NÁVRHY GENERÁLNEHO ADVOKÁTA
PRIIT PIKAMÄE
prednesené 16. marca 2023(1)
Vec C‑634/21
OQ
proti
Land Hessen,
za účasti
SCHUFA Holding AG
[návrh na začatie prejudiciálneho konania, ktorý podal Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden, Nemecko)]
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 6 ods. 1 – Zákonnosť spracúvania – Článok 22 – Automatizované individuálne rozhodnutie – Profilovanie – Súkromné spoločnosti poskytujúce ekonomické informácie – Určenie hodnoty pravdepodobnosti úverovej bonity fyzickej osoby (scoring) – Odovzdanie tretím osobám, ktoré na základe tejto hodnoty rozhodujú o založení, plnení alebo ukončení zmluvných vzťahov s touto osobou“
I. Úvod
1. Predmetom prejednávaného návrhu na začatie prejudiciálneho konania, ktorý podal Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden, Nemecko) podľa článku 267 ZFEÚ, je výklad článku 6 ods. 1 a článku 22 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)(2) (ďalej len „GDPR“).
2. Tento návrh bol podaný v spore vo veci ochrany osobných údajov medzi žalobkyňou OQ, ktorá je fyzickou osobou, a Land Hessen (Spolková krajina Hesensko, Nemecko), ktorú zastupuje Hessischer Beauftragter für Datenschutz und Informationsfreiheit (splnomocnenec spolkovej krajiny Hesensko pre ochranu údajov a slobodu informácií, ďalej len „HBDI“). SCHUFA Holding AG (ďalej len „SCHUFA“), súkromnoprávna agentúra, podporuje v konaní HBDI ako vedľajší účastník konania. V rámci svojej ekonomickej činnosti spočívajúcej v poskytovaní informácií o úverovej bonite tretích osôb svojim klientom, SCHUFA poskytla úverovej inštitúcii bodové skóre žalobkyne, ktoré slúžilo ako základ pre zamietnutie úveru, o ktorý žalobkyňa žiadala. Žalobkyňa požiadala spoločnosť SCHUFA, aby vymazala záznam, ktorý sa jej týka a poskytla jej prístup k príslušným údajom, ale SCHUFA jej oznámila iba relevantné skóre a všeobecné zásady, na ktorých sa zakladá metóda jeho výpočtu, pričom ju neinformovala o konkrétnych údajoch zohľadnených v tomto výpočte a o význame, ktorý im je prikladaný v tomto kontexte a tvrdila, že na metódu výpočtu sa vzťahuje obchodné tajomstvo.
3. Keďže žalobkyňa tvrdí, že zamietnutie jej žiadosti zo strany spoločnosti SCHUFA je v rozpore s úpravou ochrany údajov, bude Súdny dvor musieť rozhodnúť o obmedzeniach, ktoré GDPR stanovuje pre ekonomickú činnosť informačných spoločností vo finančnom sektore, predovšetkým pri správe údajov, ako aj o vplyve, ktorý treba priznať obchodnému tajomstvu. Súdny dvor bude musieť tiež spresniť rozsah regulačných právomocí, ktoré vnútroštátnemu zákonodarcovi priznávajú niektoré ustanovenia GDPR odchylne od všeobecného cieľa harmonizácie sledovaného týmto právnym aktom.
II. Právny rámec
A. Právo Únie
4. Článok 4 bod 4 GDPR stanovuje:
„Na účely tohto nariadenia:
…
4) ‚profilovanie‘ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.“
5. Článok 6 GDPR, nazvaný „Zákonnosť spracúvania“, uvádza:
„1. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
b) spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
c) spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
d) spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
e) spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.
Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.
2. Členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel tohto nariadenia s ohľadom na spracúvanie v súlade s odsekom 1 [na účely dodržania odseku 1 – neoficiálny preklad] písm. c) a e), a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie, vrátane požiadaviek na iné osobitné situácie spracúvania stanovené v kapitole IX.
3. Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:
a) v práve Únie alebo
b) v práve členského štátu vzťahujúcom sa na prevádzkovateľa.
Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uvedený právny základ môže obsahovať osobitné ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, vrátane: všeobecných podmienok vzťahujúcich sa na zákonnosť spracúvania prevádzkovateľom; typov spracúvaných údajov; dotknutých osôb; subjektov, ktorým sa môžu osobné údaje poskytnúť, a účely, na ktoré ich možno poskytnúť; obmedzenia účelu; doby uchovávania; a spracovateľských operácií a postupov vrátane opatrení na zabezpečenie zákonného a spravodlivého spracúvania, ako napríklad tie na iné osobitné situácie spracúvania, ako sú stanovené v kapitole IX. Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.
4. Ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:
a) akékoľvek prepojenie medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;
b) okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom;
c) povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa článku 9 alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky podľa článku 10;
d) možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby;
e) existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.“
6. Článok 15 GDPR, nazvaný „Právo dotknutej osoby na prístup k údajom“, stanovuje:
„1. Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak to tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:
…
h) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a v týchto prípadoch aspoň zmysluplné informácie o použitom postupe [o logike v pozadí – neoficiálny preklad], ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
…“
7. Článok 21 GDPR, nazvaný „Právo namietať“, uvádza:
„1. Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
…“
8. Podľa článku 22 GDPR, nazvaného „Automatizované individuálne rozhodovanie vrátane profilovania“:
„1. Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.
2. Odsek 1 sa neuplatňuje, ak je rozhodnutie:
a) nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom;
b) povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha a ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo
c) založené na výslovnom súhlase dotknutej osoby.
3. V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ vykoná vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.
4. Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných údajov uvedených v článku 9 ods. 1, pokiaľ sa neuplatňuje článok 9 ods. 2 písm. a) alebo g) a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a oprávnených záujmov dotknutej osoby.“
B. Nemecké právo
9. Ustanovenie § 31 Bundesdatenschutzgesetz (spolkový zákon o ochrane údajov) z 30. júna 2017(3), zmeneného zákonom z 20. novembra 2019(4) (ďalej len „BDSG“), nazvaného „Ochrana ekonomických transakcií v prípade scoringu (stanovenia bodového skóre) a informácií o bonite“, stanovuje:
„1. Použitie hodnoty pravdepodobnosti určitého budúceho správania fyzickej osoby na účely rozhodnutia o založení, plnení alebo ukončení zmluvného vzťahu s touto osobou (scoring) je prípustné len vtedy, ak
(1) boli dodržané predpisy o ochrane údajov;
(2) údaje použité na výpočet hodnoty pravdepodobnosti sú na základe vedecky uznaného matematicko‑štatistického postupu preukázateľne relevantné pre výpočet pravdepodobnosti určitého správania;
(3) pri výpočte hodnoty pravdepodobnosti neboli použité výlučne údaje týkajúce sa adresy a
(4) v prípade použitia údajov týkajúcich sa adresy bola dotknutá osoba pred výpočtom hodnoty pravdepodobnosti informovaná o plánovanom použití týchto údajov; toto informovanie sa musí zdokladovať.
2. Použitie hodnoty pravdepodobnosti zistenej spoločnosťami poskytujúcimi ekonomické informácie, ktorá sa týka platobnej schopnosti fyzickej osoby a jej ochoty splácať úvery, je v prípade zohľadnenia informácií o pohľadávkach prípustné len vtedy, ak sú splnené podmienky uvedené v odseku 1 a ak sa berú do úvahy len pohľadávky na plnenie, ktoré sa napriek splatnosti neposkytlo a
(1) ktoré boli určené rozsudkom, ktorý je právoplatný alebo ktorý bol vyhlásený za predbežne vykonateľný, alebo v prípade ktorých existuje dlhový nástroj podľa § 794 Zivilprozessordnung [Občiansky súdny poriadok],
(2) ktoré boli zistené podľa § 178 Insolvenzordnung [Insolvenčný poriadok] a dlžník ich v lehote na preskúmanie nepoprel;
(3) ktoré dlžník výslovne uznal;
(4) v prípade ktorých
a) dlžník po splatnosti pohľadávky dostal aspoň dve písomné upomienky;
b) prvá upomienka bola zaslaná aspoň pred štyrmi týždňami;
c) dlžník bol vopred, avšak najskôr pri prvej upomienke, informovaný o ich možnom zohľadnení spoločnosťou poskytujúcou ekonomické informácie a
d) dlžník nepoprel pohľadávku alebo
(5) ktoré sú založené na zmluvnom vzťahu, ktorý možno z dôvodu omeškania so zaplatením vypovedať bez výpovednej doby, a v prípade ktorých bol dlžník informovaný o ich možnom zohľadnení spoločnosťou poskytujúcou ekonomické informácie.
Prípustnosť spracúvania, vrátane stanovenia hodnôt pravdepodobnosti a iných údajov relevantných pre bonitu podľa všeobecných predpisov o ochrane údajov tým nie je dotknutá.“
III. Skutkový stav predchádzajúci sporu, konanie vo veci samej a prejudiciálne otázky
10. Z rozhodnutia vnútroštátneho súdu vyplýva, že žalobkyňa vo veci samej nedostala úver vzhľadom na hodnotenie úverovej bonity, ktoré vykonala spoločnosť SCHUFA. SCHUFA je súkromnoprávnou spoločnosťou, ktorá prevádzkuje informačnú službu v oblasti úverov a poskytuje svojim klientom informácie o úverovej bonite spotrebiteľov. Na tento účel SCHUFA vykonáva hodnotenia úverovej bonity, pre potreby ktorých vytvára na základe určitých znakov osoby a štatisticko‑matematickej metódy prognózu pravdepodobnosti budúceho správania, ako je napríklad splácanie úveru.
11. Žalobkyňa požiadala spoločnosť SCHUFA, aby vymazala nesprávne údaje, ktoré sa jej týkajú a poskytla jej prístup k zaznamenaným údajom o jej osobe. SCHUFA oznámila žalobkyni najmä skóre, ktoré jej bolo vypočítané a spôsob, akým v zásade funguje jeho výpočet, ale neoznámila jej váhu rôznych údajov vo výpočte. SCHUFA sa domnieva, že nie je povinná prezradiť svoje metódy výpočtu, pretože sa na ne vzťahuje profesijné a obchodné tajomstvo. Navyše sa domnieva, že poskytuje informácie iba svojim klientom, ktorí prijímajú rozhodnutia týkajúce sa úverových zmlúv vo vlastnom zmysle slova.
12. Žalobkyňa podala u žalovaného, splnomocnenca pre ochranu údajov, proti spoločnosti SCHUFA sťažnosť, v ktorej mu navrhuje, aby nariadil tejto spoločnosti, aby poskytla a vymazala informácie v súlade s jej žiadosťou. V rozhodnutí o sťažnosti sa HBDI domnieval, že už netreba pokračovať v konaní proti tejto spoločnosti z dôvodu, že rešpektuje požiadavky špecifikované nemeckým spolkovým zákonom o ochrane údajov.
