Ediție provizorie
HOTĂRÂREA CURȚII (Camera întâi)
7 decembrie 2023(*)
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 22 – Procesul decizional individual automatizat – Societăți care furnizează informații comerciale – Stabilirea automatizată a unei valori de probabilitate în ceea ce privește capacitatea unei persoane de a onora în viitor angajamente de plată („scoring”) – Utilizarea acestei valori de probabilitate de către terți”
În cauza C‑634/21,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), prin decizia din 1 octombrie 2021, primită de Curte la 15 octombrie 2021, în procedura
OQ
împotriva
Land Hessen,
cu participarea:
SCHUFA Holding AG,
CURTEA (Camera întâi),
compusă din domnul A. Arabadjiev, președinte de cameră, domnii T. von Danwitz, P. G. Xuereb și A. Kumin (raportor) și doamna I. Ziemele, judecători,
avocat general: domnul P. Pikamäe,
grefier: domnul C. Di Bella, administrator,
având în vedere procedura scrisă și în urma ședinței din 26 ianuarie 2023,
luând în considerare observațiile prezentate:
– pentru OQ, de U. Schmidt, Rechtsanwalt;
– pentru Land Hessen, de M. Kottmann și G. Ziegenhorn, Rechtsanwälte;
– pentru SCHUFA Holding AG, de G. Thüsing și U. Wuermeling, Rechtsanwalt;
– pentru guvernul german, de P.‑L. Krüger, în calitate de agent;
– pentru guvernul danez, de V. Pasternak Jørgensen, M. Søndahl Wolff și Y. Thyregod Kollberg, în calitate de agenți;
– pentru guvernul portughez, de P. Barros da Costa, I. Oliveira, J. Ramos și C. Vieira Guerra, în calitate de agenți;
– pentru guvernul finlandez, de M. Pere, în calitate de agent;
– pentru Comisia Europeană, de A. Bouchagiar, F. Erlbacher și H. Kranenborg, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 16 martie 2023,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea articolului 6 alineatul (1) și a articolului 22 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2, denumit în continuare „RGPD”).
2 Această cerere a fost formulată în cadrul unui litigiu între OQ, pe de o parte, și Land Hessen (landul Hessen, Germania), pe de altă parte, în legătură cu refuzul Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Comisarul Landului Hessen pentru Protecția Datelor și Libertatea de Informare, Germania) (denumit în continuare „HBDI”) de a obliga SCHUFA Holding AG (denumită în continuare „SCHUFA”) să admită o cerere formulată de OQ privind accesul și ștergerea datelor cu caracter personal care o privesc.
Cadrul juridic
Dreptul Uniunii
3 Potrivit considerentului (71) al RGPD:
„Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenție umană. O astfel de prelucrare include «crearea de profiluri», care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată în mod expres în dreptul Uniunii sau în dreptul intern care se aplică operatorului, inclusiv în scopul monitorizării și prevenirii fraudei și a evaziunii fiscale, desfășurate în conformitate cu reglementările, standardele și recomandările instituțiilor Uniunii [Europene] sau ale organismelor naționale de supraveghere, și în scopul asigurării securității și fiabilității unui serviciu oferit de operator sau în cazul în care este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator sau în cazul în care persoana vizată și‑a dat în mod explicit consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate și dreptul acesteia de a obține intervenție umană, de a‑și exprima punctul de vedere, de a primi o explicație privind decizia luată în urma unei astfel de evaluări, precum și dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se refere la un copil.
Pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată, având în vedere circumstanțele specifice și contextul în care sunt prelucrate datele cu caracter personal, operatorul ar trebui să utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura în special faptul că factorii care duc la inexactități ale datelor cu caracter personal sunt corectați și că riscul de erori este redus la minimum, precum și să securizeze datele cu caracter personal într‑un mod care să țină seama de pericolele potențiale la adresa intereselor și drepturilor persoanei vizate și să prevină, printre altele, efectele discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenență sindicală, caracteristici genetice, stare de sănătate sau orientare sexuală sau prelucrări care să ducă la măsuri care să aibă astfel de efecte. […]”
4 Articolul 4 din acest regulament, intitulat „Definiții”, prevede:
„În sensul prezentului regulament:
[…]
4. «creare de profiluri» înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
[…]”
5 Articolul 5 din regulamentul menționat, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede:
„(1) Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri; […] («limitări legate de scop»);
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);
(d) exacte și, în cazul în care este necesar, […] actualizate; […] («exactitate»);
(e) păstrate într‑o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; […] («limitări legate de stocare»);
(f) prelucrate într‑un mod care asigură securitatea adecvată a datelor cu caracter personal […] («integritate și confidențialitate»).
(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”
6 Articolul 6 din RGPD, intitulat „Legalitatea prelucrării”, prevede la alineatele (1) și (3):
„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
[…]
(3) Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:
(a) dreptul Uniunii; sau
(b) dreptul intern care se aplică operatorului.
Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. […]”
7 Articolul 9 din acest regulament, intitulat „Prelucrarea de categorii speciale de date cu caracter personal”, are următorul cuprins:
„(1) Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
(2) Alineatul (1) nu se aplică în următoarele situații:
(a) persoana vizată și‑a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate;
[…]
(g) prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate;
[…]”
8 Articolul 13 din regulamentul menționat, intitulat „Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, prevede la alineatul (2):
„În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă:
[…]
(f) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.”
9 Articolul 14 din RGPD, intitulat „Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, prevede la alineatul (2):
„Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei vizate următoarele informații necesare pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată:
[…]
(g) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.”
10 Articolul 15 din acest regulament, intitulat „Dreptul de acces al persoanei vizate”, prevede la alineatul (1):
„Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:
[…]
(h) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.”
11 Articolul 22 din regulamentul menționat, intitulat „Procesul decizional individual automatizat, inclusiv crearea de profiluri”, prevede:
„(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă.
(2) Alineatul (1) nu se aplică în cazul în care decizia:
(a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date;
(b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau
(c) are la bază consimțământul explicit al persoanei vizate.
(3) În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a‑și exprima punctul de vedere și de a contesta decizia.
(4) Deciziile menționate la alineatul (2) nu au la bază categoriile speciale de date cu caracter personal menționate la articolul 9 alineatul (1), cu excepția cazului în care se aplică articolul 9 alineatul (2) litera (a) sau (g) și în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”
12 Articolul 78 din RGPD, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere”, prevede la alineatul (1):
„Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.”
Dreptul german
13 Articolul 31 din Bundesdatenschutzgesetz (Legea federală privind protecția datelor) din 30 iunie 2017 (BGBl. I, p. 2097, denumită în continuare „BDSG”), intitulat „Protecția tranzacțiilor economice în caz de «scoring» și de informații privind bonitatea”, are următorul cuprins:
„(1) Utilizarea unei valori de probabilitate privind un anumit comportament viitor al unei persoane fizice în vederea luării unei decizii privind încheierea, executarea sau încetarea unui raport contractual cu această persoană («scoring») este permisă numai dacă
1. au fost respectate dispozițiile legislației privind protecția datelor,
2. datele utilizate pentru calcularea valorii de probabilitate sunt relevante pentru calculul probabilității unui anumit comportament, pe baza unei metode matematice și statistice recunoscute din punct de vedere științific,
3. pentru calcularea valorii de probabilitate nu au fost utilizate exclusiv datele privind adresa și
4. în cazul utilizării datelor privind adresa, persoana vizată a fost informată cu privire la utilizarea preconizată a acestor date înainte de a se calcula valoarea de probabilitate; informarea trebuie să fie documentată.
(2) Utilizarea unei valori de probabilitate stabilite de societățile care furnizează informații comerciale cu privire la bonitatea și la disponibilitatea de plată a unei persoane fizice nu este permisă în cazul includerii informațiilor privind creanțele decât în măsura în care sunt îndeplinite condițiile menționate la alineatul (1) și sunt luate în considerare numai creanțele referitoare la o prestație datorată care nu a fost furnizată în pofida scadenței,
1. care au fost constatate printr‑o hotărâre devenită definitivă sau declarată executorie cu titlu provizoriu ori pentru care există un titlu de creanță potrivit articolului 794 din Zivilprozessordnung [(Codul de procedură civilă)],
2. care au fost constatate potrivit articolului 178 din Insolvenzordnung [(Codul insolvenței)] și nu au fost contestate de debitor în cursul perioadei de verificare,
3. care au fost recunoscute în mod expres de debitor;
4. în cazul cărora
a) debitorul a fost pus în întârziere cel puțin de două ori, în scris, de la data exigibilității creanței;
b) prima punere în întârziere a avut loc cu cel puțin patru săptămâni în urmă;
c) debitorul a fost informat în prealabil, dar cel mai devreme cu ocazia primei puneri în întârziere, cu privire la posibilitatea luării în considerare de către o societate care furnizează informații comerciale și
d) debitorul nu a contestat creanța sau
5. raportul contractual pe care se întemeiază creanța poate fi reziliat fără preaviz ca urmare a efectuării cu întârziere a plăților și în cazul cărora debitorul a fost informat în prealabil despre posibilitatea luării în considerare de către o societate care furnizează informații comerciale.
Admisibilitatea prelucrării, inclusiv stabilirea valorilor de probabilitate, a altor date relevante privind bonitatea din perspectiva dreptului comun în materia protecției datelor nu este afectată.”
Litigiul principal și întrebările preliminare
14 SCHUFA este o societate privată de drept german care furnizează partenerilor săi contractuali informații privind bonitatea unor terți, în special a consumatorilor. În acest scop, ea stabilește un prognostic cu privire la probabilitatea unui comportament viitor al unei persoane („score”), cum ar fi rambursarea unui împrumut, pornind de la anumite caracteristici ale persoanei respective, pe baza unor proceduri matematice și statistice. Stabilirea scorurilor („scoring”) se bazează pe ipoteza potrivit căreia este posibil, prin includerea unei persoane într‑un grup de persoane cu caracteristici comparabile și care s‑au comportat într‑un anumit mod, să se anticipeze un comportament similar.
