CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:220

GENERALINIO ADVOKATO

PRIIT PIKAMÄE IŠVADA,

pateikta 2023 m. kovo 16 d.(1)

Byla C‑634/21

prieš

Land Hessen,

dalyvaujant

SCHUFA Holding AG

(Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) pateiktas prašymas priimti prejudicinį sprendimą)

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 6 straipsnio 1 dalis – Duomenų tvarkymo teisėtumas – 22 straipsnis – Automatizuotas individualus sprendimas – Profiliavimas – Privačios bendrovės, teikiančios komercinę informaciją – Fizinio asmens kreditingumo tikimybės rodiklio vertinimas („scoring“) – Perdavimas tretiesiems asmenims, priimantiems sprendimą pradėti, vykdyti ar nutraukti sutartinius santykius su šiuo asmeniu remiantis šiuo rodikliu“

I. Įžanga

1. Šiuo prašymu priimti prejudicinį sprendimą, kurį Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) pateikė pagal SESV 267 straipsnį, prašoma išaiškinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)(2) (toliau – BDAR) 6 straipsnio 1 dalį ir 22 straipsnio 1 dalį.

2. Šis prašymas pateiktas nagrinėjant pareiškėjos OQ, kuri yra fizinis asmuo (toliau – pareiškėja), ir Land Hessen (Heseno žemė, Vokietija), atstovaujamos Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Heseno žemės duomenų apsaugos ir informacijos laisvės priežiūros pareigūnas) (toliau – HBDI), ginčą dėl asmens duomenų apsaugos. Privatinės teisės reglamentuojama agentūra SCHUFA Holding AG (toliau – SCHUFA) palaiko HBDI kaip įstojusi į bylą šalis. Vykdydama ekonominę veiklą – teikdama savo klientams informaciją apie trečiųjų asmenų mokumą – SCHUFA pateikė kredito įstaigai pareiškėjos kreditingumo balų rodiklį, kuriuo remiantis pareiškėjai buvo atsisakyta suteikti jos prašomą kreditą. Tada pareiškėja paprašė SCHUFA ištrinti su ja susijusį įrašą ir suteikti jai galimybę susipažinti su atitinkamais duomenimis, tačiau SCHUFA jai pranešė tik atitinkamą kreditingumo balų rodiklį ir apskritai principus, kuriais grindžiamas šių balų apskaičiavimo metodas, ir neinformavo pareiškėjos nei apie konkrečius duomenis, į kuriuos buvo atsižvelgta atliekant šį apskaičiavimą, nei apie jiems šiomis aplinkybėmis priskirtą svarbą, nurodžiusi, kad apskaičiavimo metodas yra komercinė paslaptis.

3. Kadangi pareiškėja teigia, kad SCHUFA atsisakymas patenkinti jos prašymą prieštarauja duomenų apsaugos tvarkai, Teisingumo Teismas turės priimti sprendimą dėl BDAR nustatytų apribojimų kreditingumo vertinimo agentūrų ekonominei veiklai finansų sektoriuje, ypač duomenų tvarkymo srityje, ir dėl pripažintino poveikio komercinėms paslaptims. Be to, Teisingumo Teismas turės patikslinti tam tikromis BDAR nuostatomis nacionalinės teisės aktų leidėjui suteiktų reglamentavimo įgaliojimų apimtį nukrypstant nuo šiuo teisės aktu siekiamo bendro derinimo tikslo.

II. Teisinis pagrindas

A. Sąjungos teisė

4. BDAR 4 straipsnio 4 punkte nustatyta:

Šiame reglamente:

<…>

4) profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu.“

5. BDAR 6 straipsnyje „Tvarkymo teisėtumas“ nurodyta:

„1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b) tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

c) tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

d) tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

e) tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

f) tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

2. Valstybės narės gali toliau taikyti arba nustatyti konkretesnes nuostatas šio reglamento taisyklių taikymui pritaikyti, kiek tai susiję su duomenų tvarkymu, kad būtų laikomasi 1 dalies c ir e punktų, tiksliau nustatydamos konkrečius duomenų tvarkymui keliamus reikalavimus ir kitas teisėto ir sąžiningo duomenų tvarkymo užtikrinimo priemones, įskaitant kitais specialiais IX skyriuje numatytais duomenų tvarkymo atvejais.

3. 1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

a) Sąjungos teisėje; arba

b) duomenų valdytojui taikomoje valstybės narės teisėje.

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomoms taisyklėms pritaikyti, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti, ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas, kaip antai tas, kurios skirtos kitiems specialiems IX skyriuje nustatytiems duomenų tvarkymo atvejams. Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

4. Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a) visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b) aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c) asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 9 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 10 straipsnį;

d) numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e) tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą“.

6. BDAR 15 straipsnyje „Duomenų subjekto teisė susipažinti su duomenimis“ nustatyta:

„1. Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

<…>

h) tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

<…>“

7. BDAR 21 straipsnyje „Teisė nesutikti“ nustatyta:

„1. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

<…>“

8. BDAR 22 straipsnyje „Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą“ nustatyta:

„1. Duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį.

2. 1 dalis netaikoma, jeigu sprendimas:

a) yra būtinas siekiant sudaryti arba vykdyti sutartį tarp duomenų subjekto ir duomenų valdytojo;

b) yra leidžiamas Sąjungos arba valstybės narės teisėje, [kuri] taikom[a] duomenų valdytojui ir [kuria] taip pat nustatomos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti; arba

c) yra pagrįstas aiškiu duomenų subjekto sutikimu.

3. 2 dalies a ir c punktuose nurodytais atvejais duomenų valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos duomenų subjekto teisės bei laisvės ir teisėti interesai, bent teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.

4. 2 dalyje nurodyti sprendimai negrindžiami 9 straipsnio 1 dalyje nurodytais specialių kategorijų asmens duomenimis, nebent taikomi 9 straipsnio 2 dalies a arba g punktai ir yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.“

B. Vokietijos teisė

9. 2017 m. birželio 30 d. Bundesdatenschutzgesetz (Duomenų apsaugos įstatymas)(3), iš dalies pakeisto 2019 m. lapkričio 20 d. įstatymu(4) (toliau – BDSG), 31 straipsnyje „Ekonominių sandorių apsauga „scoring“ (kreditingumo vertinimas balais) ir informacijos apie mokumą atveju“ nustatyta:

„1) Naudoti tam tikro fizinio asmens elgesio ateityje tikimybės rodiklį siekiant priimti sprendimą dėl sutartinių santykių su šiuo asmeniu pradėjimo, vykdymo ar užbaigimo (scoring) leidžiama tik tuo atveju, kai:

1. buvo laikytasi duomenų apsaugos teisės aktų,

2. tikimybės rodikliui apskaičiuoti buvo naudoti duomenys, kurių reikšmė tam tikro elgesio tikimybei apskaičiuoti yra įrodyta remiantis mokslo pripažintu matematiniu statistiniu metodu,

3. tikimybės rodikliui apskaičiuoti buvo naudojami ne tik adresų duomenys ir

4. jei naudojant adresų duomenis, prieš apskaičiuojant tikimybės rodiklį, atitinkamas asmuo buvo informuotas apie planuojamą duomenų naudojimą; informavimas turi būti dokumentuojamas.

2) Naudoti kreditingumo vertinimo agentūrų apskaičiuotą tikimybės rodiklį, susijusį su fizinio asmens mokumu ir pasiryžimu mokėti, tuo atveju, kai įtraukiama informacija apie skolinius reikalavimus, leidžiama tik tuo atveju, kai įvykdytos 1 dalyje nustatytos sąlygos ir kai įtraukiami tik skoliniai reikalavimai dėl nepaisant suėjusio termino taip ir neįvykdytos prievolės,

1. kurie yra pripažinti įsiteisėjusiame ar skubiai vykdytinu paskelbtame teismo sprendime arba dėl kurių yra išduotas vykdomasis raštas pagal Zivilprozessordnung (Civilinio proceso kodeksas) 794 straipsnį,

2. kurie yra pripažinti pagal Insolvenzordnung (Bankroto įstatymas) 178 straipsnį ir kurių skolininkas neužginčijo teismo posėdyje, kuriame nagrinėjami kreditorių reikalavimai,

3. kuriuos skolininkas yra aiškiai pripažinęs,

4. dėl kurių:

a) skolininkui po to, kai suėjo reikalavimo įvykdymo terminas, bent du kartus raštu buvo pateiktas įspėjimas,

b) pirmasis įspėjimas buvo pateiktas ne vėliau kaip prieš keturias savaites,

c) skolininkui iš anksto, tačiau ne vėliau kaip kartu su pirmuoju įspėjimu, buvo pranešta, kad šį reikalavimą į savo renkamus duomenis gali įtraukti kreditingumo vertinimo agentūra, ir

d) skolininkas reikalavimo neužginčijo arba

5. dėl kurių sudaryta sutartis atsižvelgiant į įsiskolinimus gali būti nutraukta iš anksto neįspėjus ir dėl kurių skolininkui iš anksto buvo pranešta, kad šį reikalavimą į savo renkamus duomenis gali įtraukti kreditingumo vertinimo agentūra.

Vertinant duomenų tvarkymo, įskaitant tikimybės rodiklių ir kitų kreditingumui reikšmingų duomenų apskaičiavimą, leistinumą taikomos ir kitos bendrosios duomenų apsaugą reglamentuojančios normos.“

III. Ginčo faktinės aplinkybės, pagrindinė byla ir prejudiciniai klausimai

10. Iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad pareiškėjai pagrindinėje byloje kreditas nebuvo suteiktas dėl SCHUFA atlikto mokumo vertinimo. SCHUFA yra privatinės teisės bendrovė, teikianti kreditingumo informacijos paslaugą – ji teikia savo klientams informaciją apie vartotojų mokumą. Šiuo tikslu SCHUFA atlieka kreditingumo vertinimą, per kurį, remdamasi tam tikromis asmens savybėmis, taikydama matematinį statistinį metodą prognozuoja elgesio ateityje, pavyzdžiui, kredito grąžinimo, tikimybę.

11. Pareiškėja paprašė SCHUFA ištrinti su ja susijusius netikslius duomenis ir suteikti jai galimybę susipažinti su saugomais jos duomenimis. SCHUFA pranešė pareiškėjai, be kita ko, apie apskaičiuotą jos kreditingumo balų rodiklį ir jo apskaičiavimo principą, tačiau nepranešė apie įvairių duomenų svorį atliekant šį apskaičiavimą. SCHUFA mano, kad neprivalo atskleisti savo apskaičiavimo metodų, nes jie yra profesinė ir komercinė paslaptis. Be to, ji mano, kad informaciją teikia tik savo klientams, kurie priima pačius sprendimus dėl kredito sutarčių.

12. Pareiškėja pateikė duomenų apsaugos priežiūros pareigūnui administracinį skundą dėl SCHUFA ataskaitos, kuriame prašė atsakovo įpareigoti šią bendrovę pateikti ir ištrinti informaciją pagal jos prašymą. Sprendime dėl skundo HBDI nustatė, kad dėl bendrovės nereikia imtis jokių papildomų veiksmų, nes ji laikėsi Vokietijos federalinio duomenų apsaugos įstatymo reikalavimų.

13. Prašymą priimti prejudicinį sprendimą pateikusiame teisme nagrinėjamas pareiškėjos skundas dėl atsakovo sprendimo. Šis teismas mano, kad, siekiant priimti sprendimą pagrindinėje byloje, svarbu nustatyti, ar informacijos apie kreditingumą paslaugų teikėjų veikla, kurią vykdydami jie apskaičiuoja su asmenimis susijusius kreditingumo balus ir perduoda juos tretiesiems asmenims, nepateikdami jokių kitų rekomendacijų ar pastabų, patenka į BDAR 22 straipsnio 1 dalies taikymo sritį.

14. Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

1) Ar [BDAR] 22 straipsnio 1 dalis turi būti aiškinama taip, kad automatinis tikimybės, ar duomenų subjektas ateityje pajėgs grąžinti kreditą, apskaičiavimas yra tik automatiniu tvarkymu (įskaitant profiliavimą) grindžiamas sprendimas, kuris duomenų subjektui turi teisinių pasekmių arba jam daro panašų didelį poveikį, kai šį rodiklį, apskaičiuotą naudojant duomenų subjekto asmens duomenis, duomenų valdytojas perduoda trečiajam duomenų valdytojui, kuris iš esmės šiuo rodikliu grindžia savo sprendimą dėl sutartinių santykių su duomenų subjektu pradėjimo, vykdymo ar užbaigimo?