13. Vnútroštátny súd prejednáva žalobu podanú žalobkyňou proti rozhodnutiu žalovaného. Tento súd sa domnieva, že na rozhodnutie vo veci samej je podstatné určiť, či činnosť poskytovateľov informačných služieb v oblasti úverov, spočívajúca v zostavení skóre fyzických osôb a odovzdaní tohto skóre tretím osobám bez ďalšieho odporúčania alebo vyjadrenia, patrí do pôsobnosti článku 22 ods. 1 GDPR.
14. Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Má sa článok 22 ods. 1 [GDPR] vykladať v tom zmysle, že už automatizované určenie hodnoty pravdepodobnosti týkajúcej sa schopnosti dotknutej osoby v budúcnosti splácať úver predstavuje rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa týkajú dotknutej osoby alebo ju podobne významne ovplyvňujú, ak prevádzkovateľ poskytne túto hodnotu zistenú prostredníctvom osobných údajov dotknutej osoby tretiemu prevádzkovateľovi a táto tretia osoba použije túto hodnotu ako rozhodujúci faktor pri rozhodovaní o založení, plnení alebo ukončení zmluvného vzťahu s dotknutou osobou?
2. V prípade, ak treba na prvú prejudiciálnu otázku odpovedať záporne, majú sa článok 6 ods. 1 a článok 22 [GDPR] vykladať v tom zmysle, že bránia vnútroštátnej právnej úprave, podľa ktorej je použitie hodnoty pravdepodobnosti – ktorá sa v prejednávanom prípade týka platobnej schopnosti fyzickej osoby a jej ochoty splácať úvery v prípade zohľadnenia informácií o pohľadávkach – týkajúcej sa určitého budúceho správania fyzickej osoby na účely rozhodnutia o založení, plnení alebo ukončení zmluvného vzťahu s touto osobou (scoring) prípustné len vtedy, ak sú splnené určité ďalšie podmienky, ktoré sú podrobnejšie uvedené v odôvodnení návrhu na začatie prejudiciálneho konania?“
IV. Konanie na Súdnom dvore
15. Rozhodnutie vnútroštátneho súdu z 1. októbra 2021 bolo doručené do kancelárie Súdneho dvora 15. októbra 2021.
16. Účastníci konania vo veci samej, SCHUFA, dánska vláda, portugalská vláda a fínska vláda, ako aj Európska komisia, podali písomné pripomienky v lehote stanovenej v článku 23 Štatútu Súdneho dvora Európskej únie.
17. Na pojednávaní 26. januára 2023 predniesli ústne pripomienky zástupcovia ad litem účastníkov konania vo veci samej, spoločnosti SCHUFA, a splnomocnení zástupcovia nemeckej vlády, fínskej vlády, ako aj Komisie.
V. Právna analýza
A. Úvodné poznámky
18. Keďže vzájomná dôvera je základom každého zmluvného záväzku v trhovom hospodárstve, je z podnikateľského hľadiska v zásade pochopiteľné, že poskytovatelia služieb a dodávatelia tovarov chcú poznať svojich zákazníkov, ako aj riziká spojené s takýmto zmluvným záväzkom. Spoločnosti poskytujúce ekonomické informácie môžu prispieť k posilneniu tejto vzájomnej dôvery prostredníctvom štatistických metód umožňujúcich podnikom zistiť, či sú v danom prípade splnené určité relevantné kritériá, vrátane úverovej bonity ich klientov. Tieto spoločnosti tak pomáhajú podnikom dodržiavať rôzne ustanovenia práva Únie, ktoré im ukladá práve takúto povinnosť v prípade určitých kategórií zmlúv, najmä zmlúv o úvere.(5) Niektoré z používaných metód sa môžu zakladať na osobných údajoch klientov zozbieraných a spracúvaných automatizovaným spôsobom vďaka informačným technológiám. S týmto záujmom je v rozpore záujem dotknutých osôb na tom, aby vedeli, ako sú spravované a zaznamenávané tieto údaje a poznali metódy, ktoré podniky používajú pri prijímaní rozhodnutí voči svojim klientom.
19. GDPR, ktoré sa uplatňuje od 25. mája 2018, vytvorilo právny rámec, ktorý má zohľadniť vyššie uvedené záujmy v celej Únii, najmä tým, že zavádza určité obmedzenia pri spracúvaní osobných údajov. Osobitné obmedzenia sa tak uplatňujú na automatizované spracúvanie, ktoré môže mať právne účinky, ktoré sa týkajú fyzickej osoby alebo ju významne ovplyvňujú. Tieto obmedzenia sú odôvodnené pri profilovaní, teda pri vyhodnocovaní osobných aspektov na účely analýzy alebo prognózy majetkových pomerov, spoľahlivosti alebo správania fyzickej osoby. V tomto kontexte spomeniem obmedzenia uvedené v článku 22 GDPR, relevantné v prejednávanej veci, ktoré majú chrániť ľudskú dôstojnosť tým, že zabraňujú tomu, aby bolo voči dotknutej osobe prijaté rozhodnutie iba na základe automatizovaného spracúvania bez akéhokoľvek ľudského zásahu, ktorý je v prípade potreby schopný skontrolovať, že toto rozhodnutie bolo prijaté správne, spravodlivo a nediskriminačne.(6) Ľudský zásah, s ktorým treba počítať pri tomto type automatizovaného spracúvania údajov zaručuje, že dotknutá osoba bude mať možnosť vyjadriť svoje stanovisko, získať vysvetlenie týkajúce sa rozhodnutia prijatého na záver tohto typu hodnotenia a v prípade nesúhlasu s týmto rozhodnutím ho napadnúť. Predmetom prvej prejudiciálnej otázky je práve rozsah obmedzení uvedených v článku 22 GDPR.
20. Napriek tomu, že GDPR vytvorilo komplexný regulačný rámec pre ochranu osobných údajov, ktorý je v zásade úplný, treba uviesť, že niektoré ustanovenia poskytujú členským štátom možnosť upraviť dodatočné, prísnejšie alebo odchylné, vnútroštátne pravidlá, ktoré im ponechávajú určitú mieru voľnej úvahy pri spôsobe vykonania týchto ustanovení („otvorené ustanovenia“), pokiaľ uvedené pravidlá nenarušia obsah a ciele GDPR.(7) Rozsah tejto zostatkovej regulačnej právomoci členských štátov je v jadre druhej prejudiciálnej otázky, ktorú treba preskúmať v týchto návrhoch.
B. O prípustnosti
21. HBDI a SCHUFA napádajú prípustnosť návrhu na začatie prejudiciálneho konania. V tejto súvislosti SCHUFA tvrdí, že návrh nie je ani potrebný na vyriešenie sporu, ani dostatočne odôvodnený; otvára možnosť druhého opravného prostriedku a je v rozpore s inými návrhmi na začatie prejudiciálneho konania, ktoré podal a neskôr vzal späť ten istý vnútroštátny súd.
1. Rozhodujúca povaha prejudiciálnych otázok pre vyriešenie sporu
22. Na úvod treba pripomenúť, že podľa ustálenej judikatúry Súdneho dvora v rámci spolupráce medzi týmto súdom a vnútroštátnymi súdmi zakotvenej v článku 267 ZFEÚ prináleží iba vnútroštátnemu súdu, ktorý prejednáva spor a ktorý musí niesť zodpovednosť za následné súdne rozhodnutie, aby so zreteľom na osobitosti veci posúdil tak potrebu rozhodnutia v prejudiciálnom konaní pre vyhlásenie svojho rozsudku, ako aj relevantnosť otázok, ktoré kladie Súdnemu dvoru. Pokiaľ sa preto položené otázky týkajú výkladu alebo platnosti právneho pravidla Únie, Súdny dvor je v zásade povinný rozhodnúť. Z toho vyplýva, že pri otázkach týkajúcich sa práva Únie platí domnienka relevantnosti. Súdny dvor môže odmietnuť rozhodovať o prejudiciálnej otázke položenej vnútroštátnym súdom len vtedy, ak je zjavné, že požadovaný výklad alebo posúdenie platnosti pravidla Únie nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, ak ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými ani právnymi podkladmi potrebnými na užitočnú odpoveď na otázky, ktoré mu boli položené.(8)
23. Tieto podmienky nie sú v tomto prípade splnené, pretože z bodu 40 rozhodnutia vnútroštátneho súdu jasne vyplýva, že výsledok konania závisí od prvej prejudiciálnej otázky. Vnútroštátny súd vysvetľuje, že ak by sa mal článok 22 ods. 1 GDPR vykladať v tom zmysle, že určenie skóre spoločnosťou poskytujúcou ekonomické informácie je samostatným rozhodnutím v zmysle článku 22 ods. 1 tohto nariadenia, vzťahoval by sa na túto spoločnosť, konkrétnejšie na jej príslušnú činnosť, zákaz automatizovaného prijímania individuálneho rozhodnutia. Vyžadoval by sa teda právny základ na úrovni členského štátu v zmysle článku 22 ods. 2 písm. b) GDPR, ktorým môže byť iba § 31 BDSG. Vnútroštátny súd však vyjadruje vážne pochybnosti o zlučiteľnosti tohto vnútroštátneho ustanovenia s článkom 22 ods. 1 GDPR. Podľa vnútroštátneho súdu by SCHUFA nielenže konala bez právneho základu, ale nerešpektovala by ani zákaz stanovený v uvedenom článku 22 ods. 1 V dôsledku toho má žalobkyňa právo na to, aby HBDI ako dozorný orgán pokračoval v rozhodovaní v jej veci. Je teda zjavné, že odpoveď na otázky položené vnútroštátnym súdom je rozhodujúca pre vyriešenie sporu.
24. Aj SCHUFA tvrdí, že návrh na začatie prejudiciálneho konania je neprípustný z dôvodu, že žalobkyňa už bola informovaná o logike skóre. Z rozhodnutia vnútroštátneho súdu však vyplýva, že žalobkyňa chcela získať čo najpodrobnejšie informácie o všetkých získaných údajoch a o metóde použitej na určenie skóre. Keďže SCHUFA informovala žalobkyňu v hrubých rysoch o spôsobe, akým v zásade funguje výpočet skóre, ale neinformovala ju ani o rôznych informáciách zohľadňovaných vo výpočte, ani o ich váhe, je zjavné, že nevyhovela tejto žiadosti o poskytnutie informácií. Žalobkyňa má teda oprávnený záujem na tom, aby prostredníctvom rozhodnutia v prejudiciálnom konaní boli určené práva dotknutej osoby voči takej spoločnosti poskytujúcej ekonomické informácie ako je SCHUFA.
