1.

Ta predlog za sprejetje predhodne odločbe, ki ga je Verwaltungsgericht Wiesbaden (upravno sodišče v Wiesbadnu, Nemčija) vložilo na podlagi člena 267 PDEU, se nanaša na razlago člena 6(1) in člena 22(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) ( 2 ) (v nadaljevanju: SUVP).

2.

Predlog je bil vložen v okviru spora med tožečo stranko, OQ, fizično osebo, in Land Hessen (zvezna dežela Hessen, Nemčija), ki jo zastopa Hessischer Beauftragter für Datenschutz und Informationsfreiheit (hessenski pooblaščenec za varstvo podatkov in svobodo obveščanja, v nadaljevanju: HBDI), v zvezi z varstvom osebnih podatkov. Družba SCHUFA Holding AG (v nadaljevanju: družba SCHUFA), zasebna agencija, podpira HBDI kot intervenientka. Družba SCHUFA je v okviru svoje gospodarske dejavnosti zagotavljanja informacij strankam o plačilni sposobnosti tretjih oseb kreditni instituciji posredovala vrednost kreditnega točkovanja v zvezi s tožečo stranko, ki je služila kot podlaga za zavrnitev odobritve posojila, za katero je zaprosila zadnjenavedena. Tožeča stranka je družbo SCHUFA pozvala, naj izbriše s tem povezani zapis in ji omogoči dostop do zadevnih podatkov, vendar ji je zadnjenavedena sporočila le ustrezno vrednost kreditnega točkovanja in splošna načela, na katerih temelji metoda za izračun vrednosti kreditnega točkovanja, ne pa kateri konkretni podatki se upoštevajo pri tem izračunu in kakšen pomen jim je v tem okviru pripisan, pri čemer je trdila, da je metoda za izračun poslovna skrivnost.

3.

Ker tožeča stranka zatrjuje, da je zavrnitev njene zahteve s strani družbe SCHUFA v nasprotju z ureditvijo varstva podatkov, se bo moralo Sodišče izreči o omejitvah, ki jih za gospodarsko dejavnost agencij za informacije v finančnem sektorju določa SUVP, zlasti na področju upravljanja podatkov, in vplivu, ki ga je treba priznati poslovni skrivnosti. Sodišče bo obenem moralo pojasniti obseg regulativnih pristojnosti, ki so z nekaterimi določbami SUVP podeljene nacionalnemu zakonodajalcu z odstopanjem od splošnega cilja harmonizacije, ki se uresničuje s tem pravnim aktom.

4.

Člen 4, točka 4, SUVP določa:

„V tej uredbi:

[…]

5.

Člen 6 SUVP, naslovljen „Zakonitost obdelave“, določa:

„1.   Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

2.   Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX.

3.   Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:

Namen obdelave se določi v navedeni pravni podlagi ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz te uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot tiste za druge posebne primere obdelave iz poglavja IX. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.

4.   Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, kar predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

6.

Člen 15 SUVP, naslovljen „Pravica dostopa posameznika, na katerega se nanašajo osebni podatki“, določa:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

[…]

[…]“

7.

Člen 21 SUVP, naslovljen „Pravica do ugovora“, določa:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1), vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

[…]“

8.

Člen 22 SUVP, naslovljen „Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilov“, določa:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva.

2.   Odstavek 1 se ne uporablja, če je odločitev:

3.   V primerih, navedenih v točkah (a) in (c) odstavka 2, upravljavec podatkov izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.

4.   Odločitve iz odstavka 2 ne temeljijo na posebnih vrstah osebnih podatkov iz člena 9(1), razen če se uporablja točka (a) ali (g) člena 9(2) in se izvajajo ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.“

9.

Člen 31 Bundesdatenschutzgesetz (zvezni zakon o varstvu podatkov) z dne 30. junija 2017, ( 3 ) kakor je bil spremenjen z zakonom z dne 20. novembra 2019 ( 4 ) (v nadaljevanju: BDSG), naslovljen „Varstvo gospodarskega prometa v primeru kreditnega točkovanja in bonitetnih informacij“, določa:

„(1)   Uporaba verjetnostne ocene določenega prihodnjega vedenja fizične osebe za odločitev o vzpostavitvi, izvršitvi ali prenehanju pogodbenega razmerja s to osebo (kreditno točkovanje) je dovoljena le, če:

(2)   Uporaba verjetnostne ocene o plačilni sposobnosti fizične osebe in njeni pripravljenosti plačati, ki jo je ugotovila agencija za kreditne informacije, je v primeru vključitve informacij o terjatvah dovoljena le, če so izpolnjeni pogoji iz odstavka 1 in se v zvezi z dolgovano obveznostjo, ki kljub zapadlosti ni bila izpolnjena, upoštevajo le take terjatve,

Navedeno ne vpliva na dopustnost obdelave, vključno z ugotavljanjem verjetnostnih ocen, drugih podatkov, ki so pomembni za boniteto, v skladu s splošnim pravom o varstvu podatkov.“

10.

Iz predložitvene odločbe je razvidno, da tožeča stranka v postopku v glavni stvari ni dobila posojila zaradi ocene plačilne sposobnosti, ki jo je opravila družba SCHUFA. Zadnjenavedena je agencija zasebnega prava za kreditne informacije, ki svojim strankam zagotavlja informacije o plačilni sposobnosti potrošnikov. Družba SCHUFA za to opravlja ocene plačilne sposobnosti, za katere na podlagi nekaterih značilnosti posameznika in s pomočjo matematično‑statistične metode predvidi verjetnost prihodnjega vedenja, kot je vračilo posojila.

11.

Tožeča stranka je od družbe SCHUFA zahtevala, naj izbriše netočne podatke v zvezi z njo in ji omogoči dostop do shranjenih podatkov, ki se nanašajo nanjo. Družba SCHUFA je tožeči stranki med drugim posredovala vrednost kreditnega točkovanja, ki je bila izračunana v zvezi z njo, in načelni način delovanja svojega izračuna, ni je pa seznanila s težo posameznih podatkov v izračunu. Družba SCHUFA meni, da ni dolžna razkriti svojih metod izračuna, ker so ti poklicna in poslovna skrivnost. Poleg tega meni, da informacije zagotavlja le svojim strankam, ki sprejemajo dejanske odločitve v zvezi s posojilnimi pogodbami.

12.

Tožeča stranka je pri toženi stranki, nadzorniku za varstvo podatkov, vložila pritožbo v zvezi s poročilom družbe SCHUFA, v kateri je od tožene stranke zahtevala, naj tej družbi odredi, naj posreduje in izbriše informacije v skladu z njeno zahtevo. HBDI je v odločbi, izdani v zvezi s to pritožbo, menil, da nadaljnje ukrepanje zoper navedeno družbo ni potrebno, ker ta spoštuje zahteve, ki so določene z nemškim zveznim zakonom o varstvu podatkov.

13.

Predložitveno sodišče odloča o tožbi, ki jo je tožeča stranka vložila zoper odločbo tožene stranke. Meni, da je za odločitev v postopku v glavni stvari bistveno ugotoviti, ali dejavnost ponudnikov storitev zagotavljanja kreditnih informacij, v okviru katere ti določijo vrednosti kreditnega točkovanja v zvezi s posamezniki in jih brez nadaljnjega priporočila ali komentarja posredujejo tretjim osebam, spada na področje uporabe člena 22(1) SUVP.

14.

Verwaltungsgericht Wiesbaden (upravno sodišče v Wiesbadnu) je prekinilo odločanje in Sodišču v predhodno odločanje predložilo ti vprašanji:

15.

Predložitvena odločba z dne 1. oktobra 2021 je v sodno tajništvo Sodišča prispela 15. oktobra 2021.

16.

Stranki v postopku v glavni stvari, družba SCHUFA, danska, portugalska in finska vlada ter Evropska komisija so pisna stališča predložile v roku, določenem v členu 23 Statuta Sodišča Evropske unije.

17.

Zastopniki ad litem strank iz postopka v glavni stvari in družbe SCHUFA ter agenti nemške in finske vlade ter Komisije so na obravnavi 26. januarja 2023 ustno predstavili stališča.

18.

Medsebojno zaupanje je osnova vsakega pogodbenega razmerja v tržnem gospodarstvu, zato je s podjetniškega vidika načeloma razumljivo, da želijo ponudniki storitev in blaga poznati svoje kupce in tveganja, ki so povezana s takim pogodbenim razmerjem. Agencije za kreditne informacije lahko pripomorejo h krepitvi tega medsebojnega zaupanja s statističnimi metodami, ki podjetjem omogočajo, da ugotovijo, ali so v obravnavanem primeru izpolnjena nekatera upoštevna merila, vključno s plačilno sposobnostjo njihovih kupcev. Tako podjetjem pomagajo, da ravnajo v skladu z različnimi določbami prava Unije, s katerim jim je za nekatere kategorije pogodb, med drugim posojilne, naložena ravno taka obveznost. ( 5 ) Nekatere od uporabljenih metod lahko temeljijo na osebnih podatkih kupcev, ki se zbirajo in obdelujejo avtomatizirano s pomočjo informacijske tehnologije. Temu interesu nasprotuje interes oseb, na katere se nanašajo osebni podatki, da poznajo način, kako se ti podatki upravljajo in shranjujejo, ter metode, ki jih podjetja uporabljajo za sprejemanje odločitev v zvezi s svojimi kupci.