15 Din cererea de decizie preliminară reiese că lui OQ i s‑a refuzat acordarea unui împrumut de către un terț după ce a făcut obiectul unor informații negative stabilite de SCHUFA și transmise acestui terț. OQ a solicitat SCHUFA să îi comunice informații cu privire la datele cu caracter personal înregistrate și să șteargă acele date care erau pretins eronate.
16 Ca răspuns la această solicitare, SCHUFA a informat OQ cu privire la nivelul scorului său și a expus, în linii mari, modalitățile de calcul al scorurilor. Totuși, invocând secretul comercial, ea a refuzat să divulge diferitele informații luate în considerare în vederea acestui calcul, precum și ponderea lor. În sfârșit, SCHUFA a arătat că se limita să transmită informații partenerilor săi contractuali și că aceștia erau cei care luau deciziile contractuale propriu‑zise.
17 Printr‑o contestație introdusă la 18 octombrie 2018, OQ a solicitat HBDI, autoritatea de supraveghere competentă, să oblige SCHUFA să admită cererea sa de acces la informații și de ștergere.
18 Printr‑o decizie din 3 iunie 2020, HBDI a respins această cerere de emitere a unei somații, explicând că nu s‑a dovedit că SCHUFA nu respectă cerințele prevăzute la articolul 31 din BDSG care îi sunt impuse în ceea ce privește activitatea sa.
19 OQ a introdus o acțiune împotriva acestei decizii la Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), instanța de trimitere, în temeiul articolului 78 alineatul (1) din RGPD.
20 Potrivit acestei instanțe, trebuie să se determine, pentru soluționarea litigiului cu care este sesizată, dacă stabilirea unei valori de probabilitate precum cea în discuție în litigiul principal constituie o decizie individuală automatizată, în sensul articolului 22 alineatul (1) din RGPD. Astfel, în cazul unui răspuns afirmativ, legalitatea acestei activități ar fi supusă, în conformitate cu articolul 22 alineatul (2) litera (b) din acest regulament, condiției ca această decizie să fie autorizată de dreptul Uniunii sau de dreptul statului membru care se aplică operatorului.
21 În această privință, instanța de trimitere are îndoieli cu privire la teza potrivit căreia articolul 22 alineatul (1) din RGPD nu este aplicabil activității unor societăți cum ar fi SCHUFA. Ea își întemeiază îndoielile, din punct de vedere factual, pe importanța unei valori de probabilitate precum cea în discuție în litigiul principal pentru practica decizională a terților cărora le este transmisă această valoare de probabilitate și, din punct de vedere juridic, în principal pe obiectivele urmărite de acest articol 22 alineatul (1) și pe garanțiile de protecție juridică consacrate de RGPD.
22 Mai precis, instanța de trimitere subliniază că valoarea de probabilitate este cea care determină în mod normal dacă și în ce mod terțul va contracta cu persoana vizată. Or, articolul 22 din RGPD ar urmări tocmai să protejeze persoanele împotriva riscurilor legate de deciziile bazate pur și simplu pe automatizare.
23 În schimb, dacă articolul 22 alineatul (1) din RGPD ar trebui interpretat în sensul că nu poate fi recunoscută calitatea de „decizie individuală automatizată”, într‑o situație precum cea în discuție în litigiul principal, decât deciziei luate de terț cu privire la persoana în cauză, ar rezulta de aici o lacună în protecția juridică. Astfel, pe de o parte, o societate precum SCHUFA nu ar fi obligată să permită accesul la informațiile suplimentare la care persoana vizată are dreptul în temeiul articolului 15 alineatul (1) litera (h) din acest regulament, întrucât nu această societate ar fi cea care adoptă o „decizie automatizată”, în sensul acestei dispoziții și, pe cale de consecință, în sensul articolului 22 alineatul (1) din regulamentul menționat. Pe de altă parte, terțul căruia i se comunică valoarea de probabilitate nu ar putea furniza aceste informații suplimentare întrucât nu dispune de ele.
24 Astfel, potrivit instanței de trimitere, pentru a evita o asemenea lacună în protecția juridică, ar fi necesar ca stabilirea unei valori de probabilitate precum cea în discuție în litigiul principal să intre în domeniul de aplicare al articolului 22 alineatul (1) din RGPD.
25 În cazul în care ar trebui reținută o astfel de interpretare, legalitatea acestei activități ar fi atunci supusă existenței unui temei juridic la nivelul statului membru vizat, în conformitate cu articolul 22 alineatul (2) litera (b) din acest regulament. Or, în speță, deși este adevărat că articolul 31 din BDSG ar putea constitui un astfel de temei juridic în Germania, ar exista îndoieli serioase cu privire la compatibilitatea acestei dispoziții cu articolul 22 din RGPD, întrucât legiuitorul german nu ar reglementa decât „utilizarea” unei valori de probabilitate precum cea în discuție în litigiul principal, iar nu stabilirea ca atare a acestei valori.
