–

OQ, esindaja Rechtsanwalt U. Schmidt,

–

Land Hessen, esindajad: Rechtsanwälte M. Kottmann ja G. Ziegenhorn,

–

SCHUFA Holding AG, esindajad: G. Thüsing ja Rechtsanwalt U. Wuermeling,

–

Saksamaa valitsus, esindaja: P.‑L. Krüger,

–

Taani valitsus, esindajad: V. Pasternak Jørgensen, M. Søndahl Wolff ja Y. Thyregod Kollberg,

–

Portugali valitsus, esindajad: P. Barros da Costa, I. Oliveira, J. Ramos ja C. Vieira Guerra,

–

Soome valitsus, esindaja: M. Pere,

–

Euroopa Komisjon, esindajad: A. Bouchagiar, F. Erlbacher ja H. Kranenborg,

1

Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1, parandus ELT 2018, L 127, lk 3; edaspidi „isikuandmete kaitse üldmäärus“) artikli 6 lõiget 1 ja artiklit 22.

2

Taotlus on esitatud OQ ja Land Hesseni (Hesseni liidumaa, Saksamaa) vahelises kohtuvaidluses seoses Hessischer Beauftragter für Datenschutz und Informationsfreiheiti (Hesseni liidumaa andmekaitse ja teabevabaduse volinik, Saksamaa; edaspidi „andmekaitse volinik“) keeldumisega kohustada SCHUFA Holding AG-d (edaspidi „SCHUFA“) rahuldamast OQ taotlust tutvuda teda puudutavate isikuandmetega ja need kustutada.

3

Isikuandmete kaitse üldmääruse põhjenduses 71 on märgitud:

„Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes andmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat ja meedet sisaldada võivat otsust, millel on teda puudutavad õiguslikud tagajärjed või mis avaldab talle samamoodi märkimisväärset mõju, nagu veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhine tööle värbamine ilma inimsekkumiseta. Selline töötlemine hõlmab igasuguses isikuandmete automatiseeritud töötlemises seisnevat profiilianalüüsi, mille käigus hinnatakse füüsilise isikuga seotud isiklikke aspekte, mille eesmärk on eelkõige selliste aspektide analüüsimine ja prognoosimine, mis on seotud töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega, kui see toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle samamoodi märkimisväärset mõju. Sellisel töötlemisel, sealhulgas profiilianalüüsil põhinev otsuste tegemine peaks aga olema lubatud siis, kui see on sõnaselgelt lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, sealhulgas pettuste ja maksudest kõrvalehoidumise järelevalve ja ennetamise eesmärkidel, mida teostatakse vastavalt [Euroopa L]iidu institutsioonide või riiklike järelevalveasutuste normidele, standarditele ja soovitustele, ning vastutava töötleja osutatava teenuse turvalisuse ja usaldusväärsuse tagamiseks, või kui see on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks või siis, kui andmesubjekt on andnud selleks oma selgesõnalise nõusoleku. Igal juhul tuleks sellise töötlemise korral kehtestada sobivaid kaitsemeetmeid, mis peaksid hõlmama andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ning õigust seda otsust vaidlustada. Selline meede ei tohiks puudutada last.

Selleks et tagada andmesubjekti suhtes õiglane ja läbipaistev töötlemine, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti, peaks vastutav töötleja kasutama profiilianalüüsiks asjakohaseid matemaatilisi või statistilisi menetlusi, rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada eelkõige ebaõigeid isikuandmeid põhjustavate tegurite korrigeerimine ja vigade tegemise ohu minimeerimine, ning tagama isikuandmete turvalisuse selliselt, et võetakse arvesse potentsiaalset ohtu andmesubjekti huvidele ja õigustele ning ennetama muu hulgas diskrimineerivat mõju füüsilistele isikutele rassi või etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, geneetilise või tervisliku seisundi või seksuaalse sättumuse alusel või andmete töötlemist, mille tulemuseks on sellise mõjuga meetmed.“

4

Määruse artiklis 4 „Mõisted“ on ette nähtud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

[…]“.

5

Määruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on ette nähtud:

„1.   Isikuandmete töötlemisel tagatakse, et

2.   Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

6

Määruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõigetes 1 ja 3 on sätestatud:

„1.   Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

[…]

3.   Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:

Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. […]“

7

Määruse artiklis 9 „Isikuandmete eriliikide töötlemine“ on sätestatud:

„1.   Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

2.   Lõiget 1 ei kohaldata, kui kehtib üks järgmistest asjaoludest:

[…]

[…]“.

