A BÍRÓSÁG ÍTÉLETE (első tanács)
2023. december 7.(*)
„Előzetes döntéshozatal – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – (EU) 2016/679 rendelet – 22. cikk – Automatizált döntéshozatal egyedi ügyekben – Üzleti információkat nyújtó vállalatok – Valamely személy jövőbeli fizetési kötelezettségeinek teljesítésével kapcsolatos képességére vonatkozó valószínűségi érték automatizált megállapítása (»scoring«) – E valószínűségi érték harmadik személyek általi felhasználása”
A C‑634/21. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) a Bírósághoz 2021. október 15‑én érkezett, 2021. október 1‑jei határozatával terjesztett elő az
OQ
és
a Land Hessen
között,
a SCHUFA Holding AG
részvételével folyamatban lévő eljárásban,
A BÍRÓSÁG (első tanács),
tagjai: A. Arabadjiev tanácselnök, T. von Danwitz, P. G. Xuereb, A. Kumin (előadó) és I. Ziemele bírák,
főtanácsnok: P. Pikamäe,
hivatalvezető: C. Di Bella tanácsos,
tekintettel az írásbeli szakaszra és a 2023. január 26‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– OQ képviseletében U. Schmidt Rechtsanwalt,
– a Land Hessen képviseletében M. Kottmann és G. Ziegenhorn Rechtsanwälte,
– a SCHUFA Holding AG képviseletében G. Thüsing és U. Wuermeling Rechtsanwalt,
– a német kormány képviseletében P.‑L. Krüger, meghatalmazotti minőségben,
– a dán kormány képviseletében V. Pasternak Jørgensen, M. Søndahl Wolff és Y. Thyregod Kollberg, meghatalmazotti minőségben,
– a portugál kormány képviseletében P. Barros da Costa, I. Oliveira, J. Ramos és C. Vieira Guerra, meghatalmazotti minőségben,
– a finn kormány képviseletében M. Pere, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében A. Bouchagiar, F. Erlbacher és H. Kranenborg, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2023. március 16‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 6. cikke (1) bekezdésének és 22. cikkének értelmezésére vonatkozik.
2 E kérelmet az OQ és a Land Hessen (Hessen tartomány, Németország) közötti, azon kérelemnek a Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Hessen tartomány adatvédelmi és információszabadságért felelős biztosa, Németország; a továbbiakban: adatvédelmi biztos) általi megtagadásával kapcsolatos eljárás keretében nyújtották be, hogy az kötelezze a SCHUFA Holding AG‑t (a továbbiakban: SCHUFA) arra, hogy adjon helyt az OQ által a rá vonatkozó személyes adatokhoz való hozzáférés és azok törlése iránt benyújtott kérelemnek.
Jogi háttér
Az uniós jog
3 Az általános adatvédelmi rendelet (71) preambulumbekezdése értelmében:
„Az érintett jogosult arra, hogy ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen alapuló – akár intézkedést is magában foglaló – döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti, mint például egy online hitelkérelem automatikus elutasítása vagy emberi beavatkozás nélkül folytatott online munkaerő‑toborzás. Ilyen adatkezelésnek minősül a »profilalkotás« is, vagyis a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére, ha az az érintettre nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti. Megengedhető azonban az efféle adatkezelésen – ideértve profilalkotást is – alapuló döntéshozatal, ha azt az olyan uniós vagy tagállami jog kifejezetten engedélyezi, amelynek hatálya alá az adatkezelő tartozik, például a csalások és az adócsalás nyomon követése és megelőzése céljából, feltéve hogy erre az [európai] uniós intézmények vagy a tagállami felügyeleti hatóságok szabályaival, előírásaival és ajánlásaival összhangban kerül sor, vagy az adatkezelő által nyújtott szolgáltatás biztonságának és megbízhatóságának a biztosítása érdekében, vagy ha arra valamely, az érintett és egy adatkezelő közötti szerződés megkötése vagy teljesítése érdekében van szükség, vagy ha az érintett ahhoz kifejezett hozzájárulását adta. Az ilyen adatkezelés mindazonáltal csakis megfelelő garanciák mellett végezhető, amelybe beletartozik az érintett külön tájékoztatása és az ahhoz való joga, hogy emberi beavatkozást kérjen és kapjon, különösen hogy kifejtse álláspontját, hogy magyarázatot kapjon az ilyen értékelés alapján hozott döntésről és hogy megtámadja a döntést. Az ilyen intézkedés gyermekre nem vonatkozhat.
Az érintett szempontjából tekintve tisztességes és átlátható adatkezelés biztosítása érdekében – az adatkezelés konkrét körülményeinek figyelembevételével – az adatkezelő a profilalkotáshoz megfelelő matematikai és statisztikai eljárásokat alkalmaz, olyan technikai és szervezési intézkedéseket vezet be, amelyek biztosítják különösen az adatok pontatlanságát előidéző tényezők korrekcióját és a hibalehetőségek minimálisra csökkentését, továbbá a személyes adatok biztonságáról oly módon gondoskodik, amely az érintett érdekeit és jogait potenciálisan veszélyeztető tényezőket figyelembe veszi, és amely megakadályozza egyebek között az olyan hatások érvényesülését, amelyek a természetes személyek közötti hátrányos megkülönböztetést eredményeznek faji vagy etnikai származás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, genetikai vagy egészségi állapot, szexuális irányultság vagy nemi identitás alapján, illetve amelyek ilyen hatást kiváltó intézkedésekhez vezetnek.”
