2022 m. kovo 16 d. Verwaltungsgericht Wien (Austrija) pateiktas prašymas priimti prejudicinį sprendimą byloje CK
(Byla C-203/22)
Proceso kalba: vokiečių
Prašymą priimti prejudicinį sprendimą pateikęs teismas
Verwaltungsgericht Wien
Šalys pagrindinėje byloje
Kasatorė: CK
Dalyvaujant: Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien
Prejudiciniai klausimai
1. Kokius su turiniu susijusius reikalavimus turi atitikti suteikta informacija tam, kad galėtų būti laikoma pakankamai „prasminga“, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR)1 15 straipsnio 1 dalies h punktą?
Ar – bent jau saugant gamybinę paslaptį – profiliavimo atveju duomenų valdytojas, suteikdamas informaciją apie „loginį pagrindimą“, iš principo privalo atskleisti ir pagrindinę informaciją, kuri leidžia aiškiai atsekti, kodėl konkrečiu atveju automatizuotu būdu buvo priimtas būtent toks sprendimas, visų pirma toliau nurodytą informaciją: 1) tvarkytus duomenų subjekto duomenis, 2) profiliavimui naudoto algoritmo dalis, kurios yra būtinos atsekamumui, ir 3) esminę informaciją, leidžiančią suprasti ryšį tarp tvarkytos informacijos ir atlikto įvertinimo?
Ar profiliavimo atvejais asmeniui, kuris turi teisę susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, ir tuomet, kai reiškiamas gamybine paslaptimi grindžiamas prieštaravimas, privaloma suteikti bent jau toliau nurodytą informaciją, susijusią su konkrečiu jo asmens duomenų tvarkymu, tam, kad būtų užtikrintos jo teisės, kylančios iš Bendrojo duomenų apsaugos reglamento (BDAR) 22 straipsnio 3 dalies:
a) visą bent jau pseudoanonimizuotą informaciją, visų pirma apie duomenų subjekto duomenų tvarkymo būdą, kuri leistų patikrinti, ar buvo laikytasi Bendrojo duomenų apsaugos reglamento (BDAR);
b) įvesties duomenis, kurie buvo naudoti kuriant profilį;
c) parametrus ir įvesties kintamuosius, kuriais buvo remtasi atliekant vertinimą;
d) šių parametrų ir įvesties kintamųjų įtaką gautam vertinimui;
e) informaciją apie tai, kaip buvo gauti šie parametrai ir (arba) įvesties kintamieji;
f) paaiškinimą, kodėl asmuo, turintis teisę susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, buvo priskirtas prie tam tikros vertinamosios kategorijos, ir paaiškinimą, kokia išvada buvo susieta su šiuo vertinimu;
g) profilio kategorijų sąrašą ir paaiškinimą, kokia vertinamoji išvada yra siejama su kiekviena iš profilio kategorijų?
2. Ar Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punkte įtvirtinta teisė susipažinti su duomenimis yra susijusi su Bendrojo duomenų apsaugos reglamento (BDAR) 22 straipsnio 3 dalyje garantuotomis teisėmis pareikšti savo požiūrį ir užginčyti priimtą automatizuotą sprendimą, kaip jis suprantamas pagal Bendrojo duomenų apsaugos reglamento (BDAR) 22 straipsnį, tiek, kiek pagal prašymą leisti susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, suteiktinos informacijos apimtis yra pakankamai „prasminga“ tik tuomet, kai susipažinti su duomenimis siekiančiam asmeniui ir duomenų subjektui, kaip jis suprantamas pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, sudaromos galimybės iš tiesų, visapusiškai ir sėkmingai įgyvendinti savo Bendrojo duomenų apsaugos reglamento (BDAR) 22 straipsnio 3 dalyje garantuotas teises pareikšti savo požiūrį ir užginčyti priimtą automatizuotą sprendimą, kaip jis suprantamas pagal Bendrojo duomenų apsaugos reglamento (BDAR) 22 straipsnį?
3. a) Ar Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktas turi būti aiškinamas taip, kad informacija gali būti laikoma „prasminga“, kaip tai suprantama pagal šią nuostatą, tik tuo atveju, kai ji yra tokia plati, kad asmuo, turintis teisę susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, turi galimybę nustatyti, ar ši suteikta informacija iš tiesų atitinka tikrovę, t. y., ar konkretus automatizuotas sprendimas iš tiesų pagrįstas atskleista informacija?
b) Jeigu atsakymas būtų teigiamas: kaip elgtis, jeigu duomenų valdytojo suteiktos informacijos teisingumą galima patikrinti tik atskleidus asmeniui, turinčiam teisę susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, Bendruoju duomenų apsaugos reglamentu (BDAR) saugomus trečiųjų asmenų duomenis (black box)?
