–

w imieniu OQ – U. Schmidt, Rechtsanwalt,

–

w imieniu Land Hessen – M. Kottmann oraz G. Ziegenhorn, Rechtsanwälte,

–

w imieniu SCHUFA Holding AG – G. Thüsing oraz U. Wuermeling, Rechtsanwalt,

–

w imieniu rządu niemieckiego – P.-L. Krüger, w charakterze pełnomocnika,

–

w imieniu rządu duńskiego – V. Pasternak Jørgensen, M. Søndahl Wolff oraz Y. Thyregod Kollberg, w charakterze pełnomocników,

–

w imieniu rządu portugalskiego – P. Barros da Costa, I. Oliveira, J. Ramos oraz C. Vieira Guerra, w charakterze pełnomocników,

–

w imieniu rządu fińskiego – M. Pere, w charakterze pełnomocnika,

–

w imieniu Komisji Europejskiej – A. Bouchagiar, F. Erlbacher oraz H. Kranenborg, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 6 ust. 1 i art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2, zwanego dalej „RODO”).

2

Wniosek ten został złożony w ramach sporu pomiędzy OQ a Land Hessen (krajem związkowym Hesja, Niemcy) w przedmiocie odmówienia przez Hessischer Beauftragter für Datenschutz und Informationsfreiheit (komisarza ds. ochrony danych i wolności informacji dla kraju związkowego Hesja, Niemcy) (zwanego dalej „HBDI”) nakazania spółce SCHUFA Holding AG (zwanej dalej „SCHUFA”) uwzględnienia złożonego przez OQ wniosku o udzielenie dostępu do dotyczących jej danych osobowych i ich usunięcie.

3

W motywie 71 RODO wskazano:

„Osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza się »profilowanie« – które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa. Niemniej podejmowanie decyzji na podstawie takiego przetwarzania, w tym profilowania, powinno być dozwolone, w przypadku gdy jest to wyraźnie dopuszczone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, w tym do celów monitorowania i zapobiegania – zgodnie z uregulowaniami, standardami i zaleceniami instytucji Unii [Europejskiej] lub krajowych podmiotów nadzorujących – oszustwom i uchylaniu się od podatków oraz do zapewniania bezpieczeństwa i niezawodności usług świadczonych przez administratora, lub gdy jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem, lub gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę. Przetwarzanie takie powinno zawsze podlegać odpowiednim zabezpieczeniom, obejmującym informowanie osoby, której dane dotyczą, prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji. Takie przetwarzanie nie powinno dotyczyć dzieci.

Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualną lub skutkujący środkami mającymi taki efekt”.

4

Artykuł 4 tego rozporządzenia, zatytułowany „Definicje” przewiduje:

„Na użytek niniejszego rozporządzenia:

[…]

[…]”.

5

Artykuł 5 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1.   Dane osobowe muszą być:

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

6

Artykuł 6 RODO, zatytułowany „Zgodność przetwarzania z prawem”, stanowi w ust. 1 i ust. 3:

„1.   Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

[…]

3.   Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. […]”.

7

Artykuł 9 tego rozporządzenia, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, stanowi:

„1.   Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

2.   Ustęp 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

[…]

[…]”.

8

Artykuł 13 tego rozporządzenia, zatytułowany „Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą”, stanowi w ust. 2, co następuje:

„Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

[…]

9

Artykuł 14 RODO, zatytułowany „Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą”, stanowi w ust. 2:

„Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:

[…]

10

Artykuł 15 tego rozporządzenia, zatytułowany „Prawo dostępu przysługujące osobie, której dane dotyczą”, stanowi:

„Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

[…]

11

Artykuł 22 RODO zatytułowany „Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie” stanowi:

„1.   Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

2.   Ustęp 1 nie ma zastosowania, jeżeli ta decyzja:

3.   W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

4.   Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą”.

12

17 Artykuł 78 RODO, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”, stanowi w ust. 1:

„Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej”.

13

Paragraf 31 Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych) z dnia 30 czerwca 2017 r. (BGBl. I, s. 2097, zwanej dalej „BDSG”), zatytułowany „Ochrona obrotu gospodarczego w przypadku scoringu i informacji dotyczących zdolności kredytowej”, ma następujące brzmienie:

„(1)   Wykorzystanie wartości prawdopodobieństwa dotyczącego określonego przyszłego zachowania osoby fizycznej w celu podjęcia decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z tą osobą (scoring) jest dozwolone tylko wtedy, gdy

(2)   Wykorzystanie ustalonej przez biuro informacji kredytowej wartości prawdopodobieństwa dotyczącej wypłacalności i gotowości do zapłaty osoby fizycznej w przypadku uwzględnienia informacji o jej wierzytelnościach jest dozwolone tylko wtedy, gdy są spełnione warunki określone w ust. 1 i uwzględnione zostają tylko wierzytelności dotyczące należnego świadczenia, które nie zostało spełnione, mimo że jest wymagalne,

5.   w stosunku do których podstawowy stosunek umowny może zostać rozwiązany bez wypowiedzenia z powodu zaległości płatniczych, a dłużnik został wcześniej poinformowany o możliwości ich uwzględniania przez biuro informacji kredytowej.