8

Määruse artikli 13 „Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt“ lõikes 2 on ette nähtud:

„Peale lõikes 1 osutatud teabe esitab vastutav töötleja isikuandmete saamise ajal andmesubjektile järgmise täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks:

[…]

9

Määruse artikli 14 „Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt“ lõikes 2 on ette nähtud:

„Peale lõikes 1 osutatud teabe esitab vastutav töötleja andmesubjektile järgmise teabe, mis on vajalik andmesubjekti suhtes õiglase ja läbipaistva töötlemise tagamiseks:

[…]

10

Määruse artikli 15 „Andmesubjekti õigus tutvuda andmetega“ lõikes 1 on sätestatud:

„Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

[…]

11

Määruse artiklis 22 „Automatiseeritud töötlusel põhinevate üksikotsuste tegemine, sealhulgas profiilianalüüs“ on ette nähtud:

„1.   Andmesubjektil on õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju.

2.   Lõiget 1 ei kohaldata, kui otsus

3.   Lõike [2] punktides a ja c osutatud juhtudel rakendab vastutav töötleja asjakohaseid meetmeid, et kaitsta andmesubjekti õigusi ja vabadusi ning õigustatud huve, vähemalt õigust otsesele isiklikule kontaktile vastutava töötlejaga, et väljendada oma seisukohta ja vaidlustada otsus.

4.   Lõikes 2 osutatud otsused ei tohi põhineda artikli 9 lõikes 1 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui kohaldatakse artikli 9 lõike 2 punkti a või g ning kehtestatud on asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.“

12

Määruse artikli 78 „Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu“ lõikes 1 on sätestatud:

„Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.“

13

30. juuni 2017. aasta föderaalse andmekaitseseaduse (Bundesdatenschutzgesetz, BGBl. I, lk 2097; edaspidi „BDSG“) §-s 31 „Majandustegevuse kaitse scoring’u [skooride arvutamine] puhul ja maksevõime kohta päringute tegemisel“ on sätestatud:

„(1)   Füüsilise isiku edaspidise tegevuse tõenäosuse kasutamine selleks, et otsustada kõnealuse isikuga lepingulise suhte alustamise, jätkamise või lõpetamise üle (scoring), on lubatud vaid juhul, kui

(2)   Füüsilise isiku maksevõime ja maksevalmiduse tõenäosust, mille on arvutanud majandusteaberegistrid, võib nõudeid puudutava teabe arvesse võtmise korral kasutada vaid siis, kui täidetud on lõikes 1 nimetatud tingimused ja arvesse võetakse vaid selliseid võlgnetava sooritusega seotud nõudeid, mida – hoolimata sellest, et need on muutunud sissenõutavaks – ei ole täidetud ja

5)   mille aluseks oleva lepingulise suhte võib makseviivituste tõttu etteteatamistähtaega järgimata üles öelda ja võlgnikule on enne teatatud, et majandusteaberegister võib seda arvesse võtta.

See ei piira isikuandmete töötlemise – sealhulgas tõenäosusväärtuse ja muude maksevõimega seotud asjakohaste andmete kindlaksmääramise – seaduslikkust, arvestades üldist andmekaitseõigust.“

14

SCHUFA on Saksa õiguse alusel asutatud eraõiguslik äriühing, kes annab oma lepingupartneritele teavet kolmandate isikute, eelkõige tarbijate maksevõime kohta. Selleks koostab ta prognoosi isiku tulevikukäitumise – näiteks laenu tagasimaksmine – tõenäosuse kohta (score), selle isiku teatavate tunnuste põhjal matemaatilis-statistilise menetluse abil. Skoori kindlaksmääramine (scoring) põhineb eeldusel, et isiku liigitamisel sarnaste tunnustega ja teatava käitumisega isikute rühma, on võimalik ennustada sarnast käitumist.

15

Eelotsusetaotlusest nähtub, et kolmas isik keeldus OQ-le laenu andmast pärast seda, kui viimane oli saanud SCHUFA koostatud ja sellele kolmandale isikule edastatud negatiivse teabe. OQ palus SCHUFA-l edastada talle teda puudutavad registreeritud isikuandmed ja kustutada andmed, mis olid väidetavalt ebaõiged.

16

SCHUFA teatas vastuseks OQ taotlusele tema skoorimise tulemuse ja esitas üldjoontes skoori arvutamise meetodi. Sellele vaatamata keeldus ta ärisaladusele viidates avaldamast arvutuses arvesse võetud teavet ja sellele omistatud kaalu. Lõpuks märkis SCHUFA, et tema piirdub teabe edastamisega oma lepingupartneritele ning lepinguga seotud otsuseid teevad nemad.

17

OQ palus 18. oktoobril 2018 esitatud kaebuses andmekaitse volinikul, kes on pädev järelevalveasutus, kohustada SCHUFA-d rahuldama tema taotlus võimaldada andmetega tutvuda ja andmed kustutada.

18

Andmekaitse volinik jättis 3. juuni 2020. aasta otsusega ettekirjutuse tegemise taotluse rahuldamata, selgitades, et ei ole tuvastatud, et SCHUFA ei täida BDSG-i §-s 31 sätestatud nõudeid, mida ta oma tegevusega seoses peab täitma.

19

OQ esitas selle otsuse peale eelotsusetaotluse esitanud kohtule Verwaltungsgericht Wiesbadenile (Wiesbadeni halduskohus, Saksamaa) vastavalt isikuandmete kaitse üldmääruse artikli 78 lõikele 1 kaebuse.