2) Jeigu į pirmąjį klausimą būtų atsakyta neigiamai, ar [BDAR] 6 straipsnio 1 dalis ir 22 straipsnis turi būti aiškinami taip, kad jiems prieštarauja nacionalinės teisės nuostata, pagal kurią naudoti tikimybės rodiklį (nagrinėjamu atveju susijusį su fizinio asmens mokumu ir pasiryžimu mokėti įtraukiant informaciją apie reikalavimus), susijusį su tam tikru fizinio asmens elgesiu ateityje siekiant priimti sprendimą dėl sutartinių santykių su šiuo asmeniu pradėjimo, vykdymo ar užbaigimo (scoring), leidžiama tik tuo atveju, kai įvykdytos tam tikros tolesnės sąlygos, išsamiau apibūdintos prašymo priimti prejudicinį sprendimą motyvuose?“

IV. Procesas Teisingumo Teisme

15. 2021 m. spalio 1 d. nutartį dėl prašymo priimti prejudicinį sprendimą Teisingumo Teismo kanceliarija gavo 2021 m. spalio 15 d.

16. Šalys pagrindinėje byloje, SCHUFA, Danijos, Portugalijos, Suomijos vyriausybės ir Europos Komisija pateikė rašytines pastabas per Europos Sąjungos Teisingumo Teismo statuto 23 straipsnyje nustatytą terminą.

17. 2023 m. sausio 26 d. teismo posėdyje šalių pagrindinėje byloje atstovai ad litem, SCHUFA, Vokietijos ir Suomijos vyriausybių atstovai bei Komisija pateikė žodines pastabas.

V. Teisinė analizė

A. Įžanginės pastabos

18. Kadangi rinkos ekonomikos sąlygomis abipusis pasitikėjimas yra bet kokio sutartinio įsipareigojimo pagrindas, verslo požiūriu iš esmės suprantama, kad paslaugų teikėjai ir prekių tiekėjai nori pažinti savo klientus ir sužinoti su tokiu sutartiniu įsipareigojimu susijusią riziką. Kreditingumo vertinimo bendrovės gali padėti sukurti šį tarpusavio pasitikėjimą naudodamos statistikos metodus, leidžiančius įmonėms nustatyti, ar šiuo atveju tenkinami tam tikri reikšmingi kriterijai, įskaitant jų klientų kreditingumą. Taip jos padeda įmonėms laikytis įvairių Sąjungos teisės nuostatų, pagal kurias, kai sudaromos tam tikrų kategorijų sutartys, tarp jų – kredito sutartys, joms tenka būtent tokia pareiga(5). Kai kurie iš naudojamų metodų gali būti grindžiami klientų asmens duomenimis, surinktais ir tvarkomais automatizuotai, naudojant informacines technologijas. Su šiuo interesu kertasi duomenų subjektų interesas žinoti, kaip duomenys tvarkomi ir saugomi ir kokius metodus įmonės naudoja priimdamos sprendimus dėl savo klientų.

19. Nuo 2018 m. gegužės 25 d. taikomu BDAR buvo sukurtas teisinis pagrindas, kuriuo siekiama atsižvelgti į minėtus interesus visoje Sąjungoje, be kita ko, nustatant tam tikrus asmens duomenų tvarkymo apribojimus. Taigi automatizuotam duomenų tvarkymui, kuris gali turėti teisinių pasekmių fiziniam asmeniui arba daryti jam didelį poveikį, taikomi specialūs apribojimai. Šie apribojimai pateisinami vykdant profiliavimą, t. y. asmeninių aspektų vertinimą, kuriuo siekiama išanalizuoti ar prognozuoti fizinio asmens ekonominę padėtį, patikimumą ar elgesį. Šiomis aplinkybėmis bus nagrinėjami BDAR 22 straipsnyje nustatyti apribojimai, kurie yra svarbūs šioje byloje ir kuriais siekiama apsaugoti žmogaus orumą, neleidžiant, kad sprendimas dėl duomenų subjekto būtų priimtas remiantis vien automatizuotu duomenų tvarkymu, be jokio žmogaus įsikišimo, kuriuo būtų galima prireikus patikrinti, ar šis sprendimas buvo priimtas teisingai, sąžiningai ir nediskriminuojant(6). Žmogaus dalyvavimas, kurį reikia numatyti, kai vykdomas tokio pobūdžio automatizuotas duomenų tvarkymas, užtikrina, kad duomenų subjektas turės galimybę pareikšti savo nuomonę, gauti paaiškinimą dėl sprendimo, priimto užbaigus tokį vertinimą, ir ginčyti tokį sprendimą, jei su juo nesutiktų. Pirmojo prejudicinio klausimo dalykas yra BDAR 22 straipsnyje numatytų apribojimų apimtis.

20. Nors BDAR sukurta bendra asmens duomenų apsaugos reglamentavimo sistema, kuri iš esmės yra išsami, vis dėlto reikėtų pažymėti, kad pagal tam tikras jo nuostatas valstybėms narėms suteikiama galimybė numatyti papildomas, griežtesnes arba nukrypti leidžiančias nacionalines taisykles, kuriomis valstybėms narėms paliekama diskrecija pasirinkti, kaip tos nuostatos gali būti įgyvendinamos („leidžiančiosios nuostatos“), jeigu tos taisyklės neturi neigiamo poveikio BGPD turiniui ir tikslams(7). Šių valstybių narių reglamentavimo įgaliojimų apimtis yra antrojo šioje išvadoje nagrinėjamo prejudicinio klausimo esmė.

B. Dėl priimtinumo

21. HBDI ir SCHUFA ginčija prašymo priimti prejudicinį sprendimą priimtinumą. Šiuo klausimu SCHUFA tvirtina, kad prašymas priimti prejudicinį sprendimą nėra nei būtinas ginčui išspręsti, nei pakankamai motyvuotas; jis leistų pasinaudoti antra teisių gynimo priemone ir prieštarautų kitiems to paties prašymą priimti prejudicinį sprendimą pateikusio teismo pateiktiems prašymams priimti prejudicinį sprendimą.

1. Ginčo išsprendimą lemiantis prejudicinių klausimų pobūdis

22. Iš pradžių reikia priminti, kad pagal Teisingumo Teismo suformuotą jurisprudenciją, šiam teismui ir nacionaliniams teismams bendradarbiaujant pagal SESV 267 straipsnį, tik bylą nagrinėjantis ir už sprendimo priėmimą atsakingas nacionalinis teismas, atsižvelgdamas į konkrečias bylos aplinkybes, turi įvertinti tai, ar jo sprendimui priimti būtinas prejudicinis sprendimas, ir Teisingumo Teismui pateikiamų klausimų svarbą. Todėl jeigu pateikti klausimai susiję su Sąjungos teisės nuostatos išaiškinimu, Teisingumo Teismas iš principo turi priimti sprendimą. Vadinasi, klausimams dėl Sąjungos teisės taikoma svarbos prezumpcija. Teisingumo Teismas gali atsisakyti priimti sprendimą dėl nacionalinio teismo pateikto prejudicinio klausimo tik jeigu akivaizdu, kad prašomas Sąjungos teisės nuostatos išaiškinimas arba galiojimo vertinimas visiškai nesusijęs su pagrindinėje byloje nagrinėjamo ginčo aplinkybėmis ar dalyku, jeigu problema hipotetinė arba Teisingumo Teismas neturi informacijos apie faktines ir teisines aplinkybes, būtinos tam, kad naudingai atsakytų į jam pateiktus klausimus(8).

23. Šioje byloje šios sąlygos neįvykdytos, nes iš prašymo priimti prejudicinį sprendimą 40 punkto aiškiai matyti, kad nuo pirmojo prejudicinio klausimo priklauso bylos baigtis. Prašymą priimti prejudicinį sprendimą pateikęs teismas paaiškina, kad jeigu BDAR 22 straipsnio 1 dalį reikėtų aiškinti taip, kad kreditingumo vertinimo bendrovės atliktas kreditingumo įvertinimas balais yra atskiras sprendimas, kaip tai suprantama pagal šio reglamento 22 straipsnio 1 dalį, šiai bendrovei, visų pirma jos veiklai, būtų taikomas draudimas priimti automatizuotą atskirą sprendimą. Todėl valstybės narės lygmeniu reikalingas teisinis pagrindas, kaip tai suprantama pagal BDAR 22 straipsnio 2 dalies b punktą, ir šiuo atveju reikšmingas tik BDSG 31 straipsnis. Vis dėlto prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla rimtų abejonių dėl šios nacionalinės nuostatos atitikties BDAR 22 straipsnio 1 daliai. Prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, SCHUFA ne tik veikė be teisinio pagrindo, bet ir pažeidė pastarojoje nuostatoje įtvirtintą draudimą. Taigi pareiškėja turėtų teisę reikalauti, kad HBDI, kaip priežiūros institucija, toliau nagrinėtų jos bylą. Vadinasi, akivaizdu, kad atsakymas į prašymą priimti prejudicinį sprendimą pateikusio teismo klausimus lemia ginčo išsprendimą.

24. SCHUFA taip pat teigia, kad prašymas priimti prejudicinį sprendimą nepriimtinas, nes pareiškėja jau buvo informuota apie kreditingumo vertinimo balų logiką. Vis dėlto iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad pareiškėja norėjo būti kuo išsamiau informuota apie visus surinktus duomenis ir metodą, naudojamą nustatant kreditingumo vertinimo balus. Kadangi SCHUFA bendrai informavo pareiškėją, kaip iš esmės apskaičiuojami balai, tačiau nenurodė, į kokią informaciją atsižvelgiama apskaičiuojant kreditingumo vertinimo balus ir koks yra jos svoris, akivaizdu, kad SCHUFA neįvykdė šio prašymo pateikti informaciją. Vadinasi, pareiškėja turi teisėtą interesą, kad priimant prejudicinį sprendimą būtų nustatytos duomenų subjekto teisės, kuriomis būtų galima remtis prieš tokią kreditingumo vertinimo bendrovę, kaip SCHUFA.

2. Dviejų lygiagrečių teisių gynimo priemonių buvimas

25. Dėl tariamo pavojaus, kad duomenų subjektas gali pasinaudoti antra teisių gynimo priemone, reikia pažymėti, kad, priešingai, nei savo pastabose teigia SCHUFA, aplinkybė, kad pareiškėja iš pradžių kreipėsi į bendrosios kompetencijos teismą, o vėliau į prašymą priimti prejudicinį sprendimą pateikusį administracinį teismą, neužkerta kelio prašymo priimti prejudicinį sprendimą priimtinumui. Pareikšdama šiuos du skundus pareiškėja pasinaudojo BDAR 78 ir 79 straipsniuose numatytomis teisių gynimo priemonėmis, o šiose nuostatose užtikrinama teisė į veiksmingą teisminę gynybą nuo atitinkamos priežiūros institucijos ir duomenų valdytojo. Kadangi šios teisių gynimo priemonės yra lygiagrečios ir savarankiškos ir viena nėra papildoma kitos atžvilgiu, jomis galima naudotis lygiagrečiai(9). Taigi pareiškėjos negalima kaltinti jokiu pažeidimu ginant savo teises, kurios yra saugomos pagal BDAR.

26. Taip pat reikia priminti, kad pagal suformuotą Teisingumo Teismo jurisprudenciją, nesant Sąjungos teisės aktų atitinkamoje srityje, kiekviena valstybė narė, remdamasi proceso autonomijos principu, savo nacionalinės teisės sistemoje turi paskirti kompetentingus teismus ir nustatyti išsamias ieškinių, skirtų iš Sąjungos teisės kylančių asmenų teisių apsaugai užtikrinti, pareiškimo procesines taisykles(10). Taigi nėra jokios objektyvios priežasties abejoti valstybės narės teisių gynimo priemonių sistema, išskyrus atvejus, kai kyla grėsmė Sąjungos teisės veiksmingumui, pavyzdžiui, jei iš nacionalinių teismų atimama SESV 267 straipsnyje numatyta galimybė arba jiems nenumatoma tame straipsnyje nustatyta pareiga pateikti Teisingumo Teismui klausimus dėl Sąjungos teisės išaiškinimo ar galiojimo.

27. Nagrinėjamu atveju nėra jokios informacijos, kad dviejų teisių gynimo priemonių, leidžiančių veiksmingai paduoti skundą atitinkamai priežiūros institucijai ir duomenų valdytojui, buvimas keltų grėsmę Sąjungos teisės veiksmingumui arba atimtų iš nacionalinių teismų galimybę pasinaudoti SESV 267 straipsnyje numatyta procedūra. Atvirkščiai, kaip jau paaiškinau, atsižvelgiant į BDAR 78 ir 79 straipsnius, akivaizdu, kad BDAR nedraudžiama tokia teisių gynimo priemonių sistema, pagal kurią valstybei narei paliekama atsakomybė paskirti kompetentingus teismus ir nustatyti ieškinių pareiškimo teisme procesines taisykles, visiškai laikantis procesinės autonomijos principo. Teisingumo Teismas tai pripažino savo naujausioje jurisprudencijoje(11).