19.

S SUVP, ki se uporablja od 25. maja 2018, je bil vzpostavljen pravni okvir, namenjen temu, da se v celotni Uniji upoštevajo zgoraj navedeni interesi, pri čemer so bile zlasti določene nekatere omejitve v zvezi z obdelavo osebnih podatkov. Tako se v zvezi z avtomatizirano obdelavo uporabljajo posebne omejitve, ki imajo lahko pravne učinke v zvezi s fizično osebo ali nanjo znatno vplivajo. Te omejitve so upravičene v okviru oblikovanja profilov, to je ocenjevanja osebnih vidikov, katerega namen je analiza ali predvidevanje ekonomskega položaja, zanesljivosti ali vedenja fizične osebe. Naj v tem okviru navedem omejitve iz člena 22 SUVP, ki so upoštevne v obravnavani zadevi in katerih cilj je zaščititi človeško dostojanstvo, tako da preprečujejo, da bi za posameznika, na katerega se nanašajo osebni podatki, veljala odločitev, ki temelji zgolj na avtomatizirani obdelavi brez kakršnega koli človekovega posredovanja, s katerim bi bilo mogoče po potrebi preveriti, ali je bila ta odločitev sprejeta na pravilen, pravičen in nediskriminatoren način. ( 6 ) Človekovo posredovanje, ki ga je treba predvideti v okviru tovrstne avtomatizirane obdelave podatkov, zagotavlja, da ima posameznik, na katerega se nanašajo osebni podatki, možnost izraziti svoje stališče, dobiti pojasnilo o odločitvi, ki je bila sprejeta po takem ocenjevanju, in jo izpodbijati, če se z njo ne strinja. Prav obseg omejitev iz člena 22 SUVP je predmet prvega vprašanja za predhodno odločanje.

20.

Čeprav je bil s SUVP vzpostavljen celovit regulativni okvir za varstvo osebnih podatkov, ki je načeloma popoln, je treba vseeno poudariti, da nekatere določbe državam članicam dajejo možnost, da določijo dodatna, strožja ali odstopajoča nacionalna pravila, ki jim puščajo polje proste presoje glede načina, kako se te določbe lahko izvajajo („pomensko odprte določbe“), če ta pravila ne posegajo v vsebino in cilje SUVP. ( 7 ) Obseg te preostale regulativne pristojnosti držav članic je bistvo drugega vprašanja za predhodno odločanje, ki ga je treba preučiti v teh sklepnih predlogih.

21.

HBDI in družba SCHUFA izpodbijata dopustnost predloga za sprejetje predhodne odločbe. Družba SCHUFA v zvezi s tem trdi, da predlog ni potreben za rešitev spora niti ni dovolj obrazložen; poleg tega pa naj bi omogočil vložitev še enega pravnega sredstva in bil v nasprotju z drugimi predlogi za sprejetje predhodne odločbe, ki jih je vložilo in nato umaknilo isto predložitveno sodišče.

22.

Najprej je treba opozoriti, da je v skladu z ustaljeno sodno prakso Sodišča v okviru sodelovanja med Sodiščem in nacionalnimi sodišči, ki ga določa člen 267 PDEU, le nacionalno sodišče, ki odloča o sporu in ki mora prevzeti odgovornost za sodno odločitev, pristojno, da ob upoštevanju posebnosti zadeve presodi tako potrebo po izdaji predhodne odločbe, da bi lahko izdalo sodbo, kot tudi upoštevnost vprašanj, ki jih predloži Sodišču. Zato je Sodišče načeloma zavezano odločiti, če se predložena vprašanja nanašajo na razlago ali veljavnost pravila prava Unije. Iz tega sledi, da za vprašanja, ki se nanašajo na pravo Unije, velja domneva upoštevnosti. Sodišče lahko zavrne odgovor na vprašanje za predhodno odločanje, ki ga je postavilo nacionalno sodišče, le, če je očitno, da zahtevana razlaga ali presoja veljavnosti pravila Unije nima nikakršne zveze z dejanskim stanjem ali predmetom spora o glavni stvari, če je problem hipotetičen ali če Sodišče nima na voljo pravnih in dejanskih elementov, ki jih potrebuje, da bi lahko na postavljena vprašanja dalo koristne odgovore. ( 8 )

23.

Ti pogoji v obravnavani zadevi niso izpolnjeni, saj je iz točke 40 predložitvene odločbe jasno razvidno, da je izid postopka odvisen od odgovora na prvo vprašanje za predhodno odločanje. Predložitveno sodišče pojasnjuje, da če bi bilo treba člen 22(1) SUVP razlagati tako, da pomeni določitev vrednosti kreditnega točkovanja s strani agencije za kreditne informacije samostojno odločitev v smislu člena 22(1) te uredbe, bi za to agencijo – njeno temeljno dejavnost – veljala prepoved avtomatiziranega sprejemanja posameznih odločitev. Zato naj bi morale imeti države članice pravno podlago v smislu člena 22(2)(b) SUVP, pri čemer naj bi bila edina upoštevna člen 31 BDSG. Predložitveno sodišče pa resno dvomi o združljivosti te nacionalne določbe s členom 22(1) SUVP. Po mnenju predložitvenega sodišča naj družba SCHUFA ne bi ravnala le brez pravne podlage, ampak naj bi tudi kršila prepoved iz zadnjenavedene določbe. Posledično naj bi imela tožeča stranka pravico, da HBDI kot nadzorni organ dalje obravnava njen primer. Jasno je torej, da je odgovor na vprašanji, ki ju je postavilo predložitveno sodišče, odločilen za rešitev spora.

24.

Družba SCHUFA trdi še, da predlog za sprejetje predhodne odločbe ni dopusten, ker naj bi bila tožeča stranka že seznanjena z logiko kreditnega točkovanja. Vendar je iz predložitvene odločbe razvidno, da je tožeča stranka želela biti čim bolj podrobno obveščena o vseh zbranih podatkih in metodi, ki je bila uporabljena za določitev vrednosti kreditnega točkovanja. Ker je družba SCHUFA tožečo stranko v grobem seznanila z načeli delovanja svojega izračuna vrednosti kreditnega točkovanja, ni je pa obvestila o tem, katere posamične informacije in s kakšno težo so bile upoštevane v izračunu, je očitno, da družba SCHUFA te zahteve po informacijah ni izpolnila. Zato ima tožeča stranka pravni interes, da se s predhodno odločbo ugotovijo pravice, ki jih mora agencija za kreditne informacije, kot je družba SCHUFA, zagotoviti posamezniku, na katerega se nanašajo osebni podatki.

25.

V zvezi z domnevnim tveganjem, da se posamezniku, na katerega se nanašajo osebni podatki, omogoči vložitev še enega pravnega sredstva, je treba navesti, da v nasprotju s tem, kar trdi družba SCHUFA v svojem stališču, dejstvo, da je tožeča stranka pravno sredstvo najprej vložila pri splošnem sodišču in nato še pri predložitvenem upravnem sodišču, ni ovira za dopustnost predloga za sprejetje predhodne odločbe. Tožeča stranka je s svojima tožbama uveljavila pravni sredstvi iz členov 78 in 79 SUVP, to je določb, s katerima je zagotovljena pravica do učinkovitega pravnega sredstva zoper nadzorni organ oziroma upravljavca. Ker ti pravni sredstvi obstajata avtonomno, ne da bi bilo eno podrejeno drugemu, ju je mogoče uveljaviti vzporedno. ( 9 ) Tožeči stranki torej ni mogoče očitati nobene nepravilnosti pri uveljavljanju njenih pravic, ki so zaščitene s SUPV.

26.

Poleg tega je treba opozoriti, da je treba v skladu z ustaljeno sodno prakso Sodišča ob neobstoju pravil Unije na zadevnem področju v nacionalnem pravnem redu vsake države članice določiti pristojna sodišča in postopkovna pravila za pravna sredstva, katerih namen je varstvo pravic, ki za posameznike izhajajo iz prava Unije. ( 10 ) Zato ni nobenega objektivnega razloga, da bi se dvomilo o ureditvi pravnih sredstev države članice, razen če ne bi bila ogrožena učinkovitost prava Unije, na primer če bi bila nacionalnim sodiščem odvzeta možnost ali bi bila oproščena dolžnosti iz člena 267 PDEU, da Sodišču predložijo vprašanja glede razlage ali veljavnosti prava Unije.

27.

V obravnavani zadevi nič ne kaže na to, da obstoj dveh pravnih sredstev, ki omogočata učinkovito pravno sredstvo zoper nadzorni organ oziroma upravljavca podatkov, ogroža učinkovitost prava Unije ali nacionalnim sodiščem odvzema možnost, da uporabijo postopek iz člena 267 PDEU. Nasprotno, kot sem že pojasnil, je v skladu s členoma 78 in 79 SUVP jasno, da SUVP ne nasprotuje taki ureditvi pravnih sredstev, ampak namesto tega, v skladu z načelom procesne avtonomije, odgovornost za določitev pristojnih sodišč in postopkovnih pravil za pravna sredstva prepušča državi članici. Sodišče je to priznalo v nedavni sodni praksi. ( 11 )

28.