20

Eelotsusetaotluse esitanud kohtu sõnul on tema menetluses oleva vaidluse lahendamiseks oluline kindlaks teha, kas sellise tõenäosusväärtuse kindlaksmääramine, nagu on kõne all põhikohtuasjas, on automatiseeritud üksikotsus isikuandmete kaitse üldmääruse artikli 22 lõike 1 tähenduses. Kui see on nii, siis sõltub selle tegevuse seaduslikkus nimetatud määruse artikli 22 lõike 2 punkti b kohaselt tingimusest, et see otsus on vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega lubatud.

21

Sellega seoses kahtleb eelotsusetaotluse esitanud kohus selle väite õigsuses, et isikuandmete kaitse üldmääruse artikli 22 lõige 1 ei ole selliste äriühingute nagu SCHUFA tegevuse suhtes kohaldatav. Faktilisest aspektist lähtub ta oma kahtlustes sellise tõenäosusväärtuse olulisusest, nagu on kõne all põhikohtuasjas, kolmandate isikute, kellele see tõenäosusväärtus edastatakse, otsuste tegemise praktikas, ning õiguslikust aspektist lähtub ta peamiselt isikuandmete kaitse üldmääruse artikli 22 lõikega 1 taotletavatest eesmärkidest ja selles määruses sätestatud õiguskaitse tagatistest.

22

Konkreetsemalt märgib eelotsusetaotluse esitanud kohus, et tavaliselt on tõenäosusväärtusel määrav tähtsus seejuures, kas ja kuidas kolmas isik andmesubjektiga lepingu sõlmib. Isikuandmete kaitse üldmääruse artikli 22 eesmärk on aga just kaitsta isikuid ohtude eest, mis on seotud puhtalt automatiseeritud töötlusel põhinevate otsustega.

23

Kui aga isikuandmete kaitse üldmääruse artikli 22 lõiget 1 tuleks tõlgendada nii, et sellises olukorras, nagu on kõne all põhikohtuasjas, saab „automatiseeritud töötlusel põhinevaks üksikotsuseks“ pidada üksnes otsust, mille teeb andmesubjekti suhtes kolmas isik, siis tuleneks sellest õiguskaitse lünk. Esiteks ei ole selline äriühing nagu SCHUFA kohustatud võimaldama tutvuda täiendavate andmetega, millele andmesubjektil on üldmääruse artikli 15 lõike 1 punkti h alusel õigus, kuna nimetatud äriühing ei ole see, kes teeb „automatiseeritud otsuse“ asjaomase sätte tähenduses ja järelikult ka selle määruse artikli 22 lõike 1 tähenduses. Teiseks ei saa kolmas isik, kellele tõenäosusväärtus edastatakse, neid täiendavaid andmeid esitada, sest temal need puuduvad.

24

Nii oleks eelotsusetaotluse esitanud kohtu seisukoha põhjal niisuguse õiguskaitse lünga vältimiseks vajalik, et tõenäosusväärtuse kindlaksmääramine, nagu on kõne all põhikohtuasjas, kuuluks isikuandmete kaitse üldmääruse artikli 22 lõike 1 kohaldamisalasse.

25

Kui sellise tõlgendusega tuleks nõustuda, sõltub vastava tegevuse seaduslikkus sellest, kas asjaomase liikmesriigi tasandil on vastavalt isikuandmete kaitse üldmääruse artikli 22 lõike 2 punktile b olemas õiguslik alus. Kuigi käesoleval juhul vastab tõele, et BDSG § 31 võiks Saksamaal olla selline õiguslik alus, on tõsiseid kahtlusi, kas see säte on isikuandmete kaitse üldmääruse artikliga 22 kooskõlas, sest Saksa seadusandja on reguleerinud üksnes sellise tõenäosusväärtuse „kasutamist“, nagu on kõne all põhikohtuasjas, mitte selle väärtuse kindlaksmääramist kui sellist.

26

Seevastu juhul, kui sellise tõenäosusväärtuse kindlaksmääramine ei kujuta endast automatiseeritud üksikotsust isikuandmete kaitse üldmääruse artikli 22 tähenduses, ei ole artikli 22 lõike 2 punkti b avasäte kohaldatav ka seda tegevust reguleerivate riigisiseste õigusnormide suhtes. Võttes arvesse seda, et isikuandmete kaitse üldmäärus on põhimõtteliselt ammendav, ja kuivõrd niisuguste riigisiseste õigusnormide jaoks puudub muu seadusandlik pädevus, näib, et Saksa seadusandja, seades tõenäosusväärtuse kindlaksmääramise sõltuvusse rangematest seaduslikkuse sisulistest tingimustest, on täpsustanud reguleeritud valdkonda, minnes kaugemale isikuandmete kaitse üldmääruse artiklites 6 ja 22 sätestatud nõuetest, ilma et tal oleks sellekohast regulatiivset pädevust. Kui nimetatud seisukoht on õige, muudab see liikmesriigi järelevalveasutuse hindamisruumi, kes peab seega hindama majandusteaberegistrite tegevuse kooskõla selle määruse artikliga 6.