28. Galiausiai reikia pažymėti, kad SCHUFA apsiriboja pagal Vokietijos teisę prieinamų teisių gynimo priemonių kritika, tačiau tiksliai nepaaiškina, kodėl Teisingumo Teismo sprendimas, kuris būtų priimtas šioje byloje dėl prašymo priimti prejudicinį sprendimą, nebūtų naudingas ginčui išspręsti. Kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas, Teisingumo Teismo pateiktas BDAR 22 straipsnio 1 dalies išaiškinimas leistų atsakovui įgyvendinti savo kontrolės įgaliojimus SCHUFA atžvilgiu laikantis Sąjungos teisės. Taigi man atrodo, kad SCHUFA argumentai, kuriais ginčijamas prašymo priimti prejudicinį sprendimą priimtinumas, yra nepagrįsti.

3. Tariamas prašymo priimti prejudicinį sprendimą motyvų nenurodymas

29. Šių samprotavimų iš esmės pakanka SCHUFA argumentams atmesti. Siekiant geriau suprasti šią bylą, man atrodo vis dėlto būtina išnagrinėti argumentą, susijusį su tariamu prašymo priimti prejudicinį sprendimą motyvų nenurodymu. Priešingai, nei teigia SCHUFA, nutartyje dėl prašymo priimti prejudicinį sprendimą nagrinėjamoje byloje kylantys klausimai išdėstyti pakankamai išsamiai, kad būtų laikomasi Teisingumo Teismo procedūros reglamento 94 straipsnio c punkto reikalavimų. Konkrečiau kalbant, prašymą priimti prejudicinį sprendimą pateikęs teismas paaiškina, kad pareiškėja siekia apginti savo teises prieš SCHUFA. Prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad pagal BDAR 22 straipsnio 1 dalį iš principo gali būti pareiškėjai suteikta apsauga automatizuotai tvarkant jos asmens duomenis, nebent ji būtų aiškinamas siaurai.

30. Prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad, atsižvelgiant į svarbą, kurią tam tikros įmonės teikia kreditingumo vertinimo bendrovių apskaičiuotam kreditingumo vertinimo balui, siekiant prognozavimo būdu įvertinti fizinio asmens ekonominį pajėgumą, šis kreditingumo įvertinimas balais galėtų būti laikomas savarankišku „sprendimu“, kaip tai suprantama pagal minėtą nuostatą. Toks aiškinimas būtų būtinas siekiant užpildyti teisinę spragą, atsiradusią dėl to, kad priešingu atveju duomenų subjektas negalėtų gauti būtinos informacijos pagal BDAR 15 straipsnio 1 dalies h punktą. Atsižvelgdamas į šiuos išsamius motyvus, manau, kad SCHUFA argumentus reikia atmesti ir nuspręsti, kad prašymas priimti prejudicinį sprendimą yra priimtinas.

C. Dėl bylos esmės

1. Dėl pirmojo prejudicinio klausimo

a) BDAR 22 straipsnio 1 dalyje numatytas bendras draudimas

31. BDAR 22 straipsnio 1 dalis turi ypatumų, palyginti su kitais šiame reglamente įtvirtintais duomenų tvarkymo apribojimais, nes joje įtvirtinta duomenų subjekto „teisė“ reikalauti, kad jam nebūtų taikomas vien automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas. Nepaisant vartojamos terminologijos, pagal BDAR 22 straipsnio 1 dalį nereikalaujama, kad duomenų subjektas aktyviai remtųsi šia teise. Aiškinimas atsižvelgiant į šio reglamento 71 konstatuojamąją dalį ir į šios nuostatos struktūrą, visų pirma jos 2 dalį, kurioje nurodyti atvejai, kai toks automatizuotas tvarkymas yra leidžiamas tik išimtiniais atvejais, veikiau leidžia daryti išvadą, kad šia nuostata įtvirtinamas pirmiau apibūdinto pobūdžio sprendimų bendras draudimas. Atsižvelgiant į tai, reikia pažymėti, kad šis draudimas taikomas tik labai specifinėmis aplinkybėmis, t. y. būtent „sprendima[m]s, dėl kuri[ų] [duomenų subjektui] kyla teisin[ių] pasekm[ių]“ arba „kuri[e] jam panašiu būdu daro poveikį“.

32. Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar kreditingumo vertinimo bendrovės atliktas kreditingumo vertinimo balų apskaičiavimas patenka į BDAR 22 straipsnio 1 dalies taikymo sritį, kai gautas kreditingumo vertinimo balas perduodamas įmonei, kuriai jis turi lemiamą reikšmę priimant sprendimą dėl sutartinių santykių su duomenų subjektu pradėjimo, vykdymo ar nutraukimo. Kitaip tariant, reikia išsiaiškinti, ar ši nuostata taikoma informaciją apie kreditingumą teikiančioms bendrovėms, kurios pateikia finansų įmonėms kreditingumo rizikos įvertinimą balais. Nagrinėjant šį klausimą reikės nustatyti, ar nagrinėjamu atveju įvykdytos BDAR 22 straipsnio 1 dalyje nurodytos sąlygos.

b) BDAR 22 straipsnio 1 dalies taikytinumas

1) Profiliavimo, kaip jis suprantamas pagal BDAR 4 straipsnio 4 dalį, buvimas

33. Šioje nuostatoje pirmiausia reikalaujama, kad asmens duomenys būtų tvarkomi automatizuotai, o „profiliavimas“, kaip galima spręsti iš šios nuostatos formuluotės, laikomas tokio duomenų tvarkymo pakategore(12). Šiuo klausimu reikėtų pažymėti, kad SCHUFA atliekamas „scoring“ patenka į BDAR 4 straipsnio 4 dalyje pateiktą teisinę apibrėžtį, nes taikant šią procedūrą asmens duomenys naudojami tam tikriems su fiziniais asmenimis susijusiems aspektams vertinti, kad būtų galima išanalizuoti ar prognozuoti aspektus, susijusius su jų ekonomine padėtimi, patikimumu ir tikėtinu elgesiu. Iš bylos medžiagos matyti, kad pagal SCHUFA taikomą metodą, remiantis tam tikrais kriterijais, nustatomas „balas“, t. y. rezultatas, leidžiantis daryti išvadas apie atitinkamo asmens mokumą. Galiausiai norėčiau pabrėžti, jog nė viena iš suinteresuotųjų šalių neginčija, kad nagrinėjama procedūra laikytina „profiliavimu“, todėl nagrinėjamu atveju ši sąlyga gali būti laikoma įvykdyta.

2) Sprendimas turi sukelti „teisinių pasekmių“ duomenų subjektui arba „daryti jam didelį poveikį“

34. Pagal BDAR 22 straipsnio 1 dalį reikalaujama, kad dėl atitinkamo sprendimo duomenų subjektui kiltų „teisin[ių] pasekm[ių]“ arba toks sprendimas jam „panašiu būdu dar[ytų] didelį poveikį“. Taigi BDAR pripažįstama, kad automatizuotas sprendimų priėmimas, įskaitant profiliavimą, gali turėti rimtų pasekmių duomenų subjektams. Nors BDAR nei sąvoka „teisinės pasekmės“, nei frazė „panašiu būdu daro didelį poveikį“ neapibrėžtos, iš vartojamų formuluočių aišku, kad šioje nuostatoje kalbama tik apie didelį poveikį turinčias pasekmes. Šiuo klausimu pirmiausia reikia atkreipti dėmesį į tai, kad BDAR 71 konstatuojamojoje dalyje kaip tipinis sprendimo, kuris daro „didelį poveikį“ duomenų subjektui, pavyzdys aiškiai nurodytas „automatini[s] internetinės kredito paraiškos atmetimas“.

35. Be to, reikia atsižvelgti į tai, kad, pirma, kadangi kredito paraiškos nagrinėjimas yra etapas iki paskolos sutarties sudarymo, tokio prašymo atmetimas duomenų subjektui gali sukelti „teisinių pasekmių“, nes jis nebegali turėti sutartinių santykių su nagrinėjama finansų įstaiga. Kita vertus, reikia pažymėti, kad toks atsisakymas taip pat gali turėti įtakos duomenų subjekto finansinei padėčiai. Vadinasi, logiška daryti išvadą, kad bet kuriuo atveju šis asmuo bus paveiktas „panašiu būdu“, kaip tai suprantama pagal šią nuostatą. Regis, Sąjungos teisės aktų leidėjas tai žinojo rengdamas BDAR 71 konstatuojamąją dalį, į kurią atsižvelgiant turi būti aiškinama šio reglamento 22 straipsnio 1 dalis. Taigi manau, kad, turint omenyje situaciją, kurioje atsidūrė pareiškėja, šioje byloje šios nuostatos sąlygos yra įvykdytos, neatsižvelgiant į tai, ar dėmesys būtų sutelktas į teisines, ar į ekonomines atsisakymo suteikti kreditą pasekmes.

3) „Sprendimas“ turi būti „grindžiamas tik automatizuotu duomenų tvarkymu“

36. Turi būti įvykdytos dvi papildomos sąlygos. Pirma, būtina, kad aktas, kuris yra „sprendimas“, būtų priimtas dėl duomenų subjekto. Antra, aptariamas sprendimas turi būti „grindžiamas tik automatizuotu duomenų tvarkymu“. Kalbant apie pastarąjį reikalavimą, nutartyje dėl prašymo priimti prejudicinį sprendimą dėstant faktines aplinkybes nenurodyta, kad, be SCHUFA taikomos matematinės ir statistinės procedūros, nustatomus balus kaip nors lemia koks nors individualus, žmogaus atliekamas vertinimas. Taigi balų nustatymas, kaip SCHUFA atliktas veiksmas, turi būti laikomas „grindžiamu tik automatizuotu duomenų tvarkymu“. Atsižvelgiant į tai, reikia turėti omenyje, kad finansų įstaiga, kuriai SCHUFA praneša apie balą, turi priimti suinteresuotojo asmens atžvilgiu tariamai atskirą aktą, t. y. suteikti arba atsisakyti suteikti jam kreditą. Todėl kyla klausimas, kuris iš šių dviejų veiksmų gali būti laikomas „sprendimu“, kaip tai suprantama pagal BDAR 22 straipsnio 1 dalį, ir šis klausimas bus nagrinėjamas toliau.

37. Kalbant apie pirmąją sąlygą, pirmiausia reikia nustatyti, koks yra „sprendimo“ teisinis pobūdis ir kokia turėtų būti jo forma. Etimologiškai ši sąvoka reiškia „nuomonę“ arba „poziciją“ dėl tam tikros situacijos. Jis taip pat turėtų būti „privalomo pobūdžio“, kad skirtųsi nuo paprastų „rekomendacijų“, kurios iš esmės nesukelia jokių teisinių ar faktinių pasekmių(13). Vis dėlto, priešingai, nei teigia HBDI, analogija su SESV 288 straipsnio ketvirta pastraipa man neatrodo tinkama šiomis aplinkybėmis, juolab kad ji nepagrįsta BDAR nuostatomis.

38. Tai, kad nėra teisinės apibrėžties, leidžia daryti išvadą, kad Sąjungos teisės aktų leidėjas pasirinko plačią sąvoką, galinčią apimti kelis aktus, kurie gali įvairiais būdais paveikti duomenų subjektą. Kaip jau nurodžiau, „sprendimas“, kaip jis suprantamas pagal BDAR 22 straipsnio 1 dalį, gali arba sukelti „teisin[ių] pasekm[ių]“, arba „panašiu būdu“ paveikti duomenų subjektą, o tai reiškia, kad aptariamas „sprendimas“ gali turėti ne tiek griežtai teisinį, kiek ekonominį ir socialinį poveikį. Kadangi BDAR 22 straipsnio 1 dalimi siekiama apsaugoti fizinius asmenis nuo galimai diskriminacinio ir neteisingo automatizuoto duomenų tvarkymo poveikio, man atrodo, kad čia būtinas ypatingas budrumas ir tai turi būti išreikšta aiškinant šią normą.

39. Galiausiai svarbu pabrėžti: kadangi veiksmai, priskirtini privačiai finansų įstaigai, rinkos ekonomikos sąlygomis taip pat gali turėti rimtų pasekmių atitinkamo asmens nepriklausomumui ir veiksmų laisvei, visų pirma kai reikia patvirtinti kredito prašytojo mokumą(14), nematau jokios objektyvios priežasties apriboti „sprendimo“ sąvoką tik griežtai viešąja sritimi, t. y. valstybės ir piliečio santykiais, kaip pateikdamas analogiją implicitiškai siūlo HBDI. Man atrodo, norint dėl duomenų subjekto priimtą poziciją pripažinti „sprendimu“, reikia vertinti kiekvieną konkretų atvejį, atsižvelgiant į konkrečias aplinkybes ir poveikio duomenų subjekto teisinei, ekonominei ir socialinei padėčiai rimtumą(15).