Nazadnje je treba ugotoviti, da družba SCHUFA samo graja pravna sredstva, ki so na voljo na podlagi nemškega prava, pri čemer pa ne pojasni natančno, zakaj sodba, ki bi jo Sodišče izdalo v tem postopku predhodnega odločanja, ne bi bila koristna za rešitev spora. Kot pa navaja predložitveno sodišče, bi tožena stranka s pomočjo razlage člena 22(1) SUVP, ki bi jo podalo Sodišče, lahko svoja pooblastila za nadzor nad družbo SCHUFA izvrševala na način, ki je v skladu s pravom Unije. Zato se mi zdi, da trditve družbe SCHUFA, s katerimi izpodbija dopustnost predloga za sprejetje predhodne odločbe, niso utemeljene.

29.

Te ugotovitve načeloma zadostujejo za zavrnitev trditev družbe SCHUFA. Vseeno pa se mi zdi, da je treba za boljše razumevanje obravnavane zadeve obravnavati trditev, ki se nanaša na domnevni neobstoj obrazložitve predloga za sprejetje predhodne odločbe. V nasprotju s trditvami družbe SCHUFA so v predložitveni odločbi dovolj podrobno predstavljena vprašanja, ki se postavljajo v obravnavani zadevi, da so izpolnjene zahteve iz člena 94(c) Poslovnika Sodišča. Natančneje, predložitveno sodišče pojasnjuje, da želi tožeča stranka uveljavljati svoje pravice zoper družbo SCHUFA. Po navedbah predložitvenega sodišča ji člen 22(1) SUVP, če se ne razlaga ozko, načeloma lahko zagotavlja varstvo pri avtomatizirani obdelavi osebnih podatkov.

30.

Predložitveno sodišče meni, da je glede na pomen, ki ga nekatera podjetja pripisujejo vrednosti kreditnega točkovanja za prognostično oceno ekonomskega položaja fizične osebe, mogoče to vrednost kreditnega točkovanja, ki jo določijo agencije za kreditne informacije, šteti za samostojno „odločitev“ v smislu zgoraj navedene določbe. Razlaga v tem smislu naj bi bila potrebna za zapolnitev pravne praznine, ki naj bi izhajala iz tega, da posameznik, na katerega se nanašajo osebni podatki, sicer ne bi mogel dobiti potrebnih informacij na podlagi člena 15(1)(h) SUVP. Glede na to podrobno obrazložitev menim, da je treba trditve družbe SCHUFA zavrniti in ugotoviti dopustnost predloga za sprejetje predhodne odločbe.

31.

Člen 22(1) SUVP je poseben v primerjavi z drugimi omejitvami obdelave podatkov iz te uredbe, ker določa „pravico“ posameznika, na katerega se nanašajo osebni podatki, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov. Kljub terminologiji, ki se uporablja, se za uporabo člena 22(1) SUVP ne zahteva, da se posameznik, na katerega se nanašajo osebni podatki, dejavno sklicuje na pravico. Namesto tega je na podlagi razlage v povezavi z uvodno izjavo 71 te uredbe in ob upoštevanju sistematike te določbe, zlasti odstavka 2, v katerem so navedeni primeri, v katerih je taka avtomatizirana obdelava izjemoma dovoljena, namreč mogoče ugotoviti, da navedena določba določa splošno prepoved odločitev, kakršne so opisane zgoraj. Ob tem je treba poudariti, da se ta prepoved uporablja samo v zelo posebnih okoliščinah, in sicer konkretno za odločitve, „ki ima[jo] pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva[jo]“.

32.

Predložitveno sodišče s prvim vprašanjem sprašuje, ali izračun vrednosti kreditnega točkovanja, ki ga opravi agencija za kreditne informacije, spada na področje uporabe člena 22(1) SUVP, če je dobljena vrednost kreditnega točkovanja posredovana podjetju, za katero je odločilna pri sprejetju odločitve v zvezi z vzpostavitvijo, izvršitvijo ali prenehanjem pogodbenega razmerja s posameznikom, na katerega se nanašajo osebni podatki. Drugače povedano, izvedeti želi, ali se ta določba uporablja za agencije za kreditne informacije, ki dajejo vrednosti kreditnega točkovanja na razpolago finančnim podjetjem. Za preučitev tega vprašanja bo treba ugotoviti, ali so v obravnavani zadevi izpolnjeni pogoji iz člena 22(1) SUVP.

33.

Za uporabo te določbe je najprej potreben obstoj avtomatizirane obdelave osebnih podatkov, saj se glede na njeno besedilo „oblikovanje profilov“ šteje za podkategorijo. ( 12 ) V zvezi s tem je treba navesti, da je kreditno točkovanje, ki ga izvaja družba SCHUFA, zajeto s pravno opredelitvijo iz člena 4, točka 4, SUVP glede na to, da ta postopek vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posamezniki za analizo ali predvidevanje njihovega ekonomskega položaja, zanesljivosti in verjetnega vedenja. Iz spisa v zadevi je namreč razvidno, da se z metodo, ki jo uporablja družba SCHUFA, na osnovi nekaterih meril dobi „vrednost kreditnega točkovanja“, to je rezultat, na podlagi katerega je mogoče sklepati o plačilni sposobnosti posameznika, na katerega se nanašajo osebni podatki. Skratka, poudariti želim, da nobena od zadevnih strank ne izpodbija opredelitve zadevnega postopka kot „oblikovanje profilov“, tako da je v obravnavani zadevi mogoče šteti, da je ta pogoj izpolnjen.

34.

Za uporabo člena 22(1) SUVP se zahteva, da ima zadevna odločitev „pravne učinke“ za posameznika, na katerega se nanašajo osebni podatki, ali mora „na podoben način nanj znatno vpliva[ti]“. SUVP tako priznava, da ima lahko avtomatizirano sprejemanje odločitev, vključno z oblikovanjem profilov, resne posledice za posameznike, na katere se nanašajo osebni podatki. Čeprav izraza „pravni učinki“ in „na podoben način […] znatno“ v SUVP nista opredeljena, pa je iz izrazov, ki se uporabljajo, jasno razvidno, da se ta določba uporablja samo za učinke z resnimi posledicami. V zvezi s tem je treba najprej opozoriti na to, da je v uvodni izjavi 71 SUVP kot tipičen primer odločitve, ki „znatno“ vpliva na posameznika, na katerega se nanašajo osebni podatki, izrecno navedena „avtomatska zavrnitev spletne prošnje za posojilo“.

35.

Nato je treba po eni strani upoštevati, da ima lahko zavrnitev prošnje za posojilo, glede na to, da je njena obdelava predhodna faza sklenitve posojilne pogodbe, „pravne učinke“ za posameznika, na katerega se nanašajo osebni podatki, saj ta ne bo več mogel skleniti pogodbenega razmerja z zadevno finančno ustanovo. Po drugi strani je treba poudariti, da lahko taka zavrnitev vpliva tudi na finančni položaj posameznika, na katerega se nanašajo osebni podatki. Zato je logično sklepati, da bo to na tega posameznika vsekakor vplivalo „na podoben način“ v smislu te določbe. Zdi se, da se je zakonodajalec Unije pri oblikovanju uvodne izjave 71 SUVP, v povezavi s katero je treba razlagati člen 22(1) te uredbe, tega zavedal. Zato menim, da so v obravnavani zadevi, ob upoštevanju položaja tožeče stranke, pogoji iz te določbe izpolnjeni ne glede na to, ali je poudarek na pravnih ali ekonomskih posledicah zavrnitve odobritve posojila.

36.

Izpolnjena morata biti dva dodatna pogoja. Prvič, dejanje, ki ima naravo „odločitve“, mora biti sprejeto v zvezi s posameznikom, na katerega se nanašajo osebni podatki. Drugič, zadevna odločitev mora „temelji[ti] zgolj na avtomatizirani obdelavi“. V zvezi z zadnjenavedenim pogojem iz predstavitve dejanskega stanja v predložitveni odločbi ni razvidno, da bi bile vrednosti kreditnega točkovanja razen z matematično‑statističnim postopkom, ki ga je uporabila družba SCHUFA, na kakršen koli odločilen način določene tudi s posamično oceno in presojo, ki jo opravi človek. Zato je treba za določitev vrednosti kreditnega točkovanja kot dejanje, ki ga je izvedla družba SCHUFA, šteti, da „temelji zgolj na avtomatizirani obdelavi“. Pri tem se ne sme pozabiti, da mora finančna ustanova, ki ji družba SCHUFA sporoči vrednost kreditnega točkovanja, v zvezi s posameznikom, na katerega se nanašajo osebni podatki, sprejeti domnevno samostojno dejanje, in sicer odobritev ali zavrnitev posojila. Tako se postavlja vprašanje, katero od teh dveh dejanj je mogoče opredeliti kot „odločitev“ v smislu člena 22(1) SUVP, ki ga bom obravnaval v nadaljevanju.

37.

Glede prvega pogoja je treba najprej ugotoviti, kakšna je pravna narava „odločitve“ in kakšne oblike mora biti. Z etimološkega stališča ta pojem pomeni „mnenje“ ali „sprejetje stališča“ o določenem položaju. Biti mora tudi „zavezujoče narave“, da se loči od preprostih „priporočil“, ki načeloma nimajo nobene pravne ali dejanske posledice. ( 13 ) Ob tem se mi zdi, da analogija s členom 288, četrti pododstavek, PDEU v nasprotju s trditvami HBDI ni upoštevna v tem okviru in to še toliko manj, ker v ničemer ne temelji na določbah SUVP.