27

Selles olukorras otsustas Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

28

SCHUFA vaidleb eelotsusetaotluse vastuvõetavusele vastu, väites esiteks, et eelotsusetaotluse esitanud kohus ei pea kontrollima otsuse sisu, mille on kaebuse kohta teinud selline järelevalveasutus nagu andmekaitse volinik, kuna andmekaitse voliniku otsuse peale isikuandmete kaitse üldmääruse artikli 78 lõike 1 alusel esitatava kaebuse eesmärk on üksnes kontrollida, kas see asutus on täitnud sellest määrusest tulenevaid kohustusi, eelkõige kaebuste käsitlemise kohustust, kusjuures tuleb täpsustada, et sellel asutusel on kaalutlusõigus otsustamaks, kas ja kuidas tegutseda.

29

Teiseks väidab SCHUFA, et eelotsusetaotluse esitanud kohus ei ole täpselt põhjendanud, miks on eelotsuse küsimused põhikohtuasja lahendamise seisukohalt otsustavad. Viimase ese on konkreetse skooriga tutvumise ja andmete kustutamise taotlus. Käesoleval juhul aga on SCHUFA andmetega tutvumise võimaldamise kohustust piisavalt täitnud ja on menetluse esemeks oleva skoori juba kustutanud.

30

Sellega seoses tuleb meelde tuletada, et Euroopa Kohtu väljakujunenud praktika kohaselt saab ainult liikmesriigi kohus, kelle lahendada on vaidlus ja kes vastutab langetatava kohtuotsuse eest, kohtuasja eripära arvestades hinnata nii eelotsuse vajalikkust oma otsuse tegemiseks kui ka Euroopa Kohtule esitatavate küsimuste asjakohasust. Järelikult, kui esitatud küsimused puudutavad liidu õigusnormi tõlgendust, on Euroopa Kohus üldjuhul kohustatud otsuse tegema (12. jaanuari 2023. aasta kohtuotsus DOBELES HES, C‑702/20 ja C‑17/21, EU:C:2023:1, punkt 46 ning seal viidatud kohtupraktika).

31

Järelikult eeldatakse, et liidu õigust puudutavad küsimused on asjakohased. Euroopa Kohus võib keelduda liikmesriigi kohtu esitatud eelotsuse küsimusele vastamast vaid siis, kui on ilmne, et taotletud liidu õigusnormi tõlgendusel ei ole mingit seost põhikohtuasja asjaolude või esemega, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada vajalikud faktilised või õiguslikud asjaolud, et anda tarvilik vastus talle esitatud küsimustele (12. jaanuari 2023. aasta kohtuotsus DOBELES HES, C‑702/20 ja C‑17/21, EU:C:2023:1, punkt 47 ning seal viidatud kohtupraktika).

32

Mis puudutab esiteks vastuvõetamatuse alust, mis põhineb väidetavalt piiratud kohtulikul kontrollil, mida kohaldatakse kaebuste kohta tehtud järelevalveasutuse otsustele, siis tuleb meele tuletada, et isikuandmete kaitse üldmääruse artikli 78 lõike 1 kohaselt on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab, ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist.

33

Sellega seoses tuleb kõigepealt märkida, et käesoleval juhul on andmekaitse voliniku vastu võetud otsus isikuandmete kaitse üldmääruse artikli 78 lõike 1 tähenduses õiguslikult siduv otsus. Nimelt asus järelevalveasutus pärast talle esitatud kaebuste põhjendatuse analüüsimist seisukohale, et isikuandmete töötlemine, mille põhikohtuasja kaebaja oli vaidlustanud, oli seaduslik.

34

Artikli 78 lõike 1 alusel esitatud kaebuse raames sellise otsuse üle teostatava kohtuliku kontrolli ulatuse kohta piisab märkimisest, et kaebuse kohta tehtud järelevalveasutuse otsust kontrollib kohus täies ulatuses (7. detsembri 2023. aasta kohtuotsus SCHUFA Holding (täitmata jäänud võlakohustusest vabastamine), C‑26/22 ja C‑64/22, EU:C:2023:XXX, resolutsiooni punkt 1).

35

SCHUFA esitatud esimene vastuvõetamatuse alus tuleb seega tagasi lükata.

36

Teiseks nähtub eelotsusetaotlusest selgesti, et eelotsusetaotluse esitanud kohtul on tekkinud küsimus, millist kontrollikriteeriumi tuleb arvesse võtta põhikohtuasjas kõne all oleva isikuandmete töötlemise hindamisel isikuandmete kaitse üldmääruse seisukohast, kuivõrd see kriteerium sõltub sellest, kas selle määruse artikli 22 lõige 1 on kohaldatav või mitte.