4 E rendeletnek a „Fogalommeghatározások” című 4. cikke szerint:
„E rendelet alkalmazásában:
[…]
4. »profilalkotás«: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
[…]”
5 Az említett rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőképpen rendelkezik:
(1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; […] (»célhoz kötöttség«);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);
d) pontosnak és szükség esetén naprakésznek kell lenniük; […] (»pontosság«);
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; […] (»korlátozott tárolhatóság«);
f) kezelését oly módon kell végezni, hogy […] biztosítva legyen a személyes adatok megfelelő biztonsága […] (»integritás és bizalmas jelleg«);
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”
6 Az általános adatvédelmi rendelet „Az adatkezelés jogszerűsége” című 6. cikke az (1) és (3) bekezdésében a következőket mondja ki:
„A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
[…]
(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:
a) az uniós jog, vagy
b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. […]”
7 E rendeletnek „A személyes adatok különleges kategóriáinak kezelése” című 9. cikke a következőképpen szól:
„(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;
[…]
g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
[…]”
8 Az említett rendeletnek a „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” című 13. cikke a (2) bekezdésében a következőképpen rendelkezik:
„Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
[…]
f) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.”
9 Az általános adatvédelmi rendeletnek a „Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg” című 14. cikke az (2) bekezdésében a következőképpen rendelkezik:
„Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
[…]
g) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.”
10 Ugyanezen rendelet „Az érintett hozzáférési joga” című 15. cikkének (1) bekezdése a következőket írja elő:
„Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
[…]
h) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.”
11 Az említett rendelet „Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást” című 22. cikke a következőket írja elő:
„(1) Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
(3) A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
(4) A (2) bekezdésben említett döntések nem alapulhatnak a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.”
12 Az általános adatvédelmi rendeletnek „A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog” című 78. cikke az (1) bekezdésében a következőképpen rendelkezik:
„Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.”
A német jog
13 A 2017. június 30‑i Bundesdatenschutzgesetz (az adatvédelemről szóló szövetségi törvény, BGBl. I., 2097. o. a továbbiakban: BDSG) „A gazdasági forgalom védelme pontozásos hitelbírálat (scoring) és a fizetőképességre vonatkozó információk esetén” című 31. §‑a a következőképpen szól:
„(1) Valamely természetes személy meghatározott jövőbeni magatartására vonatkozó valószínűségi értéknek az e személlyel fennálló szerződéses jogviszony létrehozásával, teljesítésével vagy megszüntetésével kapcsolatos döntéshozatal céljából történő alkalmazása (scoring) csak akkor megengedett, ha
1. tiszteletben tartották az adatvédelmi jog rendelkezéseit,
2. a valószínűségi érték kiszámításához felhasznált adatok valamely tudományosan elismert matematikai statisztikai módszer alapulvételével bizonyíthatóan relevánsak az adott magatartás valószínűségének kiszámítása szempontjából,
3. a valószínűségi érték kiszámításához nem kizárólag címadatokat használtak fel, és
4. címadatok felhasználása esetén az érintettet a valószínűségi érték kiszámítása előtt tájékoztatták ezen adatok tervezett felhasználásáról; e tájékoztatást dokumentálni kell.
(2) A természetes személy fizetőképességére és fizetési hajlandóságára vonatkozó, üzleti információkat nyújtó vállalatok által megállapított valószínűségi érték alkalmazása követelésekre vonatkozó információk figyelembevétele esetén csak akkor megengedett, ha az (1) bekezdésben előírt feltételek fennállnak, és csak az esedékesség ellenére nem teljesített szolgáltatásra vonatkozó olyan követelések vehetők figyelembe,
1. amelyeket jogerős vagy előzetesen végrehajthatónak nyilvánított ítélet állapított meg, vagy amelyek tekintetében a Zivilprozessordnung (polgári perrendtartás) 794. §‑a szerinti végrehajtható okirat áll fenn,
2. amelyeket az Insolvenzordnung (a fizetésképtelenségi eljárásról szóló törvény) 178. §‑ának megfelelően állapítottak meg, és amelyeket az adós a felszámolóhoz bejelentett követelések vizsgálatára tartott egyeztetésen nem vitatott;
3. amelyeket az adós kifejezetten elismert,
4. amelyek esetében
a) az adóst a követelés esedékessé válását követően legalább két alkalommal írásban felszólították;
b) az első felszólításra legalább négy hete került sor;
c) az adóst előzetesen, de legkorábban az első felszólítás alkalmával tájékoztatták az üzleti információkat nyújtó vállalat általi esetleges figyelembevételről, és
d) az adós nem vitatta a követelést; vagy
5. amelyek esetében az alapul szolgáló szerződéses jogviszony fizetési hátralék miatt azonnali hatállyal felmondható, és amelyek esetében az adóst korábban tájékoztatták az üzleti információkat nyújtó vállalat általi esetleges figyelembevételről.
Ez nem érinti az általános adatvédelmi jog szerinti adatkezelés – többek között a valószínűségi értékek és a fizetőképesség szempontjából releváns más adatok megállapításának – jogszerűségét.”
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
14 A SCHUFA egy német jog szerinti magánvállalat, amely a szerződéses partnerei számára információkat nyújt harmadik személyek, különösen fogyasztók fizetőképességéről. Ennek érdekében matematikai és statisztikai eljárások segítségével valamely személy bizonyos jellemzői alapján előrejelzést készít az említett személy valószínű jövőbeli viselkedéséről („score”), például egy kölcsön visszafizetéséről. A score‑értékek megállapítása („scoring”) azon a feltevésen alapul, hogy valamely személynek bizonyos hasonló jellemzőkkel rendelkező, adott módon viselkedő személyek csoportjába való besorolásával hasonló viselkedést lehet előre jelezni.