38.

Iz neobstoja pravne opredelitve je mogoče sklepati, da se je zakonodajalec Unije odločil za širok pojem, ki lahko vključuje več dejanj, ki lahko na posameznika, na katerega se nanašajo osebni podatki, različno vplivajo. Kot sem že navedel, ima namreč „odločitev“ v smislu člena 22(1) SUVP lahko bodisi „pravne učinke“ bodisi „podobno“ vpliva na posameznika, na katerega se nanašajo osebni podatki, kar pomeni, da ima lahko zadevna „odločitev“ učinek, ki ni nujno pravni, ampak prej ekonomski ali socialni. Glede na to, da je namen člena 22(1) SUVP zaščititi fizične osebe pred potencialno diskriminatornimi in nepravičnimi učinki avtomatizirane obdelave podatkov, se mi zdi, da je potrebna posebna pazljivost, ki se mora odražati tudi v razlagi te določbe.

39.

Nazadnje je treba poudariti, da glede na to, da imajo dejanja, ki jih je mogoče pripisati zasebni finančni ustanovi, lahko prav tako hude posledice za neodvisnost in svobodo delovanja posameznika, na katerega se nanašajo osebni podatki, v tržnem gospodarstvu, zlasti kadar gre za potrditev plačilne sposobnosti prosilca za posojilo, ( 14 ) ne vidim nobenega objektivnega razloga za omejitev pojma „odločitev“ na strogo javno področje, to se pravi na razmerje med državo in državljanom, kot se implicitno predlaga z analogijo, ki jo predlaga HBDI. Zdi se mi, da je za opredelitev „odločitve“ kot stališča, sprejetega v zvezi s posameznikom, na katerega se nanašajo osebni podatki, potreben preizkus za vsak primer posebej, pri čemer je treba upoštevati posebne okoliščine in resnost učinkov za pravni, ekonomski in socialni status navedenega posameznika. ( 15 )

40.

Na osnovi meril, predstavljenih v prejšnjih točkah, je nato treba ugotoviti, katera „odločitev“ je upoštevna v obravnavani zadevi. Kot sem navedel zgoraj, obstajata dejanje, s katerim banka prosilcu odobri ali zavrne odobritev posojila, na eni strani in vrednost kreditnega točkovanja, določena s postopkom oblikovanja profila, ki ga izvede družba SCHUFA, na drugi strani. Menim, da na to vprašanje ni mogoče kategorično odgovoriti, ker je opredelitev odvisna od okoliščin vsakega posameznega primera. Natančneje, način, kako je strukturiran postopek sprejemanja odločitev, je bistvenega pomena. Ta postopek je običajno sestavljen iz več faz, kot so oblikovanje profilov, določitev vrednosti kreditnega točkovanja in samo sprejetje odločitve v zvezi z odobritvijo posojila.

41.

Zdi se mi jasno, da čeprav lahko finančna ustanova ta postopek prevzame nase, ji nič ne preprečuje, da nekatere naloge prek pogodbe prenese na agencijo za kreditne informacije, na primer oblikovanje profilov in kreditno točkovanje. Člen 22(1) SUVP namreč nikakor ne zahteva, da te naloge opravi eden ali več organov. Tako se mi zdi, da morebitni prenos nekaterih pristojnosti na zunanjega ponudnika storitev nima bistvene vloge pri analizi, saj je tak prenos praviloma v skladu z ekonomskimi in organizacijskimi dejavniki, ki se lahko razlikujejo od enega primera do drugega.

42.

Zdi pa se mi, da ima pomembno vlogo vidik, ki je povezan z vprašanjem, ali je postopek sprejemanja odločitev zasnovan tako, da kreditno točkovanje, ki ga izvede agencija za kreditne informacije, vnaprej določi odločitev finančne ustanove o odobritvi ali zavrnitvi posojila. Če bi bilo kreditno točkovanje izvedeno brez človekovega posredovanja, v okviru katerega bi bilo po potrebi mogoče preveriti njegov rezultat in pravilnost odločitve, ki jo je treba sprejeti v zvezi s prosilcem za posojilo, se zdi logično šteti, da je samo kreditno točkovanje „odločitev“ iz člena 22(1) SUVP.

43.

Če bi menili nasprotno, ker mora odločitev o odobritvi ali zavrnitvi posojila uradno sprejeti finančna ustanova, ne bi šlo le za pretirani formalizem, temveč tudi za neustrezno upoštevanje posebnih okoliščin takega položaja. Zdi se, da to drži še toliko bolj, ker člen 22(1) SUVP nikakor ne predpisuje posebne oblike za „odločitev“. Odločilni dejavnik je učinek, ki ga ima „odločitev“ na posameznika, na katerega se nanašajo osebni podatki. Ker ima lahko negativna vrednost kreditnega točkovanja sama po sebi neugodne učinke za posameznika, na katerega se nanašajo osebni podatki, in sicer ga lahko občutno omeji pri uresničevanju svoboščin ali celo stigmatizira v družbi, se jo zdi upravičeno opredeliti kot „odločitev“ v smislu predhodno navedene določbe, če ji finančna ustanova v postopku sprejetja odločitve pripisuje bistven pomen. ( 16 ) V takih okoliščinah namreč vpliv na prosilca za posojilo obstaja že v fazi ocenjevanja njegove plačilne sposobnosti s strani agencije za kreditne informacije, in ne samo v končni fazi zavrnitve kredita, v kateri finančna ustanova zgolj uporabi rezultat tega ocenjevanja v konkretnem primeru. ( 17 )

44.

Glede na to, da, prvič, člen 22(1) SUVP zahteva, da zadevna odločitev temelji „zgolj“ na avtomatizirani obdelavi, ( 18 ) in da je, drugič, besedilo določbe praviloma meja vsake razlage, se zdi nujno, da je avtomatizirana obdelava edini element, na katerem temelji pristop finančne ustanove do prosilca za posojilo. Tako bi bilo, če bi v okviru postopka prišlo do človekove udeležbe, ki pa ne bi mogla vplivati na vzročno zvezo med avtomatizirano obdelavo in končno odločitvijo. Agencija za kreditne informacije bi morala de facto sprejeti končno odločitev za finančno ustanovo. To je odvisno od notranjih pravil in praks zadevne finančne ustanove, ki tej praviloma ne smejo dopuščati nobenega manevrskega prostora v zvezi z uporabo vrednosti kreditnega točkovanja za prošnjo za posojilo.

45.

To je v bistvu dejansko vprašanje, ki ga lahko po mojem mnenju najbolje presojajo nacionalna sodišča. Predlagam torej, naj predložitveno sodišče samo ugotovi, v kolikšni meri je kreditno točkovanje, ki ga izvede agencija za kreditne informacije, kot je družba SCHUFA, na splošno zavezujoče za finančno ustanovo, pri čemer mora upoštevati zgoraj navedena merila. ( 19 ) Da bi nacionalnemu sodišču v obravnavani zadevi dal koristen odgovor, se bom oprl na informacije iz predložitvene odločbe.

46.

V zvezi s tem bi rad najprej opozoril, da čeprav je človekovo posredovanje v tej fazi postopka odločanja načeloma še mogoče, po navedbah predložitvenega sodišča na odločitev o sklenitvi pogodbenega razmerja s posameznikom, na katerega se nanašajo osebni podatki, „dejansko v tako veliki meri vpliva vrednost kreditnega točkovanja, ki jo posredujejo agencije za kreditne informacije, da ta tako rekoč odločilno vpliva na odločitev tretjega upravljavca“. Po navedbah predložitvenega sodišča „o tem, ali in kako bo tretji upravljavec sklenil pogodbeno razmerje s posameznikom, nazadnje odloča vrednost točkovanja, ki jo je na podlagi avtomatizirane obdelave izdelala agencija za kreditne informacije“. Predložitveno sodišče še pojasnjuje, da čeprav tretjemu upravljavcu odločitve sicer ni treba opreti zgolj na vrednost točkovanja, pa to „praviloma v pretežni meri stori“. Dodaja, da „je sicer kljub zadostni vrednosti točkovanja (iz drugih razlogov, kot so na primer neobstoj zavarovanj ali dvomi v uspeh investicije, ki bi jo bilo treba financirati) mogoče zavrniti odobritev posojila, da pa bo nezadostna vrednost točkovanja na področju potrošniških posojil vsekakor skoraj v vsakem primeru privedla do zavrnitve posojila, tudi če se na primer investicija sicer zdi donosna“. Nazadnje to sodišče navaja, da „[i]zkušnje uradnega nadzora nad varstvom podatkov kažejo na odločilno vlogo vrednosti točkovanja pri dodeljevanju posojil in izoblikovanju njihovih pogojev“.

47.

Zdi se mi, da zgornje ugotovitve kažejo na to, da, ob upoštevanju, da mora vsako nacionalno sodišče presoditi dejstva za vsak primer posebej, vrednost kreditnega točkovanja, ki jo določi agencija za kreditne informacije in je posredovana finančni ustanovi, praviloma vnaprej določi odločitev zadnjenavedene glede odobritve ali zavrnitve posojila posamezniku, na katerega se nanašajo osebni podatki, tako da je treba za to sprejetje stališča šteti, da je zgolj formalnost v okviru postopka. ( 20 ) Iz tega sledi, da je treba samo vrednost kreditnega točkovanja šteti za „odločitev“ v smislu člena 22(1) SUVP.