37

Seega ei ole ilmne, et eelotsusetaotluse esitanud kohtu taotletud isikuandmete kaitse üldmääruse tõlgendusel ei ole mingit seost põhikohtuasja faktiliste asjaolude või esemega või on tegemist hüpoteetilise probleemiga. Lisaks on Euroopa Kohtule teada talle esitatud küsimustele tarviliku vastuse andmiseks vajalikud faktilised ja õiguslikud asjaolud.

38

Järelikult tuleb ka teine SCHUFA esitatud vastuvõetamatuse alus tagasi lükata.

39

Neil asjaoludel on eelotsusetaotlus vastuvõetav.

40

Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 22 lõiget 1 tuleb tõlgendada nii, et nimetatud sätte tähenduses on „automatiseeritud üksikotsus“ see, kui majandusteaberegister teeb automatiseeritud töötlusel kindlaks tõenäosusväärtuse, mis põhineb isikut puudutavatel isikuandmetel ning mis puudutab selle isiku suutlikkust täita tulevikus maksekohustusi, kui sellel tõenäosusväärtusel on määrav tähtsus seejuures, kas kolmas isik, kellele see tõenäosusväärtus edastatakse, loob, täidab või lõpetab selle isikuga lepingulise suhte.

41

Nimetatud küsimusele vastamiseks tuleb kõigepealt meelde tuletada, et liidu õigusnormi tõlgendamisel ei tule arvesse võtta mitte ainult normi sõnastust, vaid ka selle konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osa norm on (22. juuni 2023. aasta kohtuotsus Pankki S, C‑579/21, EU:C:2023:501, punkt 38 ja seal viidatud kohtupraktika).

42

Isikuandmete kaitse üldmääruse artikli 22 lõike 1 sõnastuse kohaselt on andmesubjektil õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju.

43

Selle sätte kohaldatavus sõltub seega kolmest kumulatiivsest tingimusest: esiteks peab olema olemas „otsus“, teiseks peab see otsus põhinema „üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil“, ja kolmandaks peab see kaasa tooma „[andmesubjekti] puudutavaid õiguslikke tagajärgi“ või avaldama talle „märkimisväärset mõju“.

44

Mis puudutab esiteks otsuse olemasolu tingimust, siis tuleb märkida, et mõistet „otsus“ isikuandmete kaitse üldmääruse artikli 22 lõike 1 tähenduses ei ole selles määruses määratletud. Kõnealuse sätte sõnastusest nähtub siiski, et see mõiste ei viita mitte ainult toimingutele, mis toovad andmesubjektile kaasa õiguslikke tagajärgi, vaid ka toimingutele, mis avaldavad talle märkimisväärset mõju.

45

Mõiste „otsus“ laia käsitlust kinnitab isikuandmete kaitse üldmääruse põhjendus 71, mille kohaselt otsus, mis põhineb isiku isiklike aspektide hindamisel ja mille tema suhtes mitte tegemisele on vastaval isikul õigus, võib „sisaldada meedet“, „millel on teda puudutavad õiguslikud tagajärjed“ või „mis avaldab talle samamoodi märkimisväärset mõju“. Selle põhjenduse kohaselt hõlmab mõiste „otsus“ näiteks veebipõhist krediiditaotluse automatiseeritud tagasilükkamist või veebipõhist töölevärbamist ilma inimsekkumiseta.

46

Kuna mõiste „otsus“ isikuandmete kaitse üldmääruse artikli 22 lõike 1 tähenduses võib, nagu märkis kohtujurist oma ettepaneku punktis 38, hõlmata mitut toimingut, mis võivad avaldada andmesubjektile mõju mitmel viisil, on see mõiste piisavalt lai, et hõlmata isiku maksevõime arvutamise tulemust tõenäosusväärtusena, mis puudutab selle isiku suutlikkust täita tulevikus maksekohustusi.

47

Mis puudutab teiseks tingimust, et otsus artikli 22 lõike 1 tähenduses peab põhinema „automatiseeritud töötlusel, sealhulgas profiilianalüüsil“, siis on selge, nagu märkis kohtujurist oma ettepaneku punktis 33, et selline tegevus nagu SCHUFA oma vastab isikuandmete kaitse üldmääruse artikli 4 punktis 4 sisalduvale „profiilianalüüsi“ määratlusele ja seega on see tingimus käesoleval juhul täidetud, kuna esimese eelotsuse küsimuse sõnastuses on samuti sõnaselgelt viidatud tõenäosusväärtuse automatiseeritud kindlaksmääramisele isikuandmete põhjal, mis puudutavad selle isiku suutlikkust täita tulevikus maksekohustusi.