2. Existencia dvoch súbežných opravných prostriedkov
25. K údajnému riziku otvorenia možnosti druhého opravného prostriedku pre dotknutú osobu treba uviesť, že na rozdiel od toho, čo tvrdí SCHUFA vo svojich pripomienkach, skutočnosť, že žalobkyňa sa najprv obrátila na všeobecné súdy a následne na správny súd, ktorý podal návrh na začatie prejudiciálneho konania, nebráni prípustnosti tohto návrhu. Žalobkyňa svojimi dvomi návrhmi využila opravné prostriedky upravené v článkoch 78 a 79 GDPR, ktoré zaručujú právo na účinný súdny prostriedok nápravy proti dozornému orgánu a prevádzkovateľovi. Keďže tieto opravné prostriedky existujú nezávisle na sebe bez toho, aby bol jeden vo vzťahu k druhému subsidiárny, možno ich podať súbežne.(9) Žalobkyni teda nemožno vytýkať žiadnu protiprávnosť pri obrane jej práv, ktoré chráni GDPR.
26. Navyše treba pripomenúť, že podľa ustálenej judikatúry Súdneho dvora v prípade, ak v danej oblasti neexistuje právna úprava Únie, prináleží vnútroštátnemu právnemu poriadku každého členského štátu určiť príslušné súdy a upraviť procesné podmienky súdnych žalôb určených na zabezpečenie ochrany práv, ktoré osoby podliehajúce súdnej právomoci vyvodzujú z práva Únie.(10) Neexistuje teda žiadny objektívny dôvod spochybniť systém opravných prostriedkov členského štátu, okrem prípadov, ak by bola ohrozená účinnosť práva Únie, napríklad, ak by vnútroštátnym súdom bola odňatá možnosť alebo povinnosť upravená v článku 267 ZFEÚ predložiť Súdnemu dvoru otázky týkajúce sa výkladu alebo platnosti práva Únie.
27. V tomto prípade nič nenasvedčuje tomu, že existencia dvoch opravných prostriedkov, ktoré dávajú možnosť účinného súdneho prostriedku nápravy proti dozornému orgánu a prevádzkovateľovi, ohrozuje účinnosť práva Únie alebo odníma vnútroštátnym súdom možnosť využiť konanie upravené v článku 267 ZFEÚ. Naopak, ako som už vysvetlil, z článkov 78 a 79 GDPR je zrejmé, že GDPR nebráni takémuto systému opravných prostriedkov, ale skôr ponecháva na členskom štáte, aby označil príslušné súdy a definoval procesné podmienky súdnych žalôb, a to plne v súlade so zásadou procesnej autonómie. Súdny dvor to uznal vo svojej nedávnej judikatúre.(11)
28. Napokon treba uviesť, že SCHUFA má výhrady iba voči opravným prostriedkom, ktoré sú k dispozícii podľa nemeckého práva, avšak konkrétne nevysvetľuje, prečo by nebol rozsudok Súdneho dvora vyhlásený v tomto prejudiciálnom konaní užitočný pre vyriešenie sporu. Ako teda uvádza vnútroštátny súd, výklad článku 22 ods. 1 GDPR podaný Súdnym dvorom umožní žalovanému vykonať jeho dozorné právomoci voči spoločnosti SCHUFA spôsobom, ktorý je v súlade s právom Únie. V dôsledku toho si myslím, že argumentácia spoločnosti SCHUFA spochybňujúca prípustnosť návrhu na začatie prejudiciálneho konania je neopodstatnená.
3. Údajná neexistencia odôvodnenia návrhu na začatie prejudiciálneho konania
29. Tieto úvahy v zásade postačujú na odmietnutie argumentácie spoločnosti SCHUFA. V záujme lepšieho pochopenia prejednávanej veci však považujem za nevyhnutné zaoberať sa tvrdením založeným na údajnej neexistencii odôvodnenia návrhu na začatie prejudiciálneho konania. Na rozdiel od toho, čo tvrdí SCHUFA, rozhodnutie vnútroštátneho súdu vysvetľuje to, o čo ide v prejednávanej veci dostatočne podrobne na to, aby spĺňalo požiadavky článku 94 písm. c) Rokovacieho poriadku Súdneho dvora. Konkrétnejšie vnútroštátny súd vysvetľuje, že žalobkyňa chce uplatniť svoje práva voči spoločnosti SCHUFA. Podľa vnútroštátneho súdu je článok 22 ods. 1 GDPR v zásade schopný ponúknuť jej ochranu voči automatizovanému spracúvaniu jej osobných údajov, pokiaľ nie je vykladaný reštriktívne.
30. Vnútroštátny súd sa domnieva, že vzhľadom na význam, ktorý niektoré podniky prikladajú skóre určenému spoločnosťami poskytujúcimi ekonomické informácie na účely prognostického hodnotenia ekonomickej spôsobilosti fyzickej osoby, možno toto skóre považovať za samostatné „rozhodnutie“ v zmysle už uvedeného ustanovenia. Výklad v tomto zmysle je nevyhnutný na vyplnenie právnej medzery, ktorá vyplýva z toho, že dotknutá osoba by inak nebola schopná získať potrebné informácie podľa článku 15 ods. 1 písm. h) GDPR. Vzhľadom na toto podrobné odôvodnenie si myslím, že treba odmietnuť argumentáciu spoločnosti SCHUFA a dospieť k záveru, že návrh na začatie prejudiciálneho konania je prípustný.
C. O veci samej
1. O prvej prejudiciálnej otázke
a) Všeobecný zákaz uvedený v článku 22 ods. 1 GDPR
31. Článok 22 ods. 1 GDPR je v porovnaní s ostatnými obmedzeniami pri spracúvaní údajov obsiahnutými v tomto nariadení špecifický, pretože zakotvuje „právo“ dotknutej osoby na to, aby voči nej nebolo prijaté rozhodnutie založené výlučne na automatizovanom spracúvaní, vrátane profilovania. Bez ohľadu na použitú terminológiu si uplatnenie článku 22 ods. 1 GDPR nevyžaduje, aby sa dotknutá osoba aktívne dovolávala práva. Výklad s prihliadnutím na odôvodnenie 71 tohto nariadenia a so zreteľom na štruktúru tohto ustanovenia, najmä jeho odsek 2, ktorý uvádza prípady, v ktorých je takéto automatizované spracúvanie výnimočne povolené, totiž umožňuje dospieť skôr k záveru, že uvedené ustanovenie zavádza všeobecný zákaz rozhodnutí vyššie opísaného typu. Napriek tomu treba zdôrazniť, že takýto zákaz sa uplatňuje iba za veľmi špecifických okolností, konkrétne na rozhodnutie, „ktoré má právne účinky, ktoré sa [dotknutej osoby] týkajú alebo ju podobne významne ovplyvňujú“.
32. Vnútroštátny súd sa svojou prvou otázkou pýta, či sa na výpočet skóre, ktorý vykonáva spoločnosť poskytujúca informácie v oblasti úverov, vzťahuje článok 22 ods. 1 GDPR v prípade, keď je získané skóre odovzdávané podniku, ktorý ho určujúcim spôsobom používa na prijatie rozhodnutia o založení, plnení alebo ukončení zmluvného vzťahu s dotknutou osobou. Inými slovami, ide o to, či sa toto ustanovenie uplatňuje na spoločnosti poskytujúce informácie v oblasti úverov, ktoré dávajú skóre k dispozícii finančným podnikom. Preskúmanie tejto otázky si bude vyžadovať zistiť, či sú v tomto prípade splnené podmienky uvedené v článku 22 ods. 1 GDPR.
b) Uplatniteľnosť článku 22 ods. 1 GDPR
1) Existencia „profilovania“ v zmysle článku 4 bodu 4 GDPR
33. Toto ustanovenie v prvom rade vyžaduje, aby existovalo automatizované spracúvanie osobných údajov, keďže „profilovanie“ sa podľa jeho znenia(12) považuje za jeho podkategóriu. V tejto súvislosti treba uviesť, že na scoring, ktorý vykonáva SCHUFA, sa vzťahuje zákonná definícia obsiahnutá v článku 4 bode 4 GDPR, keďže tento postup využíva osobné údaje na vyhodnotenie určitých aspektov týkajúcich sa fyzických osôb na účely analýzy alebo prognózy skutočností týkajúcich sa ich majetkových pomerov, spoľahlivosti alebo pravdepodobného správania. Zo spisu vo veci totiž vyplýva, že metóda, ktorú používa SCHUFA, poskytuje na základe určitých kritérií „skóre“, teda výsledok, ktorý umožňuje vyvodiť závery o úverovej bonite dotknutej osoby. Napokon chcem zdôrazniť, že žiadna zo zainteresovaných strán nepopiera kvalifikáciu daného postupu ako „profilovania“, takže túto podmienku možno v tomto prípade považovať za splnenú.
2) Rozhodnutie musí mať „právne účinky“ voči dotknutej osobe alebo ju „podobne významne ovplyvňovať“
34. Uplatnenie článku 22 ods. 1 GDPR si vyžaduje, aby dané rozhodnutie malo „právne účinky“ voči dotknutej osobe alebo ju „podobne významne ovplyvň[ovalo]“. GDPR tak uznáva, že automatizované rozhodovanie, vrátane profilovania, môže mať pre dotknuté osoby vážne dôsledky. Hoci GDPR nedefinuje výraz „právne účinky“, ani výraz „podobne významne“, napriek tomu použitá formulácia jasne nasvedčuje tomu, že toto ustanovenie sa vzťahuje iba na účinky, ktoré majú závažný vplyv. V tejto súvislosti treba najprv upozorniť na skutočnosť, že v odôvodnení 71 GDPR sa výslovne uvádza „automatické zamietnutie online žiadosti o úver“ ako typický príklad rozhodnutia, ktoré „významne“ ovplyvňuje dotknutú osobu.
35. Ďalej treba zohľadniť, že po prvé, keďže vybavenie žiadosti o úver je etapou predchádzajúcou uzavretiu zmluvy o úvere, zamietnutie takejto žiadosti môže mať „právne účinky“ na dotknutú osobu, pretože táto osoba už nemôže uzavrieť zmluvný vzťah s danou finančnou inštitúciou. Po druhé treba uviesť, že takéto zamietnutie môže mať vplyv na finančnú situáciu dotknutej osoby. Je preto logické dospieť k záveru, že táto osoba bude v každom prípade „podobne“ ovplyvnená v zmysle tohto ustanovenia. Zdá sa, že normotvorca Únie si toho bol vedomý pri vypracovaní odôvodnenia 71 GDPR, s prihliadnutím na ktoré treba vykladať článok 22 ods. 1 tohto nariadenia. Domnievam sa preto, že vzhľadom na situáciu, v ktorej sa nachádza žalobkyňa, sú v tomto prípade splnené podmienky tohto ustanovenia bez ohľadu na to, či sa kladie dôraz na právne alebo ekonomické dôsledky zamietnutia úveru.