48.

Taka ugotovitev se mi zdi smiselna, saj bi vsaka drugačna razlaga ogrozila cilj, ki mu je zakonodajalec Unije sledil s to določbo, katere namen je varovati pravice posameznikov, na katere se nanašajo osebni podatki, Kot je pravilno navedlo predložitveno sodišče, bi ozka razlaga člena 22(1) SUVP povzročila pravno praznino v pravnem varstvu: agencija za kreditne informacije, od katere bi moral posameznik, na katerega se nanašajo osebni podatki, dobiti zahtevane informacije, teh ni dolžna dati v skladu s členom 15(1)(h) SUVP, ker naj sama ne bi izvajala „avtomatiziranega sprejemanja odločitev“ v smislu te določbe, finančna ustanova, ki sprejme odločitev na podlagi vrednosti kreditnega točkovanja, določene na avtomatizirani način, in ki mora v skladu s členom 15(1)(h) SUVP priskrbeti zahtevane informacije, pa tega ne more storiti, ker ne razpolaga z njimi.

49.

Finančna ustanova zato v primeru izpodbijanja odločitve ne bi mogla preveriti ocene plačilne sposobnosti prosilca za posojilo, kot zahteva člen 22(3) SUVP, ali zagotoviti poštene, pregledne in nediskriminatorne obdelave z ustreznimi matematičnimi ali statističnimi postopki ter ustreznimi tehničnimi in organizacijskimi ukrepi, kot je zahtevano v uvodni izjavi 71, šesti stavek, SUVP. ( 21 ) Da bi se preprečil tak položaj, ki bi bil očitno v nasprotju z zakonodajnim ciljem, navedenim v prejšnji točki, predlagam razlago člena 22(1) SUVP, ki upošteva dejanski vpliv kreditnega točkovanja na položaj posameznika, na katerega se nanašajo osebni podatki.

50.

Takšen pristop se mi zdi logičen, saj bi agencija za kreditne informacije praviloma morala biti edini subjekt, ki lahko ugodi drugim zahtevam posameznika, na katerega se nanašajo osebni podatki, ki temeljijo na pravicah, ki so prav tako zagotovljene s SUVP, in sicer pravici do popravka iz člena 16 SUVP, če bi se osebni podatki, uporabljeni za kreditno točkovanje, izkazali za netočne, in pravici do izbrisa iz člena 17 SUVP, če bi bili navedeni podatki obdelani nezakonito. Glede na to, da finančna ustanova praviloma ne sodeluje ne pri zbiranju teh podatkov ne pri oblikovanju profilov, kadar sta ti nalogi preneseni na tretjo osebo, je razumno izključiti možnost, da lahko učinkovito zagotavlja spoštovanje navedenih pravic. Vendar posameznik, na katerega se nanašajo osebni podatki, ne bi smel utrpeti neugodnih posledic takega prenosa nalog.

51.

To, da se agencija za kreditne informacije šteje za odgovorno, ker je določila vrednost kreditnega točkovanja – in ne ker jo je pozneje uporabila – se mi zdi najučinkovitejši način za zagotavljanje varstva temeljnih pravic posameznika, na katerega se nanašajo osebni podatki, in sicer pravice do varstva osebnih podatkov iz člena 8 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina) ter pravice do zasebnosti iz člena 7 Listine, saj je ta dejavnost navsezadnje „vir“ vsake morebitne škode. Glede na tveganje, da vrednost kreditnega točkovanja, ki jo določi agencija za kreditne informacije, uporablja več finančnih ustanov, se zdi smiselno, da se posamezniku, na katerega se nanašajo osebni podatki, omogoči, da svoje pravice uveljavlja neposredno zoper njo.

52.

Iz zgoraj navedenih razlogov menim, da so pogoji iz člena 22(1) SUVP izpolnjeni, tako da se ta določba uporablja v okoliščinah, kot so te v postopku v glavni stvari.

53.

V tem okviru ni mogoče dovolj poudariti, kako pomembno je, da upravljavec v celoti spoštuje svoje obveznosti zagotavljanja informacij, ki jih ima do posameznika, na katerega se nanašajo osebni podatki. Zadnjenavedeni ima v skladu s členom 15(1)(h) SUVP pravico, da od upravljavca poleg potrditve, ali se v zvezi z njim obdelujejo osebni podatki ali ne, dobi tudi druge informacije, kot so obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, v smislu člena 22 SUVP, smiselne informacije o razlogih zanj ter pomen in predvidene posledice te obdelave za posameznika, na katerega se nanašajo osebni podatki.

54.

Ker družba SCHUFA tožeči stranki ni razkrila nekaterih informacij v zvezi z metodo izračuna, ker naj bi bile poslovne skrivnosti, se zdi primerno pojasniti obseg pravice do informacij iz člena 15(1)(h) SUVP, zlasti glede obveznosti zagotavljanja „smiseln[ih] informacij[…] o razlogih“ za tak izračun. Po mojem mnenju je treba to določbo razlagati tako, da načeloma zajema tudi metodo izračuna, ki jo agencija za kreditne informacije uporabi za določitev vrednosti kreditnega točkovanja, če ni navzkrižnih interesov, ki jih je treba varovati. V zvezi s tem je treba navesti uvodno izjavo 63 SUVP, iz katere med drugim izhaja, da „pravic[a] dostopa do osebnih podatkov […] ne bi smela negativno vplivati na pravice ali svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, ter predvsem na avtorske pravice, ki ščitijo programsko opremo“ (moj poudarek).

55.

Iz razlage člena 15(1)(h) SUVP v povezavi z uvodnima izjavama 58 in 63 te uredbe je mogoče izpeljati vrsto sklepov. Prvič, zakonodajalec Unije se je očitno povsem zavedal navzkrižij, do katerih lahko pride med pravico do varstva osebnih podatkov, ki jo zagotavlja člen 8 Listine, na eni strani, in pravico do varstva intelektualne lastnine iz člena 17(2) Listine na drugi strani. Drugič, jasno je, da ni predvidel žrtvovanja ene temeljne pravice v korist druge. Nasprotno, na podlagi podrobnejše analize določb SUVP je mogoče ugotoviti, da je želel vzpostaviti pravično ravnotežje med pravicami in obveznostmi.

56.

Poziv zakonodajalca Unije v uvodni izjavi 63 SUVP, da „[t]o […] ne bi smelo povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij“, ( 22 ) po mojem mnenju pomeni, da je treba vsekakor zagotoviti minimalni obseg informacij, da se ne ogrozi bistvo pravice do varstva osebnih podatkov. Iz tega sledi, da čeprav je varovanje poslovne skrivnosti ali intelektualne lastnine načeloma legitimen razlog za to, da agencija za kreditne informacije zavrne razkritje algoritma, uporabljenega za izračun vrednosti kreditnega točkovanja posameznika, na katerega se nanašajo osebni podatki, pa nikakor ne more upravičiti popolne zavrnitve dostopa do informacij. Toliko manj, če obstajajo ustrezna komunikacijska sredstva, ki olajšajo razumevanje, obenem pa zagotavljajo določeno mero zaupnosti.

57.

Člen 12(1) SUVP, ki določa, da „[u]pravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije [iz člena 15] v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku“, ( 23 ) se mi zdi v tem okviru še posebej pomemben. Ta določba potrjuje zgornje razlogovanje, saj iz nje izhaja, da je pravi cilj člena 15(1)(h) SUVP zagotoviti, da posameznik, na katerega se nanašajo osebni podatki, dobi informacije na razumljiv in dostopen način ter v skladu s svojimi potrebami. Menim, da glede na kompleksnost algoritma že te zahteve izključujejo morebitno obveznost njegovega razkritja. Smiselnost sporočanja posebej kompleksne formule brez potrebne razlage bi bila namreč vprašljiva. V zvezi s tem je treba opozoriti na uvodno izjavo 58 SUVP, iz katere izhaja, da je spoštovanje zgoraj navedenih zahtev še posebej pomembno „v primerih, kadar posameznik, na katerega se nanašajo osebni podatki, zaradi […] tehnološke kompleksnosti težko ve in razume, ali se zbirajo osebni podatki, povezani z njim, kdo jih zbira in v kakšen namen“. ( 24 )

58.

Iz zgoraj navedenih razlogov menim, da je treba obveznost zagotavljanja „smiseln[ih] informacij[…] o razlogih“ za tak izračun razumeti tako, da zajema dovolj podrobna pojasnila o metodi, uporabljeni za izračun vrednosti kreditnega točkovanja, in razloge, ki so vodili do določenega rezultata. Upravljavec bi posamezniku, na katerega se nanašajo osebni podatki, praviloma moral zagotoviti splošne informacije, zlasti o dejavnikih, upoštevanih pri postopku sprejemanja odločitev, in o njihovi „pomembnosti“ na skupni ravni, ki mu tudi koristijo pri izpodbijanju kakršne koli „odločitve“ v smislu člena 22(1) SUVP. ( 25 )

59.