48

Kolmandaks, tingimuse kohta, et otsus peab tooma andmesubjektile kaasa „õiguslikke tagajärgi“ või avaldama talle „märkimisväärset mõju“, nähtub esimese eelotsuse küsimuse sisust, et selle kolmanda isiku tegevus, kellele tõenäosusväärtus edastatakse, juhindub „määravalt“ sellest tõenäosusväärtusest. Eelotsusetaotluse esitanud kohtu tuvastatud faktiliste asjaolude kohaselt toob juhul, kui tarbija on esitanud pangale laenutaotluse, ebapiisav tõenäosusväärtus peaaegu kõigil juhtudel kaasa selle, et pank keeldub taotletud laenu andmisest.

49

Neil asjaoludel tuleb asuda seisukohale, et kolmas tingimus, millest isikuandmete kaitse üldmääruse artikli 22 lõike 1 kohaldamine sõltub, on samuti täidetud, kuna selline tõenäosusväärtus, nagu on kõne all põhikohtuasjas, avaldab andmesubjektile vähemalt märkimisväärset mõju.

50

Sellest tuleneb, et niisugustel asjaoludel, nagu on kõne all põhikohtuasjas, kus majandusteaberegistri kindlaks määratud ja pangale edastatud tõenäosusväärtus on laenu andmisel määrava tähtsusega, tuleb selle väärtuse kindlaksmääramist pidada iseenesest otsuseks, mis toob andmesubjekti suhtes „kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju“ isikuandmete kaitse üldmääruse artikli 22 lõike 1 tähenduses.

51

Nimetatud tõlgendust kinnitab isikuandmete kaitse üldmääruse artikli 22 lõike 1 kontekst ning selle määrusega taotletavad eesmärgid.

52

Nagu kohtujurist oma ettepaneku punktis 31 märkis, on isikuandmete kaitse üldmääruse artikli 22 lõikes 1 ette nähtud andmesubjekti „õigus“, et tema kohta ei võetaks vastu otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil. Selle sättega kehtestatakse põhimõtteline keeld, mille rikkumisele ei pea selline isik eraldi tuginema.

53

Nimelt tuleneb isikuandmete kaitse üldmääruse artikli 22 lõikest 2 koostoimes selle määruse põhjendusega 71, et üksnes automatiseeritud töötlemisel põhineva otsuse vastuvõtmine on lubatud ainult artikli 22 lõikes 2 osutatud juhtudel, st kui selline otsus on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks (punkt a), kui see on lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega (punkt b) või kui see põhineb andmesubjekti selgesõnalisel nõusolekul (punkt c).

54

Lisaks on isikuandmete kaitse üldmääruse artikli 22 lõike 2 punktis b ja lõikes 3 ette nähtud, et andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitseks tuleb ette näha asjakohased meetmed. Määruse artikli 22 lõike 2 punktides a ja c osutatud juhtudel rakendab vastutav töötleja vähemalt sellist meedet, mis kaitseb andmesubjekti õigust otsesele isiklikule kontaktile vastutava töötlejaga, et väljendada oma seisukohta ja vaidlustada otsus.

55

Lisaks on isikuandmete kaitse üldmääruse artikli 22 lõikes 4 sätestatud, et nimetatud artiklis 22 osutatud automatiseeritud töötlusel põhinevad üksikotsused tohivad põhineda selle määruse artikli 9 lõikes 1 osutatud isikuandmete eriliikidel vaid teatavatel konkreetsetel juhtudel.

56

Lisaks on isikuandmete kaitse üldmääruse artikli 22 lõikes 1 osutatud automatiseeritud otsuse tegemise korral vastutaval töötlejal ühelt poolt selle määruse artikli 13 lõike 2 punkti f ja artikli 14 lõike 2 punkti g alusel täiendava teabe esitamise kohustus. Teiselt poolt on andmesubjektil nimetatud määruse artikli 15 lõike 1 punkti h alusel õigus tutvuda vastutava töötleja „sisuli[se teabega] kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks“.

57

Need automatiseeritud otsuste tegemise seaduslikkuse rangemad nõuded, vastutava töötleja täiendav teavitamise kohustus ja andmesubjekti sellega seotud täiendav andmetega tutvumise õigus on seletatavad isikuandmete kaitse üldmääruse artikli 22 eesmärgiga kaitsta isikute õigusi ja vabadusi konkreetsete ohtude eest, mis tulenevad isikuandmete automatiseeritud töötlemisest, sealhulgas profiilianalüüsist.

58

Nagu nähtub isikuandmete kaitse üldmääruse põhjendusest 71, eeldab see töötlemine andmesubjektist füüsilise isikuga seotud isiklike aspektide hindamist, eelkõige selleks, et analüüsida või prognoosida aspekte, mis on seotud tema töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse, käitumise, asukoha või liikumisega.

59

Selle põhjenduse kohaselt võib nendest tuleneda oht andmesubjekti huvidele ja õigustele, võttes eelkõige arvesse võimalikku diskrimineerimist füüsiliste isikute suhtes rassilise või etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, geneetilise staatuse või tervisliku seisundi või seksuaalse sättumuse alusel. Nimetatud põhjenduse kohaselt on seega oluline näha ette sobivad kaitsemeetmed ning tagada andmesubjekti suhtes õiglane ja läbipaistev andmete töötlemine, kasutades profiilianalüüsiks asjakohaseid matemaatilisi või statistilisi menetlusi ja rakendades asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada vigade tegemise ohu minimeerimine.