3) „Rozhodnutie“ musí byť „založené výlučne na automatizovanom spracúvaní“
36. Je potrebné, aby boli splnené dve ďalšie podmienky. Po prvé je nevyhnutné, aby bol voči dotknutej osobe prijatý úkon, ktorý má povahu „rozhodnutia“. Po druhé, dané rozhodnutie musí byť „založené výlučne na automatizovanom spracúvaní“. Pokiaľ ide o túto poslednú podmienku, nič v opise skutkového stavu v rozhodnutí vnútroštátneho súdu nenasvedčuje tomu, že okrem matematicko‑štatistickej metódy použitej spoločnosťou SCHUFA je skóre akýmkoľvek rozhodujúcim spôsobom určované na základe individuálneho vyhodnotenia a posúdenia človekom. Treba sa preto domnievať, že určenie skóre ako úkon, ktorý vykonáva SCHUFA, je „založené výlučne na automatizovanom spracúvaní“. Netreba však zabúdať na to, že finančná inštitúcia, ktorej SCHUFA oznamuje skóre, musí voči dotknutej osobe prijať údajne samostatný úkon, a to poskytnutie alebo zamietnutie úveru. Vzniká teda otázka, ktorý z týchto dvoch úkonov možno kvalifikovať ako „rozhodnutie“ v zmysle článku 22 ods. 1 GDPR, ktorá bude preskúmaná nižšie.
37. Pokiaľ ide o prvú podmienku, treba najprv určiť, aká je právna povaha „rozhodnutia“ a akú formu musí toto rozhodnutie mať. Z etymologického hľadiska tento pojem znamená „názor“ alebo „zaujatie stanoviska“ k určitej situácii. Musí tiež mať „záväznú povahu“, aby sa odlišovalo od jednoduchých „odporúčaní“, ktoré v zásade nemajú žiadne právne alebo skutkové následky.(13) Na rozdiel od toho, čo tvrdí HBDI, si však nemyslím, že v tomto kontexte je relevantná analógia s článkom 288 štvrtým odsekom ZFEÚ, a to tým skôr, že takáto analógia nemá žiadny základ v ustanoveniach GDPR.
38. Neexistencia legálnej definície umožňuje vyvodiť záver, že normotvorca Únie vybral všeobecný pojem, ktorý môže zahŕňať viacero úkonov, ktoré môžu mnohými spôsobmi ovplyvniť dotknutú osobu. Ako som totiž už uviedol, „rozhodnutie“ v zmysle článku 22 ods. 1 GDPR môže mať buď „právne účinky“ alebo môže „podobne“ ovplyvňovať dotknutú osobu, čo znamená, že dané „rozhodnutie“ môže mať vplyv, ktorý nie je nutne právny, ale je skôr ekonomický a sociálny. Vzhľadom na to, že článok 22 ods. 1 GDPR má chrániť fyzické osoby pred potenciálne diskriminačnými a nespravodlivými účinkami automatizovaného spracúvania údajov si myslím, že sa vyžaduje osobitná obozretnosť, ktorá sa musí prejaviť aj vo výklade tejto normy.
39. Napokon treba zdôrazniť, že keďže aj úkony pripísateľné súkromnej finančnej inštitúcii môžu mať závažné dôsledky pre nezávislosť a slobodu konania dotknutej osoby v trhovom hospodárstve, najmä keď ide o osvedčenie úverovej bonity žiadateľa o úver,(14) nevidím žiadny objektívny dôvod obmedzovať pojem „rozhodnutie“ na striktne verejnoprávnu oblasť, teda na vzťah medzi štátom a občanom, ako to nepriamo naznačuje analógia, ktorú navrhuje HBDI. Domnievam sa, že kvalifikácia zaujatia stanoviska voči dotknutej osobe ako „rozhodnutia“ si vyžaduje preskúmanie ad hoc s prihliadnutím na špecifické okolnosti, ako aj závažnosť účinkov na právne, ekonomické a sociálne postavenie uvedenej osoby.(15)
40. Na základe kritérií vysvetlených v predchádzajúcich bodoch treba ďalej určiť, ktoré „rozhodnutie“ je relevantné v tomto prípade. Ako bolo uvedené vyššie, existuje jednak úkon, ktorým banka súhlasí s poskytnutím úveru žiadateľovi alebo ho zamieta a jednak skóre vyplývajúce z profilovania, ktoré vykonáva SCHUFA. Podľa môjho názoru nemožno dať na túto otázku jednoznačnú odpoveď, pretože kvalifikácia závisí od okolností každého konkrétneho prípadu. Konkrétnejšie treba uviesť, že podstatný význam má spôsob, akým je štruktúrovaný rozhodovací proces. Tento proces typicky zahŕňa niekoľko fáz, ako je profilovanie, určenie skóre a rozhodnutie o poskytnutí úveru vo vlastnom zmysle slova.
41. Zdá sa mi zrejmé, že hoci finančná inštitúcia môže zobrať na seba tento proces, nič jej nebráni v tom, aby zmluvne delegovala niektoré úlohy, ako je napríklad profilovanie a scoring, na spoločnosť poskytujúcu ekonomické informácie. Článok 22 ods. 1 GDPR totiž nijako nevyžaduje, aby tieto úlohy plnila jedna alebo viaceré osoby. Napriek tomu si nemyslím, že prípadné delegovanie niektorých právomocí na externého poskytovateľa služieb zohráva podstatnú úlohu v analýze, pretože takéto delegovanie sa vo všeobecnosti riadi ekonomickými a organizačnými hľadiskami, ktoré sa môžu líšiť prípad od prípadu.
42. Naopak si myslím, že rozhodujúcu úlohu zohráva aspekt súvisiaci s otázkou, či je rozhodovací proces koncipovaný tak, že scoring, ktorý vykonáva spoločnosť poskytujúca ekonomické informácie, vopred určuje rozhodnutie finančnej inštitúcie poskytnúť alebo zamietnuť úver. Ak by sa mal scoring vykonávať bez akéhokoľvek ľudského zásahu, ktorý môže v prípade potreby overiť jeho výsledok a správnosť rozhodnutia, ktoré sa má prijať voči žiadateľovi o úver, zdá sa logické domnievať sa, že samotný scoring predstavuje „rozhodnutie“ uvedené v článku 22 ods. 1 GDPR.
43. Predpokladať opak z dôvodu, že rozhodnutie o poskytnutí alebo zamietnutí úveru formálne náleží finančnej inštitúcii, by bolo nielen prílišným formalizmom, ale nezohľadňovalo by ani špecifické okolnosti takého prípadu. Platí to o to viac, že článok 22 ods. 1 GDPR nijako nevyžaduje, aby malo „rozhodnutie“ konkrétnu formu. Rozhodujúcim faktorom je účinok, ktorý má „rozhodnutie“ na dotknutú osobu. Keďže negatívne skóre môže mať samo osebe nepriaznivé účinky na dotknutú osobu, teda citeľne ju obmedziť vo výkone jej slobôd alebo ju dokonca stigmatizovať v spoločnosti, zdá sa mi dôvodné kvalifikovať ho ako „rozhodnutie“ v zmysle už citovaného ustanovenia v prípade, keď mu finančná inštitúcia prikladá prvoradý význam v rozhodovacom procese.(16) Za takýchto okolností je totiž žiadateľ o úver ovplyvnený už od štádia vyhodnocovania jeho úverovej bonity spoločnosťou poskytujúcou ekonomické informácie, a nielen v záverečnom štádiu zamietnutia úveru, v ktorom finančná inštitúcia iba uplatňuje výsledok tohto hodnotenia v konkrétnom prípade.(17)
44. Vzhľadom na to, po prvé, že článok 22 ods. 1 GDPR vyžaduje, aby bolo dané rozhodnutie založené „výlučne“ na automatizovanom spracúvaní,(18) a po druhé, že znenie ustanovenia predstavuje vo všeobecnosti limit pre každý jeho výklad, sa zdá nevyhnutné, aby automatizované spracúvanie zostalo jediným faktorom odôvodňujúcim prístup finančnej inštitúcie k žiadateľovi o úver. Bolo by to tak v prípade, ak by sa procesu zúčastňoval človek bez toho, aby mohol ovplyvniť príčinnú súvislosť medzi automatizovaným spracúvaním a konečným rozhodnutím. Spoločnosť poskytujúca ekonomické informácie by musela fakticky prijať konečné rozhodnutie za finančnú inštitúciu. Závisí to od interných pravidiel a postupov danej finančnej inštitúcie, ktoré jej vo všeobecnosti nemusia ponechávať žiadnu voľnú úvahu pri uplatňovaní skóre na žiadosť o úver.
45. Ide v podstate o skutkovú otázku, ktorú môžu podľa môjho názoru najlepšie posúdiť vnútroštátne súdy. Navrhujem teda zveriť vnútroštátnemu súdu, ktorý podal návrh na začatie prejudiciálneho konania, úlohu, aby sám zistil, v akom rozsahu finančnú inštitúciu vo všeobecnosti zaväzuje scoring, ktorý vykonáva taká spoločnosť poskytujúca ekonomické informácie ako je SCHUFA, s prihliadnutím na vyššie uvedené kritériá.(19) Budem vychádzať z informácií obsiahnutých v rozhodnutí vnútroštátneho súdu, aby som v prejednávanej veci dal vnútroštátnemu súdu užitočnú odpoveď.
46. V tejto súvislosti chcem najprv zdôrazniť, že hoci je podľa vnútroštátneho súdu ľudský zásah v tomto štádiu rozhodovacieho procesu v zásade stále možný, rozhodnutie založiť zmluvný vzťah s dotknutou osobou „v praxi určuje skóre odovzdané spoločnosťami poskytujúcimi informácie do takej miery, že sa toto skóre odráža v rozhodnutí tretieho prevádzkovateľa“. Podľa vnútroštátneho súdu „práve skóre určené na základe automatizovaného spracúvania spoločnosťou poskytujúcou ekonomické informácie obvykle určuje, či a ako tretí prevádzkovateľ uzavrie zmluvu s dotknutou osobou“. Vnútroštátny súd tiež vysvetľuje, že hoci tretia osoba nemusí urobiť svoje rozhodnutie závislým iba na skóre, napriek tomu „to vo všeobecnosti do značnej miery robí“. Vnútroštátny súd dodáva, že „poskytnutie úveru možno odmietnuť napriek v zásade dostatočnému skóre (z iných dôvodov ako je napríklad neexistencia zabezpečenia alebo pochybnosti o úspechu financovanej investície), ale v oblasti úverov poskytovaných spotrebiteľom bude mať nedostatočné skóre v každom prípade za následok odmietnutie úveru v takmer všetkých prípadoch, a to aj keď by sa investícia inak javila ako výnosná“. Napokon tento súd uvádza, že „skúsenosti vyplývajúce z kontroly ochrany údajov vykonávanej orgánmi preukazujú, že práve skóre zohráva rozhodujúcu úlohu pri poskytovaní úverov a formulovaní ich podmienok“.