Glede na zgornje preudarke menim, da je treba člen 22(1) SUVP razlagati tako, da že avtomatizirana izdelava verjetnostne ocene o sposobnosti posameznika, na katerega se nanašajo osebni podatki, da v prihodnje odplačuje kredit, pomeni odločitev – ki temelji izključno na avtomatizirani obdelavi, vključno z oblikovanjem profilov – ki ima pravne učinke v razmerju do posameznika, na katerega se nanašajo osebni podatki, ali podobno znatno vpliva nanj, če upravljavec vrednost, ki je bila ugotovljena na podlagi osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, posreduje tretjemu upravljavcu in odločitev te tretje osebe o vzpostavitvi, izvršitvi ali prenehanju pogodbenega razmerja s to osebo v skladu z ustaljeno prakso v bistvenem temelji na tej vrednosti.

60.

Čeprav je bilo drugo vprašanje zgolj postavljeno, če bi bil odgovor na prvo vprašanje nikalen, se mi zdi, da je upoštevno tudi, če bi Sodišče ugotovilo, da za kreditno točkovanje velja prepoved avtomatiziranega sprejemanja odločitev iz člena 22(1) SUVP. V takem primeru bi bilo treba preučiti, ali je mogoče uporabiti izjemo od te prepovedi na podlagi člena 22(2)(b) SUVP, kot pravilno navaja finska vlada. V skladu s to določbo se prepoved ne uporablja, „če je odločitev […] dovoljena v pravu Unije ali pravu države članice, ki velja za upravljavca“.

61.

Ta določba vsebuje izrecni regulativni manevrski prostor, kadar avtomatizirano oblikovanje profilov, za katero se uporablja, temelji na pravu Unije ali pravu države članice. Če temelji na pravu države članice, mora nacionalna zakonodaja določati posebna jamstva za posameznika, na katerega se nanašajo osebni podatki. Sodišče bi tedaj moralo ugotoviti, ali je tako „dovoljenje“ mogoče izpeljati iz samega člena 6 SUVP ali nacionalne določbe, sprejete na v njem določeni pravni podlagi. Zdi se mi, da je treba zadnjenavedeni položaj temeljito analizirati glede na to, da se predložitveno sodišče sprašuje o skladnosti člena 31 BDSG s členoma 6 in 22 SUVP, kar pomeni, da mora obstajati možnost, da sta člena 6 in 22 SUVP ustrezna pravna podlaga.

62.

Nacionalno sodišče izraža ravno s tem povezane dvome, glede na to, da po njegovem mnenju nobena od določb iz členov 6 in 22 SUVP ne more služiti kot pravna podlaga za sprejetje nacionalne določbe, kot je tista iz člena 31 BDSG, s katero so določena nekatera pravila v zvezi s kreditnim točkovanjem. Tako se postavlja vprašanje, ali je nacionalni zakonodajalec pravilno uporabil določbe SUVP, ki mu dajejo manevrski prostor za določitev nacionalnih pravil za obdelavo osebnih podatkov na podlagi SUVP in celo, v nekaterih okoliščinah, za odstopanje od te uredbe. Odgovor na to vprašanje je zapleten, ker nemški zakonodajalec v obrazložitvi zakona ne navaja nobene pomensko odprte določbe. ( 26 ) Vendar je še toliko bolj pomembno, ker je v členu 31(1), točka 1, BDSG izrecno navedeno, da je kreditno točkovanje „dovoljen[o] le, če so bili spoštovani predpisi prava o varstvu podatkov“ (moj poudarek). Kot bom pojasnil v nadaljevanju, me več argumentov napeljuje k nikalnemu odgovoru na to vprašanje.

63.

Najprej je treba opozoriti na določbo člena 22(2)(b) SUVP, ki državam članicam podeljuje pristojnost, da dovolijo odločitev, ki temelji izključno na avtomatizirani obdelavi podatkov, vključno z oblikovanjem profilov, in ki naj bi jo bilo potemtakem mogoče navesti kot pravno podlago. Vendar je treba opozoriti, da se odstavek 2 ne bi uporabljal, če bi Sodišče menilo, da za kreditno točkovanje ne velja prepoved iz odstavka 1 člena 22. Kot jasno izhaja iz besedila in splošne sistematike člena 22 SUVP, morajo biti namreč za uporabo odstavka 2 izpolnjeni pogoji iz odstavka 1. Zato je očitno, da bi bilo treba uporabo člena 22(2)(b) SUVP izključiti, če bi bil odgovor na prvo vprašanje nikalen.

64.

Da pa bo odgovor popoln in ob upoštevanju, da predlagam, da se na prvo vprašanje odgovori pritrdilno, menim, da je treba preučiti, ali se ta določba uporablja, če bi Sodišče štelo, da je kreditno točkovanje, ki ga je izvedla agencija za kreditne informacije, „odločitev“ v smislu odstavka 1 člena 22. Vendar tudi v tem primeru iz več razlogov še vedno obstajajo dvomi o tem, ali člen 22(2)(b) te uredbe lahko služi kot pravna podlaga.

65.

Prvič, spomniti je treba, da se člen 22 SUVP nanaša le na odločitve, sprejete „zgolj“ na podlagi avtomatizirane obdelave, medtem ko po mnenju predložitvenega sodišča člen 31 BDSG brez razlikovanja vsebuje pravila, ki se uporabljajo tudi za neavtomatizirane odločitve, v njih pa ureja dopustnost uporabe obdelave podatkov o kreditnem točkovanju. Drugače povedano, področje uporabe ratione materiae člena 31 BDSG je veliko širše od področja uporabe ratione materiae člena 22 SUVP. ( 27 ) Zato je vprašljivo, ali se člen 22(2)(b) SUVP lahko uporablja kot pravna podlaga.

66.

Drugič, navesti je treba, da člen 31 BDSG – kot navaja predložitveno sodišče – ureja „uporabo“ verjetnostne ocene s strani gospodarskih subjektov, ne pa „določitve“ te vrednosti s strani agencij za kreditne informacije, ki pa je vidik, ki se obravnava v prvem vprašanju za predhodno odločanje. To je mogoče izpeljati tudi iz izjav nemške vlade na obravnavi. Kot sem podrobno obrazložil v okviru preučitve tega vprašanja, se člen 22(1) SUVP uporablja tudi v fazi „določitve“ vrednosti kreditnega točkovanja, in ne samo v fazi njene „uporabe“ s strani finančne ustanove, če so izpolnjeni nekaterih pogoji. ( 28 ) Drugače povedano, zdi se, da je člen 31 BDSG namenjen urejanju drugačnega položaja, kot je tisti, ki spada na področje uporabe ratione materiae člena 22 SUVP, kar mora potrditi predložitveno sodišče. Ob upoštevanju navedenega menim, da je treba člen 22(2)(b) SUVP izključiti kot pravno podlago za sprejetje nacionalnega zakonodajnega ukrepa, kot je tisti iz člena 31 BDSG.

67.

V skladu s členom 6(1) SUVP je obdelava osebnih podatkov zakonita le, če je izpolnjen pogoj v zvezi z enim od razlogov, naštetih v tej uredbi. Kot je Sodišče že razsodilo, gre za izčrpen in taksativen seznam primerov, v katerih je mogoče šteti, da je taka obdelava zakonita. ( 29 ) Zato mora biti določitev vrednosti kreditnega točkovanja s strani agencije za kreditne informacije, da se lahko šteje za zakonito, zajeta z enim od primerov iz te določbe.

68.

V primeru, kot je ta v postopku v glavni stvari, bi se načeloma lahko uporabljale točke (b), (c) in (f) člena 6(1) SUVP. V skladu z odstavkom 2 tega člena lahko države članice ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil SUVP. Pojasniti pa je treba, da se ta določba uporablja le v smislu spoštovanja točk (c) in (e) odstavka 1. Enako je v odstavku 3 navedenega člena 6 določeno, da je podlaga za obdelavo določena v skladu s pravom države članice, ki velja za upravljavca, če gre za primere obdelave iz točk (c) in (e) odstavka 1.

69.

Iz tega sledi, da lahko države članice sprejmejo podrobnejša pravila, kadar je obdelava „potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca“, ali „potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu“. S temi pogoji je regulativna pristojnost držav članic strogo omejena, tako da je izključena samovoljna uporaba pomensko odprtih določb iz SUVP, ki bi lahko preprečila uresničevanje cilja harmonizacije prava na področju varstva osebnih podatkov.

70.

Poleg tega je treba v tem okviru opozoriti, da so v nekaterih od teh določb uporabljeni izrazi, značilni za SUVP, ne da bi bilo izrecno napoteno na pravo držav članic, zato je treba uporabljene izraze razlagati avtonomno in enotno. ( 30 ) V nadaljevanju je treba ob upoštevanju navedenega preveriti, ali je ureditev iz člena 31 BDSG zajeta s katerim od razlogov, navedenih v členu 6(1) SUVP.

71.

V zvezi s točko (b) je iz te določbe razvidno, da je obdelava zakonita le, če in kolikor je potrebna „za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki,“ ali „za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe“. V zvezi s tem je treba poudariti, da se storitve agencij za kreditne informacije le izjemoma uporabljajo v fazi izvajanja pogodbe. Najpomembnejša je faza pred sklenitvijo pogodbe, v kateri se običajno pridobijo informacije o plačilni sposobnosti. Zdi se mi, da je pošiljanje zahteve za informacije agenciji za kreditne informacije, da bi se preverila plačilna sposobnost, na podlagi te določbe dovoljena. ( 31 ) Vseeno je treba pojasniti, da ta določba zajema samo dovoljenje za izvajanje ocen plačilne sposobnosti s strani potencialnih pogodbenih partnerjev, upnikov in/ali ponudnikov pravnih storitev, s čimer ustvarja predpogoje za zakonito zbiranje podatkov s strani agencij za kreditne informacije. Zdi pa se mi, da ta določba sama po sebi ni dovolj, da bi služila kot pravna podlaga za zagotovitev zakonitosti dejavnosti agencije za kreditne informacije. ( 32 )

72.