40. Remiantis pirmesniuose šios išvados punktuose išdėstytais kriterijais, reikia nustatyti, kuris „sprendimas“ šioje byloje nagrinėjamu atveju yra svarbus. Kaip minėta, viena vertus, yra aktas, kuriuo bankas sutinka arba atsisako suteikti pareiškėjui kreditą, ir, kita vertus, balas, gautas SCHUFA atlikus profiliavimo procedūrą. Mano nuomone, kategoriškai atsakyti į šį klausimą neįmanoma, nes toks kvalifikavimas priklauso nuo kiekvienos konkrečios bylos aplinkybių. Konkrečiai kalbant, labai svarbu, kokia yra sprendimų priėmimo procedūros struktūra. Šią procedūrą paprastai sudaro keli etapai, pavyzdžiui, profiliavimas, įvertinimas balais ir pats sprendimas dėl kredito suteikimo.

41. Man atrodo akivaizdu, kad jei finansų įstaiga gali imtis tokios procedūros, niekas jai netrukdo sutartimi tam tikras užduotis, pavyzdžiui, profiliavimą ir kreditingumo įvertinimą balais, pavesti kreditingumo vertinimo bendrovei. BDAR 22 straipsnio 1 dalyje nereikalaujama, kad šias užduotis vykdytų viena ar kelios įstaigos. Atsižvelgiant į tai, man atrodo, galimas tam tikrų įgaliojimų perdavimas išorės paslaugų teikėjui neturi esminės reikšmės atliekant analizę, nes toks perdavimas paprastai grindžiamas ekonominiais ir organizaciniais motyvais, kurie kiekvienu konkrečiu atveju gali skirtis.

42. Vis dėlto man atrodo, kad esminį vaidmenį atlieka aspektas, susijęs su klausimu, ar sprendimų priėmimo procedūra sukurta taip, kad kreditingumo vertinimo bendrovės atliktas įvertinimas balais iš anksto nulemia finansų įstaigos sprendimą suteikti arba atsisakyti suteikti kreditą. Jei kreditingumo įvertinimas balais atliekamas visiškai nesikišant žmogui, kuris prireikus galėtų patikrinti jo rezultatus ir dėl kredito prašytojo priimamo sprendimo teisingumą, logiška manyti, kad pats vertinimas yra BDAR 22 straipsnio 1 dalyje nurodytas „sprendimas“.

43. Manyti priešingai, nes priimti sprendimą suteikti ar atsisakyti suteikti kreditą formaliai priklauso finansų įstaigai, būtų ne tik pernelyg formalu, bet ir neteisinga, atsižvelgiant į konkrečias tokio atvejo aplinkybes. Regis, tai dar labiau patvirtina ta aplinkybė, kad BDAR 22 straipsnio 1 dalyje visiškai nereikalaujama, kad „sprendimas“ būtų konkrečios formos. Lemiamas veiksnys yra „sprendimo“ poveikis duomenų subjektui. Kadangi pats neigiamas kreditingumo įvertinimas balais gali sukelti nepalankių pasekmių duomenų subjektui, t. y. reikšmingai apriboti jo naudojimąsi laisvėmis arba stigmatizuoti jį visuomenėje, atrodytų teisinga pripažinti jį „sprendimu“, kaip tai suprantama pagal minėtą nuostatą, jeigu finansų įstaiga per sprendimo priėmimo procedūrą teikia jam esminę reikšmę(16). Tokiomis aplinkybėmis poveikis kredito prašytojui daromas nuo to etapo, kai kreditingumo vertinimo bendrovė ima vertinti jo mokumą, o ne vien galutiniu atsisakymo suteikti kreditą etapu, kai kredito įstaiga tik pritaiko šio įvertinimo rezultatą konkrečiu atveju(17).

44. Atsižvelgiant į tai, kad, pirma, pagal BDAR 22 straipsnio 1 dalį reikalaujama, kad atitinkamas sprendimas būtų grindžiamas „tik“ automatizuotu duomenų tvarkymu(18), ir, antra, nuostatos formuluotė paprastai yra bet kokio aiškinimo riba, atrodo būtina, kad automatizuotas duomenų tvarkymas išliktų vienintelis elementas, pateisinantis finansų įstaigos požiūrį į kredito prašytoją. Taip būtų tuo atveju, jei tokioje procedūroje dalyvautų žmogus, tačiau šis dalyvavimas negalėtų daryti įtakos priežastiniam ryšiui tarp automatizuoto duomenų tvarkymo ir galutinio sprendimo. Kreditingumo vertinimo bendrovė turėtų de facto priimti galutinį sprendimą vietoj finansų įstaigos. Tai priklauso nuo atitinkamos finansų įstaigos vidaus taisyklių ir praktikos, pagal kurią jai paprastai neturėtų būti palikta jokios vertinimo laisvės dėl kreditingumo balų taikymo kredito paraiškai.

45. Tai iš esmės yra fakto klausimas, kurį, mano nuomone, geriausiai gali įvertinti nacionaliniai teismai. Todėl siūlau prašymą priimti prejudicinį sprendimą pateikusiam teismui pačiam nustatyti, kiek finansų įstaigai paprastai yra privalomas tokios kreditingumo vertinimo bendrovės kaip SCHUFA atliktas kreditingumo įvertinimas balais, atsižvelgiant į pirmiau nurodytus kriterijus(19). Siekdamas pateikti naudingą atsakymą nacionaliniam teismui šioje byloje, remsiuosi nutartyje dėl prašymo priimti prejudicinį sprendimą pateikta informacija.

46. Šiuo klausimu pirmiausia norėčiau pažymėti, kad, kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas, nors šiuo sprendimo priėmimo etapu iš esmės žmogaus įsikišimas dar įmanomas, sprendimą pradėti sutartinius santykius su duomenų subjektu „praktikoje <…> iš esmės nulemia kredito vertinimo agentūrų pateiktas kreditingumo rodiklis, kad trečiojo duomenų valdytojo priimamas sprendimas praktiškai nieko nereiškia“. Kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas, „sprendimą, ar ir kaip trečiajam duomenų valdytojui sudaryti sutartį su duomenų subjektu, galiausiai nulemia automatiniu duomenų tvarkymo būdu kreditingumo vertinimo agentūros apskaičiuotas kreditingumo rodiklis“. Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat paaiškina, kad trečiasis duomenų valdytojas privalo savo sprendimą grįsti ne tik kreditingumo rodikliu, tačiau „paprastai tik juo ir grindžia“. Jis priduria: „Gali būti, kad kreditą bus atsisakyta suteikti nepaisant iš esmės pakankamo kreditingumo rodiklio (dėl kitų priežasčių, pavyzdžiui, dėl trūkstamų garantijų arba su investicija susijusių abejonių), tačiau nepakankamas kreditingumo rodiklis vartojimo paskolų srityje beveik kiekvienu atveju nulems atsisakymą suteikti kreditą net ir tada, kai visais kitais atžvilgiais investicija atrodys naudinga.“ Galiausiai minėtas teismas nurodo: „Kad kreditingumo rodikliai suteikiant kreditus ir nustatant jų sąlygas vaidina lemiamą vaidmenį, rodo duomenų apsaugos priežiūros institucijų patirtis.“

47. Man atrodo, pirmiau išdėstyti argumentai, atsižvelgiant į faktinių aplinkybių vertinimą, kurį kiekvienu konkrečiu atveju turi atlikti nacionalinis teismas, rodo, kad kreditingumo vertinimo bendrovės nustatytas ir finansų įstaigai perduotas įvertinimas balais paprastai iš anksto nulemia pastarosios įstaigos sprendimą dėl kredito suteikimo arba atsisakymo jį suteikti duomenų subjektui, todėl ši pozicija vykstant procedūrai turi būti laikoma tik formalia(20). Vadinasi, pats įvertinimas balais turi būti laikomas „sprendimu“, kaip tai suprantama pagal BDAR 22 straipsnio 1 dalį.

48. Tokia išvada man atrodo pagrįsta, nes bet koks kitas aiškinimas keltų abejonių dėl Sąjungos teisės aktų leidėjo šia nuostata siekiamo tikslo apsaugoti duomenų subjektų teises. Kaip teisingai nurodė prašymą priimti prejudicinį sprendimą pateikęs teismas, jei BDAR 22 straipsnio 1 dalies formuluotė būtų aiškinama siaurai, atsirastų teisinės apsaugos spraga: kreditingumo vertinimo bendrovė, iš kurios turėtų būti gauta duomenų subjekto prašoma informacija, neprivalo jos suteikti pagal BDAR 15 straipsnio 1 dalies h punktą, nes ji neva pati nepriima „automatizuoto sprendimo“, kaip tai suprantama pagal šią nuostatą, o finansų įstaiga, kuri priima sprendimą remdamasi automatizuotai nustatytu rodikliu ir kuri privalo pateikti informaciją, reikalaujamą pagal BDAR 15 straipsnio 1 dalies h punktą, negali jos pateikti, nes tokios informacijos neturi.

49. Taigi finansų įstaiga negalėtų patikrinti kredito prašytojo kreditingumo įvertinimo, jei sprendimas būtų ginčijamas, kaip reikalaujama pagal BDAR 22 straipsnio 3 dalį, arba užtikrinti sąžiningo, skaidraus ir nediskriminacinio požiūrio, taikydama tinkamas matematines ar statistines procedūras ir tinkamas technines ir organizacines priemones, kaip to reikalaujama pagal BDAR 71 konstatuojamosios dalies šeštą sakinį(21). Kad būtų išvengta tokios situacijos, kuri akivaizdžiai prieštarautų pirmesniame šios išvados punkte paminėtam teisės akto tikslui, siūlau BDAR 22 straipsnio 1 dalį aiškinti atsižvelgiant į realų kreditingumo vertinimo balais poveikį duomenų subjekto padėčiai.

50. Toks požiūris man atrodo logiškas, nes kreditingumo vertinimo bendrovė paprastai turėtų būti vienintelis subjektas, galintis imtis veiksmų dėl kitų duomenų subjekto prašymų, grindžiamų teisėmis, kurios taip pat užtikrinamos pagal BDAR, t. y. BDAR 16 straipsnyje nurodyta teise reikalauti ištaisyti duomenis, jei paaiškėtų, kad asmens duomenys, naudojami atliekant kreditingumo įvertinimą balais, yra netikslūs, ir BDAR 17 straipsnyje nurodyta teise reikalauti ištrinti duomenis, jei minėti duomenys būtų tvarkomi neteisėtai. Kadangi finansų įstaiga paprastai nedalyvauja renkant tuos duomenis arba sudarant profilį, kai šios užduotys perduotos trečiajam asmeniui, pagrįstai galima atmesti galimybę, kad ji gali veiksmingai užtikrinti tokių teisių paisymą. Duomenų subjektas neturi patirti nepalankių pasekmių dėl tokio užduočių perdavimo.

51. Man atrodo, kad jei kreditingumo vertinimo bendrovė būtų laikoma atsakinga dėl kreditingumo įvertinimo balais nustatymo, o ne dėl vėlesnio šio įvertinimo naudojimo, tai būtų veiksmingiausias būdas užtikrinti duomenų subjekto pagrindinių teisių, t. y. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnyje nurodytos teisės į asmens duomenų apsaugą, taip pat Chartijos 7 straipsnyje nurodytos teisės į privataus gyvenimo gerbimą, apsaugą, nes galiausiai ši veikla yra galimos žalos „šaltinis“. Atsižvelgiant į riziką, kad kreditingumo vertinimo bendrovės nustatytu kreditingumo įvertinimo balu gali naudotis daugybė finansų įstaigų, atrodo pagrįsta leisti duomenų subjektui ginti savo teises tiesiogiai prieš šią bendrovę.

52. Dėl pirmiau išdėstytų priežasčių manau, kad BDAR 22 straipsnio 1 dalies sąlygos įvykdytos, todėl ši nuostata taikytina tokiomis aplinkybėmis, kokios susiklostė pagrindinėje byloje.

c) BDAR 15 straipsnio 1 dalies h punkte nustatytos teisės į informaciją taikymo sritis

53. Šiomis aplinkybėmis nebūtų per daug pažymėti, kaip svarbu, kad duomenų valdytojas visapusiškai laikytųsi savo pareigų teikti informaciją duomenų subjektui. Pagal BDAR 15 straipsnio 1 dalies h punktą duomenų subjektas turi teisę iš duomenų valdytojo gauti ne tik patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, bet ir kitą informaciją, pavyzdžiui, apie automatizuotą sprendimų priėmimą, įskaitant profiliavimą, kaip tai suprantama pagal BDAR 22 straipsnį, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

54. Kadangi SCHUFA atsisakė atskleisti pareiškėjai tam tikrą informaciją, susijusią su apskaičiavimo metodu, motyvuodama tuo, kad tai yra komercinė paslaptis, atrodo tikslinga paaiškinti teisės į informaciją pagal BDAR 15 straipsnio 1 dalies h punktą taikymo sritį, ypač kiek tai susiję su pareiga pateikti „prasmingą informaciją apie loginį jo pagrindimą“. Mano nuomone, ši nuostata turi būti aiškinama taip, kad ji iš esmės apima ir apskaičiavimo metodą, kreditingumo vertinimo bendrovės naudojamą kreditingumo įvertinimui balais nustatyti, jei nėra jokių priešingų interesų, kuriuos reikėtų apsaugoti. Šiuo klausimu reikėtų priminti BDAR 63 konstatuojamąją dalį, iš kurios, be kita ko, matyti, kad teisė gauti asmens duomenis „neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga“ (kursyvu išskirta mano).