47. Myslím si, že s výnimkou, ak niečo iné vyplynie z posúdenia skutkového stavu, ktoré prináleží vykonať každému vnútroštátnemu súdu v každom jednotlivom prípade, vyššie vysvetlené úvahy nasvedčujú tomu, že skóre určené spoločnosťou poskytujúcou ekonomické informácie a oznámené finančnej inštitúcii vo všeobecnosti predurčuje rozhodnutie tejto inštitúcie poskytnúť alebo zamietnuť úver dotknutej osobe takým spôsobom, že toto zaujatie stanoviska nemožno v rámci rozhodovacieho procesu považovať za čisto formálne.(20) Z toho vyplýva, že samotné skóre treba považovať za „rozhodnutie“ v zmysle článku 22 ods. 1 GDPR.
48. Takýto záver považujem za dôvodný, pretože akýkoľvek iný výklad by spochybňoval cieľ, ktorý normotvorca Únie sleduje týmto ustanovením, ktoré má chrániť práva dotknutých osôb. Ako to vnútroštátny súd správne vysvetlil, doslovný výklad článku 22 ods. 1 GDPR by mal za následok medzeru v právnej ochrane: spoločnosť poskytujúca ekonomické informácie, od ktorej by mali byť získané informácie požadované dotknutou osobou, ich nie je povinná poskytnúť podľa článku 15 ods. 1 písm. h) GDPR, pretože údajne nevykonáva svoje vlastné „automatizované rozhodovanie“ v zmysle tohto ustanovenia a finančná inštitúcia, ktorá prijíma svoje rozhodnutie na základe skóre určeného automatizovaným spôsobom a ktorá je povinná poskytnúť požadované informácie podľa článku 15 ods. 1 písm. h) GDPR, ich zase nemôže poskytnúť, pretože ich nemá.
49. V dôsledku toho by finančná inštitúcia nebola schopná overiť hodnotenie úverovej bonity žiadateľa o úver v prípade napadnutia rozhodnutia, ako to vyžaduje článok 22 ods. 3 GDPR, ani zabezpečiť spravodlivé, transparentné a nediskriminačné spracúvanie pomocou matematických alebo štatistických postupov, ako aj vhodných technických a organizačných opatrení, ako to vyžaduje odôvodnenie 71 šiesta veta GDPR.(21) Aby sa zabránilo takejto situácii, ktorá by jasne odporovala legislatívnemu cieľu pripomenutému v predchádzajúcom bode, navrhujem výklad článku 22 ods. 1 GDPR, ktorý zohľadní skutočný vplyv, ktorý má scoring na situáciu dotknutej osoby.
50. Takýto prístup sa mi zdá logický, pretože spoločnosť poskytujúca ekonomické informácie by mala byť vo všeobecnosti jediným subjektom, ktorý dokáže vyhovieť ostatným žiadostiam dotknutej osoby založeným na právach, ktoré rovnako zaručuje GDPR, konkrétne na práve na opravu uvedenom v článku 16 GDPR v prípade, ak by sa osobné údaje použité na vykonanie scoringu ukázali nesprávne, ako aj na práve na vymazanie uvedenom v článku 17 GDPR v prípade, ak by uvedené údaje boli spracúvané nezákonne. Keďže finančná inštitúcia sa vo všeobecnosti nezúčastňuje ani na získavaní týchto údajov, ani na profilovaní v prípade, keď sú tieto úlohy delegované na tretiu stranu, je dôvodné vylúčiť možnosť, že je schopná efektívne zabezpečiť rešpektovanie týchto práv. Dotknutá osoba však nesmie byť povinná znášať nepriaznivé dôsledky takéhoto delegovania úloh.
51. Považovať spoločnosť poskytujúcu ekonomické informácie za zodpovednú z dôvodu určenia skóre – a nie z dôvodu jeho neskoršieho použitia – považujem za najefektívnejší spôsob, ako zabezpečiť ochranu základných práv dotknutej osoby, a to práva na ochranu osobných údajov uvedeného v článku 8 Charty základných práv Európskej únie (ďalej len „Charta“), ale aj práva na rešpektovanie jej súkromného života uvedeného v článku 7 Charty, pretože táto činnosť je v konečnom dôsledku „zdrojom“ každej prípadnej ujmy. Vzhľadom na riziko, že skóre, ktoré určila spoločnosť poskytujúca ekonomické informácie, použijú viaceré finančné inštitúcie, sa mi zdá dôvodné umožniť dotknutej osobe, aby uplatňovala svoje práva priamo voči nej.
52. Z dôvodov vysvetlených vyššie sa domnievam, že podmienky článku 22 ods. 1 GDPR sú splnené, takže toto ustanovenie sa uplatňuje za takých okolností, ako sú okolnosti vo veci samej.
c) Rozsah práva na informácie uvedeného v článku 15 ods. 1 písm. h) GDPR
53. V tejto súvislosti nemožno dostatočne zdôrazniť význam, aký má to, aby prevádzkovateľ plne rešpektoval svoje informačné povinnosti voči dotknutej osobe. V súlade s článkom 15 ods. 1 písm. h) GDPR má dotknutá osoba právo získať od prevádzkovateľa nielen potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, ale aj iné informácie, ako je napríklad informácia o tom, že dochádza k automatizovanému rozhodovaniu vrátane profilovania v zmysle článku 22 GDPR, zmysluplné informácie o logike v pozadí, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
54. Keďže SCHUFA odmietla prezradiť žalobkyni určité informácie týkajúce sa metódy výpočtu z dôvodu, že údajne ide o obchodné tajomstvo, je dôležité spresniť rozsah práva na informácie uvedeného v článku 15 ods. 1 písm. h) GDPR, predovšetkým pokiaľ ide o povinnosť poskytnúť „zmysluplné informácie o logike v pozadí“. Podľa môjho názoru sa toto ustanovenie má vykladať v tom zmysle, že sa v zásade vzťahuje aj na metódu výpočtu použitú spoločnosťou poskytujúcou ekonomické informácie na účely určenia skóre pod podmienkou, že neexistujú žiadne protichodné záujmy hodné ochrany. V tejto súvislosti treba pripomenúť odôvodnenie 63 GDPR, z ktorého okrem iného vyplýva, že „právo na prístup k osobným údajom… by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb, ani obchodného tajomstva alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru“ (kurzívou zvýraznil generálny advokát).
55. Z výkladu článku 15 ods. 1 písm. h) GDPR s prihliadnutím na odôvodnenia 58 a 63 tohto nariadenia možno vyvodiť rad záverov. Po prvé je zjavné, že normotvorca Únie si bol plne vedomý rozporov, ktoré môžu vzniknúť medzi na jednej strane právom na ochranu osobných údajov zaručeným článkom 8 Charty a na druhej strane právom na ochranu duševného vlastníctva uvedeným v článku 17 ods. 2 Charty. Po druhé je jasné, že neuvažoval o tom, aby jedno základné právo bolo obetované v prospech druhého. Hlbšia analýza ustanovení GDPR naopak umožňuje dospieť k záveru, že normotvorca Únie chcel zabezpečiť spravodlivú rovnováhu medzi právami a povinnosťami.
56. Nabádanie normotvorcu Únie v odôvodnení 63 GDPR, v ktorom sa uvádza, že „výsledkom zohľadnenia týchto prvkov by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe“(22) podľa môjho názoru znamená, že v každom prípade treba poskytnúť minimálne informácie, aby nebola ohrozená podstata práva na ochranu osobných údajov. Z toho vyplýva, že hoci ochrana obchodného tajomstva alebo duševného vlastníctva predstavuje v zásade pre spoločnosť poskytujúcu ekonomické informácie oprávnený dôvod, aby odmietla prezradiť algoritmus použitý na výpočet skóre dotknutej osoby, nemôže nijako odôvodniť absolútne odmietnutie poskytnúť informácie. Platí to tým skôr vtedy, keď existujú vhodné komunikačné prostriedky, ktoré uľahčujú pochopenie a zároveň zaručujú určitý stupeň dôvernosti.
57. Za zvlášť relevantný v tejto súvislosti považujem článok 12 ods. 1 GDPR, podľa ktorého „prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené [v článku 15], ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho“(23). Toto ustanovenie potvrdzuje úvahu vysvetlenú vyššie, keďže z neho vyplýva, že skutočným cieľom článku 15 ods. 1 písm. h) GDPR je zabezpečiť, aby dotknutá osoba získala informácie v zrozumiteľnej a dostupnej forme v súlade s jej potrebami. Podľa môjho názoru už tieto požiadavky vylučujú prípadnú povinnosť prezradiť algoritmus vzhľadom na jeho zložitosť. Užitočnosť oznámenia zvlášť zložitého vzorca je totiž bez potrebných vysvetlení sporná. V tejto súvislosti treba upozorniť na odôvodnenie 58 GDPR, z ktorého vyplýva, že rešpektovanie požiadaviek pripomenutých vyššie je osobitné dôležité v situáciách, „v ktorých… technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej týkajú, boli získané, kým a na aké účely“(24).
58. Z uvedených dôvodov sa domnievam, že povinnosť poskytnúť „zmysluplné informácie o logike v pozadí“ treba chápať v tom zmysle, že zahŕňa dostatočne podrobné vysvetlenia metódy použitej na výpočet skóre a dôvodov, ktoré viedli k určitému výsledku. Prevádzkovateľ musí vo všeobecnosti poskytnúť dotknutej osobe celkové informácie, ktoré sú pre ňu užitočné aj pri napadnutí každého „rozhodnutia“ v zmysle článku 22 ods. 1 GDPR, najmä o faktoroch zohľadnených v rozhodovacom procese a o ich príslušnom význame na súhrnnej úrovni.(25)
d) Odpoveď na prvú prejudiciálnu otázku
59. Vzhľadom na predchádzajúce úvahy sa domnievam, že článok 22 ods. 1 GDPR sa má vykladať v tom zmysle, že už automatizované určenie hodnoty pravdepodobnosti týkajúcej sa schopnosti dotknutej osoby splácať v budúcnosti úver predstavuje rozhodnutie založené výlučne na automatizovanom spracúvaní, vrátane profilovania, ktoré má právne účinky, ktoré sa týkajú tejto osoby alebo ju podobne významne ovplyvňujú vtedy, ak prevádzkovateľ poskytne túto hodnotu zistenú prostredníctvom osobných údajov uvedenej osoby tretiemu prevádzkovateľovi a tento tretí prevádzkovateľ v súlade s ustálenou praxou použije túto hodnotu ako rozhodujúci faktor pri rozhodovaní o založení, plnení alebo ukončení zmluvného vzťahu s dotknutou osobou.