26 În schimb, dacă stabilirea unei asemenea valori de probabilitate nu constituie o decizie individuală automatizată, în sensul articolului 22 din RGPD, clauza de deschidere care figurează la alineatul (2) litera (b) al acestui articol 22 nu s‑ar aplica nici reglementărilor naționale care privesc această activitate. Ținând seama de caracterul în principiu exhaustiv al RGPD și în lipsa unei alte competențe normative pentru astfel de reglementări naționale, s‑ar părea că legiuitorul german, supunând stabilirea valorilor de probabilitate unor condiții de legalitate de fond mai aprofundate, precizează materia reglementată depășind cerințele prevăzute la articolele 6 și 22 din RGPD, fără a dispune de o competență de reglementare în acest scop. Dacă acest punct de vedere ar fi corect, aceasta ar modifica marja de examinare a autorității naționale de supraveghere, care ar trebui atunci să aprecieze compatibilitatea activității societăților care furnizează informații comerciale în lumina articolului 6 din acest regulament.
27 În aceste condiții, Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden) a decis să suspende judecata și să adreseze Curții următoarele întrebări preliminare:
„1) Articolul 22 alineatul (1) din [RGPD] trebuie interpretat în sensul că stabilirea automatizată a unei valori de probabilitate în legătură cu capacitatea viitoare a unei persoane vizate de a rambursa un credit constituie o decizie bazată exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc această persoană sau o afectează în mod similar într‑o măsură semnificativă, atunci când această valoare, stabilită pe baza datelor cu caracter personal ale persoanei menționate, este transmisă de operator unui terț operator și când acest terț utilizează în mod determinant această valoare în vederea luării unei decizii privind stabilirea, executarea sau încetarea unui raport contractual cu persoana vizată?
2) În cazul unui răspuns negativ la prima întrebare,
articolul 6 alineatul (1) și articolul 22 din [RGPD] trebuie interpretate în sensul că se opun unei reglementări naționale potrivit căreia utilizarea unei valori de probabilitate – în speță, cu privire la bonitatea și la disponibilitatea de plată a unei persoane fizice în cazul includerii informațiilor referitoare la creanțe – privind un anumit comportament viitor al unei persoane fizice în vederea luării unei decizii privind stabilirea, executarea sau încetarea unui raport contractual cu această persoană («scoring») este permisă numai dacă sunt îndeplinite alte condiții suplimentare determinate care sunt detaliate în motivarea prezentei trimiteri preliminare?”
Cu privire la admisibilitatea cererii de decizie preliminară
28 SCHUFA contestă admisibilitatea cererii de decizie preliminară, susținând, în primul rând, că instanța de trimitere nu are misiunea de a controla conținutul unei decizii privind o plângere, adoptată de o autoritate de supraveghere precum HBDI, din moment ce calea de atac judiciară împotriva unei astfel de decizii, prevăzută la articolul 78 alineatul (1) din RGPD, servește doar la verificarea respectării de către această autoritate a obligațiilor care îi revin în temeiul acestui regulament, în special a celei de soluționare a plângerilor, precizându‑se că autoritatea menționată dispune de o putere discreționară de a decide dacă și cum trebuie să acționeze.
29 În al doilea rând, SCHUFA susține că instanța de trimitere nu prezintă motivele exacte pentru care întrebările adresate ar fi decisive pentru soluționarea litigiului principal. Acesta din urmă ar avea ca obiect o cerere de informații cu privire la un scor concret și de ștergere a acestuia. Or, în speță, SCHUFA și‑ar fi respectat suficient obligația de informare și ar fi șters deja scorul care făcea obiectul procedurii.
30 În această privință, trebuie amintit că, potrivit unei jurisprudențe constante a Curții, revine numai instanței naționale sesizate cu soluționarea litigiului și care va trebui să își asume răspunderea pentru hotărârea judecătorească ce urmează a fi pronunțată competența să aprecieze, în raport cu particularitățile cauzei, atât necesitatea unei hotărâri preliminare pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții. În consecință, în cazul în care întrebările adresate au ca obiect interpretarea unei norme de drept al Uniunii, Curtea este, în principiu, obligată să se pronunțe (Hotărârea din 12 ianuarie 2023, DOBELES HES, C‑702/20 și C‑17/21, EU:C:2023:1, punctul 46, precum și jurisprudența citată).
31 Rezultă că întrebările privind dreptul Uniunii beneficiază de o prezumție de pertinență. Refuzul Curții de a se pronunța asupra unei întrebări preliminare adresate de o instanță națională este posibil numai dacă este evident că interpretarea solicitată a unei norme a Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate (Hotărârea din 12 ianuarie 2023, DOBELES HES, C‑702/20 și C‑17/21, EU:C:2023:1, punctul 47, precum și jurisprudența citată).
32 În ceea ce privește, în primul rând, motivul de inadmisibilitate întemeiat pe un control jurisdicțional pretins limitat căruia i‑ar fi supuse deciziile privind plângeri adoptate de o autoritate de supraveghere, trebuie amintit că, în conformitate cu articolul 78 alineatul (1) din RGPD, fără a aduce atingere oricărei alte căi de atac administrative sau nejudiciare, orice persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.