55. Aiškinant BDAR 15 straipsnio 1 dalies h punktą atsižvelgiant į šio reglamento 58 ir 63 konstatuojamąsias dalis galima padaryti kelias išvadas. Pirma, akivaizdu, jog Sąjungos teisės aktų leidėjas puikiai suprato, kad Chartijos 8 straipsniu garantuojama teisė į asmens duomenų apsaugą ir Chartijos 17 straipsnio 2 dalyje nurodyta teisė į intelektinės nuosavybės apsaugą gali kirstis tarpusavyje. Antra, akivaizdu, kad jis neketino vienos pagrindinės teisės paaukoti dėl kitos. Atvirkščiai, išsamesnė BDAR nuostatų analizė leidžia daryti išvadą, kad Sąjungos teisės aktų leidėjas norėjo užtikrinti teisingą teisių ir pareigų pusiausvyrą.

56. Mano nuomone, Sąjungos teisės aktų leidėjo raginimas BDAR 63 konstatuojamojoje dalyje, jog „tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją“(22), reiškia, kad bet kuriuo atveju turi būti suteikta minimali informacija, kad nebūtų pakenkta esminiam teisės į asmens duomenų apsaugą turiniui. Tai reiškia, kad nors komercinės paslapties ar intelektinės nuosavybės paslapties apsauga iš esmės yra teisėta priežastis atsisakyti atskleisti algoritmą, naudotą apskaičiuojant duomenų subjekto kreditingumo balą, ji negali pateisinti absoliutaus atsisakymo suteikti informaciją. Juo labiau kai yra tinkamų ryšio priemonių, kurios palengvina supratimą ir kartu užtikrina tam tikrą konfidencialumą.

57. Manau, šiomis aplinkybėmis ypač svarbi BDAR 12 straipsnio 1 dalis, pagal kurią „duomenų valdytojas imasi atitinkamų priemonių, kad visą [15 straipsnyje] nurodytą informaciją <…> susijusi[ą] su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba“(23). Šia nuostata patvirtinami pirmiau išdėstyti argumentai, nes iš jos matyti, kad tikrasis BDAR 15 straipsnio 1 dalies h punkto tikslas – užtikrinti, kad duomenų subjektas gautų informaciją suprantamu ir prieinamu būdu, atitinkančiu jo poreikius. Mano nuomone, šie reikalavimai neapima galimos pareigos atskleisti algoritmą, atsižvelgiant į jo sudėtingumą. Iš tiesų abejotina, ar, nepateikus būtinų paaiškinimų, būtų tikslinga pateikti ypač sudėtingą formulę. Šiuo klausimu reikėtų atkreipti dėmesį į BDAR 58 konstatuojamąją dalį, iš kurios matyti, kad pirmiau nurodytų reikalavimų laikytis ypač svarbu „tais atvejais, kai dėl <…> naudojamų technologijų sudėtingumo duomenų subjektui sunku suvokti ir pastebėti, ar jo asmens duomenys renkami, kas juos renka ir kokiu tikslu“(24).

58. Dėl pirma išdėstytų priežasčių manau, kad pareiga pateikti „prasmingą informaciją apie loginį <…> pagrindimą“ turėtų būti suprantama taip, kad ji apima pakankamai išsamius paaiškinimus apie metodą, naudotą kreditingumo įvertinimo balui apskaičiuoti, ir priežastis, lėmusias konkretų rezultatą. Apskritai duomenų valdytojas turėtų pateikti duomenų subjektui bendrą informaciją, visų pirma apie veiksnius, į kuriuos buvo atsižvelgta priimant sprendimą, ir jų atitinkamą svarbą apibendrintu lygmeniu, kuri jam taip pat naudinga ginčijant bet kokį „sprendimą“, kaip jis suprantamas pagal BDAR 22 straipsnio 1 dalį(25).

d) Atsakymas į pirmąjį prejudicinį klausimą

59. Atsižvelgdamas į tai, kas išdėstyta, manau, kad BDAR 22 straipsnio 1 dalis turi būti aiškinama taip, kad automatizuotas tikimybės rodiklio, susijusio su duomenų subjekto gebėjimu ateityje grąžinti paskolą, nustatymas jau yra tik automatizuotu duomenų tvarkymu grindžiamas sprendimas, dėl kurio šiam asmeniui kyla teisinių pasekmių arba kuris jam panašiu būdu daro didelį poveikį, kai šį rodiklį, nustatytą naudojant su tuo asmeniu susijusius asmens duomenis, duomenų valdytojas perduoda trečiajam duomenų valdytojui ir šis pagal nusistovėjusią praktiką savo sprendimą dėl sutartinių santykių su tuo asmeniu pradėjimo, vykdymo ar nutraukimo iš esmės grindžia šiuo rodikliu.

2. Dėl antrojo prejudicinio klausimo

60. Nors antrasis klausimas buvo užduotas tik tuo atveju, jei į pirmąjį klausimą būtų atsakyta neigiamai, man atrodo, kad jis taip pat svarbus, jei Teisingumo Teismas nuspręstų, kad kreditingumo įvertinimas balais patenka į BDAR 22 straipsnio 1 dalyje nustatyto draudimo priimti automatizuotus sprendimus taikymo sritį. Tokiu atveju, kaip teisingai nurodo Suomijos vyriausybė, reikėtų išnagrinėti, ar galima padaryti šio draudimo išimtį pagal BDAR 22 straipsnio 2 dalies b punktą. Pagal šią nuostatą draudimas netaikomas, „jeigu sprendimas yra leidžiamas Sąjungos arba valstybės narės teisėje, [kuri taikoma] duomenų valdytojui“.

61. Šioje nuostatoje aiškiai numatyta reglamentavimo veiksmų laisvė, kai automatizuotas profiliavimas, kuriam ji taikoma, grindžiamas Sąjungos arba valstybės narės teise. Jei jis grindžiamas valstybės narės teise, nacionalinėje teisėje duomenų subjektui turi būti numatytos konkrečios garantijos. Taigi Teisingumo Teismas turėtų nustatyti, ar toks „leidimas“ gali būti kildinamas iš paties BDAR 6 straipsnio ar nacionalinės nuostatos, priimtos remiantis joje numatytu teisiniu pagrindu. Man atrodo, kad šį atvejį reikia išsamiai išnagrinėti, nes prašymą priimti prejudicinį sprendimą pateikęs teismas klausia dėl BDSG 31 straipsnio atitikties BDAR 6 ir 22 straipsniams, o tai reiškia, kad BDAR 6 ir 22 straipsniai gali būti tinkami teisiniai pagrindai.

a) Teisinio pagrindo, kuriuo valstybėms narėms suteikiami reglamentavimo įgaliojimai, buvimas BDAR

62. Vis dėlto nacionalinis teismas šiuo klausimu abejoja, nes, kaip jis mano, nė viena iš BDAR 6 ir 22 straipsniuose nurodytų nuostatų negali būti teisinis pagrindas priimti tokią nacionalinę nuostatą, kuri numatyta BDSG 31 straipsnyje, kuriame nustatomos tam tikros su kreditingumo įvertinimu balais susijusios taisyklės. Taigi kyla klausimas, ar nacionalinės teisės aktų leidėjas BDAR nuostatas, pagal kurias jam suteikiama diskrecija nustatyti nacionalines asmens duomenų tvarkymo taisykles pagal BDAR arba tam tikromis aplinkybėmis nuo jų nukrypti, taikė laikydamasis Sąjungos teisės. Atsakymas į šį klausimą atrodo sudėtingas, nes Vokietijos teisės aktų leidėjas įstatymo motyvuojamojoje dalyje nenumatė jokios leidžiančiosios nuostatos(26). Vis dėlto jis svarbus dar ir todėl, kad BDSG 31 straipsnio 1 dalies 1 punkte aiškiai nurodyta, kad kreditingumo įvertinimas balais „leidžiamas tik tuo atveju, jeigu buvo laikytasi duomenų apsaugos teisės aktų“ (kursyvu išskirta mano). Kaip nurodysiu toliau, yra keletas argumentų, dėl kurių esu linkęs neigiamai atsakyti į šį klausimą.

1) BDAR 22 straipsnio 2 dalies b punkto taikymas

63. Iš pradžių reikėtų paminėti BDAR 22 straipsnio 2 dalies b punkto nuostatą, kuria valstybėms narėms suteikiami įgaliojimai leisti priimti sprendimą, grindžiamą tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, ir kuria būtų galima remtis kaip teisiniu pagrindu. Vis dėlto reikėtų pažymėti, kad ši 2 dalis nebūtų taikoma, jeigu Teisingumo Teismas nuspręstų, kad šio 22 straipsnio 1 dalyje nustatytas draudimas netaikomas kreditingumo įvertinimui balais. Kaip aiškiai matyti ir BDAR 22 straipsnio formuluotės ir bendros struktūros, taikant šio straipsnio 2 dalį reikalaujama, kad būtų įvykdytos jo 1 dalies sąlygos. Taigi akivaizdu, kad, jeigu į pirmąjį klausimą būtų atsakyta neigiamai, BDAR 22 straipsnio 2 dalies b punktas negalėtų būti taikomas.

64. Siekdamas išsamumo ir atsižvelgdamas į savo siūlymą teigiamai atsakyti į pirmąjį klausimą, manau, būtina išnagrinėti, ar ši nuostata taikytina tuo atveju, jei Teisingumo Teismas nuspręstų, kad kreditingumo vertinimo bendrovės atliktas kreditingumo įvertinimas balais yra „sprendimas“, kaip tai suprantama pagal BDAR 22 straipsnio 1 dalį. Vis dėlto net ir tokiu atveju dėl tam tikrų priežasčių išlieka abejonių, ar BDAR 22 straipsnio 2 dalies b punktas gali būti teisinis pagrindas.

65. Pirma, reikia priminti, kad BDAR 22 straipsnis susijęs vien su sprendimais, grindžiamais „tik“ automatizuotu duomenų tvarkymu, o prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, BDSG 31 straipsnyje nedarant jokio skirtumo įtvirtintos taisyklės, taikomos ir neautomatizuotiems sprendimams, ir kartu reglamentuojamas duomenų tvarkymo siekiant nustatyti kreditingumo balus teisėtumas. Kitaip tariant, BDSG 31 straipsnio taikymo sritis ratione materiae yra daug platesnė nei BDAR 22 straipsnio(27). Taigi abejotina, ar BDAR 22 straipsnio 2 dalies b punktas gali būti teisinis pagrindas.

66. Antra, reikia pažymėti, kad, kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas, BDSG 31 straipsnyje reglamentuojama tai, kaip ekonominės veiklos vykdytojai gali „naudoti“ tikimybės rodiklį, bet ne kreditingumo vertinimo bendrovių atliekamas šio rodiklio „nustatymas“, o šis aspektas vis dėlto yra pirmojo prejudicinio klausimo dalykas. Apie tai galima spręsti ir iš Vokietijos vyriausybės pareiškimų per teismo posėdį. Kaip jau išsamiai argumentavau nagrinėdamas šį klausimą, BDAR 22 straipsnio 1 dalis taip pat taikoma kreditingumo įvertinimo balo „nustatymo“, o ne tik jo „panaudojimo“ kredito įstaigoje etapui, jeigu įvykdomos tam tikros sąlygos(28). Kitaip tariant, atrodo, kad BDSG 31 straipsnyje reglamentuojamas kitoks atvejis nei tas, kuris patenka į BDAR 22 straipsnio taikymo sritį, tačiau tai turi patvirtinti prašymą priimti prejudicinį sprendimą pateikęs teismas. Atsižvelgdamas į tai, kas išdėstyta, laikausi nuomonės, kad BDAR 22 straipsnio 2 dalies b punktas negali būti teisinis pagrindas priimti tokią nacionalinę teisės akto nuostatą kaip numatytoji BDSG 31 straipsnyje.

2) BDAR 6 straipsnio 2 ir 3 dalių taikytinumas

i) Dėl nuostatų, kuriomis valstybėms narėms suteikiami reglamentavimo įgaliojimai

67. Pagal BDAR 6 straipsnio 1 dalį asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei įvykdoma sąlyga, susijusi su vienu iš šioje nuostatoje išvardytų pagrindų. Kaip jau yra nusprendęs Teisingumo Teismas, šioje nuostatoje numatytas išsamus ir baigtinis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas(29). Vadinasi, tam, kad kreditingumo vertinimo bendrovės atliktas kreditingumo įvertinimo balo nustatymas galėtų būti laikomas teisėtu, jis turi būti priskirtas vienam iš šioje nuostatoje numatytų atvejų.