Poleg tega je treba opozoriti, da je s členom 6(1)(b) SUVP sicer uzakonjen en razlog za zakonitost obdelave osebnih podatkov, vendar se ta člen ne uporablja za nobenega od položajev iz odstavka 2 in 3, v skladu s katerima imajo države članice regulativno pristojnost. Iz tega sledi, da glede na to, da so ti položaji v členu 6 SUVP izčrpno navedeni, nacionalne določbe, kot je tista iz člena 31 BDSG, ni mogoče sprejeti zgolj na podlagi člena 6(1)(b) SUVP.

73.

Razlog iz člena 6(1)(c) SUVP se nanaša na obdelavo, ki temelji na „zakonsk[i] obveznosti“, ki velja za upravljavca. To vključuje zahteve, ki jih določi sama država. Ta določba pa ne vključuje obveznosti, ki izhajajo iz pogodb civilnega prava, na primer pogodbe, sklenjene med finančno ustanovo in agencijo za kreditne informacije. Vendar se lahko finančne ustanove, ki se morajo prepričati o plačilni sposobnosti svojih strank v skladu z obveznostmi, ki so jim naložene z nacionalnim pravom, oprejo na to pravno podlago v smislu s tem povezanih zahtev za informacije, da zagotovijo, da so take zahteve s stališča agencije za kreditne informacije povsem zakonite. „Določitve“ vrednosti kreditnega točkovanja s strani agencije za kreditne informacije pa ni mogoče šteti za ukrep, sprejet v okviru uresničevanja „zakonske obveznosti“, ki je naložena tej agenciji, saj ni videti, da bi taka obveznost obstajala v nacionalnem pravu. Zato je treba šteti, da točke (c) ni mogoče veljavno navesti kot pravno podlago za to, da je dejavnost kreditnega točkovanja zakonita obdelava.

74.

Nato se postavlja vprašanje, ali se je mogoče sklicevati na člen 6(1)(e) SUVP kot pravno podlago za sprejetje člena 31 BDSG. Tako bi bilo, če bi bila obdelava „potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu“. Po eni strani bi se lahko trdilo, kot izhaja iz zakonodajnega cilja člena 31 BDSG, ki se odraža v naslovu te nacionalne določbe („Varstvo gospodarskega prometa v primeru kreditnega točkovanja in bonitetnih informacij“), in pripravljalnih dokumentov, ( 33 ) da agencije za kreditne informacije pripomorejo k pravilnemu delovanju gospodarstva države. ( 34 )

75.

Navedene agencije namreč s tem, da dajejo na razpolago informacije o plačilni sposobnosti določenih posameznikov, prispevajo k varstvu potrošnikov, tako da preprečujejo tveganje čezmernega zadolževanja, ( 35 ) pa tudi podjetij, ki jim prodajajo blago ali odobrijo posojila. Te agencije zagotavljajo stabilnost finančnega sistema, tako da preprečujejo neodgovorno odobritev posojila posojilojemalcem z visokim tveganjem neizpolnjevanja obveznosti. ( 36 ) Brez zanesljivega sistema bonitetnega ocenjevanja bi bil velik del prebivalstva zaradi neizračunljivih tveganj praktično izključen iz možnosti pridobitve posojila, gospodarsko poslovanje v informacijski dobi bi bilo znatno težje, poskusi goljufije pa bi ostali neodkriti. S tega vidika se je mogoče strinjati z razlogi, ki so očitno vodili nemškega zakonodajalca k sprejetju člena 31 BDSG.

76.

Dalje, čeprav se ve, da pravne osebe zasebnega prava lahko delujejo v javnem interesu, se mi zdi očitno, da ne more kateri koli „zakoniti interes“ upravičiti uporabe člena 6(1)(e) SUVP. Povezava z „izvajanj[em] javne oblasti“ in uvodne izjave 45, 55 in 56 SUVP bolj kažejo na to, da se ta določba nanaša, prvič, na javne organe v ozkem pomenu izraza in na pravne osebe javnega prava, in drugič, na pravne osebe zasebnega prava, ki obdelujejo podatke za javne službe, na primer na področju „javn[ega] zdravj[a]“, „socialn[e] zaščit[e]“ in „upravljanj[a] storitev zdravstvenega varstva“, ki so izrecno navedeni v uvodni izjavi 45. Drugače povedano, ta določba se nanaša na klasične naloge države

77.

Enako je mogoče ugotoviti, da se uvodni izjavi 55 in 56 SUVP sklicujeta na „uradno priznan[e] versk[e] skupnosti“ in tudi na „politične stranke“, to je organizacije, ki po merilih zakonodajalca Unije izvajajo dejavnosti v javnem interesu in za to obdelujejo osebne podatke. Glede na to ugotovitev je vprašljivo, ali lahko ta določba vključuje tudi dejavnosti agencij za kreditne informacije, vključno s kreditnim točkovanjem. S takšno razlago bi se področje uporabe te določbe znatno povečalo, meje te pomensko odprte odločbe pa bi bilo posebej težko opredeliti. ( 37 )

78.

Poleg zgoraj navedenega je treba v tem okviru navesti še, da čeprav je člen 31 namenjen varstvu gospodarskega prometa, pa v njem ni navedena nobena konkretna naloga navedenih agencij. ( 38 ) Kot sem že navedel v teh sklepnih predlogih, opirajoč se na pojasnila predložitvenega sodišča o nacionalnem pravnem okviru, se ta določba nanaša na „uporabo“ vrednosti kreditnega točkovanja s strani gospodarskih subjektov, ne pa na njeno „določitev“ s strani agencij za kreditne informacije. ( 39 ) Vendar je v središču spora o glavni stvari zakonitost te dejavnosti. Iz zgoraj navedenih razlogov menim, da člen 6(1)(e) SUVP ne more služiti kot pravna podlaga.

79.

V nadaljevanju je treba preučiti, ali ta dejavnost spada na področje uporabe člena 6(1)(f) SUVP. V skladu s sodno prakso Sodišča ( 40 ) zadevna določba določa tri kumulativne pogoje za to, da je obdelava osebnih podatkov zakonita, in sicer, prvič, da si upravljavec ali tretja oseba ali osebe, ki so jim podatki posredovani, prizadevajo za zakonit interes, drugič, da je obdelava osebnih podatkov potrebna za uresničitev zakonitega interesa, ki se mu sledi, in tretjič, da ne prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanaša varstvo podatkov.

80.

Najprej, glede uresničevanja „zakonitega interesa“ opozarjam, da SUVP in sodna praksa priznavata širok nabor interesov, ki se štejejo za zakonite, ( 41 ) pri čemer pojasnjujeta, da mora upravljavec v skladu s členom 13(1)(d) SUVP navesti zakonite interese, ki se uresničujejo na podlagi člena 6(1)(f) SUVP. Kot sem že navedel v teh sklepnih predlogih, je zakonodajni cilj člena 31 BDSG zagotoviti zakonitost dejavnosti, ki jih izvajajo agencije za kreditne informacije, glede na to, da zadnjenavedene po mnenju nemškega zakonodajalca pripomorejo k pravilnemu delovanju gospodarstva države. ( 42 ) Ker se s temi dejavnostmi zagotavlja varstvo različnih gospodarskih subjektov pred tveganji, povezanimi s plačilno nesposobnostjo, ki ima hude posledice za stabilnost finančnega sistema, je mogoče v tej fazi analize domnevati, da se s predhodno navedeno nacionalno določbo uresničuje gospodarski cilj, ki je lahko „zakonit interes“ v smislu člena 6(1)(f) SUVP.

81.

Dalje, glede pogoja v zvezi tem, da je obdelava osebnih podatkov potrebna za uresničitev zakonitega interesa, ki se mu sledi, morajo biti v skladu s sodno prakso Sodišča odstopanja od načela varstva osebnih podatkov in njegove omejitve strogo omejeni na tisto, kar je nujno. ( 43 ) Zato je potrebna tesna povezava med obdelavo in zasledovanim interesom, če ni drugih možnosti, ki bi bolj spoštovale varstvo osebnih podatkov, saj ne zadostuje, da je obdelava zgolj koristna za upravljavca. V zvezi s tem je treba opozoriti, da čeprav predložitveno sodišče izraža nekaj dvomov glede zakonitosti dejavnosti kreditnega točkovanja z vidika določb SUVP, pa ne navaja nikakršne informacije, ki bi kazala na morebitni obstoj ukrepov, ki bi bolj spoštovali varstvo osebnih podatkov. Ker ni informacij o nasprotnem, se nagibam k priznanju določenega manevrskega prostora pri izbiri primernih ukrepov za dosego zastavljenega cilja.

82.