60

Käesoleva kohtuotsuse punktides 42–50 esitatud tõlgendus ja eelkõige mõiste „otsus“ lai ulatus isikuandmete kaitse üldmääruse artikli 22 lõike 1 tähenduses tugevdab selle sättega taotletud tõhusat kaitset.

61

Sellistel asjaoludel aga, nagu on kõne all põhikohtuasjas, kus asjaga on seotud kolm isikut, tekiks isikuandmete kaitse üldmääruse artiklist 22 kõrvalehoidmise oht ja seega lünk õiguskaitses, kui tuleks nõustuda selle sätte kitsa tõlgendusega, mille kohaselt tuleb asjaomase tõenäosusväärtuse kindlaksmääramist pidada üksnes ettevalmistavaks toiminguks ning vastavalt olukorrale saab „otsusena“ selle määruse artikli 22 lõike 1 tähenduses käsitada üksnes kolmanda isiku tehtavat toimingut.

62

Sellisel juhul jääks tõenäosusväärtuse kindlaksmääramine, nagu on kõne all põhikohtuasjas, isikuandmete kaitse üldmääruse artikli 22 lõigetes 2–4 ette nähtud konkreetsete nõuete kohaldamisalast välja, kuigi see menetlus põhineb automatiseeritud töötlemisel ja see avaldab andmesubjektile märkimisväärset mõju, kuna kolmanda isiku tegevus, kellele see tõenäosusväärtus edastatakse, juhindub otsustavalt sellest isikust.

63

Lisaks, nagu kohtujurist oma ettepaneku punktis 48 märkis, ei saa andmesubjekt esiteks tugineda tõenäosusväärtuse kindlaks määranud majandusteaberegistri suhtes oma õigusele tutvuda isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktis h osutatud konkreetse teabega, kui automatiseeritud otsust ei ole teinud see äriühing. Teiseks, isegi kui eeldada, et kolmanda isiku toiming kuulub selle määruse artikli 22 lõike 1 kohaldamisalasse, kuna see vastab osutatud sätte kohaldamise tingimustele, ei saa niisugune kolmas isik seda konkreetset teavet esitada, kuna üldjuhul tal seda ei ole.

64

Asjaolu, et selline tõenäosusväärtuse kindlaksmääramine, nagu on kõne all põhikohtuasjas, on hõlmatud isikuandmete kaitse üldmääruse artikli 22 lõikega 1, toob kaasa selle, et – nagu on märgitud käesoleva kohtuotsuse punktides 53–55 – selline kindlaksmääramine on keelatud, välja arvatud juhul, kui on kohaldatav mõni üldmääruse artikli 22 lõikes 2 sätestatud eranditest ja kui järgitakse selle määruse artikli 22 lõigetes 3 ja 4 ette nähtud erinõudeid.

65

Mis puudutab konkreetsemalt isikuandmete kaitse üldmääruse artikli 22 lõike 2 punkti b, millele eelotsusetaotluse esitanud kohus viitab, siis nähtub selle sätte sõnastusest endast, et liikmesriigi õiguses, mis lubab teha automatiseeritud üksikotsuse, tuleb ette näha sobivad meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitseks.

66

Isikuandmete kaitse üldmääruse põhjendust 71 silmas pidades peaksid sellised meetmed hõlmama eelkõige vastutava töötleja kohustust kasutada asjakohast matemaatilist või statistilist menetlust, rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada veaohu minimeerimine ja vigade parandamine, ning kindlustada isikuandmete turvalisus selliselt, et võetakse arvesse ohtu andmesubjekti huvidele ja õigustele ning ennetatakse muu hulgas diskrimineerivat mõju andmesubjektile. Need meetmed hõlmavad vähemalt andmesubjekti õigust otsesele isiklikule kontaktile vastutava töötlejaga, et väljendada oma seisukohta ja vaidlustada tema suhtes tehtud otsus.

67

Veel tuleb märkida, et Euroopa Kohtu väljakujunenud praktika kohaselt tuleb isikuandmete igasugusel töötlemisel eelkõige ühelt poolt järgida andmete töötlemise põhimõtteid, mis on sätestatud isikuandmete kaitse üldmääruse artiklis 5, ning teiselt poolt, arvestades eelkõige selle artikli lõike 1 punktis a ette nähtud töötlemise seaduslikkuse põhimõtet, vastata ühele andmetöötluse õiguspärasuse põhimõtetest, mis on loetletud sama määruse artiklis 6 (20. oktoobri 2022. aasta kohtuotsus Digi, C‑77/21, EU:C:2022:805, punkt 49 ja seal viidatud kohtupraktika). Nende põhimõtete järgimist peab vastutav töötleja vastavalt kõnealuse määruse artikli 5 lõikes 2 sätestatud vastutuspõhimõttele tõendama (vt selle kohta 20. oktoobri 2022. aasta kohtuotsus Digi, C‑77/21, EU:C:2022:805, punkt 24 ja seal viidatud kohtupraktika).