68. Tokiu atveju, koks nagrinėjamas pagrindinėje byloje, iš esmės galėtų būti taikomi BDAR 6 straipsnio 1 dalies b, c ir f punktai. Pagal BDAR 6 straipsnio 2 dalį valstybės narės gali toliau taikyti arba nustatyti konkretesnes nuostatas, kad pritaikytų BDAR taisyklių taikymą. Vis dėlto reikėtų paaiškinti, kad ši nuostata taikoma tik siekiant laikytis šio straipsnio 1 dalies c ir e punktų. Be to, minėto 6 straipsnio 3 dalyje nustatyta, kad duomenų tvarkymo pagrindas nustatomas duomenų valdytojui taikomoje valstybės narės teisėje, jei duomenų tvarkymas susijęs su šio straipsnio 1 dalies c ir e punktuose nurodytais atvejais.

69. Vadinasi, valstybės narės gali priimti konkretesnes taisykles, kai tvarkyti duomenis „būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė“, arba „būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas“. Nustačius tokias sąlygas, valstybių narių reglamentavimo įgaliojimai buvo griežtai apibrėžti, taip užkertant kelią savavališkam BDAR numatytų leidžiančiųjų nuostatų taikymui, kuris galėtų sutrukdyti tikslui suderinti asmens duomenų apsaugos teisę.

70. Be to, šiomis aplinkybėmis reikėtų pažymėti, kad jeigu kai kuriose iš tų nuostatų vartojama BDAR būdinga terminologija, nepateikiant jokios aiškios nuorodos į valstybių narių teisę, jos turi būti aiškinamos savarankiškai ir vienodai(30). Būtent tuo remiantis toliau reikia patikrinti, ar BDSG 31 straipsnio reglamentavimui taikomas vienas iš BDAR 6 straipsnio 1 dalyje išvardytų pagrindų.

ii) Duomenų tvarkymo teisėtumas

– BDAR 6 straipsnio 1 dalies b punkte nurodytas pagrindas

71. Kalbant apie b punktą, iš šios nuostatos matyti, kad duomenų tvarkymas yra teisėtas tik tuo atveju ir tik tiek, kiek jis būtinas „siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas“, arba „siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį“. Šiuo klausimu reikėtų pažymėti, kad kreditingumo vertinimo bendrovių paslaugomis sutarties vykdymo etapu naudojamasi tik išimtiniais atvejais. Svarbiausias etapas yra iki sutarties sudarymo, kai paprastai gaunama informacija apie mokumą. Man atrodo, kad prašymo pateikti informaciją pateikimas kreditingumo vertinimo bendrovei siekiant patikrinti mokumą yra leidžiamas pagal šią nuostatą(31). Vis dėlto reikėtų pažymėti, kad ši nuostata apima tik leidimą potencialiems sutarties partneriams, kreditoriams ir (arba) teisinių paslaugų teikėjams atlikti kreditingumo patikrinimus, taigi ji sudaro prielaidas kreditingumo vertinimo bendrovėms teisėtai rinkti duomenis. Vis dėlto man atrodo, kad vien šios nuostatos nepakanka, kad ji būtų teisinis pagrindas, skirtas kreditingumo vertinimo bendrovės veiklai apskritai pateisinti (32).

72. Be to, svarbu priminti, kad nors BDAR 6 straipsnio 1 dalies b punkte kodifikuotas asmens duomenų tvarkymo teisėtumo pagrindas, jame nenurodytas nė vienas iš šio straipsnio 2 ir 3 dalyse numatytų atvejų, pagal kuriuos valstybės narės turi reglamentavimo kompetenciją. Vadinasi, kadangi BDAR 6 straipsnyje tokie atvejai išsamiai išvardyti, tokia nacionalinė nuostata, kaip numatytoji BDSG 31 straipsnyje, negali būti priimta remiantis vien BDAR 6 straipsnio 1 dalies b punktu.

– BDAR 6 straipsnio 1 dalies c punkte nurodytas pagrindas

73. BDAR 6 straipsnio 1 dalies c punkte nurodytas pagrindas susijęs su duomenų tvarkymu, grindžiamu „teisine prievole“, taikoma duomenų valdytojui. Tai susiję su pačios valstybės nustatytais reikalavimais. Vis dėlto ši nuostata neapima prievolių, kylančių iš civilinės teisės sutarčių, pavyzdžiui, finansų įstaigos ir kreditingumo reitingų bendrovės sutarties. Tačiau finansų įstaigos, kurios turi tikrinti savo klientų kreditingumą pagal nacionalinėje teisėje joms nustatytus įpareigojimus, gali remtis šiuo teisiniu pagrindu atitinkamų užklausų tikslais, kad kreditingumo vertinimo bendrovės požiūriu užtikrintų visišką tokių užklausų teisėtumą. Tačiau kreditingumo vertinimo bendrovės atliekamas kreditingumo įvertinimo balo „nustatymas“ negali būti laikomas priemone, kurios ji ėmėsi vykdydama jai nustatytą „teisinę prievolę“, nes tokios prievolės nacionalinėje teisėje, regis, nėra. Vadinasi, reikia manyti, kad minėtu c punktu negalima pagrįstai remtis kaip teisiniu pagrindu, kuriuo grindžiant kreditingumo įvertinimo balais veikla būtų laikoma teisėtu duomenų tvarkymu.

– BDAR 6 straipsnio 1 dalies e punkte nurodytas pagrindas

74. Tada kyla klausimas, ar kaip BDSG 31 straipsnio priėmimo teisiniu pagrindu galima remtis BDAR 6 straipsnio 1 dalies e punktu. Taip būtų, jei tvarkyti duomenis būtų „būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas“. Viena vertus, būtų galima teigti, kaip matyti iš BDSG 31 straipsnio priėmimo tikslo, kurį parodo šios nacionalinės nuostatos pavadinimas („Ekonominių santykių apsauga teikiant informaciją apie kreditų rizikos vertinimą balais (scoring) ir kreditingumą“) ir parengiamieji darbai(33), kad kreditingumo vertinimo bendrovės prisideda prie tinkamo šalies ekonomikos veikimo(34).

75. Kadangi šios bendrovės pateikia informaciją apie konkrečių asmenų kreditingumą, jos prisideda prie vartotojų apsaugos, nes padeda išvengti per didelio įsiskolinimo rizikos(35), taip pat padeda įmonėms, kurios jiems parduoda prekes arba suteikia kreditus. Šios bendrovės užtikrina finansų sistemos stabilumą, užkirsdamos kelią neatsakingam skolinimui skolininkams, kuriems kyla didelė įsipareigojimų nevykdymo rizika(36). Jei nebūtų patikimos kredito reitingų sistemos, didelė dalis gyventojų dėl nesuskaičiuojamos rizikos praktiškai negalėtų gauti paskolų, ekonominiai sandoriai informacijos amžiuje būtų gerokai sudėtingesni, o bandymai sukčiauti liktų nepastebėti. Atsižvelgiant į tai, galima pritarti motyvams, kurie, matyt, paskatino Vokietijos teisės aktų leidėją priimti BDSG 31 straipsnį.

76. Be to, net jei yra žinoma, kad privatinės teisės reglamentuojami juridiniai asmenys gali veikti viešojo intereso labui, man atrodo akivaizdu, kad bet koks „teisėtas interesas“ negali pateisinti BDAR 6 straipsnio 1 dalies e punkto taikymo. „Viešosios valdžios funkcijų vykdymo“ ir BDAR 45, 55 ir 56 konstatuojamųjų dalių tarpusavio ryšys veikiau parodo, kad ši nuostata apima, pirma, valdžios institucijas, suprantamas siaurai, ir juridinius asmenis, turinčius tam tikrus viešosios valdžios įgaliojimus, ir, antra, privatinės teisės reglamentuojamus juridinius asmenis, kurie tvarko duomenis viešosios paslaugos tikslais, pavyzdžiui, „visuomenės sveikatos“, „socialinės apsaugos“ ir „sveikatos priežiūros paslaugų valdymo“ srityje, aiškiai nurodytus 45 konstatuojamojoje dalyje. Kitaip tariant, ši nuostata susijusi su klasikinėmis valstybės užduotimis.

77. Taip pat reikėtų pažymėti, kad BDAR 55 ir 56 konstatuojamosiose dalyse nurodytos „oficialiai pripažintos religinės asociacijos“ ir „politinės partijos“, t. y. organizacijos, kurios, remdamosi Sąjungos teisės aktų leidėjo kriterijais, vykdo veiklą viešojo intereso labui ir tuo tikslu tvarko asmens duomenis. Atsižvelgiant į tai, abejotina, ar ši nuostata gali apimti ir kreditingumo vertinimo bendrovių veiklą, įskaitant kreditingumo įvertinimą balais. Toks aiškinimas gerokai išplėstų šios nuostatos taikymo sritį ir ypač apsunkintų šios leidžiančiosios nuostatos ribų nustatymą(37).

78. Be pirma pateiktų argumentų, šiomis aplinkybėmis reikėtų pažymėti, kad nors BDSG 31 straipsniu siekiama apsaugoti ekonominius sandorius, šioje nuostatoje nenurodyta jokia konkreti minėtų bendrovių užduotis(38). Kaip jau nurodžiau šioje išvadoje, remdamasis prašymą priimti prejudicinį sprendimą pateikusio teismo patikslinimais dėl nacionalinės teisės aktų, ši nuostata susijusi su ekonominės veiklos vykdytojų atliekamu kreditingumo vertinimo balų „naudojimu“, o ne kreditingumo vertinimo bendrovių kreditingumo vertinimo balų „nustatymu“(39). Tačiau pagrindinėje byloje kilęs ginčas susijęs būtent su šios veiklos teisėtumu. Dėl pirmiau išdėstytų priežasčių manau, kad BDAR 6 straipsnio 1 dalies e punktas negali būti tinkamas teisinis pagrindas.

– BDAR 6 straipsnio 1 dalies f punkte nurodytas pagrindas

79. Dabar reikia patikrinti, ar ši veikla patenka į BDAR 6 straipsnio 1 dalies f punkto taikymo sritį. Pagal Teisingumo Teismo jurisprudenciją(40) aptariamoje nuostatoje nustatytos trys kumuliacinės sąlygos, kad asmens duomenų tvarkymas būtų teisėtas, t. y. pirma, duomenų valdytojas arba trečiasis asmuo ar asmenys, kuriems pateikiami duomenys, turi siekti teisėto intereso, antra, asmens duomenų tvarkymas turi būti būtinas siekiant teisėto intereso ir, trečia, duomenų subjekto pagrindinės teisės ir laisvės nėra viršesnės.

80. Visų pirma, kalbant apie „teisėto intereso“ siekimą, norėčiau priminti, kad BDAR ir jurisprudencijoje pripažįstami įvairūs interesai, kurie laikomi teisėtais(41), tačiau kartu aiškiai nurodoma, kad pagal BDAR 13 straipsnio 1 dalies d punktą duomenų valdytojas privalo nurodyti teisėtus interesus, kurių siekiama pagal BDAR 6 straipsnio 1 dalies f punktą. Kaip jau nurodžiau šioje išvadoje, BDSG 31 straipsnio priėmimo tikslas – užtikrinti kreditingumo vertinimo bendrovių vykdomos veiklos teisėtumą, kadangi, Vokietijos teisės aktų leidėjo nuomone, šios bendrovės prisideda prie tinkamo šalies ekonomikos veikimo(42). Kadangi ši veikla užtikrina įvairių ekonominės veiklos vykdytojų apsaugą nuo nemokumui būdingos rizikos, ir dėl to tai sukelia rimtų pasekmių finansų sistemos stabilumui, šiuo analizės etapu galima teigti, kad minėta nacionaline nuostata siekiama ekonominio tikslo, kuris gali būti „teisėtas interesas“, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies f punktą.

81. Toliau dėl sąlygos, susijusios su būtinybe tvarkyti asmens duomenis siekiant įgyvendinti turimą teisėtą interesą, reikia priminti, kad pagal Teisingumo Teismo jurisprudenciją nukrypimai nuo asmens duomenų apsaugos principo ir jo ribojimai neturi viršyti to, kas yra griežtai būtina(43). Taigi reikia, kad tarp duomenų tvarkymo ir siekiamo intereso, jei nėra asmens duomenų apsaugai palankesnių alternatyvų, būtų glaudus ryšys, nes vien to, kad duomenų tvarkymas yra naudingas duomenų valdytojui, nepakanka. Šiuo klausimu reikia pažymėti, kad, nors prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla tam tikrų abejonių dėl kreditingumo vertinimo balais veiklos teisėtumo atsižvelgiant į BDAR nuostatas, jis nepateikia jokios informacijos, kuri leistų manyti, kad galbūt esama asmens duomenų apsaugai palankesnių alternatyvų. Nesant priešingos informacijos, esu linkęs pripažinti tam tikrą veiksmų laisvę pasirenkant užsibrėžtam tikslui pasiekti tinkamas priemones.