33 În speță, decizia adoptată de HBDI în calitate de autoritate de supraveghere constituie o decizie obligatorie din punct de vedere juridic, în sensul acestui articol 78 alineatul (1). Astfel, după ce a examinat temeinicia plângerii cu care fusese sesizată, autoritatea menționată s‑a pronunțat cu privire la aceasta și a constatat că prelucrarea datelor cu caracter personal contestată de reclamanta din litigiul principal era legală.
34 În ceea ce privește întinderea controlului jurisdicțional exercitat asupra unei astfel de decizii în cadrul unei căi de atac formulate în temeiul articolului 78 alineatul (1) menționat, este suficient să se arate că o decizie adoptată de o autoritate de supraveghere cu privire la o plângere este supusă unui control jurisdicțional complet [Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberarea de restul de datorie), C‑26/22 și C‑64/22, EU:C:2023:xxx, punctul 1 din dispozitiv].
35 Prin urmare, primul motiv de inadmisibilitate invocat de SCHUFA trebuie respins.
36 În al doilea rând, reiese cu claritate din cererea de decizie preliminară că instanța de trimitere ridică problema criteriului de supraveghere care trebuie reținut cu ocazia aprecierii, în lumina RGPD, a prelucrării datelor cu caracter personal în discuție în litigiul principal, acest criteriu depinzând de aplicabilitatea sau de inaplicabilitatea articolului 22 alineatul (1) din acest regulament.
37 Astfel, nu este evident că interpretarea RGPD solicitată de instanța de trimitere nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, nici că problema este de natură ipotetică. În plus, Curtea dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care îi sunt adresate.
38 Prin urmare, al doilea motiv de inadmisibilitate invocat de SCHUFA trebuie de asemenea respins.
39 În aceste condiții, cererea de decizie preliminară este admisibilă.
Cu privire la întrebările preliminare
Cu privire la prima întrebare
40 Prin intermediul primei întrebări, instanța de trimitere ridică în esență problema dacă articolul 22 alineatul (1) din RGPD trebuie interpretat în sensul că constituie o „decizie individuală automatizată”, în sensul acestei dispoziții, stabilirea automatizată de către o societate care furnizează informații comerciale a unei valori de probabilitate bazate pe date cu caracter personal referitoare la o persoană și care privește capacitatea acesteia de a onora în viitor angajamente de plată, atunci când depinde în mod determinant de această valoare de probabilitate ca un terț căruia i se comunică valoarea de probabilitate menționată să stabilească, să execute sau să înceteze un raport contractual cu această persoană.
41 Pentru a răspunde la această întrebare, trebuie amintit, cu titlu introductiv, că interpretarea unei dispoziții de drept al Uniunii impune să se țină seama nu numai de termenii săi, ci și de contextul în care se înscrie, precum și de obiectivele și de finalitatea urmărite de actul din care aceasta face parte (Hotărârea din 22 iunie 2023, Pankki S, C‑579/21, EU:C:2023:501, punctul 38 și jurisprudența citată).
42 Referitor la termenii articolului 22 alineatul (1) din RGPD, această dispoziție prevede că persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă.
43 Aplicabilitatea acestei dispoziții este, așadar, supusă îndeplinirii a trei condiții cumulative, și anume, în primul rând, că trebuie să existe o „decizie”, în al doilea rând, că această decizie trebuie să fie „bazată exclusiv pe prelucrarea automată, inclusiv crearea de profiluri”, și, în al treilea rând, că ea trebuie să producă „efecte juridice care privesc persoana vizată” sau să o afecteze „în mod similar într‑o măsură semnificativă”.
44 În ceea ce privește, în primul rând, condiția referitoare la existența unei decizii, trebuie arătat că noțiunea de „decizie” în sensul articolului 22 alineatul (1) din RGPD nu este definită de acest regulament. Din însuși modul de redactare a acestei dispoziții reiese totuși că această noțiune face trimitere nu numai la acte care produc efecte juridice privind persoana în cauză, ci și la acte care o afectează în mod similar într‑o măsură semnificativă.
45 Domeniul de aplicare larg al noțiunii de „decizie” este confirmat de considerentul (71) al RGPD, potrivit căruia o decizie care implică evaluarea anumitor aspecte personale referitoare la o persoană, care ar trebui să aibă dreptul de a nu face obiectul deciziei menționate, „poate include o măsură” care fie produce „efecte juridice care privesc persoana vizată”, fie „o afectează în mod similar într‑o măsură semnificativă”. Potrivit acestui considerent, sunt acoperite de termenul „decizie”, cu titlu de exemplu, respingerea automată a unei cereri de credit online sau practici de recrutare online fără nicio intervenție umană.
46 Întrucât noțiunea de „decizie” în sensul articolului 22 alineatul (1) din RGPD este astfel susceptibilă, după cum a arătat domnul avocat general la punctul 38 din concluzii, să includă mai multe acte care pot afecta persoana în cauză în multiple moduri, această noțiune este suficient de largă pentru a include rezultatul calculului bonității unei persoane sub forma unei valori de probabilitate privind capacitatea acestei persoane de a onora angajamente de plată în viitor.