2. O druhej prejudiciálnej otázke
60. Hoci druhá otázka bola položená iba v prípade, ak bude na prvú otázku potrebné odpovedať záporne, myslím si, že je relevantná aj vtedy, ak by Súdny dvor dospel k záveru, že na scoring sa vzťahuje zákaz automatizovaného rozhodovania formulovaný v článku 22 ods. 1 GDPR. V takomto prípade, ako to správne uvádza fínska vláda, by bolo nevyhnutné preskúmať, či možno urobiť výnimku z tohto zákazu podľa článku 22 ods. 2 písm. b) GDPR. Podľa tohto ustanovenie sa zákaz neuplatňuje, „ak je rozhodnutie… povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha“.
61. Toto ustanovenie obsahuje výslovnú regulačnú flexibilitu v prípade, ak sa automatizované profilovanie, na ktoré sa vzťahuje, zakladá na práve Únie alebo práve členského štátu. Ak sa zakladá na práve členského štátu, musí vnútroštátne právo poskytnúť dotknutej osobe konkrétne záruky. Súdny dvor by potom musel určiť, či takéto „povolenie“ možno vyvodiť zo samotného článku 6 GDPR alebo z vnútroštátneho ustanovenia prijatého na právnom základe, ktorý je v ňom stanovený. Myslím si, že tento posledný prípad si vyžaduje podrobnú analýzu vzhľadom na to, že vnútroštátny súd sa pýta na súlad § 31 BDSG s článkami 6 a 22 GDPR, čo vyžaduje, aby články 6 a 22 GDPR mohli predstavovať vhodný právny základ.
a) Existencia právneho základu v GDPR zverujúceho regulačné právomoci členským štátom
62. Vnútroštátny súd vyjadruje pochybnosti práve v tejto súvislosti, keďže podľa jeho názoru žiadne z ustanovení uvedených v článkoch 6 a 22 GDPR nemôže slúžiť ako právny základ na prijatie takého vnútroštátneho ustanovenia, ako je ustanovenie uvedené v § 31 BDSG, ktoré zavádza určité pravidlá pre scoring. Vzniká tak otázka, či vnútroštátny zákonodarca konformným spôsobom uplatnil ustanovenia GDPR, ktoré mu priznávajú určitú flexibilitu na to, aby stanovil vnútroštátne pravidlá spracúvania osobných údajov podľa GDPR alebo sa dokonca od neho za určitých okolností odchýlil. Odpoveď na túto otázku sa ukazuje zložitá, keďže nemecký zákonodarca v dôvodovej správe k zákonu neuvádza žiadne otvorené ustanovenie.(26) Je však o to dôležitejšia, že § 31 ods. 1 bod 1) BDSG výslovne stanovuje, že scoring „je prípustný len vtedy, ak boli dodržané predpisy o ochrane údajov“ (kurzívou zvýraznil generálny advokát). Ako vysvetlím nižšie, viacero argumentov ma privádza k zápornej odpovedi na túto otázku.
1) Uplatniteľnosť článku 22 ods. 2 písm. b) GDPR
63. Na úvod treba spomenúť ustanovenie článku 22 ods. 2 písm. b) GDPR, ktoré priznáva členským štátom právomoc povoliť rozhodnutie založené výlučne na automatizovanom spracovaní údajov, vrátane profilovania, a na ktoré sa preto možno odvolávať ako na právny základ. Treba však uviesť, že tento odsek 2 by sa neuplatnil v prípade, ak by Súdny dvor rozhodol, že na scoring sa nevzťahuje zákaz formulovaný v odseku 1 tohto článku 22. Ako to totiž jasne vyplýva zo znenia, ako aj všeobecnej štruktúry článku 22 GDPR, uplatnenie odseku 2 predpokladá, že sú splnené podmienky stanovené v odseku 1. V dôsledku toho je zjavné, že uplatnenie článku 22 ods. 2 písm. b) GDPR treba vylúčiť, ak by na prvú otázku bolo potrebné odpovedať záporne.
64. Pre úplnosť a vzhľadom na kladnú odpoveď, ktorú navrhujem dať na prvú otázku, považujem za potrebné preskúmať, či sa toto ustanovenie môže uplatniť v prípade, ak by sa Súdny dvor domnieval, že scoring vykonávaný spoločnosťou poskytujúcou ekonomické informácie predstavuje „rozhodnutie“ v zmysle odseku 1 tohto článku 22. Aj v tomto prípade však existujú pochybnosti o vhodnosti článku 22 ods. 2 písm. b) tohto nariadenia slúžiť ako právny základ, a to z viacerých dôvodov.
65. Po prvé treba pripomenúť, že článok 22 GDPR sa vzťahuje iba na rozhodnutia prijaté „výlučne“ na základe automatizovaného spracúvania údajov, zatiaľ čo podľa vnútroštátneho súdu § 31 BDSG obsahuje pravidlá, ktoré sa bez rozdielu uplatňujú aj na neautomatizované rozhodnutia a zároveň upravuje zákonnosť použitia spracovania údajov na účely určenia skóre. Inými slovami, § 31 BDSG má oveľa širšiu pôsobnosť ratione materiae ako článok 22 GDPR.(27) Je preto sporné, že článok 22 ods. 2 písm. b) GDPR môže slúžiť ako právny základ.
66. Po druhé treba poznamenať, ako to uvádza vnútroštátny súd, že § 31 BDSG upravuje „použitie“ hodnoty pravdepodobnosti hospodárskymi subjektmi, ale nie jej „určenie“ spoločnosťami poskytujúcimi ekonomické informácie, čo je aspekt, ktorý je predmetom prvej prejudiciálnej otázky. Možno to vyvodiť aj z vyhlásení nemeckej vlády na pojednávaní. Ako som podrobne vysvetlil pri preskúmaní tejto prvej otázky, článok 22 ods. 1 GDPR sa uplatňuje aj v štádiu „určenia“ skóre a nielen v štádiu jeho „použitia“ finančnou inštitúciou, pokiaľ sú splnené určité podmienky.(28) Inak povedané, zdá sa, že § 31 BDSG má upravovať odlišný prípad než je prípad, ktorý patrí do pôsobnosti ratione materiae článku 22 GDPR, čo musí potvrdiť vnútroštátny súd. S prihliadnutím na predchádzajúce úvahy sa domnievam, že článok 22 ods. 2 písm. b) GDPR treba vylúčiť ako právny základ pre prijatie takého vnútroštátneho legislatívneho ustanovenia ako je ustanovenie uvedené v § 31 BDSG.
2) Uplatniteľnosť článku 6 ods. 2 a 3 GDPR
i) O ustanoveniach priznávajúcich regulačné právomoci členským štátom
67. Podľa článku 6 ods. 1 GDPR je spracúvanie osobných údajov zákonné, iba ak je splnená podmienka týkajúca sa niektorého z dôvodov ktoré sú v ňom vymenované. Ako Súdny dvor už rozhodol, ide o taxatívny a reštriktívny zoznam prípadov, v ktorých možno takéto spracúvanie považovať za zákonné.(29) Aby preto určenie skóre spoločnosťou poskytujúcou ekonomické informácie bolo možné považovať za legitímne, musí sa na neho vzťahovať niektorý z prípadov uvedených v tomto ustanovení.
68. V takom prípade, ako je ten vo veci samej, sa v zásade môžu uplatňovať písm. b), c) a f) článku 6 ods. 1 GDPR. V súlade s odsekom 2 tohto článku členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel GDPR. Treba však spresniť, že toto ustanovenie sa uplatňuje iba na účely dodržania odseku 1 písm. c) a e). Rovnako odsek 3 uvedeného článku 6 uvádza, že základ pre spracúvanie je stanovený v práve členského štátu vzťahujúcom sa na prevádzkovateľa, pokiaľ sa spracúvanie týka prípadov uvedených v odseku 1 písm. c) a e).
69. Z toho vyplýva, že členské štáty môžu prijať špecifickejšie pravidlá vtedy, keď je spracúvanie „nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa“ alebo „nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi“. Tieto podmienky majú za následok prísne vymedzenie regulačnej právomoci členských štátov, čím je vylúčené svojvoľné využitie otvorených ustanovení upravených v GDPR, ktoré by mohlo zmariť cieľ harmonizovať právo v oblasti ochrany osobných údajov.
70. V tomto kontexte treba navyše uviesť, že keďže niektoré z týchto ustanovení používajú terminológiu špecifickú pre GDPR bez výslovného odkazu na právo členských štátov, treba použité výrazy vykladať autonómne a jednotne.(30) V tomto kontexte treba ďalej overiť, či sa na úpravu § 31 BDSG vzťahuje niektorý z dôvodov vymenovaných v článku 6 ods. 1 GDPR.
ii) Zákonnosť spracúvania údajov
– Dôvod uvedený v článku 6 ods. 1 písm. b) GDPR
71. Pokiaľ ide o písm. b), z tohto ustanovenia vyplýva, že spracúvanie je zákonné iba vtedy a iba v tom rozsahu, v akom je nevyhnutné na „plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba“ alebo na to, „aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy“. V tejto súvislosti treba zdôrazniť skutočnosť, že služby spoločností poskytujúcich informácie sú iba vo výnimočných prípadoch využívané v štádiu plnenia zmluvy. Najdôležitejšia je fáza pred uzavretím zmluvy, počas ktorej sa vo všeobecnosti získavajú informácie o úverovej bonite. Odovzdanie žiadosti o poskytnutie informácií spoločnosti poskytujúcej ekonomické informácie na účely overenia úverovej bonity sa mi zdá byť na základe tohto ustanovenia povolené.(31) Treba však spresniť, že toto ustanovenie sa vzťahuje iba na povolenie prešetriť úverovú bonitu potenciálnymi zmluvnými partnermi, veriteľmi a/alebo poskytovateľmi právnych služieb a vytvára tak predpoklady pre zákonné získavanie údajov spoločnosťami poskytujúcimi ekonomické informácie. Naopak si myslím, že toto ustanovenie nie je samo osebe dostatočné na to, aby slúžilo ako právny základ určený na legalizáciu činností spoločnosti poskytujúcej ekonomické informácie vo všeobecnosti.(32)
72. Navyše treba pripomenúť, že hoci článok 6 ods. 1 písm. b) GDPR kodifikuje dôvod zákonnosti spracúvania osobných údajov, netýka sa žiadneho z prípadov uvedených v odsekoch 2 a 3, podľa ktorých majú členské štáty regulačnú právomoc. Z toho vyplýva, že keďže článok 6 GDPR vymenúva tieto prípady taxatívne, nemožno také vnútroštátne ustanovenie, ako je ustanovenie uvedené v § 31 BDSG, prijať iba na základe článku 6 ods. 1 písm. b) GDPR.