15 Az előzetes döntéshozatal iránti kérelemből kitűnik, hogy egy harmadik személy azt követően tagadott meg OQ‑tól egy kölcsönt, hogy megkapta az OQ‑ról a SCHUFA által készített és e harmadik személynek elküldött kedvezőtlen információkat. OQ kérte a SCHUFA‑tól, hogy adjon tájékoztatást a nyilvántartott személyes adatokról, és törölje az állítása szerint téves személyes adatokat.
16 E kérelemre válaszul a SCHUFA tájékoztatta OQ‑t a score‑értékének szintjéről, és felvázolta számára a score‑érték kiszámításának módját. Az üzleti titokra hivatkozva azonban megtagadta az e számítás során figyelembe vett különböző információk és azok súlyozásának nyilvánosságra hozatalát. Végül a SCHUFA közölte, hogy ő csupán továbbítja az információkat szerződéses partnereinek, és a tényleges szerződéses döntéseket az utóbbiak hozzák meg.
17 OQ 2018. október 18‑án benyújtott panaszában kérte az adatvédelmi biztost, az illetékes felügyeleti hatóságot, hogy kötelezze a SCHUFA‑t, hogy adjon helyt az információkhoz való hozzáférés és a törlés iránti kérelmének.
18 Az adatvédelmi biztos 2020. június 3‑i határozatában elutasította ezt a kötelezés iránti kérelmet, és kifejtette, hogy nem bizonyított, hogy a SCHUFA a tevékenysége tekintetében nem felel meg a BDSG 31. §‑ában meghatározott követelményeknek.
19 OQ e határozattal szemben keresetet nyújtott be a kérdést előterjesztő bíróság, a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) előtt az általános adatvédelmi rendelet 78. cikkének (1) bekezdése alapján.
20 E bíróság szerint az előtte folyamatban lévő jogvita elbírálásához meg kell határozni, hogy az alapügyben szereplőhöz hasonló valószínűségi érték megállapítása az általános adatvédelmi rendelet 22. cikkének (1) bekezdése értelmében vett automatizált egyedi döntéshozatalnak minősül‑e. Igenlő válasz esetén ugyanis e tevékenység jogszerűsége e rendelet 22. cikke (2) bekezdése b) pontjának megfelelően ahhoz a feltételhez van kötve, hogy e határozatot az adatkezelőre alkalmazandó uniós vagy tagállami jog lehetővé tegye.
21 E tekintetben a kérdést előterjesztő bíróságnak kétségei vannak azzal a nézettel kapcsolatban, hogy az általános adatvédelmi rendelet 22. cikkének (1) bekezdése nem alkalmazható a SCHUFA‑hoz hasonló társaságok tevékenységére. E bíróság a kétségeit ténybeli szempontból az alapügyben szóban forgóhoz hasonló valószínűségi érték jelentőségére alapozza azon harmadik személyek döntéshozatali gyakorlata szempontjából, akiknek e valószínűségi értéket továbbítják, jogi szempontból pedig elsősorban az e 22. cikk (1) bekezdése által követett célokra és az általános adatvédelmi rendeletben foglalt jogvédelmi garanciákra.
22 Konkrétabban, a kérdést előterjesztő bíróság hangsúlyozza, hogy általában a valószínűségi érték határozza meg, hogy a harmadik személy szerződést köt‑e az érintett személlyel, és ha igen, milyen módon. Az általános adatvédelmi rendelet 22. cikkének célja azonban éppen az, hogy megvédje a személyeket a tisztán automatizált döntésekkel kapcsolatos kockázatokkal szemben.
23 Ezzel szemben jogvédelmi hézagot eredményezne, ha az általános adatvédelmi rendelet 22. cikkének (1) bekezdését úgy kellene értelmezni, hogy az alapügyben szóban forgóhoz hasonló helyzetben az „automatizált egyedi döntéshozatal” minőség csak a harmadik személy által az érintett személy vonatkozásában hozott döntés tekintetében állapítható meg. Egyrészt ugyanis a SCHUFA‑hoz hasonló vállalat nem köteles hozzáférést biztosítani azokhoz a további információkhoz, amelyekhez e rendelet 15. cikke (1) bekezdésének h) pontja alapján az érintett személy jogosult hozzáférni, mivel nem ez a vállalat hozza meg az e rendelkezés szerinti, következésképpen az említett rendelet 22. cikkének (1) bekezdése szerinti „automatikus döntést”. Másrészt a harmadik személy, akivel a valószínűségi értéket közlik, ezeket a további információkat nem tudja megadni, hiszen azok nem állnak a rendelkezésére.
24 Így a kérdést előterjesztő bíróság szerint az ilyen jogvédelmi hézag elkerülése érdekében szükséges, hogy az alapügyben szereplőhöz hasonló valószínűségi érték megállapítása az általános adatvédelmi rendelet 22. cikke (1) bekezdésének hatálya alá tartozzon.
25 Ezen értelmezés elfogadása esetén e tevékenység jogszerűsége az érintett tagállam szintjén fennálló jogalaptól függne, e rendelet 22. cikke (2) bekezdése b) pontjának megfelelően. A jelen ügyben, bár igaz, hogy a BDSG 31. §‑a ilyen jogalapot képezhet Németországban, komoly kétségek merülnek fel e rendelkezésnek az általános adatvédelmi rendelet 22. cikkével való összeegyeztethetőségét illetően, mivel a német jogalkotó az alapügyben szereplőhöz hasonló valószínűségi értéknek csak a „felhasználását” szabályozza, nem pedig az említett érték megállapítását.