47 În ceea ce privește, în al doilea rând, condiția potrivit căreia decizia, în sensul acestui articol 22 alineatul (1), trebuie fie „bazată exclusiv pe prelucrarea automată, inclusiv crearea de profiluri”, astfel cum a arătat domnul avocat general la punctul 33 din concluzii, este cert că o activitate precum cea a SCHUFA corespunde definiției „creării de profiluri” care figurează la articolul 4 punctul 4 din RGPD și, prin urmare, că această condiție este îndeplinită în speță, modul de redactare a primei întrebări preliminare referindu‑se de altfel în mod explicit la stabilirea automatizată a unei valori de probabilitate bazate pe date cu caracter personal referitoare la o persoană și care privește capacitatea acesteia de a onora un împrumut în viitor.
48 În ceea ce privește, în al treilea rând, condiția potrivit căreia decizia trebuie să producă „efecte juridice” care privesc persoana vizată sau să o afecteze „în mod similar într‑o măsură semnificativă”, reiese din însuși conținutul primei întrebări preliminare că acțiunea terțului căruia îi este transmisă valoarea de probabilitate este ghidată „în mod determinant” de această valoare. Astfel, potrivit constatărilor factuale ale instanței de trimitere, în cazul unei cereri de împrumut adresate de un consumator unei bănci, o valoare de probabilitate insuficientă determină, în aproape toate cazurile, refuzul acesteia din urmă de a acorda împrumutul solicitat.
49 În aceste condiții, trebuie să se considere că a treia condiție căreia îi este subordonată aplicarea articolului 22 alineatul (1) din RGPD este de asemenea îndeplinită, o valoare de probabilitate precum cea în discuție în litigiul principal afectând, cel puțin, într‑o măsură semnificativă persoana vizată.
50 Rezultă că, în împrejurări precum cele în discuție în litigiul principal, în care valoarea de probabilitate stabilită de o societate care furnizează informații comerciale și comunicată unei bănci joacă un rol determinant în acordarea unui credit, instituirea acestei valori trebuie calificată în sine drept decizie ce produce „efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă”, în sensul articolului 22 alineatul (1) din RGPD.
51 Această interpretare este confirmată de contextul în care se înscrie articolul 22 alineatul (1) din RGPD, precum și de obiectivele și de finalitatea pe care le urmărește acest regulament.
52 În această privință, trebuie arătat că, după cum a remarcat domnul avocat general la punctul 31 din concluzii, articolul 22 alineatul (1) din RGPD conferă persoanei vizate „dreptul” de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri. Această dispoziție prevede o interdicție de principiu a cărei nerespectare nu necesită invocarea în mod individual de către o astfel de persoană.
53 Astfel, după cum rezultă din coroborarea articolului 22 alineatul (2) din RGPD cu considerentul (71) al acestui regulament, adoptarea unei decizii bazate exclusiv pe prelucrarea automată este permisă numai în cazurile menționate la acest articol 22 alineatul (2), și anume atunci când această decizie este necesară pentru încheierea sau pentru executarea unui contract între persoana vizată și un operator [litera (a)], atunci când este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului [litera (b)] sau atunci când are la bază consimțământul explicit al persoanei vizate [litera (c)].
54 În plus, articolul 22 din RGPD prevede la alineatul (2) litera (b) și la alineatul (3) că trebuie să fie prevăzute măsuri corespunzătoare pentru protejarea drepturilor, a libertăților, precum și a intereselor legitime ale persoanei vizate. În cazurile prevăzute la articolul 22 alineatul (2) literele (a) și (c) din acest regulament, operatorul pune în aplicare cel puțin dreptul persoanei vizate de a obține intervenție umană, de a‑și exprima punctul de vedere și de a contesta decizia.
55 Pe de altă parte, conform articolului 22 alineatul (4) din RGPD, numai în anumite cazuri specifice deciziile individuale automatizate în sensul acestui articol 22 se pot baza pe categoriile speciale de date cu caracter personal menționate la articolul 9 alineatul (1) din acest regulament.
56 În plus, în cazul luării unei decizii automatizate precum cea prevăzută la articolul 22 alineatul (1) din RGPD, pe de o parte, operatorul este supus unor obligații de informare suplimentare în temeiul articolului 13 alineatul (2) litera (f), precum și al articolului 14 alineatul (2) litera (g) din acest regulament. Pe de altă parte, persoana vizată beneficiază, în temeiul articolului 15 alineatul (1) litera (h) din regulamentul menționat, de dreptul de a obține din partea operatorului, printre altele, „informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată”.
57 Aceste cerințe mai ridicate în ceea ce privește legalitatea procesului decizional automatizat, precum și obligațiile de informare suplimentare ale operatorului și drepturile suplimentare de acces ale persoanei vizate care sunt asociate acestora se explică prin scopul urmărit de articolul 22 din RGPD, care constă în protejarea persoanelor împotriva riscurilor specifice pentru drepturile și libertățile lor generate de prelucrarea automată a datelor cu caracter personal, inclusiv crearea de profiluri.