Ar šią prieštarą tarp teisės susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalį, ir trečiųjų asmenų teisės į duomenų apsaugą, be kita ko, galima išspręsti patikrinimui būtinus trečiųjų asmenų, įtrauktų į tą patį profiliavimą, duomenis atskleidžiant išimtinai valdžios institucijai arba teismui, kad jie savarankiškai patikrintų, ar atskleisti šių trečiųjų asmenų duomenys atitinka tikrovę?
c) Jeigu atsakymas būtų teigiamas: kokias teises bet kuriuo atveju privaloma suteikti asmeniui, turinčiam teisę susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, tuo atveju, kai būtina užtikrinti kitų asmenų teisių apsaugą, kaip ji suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 4 dalį, sukuriant trečiojo klausimo b punkte minėtą juodąją dėžę (black box)?
Ar tokiu atveju asmeniui, turinčiam teisę susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, kitų asmenų duomenys, kuriuos duomenų valdytojas pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalį privalo atskleisti, bet kuriuo atveju privalo būti atskleisti pseudoanonimizuota forma tam, kad būtų galima patikrinti priimto sprendimo teisingumą?
4 a) Kaip reikia elgtis, jeigu pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą suteiktina informacija taip pat atitinka komercinės paslapties reikalavimus pagal Direktyvos 2016/9431 2 straipsnio 1 punktą?
Ar prieštarą tarp Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punkte garantuotos teisės susipažinti su duomenimis ir Direktyvoje 2016/943 garantuotos teisės į komercinės paslapties neatskleidimą galima išspręsti komercine paslaptimi, kaip ji suprantama pagal Direktyvos 2016/943 2 straipsnio 1 punktą, laikytiną informaciją atskleidžiant išimtinai valdžios institucijai arba teismui, kad jie savarankiškai patikrintų, ar reikia preziumuoti komercinės paslapties, kaip ji suprantama pagal Direktyvos 2016/943 2 straipsnio 1 punktą, buvimą, ir ar duomenų valdytojo pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą suteikta informacija atitinka tikrovę?
b) Jeigu atsakymas būtų teigiamas: kokias teises bet kuriuo atveju privaloma suteikti asmeniui, turinčiam teisę susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, tuo atveju, kai yra būtina užtikrinti kitų asmenų teisių apsaugą, kaip ji suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 4 dalį, sukuriant ketvirtojo klausimo a punkte minėtą juodąją dėžę (black box)?
Ar (ir) tuo atveju, kai valdžios institucijai arba teismui atskleistina informacija ir asmeniui, turinčiam teisę susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, atskleistina informacija nesutampa, profiliavimo atvejais asmeniui, turinčiam teisę susipažinti su duomenimis, kaip tai suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, bet kuriuo atveju turi būti atskleista toliau nurodyta informacija apie konkrečiai su juo susijusių duomenų tvarkymą tam, kad jam būtų sudarytos galimybės įgyvendinti savo Bendrojo duomenų apsaugos reglamento (BDAR) 22 straipsnio 3 dalyje numatytas teises:
a) visą bent jau pseudoanonimizuotą informaciją, visų pirma apie duomenų subjekto duomenų tvarkymo būdą, kuri leistų patikrinti, ar buvo laikytasi Bendrojo duomenų apsaugos reglamento (BDAR);
b) įvesties duomenis, kurie buvo naudoti kuriant profilį;
c) parametrus ir įvesties kintamuosius, kuriais buvo remtasi atliekant vertinimą;
d) šių parametrų ir įvesties kintamųjų įtaką gautam vertinimui;
e) informaciją apie tai, kaip buvo gauti šie parametrai ir (arba) įvesties kintamieji;
f) paaiškinimą, kodėl asmuo, turintis teisę susipažinti su duomenimis, kaip ji suprantama pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą, buvo priskirtas prie tam tikros vertinamosios kategorijos, ir paaiškinimą, kokia išvada buvo susieta su šiuo vertinimu;
g) profilio kategorijų sąrašą ir paaiškinimą, kokia vertinamoji išvada yra siejama su kiekviena iš profilio kategorijų?
5. Ar Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 4 dalies nuostata kaip nors riboja pagal Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies h punktą suteiktinos informacijos apimtį?
Jeigu atsakymas būtų teigiamas, kokiu būdu ši teisė susipažinti su duomenimis yra ribojama Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 4 dalimi ir kaip atitinkamu atveju reikia nustatyti šio apribojimo apimtį?
6. Ar Datenschutzgesetz (Duomenų apsaugos įstatymas) 4 straipsnio 6 dalis, kurioje nustatyta, kad „BDAR 15 straipsnyje numatyta duomenų subjekto teisė susipažinti su duomenimis, nepažeidžiant kitų įstatymu nustatytų apribojimų, duomenų valdytojo atžvilgiu paprastai netaikoma tuomet, kai pateikus šią informaciją kiltų grėsmė komercinei arba gamybinei duomenų valdytojo ar trečiųjų asmenų paslapčiai“, yra suderinama su Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsnio 1 dalies, siejamos su 22 straipsnio 3 dalimi, reikalavimais? Jeigu taip, kokius reikalavimus šis suderinamumas turi atitikti?
____________
1 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL L 119, 2016, p. 1).
1 2016 m. birželio 8 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/943 dėl neatskleistos praktinės patirties ir verslo informacijos (komercinių paslapčių) apsaugos nuo neteisėto jų gavimo, naudojimo ir atskleidimo (OL L 157, p. 1).