82. Galiausiai, kalbant apie, viena vertus, duomenų valdytojo interesų ir, kita vertus, duomenų subjekto pagrindinių laisvių ir pagrindinių teisių pusiausvyrą, reikėtų pažymėti, kad šiuo atveju įvairių interesų pusiausvyra buvo užtikrinta teisės aktais. Priimdamas BDSG 31 straipsnį, Vokietijos teisės aktų leidėjas suteikė pirmenybę ekonominiams interesams, o ne teisei į asmens duomenų apsaugą. Tačiau toks požiūris būtų įmanomas tik tuo atveju, jei BDAR 6 straipsnio 1 dalies f punkte būtų numatyta sąlyga, leidžianti valstybėms narėms palikti galioti arba priimti konkretesnes nuostatas, kuriomis būtų pritaikytos to reglamento taisyklės, susijusios su duomenų tvarkymu. Vis dėlto, kaip paaiškinsiu toliau, taip nėra.

83. Kaip aiškiai matyti iš BDAR 6 straipsnio 2 ir 3 dalių formuluotės, palikti galioti arba priimti konkretesnes nuostatas leidžiama tik šio straipsnio 1 dalies c ir e punktuose nurodytais atvejais. Pirmiau atlikta analizė parodė, kad BDSG 31 straipsnyje nenurodyta jokia aplinkybė, kurią būtų galima priskirti tokiems atvejams, ir tai logiškai reiškia, kad BDAR 6 straipsnio 2 ir 3 dalimis negalima remtis kaip teisiniu pagrindu. Dėl taikymo šio straipsnio 1 dalies f punkte nurodytam atvejui ne tik būtų pažeista šių nuostatų formuluotė, bet ir būtų nepaisoma Sąjungos teisės aktų leidėjo valios, kuri matyti iš šių nuostatų genezės.

84. Šiuo klausimu reikia priminti, kad pagal Direktyvos 95/46/EB(44) – iki BDAR galiojusio teisės akto – 5 straipsnį valstybės narės turėjo „apibrėž[ti] sąlygas, kuriomis asmens duomenų tvarkymas yra teisėtas“. Teisingumo Teismas išaiškino šią nuostatą ir padarė išvadą, kad niekas nedraudžia valstybėms narėms, įgyvendinant Direktyvos 95/46 5 straipsnyje įtvirtintą diskreciją, nustatyti „pagrindinius principus“ atliekant lyginamąjį vertinimą pagal šios direktyvos 7 straipsnio f punktą, kuris atitinka BDAR 6 straipsnio 1 dalies f punktą. Vis dėlto svarbu pažymėti, kad pagal BDAR valstybėms narėms tokios teisės nebesuteikiamos. Kadangi BDAR nėra lygiavertės nuostatos, tai reiškia, kad valstybės narės savo nacionalinėje teisėje nebegali nustatyti pagrindinių principų, kuriais remiantis būtų galima apibrėžti „teisėtą interesą“, kaip tai suprantama pagal šio reglamento 6 straipsnio 1 dalies f punktą(45).

85. Minėto straipsnio 2 ir 3 dalyse pateikta nuoroda į IX skyriaus „nuostatas, susijusias su konkrečiais duomenų tvarkymo atvejais“, BDAR 6 straipsnio taikymo sritis neišplečiama. Tai veikiau nuoroda į nuostatas, pagal kurias valstybėms narėms leidžiama priimti konkretesnes taisykles tam tikrose srityse, t. y. kai tvarkyti duomenis būtina siekiant įvykdyti „teisinę prievolę“, kaip tai suprantama pagal šio straipsnio 1 dalies c punktą, arba įvykdyti „užduotį, vykdomą viešojo intereso labui“ arba vykdant „viešosios valdžios funkcijas“, kaip nurodyta šios dalies e punkte(46). Vis dėlto, kaip jau minėjau, šios sritys neturi jokio ryšio su aplinkybėmis, kuriomis taikomas BDSG 31 straipsnis.

86. Šiomis aplinkybėmis taip pat reikėtų priminti, kad nors Komisijos pasiūlyme dėl reglamento jai buvo suteikti įgaliojimai „priimti deleguotuosius aktus, kuriais būtų patikslintos 6 straipsnio 1 dalies f punkte nustatytos sąlygos įvairiems sektoriams ir situacijoms, susijusioms su duomenų tvarkymu, įskaitant su vaiku susijusių asmens duomenų tvarkymą“, Sąjungos teisės aktų leidėjas šio pasiūlymo nepalaikė. Išanalizavus teisės aktų raidą matyti, kad valstybių narių reglamentavimo įgaliojimai buvo susiaurinti siekiant didesnio suderinimo, kad būtų užtikrintas nuoseklus ir vienodas asmens duomenų apsaugos taisyklių taikymas, kaip tai patvirtina BDAR 3, 9 ir 10 konstatuojamosios dalys(47). Į šią aplinkybę reikia atsižvelgti aiškinant BDAR 6 straipsnį.

87. Galiausiai, manau, būtina pabrėžti, kad net jei BDAR 6 straipsnio 1 dalies f punktas būtų taikomas, nacionalinė nuostata, kaip antai BDSG 31 straipsnis, negali būti laikoma atitinkančia Sąjungos teisę. Reikėtų priminti, kad Teisingumo Teismas Direktyvos 95/46 7 straipsnio f punktą išaiškino taip: „kiek tai susiję su [tam tikrų rūšių asmens duomenimis], valstybė narė negali numatyti galutinio priešingų teisių ir interesų palyginimo rezultato ir neleisti konkrečiu atveju, kuriam būdingos specifinės aplinkybės, pasiekti kitokio rezultato“(48). Kadangi ši nuostata suformuluota beveik taip pat kaip nuostata, kuria ji buvo pakeista, t. y. BDAR 6 straipsnio 1 dalies f punktas, šis išaiškinimas man vis dar atrodo tinkamas(49). Kaip nurodė prašymą priimti prejudicinį sprendimą pateikęs teismas, atrodo, kad nacionalinės teisės aktų leidėjas siekė būtent šio tikslo, nes BDSG 31 straipsnyje leidžiama naudoti kreditingumo įvertinimo balus finansų sektoriuje, finansų sektoriaus ekonominiai interesai laikomi svarbesniais už asmens duomenų apsaugą, tačiau neatsižvelgiama į konkrečias konkretaus atvejo aplinkybes. Toks požiūris neleistinai išplėstų BDAR 6 straipsnio taikymo sritį.

88. Atsižvelgdamas į tai, kas išdėstyta, manau, kad BDAR 6 straipsnio 1 dalies f punktu negalima pagrįstai remtis kaip teisiniu pagrindu priimant tokią nacionalinę nuostatą kaip BDSG 31 straipsnis.

– BDAR 6 straipsnio 4 dalyje kartu su 23 straipsnio 1 dalimi nurodytas pagrindas

89. Prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad per teisėkūros procedūrą, per kurią buvo priimtas BDSG 31 straipsnis, BDAR 6 straipsnio 4 dalies ir 23 straipsnio 1 dalies nuostatos buvo nurodytos kaip jo teisiniai pagrindai. Vis dėlto vėliau minties remtis šiomis nuostatomis atsisakyta. Prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad šios nuostatos šioje byloje netaikytinos.

90. Neturint išsamesnės informacijos, neįmanoma pareikšti pozicijos dėl galimo minėtų nuostatų taikytinumo. Netgi nemanau, kad tai būtina, jei minėtos nuostatos neatliko jokio vaidmens per teisėkūros procedūrą, kaip teigia prašymą priimti prejudicinį sprendimą pateikęs teismas(50).

iii) Tarpinė išvada

91. Pirmesniuose šios išvados punktuose nagrinėjau, ar BDAR 6 ir 22 straipsniai gali būti teisinis pagrindas priimti tokią nacionalinę nuostatą kaip BDSG 31 straipsnis, siekiant pagrįsti kreditingumo įvertinimo balų nustatymo teisėtumą kreditingumo vertinimo bendrovėms vykdant veiklą. Mano analizėje išsamiai išdėstytos kelios priežastys, dėl kurių esu įsitikinęs, kad ši galimybė turėtų būti atmesta. Apibendrindamas manau, kad, nesant leidžiančiųjų nuostatų ar išimčių, leidžiančių valstybėms narėms priimti tikslesnes taisykles arba nukrypti nuo BDAR taisyklių siekiant reglamentuoti minėtą veiklą, ir atsižvelgiant į suderinimo laipsnį, kurio siekiama šiuo reglamentu, kuris pagal SESV 288 straipsnį yra privalomas visas ir tiesiogiai taikomas kiekvienoje valstybėje narėje, tokia nacionalinė nuostata turi būti laikoma neatitinkančia BDAR.

92. Kadangi Teisingumo Teismas neturi jurisdikcijos aiškinti nacionalinės teisės ar spręsti dėl jos atitikties Sąjungos teisei per prejudicinio sprendimo procedūrą pagal SESV 267 straipsnį, šioje išvadoje išdėstyti argumentai turi būti suprantami kaip gairės aiškinant atitinkamas BDAR nuostatas, kad prireikus nacionalinis teismas galėtų įgyvendinti šią jurisdikciją, pats išnagrinėjęs BDSG 31 straipsnį, atsižvelgdamas į BDAR nuostatas, visų pirma kiek tai susiję su galimybe aiškinti nacionalinės teisės aktus pagal Sąjungos teisės reikalavimus.

93. Pagal Sąjungos teisės viršenybės principą Sąjungos teisė laikoma viršesne už valstybių narių teisę. Taigi pagal šį principą reikalaujama, kad visos valstybių narių institucijos užtikrintų visišką įvairių Sąjungos teisės nuostatų veiksmingumą, nes valstybių narių teisė negali turėti įtakos pripažintam šių nuostatų poveikiui minėtų valstybių narių teritorijoje. Be to, pagal viršenybės principą nacionalinis teismas, įpareigotas taikyti Sąjungos teisės nuostatas pagal jam suteiktą jurisdikciją, tuo atveju, jei neturi įgaliojimų aiškinti nacionalinės teisės aktų atsižvelgdamas į Sąjungos teisės reikalavimus, turi pareigą užtikrinti visišką šių nuostatų veiksmingumą, prireikus savo iniciatyva netaikydamas jokios, net ir vėliau priimtos, joms prieštaraujančios nacionalinės teisės nuostatos, ir neprivalo prašyti, kad ši nacionalinė nuostata būtų panaikinta teisėkūros arba kitokiomis konstitucinėmis priemonėmis, arba laukti, kol tai bus padaryta(51).

b) Atsakymas į antrąjį prejudicinį klausimą

94. Atsakydamas į antrąjį prejudicinį klausimą, manau, kad BDAR 6 straipsnio 1 dalis ir 22 straipsnis turi būti aiškinami taip: pagal juos nedraudžiami nacionalinės teisės aktai dėl profiliavimo, kai juose numatytas kitoks profiliavimas nei numatytasis šio reglamento 22 straipsnio 1 dalyje. Vis dėlto šiuo atveju nacionalinės teisės aktai turi atitikti šio reglamento 6 straipsnyje nustatytas sąlygas. Visų pirma jie turi turėti tinkamą teisinį pagrindą, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

VI. Išvada

95. Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui taip atsakyti į Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) pateiktus prejudicinius klausimus:

1) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 22 straipsnio 1 dalis

turi būti aiškinama taip:

automatizuotas tikimybės rodiklio, susijusio su duomenų subjekto gebėjimu ateityje grąžinti paskolą, nustatymas jau yra tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio šiam asmeniui kyla teisinių pasekmių arba kuris jam panašiu būdu daro didelį poveikį, kai šį rodiklį, nustatytą naudojant su tuo asmeniu susijusius asmens duomenis, duomenų valdytojas perduoda trečiajam duomenų valdytojui ir šis pagal nusistovėjusią praktiką savo sprendimą dėl sutartinių santykių su tuo asmeniu pradėjimo, vykdymo ar nutraukimo iš esmės grindžia šiuo rodikliu.

2) Reglamento 2016/679 6 straipsnio 1 dalis ir 22 straipsnis

turi būti aiškinama taip:

pagal šias nuostatas nedraudžiami nacionalinės teisės aktai dėl profiliavimo, kai juose numatytas kitoks profiliavimas nei šio reglamento 22 straipsnio 1 dalyje. Vis dėlto šiuo atveju nacionalinės teisės aktai turi atitikti minėto reglamento 6 straipsnyje nustatytas sąlygas. Visų pirma jie turi turėti tinkamą teisinį pagrindą, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

1 Originalo kalba: prancūzų.

2 OL L 119, 2016, p. 1.

3 BGBl. 2017 I, p. 2097.

4 BGBl. 2019 I, p. 1626.

5 Konkrečiai kalbama apie 2014 m. vasario 4 d. Europos Parlamento ir Tarybos direktyvos 2014/17/ES dėl vartojimo kredito sutarčių dėl gyvenamosios paskirties nekilnojamojo turto, kuria iš dalies keičiamos direktyvos 2008/48/EB ir 2013/36/ES bei Reglamentas (ES) Nr. 1093/2010 (OL L 60, 2014, p. 34), 18 ir 21 straipsnius ir 2008 m. balandžio 23 d. Europos Parlamento ir Tarybos direktyvos 2008/48/EB dėl vartojimo kredito sutarčių ir panaikinančios Tarybos direktyvą 87/102/EEB (OL L 133, 2008, p. 66) 8 ir 9 straipsnius.