58 Astfel, această prelucrare implică, după cum reiese din considerentul (71) al RGPD, evaluarea aspectelor personale referitoare la persoana fizică vizată de această prelucrare, în special pentru a analiza sau a anticipa aspecte privind randamentul său la locul de muncă, situația sa economică, starea sa de sănătate, preferințele sale sau interesele personale, fiabilitatea sa sau comportamentul său, locația sa sau deplasările sale.
59 Aceste riscuri specifice pot afecta, potrivit acestui considerent, interesele legitime și drepturile persoanei vizate, ținând seama în special de potențialele efecte discriminatorii împotriva persoanelor fizice pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenență sindicală, caracteristici genetice, stare de sănătate sau orientare sexuală. Prin urmare, tot potrivit considerentului menționat, este necesar să se prevadă garanții corespunzătoare și să se asigure o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată, în special prin utilizarea unor proceduri matematice sau statistice adecvate pentru crearea de profiluri și prin implementarea unor măsuri tehnice și organizatorice adecvate pentru a se asigura că riscul de erori este redus la minimum.
60 Or, interpretarea expusă la punctele 42-50 din prezenta hotărâre și în special domeniul larg de aplicare al noțiunii de „decizie”, în sensul articolului 22 alineatul (1) din RGPD, consolidează protecția efectivă vizată de această dispoziție.
61 În schimb, în împrejurări precum cele în discuție în litigiul principal, în care sunt implicați trei actori, ar exista un risc de eludare a articolului 22 din RGPD și, prin urmare, o lacună în protecția juridică în cazul în care ar fi reținută o interpretare restrictivă a acestei dispoziții, potrivit căreia stabilirea valorii de probabilitate trebuie să fie considerată doar un act pregătitor și numai actul adoptat de terț poate, dacă este cazul, să fie calificat drept „decizie”, în sensul articolului 22 alineatul (1) din acest regulament.
62 Astfel, în această ipoteză, stabilirea unei valori de probabilitate precum cea în discuție în litigiul principal nu ar intra sub incidența cerințelor specifice prevăzute la articolul 22 alineatele (2)-(4) din RGPD, chiar dacă această procedură se bazează pe prelucrarea automată și produce efecte care afectează semnificativ persoana vizată în măsura în care acțiunea terțului, căruia îi este transmisă această valoare de probabilitate, este ghidată în mod determinant de aceasta.
63 În plus, astfel cum a arătat domnul avocat general la punctul 48 din concluzii, pe de o parte, persoana vizată nu ar putea invoca, în raport cu societatea care furnizează informații comerciale ce stabilește valoarea de probabilitate care o privește, dreptul său de acces la informațiile specifice prevăzute la articolul 15 alineatul (1) litera (h) din RGPD, în lipsa unei decizii automatizate din partea acestei societăți. Pe de altă parte, chiar presupunând că actul adoptat de terț intră, la rândul său, sub incidența articolului 22 alineatul (1) din acest regulament din moment ce îndeplinește condițiile de aplicare a acestei dispoziții, terțul menționat nu ar fi în măsură să furnizeze aceste informații specifice, întrucât în general nu dispune de ele.
64 Faptul că stabilirea unei valori de probabilitate precum cea în discuție în litigiul principal intră sub incidența articolului 22 alineatul (1) din RGPD are consecința, astfel cum s‑a arătat la punctele 53-55 din prezenta hotărâre, că ea este interzisă, cu excepția cazului în care este aplicabilă una dintre excepțiile care figurează la articolul 22 alineatul (2) din acest regulament și în care sunt respectate cerințele specifice prevăzute la articolul 22 alineatele (3) și (4) din regulamentul menționat.
65 În ceea ce privește, mai precis, articolul 22 alineatul (2) litera (b) din RGPD, la care face referire instanța de trimitere, din însuși modul de redactare a acestei dispoziții reiese că dreptul național care permite adoptarea unei decizii individuale automatizate trebuie să prevadă măsuri corespunzătoare pentru protejarea drepturilor și a libertăților, precum și a intereselor legitime ale persoanei vizate.
66 În lumina considerentului (71) al RGPD, astfel de măsuri trebuie să includă în special obligația operatorului de a utiliza proceduri matematice sau statistice adecvate, de a aplica măsuri tehnice și organizatorice adecvate pentru a asigura reducerea la minimum a riscului de eroare și corectarea erorilor, precum și de a securiza datele cu caracter personal într‑un mod care să ia în considerare riscurile la adresa intereselor și drepturilor persoanei vizate și de a preveni printre altele efectele discriminatorii asupra acesteia. Aceste măsuri includ, pe de altă parte, cel puțin dreptul persoanei vizate de a obține intervenție umană din partea operatorului, de a‑și exprima punctul de vedere și de a contesta decizia luată în privința sa.
