo prevladujoči zakoniti razlogi, ki bi izjemoma upravičevali zadevno obdelavo;
– člen 17(1)(d) SUVP je treba razlagati tako, da mora upravljavec brez nepotrebnega odlašanja izbrisati nezakonito obdelane osebne podatke.
Stroški
114 Ker je ta postopek za stranke v postopkih v glavni stvari ena od stopenj v postopkih pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.
Iz teh razlogov je Sodišče (prvi senat) razsodilo:
1. Člen 78(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)
je treba razlagati tako, da
je odločitev o pritožbi, ki jo sprejme nadzorni organ, predmet celovitega sodnega nadzora.
2. Člen 5(1)(a) Uredbe 2016/679 v povezavi s členom 6(1), prvi pododstavek, točka (f), te uredbe
je treba razlagati tako, da
nasprotuje praksi zasebnih družb, ki zagotavljajo poslovne informacije, da v svojih zbirkah podatkov hranijo informacije iz javnega registra glede odobritve odpisa preostanka dolga fizičnim osebam, da bi lahko zagotovile informacije o plačilni sposobnosti teh oseb, za obdobje, ki presega obdobje, v katerem se podatki hranijo v javnem registru.
3. Člen 17(1)(c) Uredbe 2016/679
je treba razlagati tako, da
ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar obdelavi ugovarja v skladu s členom 21(1) te uredbe in če ne obstajajo prevladujoči zakoniti razlogi, ki bi izjemoma upravičevali zadevno obdelavo.
4. Člen 17(1)(d) Uredbe 2016/679
je treba razlagati tako, da
mora upravljavec brez nepotrebnega odlašanja izbrisati nezakonito obdelane osebne podatke.
Podpisi
* Jezik postopka: nemščina.