26 Ezzel szemben, ha az ilyen valószínűségi érték megállapítása nem minősül az általános adatvédelmi rendelet 22. cikke értelmében vett automatizált egyedi döntéshozatalnak, az e 22. cikk (2) bekezdésének b) pontjában szereplő nyitottsági záradék sem vonatkozik az e tevékenységre vonatkozó nemzeti szabályozásokra. Figyelemmel az általános adatvédelmi rendelet főszabály szerint kimerítő jellegére, és az ilyen nemzeti szabályozásokra vonatkozó egyéb normatív hatáskör hiányára, úgy tűnik, hogy a német jogalkotó azáltal, hogy a valószínűségi értékek megállapítását szigorúbb érdemi jogszerűségi feltételekhez köti, a szabályozott területet az RGPD 6. és 22. cikkében foglalt követelményeken túlmenően határozza meg, anélkül hogy erre vonatkozóan szabályozási hatáskörrel rendelkezne. Ha ez az álláspont helytálló lenne, az megváltoztatná a nemzeti felügyeleti hatóság vizsgálati mozgásterét, amelynek így e rendelet 6. cikkének fényében kellene értékelni az üzleti információkat nyújtó vállalatok tevékenységének megfelelőségét
27 E körülmények között a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) Úgy kell‑e értelmezni [az általános adatvédelmi rendelet] 22. cikkének (1) bekezdését, hogy az érintett valamely hitel jövőbeli törlesztésével kapcsolatos képességére vonatkozó valószínűségi érték automatizált megállapítása már kizárólag automatizált – a profilalkotást is magában foglaló – adatkezelésen alapuló olyan döntésnek minősül, amely az érintettre nézve joghatással jár vagy őt hasonlóképpen jelentős mértékben érinti, amennyiben az érintett személyes adatai alapján megállapított ezen értéket az adatkezelő egy harmadik személy részére továbbítja, és e harmadik személy az érintettel fennálló szerződéses jogviszony létrehozására, teljesítésére vagy megszüntetésére vonatkozó döntését elsősorban ezen értékre alapozza?
2) Az előzetes döntéshozatalra előterjesztett első kérdésre adott nemleges válasz esetén:
Úgy kell‑e értelmezni [az általános adatvédelmi rendelet] 6. cikkének (1) bekezdését és 22. cikkét, hogy azokkal ellentétes az olyan nemzeti rendelkezés, amely szerint a valamely természetes személy meghatározott jövőbeli magatartására vonatkozó – a jelen esetben a természetes személy követelésekre vonatkozó információk figyelembevétele alapján fennálló fizetőképességével és fizetési hajlandóságával kapcsolatos – valószínűségi értéknek az e személlyel fennálló szerződéses jogviszony létesítésére, teljesítésére vagy megszüntetésére vonatkozó döntés céljából történő felhasználása („scoring” [pontozásos hitelbírálat]) csak akkor megengedett, ha bizonyos, az előzetes döntéshozatal iránti kérelem indokolásában részletesen kifejtett feltételek teljesülnek?”
Az előzetes döntéshozatal iránti kérelem elfogadhatóságáról
28 A SCHUFA vitatja az előzetes döntéshozatal iránti kérelem elfogadhatóságát, és először is arra hivatkozik, hogy a kérdést előterjesztő bíróságnak nem feladata az adatvédelmi biztoshoz hasonló felügyeleti hatóság által hozott, panaszról szóló határozat tartalmának felülvizsgálata, mivel az ilyen határozattal szembeni, az általános adatvédelmi rendelet 78. cikkének (1) bekezdése szerinti bírósági jogorvoslat csak annak ellenőrzésére szolgál, hogy e hatóság eleget tett‑e az e rendeletből eredő kötelezettségeinek – különösen a panaszok elbírálására vonatkozó kötelezettségeinek –, tekintettel arra, hogy e hatóságnak mérlegelési jogköre van annak eldöntésére, hogy eljárjon‑e, és ha igen, hogyan.
29 Másodszor, a SCHUFA azt állítja, hogy a kérdést előterjesztő bíróság nem indokolja pontosan, hogy az előterjesztett kérdések miért meghatározóak az alapügy eldöntése szempontjából. Ezen alapügy tárgya egy konkrét score‑értékre vonatkozó információkérés és e score‑érték törlése. A jelen esetben azonban a SCHUFA megfelelően tiszteletben tartotta a tájékoztatási kötelezettségét, és már törölte az eljárás tárgyát képező score‑értéket.
30 E tekintetben először is emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlatából következően kizárólag az alapügyben eljáró és a meghozandó döntésért felelős nemzeti bíróság feladata annak értékelése, hogy az ügy sajátos jellemzőit tekintve az ítélet meghozatalához szükség van‑e az előzetes döntéshozatalra, és hogy a Bíróság elé terjesztett kérdések relevánsak‑e Következésképpen, amennyiben az előterjesztett kérdések valamely uniós jogi szabály értelmezésére vonatkoznak, a Bíróság – főszabály szerint – köteles határozatot hozni (2023. január 12‑i DOBELES HES ítélet, C‑702/20 és C‑17/21, EU:C:2023:1, 46. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
31 Ennélfogva az uniós jogra vonatkozó kérdések releváns voltát vélelmezni kell. A Bíróság csak akkor tagadhatja meg a nemzeti bíróság előzetes döntéshozatalra előterjesztett kérdéséről való határozathozatalt, ha valamely uniós jogi szabály kért értelmezése nyilvánvalóan semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson (2023. január 12‑i DOBELES HES ítélet, C‑702/20 és C‑17/21, EU:C:2023:1, 47. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
32 Először is, ami a felügyeleti hatóság panaszról szóló határozatait érintő, állítólagosan korlátozott bírósági felülvizsgálatra alapított elfogadhatatlansági okot illeti, emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 78. cikkének (1) bekezdése értelmében az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
33 A jelen esetben az adatvédelmi biztos felügyeleti hatóságként hozott határozata e 78. cikk (1) bekezdése értelmében jogilag kötelező erejű döntésnek minősül. E hatóság ugyanis az elé terjesztett panaszokról a megalapozottságuk vizsgálatát követően döntött, és megállapította, hogy a személyes adatoknak az alapeljárás felperesei által vitatott kezelése jogszerű volt.