67 Mai trebuie arătat că, potrivit jurisprudenței constante a Curții, orice prelucrare a datelor cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile legate de prelucrarea datelor enunțate la articolul 5 din RGPD și, pe de altă parte, având în vedere în special principiul legalității prelucrării, prevăzut la alineatul (1) litera (a) al acestui articol, să îndeplinească una dintre condițiile de legalitate a prelucrării enumerate la articolul 6 din acest regulament (Hotărârea din 20 octombrie 2022, Digi, C‑77/21, EU:C:2022:805, punctul 49 și jurisprudența citată). Operatorul trebuie să fie în măsură să demonstreze respectarea acestor principii, în conformitate cu principiul responsabilității prevăzut la articolul 5 alineatul (2) din regulamentul menționat (a se vedea în acest sens Hotărârea din 20 octombrie 2022, Digi, C‑77/21, EU:C:2022:805, punctul 24).
68 Astfel, în ipoteza în care dreptul unui stat membru autorizează, în conformitate cu articolul 22 alineatul (2) litera (b) din RGPD, adoptarea unei decizii bazate exclusiv pe prelucrarea automată, această prelucrare trebuie să respecte nu numai condițiile prevăzute la această din urmă dispoziție și la articolul 22 alineatul (4) din acest regulament, ci și cerințele prevăzute la articolele 5 și 6 din regulamentul menționat. Prin urmare, statele membre nu pot adopta, în temeiul articolului 22 alineatul (2) litera (b) din RGPD, reglementări care permit crearea de profiluri cu încălcarea cerințelor prevăzute la aceste articole 5 și 6, astfel cum au fost interpretate de jurisprudența Curții.
69 În ceea ce privește în special condițiile de legalitate prevăzute la articolul 6 alineatul (1) literele (a), (b) și (f) din RGPD, care sunt susceptibile să se aplice într‑un caz precum cel în discuție în litigiul principal, statele membre nu sunt abilitate să prevadă norme suplimentare pentru punerea în aplicare a acestor condiții, o asemenea posibilitate fiind limitată, conform articolului 6 alineatul (3) din acest regulament, la motivele prevăzute la articolul 6 alineatul (1) literele (c) și (e) din regulamentul menționat.
70 În plus, în ceea ce privește mai precis articolul 6 alineatul (1) litera (f) din RGPD, statele membre nu pot, în temeiul articolului 22 alineatul (2) litera (b) din acest regulament, să se îndepărteze de cerințele care rezultă din jurisprudența Curții rezultată din Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberarea de restul de datorie) (C‑26/22 și C‑64/22, EU:C:2023:XXX), în special prin prevederea definitivă a rezultatului evaluării comparative a drepturilor și a intereselor în cauză (a se vedea în acest sens Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 62).
71 În speță, instanța de trimitere arată că numai articolul 31 din BDSG ar putea constitui un temei juridic național, în sensul articolului 22 alineatul (2) litera (b) din RGPD. Totuși, ea are îndoieli serioase cu privire la compatibilitatea acestui articol 31 cu dreptul Uniunii. Presupunând că această dispoziție este considerată incompatibilă cu dreptul Uniunii, SCHUFA ar acționa nu numai fără temei legal, ci ar încălca ipso iure interdicția prevăzută la articolul 22 alineatul (1) din RGPD.
72 În această privință, revine instanței de trimitere sarcina de a verifica dacă articolul 31 din BDSG poate fi calificat drept temei juridic care permite, în temeiul articolului 22 alineatul (2) litera (b) din RGPD, adoptarea unei decizii bazate exclusiv pe prelucrarea automată. În cazul în care această instanță ar trebui să ajungă la concluzia că articolul 31 menționat constituie un astfel de temei legal, i‑ar reveni și sarcina de a verifica dacă condițiile prevăzute la articolul 22 alineatul (2) litera (b) și alineatul (4) din RGPD și cele care figurează la articolele 5 și 6 din acest regulament sunt îndeplinite în speță.
73 Având în vedere ansamblul considerațiilor care precedă, este necesar să se răspundă la prima întrebare că articolul 22 alineatul (1) din RGPD trebuie interpretat în sensul că stabilirea automatizată de către o societate care furnizează informații comerciale a unei valori de probabilitate bazate pe date cu caracter personal referitoare la o persoană și care privește capacitatea acesteia de a onora în viitor angajamente de plată constituie o „decizie individuală automatizată”, în sensul acestei dispoziții, atunci când depinde în mod determinant de această valoare de probabilitate ca un terț căruia îi este comunicată valoarea de probabilitate menționată să stabilească, să execute sau să înceteze un raport contractual cu această persoană.
Cu privire la a doua întrebare
74 Având în vedere răspunsul dat la prima întrebare, nu este necesar să se răspundă la a doua întrebare.
Cu privire la cheltuielile de judecată
75 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera întâi) declară:
Articolul 22 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că
stabilirea automatizată de către o societate care furnizează informații comerciale a unei valori de probabilitate bazate pe date cu caracter personal referitoare la o persoană și care privește capacitatea acesteia de a onora în viitor angajamente de plată constituie o „decizie individuală automatizată”, în sensul acestei dispoziții, atunci când depinde în mod determinant de această valoare de probabilitate ca un terț căruia îi este comunicată valoarea de probabilitate menționată să stabilească, să execute sau să înceteze un raport contractual cu această persoană.
Semnături