Nazadnje, glede uravnoteženja interesov upravljavca na eni strani z interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, na drugi strani je treba ugotoviti, da je bilo tehtanje različnih zadevnih interesov v obravnavani zadevi opravljeno po zakonodajni poti. Nemški zakonodajalec je s sprejetjem člena 31 BDSG dal prednost gospodarskim interesom pred pravico do varstva osebnih podatkov. Tak pristop pa bi bil mogoč le, če bi člen 6(1)(f) SUVP vključeval klavzulo, s katero bi bilo državam članicam omogočeno, da ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile pravila te uredbe v zvezi z obdelavo. Vendar, kot bom pojasnil v nadaljevanju, ni tako.

83.

Kot je jasno razvidno iz besedila člena 6(2) in (3) SUVP, je ohranitev ali uvedba podrobnejših določb dovoljena le za primere iz točk (c) in (e) odstavka 1. Predhodna analiza je pokazala, da se člen 31 BDSG ne uporablja za nobeno okoliščino, ki bi lahko bila zajeta z navedenimi primeri, zaradi česar je logično izključeno, da bi bilo mogoče kot pravno podlago uporabiti člen 6(2) in (3) SUVP. Uporaba za primer iz točke (f) odstavka 1 ne bi bila samo v nasprotju z besedilom teh določb, temveč tudi ne bi spoštovala volje zakonodajalca Unije, kot izhaja iz zgodovine nastanka navedenih določb.

84.

V zvezi s tem moram opozoriti, da so morale države članice v skladu s členom 5 Direktive 95/46/ES – ( 44 ) pravnega akta, ki je veljal pred SUVP – „natančneje določi[ti] pogoje, pod katerimi je obdelava osebnih podatkov zakonita“. Sodišče je to določbo razlagalo tako, da je ugotovilo, da nič ne nasprotuje temu, da države članice pri izvrševanju svoje diskrecijske pravice, določene v členu 5 Direktive 95/46, določijo „vodilna načela“ za tehtanje, ki je potrebno v skladu s členom 7(f) te direktive, ki ustreza členu 6(1)(f) SUVP. Vendar je treba navesti, da SUVP državam članicam ne podeljuje več takega pooblastila. Neobstoj enakovredne določbe v SUVP namreč pomeni, da države članice ne morejo več določiti vodilnih načel v svojem nacionalnem pravu, da bi pojasnile „zakoniti interes“ v smislu člena 6(1)(f) te uredbe. ( 45 )

85.

Sklicevanje na določbe, ki se nanašajo na „posebne primere obdelave“ iz poglavja IX, v odstavku 2 in 3 ne razširja področja uporabe člena 6 SUVP. Gre bolj za napotitev na določbe, s katerimi je državam članicam dovoljeno, da sprejmejo podrobnejša pravila na omejenih področjih, in sicer, kadar je obdelava potrebna za izpolnitev „zakonske obveznosti“ v smislu točke (c) odstavka 1 ali za opravljanje „naloge v javnem interesu“ ali naloge, ki je zajeta v izvajanje „javne oblasti“ v primeru iz točke (e) tega odstavka. ( 46 ) Kot sem že predhodno navedel, pa ta področja nimajo nobene zveze z okoliščinami, v katerih se uporablja člen 31 BDSG.

86.

V zvezi s tem je treba opozoriti tudi, da čeprav je bila v predlogu Komisije za uredbo tej podeljena pristojnost za „sprejemanje delegiranih aktov, s katerimi podrobneje določi pogoje iz [člena 6(1)(f)] za različne sektorje in primere obdelave podatkov, vključno z obdelavo osebnih podatkov v zvezi z otrokom“, pa zakonodajalec Unije tega predloga ni upošteval. Iz analize razvoja besedila je razvidno, da so se regulativna pooblastila držav članic zmanjšala v interesu daljnosežnejše harmonizacije, da bi se zagotovila dosledna in enotna uporaba pravil za varstvo osebnih podatkov, kot potrjujejo tudi uvodne izjave 3, 9 in 10 SUVP. ( 47 ) To okoliščino je treba upoštevati pri razlagi člena 6 SUVP.

87.

Skratka, menim, da je treba ugotoviti, da tudi če bi se člen 6(1)(f) SUVP uporabljal, nacionalne določbe, kot je člen 31 BDSG, ne bi bilo mogoče šteti za skladno s pravom Unije. Naj opozorim, da je Sodišče člen 7(f) Direktive 95/46 razlagalo tako, da „[d]ržava članica [za nekatere vrste osebnih podatkov] ne sme dokončno določiti izida tehtanja nasprotujočih si pravic in interesov, ne da bi omogočala drugačen izid zaradi posebnih okoliščin konkretnega primera“. ( 48 ) Ker je ta določba oblikovana skoraj enako kot določba, ki jo je nadomestila, to je člen 6(1)(f) SUVP, se mi zdi, da ta razlaga še vedno velja. ( 49 ) Zdi se pa, kot predlaga predložitveno sodišče, da je bil prav to namen nacionalnega zakonodajalca, glede na to, da je s členom 31 BDSG dovoljena uporaba vrednosti kreditnega točkovanja v finančnem sektorju in je bila zato gospodarskim interesom finančnega sektorja dana prednost pred pravico do varstva osebnih podatkov, ne da bi se pri tem upoštevale posebne okoliščine konkretnega primera. Tak pristop bi nedopustno razširil področje uporabe člena 6 SUVP.

88.

Glede na navedeno menim, da se na člen 6(1)(f) SUVP ni mogoče veljavno sklicevati kot na pravno podlago za sprejetje nacionalne določbe, kot je člen 31 BDSG.

89.

Predložitveno sodišče navaja, da naj bi bile v zakonodajnem postopku, ki je vodil do sprejetja člena 31 BDSG, kot pravna podlaga navedene določbe člena 6(4) v povezavi s členom 23(1) SUVP. Vendar naj bi bila kasneje zamisel o opiranju na te določbe opuščena. Predložitveno sodišče meni, da se te določbe v obravnavani zadevi ne uporabljajo.

90.

Ker ni podrobnejših informacij, ni mogoče sprejeti stališča o morebitni uporabi zgoraj navedenih določb. To se mi tudi ne zdi potrebno, če navedene določbe niso imele nobene vloge v zakonodajnem postopku, kot potrjuje predložitveno sodišče. ( 50 )

91.

V predhodnih točkah sem preučil vprašanje, ali lahko člena 6 in 22 SUVP služita kot pravna podlaga za sprejetje nacionalne določbe, kot je člen 31 BDSG, da se utemelji zakonitost določitve vrednosti kreditnega točkovanja v okviru dejavnosti agencij za kreditne informacije. Moje prepričanje, da je treba to možnost izključiti, potrjuje več razlogov, ki sem jih podrobno predstavil v svoji analizi. Skratka, menim, da je treba glede na to, da ni pomensko odprtih določb ali izjem, na podlagi katerih bi bilo državam članicam dovoljeno, da bi za to, da bi uredile zgoraj navedeno dejavnost, sprejele podrobnejša pravila ali odstopale od pravil SUVP, in glede na raven harmonizacije, ki se uresničuje s to uredbo, ki je v skladu s členom 288 PDEU v celoti zavezujoča in se neposredno uporablja v vseh državah članicah, šteti, da taka nacionalna določba ni v skladu s SUVP.

92.

Ker Sodišče ni pristojno, da v postopku za sprejetje predhodne odločbe na podlagi člena 267 PDEU razlaga nacionalno pravo ali se izreče o skladnosti tega prava s pravom Unije, je treba trditve, ki so bile obravnavane v teh sklepnih predlogih, razumeti kot napotke za razlago upoštevnih določb SUVP, da bi se predložitvenemu sodišču omogočilo, da po potrebi izvrši to pristojnost, potem ko bo sámo preučilo člen 31 BDSG z vidika določb te uredbe, zlasti glede možnosti razlage nacionalne zakonodaje v skladu z zahtevami prava Unije.

93.

Načelo primarnosti prava Unije določa prednost prava Unije pred pravom držav članic. To načelo zato vsem organom držav članic nalaga, da različnim določbam prava Unije zagotovijo polni učinek, saj pravo držav članic ne more vplivati na učinek, ki je tem določbam priznan na ozemlju navedenih držav. Če nacionalno sodišče, ki mora uporabiti določbe prava Unije, ne more podati razlage nacionalne ureditve, ki bi bila v skladu z zahtevami prava Unije, ima na podlagi tega načela dolžnost zagotoviti polni učinek teh določb, pri čemer lahko po potrebi po uradni dolžnosti odloči, da ne bo uporabilo neskladne določbe nacionalne zakonodaje, tudi poznejše, ne da bi mu bilo treba zahtevati ali čakati predhodno odpravo te določbe po zakonodajni poti ali kakšnem drugem ustavnem postopku. ( 51 )

94.

V odgovor na drugo vprašanje za predhodno odločanje menim, da je treba člen 6(1) in člen 22 SUVP razlagati tako, da ne nasprotujeta nacionalni zakonodaji o oblikovanju profilov, če gre za oblikovanje profilov, ki ni določeno v členu 22(1) te uredbe. Vendar mora v tem primeru nacionalna zakonodaja izpolnjevati pogoje iz člena 6 navedene uredbe. Zlasti mora temeljiti na ustrezni pravni podlagi, kar mora preveriti predložitveno sodišče.

95.

Glede na navedeno Sodišču predlagam, naj na vprašanji za predhodno odločanje, ki ju je postavilo Verwaltungsgericht Wiesbaden (upravno sodišče v Wiesbadnu, Nemčija), odgovori: