CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:222

GENERALINIO ADVOKATO

PRIIT PIKAMÄE IŠVADA,

pateikta 2023 m. kovo 16 d.(1)

Sujungtos bylos C‑26/22 ir C‑64/22

UF (C‑26/22)

AB (C‑64/22)

prieš

Land Hessen,

dalyvaujant:

SCHUFA Holding AG

(Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) pateiktas prašymas priimti prejudicinį sprendimą)

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679–6 straipsnio 1 dalies pirmos pastraipos f punktas – Duomenų tvarkymo teisėtumas – 17 straipsnio 1 dalies d punktas – Teisė reikalauti ištrinti asmens duomenis, kai jie tvarkomi neteisėtai – 40 straipsnis – Elgesio kodeksai – 77 straipsnio 1 dalis – Teisė paduoti skundą – 78 straipsnio 1 dalis – Teisė į veiksmingą teisminę gynybą prieš priežiūros instituciją – Europos Sąjungos pagrindinių teisių chartijos 7 ir 8 straipsniai – Priežiūros institucijos priimtas sprendimas dėl skundo – Šio sprendimo teisminės kontrolės apimtis – Privačios kreditingumo vertinimo bendrovės – Iš viešojo registro paimtų duomenų saugojimas – Teisėtas interesas – Saugojimo trukmė“

I. Įžanga

1. Šie Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) pagal SESV 267 straipsnį pateikti prašymai priimti prejudicinį sprendimą susiję su Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 7 ir 8 straipsnių bei 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)(2) (toliau – BDAR) 6 straipsnio 1 dalies pirmos pastraipos f punkto, 17 straipsnio 1 dalies d punkto, 40 straipsnio, 77 straipsnio 1 dalies ir 78 straipsnio 1 dalies išaiškinimu.

2. Šie prašymai pateikti nagrinėjant du ginčus: UF (byla C‑26/22) su Land Hessen (Heseno federalinė žemė), atstovaujama Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Heseno žemės duomenų apsaugos ir informacijos laisvės priežiūros pareigūnas, toliau – HBDI), ir AB (byla C‑64/22) su ta pačia federaline žeme dėl atitinkamai UF ir AB pateiktų prašymų HBDI imtis veiksmų siekiant ištrinti SCHUFA Holding AG (toliau – SHUFA) saugomą įrašą apie atleidimą nuo likusių skolų.

3. Abiejose bylose keliama įvairių naujų teisinių klausimų, susijusių, be kita ko, su skundą nagrinėjančios priežiūros institucijos priimto sprendimo teisiniu pobūdžiu ir teisminės kontrolės, kurią teismas gali vykdyti nagrinėdamas dėl tokio sprendimo paduotą skundą, apimtimi. Šios bylos taip pat susijusios su asmens duomenų iš viešųjų registrų saugojimo kreditingumo vertinimo bendrovėse teisėtumo klausimu.

II. Teisinis pagrindas

A. Sąjungos teisė

1. Reglamentas (ES) 2015/848

4. 2015 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamento (ES) 2015/848 dėl nemokumo bylų(3) 79 straipsnio 4 ir 5 dalys suformuluotos taip:

„4. Pagal [1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355)] valstybės narės atsako už duomenų rinkimą ir saugojimą nacionalinėse duomenų bazėse ir už sprendimus, kurie priimami siekiant užtikrinti, kad su tokiais duomenimis būtų galima susipažinti tarpusavyje sujungtame registre, prie kurio prieiga pateikiama Europos e. teisingumo portale.

5. Teikdamos informaciją, kuri turėtų būti teikiama duomenų subjektams, kad jie galėtų naudotis savo teisėmis, visų pirma teise reikalauti ištrinti duomenis, valstybės narės informuoja duomenų subjektus apie nustatytą laikotarpį, per kurį bus prieinami nemokumo registruose saugomi asmens duomenys.“

2. BDAR

5. BDAR 5 straipsnio 1 dalyje nustatyta:

„Asmens duomenys turi būti:

<…>

b) renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; <…> (tikslo apribojimo principas);

<…>“

6. Šio reglamento 6 straipsnio 1 dalyje numatyta:

„Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

<…>

f) tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni <…>

<…>“

7. BDAR 17 straipsnio 1 dalyje nustatyta:

„Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

<…>

c) asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 2 dalį;

d) asmens duomenys buvo tvarkomi neteisėtai;

<…>“

8. Šio reglamento 21 straipsnio 1 dalyje nustatyta:

„Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.“

9. Minėto reglamento 40 straipsnyje nurodyta:

„1. Valstybės narės, priežiūros institucijos, Valdyba ir Komisija skatina parengti elgesio kodeksus, kuriais būtų siekiama padėti tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus ir į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.

2. Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali parengti elgesio kodeksus arba iš dalies pakeisti ar išplėsti tokius kodeksus siekdamos nustatyti, kaip turi būti taikomas šis reglamentas, atsižvelgiant į:

a) sąžiningą ir skaidrų duomenų tvarkymą;

b) teisėtus interesus, kuriais konkrečiomis aplinkybėmis vadovaujasi duomenų valdytojai;

c) asmens duomenų rinkimą;

<…>

5. Šio straipsnio 2 dalyje nurodytos asociacijos ir kitos įstaigos, ketinančios parengti elgesio kodeksą arba iš dalies pakeisti ar išplėsti galiojantį kodeksą, pateikia kodekso projektą, pakeitimą ar išplėtimą priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį. Priežiūros institucija pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, ir patvirtina tokį kodekso projektą, pakeitimą ar išplėtimą, jei nustato, kad jame numatytos pakankamos tinkamos apsaugos priemonės.

<…>“

10. BDAR 77 straipsnio 1 dalyje numatyta:

„Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą“.

11. Šio reglamento 78 straipsnyje nustatyta:

„1. Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.

2. Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu priežiūros institucija, kuri yra kompetentinga pagal 55 straipsnį ir 56 straipsnius, skundo nenagrinėja arba per tris mėnesius nepraneša duomenų subjektui apie pagal 77 straipsnį pateikto skundo nagrinėjimo pažangą arba rezultatus.

<…>“

B. Vokietijos teisė

12. Klostantis pagrindinių bylų aplinkybėms galiojusios redakcijos Insolvenzordnung (Nemokumo įstatymas) 9 straipsnio 1 dalyje nustatyta:

„Vieši pranešimai skelbiami centrinėje ir visas federalines žemes apimančioje interneto svetainėje; gali būti skelbiamos ir pranešimų ištraukos. Skelbime būtina tiksliai nurodyti skolininką, be kita ko, jo adresą ir veiklos sektorių. Informacija laikoma paskelbta, kai po paskelbimo praeina dar dvi dienos.“

13. Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (Nutarimas dėl viešo informacijos paskelbimo internete nemokumo bylose, toliau – InsBekV) 3 straipsnio 1 ir 2 dalyse nustatyta:

„1) Elektroninėje informacinėje sistemoje paskelbti nemokumo bylos duomenys, įskaitant bylos iškėlimo procedūrą, ištrinami ne vėliau nei praėjus šešiems mėnesiams po nemokumo bylos anuliavimo arba sustabdymo įsiteisėjimo. Jeigu byla neiškeliama, terminas pradedamas skaičiuoti nuo paskelbtų apsaugos priemonių panaikinimo dienos.

2) 1 dalies pirmas sakinys taikomas skelbimams, publikuotiems per atleidimo nuo likusių skolų procedūrą, įskaitant Insolvenzordnung 289 straipsnyje numatytos nutarties paskelbimą, nustatant, kad terminas pradedamas skaičiuoti įsiteisėjus sprendimui dėl atleidimo nuo likusių skolų.“

III. Ginčų faktinės aplinkybės, pagrindinės bylos ir prejudiciniai klausimai

14. 2020 m. gruodžio 17 d. ir 2021 m. kovo 23 d. teismo nutartimis, priimtomis nagrinėjant UF ir AB nemokumo bylas, šiuos asmenis buvo leista anksčiau laiko atleisti nuo likusių skolų. Vadovaujantis Insolvenzordnung 9 straipsnio 1 dalimi ir InsBekV 3 straipsnio 1 ir 2 dalimis, apie šią aplinkybę buvo oficialiai paskelbta internete ir po šešių mėnesių šis įrašas buvo ištrintas.

15. Privati kreditingumo vertinimo bendrovė SCHUFA savo duomenų bazėse registruoja paskelbtą informaciją apie ankstyvą atleidimą nuo likusių skolų, tačiau ją ištrina praėjus tik trejiems metams nuo tokios informacijos įregistravimo.

16. UF ir AB atitinkamai paprašius ištrinti su jais susijusius įrašus, SCHUFA jiems nurodė, kad jos veikla atitinka BDAR ir kad jai netaikomas InsBekV 3 straipsnio 1 dalyje numatytas įrašų ištrynimo po šešių mėnesių terminas. Tada UF ir AB pateikė skundus HBDI, kaip kompetentingai priežiūros institucijai.

17. HBDI dviejose nuomonėse priėmė sprendimą dėl tų skundų; jos paskelbtos atitinkamai 2021 m. kovo 1 d. ir 2021 m. liepos 9 d. Kaip teigia HBDI, SCHUFA turi teisę saugoti neigiamus įrašus, susijusius su atleidimu nuo likusių skolų, ilgiau nei atleidimo nuo skolinio reikalavimo laikotarpį.

18. UF ir AB atskirai apskundė HBDI nuomonę prašymą priimti prejudicinį sprendimą pateikusiam Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas). Šiuo klausimu jie tvirtina, kad HBDI pagal savo užduotis ir įgaliojimus turi imtis priemonių prieš SCHUFA, kad ši bendrovė būtų įpareigota ištrinti su šiais asmenimis susijusius įrašus.

19. Prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad pirmiausia reikia išsiaiškinti sprendimo, kurį priežiūros institucija priima dėl skundo, pateikto pagal BDAR 77 straipsnio 1 dalį, teisinį pobūdį. Minėtas teismas nurodo, kad, HBDI nuomone, BDAR 77 straipsnio 1 dalyje numatyta teisė suprantama kaip peticijos teisė. Taigi jai būtų taikoma tik ribota teisminė kontrolė, kurią atliekant būtų tikrinama tik tai, ar priežiūros institucija išnagrinėjo skundą, ar informavo skundo pateikėją apie skundo nagrinėjimo eigą ir rezultatus. Teismas neturėtų tikrinti, ar sprendimas dėl skundo yra teisingas iš esmės.

20. Vis dėlto minėtam teismui kyla abejonių dėl šios analizės atitikties BDAR. Jo nuomone, šio reglamento 78 straipsnio 1 dalyje reikalaujama veiksmingos teisminės teisių gynimo priemonės. Atsižvelgiant į minėto reglamento tikslą įgyvendinant Chartijos 7 ir 8 straipsnius užtikrinti veiksmingą fizinių asmenų pagrindinių laisvių ir teisių apsaugą, teisės pateikti skundą vertinimas negali būti aiškinamas siaurai. Taigi prašymą priimti prejudicinį sprendimą pateikęs teismas linkęs pritarti aiškinimui, kad priežiūros institucijos sprendimui dėl esmės taikoma neribota teisminė kontrolė, turint omenyje, kad ši institucija turi ir vertinimo laisvę, ir diskreciją, ir kad ji gali būti įpareigota imtis veiksmų tik tada, kai negalima nustatyti teisėtų alternatyvų.

21. Antra, prašymą priimti prejudicinį sprendimą pateikęs teismas abejoja, ar kreditingumo vertinimo bendrovės teisėtai saugo duomenis iš viešųjų registrų. Šiuo klausimu minėtas teismas nurodo, kad šios bendrovės visus įrašus iš viešųjų registrų, t. y. skolininkų registro ir nemokumo registro, gauna iš valstybės. HBDI nuomone, šie duomenys naudojami kreditingumui įvertinti ir galėtų būti saugomi tiek laiko, kiek tai būtina jų saugojimo tikslams. Be to, kadangi nacionalinės teisės aktų leidėjas nereglamentavo šio klausimo, priežiūros institucijos, pasikonsultavusios su kreditingumo vertinimo bendrovių asociacija, patvirtino elgesio kodeksus, kuriuose numatyta, kad informacija turi būti ištrinta praėjus lygiai trejiems metams nuo jos įtraukimo į kreditingumo vertinimo bendrovės bylą.

22. Prašymą priimti prejudicinį sprendimą pateikusio teismo nuomone, atsižvelgiant į Chartijos 7 ir 8 straipsnius, kyla klausimas, ar įrašai viešuosiuose registruose gali būti identiškai perkeliami į privačiuosius registrus, nesant konkretaus duomenų saugojimo pagrindo. Tai reiškia, kad yra saugomi atsarginiai duomenys, visų pirma tais atvejais, kai nacionaliniame registre duomenys jau būna ištrinti dėl pasibaigusio saugojimo termino. Be to, SCHUFA yra tik viena iš kelių kreditingumo vertinimo agentūrų, taigi Vokietijoje duomenys tokiu būdu saugomi daugelyje vietų, o tai yra plataus masto Chartijos 7 straipsnyje įtvirtintos pagrindinės teisės suvaržymas.

23. Prašymą priimti prejudicinį sprendimą pateikęs teismas priduria, kad duomenų tvarkymas, taigi ir duomenų saugojimas, leidžiamas tik tuo atveju, jei įvykdyta viena iš BDAR 6 straipsnio 1 dalyje numatytų sąlygų, o nagrinėjamu atveju galima kalbėti tik apie šio reglamento 6 straipsnio 1 dalies pirmos pastraipos f punktą. Abejotina, ar toks duomenų valdytojas kaip SCHUFA turi teisėtą interesą, kaip apibrėžta toje nuostatoje. Bet kuriuo atveju kreditingumo vertinimo bendrovė, turėdama teisėtą interesą, galėtų naudotis viešaisiais registrais, kol juose saugomi duomenys.

24. Be to, InsBekV 3 straipsnyje Vokietijos teisės aktų leidėjas numatė tik palyginti trumpą šešių mėnesių laikotarpį, per kurį nemokumo registre turi būti saugomas įrašas apie atleidimą nuo likusių skolų. Šis reglamentavimas grindžiamas Reglamento 2015/848 79 straipsnio 5 dalimi, kurioje numatyta, kad valstybės narės informuoja duomenų subjektus apie nustatytą laikotarpį, per kurį bus prieinami nemokumo registruose saugomi asmens duomenys, kad jie galėtų naudotis savo teisėmis, visų pirma teise reikalauti ištrinti duomenis. Vis dėlto ši teisė išnyksta, kai duomenys saugomi daugelyje privačių registrų, kuriuose jie saugomi ilgiau.

25. Be to, net pripažinus, kad iš viešųjų registrų gautų duomenų saugojimas kreditingumo vertinimo bendrovių duomenų bazėse yra teisėtas, galima būtų kelti klausimą, ar į elgesio kodeksus, patvirtintus pagal BDAR 40 straipsnį, kuriuose numatytas įrašų apie atleidimą nuo likusios skolos trejų metų saugojimo terminas, turi būti atsižvelgta atliekant palyginimą pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą.

26. Šiomis aplinkybėmis Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

1. Ar [BDAR] 77 straipsnio 1 dalį, siejamą su 78 straipsnio 1 dalimi, reikia suprasti taip, kad priežiūros institucijos išvada, kurią ji praneša duomenų subjektui,

a) yra sprendimo dėl peticijos pobūdžio? Tai reikštų, kad priežiūros institucijos sprendimo dėl skundo teisminė kontrolė pagal BDAR 78 straipsnio 1 dalį iš principo apsiriboja patikrinimu, ar institucija skundą išnagrinėjo, tinkamai ištyrė skundo dalyką ir pranešė skundo pateikėjui patikrinimo išvadą,

b) laikytina institucijos sprendimu iš esmės? Tai reikštų, kad priežiūros institucijos sprendimo dėl skundo teisminė kontrolė pagal BDAR 78 straipsnio 1 dalį lemia tai, jog teismas turi peržiūrėti sprendimo iš esmės visą turinį, konkrečiu atveju – pavyzdžiui, kai diskrecija sumažėja iki nulio, – teismas priežiūros instituciją gali taip pat įpareigoti imtis konkrečios priemonės, kaip tai suprantama pagal BDAR 58 straipsnį.

2. Ar duomenų saugojimas privačioje kreditingumo vertinimo agentūroje, kurioje asmens duomenys iš tokių viešųjų registrų, kaip „nacionalinės duomenų bazės“, kaip jos suprantamos pagal [Reglamento 2015/848] 79 straipsnio 4 ir 5 dalis, saugomi be konkretaus pagrindo tam, kad gavus užklausą būtų galima suteikti informaciją, yra suderinamas su [Chartijos] 7 ir 8 straipsniais?

3 a) Ar privačios lygiagrečios duomenų bazės (visų pirma kreditingumo vertinimo agentūrų duomenų bazės), kurios yra sukuriamos greta valstybinių duomenų bazių ir kuriose duomenys iš valstybinių duomenų bazių (nagrinėjamu atveju – skelbimai apie nemokumą) saugomi ilgiau, nei nustatyta Reglamente 2015/848 ir nacionalinėje teisėje, yra iš esmės leidžiamos?

b) Jeigu į trečiojo klausimo a punktą būtų atsakyta teigiamai, ar teisė būti pamirštam pagal [BDAR] 17 straipsnio 1 dalies d punktą reiškia, kad šiuos duomenis privaloma ištrinti, kai pasibaigia tvarkymo viešajame registre terminas?

4. Tiek, kiek [BDAR] 6 straipsnio 1 dalies pirmos pastraipos f punktas laikytinas vieninteliu teisiniu pagrindu, kuriuo remiantis duomenys, kurie taip pat saugomi viešuosiuose registruose, yra saugomi privačiose kreditingumo vertinimo agentūrose, ar kreditingumo vertinimo agentūra turi teisėtą interesą jau tuomet, kai ši agentūra be konkretaus pagrindo perima duomenis iš viešojo registro tam, kad gavusi užklausą galėtų juos pateikti?

5. Ar priežiūros institucijų pagal [BDAR] 40 straipsnį patvirtintuose elgesio kodeksuose, kuriuose numatyti patikrinimo ir ištrynimo terminai, ilgesni nei saugojimo viešuosiuose registruose terminai, leidžiama numatyti, kad nereikia atlikti šio reglamento 6 straipsnio 1 dalies pirmos pastraipos f punkte nustatyto palyginimo?“

IV. Procesas Teisingumo Teisme

27. 2021 m. gruodžio 23 d. nutartį dėl prašymo priimti prejudicinį sprendimą byloje C‑26/22 Teisingumo Teismo kanceliarija gavo 2022 m. sausio 11 d. 2022 m. sausio 31 d. nutartį dėl prašymo priimti prejudicinį sprendimą byloje C‑64/22 Teisingumo Teismo kanceliarija gavo 2022 m. vasario 2 d.

28. 2022 m. vasario 11 d. Teisingumo Teismo sprendimu abi bylos buvo sujungtos, kad būtų bendrai vykdomos rašytinė ir žodinė proceso dalys ir priimtas sprendimas.

29. Šalys pagrindinėse bylose, SCHUFA, Vokietijos ir Portugalijos vyriausybės bei Europos Komisija pateikė rašytines pastabas per Europos Sąjungos Teisingumo Teismo statuto 23 straipsnyje nustatytą terminą.

30. 2023 m. sausio 26 d. teismo posėdyje šalių pagrindinėje byloje atstovai ad litem, SCHUFA ir Komisijos atstovai pateikė žodines pastabas.

V. Teisinė analizė

A. Įžanginės pastabos

31. Kadangi rinkos ekonomikos sąlygomis abipusis pasitikėjimas yra bet kokio sutartinio įsipareigojimo pagrindas, verslo požiūriu iš esmės suprantama, kad paslaugų teikėjai ir prekių tiekėjai nori pažinti savo klientus ir sužinoti su tokiu sutartiniu įsipareigojimu susijusią riziką. Kreditingumo vertinimo bendrovės gali padėti sukurti šį tarpusavio pasitikėjimą naudodamos statistikos metodus, leidžiančius įmonėms nustatyti, ar šiuo atveju tenkinami tam tikri reikšmingi kriterijai, įskaitant jų klientų kreditingumą. Taip jos padeda įmonėms laikytis įvairių Sąjungos teisės nuostatų, pagal kurias, kai sudaromos tam tikrų kategorijų sutartys, tarp jų – kredito sutartys, joms tenka būtent tokia pareiga(4). Vis dėlto šios bendrovės nėra vienintelės, teikiančios tokias paslaugas. Suprasdamas, kad reikia užtikrinti tam tikrą finansinių sandorių skaidrumą ir nuspėjamumą, Sąjungos teisės aktų leidėjas reikalauja, kad valstybės narės sukurtų ir tvarkytų vieną ar daugiau registrų, kuriuose būtų skelbiama informacija apie nemokumo bylas.

32. Taigi lygiagrečiai veikia kelios duomenų bazės, t. y. viena vertus, viešosios valdžios institucijų valdomi „oficialūs“ registrai, kita vertus, privačių bendrovių valdomos duomenų bazės. Dėl tokio lygiagretumo gali atsirasti sistemų konkurencija ir net teisinių kolizijų, jei tokiems registrams taikomas teisinis reglamentavimas labai skiriasi. Reglamentavimo skirtumai gali kelti didelių problemų, jei jie turi įtakos duomenų apsaugai, nes neatsižvelgiant į tai, kuris subjektas – viešasis ar privatusis – tvarko registrą, jis turi paisyti duomenų subjektų interesų, susijusių su duomenų tvarkymo ir registravimo būdu. Informacija, susijusi su asmens ekonomine padėtimi, yra jautri teisės į asmens duomenų apsaugą ir privatumo gerbimo požiūriu, todėl šiuo atveju būtinas ypatingas budrumas.

33. Nuo 2018 m. gegužės 25 d. taikomu BDAR sukurta teisinė sistema, kuria siekiama atsižvelgti į minėtus interesus visoje Sąjungoje, be kita ko, nustatant tam tikras asmens duomenų tvarkymo sąlygas. Pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą reikalaujama, kad duomenų tvarkymas būtų būtinas siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni. Kitaip tariant, duomenų tvarkymo teisėtumas turi būti pagrįstas įvairių interesų palyginimu, o teisėti interesai, kurių siekia duomenų valdytojas arba trečiasis asmuo, turi būti viršesni. Būtent priežiūros institucija, kuri pagal BDAR 77 straipsnio 1 dalį turi nagrinėti visus galimus duomenų subjekto skundus, susijusius su jo pagrindinių teisių pažeidimu, turi patikrinti, ar šios sąlygos įvykdytos. Galiausiai, jeigu šis asmuo nuspręstų apskųsti priežiūros institucijos sprendimus pagal BDAR 78 straipsnio 1 dalį, nacionaliniai teismai turėtų užtikrinti veiksmingą teisminę kontrolę.

34. Pirma išdėstytuose šios išvados punktuose trumpai apibendrinami įvairūs teisiniai aspektai, kuriuos prašymą priimti prejudicinį sprendimą pateikęs teismas nurodė savo prašymuose. Pirmasis klausimas susijęs su skundą nagrinėjančios priežiūros institucijos priimto sprendimo teisiniu pobūdžiu ir teisminės kontrolės, kurią teismas gali vykdyti nagrinėdamas dėl tokio sprendimo paduotą skundą, apimtimi. Antrasis–penktasis klausimai iš esmės susiję su asmens duomenų, gautų iš viešųjų registrų, saugojimo kreditingumo vertinimo agentūrose teisėtumu. Toliau prejudiciniai klausimai bus nagrinėjami tokia tvarka, kokia juos išdėstė prašymą priimti prejudicinį sprendimą pateikęs teismas.

B. Dėl pirmojo prejudicinio klausimo

35. Kadangi pirmasis klausimas susijęs su dviem administracinės teisių gynimo priemonės etapais, t. y. su skundu priežiūros institucijai ir teismine teisių gynimo priemone teisminėje institucijoje, kurie atitinkamai reglamentuojami BDAR 77 ir 78 straipsniuose, manau, kad tikslinga glaustai apibūdinti šiuos du etapus ir tada atsakyti į teisinius klausimus, kuriuos užduoda prašymą priimti prejudicinį sprendimą pateikęs teismas.

36. Kaip nurodžiau savo įžanginėse pastabose, BDAR tikslas – užtikrinti fizinių asmenų apsaugą tvarkant asmens duomenis, kuri Chartijos 8 straipsnio 1 dalyje ir SESV 16 straipsnio 1 dalyje pripažįstama pagrindine teise. Kadangi bet koks asmens duomenų tvarkymas gali turėti įtakos privatumui, taip pat reikia paminėti Chartijos 7 straipsniu užtikrinamą apsaugą(5). Be to, iš BDAR 1 straipsnio 2 dalies, siejamos su šio reglamento 10, 11 ir 13 konstatuojamosiomis dalimis, matyti, kad Sąjungos teisės aktų leidėjas šią užduotį paveda ne tik Sąjungos įstaigoms ir agentūroms, bet ir valstybių narių kompetentingoms institucijoms, įskaitant priežiūros institucijas ir nacionalinius teismus(6).

1. Priežiūros institucijų vaidmuo, įskaitant pareigą nagrinėti skundus

37. Šiuo klausimu reikėtų pažymėti, jog Chartijos 8 straipsnio 3 dalyje numatyta, kad asmens duomenų apsaugos taisyklių laikymąsi kontroliuoja nepriklausoma institucija. BDAR 57 straipsnio 1 dalies a punktu įgyvendinamas šis iš pirminės teisės kylantis įpareigojimas, nurodant, kad kiekvienos priežiūros institucijos užduotis – stebėti, kaip taikomas šis reglamentas, ir užtikrinti jo laikymąsi. Duomenų subjekto pateiktų skundų nagrinėjimas priskiriamas prie šios institucijos pareigų, kaip tai aiškiai matyti iš BDAR 57 straipsnio 1 dalies f punkto.

38. Teisingumo Teismas yra nusprendęs, kad pagal BDAR 57 straipsnio 1 dalies f punktą „kiekviena priežiūros institucija savo teritorijoje privalo nagrinėti skundus, kuriuos pagal šio reglamento 77 straipsnio 1 dalį turi teisę pateikti bet kuris asmuo, kai mano, kad tvarkant jo asmens duomenis pažeistas minėtas reglamentas, ir tinkamu mastu tirti šių skundų dalyką“(7). Šiomis aplinkybėmis reikėtų atkreipti dėmesį į tai, jog Teisingumo Teismas pabrėžė priežiūros institucijai tenkančią pareigą „ypač kruopščiai, kaip to reikalaujama, išnagrinėti tokį skundą“ siekiant užtikrinti, kad būtų laikomasi BDAR nuostatų. Be to, reikėtų pažymėti, jog BDAR 141 konstatuojamojoje dalyje patikslinta, kad „tyrimas gavus skundą turėtų būti vykdomas <…> tiek, kiek tai yra tikslinga konkrečiu atveju“ (kursyvu išskirta generalinio advokato).

39. Dėl visų šių aplinkybių esu linkęs manyti, kad priežiūros institucija turi griežtą pareigą nagrinėti skundus, kuriuos pateikė duomenų subjektas, ir daryti tai ypač kruopščiai, kaip to reikalaujama, atsižvelgiant į konkretų atvejį(8). Kadangi bet koks BDAR pažeidimas iš esmės gali reikšti pagrindinių teisių pažeidimą, man atrodo, kad jei priežiūros institucijai būtų suteikta diskrecija spręsti – nagrinėti skundus ar ne, tai būtų nesuderinama su šiuo reglamentu nustatyta sistema. Dėl tokio požiūrio kiltų abejonių dėl vaidmens, kuris suteikiamas šiai institucijai pagal BDAR, t. y. užtikrinti, kad būtų laikomasi asmens duomenų apsaugos taisyklių, todėl jis prieštarautų Sąjungos teisės aktų leidėjo puoselėjamiems tikslams(9). Galiausiai nereikėtų pamiršti, kad skundai yra vertingas informacijos šaltinis priežiūros institucijai, leidžiantis jai nustatyti pažeidimus(10).

40. Šis aiškinimas įtikina dar ir todėl, kad BDAR 57 straipsnio 1 dalies f punkte priežiūros institucijai, nagrinėjančiai tokį skundą, nustatyti tam tikri reikalavimai, t. y. pareiga ištirti skundo dalyką, kiek tai būtina, per pagrįstą laikotarpį informuoti skundo pateikėją apie tyrimo eigą ir rezultatus, visų pirma jei reikia tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija. Be to, pagal BDAR 77 straipsnio 2 dalį skundo pateikėją privaloma informuoti apie skundo nagrinėjimo eigą ir rezultatus, įskaitant galimybę kreiptis į teismą pagal BDAR 78 straipsnį. Visais šiais reikalavimais, kuriuos apima sąvoka „geras administravimas“, įtvirtinta Chartijos 41 straipsnyje, kiek tai konkrečiai susiję su Sąjungos institucijų ir įstaigų veikla(11), siekiama sustiprinti skundų nagrinėjimo procedūrą, kad tai būtų tikra administracinė teisių gynimo priemonė.

41. Nors priežiūros institucija, kaip subjektas, užtikrinantis BDAR nuostatų laikymąsi, turi išnagrinėti jai pateiktus skundus, nemažai aspektų patvirtina aiškinimą, kad, nagrinėdama tokius skundus, ji turi tam tikrą vertinimo laisvę ir tam tikrą diskreciją pasirinkti tinkamas priemones savo užduotims įvykdyti. Generalinis advokatas H. Saugmandsgaard Øe pažymėjo, kad BDAR 58 straipsnio 1 dalyje „priežiūros institucijoms suteikiami reikšmingi tyrimo įgaliojimai“ ir kad joms pagal šio reglamento 58 straipsnio 2 dalį „suteikiamas platus priemonių spektras <…> [joms] pavestai užduočiai įvykdyti“, šiomis aplinkybėmis nurodant įvairius įgaliojimus imtis šioje nuostatoje išvardytų taisomųjų priemonių(12). Jis dar patikslino, kad nors kompetentinga priežiūros institucija „privalo visapusiškai įvykdyti jai pavestą priežiūros užduotį“, „veiksmingiausią priemonę savo nuožiūra pasirenka [ši] institucija, atsižvelgdama į visas nagrinėjamo duomenų perdavimo atvejo aplinkybes“(13). Galiu tik pritarti tokiam aiškinimui.

42. Išsamus priežiūros institucijų įgaliojimų nustatyti taisomąsias priemones apibūdinimas akivaizdžiai rodo, kad Sąjungos teisės aktų leidėjas neketino skundų nagrinėjimo procedūros paversti peticijos nagrinėjimo procedūra. Atvirkščiai, atrodo, kad teisės aktų leidėjo tikslas buvo sukurti mechanizmą, galintį veiksmingai apsaugoti skundų pateikėjų teises ir interesus. Atsižvelgiant į tai, man atrodo aišku, jog ši veiksmų laisvė negali būti aiškinama taip, kad priežiūros institucija turi neribotą kompetenciją, leidžiančią jai veikti savavališkai. Priešingai, priežiūros institucija privalo jai suteikta diskrecija naudotis neperžengdama Sąjungos teisės aktuose nustatytų ribų. Dėl šios priežasties taip pat negalima atmesti galimybės, kad priežiūros institucija, kaip administracinė įstaiga, gali būti įpareigota imtis tam tikros priemonės dėl konkrečių atvejo aplinkybių, visų pirma tais atvejais, kai kyla rimtas duomenų subjekto pagrindinių teisių pažeidimo pavojus.

43. Šį aiškinimą, kuriuo priežiūros institucijai suteikiama tam tikra diskrecija pasirinkti priemones, patvirtina BDAR 58 straipsnio 4 dalis, kurioje nustatyta, kad „naudojimuisi pagal šį straipsnį priežiūros institucijai suteiktais įgaliojimais taikomos tinkamos apsaugos priemonės, įskaitant veiksmingą apskundimą teismine tvarka“ (kursyvu išskirta generalinio advokato) pagal Chartijos 47 straipsnį. Be to, BDAR 78 straipsnio 1 ir 2 dalyse kiekvienam asmeniui pripažįstama teisė imtis veiksmingų teisminių teisių gynimo priemonių dėl teisiškai privalomo priežiūros institucijos sprendimo dėl šio asmens arba jeigu ši institucija neišnagrinėja šio asmens skundo.

44. Dabar pereisiu prie priežiūros institucijos priimtų sprendimų teisinio pobūdžio klausimo, kurį iškėlė prašymą priimti prejudicinį sprendimą pateikęs teismas. Šiuo klausimu reikėtų atkreipti dėmesį į BDAR 141 konstatuojamąją dalį, kurioje numatyta, kad „kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą vienai priežiūros institucijai <…> ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę pagal Chartijos 47 straipsnį, jeigu mano, kad jo teisės pagal šį reglamentą yra pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti“ (kursyvu išskirta generalinio advokato). Šioje konstatuojamojoje dalyje atsižvelgiama į tai, kad priežiūros institucijos sprendimas gali būti nenaudingas duomenų subjektui, be kita ko, jeigu ši institucija nusprendžia, kad skundas nepagrįstas, mano, kad BDAR nebuvo pažeistas, ir todėl nesiima priemonių ištaisyti situaciją, dėl kurios pateiktas skundas. Sąjungos teisės aktų leidėjas pripažįsta teisiškai privalomą tokio sprendimo galią, todėl skundą pateikusiam asmeniui suteikia galimybę pasinaudoti teisių gynimo priemone nacionaliniame teisme.

45. Taip pat pažymėtina, kad priežiūros institucija negali nereaguoti, nes iš BDAR 78 straipsnio 2 dalies matyti, kad „kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu priežiūros institucija, kuri yra kompetentinga pagal [55 ir 56 straipsnius], skundo nenagrinėja arba per tris mėnesius nepraneša duomenų subjektui apie pagal 77 straipsnį pateikto skundo nagrinėjimo pažangą arba rezultatus“. Ši aplinkybė neleidžia skundo procedūros prilyginti peticijai.

46. Nagrinėjamu atveju, kaip nutartyje dėl prašymo priimti prejudicinį sprendimą nurodė šį prašymą pateikęs teismas, priežiūros institucija priėmė teisiškai privalomus sprendimus dėl pareiškėjų pagrindinėse bylose. Ji iš esmės konstatavo, kad SCHUFA pareiškėjų asmens duomenis tvarkė teisėtai pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos b ir f punktus, todėl implicitiškai atmetė galimybę imtis tyrimo ar taisomųjų veiksmų.

2. Priežiūros institucijos priimtų sprendimų teisminės kontrolės apimtis

47. BDAR 78 straipsnyje numatyta teisminė teisių gynimo priemonė yra šiame reglamente numatytos administracinės teisių gynimo priemonės antrasis etapas. Šiomis aplinkybėmis reikėtų pažymėti, kad tiek „skundas“ priežiūros institucijai, tiek „teisminė teisių gynimo priemonė“ suprantami kaip duomenų subjekto „teisės“, o tai visiškai suprantama, jeigu remiamasi idėja, kad BDAR 77–79 straipsniais siekiama įgyvendinti teisę į veiksmingą teisinę gynybą, įtvirtintą Chartijos 47 straipsnyje. Kaip jau nurodžiau šioje išvadoje(14), šis tikslas gali būti aiškiai atskleistas aiškinant BDAR 58 straipsnio 4 dalį ir 78 straipsnį kartu su šio reglamento 141 konstatuojamąja dalimi(15).

48. Dėl priežiūros institucijų priimtų sprendimų teisminės kontrolės apimties reikėtų pažymėti, kad nacionalinės administracinio proceso taisyklės paprastai taikomos remiantis procesinės autonomijos principu su sąlyga, kad laikomasi lygiavertiškumo ir veiksmingumo principų(16). Vis dėlto manau, kad teisių gynimo priemonė gali būti „veiksminga“, kaip tai suprantama pagal Chartijos 47 straipsnį ir BDAR 78 straipsnio 1 dalį, tik jei nacionalinis jurisdikciją turintis teismas turi teisę ir pareigą atlikti priežiūros institucijos dėl esmės priimto sprendimo išsamią teisminę kontrolę siekdamas patikrinti, ar priežiūros institucija teisingai taikė BDAR.

49. Kaip Teisingumo Teismas yra priminęs savo jurisprudencijoje, „reglamentavimu, nenumatančiu asmeniui jokios galimybės pasinaudoti teisių gynimo priemonėmis tam, kad gautų prieigą prie su juo susijusių asmens duomenų arba galėtų juos taisyti ar ištrinti, nepaisoma Chartijos 47 straipsnyje įtvirtintos pagrindinės teisės į veiksmingą teisminę gynybą esmės. Iš tiesų Chartijos 47 straipsnio 1 pastraipoje reikalaujama, kad kiekvienas asmuo, kurio teisės ir laisvės, garantuojamos Sąjungos teisės, yra pažeistos, turėtų teisę į veiksmingą jų gynybą teisme to straipsnio nustatytomis sąlygomis. Šiuo klausimu pats veiksmingos teisminės kontrolės egzistavimas, skirtas Sąjungos teisės nuostatų laikymuisi užtikrinti, neatsiejamas nuo teisinės valstybės egzistavimo.“(17)

50. Norint nustatyti priežiūros institucijos priimtų sprendimų teisminės kontrolės apimtį, man atrodo, pirmiausia reikėtų remtis BDAR 141 konstatuojamąja dalimi, iš kurios aišku, kad „tyrimas gavus skundą turėtų būti vykdomas, atliekant teisminę peržiūrą, kiek tai yra tikslinga konkrečiu atveju“ (kursyvu išskirta generalinio advokato). Be to, reikėtų atkreipti dėmesį į BDAR 143 konstatuojamąją dalį, kurioje nurodyta, kad „kiekvienas fizinis ar juridinis asmuo turėtų turėti galimybę kompetentingame nacionaliniame teisme imtis veiksmingų teisminių teisių gynimo priemonių priežiūros institucijos sprendimo, turinčio tam asmeniui teisinių padarinių, atžvilgiu. Toks sprendimas yra susijęs visų pirma su priežiūros institucijos naudojimusi tyrimo įgaliojimais, įgaliojimais imtis taisomųjų veiksmų ir leidimų išdavimo įgaliojimais arba skundų nepriėmimu ar atmetimu“ (kursyvu išskirta generalinio advokato). Mano nuomone, šios ištraukos turi būti suprantamos taip, kad teisminė kontrolė, kurią pagal BDAR 78 straipsnį turi atlikti nacionalinis teismas, turi būti išsami, t. y. ji turi apimti visus svarbius aspektus, kurie priklauso priežiūros institucijos vertinimo laisvei, kai ji nagrinėja skundo dalyką, taip pat jos diskrecijai pasirinkti tyrimo ir taisomąsias priemones.

51. Sąjungos teisės aktų leidėjo tikslas užtikrinti visišką kiekvieno priežiūros institucijos sprendimo, sukeliančio teisinių padarinių duomenų subjektui, pateikusiam skundą institucijai, kontrolę tampa ypač akivaizdus, jei atsižvelgiama į kitą BDAR 143 konstatuojamosios dalies ištrauką, kurioje nurodyta, kad „procesas prieš priežiūros instituciją turėtų būti pradedamas valstybės narės, kurioje priežiūros institucija yra įsisteigusi, teismuose ir turėtų vykti laikantis tos valstybės narės proceso teisės. Tie teismai turėtų turėti visapusišką jurisdikciją, kuri turėtų apimti jurisdikciją nagrinėti visus faktinius ir teisinius klausimus, susijusius su ginču, dėl kurio į juos kreiptasi“ (kursyvu išskirta generalinio advokato)(18). Manau, kad tik tokio masto teisminė kontrolė atitinka Chartijos 47 straipsnio reikalavimus(19).

52. Vis dėlto SCHUFA ir HBDI pateikti argumentai, kuriais siekiama įtikinti, kad priežiūros institucijų sprendimų teisminė kontrolė yra ribota, man neatrodo įtikinami. Pirma, priežiūros institucijai pagal BDAR 52 straipsnį, kuriuo sukonkretinamas Chartijos 8 straipsnio 3 dalyje nurodytas reikalavimas, pripažįstamu „nepriklausomumu“ siekiama apsaugoti šią instituciją nuo bet kokio nepagrįsto kišimosi, tačiau ji, kaip ir bet kuri kita nacionalinė institucija, neatleidžiama nuo pareigos vykdyti savo uždavinius ir įgaliojimus visiškai laikydamasi Sąjungos teisės ir savo sprendimams taikyti veiksmingą teisminę kontrolę. Antra, BDAR 79 straipsnyje numatyta teisė kreiptis į teismą dėl duomenų valdytojo neatima teisės apskųsti priežiūros institucijos sprendimo pagal BDAR 78 straipsnį. Šios teisių gynimo priemonės nepriklauso viena nuo kitos, ir nė viena iš jų nėra mažiau svarbi už kitą, todėl jas galima įgyvendinti lygiagrečiai(20). Taigi pareiškėjams negalima priekaištauti dėl to, kad jie veikė neteisėtai, gindami savo teises, saugomas pagal BDAR, todėl, kad jie suteikė pirmenybę konkrečiai teisių gynimo priemonei. Taigi šiuos argumentus reikia atmesti.

53. Atsižvelgiant į tai, kas išdėstyta, į pirmąjį prejudicinį klausimą reikia atsakyti, kad BDAR 78 straipsnio 1 dalis turi būti aiškinama taip: iš šios nuostatos darytina išvada, kad teisiškai privalomam priežiūros institucijos sprendimui taikoma išsami teisminė kontrolė dėl esmės.

C. Dėl antrojo-penktojo prejudicinių klausimų

54. Antrasis–penktasis klausimai iš esmės susiję su asmens duomenų iš viešųjų registrų saugojimo kreditingumo vertinimo bendrovėse teisėtumu. Prašymą priimti prejudicinį sprendimą pateikusio teismo klausimuose keliamos kelios su šia praktika susijusios teisinės problemos, kurias reikia nagrinėti struktūriškai. Manau, kad aiškumo sumetimais klausimus tikslinga sugrupuoti pagal temą ir juos nagrinėti laikantis šios tvarkos.

55. Siekdamas pateikti prašymą priimti prejudicinį sprendimą pateikusiam teismui naudingą atsakymą, kuris jam leistų išspręsti jo nagrinėjamą ginčą, Teisingumo Teismas turės išaiškinti kelias BDAR nuostatas, kurios, nors ir nebuvo aiškiai nurodytos klausimuose, vis dėlto atrodo svarbios. Toks požiūris įmanomas, nes pagal suformuotą jurisprudenciją Teisingumo Teismas turi iš visos nacionalinio teismo pateiktos informacijos ir, be kita ko, iš sprendimo dėl prašymo priimti prejudicinį sprendimą motyvuojamosios dalies atrinkti Sąjungos teisės normas ir principus, aiškintinus atsižvelgiant į ginčo dalyką pagrindinėje byloje(21).

56. Man tokia išsami analizė atrodo būtina dar ir todėl, kad prašymą priimti prejudicinį sprendimą pateikęs teismas savo prejudiciniuose klausimuose keletą kartų nurodo Chartijos 7 ir 8 straipsnius, nors, kaip jau yra paaiškinęs Teisingumo Teismas, šios nuostatos neturi būti taikomos atskirai ir į jas turi būti atsižvelgiama atliekant BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkte numatytą interesų palyginimą(22). Be to, šiomis aplinkybėmis reikėtų priminti: kadangi BDAR nuostatomis įgyvendinamos aptariamos pagrindinės teisės, logiška, kad antrinės teisės aiškinimas yra bet kokio aiškinimo atspirties taškas, nes ji turi būti aiškinama atsižvelgiant į pirminę teisę, o Chartija yra pirminės teisės sudedamoji dalis(23). Taigi į toliau pateiktą analizę įtrauksiu visas nuostatas, kurios man atrodo svarbios.

1. Dėl kreditingumo vertinimo bendrovių praktikos atitikties BDAR įtvirtintiems asmens duomenų tvarkymo principams

57. BDAR II skyriuje „Principai“ nustatyti asmens duomenų tvarkymo principai. Toliau nagrinėsiu, ar kreditingumo vertinimo bendrovių praktika iš viešųjų registrų gautus asmens duomenis saugoti trejų metų laikotarpį atitinka principus, kurie man atrodo reikšmingiausi šiomis aplinkybėmis, t. y. teisėtumo, tikslo apribojimo ir duomenų kiekio mažinimo principus.

58. Atlikdamas analizę remsiuosi prašymą priimti prejudicinį sprendimą pateikusio teismo ir SCHUFA pateikta informacija, nors turiu pabrėžti, jog ši bendrovė, kaip duomenų valdytoja, pagal BDAR 5 straipsnio 2 dalyje įtvirtintą atsakomybės principą turi įrodyti, kad laikytasi minėtų principų.

a) Dėl atitikties teisėtumo principui (BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktas)

59. BDAR 5 straipsnio 1 dalies a punkte reikalaujama, kad asmens duomenys duomenų subjekto atžvilgiu būtų tvarkomi teisėtu, sąžiningu ir skaidriu būdu. Pagal BDAR 6 straipsnio 1 dalį asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu įvykdoma sąlyga, susijusi su vienu iš joje išvardytų pagrindų. Kaip yra nusprendęs Teisingumo Teismas, tai yra išsamus ir baigtinis sąrašas atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu(24). Prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą privačiai kreditingumo vertinimo bendrovei leidžiama saugoti asmens duomenis iš viešųjų registrų, kad šie duomenys būtų prieinami klientui, kai jis pateikia prašymą.

60. Pagal Teisingumo Teismo jurisprudenciją(25) BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkte nustatytos trys kumuliacinės sąlygos, kad asmens duomenų tvarkymas būtų teisėtas, t. y. pirma, tvarkyti asmens duomenis reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečiasis asmuo, antra, asmens duomenis tvarkyti būtina siekiant įgyvendinti nustatytą teisėtą interesą ir, trečia, asmens, kurio duomenys turi būti apsaugoti, interesai ar laisvės bei pagrindinės teisės neturi būti viršesni. Nors prašymą priimti prejudicinį sprendimą pateikęs teismas turi įvertinti, ar šios sąlygos įvykdytos, vis dėlto Teisingumo Teismas turi pateikti jam tokio vertinimo gaires, išaiškindamas pateiktus teisės klausimus.

1) „Teisėto intereso“ buvimas

61. Visų pirma, kalbant apie „teisėto intereso“ siekimą, norėčiau priminti, kad BDAR ir jurisprudencijoje pripažįstami įvairūs interesai, kurie laikomi teisėtais(26), tačiau kartu aiškiai nurodoma, kad pagal BDAR 13 straipsnio 1 dalies d punktą duomenų valdytojas privalo nurodyti teisėtus interesus, kurių siekiama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą.

62. SCHUFA tvirtina, kad nagrinėjamas duomenų tvarkymas skirtas ypač svarbiems teisėtiems interesams užtikrinti. Konkrečiai teigiama, kad kreditingumo vertinimo bendrovės tvarko duomenis, reikalingus asmenų ar įmonių mokumui įvertinti, kad ši informacija būtų prieinama jų kontrahentams. Tokiu būdu taip pat apsaugomi įmonių, norinčių sudaryti su kreditais susijusias sutartis, ekonominiai interesai. Be to, teigiama, kad kreditingumo nustatymas ir informacijos apie kreditingumą teikimas yra kreditavimo ir ekonomikos veikimo pagrindas. Šių bendrovių veikla taip pat neva padeda patenkinti asmenų, suinteresuotų su kreditais susijusiais sandoriais, pageidavimus, nes informacija leidžia atlikti greitą ir nebiurokratinę analizę.

63. Manau, kad iš esmės nėra objektyvaus pagrindo abejoti SCHUFA intereso teikti savo klientams pirmiau aprašytą komercinę paslaugą ir SCHUFA klientų intereso naudotis SCHUFA paslaugomis siekiant įvertinti potencialių verslo partnerių kreditingumą, kaip paaiškinta pirmiau, teisėtumu. Nors tiesa, kad teikiant tokias paslaugas siekiama gauti atlygį ir todėl tai yra privačios bendrovės verslo modelis, vien šios aplinkybės nepakanka, kad būtų galima suabejoti, ar šiuo atveju įvykdyta pirmoji BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkte nurodyta sąlyga.

64. Be to, nagrinėjamos paslaugos tikslas iš esmės panašus į tą, kurio Sąjungos teisės aktų leidėjas siekė priimdamas Reglamento 2015/848 24 straipsnį, pagal kurį valstybės narės įpareigojamos savo teritorijoje sukurti ir tvarkyti vieną ar daugiau registrų, kuriuose skelbiama informacija apie nemokumo bylas. Kaip matyti iš minėto reglamento 76 konstatuojamosios dalies, šių viešųjų registrų tikslas – „pagerinti informacijos teikimą atitinkamiems kreditoriams ir teismams ir užkirsti kelią lygiagrečių nemokumo bylų iškėlimui“. Man atrodo, SCHUFA teikiama paslauga nesiekiama jokio kito tikslo. Klausimas, ar dėl sistemų lygiagretumo gali kilti teisinių kolizijų, bus aptartas toliau. Šiuo analizės etapu pakanka pažymėti, kad, atsižvelgiant į šį tikslų tapatumą, SCHUFA atliekamas duomenų tvarkymas turi būti laikomas atitinkančiu teisėtą interesą, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą.

2) Duomenų tvarkymo „būtinumas“ siekiant teisėto intereso

65. Dėl sąlygos, susijusios su būtinybe tvarkyti asmens duomenis siekiant įgyvendinti turimą teisėtą interesą, reikia priminti, kad pagal Teisingumo Teismo jurisprudenciją nukrypimai nuo asmens duomenų apsaugos principo ir jo ribojimai neturi viršyti to, kas yra griežtai būtina(27). Taigi reikia, kad tarp duomenų tvarkymo ir siekiamo intereso būtų glaudus ryšys, jei nėra asmens duomenų apsaugai palankesnių alternatyvų, nes vien duomenų tvarkymo naudingumo duomenų valdytojui nepakanka.

66. Nagrinėjamu atveju reikia įrodyti, kad asmens duomenų, susijusių su nemokumu, rinkimas iš viešųjų registrų ir jų privatus saugojimas yra vienintelė SCHUFA galimybė pateikti šią tikslią informaciją savo klientams komerciniais tikslais. Negalima atmesti galimybės, kad SCHUFA gali teikti komercinę paslaugą ir suteikti informaciją apie asmenų mokumą remdamasi kitais prieinamais duomenimis. Prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar ši galimybė leistų SCHUFA naudingai siūlyti šią komercinę paslaugą klientams.

67. SCHUFA mano, kad duomenis tvarkyti būtina. Jos teigimu, jei kreditingumo vertinimo bendrovė lauktų konkrečios užklausos prieš pradėdama rinkti duomenis, nebūtų įmanoma laiku pateikti informacijos. SCHUFA mano, kad tai, jog duomenys (taip pat) tam tikrą laiką yra viešai prieinami, neturi jokios įtakos kreditingumą vertinančių bendrovių teisėtiems interesams ar duomenų tvarkymo būtinumui.

68. Jei iš viešųjų registrų paimtų asmens duomenų saugojimas nebūtų būtinas, kad SCHUFA galėtų teikti komercinę paslaugą savo klientams, toks duomenų tvarkymas nebūtų teisėtas pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą. Vis dėlto, jei antroji šios nuostatos sąlyga būtų įvykdyta, prašymą priimti prejudicinį sprendimą pateikęs teismas dar turėtų išnagrinėti trečiąją, paskutinę, kumuliacinę šios nuostatos sąlygą.

3) Skirtingų interesų palyginimas

69. Galiausiai dėl duomenų valdytojo interesų ir pagrindinių duomenų subjekto teisių pusiausvyros užtikrinimo Teisingumo Teismo jurisprudencijoje buvo nuspręsta, kad būtent prašymą priimti prejudicinį sprendimą pateikęs teismas turi įvertinti konkrečius iškylančius interesus(28). Šiuo klausimu buvusios 29 straipsnio darbo grupės, kuri dabar tapo „Europos duomenų apsaugos valdyba“ ir kurios užduotys apibrėžtos BDAR 70 straipsnyje, parengtose gairėse išvardyti toliau nurodyti kriterijai, į kuriuos atsižvelgtina atliekant tokį palyginimą: i) duomenų valdytojo teisėtų interesų vertinimas; ii) poveikis duomenų subjektams; iii) preliminariai nustatyta pusiausvyra ir iv) papildomos apsaugos priemonės, duomenų valdytojo taikomos siekiant išvengti bet kokio netinkamo poveikio duomenų subjektams(29). Kad būtų atlikta išsami ir logiška analizė, siūlau taikyti šiuos kriterijus pagrindinėms byloms. Be to, toks požiūris padės nuosekliau taikyti BDAR, atsižvelgiant į Sąjungos teisės aktų leidėjo siekiamus tikslus.

i) Duomenų valdytojo „teisėto intereso“ vertinimas

70. Dėl pirmojo kriterijaus reikia konstatuoti, kad tiek SCHUFA, tiek jos klientų interesas yra vien ekonominio pobūdžio. Privačios bendrovės saugo iš viešųjų registrų importuotus asmens duomenis, kad galėtų pasiūlyti savo klientams paslaugą teikti informaciją apie atitinkamo asmens kreditingumą, be kita ko, naudodamos tuos duomenis. Kaip jau paaiškinau pirmiau šioje išvadoje(30), šios analizės tikslais toks interesas atrodo teisėtas.

ii) Duomenų tvarkymo poveikis duomenų subjektams

71. Kalbant apie antrąjį kriterijų, t. y. duomenų tvarkymo poveikį duomenų subjektui, atrodo, kad svarbiausias veiksnys yra duomenų ištrynimo laikotarpis. Kuo ilgiau duomenys saugomi privačių kreditingumo vertinimo agentūrų duomenų bazėse, tuo reikšmingesnių padarinių kyla duomenų subjektui. Nagrinėjamu atveju pareiškėjų pagrindinėse bylose asmens duomenys buvo tvarkomi viešajame registre siekiant „pagerinti informacijos teikimą atitinkamiems kreditoriams ir teismams ir užkirsti kelią lygiagrečių nemokumo bylų iškėlimui“, kaip reikalaujama Reglamento 2015/848 76 konstatuojamojoje dalyje. Palyginęs skirtingus interesus, Vokietijos teisės aktų leidėjas nusprendė, kad laikotarpis, per kurį su nemokumo procedūra susijusių duomenų paskelbimas tokiuose viešuosiuose registruose yra būtinas šiam tikslui pasiekti, yra šeši mėnesiai. Taigi a priori atrodo, kad asmens duomenų saugojimas pasibaigus šiam šešių mėnesių laikotarpiui turi didelį neigiamą poveikį duomenų subjektui.

72. Iš Teisingumo Teismo jurisprudencijos matyti, kad atliekant analizę yra kitų veiksnių, į kuriuos taip pat reikia atsižvelgti, t. y. prieigos prie duomenų bazių tvarka ir priemonės, suteikiamos siekiant atskleisti asmens duomenis(31). Paprasčiau kalbant, kuo lengviau informacija prieinama visuomenei, tuo labiau ribojamos atitinkamo asmens pagrindinės teisės. Taip visų pirma yra tuo atveju, kai naudotojų, turinčių prieigą prie duomenų subjekto duomenų, yra daug(32). Todėl man atrodo akivaizdu, kad net jei duomenys jau yra viešai prieinami viešuosiuose registruose minėtą šešių mėnesių laikotarpį, tai, kad jie saugomi ir lygiagrečiai prieinami privačių kreditingumo vertinimo bendrovių duomenų bazėse, turi papildomą poveikį asmens privačiam gyvenimui, kuris papildo neigiamas šių duomenų prieinamumo viešuosiuose registruose pasekmes.

73. Papildomas veiksnys, į kurį reikia atsižvelgti atliekant analizę, yra galimai jautrus aptariamų duomenų pobūdis(33). Apskritai galima teigti, kad poveikis duomenų subjektui didėja proporcingai asmens duomenų jautrumo lygiui. Šiuo klausimu reikėtų pažymėti, kad pagal Teisingumo Teismo jurisprudenciją asmens duomenys, susiję su skolų išieškojimu, yra ypatingi duomenų subjekto privačiam gyvenimui(34). Šio pobūdžio duomenų pateikimas iš esmės neribotam skaičiui naudotojų turi būti laikomas reikšmingu šio asmens pagrindinių teisių ribojimu(35).

74. Galiausiai manau, kad taip pat būtina atsižvelgti į laiko veiksnį. Net ir teisėtas duomenų tvarkymas ilgainiui gali nebeatitikti BDAR, jei šie duomenys nėra ar nebėra svarbūs arba yra pertekliniai, palyginti su tikslu, dėl kurio jie iš pradžių buvo surinkti. Atsižvelgiant į tai, man kyla rimtų abejonių, ar asmens duomenų saugojimas trejų metų laikotarpį galėtų būti pateisinamas, jei nacionalinės teisės aktų leidėjas mano, kad šešių mėnesių, t. y. gerokai trumpesnės trukmės, saugojimo laikotarpio visiškai pakanka, kad būtų atsižvelgta į ūkio subjektų komercinius interesus. Reikia konstatuoti, kad SCHUFA negalėjo pateikti aiškaus ir įtikinamo atsakymo į šį klausimą(36), nors pagal BDAR 5 straipsnio 2 dalį ji turi įrodyti, kad buvo laikomasi su asmens duomenų tvarkymu susijusių principų(37).

iii) Tarpinė išvada

75. Įvertinęs visas pirmesniuose punktuose nurodytas aplinkybes, esu linkęs daryti išvadą, kad reikšmingos neigiamos duomenų saugojimo pasekmės duomenų subjektui po aptariamo šešių mėnesių laikotarpio atrodo svarbesnės už privačios bendrovės ir jos klientų komercinį interesą saugoti duomenis pasibaigus šiam laikotarpiui. Šiomis aplinkybėmis svarbu pažymėti, kad atleidimas nuo likusių skolų turi leisti asmeniui, kuriam šis atleidimas pritaikytas, vėl dalyvauti ekonominiame gyvenime(38). Pareiškėjai pagrindinėse bylose ir Komisija per teismo posėdį taip pat atkreipė dėmesį į šį aspektą. Šiam tikslui būtų pakenkta, jei privačioms kreditingumo vertinimo bendrovėms būtų leidžiama saugoti asmens duomenis savo duomenų bazėse po to, kai šie duomenys buvo ištinti iš viešojo registro.

iv) Papildomos garantijos

76. Galiausiai, kalbant apie papildomas garantijas, kurias duomenų valdytojas galimai nustatė siekdamas užkirsti kelią bet kokiam nepagrįstam poveikiui duomenų subjektams, pažymėtina, kad nei nutartyje dėl prašymo priimti prejudicinį sprendimą, nei SCHUFA pastabose nėra jokios informacijos, kuri leistų manyti esant tokių garantijų.

4) Tarpinė išvada

77. Atsižvelgdamas į tai, kas išdėstyta, manau, kad privačios kreditingumo vertinimo bendrovės vykdomas duomenų saugojimas negali būti teisėtas pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą nuo to momento, kai su nemokumu susiję asmens duomenys ištrinami iš viešųjų registrų.

78. Kalbant apie šešių mėnesių laikotarpį, per kurį asmens duomenys taip pat yra prieinami viešuosiuose registruose, pažymėtina, kad prašymą priimti prejudicinį sprendimą pateikęs teismas turi palyginti pirma nurodytus interesus ir poveikį duomenų subjektui, kad nustatytų, ar lygiagretus šių duomenų saugojimas privačiose kreditingumo vertinimo bendrovėse yra teisėtas remiantis BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktu.

b) Dėl tikslo apribojimo ir duomenų kiekio mažinimo principų laikymosi (BDAR 5 straipsnio 1 dalies b ir c punktai)

79. Pagal BDAR 5 straipsnio 1 dalies b punkte įtvirtintą tikslo apribojimo principą reikia užtikrinti, kad asmens duomenys, surinkti dėl konkretaus tikslo, vėliau nebūtų tvarkomi su šiais tikslais nesuderinamu būdu. Šiuo atveju duomenis, susijusius su nemokumu ir atleidimu nuo likusios skolos, viešosios valdžios institucijos tvarkė vykdydamos teisines prievoles.

80. Vis dėlto, kiek tai susiję su tolesniu privačios bendrovės atliekamu duomenų naudojimu, atsižvelgiant į BDAR ir taikant šio reglamento 6 straipsnio 4 dalyje nurodytus kriterijus reikia išnagrinėti, ar siekiamas tikslas suderinamas su pirminiu tikslu. Šios nuostatos a, b ir d punktai ypač svarbūs šioje byloje. Juose nustatomi šie kriterijai: i) ryšio tarp pradinio ir tolesnio duomenų tvarkymo tikslo kriterijus, ii) aplinkybių, kuriomis asmens duomenys buvo surinkti, visų pirma susijusių su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu, kriterijus ir iii) galimų numatomo tolesnio duomenų tvarkymo pasekmių duomenų subjektui kriterijus.

81. Pirma, atrodo, kad ryšys tarp šių tikslų yra menkas, jau vien todėl, kad pirminis tikslas numatytas teisės aktuose, būtent – Sąjungos teisėje, pagal kurią valstybės narės įpareigojamos kurti ir tvarkyti registrus(39), ir duomenų valdytojas yra viešosios valdžios institucija, kuri veikia vykdydama teisės aktais jai pavestas užduotis, o tolesnio tikslo siekia privatus subjektas, vykdydamas komercinę veiklą, t. y. teikdamas ekonominę informaciją apie asmenis.

82. Antra, dėl aplinkybių, kuriomis duomenys buvo surinkti, reikėtų konstatuoti, kad tarp duomenų valdytojo ir duomenų subjekto nėra jokio ryšio, nes duomenys renkami netiesiogiai – iš registrų, taigi duomenų subjektas nežino, kad jo duomenys gali būti naudojami vėliau, kas juos naudos ir kokiu tikslu. Šis aspektas man atrodo ypač rimtas asmens duomenų apsaugos požiūriu, nes apskritai niekas negali pagrįstai tikėtis, kad jo asmens duomenys bus tvarkomi toliau(40). Tai, kad įstatyme nustatytas apibrėžtas duomenų saugojimo viešuosiuose registruose terminas, gali suteikti pagrindo manyti, kad aptariami duomenys pasibaigus šiam laikotarpiui bus ištrinti.

83. Trečia, kalbant apie galimas tolesnio duomenų tvarkymo pasekmes duomenų subjektams, reikia pažymėti, kad informacija apie nemokumo bylas visada bus naudojama kaip neigiamas veiksnys ateityje vertinant atitinkamo fizinio asmens mokumą ir finansinį pajėgumą, o tai turi didelę įtaką šio asmens teisėms. Klaidingas jo ekonominės padėties pavaizdavimas gali sukelti nepalankių padarinių duomenų subjektui – smarkiai apsunkinti jo laisvių įgyvendinimą ar net stigmatizuoti jį visuomenėje. Jei duomenų subjektui gali būti atsisakyta patiekti prekes ir suteikti paslaugas, jis gali būti nepagrįstai diskriminuojamas.

84. Atsižvelgiant į šiuos tris kriterijus, kurie turi būti įvykdyti tam, kad asmens duomenų naudojimas atitiktų pradinį tikslą, kaip to reikalaujama pagal BDAR 6 straipsnio 4 dalį, abejotina, ar tolesnis šių duomenų naudojimas galėtų atitikti šį tikslą.

85. Be to, pažymėtina, kad nacionalinės teisės aktų leidėjas, nustatydamas maksimalų šešių mėnesių laikotarpį, per kurį, jei įvykdomos teisinės sąlygos, skelbiama informacija apie nemokumo padėtį ir teismo sprendimas dėl atleidimo nuo likusių skolų, jau atsižvelgė į viešojo intereso įgyvendinimą ir palygino kreditorių interesus su nemokių asmenų interesais ir teisėmis(41). Asmens duomenų tvarkymas privačiose bendrovėse šešis kartus ilgesnį laikotarpį, nei numatyta viešųjų registrų įstatyme, atrodo perteklinis ir dėl jo duomenų subjektas „de facto“ nubaudžiamas, nors įstatyme aiškiai nenumatyta nieko panašaus. Kaip jau pažymėjau šioje išvadoje, atleidimu nuo likusių skolų siekiama leisti nuo likusių skolų atleistam asmeniui iš naujo dalyvauti ekonominiame gyvenime. Šiam tikslui būtų pakenkta, jei kreditingumo vertinimo bendrovėms būtų leidžiama saugoti asmens duomenis savo duomenų bazėse po to, kai šie duomenys buvo ištrinti iš viešojo registro(42). Nesant priešingų įrodymų, kyla nerimas, kad prieigos prie duomenų bazės sąlygos galėjo būti parengtos siekiant apeiti nacionalinės teisės aktus, kuriuos valstybė narė priėmė siekdama įvykdyti jai pagal Sąjungos teisę nustatytus įpareigojimus(43).

86. Be to, atrodytų neproporcinga „pakartotinai panaudoti“ buvusią ir teisiškai jau išsiaiškintą situaciją, kaip antai atleidimą nuo likusių skolų, atliekant būsimus vertinimus, užuot naudojus veiksnius, atnaujintus rizikos analizės metu, kad būtų užtikrintas tikslesnis ir objektyvesnis atitinkamo asmens ekonominės padėties vertinimas. Iš tiesų galima kelti klausimą dėl kelerių metų senumo informacijos apie asmens ekonominę padėtį vertės. Asmens duomenys, susiję su tam tikru laikotarpiu susiklosčiusia aplinkybe, vargu ar suteiks patikimos informacijos apie esamą atitinkamo asmens ekonominę padėtį. Regis, Vokietijos teisės aktų leidėjas pripažino šią problemą ir padarė teisingas išvadas, pasirinkęs gerokai trumpesnį duomenų saugojimo laikotarpį.

87. Galiausiai man atrodo, kad kreditingumo vertinimo bendrovių elgesys prieštarauja BDAR 5 straipsnio 1 dalies c punkte įtvirtintam duomenų kiekio mažinimo principui, pagal kurį asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant jų tvarkymo tikslų. Čia iš tikrųjų kyla klausimas, kokia prasmė padaryti prieinamus asmens duomenis, kurie jau yra viešai prieinami valstybių narių sukurtuose registruose. Man atrodo, tokia veikla kaip tik gali paskatinti neskelbtinos informacijos, kuri nebūtinai reikalinga ūkio subjektų komerciniams interesams tenkinti, sklaidą(44).

88. Dėl pirma nurodytų priežasčių manau, kad privačios kreditingumo vertinimo bendrovės atliekamas šių duomenų saugojimas nėra veikla, atitinkanti tikslo apribojimo ir duomenų kiekio mažinimo principus, įtvirtintus atitinkamai BDAR 5 straipsnio 1 dalies b ir c punktuose.

c) Tarpinė išvada

89. Atlikęs analizę darau išvadą, kad kreditingumo vertinimo bendrovių praktika saugoti iš viešųjų registrų gautus asmens duomenis trejų metų laikotarpį neatitinka BDAR įtvirtintų asmens duomenų tvarkymo principų. Vis dėlto reikia patikslinti, kad ši išvada grindžiama faktinių aplinkybių vertinimu, kurį galiausiai turi atlikti prašymą priimti prejudicinį sprendimą pateikęs teismas.

2. Dėl naudojimosi teise reikalauti ištrinti duomenis (BDAR 17 straipsnio 1 dalis)

90. Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat siekia išsiaiškinti, ar BDAR 17 straipsnyje įtvirtinta „teisė būti pamirštam“ reiškia, kad asmens duomenys turi būti ištrinti iš privačios kreditingumo vertinimo bendrovės duomenų bazių, kurios egzistuoja lygiagrečiai su viešaisiais registrais ir kuriose yra tų pačių duomenų. Prašymą priimti prejudicinį sprendimą pateikęs teismas atskiria laikotarpį, per kurį asmens duomenys taip pat yra prieinami viešajame registre, nuo laikotarpio, per kurį šie duomenys nebėra ten prieinami.

91. BDAR 17 straipsnio 1 dalies d punkte numatyta duomenų subjekto absoliuti teisė reikalauti, kad jo asmens duomenys būtų ištrinti, jeigu jie tvarkomi neteisėtai(45). Taigi tuo atveju, jeigu, atsižvelgiant į atlikus analizę mano padarytą išvadą(46), prašymą priimti prejudicinį sprendimą pateikęs teismas manytų, kad SCHUFA negalėjo teisėtai tvarkyti pareiškėjų asmens duomenų pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą, toks duomenų tvarkymas būtų neteisėtas, jeigu nebūtų taikomas joks kitas BDAR 6 straipsnio 1 dalyje nurodytas pagrindas. Tokiu atveju SCHUFA privalėtų ištrinti pareiškėjų asmens duomenis ir jie turėtų teisę to reikalauti, neatsižvelgiant į tai, ar jie prašė ištrinti duomenis per laikotarpį iki šių duomenų ištrynimo iš viešojo registro, ar po to, kai jie buvo ištrinti. Atrodo, kad toks rezultatas taip pat atitiktų BDAR 5 straipsnio 1 dalies e punkte nustatytus reikalavimus, pagal kuriuos asmens duomenys „[saugomi] tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi“ (kursyvu išskirta generalinio advokato).

92. Šiuo klausimu norėčiau atkreipti dėmesį į Reglamento 2015/848 79 straipsnio 5 dalį, kurioje pabrėžiama teisei reikalauti ištrinti duomenis Sąjungos teisės aktų leidėjo suteikta svarba, be kita ko, kai valdžios institucijos tvarko ypatingo jautrumo asmens duomenis, pavyzdžiui, susijusius su duomenų subjektų mokumu. Pagal šią nuostatą „teikdamos informaciją, kuri turėtų būti teikiama duomenų subjektams, kad jie galėtų naudotis savo teisėmis, visų pirma teise reikalauti ištrinti duomenis, valstybės narės informuoja duomenų subjektus apie nustatytą laikotarpį, per kurį bus prieinami nemokumo registruose saugomi asmens duomenys“ (kursyvu išskirta generalinio advokato). Akivaizdu, kad Sąjungos teisės aktų leidėjas pripažino būtinybę ištrinti šios rūšies duomenis, kai jų saugojimas nebepateisinamas.

93. Nors prašymai priimti prejudicinį sprendimą pateikti tik dėl BDAR 17 straipsnio 1 dalies d punkto išaiškinimo, manau, kad šios 1 dalies c punktas taip pat gali būti reikšmingas sprendimui, kuris turi būti priimtas šiose bylose, t. y. tuo atveju, jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas, priešingai, nei remdamasis turima informacija padariau išvadą, nuspręstų, kad SCHUFA galėjo teisėtai tvarkyti pareiškėjų asmens duomenis pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą. Toje nuostatoje numatyta teisė reikalauti ištrinti asmens duomenis, kai duomenų subjektas prieštarauja duomenų tvarkymui pagal BDAR 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis. Ši formuluotė reiškia, kad bet kuri „teisėta duomenų tvarkymo priežastis“ yra duomenų subjekto teisės prieštarauti tvarkymui ir reikalauti, kad jo asmens duomenys būtų ištrinti, išimtis. Taigi daroma prielaida, kad duomenų subjektas turi teisę nesutikti su duomenų tvarkymu ir teisę į jų ištrynimą, nebent esama viršesnių teisėtų priežasčių(47).

94. Manau, kad, siekiant veiksmingai apsaugoti asmens duomenis, neturėtų būti didelių kliūčių pasinaudoti teise reikalauti ištrinti duomenis, visų pirma kai rinkoje yra kelios kreditingumo vertinimo bendrovės, saugančios duomenis lygiagrečiai viešajam registrui. Jeigu dėl siauro BDAR 17 straipsnio 1 dalies aiškinimo naudotis šia teise taptų pernelyg sudėtinga, konkurentai galėtų apeiti apsaugą, kurią siekiama užtikrinti BDAR. Vis dėlto reikėtų priminti, jog Sąjungos teisės aktų leidėjas siekė, kad „visoje Sąjungoje [būtų] užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas“ (kursyvu išskirta generalinio advokato), kaip matyti iš BDAR 10 konstatuojamosios dalies. Vadinasi, duomenų subjektas turi turėti galimybę pasinaudoti savo teisėmis prieš visas šias taisykles pažeidžiančias bendroves. Kadangi SCHUFA yra tik viena iš daugelio didelių bendrovių, vertinančių kreditingumą Vokietijoje, reikės nustatyti, ar asmens duomenų saugojimas, lygiagretus viešajam registrui, yra plačiai paplitusi tokių bendrovių praktika.

95. Taigi šiuo analizės etapu reikia pažymėti, kad pagal BDAR 17 straipsnio 1 dalį pareiškėjai iš esmės gali remtis teise reikalauti ištrinti duomenis. Rezultatas būtų kitoks tik tuo atveju, jeigu privačiai kreditingumo vertinimo bendrovei pavyktų „[įrodyti], kad duomenys tvarkomi dėl [viršesnių] teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves“, kaip tai suprantama pagal BDAR 21 straipsnio 1 dalį. Kadangi turima informacija neleidžia sužinoti viršesnių priežasčių, kurių galėtų būti pagrindinėse bylose, prašymą priimti prejudicinį sprendimą pateikęs teismas turi nustatyti faktines aplinkybes ir prireikus palyginti esamus interesus.

96. Atsižvelgiant į tai, kas išdėstyta, BDAR 17 straipsnio 1 dalies d punktas turi būti aiškinamas taip: duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas kuo greičiau ištrintų su juo susijusius asmens duomenis, jeigu pagal šio reglamento 6 straipsnio 1 dalį šie duomenys buvo tvarkomi neteisėtai. BDAR 17 straipsnio 1 dalies c punktas turi būti aiškinamas taip: duomenų subjektas iš esmės turi teisę reikalauti, kad duomenų valdytojas kuo greičiau ištrintų su juo susijusius asmens duomenis, kai duomenų subjektas prieštarauja duomenų tvarkymui pagal minėto reglamento 21 straipsnio 1 dalį. Prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar išimtiniais atvejais yra viršesnių teisėtų priežasčių tvarkyti asmens duomenis.

3. Dėl elgesio kodekso, kaip tai suprantama pagal BDAR 40 straipsnį, naudojimo siekiant nustatyti kontrolės ir ištrynimo terminus, kurie viršija viešiesiems registrams nustatytus saugojimo terminus

97. Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat nori sužinoti, ar Sąjungos teisei neprieštarauja tai, kad elgesio kodekse, kaip jis suprantamas pagal BDAR 40 straipsnį, numatyti priežiūros ir ištrynimo terminai, kurie viršija viešiesiems registrams numatytus saugojimo terminus, nenustatant pareigos atlikti šio reglamento 6 straipsnio 1 dalies pirmos pastraipos f punkte numatyto palyginimo.

98. Šiuo klausimu pirmiausia reikėtų pažymėti, kad, prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, šiuo metu nėra jokio nacionalinės teisės akto, kuriame būtų nustatyti duomenų ištrynimo iš kreditingumo vertinimo bendrovių tvarkomų duomenų bazių terminai. Vis dėlto atrodo, kad suinteresuotosios šalys mano, jog priežiūros institucijų ir kreditingumo vertinimo bendrovių asociacijos bendrai priimtas elgesio kodeksas yra tam tikras „teisinis pagrindas“ pirmiau apibūdintai praktikai įteisinti. Toks požiūris man atrodo teisiškai kritikuotinas dėl toliau nurodytų priežasčių.

99. Teisiškai toks elgesio kodeksas yra tik jį parengusių ir priėmusių asmenų, t. y. minėtos asociacijos ir jos narių, savanoriškas įsipareigojimas. Be to, tai, kad minėtą elgesio kodeksą patvirtino priežiūros institucija, reiškia tik tai, kad ji, kaip administracinė institucija, mano esanti saistoma šio elgesio kodekso. Vis dėlto man atrodo akivaizdu, kad pagal teisės principą pacta tertiis nec nocent nec prosunt toks elgesio kodeksas neturi privalomosios galios tretiesiems asmenims. Priešingu atveju būtų kalbama ne tik apie fizinius asmenis, kurių duomenys tvarkomi, bet ir apie bendroves, kurios nedalyvavo rengiant tokį elgesio kodeksą.

100. Paprastai elgesio kodeksas teisinėje sistemoje neturi norminės galios, juo veikiau siekiama patikslinti norminio akto nuostatas, kad jį būtų lengviau taikyti. Tokį aiškinimą patvirtina BDAR 40 straipsnio 1 ir 2 dalys, iš kurių matyti, kad elgesio kodeksais, kuriuos turi parengti asociacijos ir kitos organizacijos, atstovaujančios duomenų valdytojams ar duomenų tvarkytojams, siekiama, pirma, „padėti tinkamai taikyti“ šį reglamentą ir, antra, „nustatyti, kaip turi būti taikomas šis reglamentas“ (kursyvu išskirta generalinio advokato). Vadinasi, kadangi nagrinėjamo elgesio kodekso funkcija – tik užtikrinti tinkamą BDAR taikymą konkrečiame sektoriuje, vien šis kodeksas negali būti asmens duomenų tvarkymą pateisinantis teisinis pagrindas(48).

101. Teisėtas tokio duomenų tvarkymo teisinis pagrindas gali būti tik BDAR 6 straipsnis arba, jei taikoma leidžiančioji nuostata, nacionalinė teisė. Šioje išvadoje jau nurodžiau, kad BDAR 6 straipsnyje numatytas išsamus ir baigtinis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas(49). Taigi elgesio kodekso taisyklėmis šis sąrašas negalėtų būti išplėstas, kartu nepažeidus Sąjungos teisės.

102. Man atrodo, būtent taip yra tuo atveju, kai, kaip šioje byloje, pagal šias taisykles kreditingumo vertinimo bendrovėms nustatoma pareiga saugoti duomenų subjektų duomenis trejus metus, t. y. ilgesnį laikotarpį, kuris negali būti pateisinamas, atsižvelgiant į BDAR įtvirtintus asmens duomenų tvarkymo principus. Konkrečiau kalbant, kaip jau nurodžiau atlikdamas analizę, šių duomenų saugojimas negali būti laikomas teisėtu remiantis BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktu laikotarpiu po asmens duomenų apie nemokumą ištrynimo iš viešųjų registrų(50).

103. Taigi šiuo analizės etapu reikia konstatuoti, kad į elgesio kodeksus, kurie lemtų kitokį rezultatą nei tas, kuris būtų gautas pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą, negalėtų būti atsižvelgta atliekant palyginimą pagal šią nuostatą. Kaip „duomenų valdytojos“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, kreditingumo vertinimo bendrovės negali prisidengti elgesio kodekso taisyklėmis, kurias jos pačios parengė, siekdamos tinkamai nevykdyti savo įsipareigojimų pagal BDAR.

104. Atsižvelgdamas į tai, kas išdėstyta, manau, kad BDAR 40 straipsnio 2 ir 5 dalys turi būti aiškinamos taip: pagal šias nuostatas priimtuose ir priežiūros institucijos galimai patvirtintuose elgesio kodeksuose negali būti teisiškai privalomai nustatytos teisėto asmens duomenų tvarkymo sąlygos, kurios skiriasi nuo nustatytųjų BDAR 6 straipsnio 1 dalyje.

VI. Išvada

105. Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui taip atsakyti į Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) pateiktus prejudicinius klausimus:

1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 78 straipsnio 1 dalis

turi būti aiškinama taip:

iš šios nuostatos darytina išvada, kad teisiškai privalomam priežiūros institucijos sprendimui taikoma išsami teisminė kontrolė dėl esmės.

2. Reglamento 2016/679 6 straipsnio 1 dalies pirmos pastraipos f punktas

turi būti aiškinamas taip:

pagal jį privačiai kreditingumo vertinimo bendrovei draudžiama asmens duomenis iš viešojo registro, kaip antai „nacionalinių duomenų bazių“, kaip tai suprantama pagal 2015 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamento (ES) 2015/848 dėl nemokumo bylų 79 straipsnio 4 ir 5 dalis, saugoti ilgesnį laikotarpį nei tas, kurį duomenys saugomi viešajame registre. Prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar duomenų saugojimas per viešajame registre leidžiamą saugoti laikotarpį atitinka Reglamento 2016/679 6 straipsnio 1 dalies pirmos pastraipos f punkto sąlygas.

3. Reglamento 2016/679 17 straipsnio 1 dalies d punktas

turi būti aiškinamas taip:

duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas kuo greičiau ištrintų su juo susijusius asmens duomenis, jeigu pagal šio reglamento 6 straipsnio 1 dalį šie duomenys buvo tvarkomi neteisėtai.

Reglamento 2016/679 17 straipsnio 1 dalies c punktas

turi būti aiškinamas taip:

duomenų subjektas iš esmės turi teisę reikalauti, kad duomenų valdytojas kuo greičiau ištrintų su juo susijusius asmens duomenis, kai duomenų subjektas prieštarauja duomenų tvarkymui pagal minėto reglamento 21 straipsnio 1 dalį. Prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar išimtiniais atvejais yra viršesnių teisėtų priežasčių tvarkyti asmens duomenis.

4. Reglamento 2016/679 40 straipsnio 2 ir 5 dalys

turi būti aiškinamos taip:

pagal šias nuostatas priimtuose ir priežiūros institucijos galimai patvirtintuose elgesio kodeksuose negali būti teisiškai privalomai nustatytos teisėto asmens duomenų tvarkymo sąlygos, kurios skiriasi nuo nustatytųjų šio reglamento 6 straipsnio 1 dalyje.

1 Originalo kalba: prancūzų.

2 OL L 119, 2016, p. 1.

3 OL L 141, 2015, p. 19.

4 Konkrečiai kalbama apie 2014 m. vasario 4 d. Europos Parlamento ir Tarybos direktyvos 2014/17/ES dėl vartojimo kredito sutarčių dėl gyvenamosios paskirties nekilnojamojo turto, kuria iš dalies keičiamos direktyvos 2008/48/EB ir 2013/36/ES bei Reglamentas (ES) Nr. 1093/2010 (OL L 60, 2014, p. 34), 18 ir 21 straipsnius ir 2008 m. balandžio 23 d. Europos Parlamento ir Tarybos direktyvos 2008/48/EB dėl vartojimo kredito sutarčių ir panaikinančios Tarybos direktyvą 87/102/EEB (OL L 133, 2008, p. 66) 8 ir 9 straipsnius.

5 Žr. generalinio advokato M. Szpunar išvadą byloje Latvijas Republikas Saeima (Baudos taškai) (C‑439/19, EU:C:2020:1054, 48 punktas).

6 2021 m. birželio 15 d. Sprendimas Facebook Ireland ir kt. (C‑645/19, EU:C:2021:483, 44 ir 45 punktai).

7 2020 m. liepos 16 d. Sprendimas Facebook Ireland ir Schrems (C‑311/18, EU:C:2020:559, 109 punktas).

8 Šiuo klausimu žr. Kotschy, W., „Article 77. Right to lodge a complaint with a supervisory authority“, The ES General Data Protection Regulation (GDPR), Kuner, C., Bygrave, L. A., Docksey, C, Drechsler, L. (red.), Oksfordas, 2020, p. 1123.

9 Šiuo klausimu žr. Härting, N., Flisek, C., Thiess, L., „DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht“, Computer und Recht, 5/2018, p. 299, kurie pažymi, kad pagal BDAR 57 straipsnio 1 dalies a punktą priežiūros institucijos užduotis – stebėti, kaip taikomas BDAR, ir užtikrinti, kad jis būtų taikomas duomenų subjektų interesais. Autorių nuomone, ji neturi likti pasyvi, kai tvarkant asmens duomenis pažeidžiamos piliečio teisės. Atvirkščiai, priežiūros institucija turi ištaisyti padėtį ir pasinaudoti įgaliojimais, kuriuos ji turi pagal BDAR 58 straipsnio 2 dalį.

10 Šiuo klausimu žr. Hijmans, H., „Article 55. Tasks“, The ES General Data Protection Regulation (GDPR), Kuner, C., Bygrave, L. A., Docksey, C., Drechsler, L. (red.), Oksfordas, 2020, p. 934 ir 936.

11 Žr. mano išvadą byloje Parlamentas / UZ (C‑894/19 P, EU:C:2021:497, 68 punktas) dėl išsamesnio Sąjungos administracinės teisės sąvokos „geras administravimas“ paaiškinimo.

12 Generalinio advokato H. Saugmandsgaard Øe išvada byloje Facebook Ireland ir Schrems (C‑311/18, EU:C:2019:1145, 146 ir 147 punktai).

13 Generalinio advokato H. Saugmandsgaard Øe išvada byloje Facebook Ireland ir Schrems (C‑311/18, EU:C:2019:1145, 148 punktas).

14 Žr. šios išvados 43 ir 44 punktus.

15 Žr. 2020 m. gruodžio 10 d. ELPA teismo sprendimo sujungtose bylose E‑11/19 ir E‑12/19, Adpublisher AG prieš J ir K, 58 punktą, kuriame šis teismas pažymi, kad BDAR 58 straipsnio 4 dalyje ir 78 straipsnyje „išreiškiama teisė į veiksmingą teisminę teisių gynimo priemonę“.

16 2021 m. rugsėjo 7 d. Sprendimas Klaipėdos regiono atliekų tvarkymo centras (C‑927/19, EU:C:2021:700, 146 punktas).

17 Žr. 2015 m. spalio 6 d. Sprendimą Schrems (C‑362/14, EU:C:2015:650, 95 punktas).

18 Žr. 2023 m. sausio 12 d. Sprendimą Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, 41 punktas).

19 Šiuo klausimu žr. Kotschy, W., „Article 77. Right to lodge a complaint with a supervisory authority“, The ES General Data Protection Regulation (GDPR) Kuner, C., Bygrave, L. A., Docksey, C., Drechsler, L. (red.), Oksfordas, 2020, p. 1127–1130.

20 Žr. generalinio advokato J. Richard de la Tour išvadą byloje Budapesti Elektromos Művek ir kt. (C‑132/21, EU:C:2022:661, 43 ir paskesni punktai).

21 2020 m. lapkričio 11 d. Sprendimas DenizBank (C‑287/19, EU:C:2020:897, 59 punktas) ir 2022 m. vasario 24 d. Sprendimas Glavna direktsia „Pozharna bezopasnost i zashtita na naselenieto“ (C‑262/20, EU:C:2022:117, 33 punktas).

22 2019 m. gruodžio 11 d. Sprendimas Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, 32 punktas).

23 2022 m. balandžio 26 d. Sprendimas Lenkija / Parlamentas ir Taryba (C‑401/19, EU:C:2022:297, 47 punktas).

24 2021 m. birželio 22 d. Sprendimas Latvijas Republikas Saeima (Baudos taškai) (C‑439/19, EU:C:2021:504, 99 punktas) ir 2022 m. rugpjūčio 1 d. Sprendimas Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 67 punktas).

25 2021 m. birželio 17 d. Sprendimas M.I.C.M. (C‑597/19, EU:C:2021:492, 106 punktas).

26 Šiuo klausimu žr. generalinio advokato A. Rantos išvadą byloje Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos) (C‑252/21, EU:C:2022:704, 60 punktas).

27 Žr. 2017 m. gegužės 4 d. Sprendimą Rīgas satiksme (C‑13/16, EU:C:2017:336, 30 punktas) ir 2021 m. birželio 17 d. Sprendimą M.I.C.M. (C‑597/19, EU:C:2021:492, 110 punktas).

28 2017 m. gegužės 4 d. Sprendimas Rīgas satiksme (C‑13/16, EU:C:2017:336, 31 punktas) ir 2021 m. birželio 17 d. Sprendimas M.I.C.M. (C‑597/19, EU:C:2021:492, 111 punktas).

29 2014 m. balandžio 9 d. Nuomonė Nr. 06/2014, WP217, dėl duomenų valdytojo teisėtų interesų sampratos pagal Direktyvos 95/46/EB 7 straipsnį, III antraštinės dalies 3.4 skirsnis („Pagrindiniai veiksniai, į kuriuos reikia atsižvelgti taikant pusiausvyros kriterijų“).

30 Žr. šios išvados 61–63 punktus.

31 2014 m. gegužės 13 d. Sprendimas Google Spain ir Google (C‑131/12, EU:C:2014:317, 86 ir 87 punktai) ir 2019 m. gruodžio 11 d. Sprendimas Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, 57 punktas).

32 2022 m. rugpjūčio 1 d. Sprendimas Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 92 punktas).

33 2019 m. gruodžio 11 d. Sprendimas Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, 57 punktas).

34 2014 m. gegužės 13 d. Sprendimas Google Spain ir Google (C‑131/12, EU:C:2014:317, 98 punktas).

35 Žr. 2022 m. lapkričio 22 d. Sprendimą Luxembourg Business Registers (C‑37/20 ir C‑601/20, EU:C:2022:912, 39–42 punktai), kuriame Teisingumo Teismas nusprendė, kad informacijos apie bendrovių ir kitų juridinių asmenų tikruosius savininkus pateikimas plačiajai visuomenei pažeidžia Chartijos 7 ir 8 straipsniais garantuojamas teises. Motyvuodamas savo sprendimą Teisingumo Teismas atsižvelgė į tai, kad aptariami asmens duomenys buvo jautrūs, taip pat į tai, kad informacija buvo prieinama potencialiai neribotam skaičiui asmenų.

36 Per teismo posėdį SCHUFA nurodė, kad tam tikri asmenys gali vėl tapti nemokūs, o tai, šios bendrovės teigimu, pateisina trejų metų saugojimo laikotarpį.

37 Gutowski, M., „OLG Schleswig: Eintragung erfolgter Restschuldbefreiung in Datenbanken von Auskunfteien über die Löschungsfrist für das Insolvenzbekanntmachungsportal hinaus“, Neue Zeitschrift für Insolvenz- und Sanierungsrecht, 18/2021, p. 799, abejoja, ar tikslinga numatyti asmens duomenų saugojimą trejus metus, kad būtų galima nustatyti jo ekonominę padėtį.

38 Šiuo klausimu žr. Heyer, H.-U., „Schein-Datenschutz“, Zeitschrift für Verbraucher-, Privat- und Nachlassinsolvenz, 2019, p. 46.

39 Žr. šios išvados 31 punktą.

40 Žr. 2019 m. gruodžio 11 d. Sprendimą Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, 58 punktas).

41 SCHUFA per teismo posėdį pateiktas argumentas, kad Vokietijos teisės aktų leidėjas nepadarė nieko, kad sutrumpintų šios privačios bendrovės taikomą trejų metų terminą, regis, nepaneigia šios išvados. Gali būti įvairių priežasčių, dėl kurių valstybė narė dar nesprendė lygiagrečių duomenų bazių klausimo. Prašymą priimti prejudicinį sprendimą pateikusio teismo pateiktais prašymais būtent ir siekiama rasti atsakymus į šį klausimą, kad būtų sukurta BDAR reikalavimus atitinkanti situacija.

42 Žr. šios išvados 75 punktą.

43 Ehmann, E., „Bundesdatenschutzgesetz“, Simitis, S., Hornung, G., Spiecker, I. (red.), Datenschutzrecht – DSGVO mit BDSG, 8 leidimas, Baden Badenas, 2014, 29 paragrafas, 192 punktas, mano, kad nebėra teisėto intereso skleisti asmens duomenis privačios bendrovės valdomoje duomenų bazėje, kai pasibaigia nacionalinės teisės aktuose numatytas jų skelbimo viešajame registre terminas, antraip būtų pakenkta teisės aktų leidėjo tikslui.

44 Žr. 2022 m. rugpjūčio 1 d. Sprendimą Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 93 punktas), iš kurio matyti, kad sąlyga, susijusi su „duomenų tvarkymo būtinumu“, turi būti nagrinėjama kartu su vadinamuoju „duomenų kiekio mažinimo“ principu.

45 Dix, A., „Datenschutzrecht – DSGVO mit BDSG“ Simitis, S., Hornung, G., Spiecker, I. (red.), Baden Badenas, 2018, 17 straipsnis, 14 punktas.

46 Žr. šios išvados 77 punktą.

47 Kranenborg, H., „Article 17. Right to erasure („right to be forgotten“)“, The ES General Data Protection Regulation (GDPR), Kuner, C., Bygrave, L. A., Docksey, C., Drechsler, L. (red.), Oksfordas, 2020, p. 481, paaiškinta, kad BDAR 21 straipsnio 1 dalimi perkeliama įrodinėjimo pareiga, todėl ne duomenų subjektas, o duomenų valdytojas turi įrodyti viršesnes teisėtas priežastis, kad pateisintų duomenų tvarkymą. Jei duomenų valdytojas to nepadaro, atitinkami duomenys turi būti ištrinti.

48 Svarbu atkreipti dėmesį į tai, jog aptariamame Elgesio kodekse (Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25.05.2018) (2018 m. gegužės 25 d. Elgesio kodeksas dėl kreditingumą vertinančioms privačioms Vokietijos bendrovėms taikomų asmens duomenų patikros ir ištrynimo terminų) nurodyta, kad jo nuostatose „niekaip nereglamentuojamas asmens duomenų saugojimo pateisinimas“. Iš minėto Elgesio kodekso taip pat matyti, kad „duomenų saugojimo ir ištrynimo laikotarpių reglamentavimas nerodo jų saugojimo teisėtumo. Taikomi toliau nurodyti ištrynimo ir saugojimo terminai, neatsižvelgiant į tai, ar pagrindiniai duomenys buvo renkami ir saugomi remiantis teisiniu pagrindu, ar remiantis sutikimu“ (kursyvu išskirta generalinio advokato). Manau, tai įrodo, jog minėto kodekso rengėjai turėjo žinoti, kad Elgesio kodeksas nėra tinkamas teisinis pagrindas, kuriuo remiantis būtų galima įteisinti duomenų tvarkymą.

49 Žr. šios išvados 59 punktą.

50 Žr. šios išvados 77 punktą.