68

Seega juhul, kui liikmesriigi õigus lubab vastavalt isikuandmete kaitse üldmääruse artikli 22 lõike 2 punktile b võtta vastu üksnes automatiseeritud töötlemisel põhineva otsuse, peab see töötlemine vastama nii viimati nimetatud sättes ja üldmääruse artikli 22 lõikes 4 sätestatud tingimustele kui ka üldmääruse artiklites 5 ja 6 sätestatud nõuetele. Järelikult ei saa liikmesriigid võtta isikuandmete kaitse üldmääruse artikli 22 lõike 2 punkti b alusel vastu õigusnorme, mis lubavad profiilianalüüsi, eirates üldmääruse artiklites 5 ja 6 sätestatud nõudeid, nagu neid on tõlgendatud Euroopa Kohtu praktikas.

69

Mis puudutab konkreetselt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktides a, b ja f ette nähtud seaduslikkuse tingimusi, kuivõrd need sätted võivad olla kohaldatavad niisugusel juhul, nagu on kõne all põhikohtuasjas, siis ei ole liikmesriikidel õigust kehtestada nende tingimuste kohaldamiseks täiendavaid eeskirju, kuna see võimalus on üldmääruse artikli 6 lõike 3 kohaselt piiratud üldmääruse artikli 6 lõike 1 punktides c ja e sätestatud põhjustega.

70

Lisaks, konkreetsemalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f puhul ei saa liikmesriigid selle määruse artikli 22 lõike 2 punkti b alusel kõrvale kalduda nõuetest, mis tulenevad Euroopa Kohtu 7. detsembri 2023. aasta otsusest SCHUFA Holding (täitmata jäänud võlakohustusest vabastamine), C‑26/22 ja C‑64/22, EU:C:2023:XXX), eelkõige nähes lõplikult ette kõnealuste õiguste ja huvide kaalumise tulemuse (vt selle kohta 19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 62).

71

Eelotsusetaotluse esitanud kohus märgib, et käesoleval juhul võiks üksnes BDSG § 31 olla liikmesriigi õiguslik alus isikuandmete kaitse üldmääruse artikli 22 lõike 2 punkti b tähenduses. Tal on aga tõsiseid kahtlusi, kas nimetatud § 31 on liidu õigusega kooskõlas. Kui eeldada, et see säte tunnistatakse liidu õigusega vastuolus olevaks, siis SCHUFA mitte ainult ei tegutse ilma õigusliku aluseta, vaid rikub ipso iure ka direktiivi artikli 22 lõikes 1 sätestatud keeldu.

72

Sellega seoses on eelotsusetaotluse esitanud kohtu ülesanne kontrollida, kas BDSG § 31 saab käsitada õigusliku alusena, mis lubab isikuandmete kaitse üldmääruse artikli 22 lõike 2 punkti b alusel võtta vastu üksnes automatiseeritud töötlemisel põhineva otsuse. Kui nimetatud kohus jõuab järeldusele, et artikkel 31 kujutab endast sellist õiguslikku alust, peab ta veel kontrollima, kas isikuandmete kaitse üldmääruse artikli 22 lõike 2 punktis b ja lõikes 4 ning selle määruse artiklites 5 ja 6 sätestatud tingimused on käesoleval juhul täidetud.

73

Kõiki eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 22 lõiget 1 tuleb tõlgendada nii, et see, kui majandusteaberegister teeb automatiseeritud töötlusel kindlaks tõenäosusväärtuse, mis põhineb isiku kohta käivatel isikuandmetel ning mis puudutab selle isiku suutlikkust täita tulevikus maksekohustusi, on nimetatud sätte tähenduses „automatiseeritud üksikotsus“, kui sellel tõenäosusväärtusel on määrav tähtsus seejuures, kas kolmas isik, kellele see tõenäosusväärtus edastatakse, loob, täidab või lõpetab selle isikuga lepingulise suhte.

74

Arvestades esimesele küsimusele antud vastust, ei ole teisele küsimusele tarvis vastata.

75

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (esimene koda) otsustab:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 22 lõiget 1

tuleb tõlgendada nii, et

see, kui majandusteaberegister teeb automatiseeritud töötlusel kindlaks tõenäosusväärtuse, mis põhineb isiku kohta käivatel isikuandmetel ning mis puudutab selle isiku suutlikkust täita tulevikus maksekohustusi, on nimetatud sätte tähenduses „automatiseeritud üksikotsus“, kui sellel tõenäosusväärtusel on määrav tähtsus seejuures, kas kolmas isik, kellele see tõenäosusväärtus edastatakse, loob, täidab või lõpetab selle isikuga lepingulise suhte.