6 2017 m. spalio 3 d. „29 straipsnio“ duomenų apsaugos darbo grupės priimtose „Automatizuoto individualių sprendimų priėmimo ir profiliavimo gairėse pagal Reglamentą (ES) 2016/679“ nurodyta, kad profiliavimas ir automatinis sprendimų priėmimas gali kelti didelį pavojų asmenų teisėms ir laisvėms. Visų pirma profiliavimas gali įtvirtinti esamus stereotipus ir socialinę segregaciją. Be to, jei duomenų subjektams gali būti apribota laisvė rinktis tam tikrus produktus ar paslaugas, profiliavimas gali lemti atsisakymą tiekti prekes ir teikti paslaugas ir nepagrįstą diskriminaciją.

7 Žr. 2022 m. balandžio 28 d. Sprendimą Meta Platforms Ireland (C‑319/20, EU:C:2022:322, 57 ir 60 punktai).

8 Žr. 2020 m. spalio 28 d. Sprendimą Pegaso ir Sistemi di Sicurezza (C‑521/18, EU:C:2020:867, 26 ir 27 punktai).

9 Žr. generalinio advokato J. Richard de la Tour išvadą byloje Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2022:661, 43 ir paskesni punktai).

10 Žr. 2010 m. birželio 22 d. Sprendimą Melki ir Abdeli (C‑188/10 ir C‑189/10, EU:C:2010:363, 45 punktas).

11 Žr. 2023 m. sausio 12 d. Sprendimą Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, 57 punktas).

12 Žr. versijas ispanų k. („tratamiento automatizado, incluida la elaboración de perfiles“), danų k. („automatisk behandling, herunder profilering“), vokiečių k. („einer automatisierten Verarbeitung – einschließlich Profiling“), estų k. („automatiseeritud töötlusel, sealhulgas profiilianalüüsil“), anglų k. („automated processing, including profiling“), prancūzų k. („un traitement automatisé, y compris le profilage“) ir lenkų k. („zautomatyzowanym przetwarzaniu, w tym profilowaniu“).

13 Šiuo klausimu žr. Bygrave, L., „Article 22. Automated individual decision-making, including profiling“, The ES General Data Protection Regulation (GDPR) (ed.) Christopher Kuner, Lee A. Bygrave, Christopher Docksey, Oxford 2020, p. 532.

14 Abel, R., „Automatisierte Entscheidungen im Einzelfall gem. Art. 22 DS-GVO – Anwedungsbereich und Grenzen im nicht-öffentlichen Bereich“, Zeitschrift für Datenschutz, 7/2018, p. 307, laikosi nuomonės, kad ši nuostata susijusi su „sprendimais“, kurie daro poveikį duomenų subjekto teisinei padėčiai arba ilgam laikui sutrikdo jo ekonominį ar asmeninį vystymąsi.

15 Helfrich, M., Sydow.G., DS-GVO/BDSG, 2 leidimas, Baden Badenas, 2018, 22 str., 51 punktas, laikosi nuomonės, kad lemiamą reikšmę turi nustatymas, ar, duomenų subjektui įgyvendinant savo teises ir laisves, jam bus daromas poveikis, pavyzdžiui, dėl stebėjimo ir vertinimo pasekmių, galinčių turėti reikšmingą poveikį jo asmenybės vystymuisi.

16 Bernhardt, U., Ruhrman, I., Schuler, K., Weichert, T., „Evaluation der Europäischen Datentschutz-Grundverordnung“, 2019 m. liepos 18 d. redakcija, Netzwerk Datenschutzexpertise, p. 7, laikosi nuomonės, kad profiliavimui naudojami algoritmai turi didelį diskriminavimo potencialą ir gali sukelti žalą, todėl autoriai mano, kad turėtų būti patikslinta, jog BDAR 22 straipsnio 1 dalyje nurodytas draudimas apimtų visų formų išsamų ir kompleksinį profiliavimą.

17 Šiuo klausimu žr. Sydow, G., Marsch, N., DS-GVO/BDSG, 3‑asis leidimas, Baden-Badenas 2022, § 31 BDSG, 5 punktą, kurie laikosi nuomonės, kad scoring gali reikšmingai ir panašiu būdu, kaip ir teisines pasekmes sukeliantis sprendimas, paveikti duomenų subjektus.

18 Žr. versijas ispanų k. („únicamente“), danų k. („alene“), vokiečių k. („ausschließlich“), estų k. („üksnes“), anglų k. („solely“), prancūzų k. („exclusivement“) ir lenkų k. („wyłącznie“).

19 Man atrodo, kad toks požiūris dar labiau reikalingas, nes nei SCHUFA, nei HBDI per teismo posėdį negalėjo aiškiai atsakyti į klausimą, ar kreditingumo įvertinimo balai paprastai iš anksto nulemia finansų įstaigų sprendimus. Vis dėlto SCHUFA atstovas nurodė, kad jos naudojasi kreditingumo vertinimo bendrovių patirtimi ir kompetencija nustatant fizinio asmens kreditingumą, o tai iš esmės galėtų būti aiškinama kaip reikšmingos įtakos sprendimų priėmimo procesui požymis.

20 Blasek, K., „Auskunfteiwesen und Kredit-Scoring in unruhigem Fahrwasser – Ein Spagat zwischen Individualschutz und Rechtssicherheit“, Zeitschrift für Datenschutz, 8/2022, p. 436 ir 438, mano, kad BDAR 22 straipsnio 1 dalies negalima netaikyti tais atvejais, kai banko darbuotojai neginčija kreditingumo vertinimo bendrovių atliekamų automatizuotų vertinimų (profiliavimo, vertinimo balais). Autoriaus nuomone, bankai neturėtų pasikliauti vien šia išorės informacija, bet turėtų patys ją tinkamai patikrinti.

21 Šiuo klausimu žr. Horstmann, J., Dalmer, S., „Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen“, Zeitschrift für Datenschutz, 5/2022, p. 263.

22 Kursyvu išskirta mano.

23 Kursyvu išskirta mano.

24 Žr. Zanfir-Fortuna, G., „Article 15. Right of access by the data subject“, The ES General Data Protection Regulation (GDPR), (ed.) Christopher Kuner, Lee A. Bygrave, Christopher Docksey, Oxford 2020, p. 463.

25 Šiuo klausimu žr. 2017 m. spalio 3 d. „29 straipsnio“ duomenų apsaugos darbo grupės priimtas „Automatizuoto sprendimų priėmimo ir profiliavimo gaires pagal Reglamentą (ES) 2016/679“, p. 28 ir 30.

26 Žr. „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (ES) 2016/679 und zur Umsetzung der Richtlinie (ES) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz ES – DSAnpUG-ES)“, Bundesrat – Drucksache 110/17 vom 2.2.2017, p. 101 ir 102; Abel, R., „Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht“, Zeitschrift für Datenschutz, 3/2018, p. 105, kuriame kritikuojamas įstatymo projektas, kuriame nenurodyta leidžiančioji nuostata, kuria grindžiamas BDSG 31 straipsnis, ir abejojama šios nuostatos atitiktimi Sąjungos teisei.

27 Šiuo klausimu žr. Horstmann, J., Dalmer, S., „Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen“, Zeitschrift für Datenschutz, 5/2022, p. 265.

28 Žr. šios išvados 44 punktą.

29 2021 m. birželio 22 d. Sprendimas Latvijas Republikas Saeima (Baudos taškai) (C‑439/19, EU:C:2021:504, 99 punktas).

30 2021 m. birželio 22 d. Sprendimas Latvijas Republikas Saeima (Baudos taškai) (C‑439/19, EU:C:2021:504, 81 punktas).

31 Šiuo klausimu žr. von Lewinski, K., Pohl, D., „Auskunfteien nach der europäischen Datenschutzreform – Brüche und Kontinuitäten der Rechtslage“, Zeitschrift für Datenschutz, 1/2018, p. 19.

32 Šiuo klausimu žr. Abel, R., „Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht“, Zeitschrift für Datenschutz, 3/2018, p. 106.

33 Žr. „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (ES) 2016/679 und zur Umsetzung der Richtlinie (ES) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz ES – DSAnpUG-ES)“, Bundesrat – Drucksache 110/17 vom 2.2.2017, p. 101 ir 102. Per teismo posėdį Vokietijos vyriausybė patvirtino, kad tai iš tiesų yra BDSG 31 straipsnio priėmimo tikslas.

34 Šiuo klausimu žr. Guggenberger, N., Sydow, G., „Bundesdatenschutzgesetz“ 1 leid., Baden Badenas, 2020, § 31, 2 ir 5 punktai.

35 Žr. 2014 m. kovo 27 d. Sprendimą LCL Le Crédit Lyonnais (C‑565/12, EU:C:2014:190, 40 ir 42 punktai) dėl Direktyvos 2008/48 8 straipsnio 1 dalyje numatytos kreditoriaus pareigos prieš sudarant kredito sutartį įvertinti vartotojo kreditingumą; iš pareiga gali apimti pareigą atlikti patikrą atitinkamose duomenų bazėse. Teisingumo Teismas nurodė, kad šia ikisutartine pareiga siekiama apsaugoti vartotojus nuo pernelyg didelio įsiskolinimo ir nemokumo rizikos, užtikrinant aukštą jų interesų apsaugos lygį ir palengvinant tinkamai veikiančios vartojimo kreditų vidaus rinkos vystymąsi.

36 Žr. 2019 m. birželio 6 d. Sprendimą Schyns (C‑58/18, EU:C:2019:467, 45 ir 46 punktai), kuriame Teisingumo Teismas konstatavo, kad Direktyvos 2014/17 18 straipsnio 5 dalies a punkte numatyta kreditoriaus pareiga patikrinti vartotojo kreditingumą prieš suteikiant jam kreditą siekiama užkirsti kelią neatsakingam rinkos dalyvių elgesiui, galinčiam pakenkti finansų sistemos pagrindams.

37 Šiuo klausimu žr. Sydow, G., Marsch, N., DS-GVO/BDSG, 3 leid., Baden Badenas, 2022, § 31, BDSG, 6 punktas, ir Abel, R., „Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht“, Zeitschrift für Datenschutz, 3/2018, p. 105.

38 Šiuo klausimu žr. Guggenberger, N., Sydow, G., „Bundesdatenschutzgesetz“, 1 leid., Baden Badenas, 2020, § 31, 5 punktas.

39 Žr. šios išvados 66 punktą.

40 2021 m. birželio 17 d. Sprendimas M.I.C.M. (C‑597/19, EU:C:2021:492, 106 punktas).

41 Šiuo klausimu žr. generalinio advokato A. Rantos išvadą byloje Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos) (C‑252/21, EU:C:2022:704, 60 punktas).

42 Žr. šios išvados 74 punktą.

43 Žr. 2017 m. gegužės 4 d. Sprendimą Rīgas satiksme (C‑13/16, EU:C:2017:336, 30 punktas) ir 2021 m. birželio 17 d. Sprendimą M.I.C.M. (C‑597/19, EU:C:2021:492, 110 punktas).

44 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355).

45 Šiuo klausimu žr. Heberlein, H., „DS-GVO – Kommentar“, Miunchenas 2017, 6 str., 28 ir 32 punktai.

46 Šiuo klausimu žr. Heberlein, H., op. cit., 32 punktas, ir Roßnagel, A., „Datenschutzrecht“, Simitis, S., Hornung, G., Spiecker, I. (red.), Miunchenas, 2019, 6 str., 23 punktas.

47 Žr. 2022 m. birželio 22 d. Sprendimą Leistritz (C‑534/20, EU:C:2022:495, 26 punktas).

48 Žr. 2016 m. spalio 19 d. Sprendimą Breyer (C‑582/14, EU:C:2016:779, 62 punktas).

49 Žr. 2022 m. rugpjūčio 1 d. Sprendimą Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 66 punktas), kuriame Teisingumo Teismas tam tikras Direktyvos 95/46 ir BDAR reglamento nuostatas aiškino vienodai.

50 Guggenberger, N., Sydow, G., „Bundesdatenschutzgesetz“, 1 leid., Baden Badenas, 2020, § 31, 6 punktas, patvirtina prašymą priimti prejudicinį sprendimą pateikusio teismo vertinimą dėl šių nuostatų nereikšmingumo pasirenkant BDSG 31 straipsnio priėmimo pagrindą.

51 2022 m. birželio 21 d. Sprendimas Ligue des droits humains (C‑817/19, EU:C:2022:491, 293 punktas).