34 Ami az ilyen határozat bírósági felülvizsgálatának terjedelmét illeti a 78. cikk (1) bekezdése alapján benyújtott kereset keretében, elegendő megjegyezni, a felügyeleti hatóság által elfogadott, panaszról szóló határozat teljes körű bírósági felülvizsgálat alá tartozik (2023. december 7‑i SCHUFA Holding [A fennálló tartozás elengedése], C‑26/22 és C‑64/22, EU:C:2023:XXX, rendelkező rész 1. pont).
35 A SCHUFA által felhozott első elfogadhatatlansági okot tehát el kell utasítani.
36 Másodszor, az előzetes döntéshozatal iránti kérelemből egyértelműen kitűnik, hogy a kérdést előterjesztő bíróság azt vizsgálja, hogy az általános adatvédelmi rendelet védelméről szóló rendelet fényében milyen felülvizsgálati kritériumot kell alkalmazni az alapügyben szóban forgó személyes adatok kezelésének értékelése során, és ez a kritérium attól függ, hogy az említett rendelet 22. cikkének (1) bekezdése alkalmazandó‑e, vagy sem.
37 Nem tűnik tehát úgy, hogy az általános adatvédelmi rendeletnek a kérdést előterjesztő bíróság által kért értelmezése nyilvánvalóan semmilyen összefüggésben ne lenne az alapügy tényállásával vagy tárgyával, sem pedig úgy, hogy a probléma hipotetikus jellegű lenne. Ezenkívül a Bíróság rendelkezésére állnak azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adjon.
38 Következésképpen a SCHUFA által felhozott második elfogadhatatlansági okot is el kell utasítani.
39 E körülményekre tekintettel az előzetes döntéshozatal iránti kérelem elfogadható.
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
40 Első kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy az általános adatvédelmi rendelet 22. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy valamely üzleti információkat nyújtó vállalat által egy magánszemély személyes adatain alapuló, az adott személy jövőbeli fizetési kötelezettségeinek teljesítésével kapcsolatos képességére vonatkozó valószínűségi érték automatizált megállapítása az említett rendelkezés értelmében vett „automatizált egyedi döntésnek” minősül, amennyiben döntően ettől a valószínűségi értéktől függ, hogy egy harmadik személy, akivel ezt a valószínűségi értéket közlik, létrehoz-e, teljesít-e vagy megszüntet-e valamely szerződéses kapcsolatot az adott személlyel.
41 E kérdés megválaszolása érdekében elöljáróban emlékeztetni kell arra, hogy valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem azt a kontextust is figyelembe kell venni, amelybe illeszkedik, valamint azon jogi aktus céljait is, amelynek az a részét képezi (2023. június 22‑i Pankki S ítélet, C‑579/21, EU:C:2023:501, 38. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
42 Az általános adatvédelmi rendelet 22. cikkének (1) bekezdése alapján az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna, vagy őt hasonlóképpen jelentős mértékben érintené.
43 E rendelkezés alkalmazhatósága tehát három együttes feltételtől függ, nevezetesen először is, hogy „döntésnek” kell fennállnia, másodszor, hogy e döntésnek „kizárólag automatizált adatkezelésen kell [alapulnia, beleértve a profilalkotást]”, és harmadszor, hogy „joghatással [kell] járnia [az érintettre nézve]”, vagy „hasonlóképpen jelentős mértékben” kell érintenie őt.
44 Ami először is a döntés fennállására vonatkozó feltételt illeti, meg kell állapítani, hogy a „döntésnek” az általános adatvédelmi rendelet 22. cikkének (1) bekezdése értelmében vett fogalmát e rendelet nem határozza meg. Ugyanakkor magából e rendelkezés szövegéből kitűnik, hogy e fogalom nemcsak az olyan jogi aktusokra utal, amelyek az érintett személyre nézve joghatásokat váltanak ki, hanem olyan jogi aktusokra is, amelyek e személyt hasonlóképpen jelentős mértékben érintik.
45 A „döntés” fogalmának tág terjedelmét megerősíti az általános adatvédelmi rendelet (71) preambulumbekezdése is, amelynek értelmében az érintett jogosult arra, hogy ne terjedjen ki rá az olyan „akár intézkedést is magában foglaló” döntés hatálya, amely valamely rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely „rá nézve joghatással jár”, vagy „őt hasonlóan jelentős mértékben érinti”. E preambulumbekezdés szerint a „döntés” szó kiterjed például az online hitelkérelem automatikus elutasítására vagy az emberi beavatkozás nélkül folytatott online munkaerő‑toborzásra.