– Dôvod uvedený v článku 6 ods. 1 písm. c) GDPR
73. Dôvod uvedený v článku 6 ods. 1 písm. c) GDPR sa týka spracúvania založeného na „zákonnej povinnosti“ prevádzkovateľa. Ide o požiadavky stanovené samotným členským štátom. Naproti tomu toto ustanovenie nezahŕňa povinnosti vyplývajúce z občianskoprávnych zmlúv, ako je napríklad zmluva uzavretá medzi finančnou inštitúciou a spoločnosťou poskytujúcou ekonomické informácie. Finančné inštitúcie, ktoré sa musia ubezpečiť o úverovej bonite svojich klientov na základe povinností, ktoré im ukladá vnútroštátne právo, sa však môžu oprieť o tento právny základ pri podávaní žiadostí o poskytnutie zodpovedajúcich informácií tak, aby bol z pohľadu spoločnosti poskytujúcej ekonomické informácie zaručený plný súlad takýchto žiadostí so zákonom. Naproti tomu „určenie“ skóre spoločnosťou poskytujúcou ekonomické informácie nemožno považovať za opatrenie prijaté pri plnení „zákonnej povinnosti“, ktorá jej je uložená, keďže takáto povinnosť zrejme vo vnútroštátnom práve neexistuje. Treba sa preto domnievať, že na toto písm. c) sa nemožno s úspechom odvolávať ako na právny základ pre to, aby sa scoring považoval za zákonné spracúvanie.
– Dôvod uvedený v článku 6 ods. 1 písm. e) GDPR
74. Ďalej vzniká otázka, či sa ako na právny základ pre prijatie § 31 BDSG možno odvolávať na článok 6 ods. 1 písm. e) GDPR. Bolo by tak tak vtedy, ak by spracúvanie bolo „nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi“. Na jednej strane možno tvrdiť, ako to vyplýva z legislatívneho cieľa § 31 BDSG, ktorý sa odráža v názve tohto vnútroštátneho ustanovenia („Ochrana ekonomických transakcií v prípade scoringu (stanovenia bodového skóre) a informácií o bonite“) a z prípravných prác,(33) že spoločnosti poskytujúce ekonomické informácie prispievajú k správnemu fungovaniu hospodárstva krajiny.(34)
75. Keďže totiž uvedené spoločnosti poskytujú informácie o úverovej bonite konkrétnych osôb, prispievajú k ochrane spotrebiteľov tým, že zabraňujú riziku nadmerného zadlženia,(35) ale aj k ochrane podnikov, ktoré týmto spotrebiteľom predávajú tovary alebo poskytujú úvery. Tieto spoločnosti zaručujú stabilitu finančného systému tým, že bránia nezodpovednému poskytovaniu úverov dlžníkom, ktorí predstavujú vysoké riziko nesplatenia.(36) Bez spoľahlivého systému úverového vyhodnocovania by bola veľká časť obyvateľstva prakticky vylúčená z možnosti získať úver z dôvodu nevypočítateľných rizík, ekonomické transakcie v informačnej dobe by boli oveľa zložitejšie a pokusy o podvod by zostali nepovšimnuté. Z tohto hľadiska sa možno stotožniť s dôvodmi, ktoré zrejme viedli nemeckého zákonodarcu k prijatiu § 31 BDSG.
76. Okrem toho, aj keď je známe, že súkromnoprávne právnické osoby môžu konať vo verejnom záujme, zdá sa mi zrejmé, že nie každý „oprávnený záujem“ môže odôvodniť uplatnenie článku 6 ods. 1 pís. e) GDPR. Vzťah s „výkonom verejnej moci“ a odôvodnenia 45, 55 a 56 GDPR nasvedčujú skôr tomu, že toto ustanovenie sa týka v prvom rade orgánov verejnej moci v doslovnom zmysle slova, ako aj právnických osôb, ktoré vykonávajú časť verejnej moci, a v druhom rade súkromnoprávnych právnických osôb, ktoré spracúvajú údaje na účely verejnej služby, napríklad v oblasti „verejného zdravia“, „sociálnej ochrany“ a „správy služieb zdravotnej starostlivosti“, ktoré sú výslovne uvedené v odôvodnení 45. Inými slovami, toto ustanovenie sa týka typických úloh štátu.
77. Rovnako treba uviesť, že odôvodnenia 55 a 56 GDPR odkazujú na „oficiálne uznané náboženské združenia“, ako aj „politické strany“, teda na organizácie, ktoré podľa kritérií normotvorcu Únie vykonávajú činnosti vo verejnom záujme a na tento účel spracúvajú osobné údaje. Vzhľadom na toto konštatovanie je sporné, že toto ustanovenie môže zahŕňať aj činnosti spoločností poskytujúcich ekonomické informácie, vrátane scoringu. Takýto výklad by značne rozšíril pôsobnosť tohto ustanovenia a zvlášť by sťažoval určenie medzí tohto otvoreného ustanovenia.(37)
78. Okrem vysvetlených úvah treba v tomto kontexte uviesť, že hoci § 31 BDSG má chrániť ekonomické transakcie, neuvádza žiadnu konkrétnu úlohu uvedených spoločností.(38) Ako som už uviedol v týchto návrhoch na základe spresnení vnútroštátneho právneho rámca, ktoré poskytol vnútroštátny súd, toto ustanovenie sa týka „použitia“ skóre hospodárskymi subjektmi a nie jeho „určenia“ spoločnosťami poskytujúcimi ekonomické informácie.(39) V jadre sporu vo veci samej je však práve zákonnosť tejto činnosti. Z dôvodov vysvetlených vyššie sa domnievam, že článok 6 ods. 1 písm. e) GDPR nie je vhodný na to, aby slúžil ako právny základ.
– Dôvod uvedený v článku 6 ods. 1 písm. f) GDPR
79. Ďalej treba preskúmať, či táto činnosť patrí do pôsobnosti článku 6 ods. 1 písm. f) GDPR. Podľa judikatúry Súdneho dvora(40) toto ustanovenie upravuje tri kumulatívne podmienky na to, aby spracúvanie osobných údajov bolo zákonné, a to po prvé sledovanie oprávneného záujmu prevádzkovateľom alebo tretími stranami, ktorým sú údaje oznámené, po druhé nevyhnutnosť spracúvania osobných údajov na dosiahnutie sledovaného oprávneného záujmu a po tretie podmienku, že neprevažujú základné práva a slobody osoby, ktorej sa ochrana údajov týka.
80. Pokiaľ ide najprv o sledovanie „oprávneného záujmu“, chcem pripomenúť, že GDPR a judikatúra uznávajú širokú škálu záujmov považovaných za oprávnené,(41) pričom spresňujú, že v súlade s článkom 13 ods. 1 písm. d) GDPR prináleží prevádzkovateľovi, aby uviedol oprávnené záujmy sledované v rámci článku 6 ods. 1 písm. f) GDPR. Ako som už uviedol v týchto návrhoch, legislatívnym cieľom § 31 BDSG je zabezpečiť zákonnosť činností vykonávaných spoločnosťami poskytujúcimi ekonomické informácie, keďže podľa názoru nemeckého zákonodarcu tieto spoločnosti prispievajú k správnemu fungovaniu hospodárstva krajiny.(42) Keďže tieto činnosti zaručujú ochranu rôznych hospodárskych subjektov proti rizikám spojeným s platobnou neschopnosťou so závažnými dôsledkami na stabilitu finančného systému, možno v tomto štádiu analýzy skonštatovať, že už citované vnútroštátne ustanovenie sleduje hospodársky cieľ, ktorý môže predstavovať „oprávnený záujem“ v zmysle článku 6 ods. 1 písm. f) GDPR.
81. Pokiaľ ide ďalej o podmienku založenú na nevyhnutnosti spracúvania osobných údajov na dosiahnutie sledovaného oprávneného záujmu, podľa judikatúry Súdneho dvora sa výnimky zo zásady ochrany osobných údajov a jej obmedzenia majú robiť v medziach toho, čo je striktne nevyhnutné.(43) Vyžaduje sa teda, aby existovala úzka súvislosť medzi spracúvaním a sledovaným záujmom a neexistovalo náhradné riešenie, ktoré by viac rešpektovalo ochranu osobných údajov, pretože nestačí, aby bolo spracúvanie bolo pre prevádzkovateľa iba užitočné. V tejto súvislosti treba zdôrazniť, že hoci vnútroštátny súd vyjadruje určité pochybnosti o zákonnosti scoringu vzhľadom na ustanovenia GDPR, neposkytuje žiadnu informáciu naznačujúcu prípadnú existenciu náhradných opatrení, ktoré by viac rešpektovali ochranu osobných údajov. Bez informácií svedčiacich o opaku sa prikláňam k priznaniu určitej flexibility pri výbere opatrení vhodných na dosiahnutie sledovaného cieľa.
82. Pokiaľ ide napokon o rovnováhu medzi na jednej strane záujmami prevádzkovateľa a na druhej strane záujmami alebo základnými slobodami a právami dotknutej osoby, treba uviesť, že k zváženiu rôznych prítomných záujmov došlo v tomto prípade legislatívnou cestou. Nemecký zákonodarca prijatím § 31 BDSG uprednostnil ekonomické záujmy pred právom na ochranu osobných údajov. Takýto prístup by však bol možný iba vtedy, ak by článok 6 ods. 1 písm. f) GDPR obsahoval ustanovenie umožňujúce členským štátom, aby zachovali alebo zaviedli špecifickejšie ustanovenia s cieľom prispôsobiť pravidlá uvedeného nariadenia, pokiaľ ide o spracúvanie údajov. To však nie je tento prípad, ako to vysvetlím nižšie.