46 Mivel a „döntésnek” az általános adatvédelmi rendelet 22. cikkének (1) bekezdése értelmében vett fogalma ily módon – amint arra a főtanácsnok az indítványának 38. pontjában rámutatott – több olyan aktust is magában foglalhat, amelyek többféleképpen érinthetik az érintettet, e fogalom kellően tág ahhoz, hogy magában foglalja valamely személy fizetőképességére vonatkozó számítás eredményét, egy valószínűségi érték formájában, amely arra vonatkozik, hogy e személy a jövőben képes lesz‑e teljesíteni fizetési kötelezettségeit.
47 Másodszor, ami azt a feltételt illeti, amely szerint az e 22. cikk (1) bekezdése értelmében vett döntésnek „kizárólag automatizált adatkezelésen kell [alapulnia, beleértve a profilalkotást]”, nem vitatott, hogy a SCHUFA által végzetthez hasonló tevékenység megfelel az általános adatvédelmi rendelet 4. cikkének 4. pontjában szereplő „profilalkotás” meghatározásának, ezért e feltétel teljesül, mivel az előzetes döntéshozatalra előterjesztett első kérdés szövege kifejezetten egy személyre vonatkozó személyes adatokon alapuló valószínűségi érték automatizált megállapítására utal, amely az említett személynek a kölcsön jövőbeli törlesztésére való képességére vonatkozik.
48 Ami harmadszor azt a feltételt illeti, hogy a határozatnak „joghatásokat” kell kiváltania az érintett személyre nézve, vagy őt „hasonlóképpen jelentős mértékben” kell érintenie, az előzetes döntéshozatali első kérdés tartalmából kitűnik, hogy annak a harmadik személynek a tevékenységét, akinek a valószínűségi értéket továbbítják, „elsősorban” ez az érték irányítja. Így a kérdést előterjesztő bíróság ténybeli megállapításai szerint a fogyasztó által valamely bankhoz intézett kölcsönkérelem esetében a nem megfelelő valószínűségi érték szinte minden esetben azt eredményezi, hogy a bank megtagadja a kért kölcsön nyújtását.
49 Ilyen körülmények között meg kell állapítani, hogy az általános adatvédelmi rendelet 22. cikke (1) bekezdésének alkalmazására vonatkozó harmadik feltétel is teljesül, mivel az alapügyben szóban forgóhoz hasonló valószínűségi érték legalábbis olyan hatásokat eredményez, amelyek az érintettet jelentős mértékben érintik.
50 Ebből következik, hogy az alapügyben szóban forgóhoz hasonló körülmények között, amikor az üzleti információkat nyújtó vállalatok által megállapított és egy bankkal közölt valószínűségi érték döntő szerepet játszik a kölcsönnyújtásban, ezen érték megállapítását önmagában olyan döntésnek kell minősíteni, amely az általános adatvédelmi rendelet 22. cikkének (1) bekezdése értelmében az érintett személyre nézve „joghatással jár vagy őt hasonlóképpen jelentős mértékben érinti”.
51 Ezt az értelmezést támasztja alá az általános adatvédelmi rendelet 22. cikke (1) bekezdésének kontextusa, valamint e rendelet céljai.
52 E tekintetben meg kell állapítani, hogy az általános adatvédelmi rendelet 22. cikkének (1) bekezdése – amint azt a főtanácsnok az indítványának 31. pontjában megjegyezte – „jogot” biztosít az érintett számára arra, hogy a személyére vonatkozóan ne lehessen kizárólag automatizált adatkezelésen alapuló döntéseket hozni, ideértve a profilalkotást is. Ez a rendelkezés ugyanis olyan elvi tilalmat állapít meg, amelynek megsértésére az ilyen személynek nem kell egyénileg hivatkoznia.
53 Az általános adatvédelmi rendelet 22. cikke (2) bekezdésének és az említett rendelet (71) preambulumbekezdésének együttes olvasatából ugyanis az következik, hogy kizárólag automatizált adatkezelésen alapuló döntés meghozatala csak a 22. cikk (2) bekezdésében említett esetekben megengedett, azaz akkor, ha a döntés az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges (a) pont), meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé (b) pont) vagy az érintett kifejezett hozzájárulásán alapul (c) pont).
54 Ezenkívül az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontja és (3) bekezdése szerint az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések kell hozni. Az e rendelet 22. cikke (2) bekezdésének a) és c) pontjában foglalt esetekben az adatkezelőnek legalább az érintett emberi beavatkozás kéréséhez, álláspontjának kifejezéséhez és a döntés kifogásolásához való jogát kell érvényesítenie.
55 Ezen túlmenően, az általános adatvédelmi rendelet 22. cikke (4) bekezdésének megfelelően csak bizonyos különleges esetekben alapulhatnak az említett 22. cikk értelmében vett automatizált egyedi döntések a személyes adatoknak az e rendelet 9. cikkének (1) bekezdésében említett különleges kategóriáin.
56 Ezen túlmenően az olyan automatizált döntéshozatal esetében, mint amilyenre az általános adatvédelmi rendelet 22. cikkének (1) bekezdése utal, egyrészt az adatkezelőt az említett rendelet 13. cikke (2) bekezdésének f) pontja és 14. cikke (2) bekezdésének g) pontja alapján további tájékoztatási kötelezettségek terhelik. Másrészt az említett rendelet 15. cikke (1) bekezdésének h) pontja értelmében az érintettnek joga van ahhoz, hogy az adatkezelőtől megkapja különösen „az alkalmazott logikára és arra vonatkozó érthető információk[at], hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír”.
57 Az automatizált döntéshozatal jogszerűségére vonatkozó ezen szigorúbb követelmények, valamint az adatkezelő további tájékoztatási kötelezettségei és az érintett ehhez kapcsolódó további hozzáférési jogai az általános adatvédelmi rendelet 22. cikkével követett azon céllal magyarázhatók, hogy megvédjék az egyéneket a személyes adatok automatizált kezeléséből, köztük a profilalkotásból eredő, a jogaikat és szabadságaikat érintő különleges kockázatokkal szemben.
58 Ez az adatkezelés ugyanis – amint az az általános adatvédelmi rendelet (71) preambulumbekezdéséből kitűnik – magában foglalja az ezen adatkezeléssel érintett természetes személyre vonatkozó személyes jellemzők értékelését, többek között a munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési köreire, megbízhatóságára vagy viselkedésére, illetve tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzése vagy előrejelzése céljából.
59 E preambulumbekezdés szerint ezek a különleges veszélyeztető tényezők hatással lehetnek az érintett jogos érdekeire és jogaira, különös tekintettel az olyan hatásokra, amelyek a természetes személyek között potenciálisan hátrányos megkülönböztetést eredményeznek faji vagy etnikai származásuk, politikai véleményük, vallási vagy világnézeti meggyőződésük, szakszervezeti tagságuk, genetikai vagy egészségi állapotuk vagy szexuális irányultságuk alapján. Ugyanezen preambulumbekezdés szerint ezért fontos, hogy az érintett szempontjából tisztességes és átlátható adatkezelést biztosítsanak többek között a profilalkotáshoz megfelelő matematikai és statisztikai eljárások alkalmazásával és olyan technikai és szervezési intézkedéseket bevezetésével, amelyek biztosítják különösen a hibalehetőségek minimálisra csökkentését.
60 Márpedig a jelen ítélet 42–50. pontjában kifejtett értelmezés, és különösen az általános adatvédelmi rendelet 22. cikkének (1) bekezdése értelmében vett „döntés” fogalmának tág terjedelme megerősíti az e rendelkezésben említett hatékony védelmet.
61 Ezzel szemben az alapügyben szóban forgóhoz hasonló körülmények között, amelyekben három szereplő érintett, az általános adatvédelmi rendelet 22. cikke megkerülésének, következésképpen jogvédelmi hézag kialakulásának veszélyét idézné elő e rendelkezés olyan megszorító értelmezésének elfogadása, amely szerint a valószínűségi érték megállapítása csak előkészítő aktusnak minősül, és csak a harmadik személy által elfogadott aktus minősülhet adott esetben az említett rendelet 22. cikkének (1) bekezdése szerinti „döntésnek”.
62 Ebben az esetben ugyanis az alapügyben szóban forgóhoz hasonló valószínűségi érték megállapítása kikerülne az általános adatvédelmi rendelet 22. cikkének (2)–(4) bekezdésében foglalt különös követelmények alól, jóllehet ez az eljárás automatizált adatkezelésen alapul és olyan hatásokat vált ki, amelyek jelentős mértékben érintik az érintett személyt, mivel annak a harmadik személynek a tevékenységét, akinek a valószínűségi értéket továbbítják döntő mértékben ez az érték irányítja.
63 Ezenkívül, amint azt a főtanácsnok az indítványának 48. pontjában megjegyezte, egyrészt az érintett nem tudná érvényesíteni az általános adatvédelmi rendelet 15. cikke (1) bekezdésének h) pontjában említett konkrét információkhoz való hozzáférési jogát az őt érintő valószínűségi értéket megállapító üzleti információkat nyújtó vállalatoknál, ha e vállalat nem hozna automatizált döntést. Másrészt, még ha feltételezzük is, hogy a harmadik személy által elfogadott aktus e rendelet 22. cikke (1) bekezdésének hatálya alá tartozik, mivel megfelel e rendelkezés alkalmazási feltételeinek, e harmadik személy akkor sem tudná megadni ezeket a konkrét információkat, mivel általában nem rendelkezik azokkal.
64 Az a tény, hogy az alapügyben szóban forgóhoz hasonló valószínűségi érték megállapítása az általános adatvédelmi rendelet 22. cikkének (1) bekezdése alá tartozik, a jelen ítélet 53–55. pontjában foglaltak szerint azzal a következménnyel jár, hogy az nem megengedett, kivéve, ha alkalmazható az említett rendelet 22. cikkének (2) bekezdésében foglalt kivételek valamelyike, és teljesülnek az említett rendelet 22. cikkének (3) és (4) bekezdésében foglalt különös követelmények.
65 Ami konkrétan az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontját illeti, amelyre a kérdést előterjesztő bíróság hivatkozik, már e rendelkezés szövegéből is kitűnik, hogy az automatizált egyedi döntés meghozatalát lehetővé tévő nemzeti jognak megfelelő intézkedésekről kell rendelkeznie az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmére.