83. Ako jasne vyplýva zo znenia článku 6 ods. 2 a 3 GDPR, zachovanie alebo zavedenie špecifickejších ustanovení je povolené iba v prípadoch uvedených v písm. c) a e) odseku 1. Predchádzajúca analýza preukázala, že § 31 BDSG sa netýka žiadnej okolnosti, ktorá by mohla patriť medzi tieto prípady, čo logicky vylučuje, aby sa na článok 6 ods. 2 a 3 GDPR bolo možné odvolávať ako na právny základ. Uplatnenie na prípad uvedený v písm. f) odseku 1 by porušovalo nielen znenie týchto ustanovení, ale nerešpektovalo by úmysel normotvorcu Únie, ktorý vyplýva z procesu vzniku uvedených ustanovení.
84. V tejto súvislosti chcem pripomenúť, že podľa článku 5 smernice 95/46/ES(44) – právneho aktu, ktorý bol predchodcom GDPR –, prináležalo členským štátom „stanovi[ť]… presnejšie podmienky zákonnosti spracovania osobných údajov.“ Súdny dvor vyložil toto ustanovenie tak, že dospel k záveru, že nič nebránilo tomu, aby členské štáty pri výkone svojej voľnej úvahy zakotvenej v článku 5 smernice 95/46 stanovili „usmerňujúce zásady“ pre zváženie nevyhnutné podľa článku 7 písm. f) tejto smernice, ktorý zodpovedá článku 6 ods. 1 písm. f) GDPR. Treba však zdôrazniť, že GDPR už členským štátom takúto právomoc nepriznáva. Neexistencia ekvivalentného ustanovenia v GDPR totiž znamená, že členské štáty už nemôžu vo svojom vnútroštátnom práve stanoviť usmerňujúce zásady, aby spresnili „oprávnený záujem“ v zmysle článku 6 ods. 1 písm. f) tohto nariadenia.(45)
85. Odkaz na ustanovenia týkajúce sa „osobitných situácií spracúvania“ upravených v kapitole IX, obsiahnutý v odsekoch 2 a 3, nemá za následok rozšírenie pôsobnosti článku 6 GDPR. Ide skôr o odkaz na ustanovenia povoľujúce členským štátom prijať špecifickejšie pravidlá vo vymedzených oblastiach, a to v prípade, keď je spracúvanie nevyhnutné na splnenie „zákonnej povinnosti“ v zmysle písm. c) odseku 1, alebo na plnenie „úlohy realizovanej vo verejnom záujme“ alebo pri výkone „verejnej moci“ v prípade uvedenom pod písm. e) tohto odseku.(46) Ako som uviedol už skôr, tieto oblasti nijako nesúvisia s okolnosťami, za ktorých sa uplatňuje § 31 BDSG.
86. V tomto kontexte treba tiež pripomenúť, že hoci návrh nariadenia, ktorý schválila Komisia, zveroval Komisii právomoc „prijať delegované akty… s cieľom bližšie určiť podmienky uvedené v odseku 1 písm. f) pre jednotlivé sektory a situácie, ktoré sa vyskytujú pri spracúvaní údajov, vrátane podmienok spracovania osobných údajov týkajúcich sa dieťaťa“, tento návrh normotvorca Únie neprijal. Analýza vývoja textu preukazuje, že regulačné právomoci členských štátov boli obmedzené v záujme hlbšej harmonizácie, aby sa zabezpečilo koherentné a homogénne uplatňovanie pravidiel v oblasti ochrany osobných údajov, ako to potvrdzujú aj odôvodnenia 3, 9 a 10 GDPR.(47) Túto okolnosť treba zohľadniť pri výklade článku 6 GDPR.
87. Napokon považujem za nevyhnutné zdôrazniť, že aj keby sa uplatňoval článok 6 ods. 1 písm. f) GDPR, nebolo by sa možné domnievať, že také vnútroštátne ustanovenie, ako je § 31 BDSG, je v súlade s právom Únie. Chcem pripomenúť, že Súdny dvor vyložil článok 7 písm. f) smernice 95/46 v tom zmysle, že „členský štát… nemôže stanovovať pre [určité kategórie osobných údajov] konečný výsledok vyplývajúci zo zváženia protichodných práv a záujmov bez toho, aby pripustil odlišný výsledok vychádzajúci z osobitných okolností konkrétneho prípadu“(48). Keďže formulácia tohto ustanovenia bola takmer identická ako znenie ustanovenia, ktoré ho nahradilo, teda článok 6 ods. 1 písm. f) GDPR, myslím si, že tento výklad je stále platný.(49) Ako to teda naznačuje vnútroštátny súd, zdá sa, že vnútroštátny zákonodarca mal práve tento cieľ, keďže v rozsahu, v akom § BDSG povoľuje použitie skóre vo finančnom sektore, je ekonomickým záujmom finančného sektora priznaná prednosť pred právom na ochranu osobných údajov bez zohľadnenia osobitých okolností konkrétneho prípadu. Takýto prístup by však neprípustne rozširoval pôsobnosť článku 6 GDPR.
88. Vzhľadom na uvedené sa domnievam, že na článok 6 ods. 1 písm. f) GDPR sa nemožno odvolávať ako na právny základ s cieľom prijať také vnútroštátne ustanovenie ako je § 31 BDSG.
– Dôvod uvedený v článku 6 ods. 4 v spojení s článkom 23 ods. 1 GDPR
89. Vnútroštátny súd uvádza, že ustanovenia článku 6 ods. 4 v spojení s ustanoveniami článku 23 ods. 1 GDPR boli uvádzané ako právny základ v legislatívnom procese, ktorý viedol k prijatiu § 31 BDSG. Od myšlienky použiť tieto ustanovenia ako základ sa však neskôr upustilo. Vnútroštátny súd sa domnieva, že tieto ustanovenia sa neuplatňujú v tomto prípade.
90. Bez podrobnejších informácií nie je možné zaujať stanovisko k prípadnej možnosti uplatniť vyššie uvedené ustanovenia. Nezdá sa mi to ani potrebné, ak nezohrávali žiadnu úlohu v legislatívnom procese, ako to tvrdí vnútroštátny súd.(50)
iii) Predbežný záver
91. V predchádzajúcich bodoch som skúmal otázku, či články 6 a 22 GDPR môžu slúžiť ako právny základ pre prijatie takého vnútroštátneho ustanovenia ako je § 31 BDSG, aby odôvodnili zákonnosť určenia skóre v rámci činností vykonávaných spoločnosťami poskytujúcimi ekonomické informácie. Viacero dôvodov, vysvetlených v mojej analýze, ma utvrdzuje v presvedčení, že túto možnosť treba vylúčiť. Stručne povedané, myslím si, že keďže neexistujú otvorené ustanovenia ani výnimky povoľujúce členským štátom prijať presnejšie pravidlá alebo sa odchýliť od pravidiel GDPR pri úprave tejto vyššie uvedenej činnosti, a vzhľadom na stupeň harmonizácie sledovaný týmto nariadením, ktoré je v súlade s článkom 288 ZFEÚ záväzné vo svojej celistvosti a priamo uplatniteľné v každom členskom štáte, sa treba domnievať, že takéto vnútroštátne ustanovenie nie je v súlade s GDPR.
92. Keďže Súdny dvor nemá právomoc vykladať vnútroštátne právo alebo rozhodovať o jeho súlade s právom Únie v prejudiciálnom konaní podľa článku 267 ZFEÚ, treba tvrdenia v týchto návrhoch treba chápať aj ako odporúčania pri výklade relevantných ustanovení GDPR s cieľom umožniť vnútroštátnemu súdu, aby prípadne vykonal túto právomoc po tom, čo sám preskúma § 31 BDSG s prihliadnutím na ustanovenia tohto nariadenia, najmä pokiaľ ide o možnosť vyložiť vnútroštátnu právnu úpravu v súlade s požiadavkami práva Únie.
93. Zásada prednosti práva Únie zakotvuje prednostné postavenie práva Únie pred právom členských štátov. Táto zásada preto ukladá všetkým orgánom členských štátov povinnosť zaručiť plný účinok jednotlivých ustanovení práva Únie, pričom právo členských štátov nemôže mať vplyv na účinok priznaný týmto ustanoveniam na území uvedených štátov. Táto zásada vyžaduje, aby v prípade nemožnosti vyložiť vnútroštátnu právnu úpravu v súlade s požiadavkami práva Únie vnútroštátny súd, ktorý je v rámci svojej právomoci poverený uplatňovať ustanovenia práva Únie, zabezpečil ich plný účinok, pričom v prípade potreby z vlastnej iniciatívy neuplatní akékoľvek odporujúce ustanovenie vnútroštátneho práva, hoci aj časovo následné, a to bez toho, aby musel požiadať alebo vyčkať na jeho predchádzajúce zrušenie zákonodarnou cestou alebo akýmkoľvek iným ústavným postupom.(51)
b) Odpoveď na druhú prejudiciálnu otázku
94. V odpovedi na druhú prejudiciálnu otázku sa domnievam, že článok 6 ods. 1 a článok 22 GDPR sa majú vykladať v tom zmysle, že nebránia vnútroštátnej právnej úprave profilovania, keď ide o iné profilovanie než upravuje článok 22 ods. 1 tohto nariadenia. V tomto prípade však vnútroštátna právna úprava musí rešpektovať podmienky upravené v článku 6 uvedeného nariadenia. Táto právna úprava sa predovšetkým musí opierať o vhodný právny základ, čo musí overiť vnútroštátny súd.
VI. Návrh
95. Vzhľadom na predchádzajúce úvahy navrhujem Súdnemu dvoru, aby odpovedal na prejudiciálne otázky, ktoré položil Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden, Nemecko) takto:
1. Článok 22 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
sa má vykladať v tom zmysle, že:
už automatizované určenie hodnoty pravdepodobnosti týkajúcej sa schopnosti dotknutej osoby splácať v budúcnosti úver predstavuje rozhodnutie založené výlučne na automatizovanom spracúvaní, vrátane profilovania, ktoré má právne účinky, ktoré sa týkajú tejto osoby alebo ju podobne významne ovplyvňujú vtedy, ak prevádzkovateľ poskytne túto hodnotu zistenú prostredníctvom osobných údajov uvedenej osoby tretiemu prevádzkovateľovi a tento tretí prevádzkovateľ v súlade s ustálenou praxou použije túto hodnotu ako rozhodujúci faktor pri rozhodovaní o založení, plnení alebo ukončení zmluvného vzťahu s dotknutou osobou.
2. Článok 6 ods. 1 a článok 22 nariadenia 2016/679,
sa majú vykladať v tom zmysle, že:
nebránia vnútroštátnej právnej úprave profilovania, keď ide o iné profilovanie než upravuje článok 22 ods. 1 tohto nariadenia. V tomto prípade však vnútroštátna právna úprava musí rešpektovať podmienky upravené v článku 6 uvedeného nariadenia. Táto právna úprava sa predovšetkým musí opierať o vhodný právny základ, čo musí overiť vnútroštátny súd.