66 Az általános adatvédelmi rendelet (71) preambulumbekezdésére tekintettel az ilyen intézkedéseknek magukban kell foglalniuk különösen az adatkezelő azon kötelezettségét, hogy megfelelő matematikai vagy statisztikai eljárásokat alkalmazzon, megfelelő technikai és szervezési intézkedéseket alkalmazzon a hibalehetőségek minimálisra csökkentése és a hibák kijavítása érdekében, valamint hogy a személyes adatok biztonságáról oly módon gondoskodjon, amely az érintett érdekeit és jogait potenciálisan veszélyeztető tényezőket figyelembe veszi, és amely megakadályozza többek között az érintettek hátrányos megkülönböztetését. Ezek az intézkedések egyébként magukban foglalják legalább az érintett azon jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
67 Meg kell továbbá jegyezni, hogy a Bíróság állandó ítélkezési gyakorlatának megfelelően minden személyesadat‑kezelésnek egyrészt összhangban kell lennie az általános adatvédelmi rendelet 5. cikkében előírt, az adatkezelésre vonatkozó elvekkel, másrészt – különös tekintettel az adatkezelés jogszerűségének az e cikk (1) bekezdésének a) pontjában előírt elvére – meg kell felelnie az adatkezelés jogszerűségére vonatkozóan ugyanezen rendelet 6. cikkében felsorolt feltételek egyikének (2022. október 20‑i Digi ítélet, C‑77/21, EU:C:2022:805, 49. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Az adatkezelőnek képesnek kell lennie arra, hogy az említett rendelet 5. cikkének (2) bekezdésében foglalt elszámoltathatósági elvnek megfelelően bizonyítsa ezen elvek tiszteletben tartását (lásd ebben az értelemben: 2022. október 20‑i Digi ítélet, C‑77/21, EU:C:2022:805, 24. pont).
68 Így, abban az esetben, ha valamely tagállam joga az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontja alapján lehetővé teszi a kizárólag automatizált adatkezelésen alapuló döntés elfogadását, ezen adatkezelésnek nemcsak az ez utóbbi rendelkezésben és az e rendelet 22. cikkének (4) bekezdésében előírt feltételeket kell tiszteletben tartania, hanem az említett rendelet 5. és 6. cikkében előírt követelményeket is. Következésképpen a tagállamok az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontja alapján nem fogadhatnak el olyan szabályozást, amelyek a profilalkotást az ezen 5. és 6. cikkben előírt, a Bíróság ítélkezési gyakorlata által értelmezett követelmények figyelmen kívül hagyásával engedélyezik.
69 Ami különösen a jogszerűségnek az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a), b) és f) pontjában foglalt feltételeit illeti, amelyek az alapügyben szóban forgóhoz hasonló esetben alkalmazhatók, a tagállamok nem jogosultak e feltételek alkalmazására vonatkozó további szabályokat megállapítani, mivel az ilyen lehetőség e rendelet 6. cikke (3) bekezdésének megfelelően az említett rendelet 6. cikke (1) bekezdésének c) és e) pontjában említett okokra korlátozódik.
70 Ezenkívül, ami közelebbről az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontját illeti, a tagállamok e rendelet 22. cikke (2) bekezdésének b) pontja alapján nem térhetnek el a Bíróság 2023. december 7‑i SCHUFA Holding (A fennálló tartozások elengedése) ítéletéből (C‑26/22 és C‑64/22, EU:C:2023:XXX) eredő ítélkezési gyakorlatából eredő követelményektől, többek között azáltal, hogy a szóban forgó jogok és érdekek mérlegelésének eredményét véglegesen előírják (lásd ebben az értelemben: 2016. október 19‑i Breyer ítélet, C‑582/14, EU:C:2016:779, 62. pont).
71 A jelen esetben a kérdést előterjesztő bíróság szerint csak a BDSG 31. §‑a minősülhet az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontja értelmében vett nemzeti jogalapnak. Komoly kétségei vannak azonban az említett 31. § uniós joggal való összeegyeztethetőségét illetően. Abban az esetben, ha ez a rendelkezés az uniós joggal összeegyeztethetetlennek minősül, a SCHUFA eljárása nem csupán jogalap nélküli lenne, hanem ipso iure sértené a általános adatvédelmi rendelet 22. cikkének (1) bekezdésében foglalt tilalmat is.
72 E tekintetben a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy a BDSG 31. §‑a olyan jogalapnak minősíthető‑e, amely az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontja alapján lehetővé teszi a kizárólag automatizált adatkezelésen alapuló döntés meghozatalát. Amennyiben e bíróság arra a következtetésre jut, hogy az említett 31. cikk ilyen jogalapnak minősül, azt is meg kell vizsgálnia, hogy a jelen esetben teljesülnek‑e az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontjában és (4) bekezdésében, valamint az e rendelet 5. és 6. cikkében foglalt feltételek.
73 A fenti megfontolások összességére tekintettel az első kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 22. cikkének (1) bekezdését úgy kell értelmezni, hogy valamely üzleti információkat nyújtó vállalat által egy magánszemély személyes adatain alapuló, az adott személy jövőbeli fizetési kötelezettségeinek teljesítésével kapcsolatos képességére vonatkozó valószínűségi érték automatizált megállapítása az említett rendelkezés értelmében vett „automatizált egyedi döntésnek” minősül, amennyiben döntően ettől a valószínűségi értéktől függ, hogy egy harmadik személy, akivel ezt a valószínűségi értéket közlik, létrehoz-e, teljesít-e vagy megszüntet-e valamely szerződéses kapcsolatot az adott személlyel.
A második kérdésről
74 Az első kérdésre adott válaszra tekintettel a második kérdést nem szükséges megválaszolni.
A költségekről
75 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott:
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 22. cikkének (1) bekezdését
a következőképpen kell értelmezni:
valamely üzleti információkat nyújtó vállalat által egy magánszemély személyes adatain alapuló, az adott személy jövőbeli fizetési kötelezettségeinek teljesítésével kapcsolatos képességére vonatkozó valószínűségi érték automatizált megállapítása az említett rendelkezés értelmében vett „automatizált egyedi döntésnek” minősül, amennyiben döntően ettől a valószínűségi értéktől függ, hogy egy harmadik személy, akivel ezt a valószínűségi értéket közlik, létrehoz-e, teljesít-e vagy megszüntet-e valamely szerződéses kapcsolatot az adott személlyel.
Aláírások