Nie narusza to dopuszczalności przetwarzania, w tym ustalania wartości prawdopodobieństwa, innych danych dotyczących zdolności kredytowej zgodnie z ogólnymi przepisami prawa o ochronie danych”.

14

SCHUFA jest niemiecką spółką prawa prywatnego, która dostarcza swoim kontrahentom informacji na temat wiarygodności kredytowej osób trzecich, w szczególności także konsumentów. W tym celu sporządza on prognozę dotyczącą prawdopodobieństwa przyszłego zachowania danej osoby („score”), takiego jak zwrot pożyczki, w oparciu o określone cechy tej osoby, przy użyciu procedur matematycznych i statystycznych. Wyliczenie wartości scoringu opiera się na założeniu, że poprzez przyporządkowanie danej osoby do grupy innych osób o pewnych porównywalnych cechach, które zachowały się w określony sposób, można przewidzieć podobne zachowanie.

15

Z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że dana osoba trzecia odmówiła spółce OQ przyznania pożyczki wskutek ustalenia przez SCHUFA negatywnych informacji na temat OQ, które zostały przekazane tej osobie trzeciej. OQ zwrócił się do SCHUFA o przekazanie informacji na temat zarejestrowanych danych osobowych i usunięcie tych danych, które, jak podniesiono, były błędne.

16

W odpowiedzi na ten wniosek SCHUFA poinformowała OQ o poziomie jej wartości scoringu i przedstawiła w ogólnym zarysie sposób jej obliczania. Jednakże, powołując się na tajemnicę handlową, odmówiła ona ujawnienia różnych informacji uwzględnionych do celów tego obliczenia oraz ich wagi. Wreszcie SCHUFA wskazała, że ogranicza się do przekazania informacji swoim partnerom umownym i że to oni podejmują decyzje umowne w ścisłym tego słowa znaczeniu.

17

W skardze złożonej w dniu 18 października 2018 r. OQ zwróciła się do HBDI, właściwego organu nadzorczego, o nakazanie SCHUFA uwzględnienia jej wniosku o udzielenie dostępu do informacji i o usunięcie danych.

18

Decyzją z dnia 3 czerwca 2020 r. HBDI oddalił ten wniosek o wydanie nakazu, wyjaśniając, że nie wykazano, iż SCHUFA nie spełnia wymogów określonych w § 31 BDSG, które ciążą na niej w odniesieniu do jej działalności.

19

OQ wniosła skargę na tę decyzję do Verwaltungsgericht Wiesbaden (sądu administracyjnego w Wiesbaden, Niemcy), będącego sądem odsyłającym, na podstawie art. 78 ust. 1 RODO.

20

Zdaniem tego sądu do celów rozstrzygnięcia zawisłego przed nim sporu należy ustalić, czy ustalenie wartości prawdopodobieństwa takiej jak rozpatrywana w postępowaniu głównym stanowi zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 ust. 1 RODO. W przypadku odpowiedzi twierdzącej zgodność tej działalności z prawem byłaby bowiem uzależniona, zgodnie z art. 22 ust. 2 lit. b) tego rozporządzenia, od warunku, by decyzja ta była dozwolona przez prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator.

21

W tym względzie sąd odsyłający ma wątpliwości co do twierdzenia, wedle którego art. 22 ust. 1 RODO nie ma zastosowania do działalności spółek takich jak SCHUFA. Sąd ten opiera swoje wątpliwości z faktycznego punktu widzenia na znaczeniu wartości prawdopodobieństwa takiej jak ta rozpatrywana w postępowaniu głównym dla praktyki decyzyjnej osób trzecich, którym przekazano tę wartość prawdopodobieństwa, oraz, z prawnego punktu widzenia, głównie na celach realizowanych przez ten art. 22 ust. 1, a także na gwarancjach ochrony prawnej ustanowionych w RODO.

22

Dokładniej rzecz ujmując, sąd odsyłający podkreśla, że to wartość prawdopodobieństwa zazwyczaj określa, czy i w jaki sposób osoba trzecia zawrze umowę z daną osobą. Tymczasem art. 22 RODO ma właśnie na celu ochronę osób przed ryzykiem związanym z opartą wyłącznie na automatycznych procesach formą podejmowania decyzji.

23

Gdyby natomiast art. 22 ust. 1 RODO należało interpretować w ten sposób, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym wystąpienie cechy „zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach” może zostać przyjęte jedynie w przypadku decyzji podjętej przez osobę trzecią wobec osoby, której dane dotyczą, wynikałaby z tego luka w ochronie prawnej. Po pierwsze bowiem, spółka taka jak SCHUFA nie jest zobowiązana udzielić dostępu do dodatkowych informacji, do których osoba, której dane dotyczą, ma prawo na podstawie art. 15 ust. 1 lit. h) tego rozporządzenia, ponieważ spółka ta nie jest spółką, która przeprowadza „zautomatyzowane podejmowanie decyzji” w rozumieniu tego przepisu, a w konsekwencji w rozumieniu art. 22 ust. 1 wspomnianego rozporządzenia. Z drugiej strony osoba trzecia, której przekazana jest wartość prawdopodobieństwa, nie może dostarczyć tych dodatkowych informacji, ponieważ nimi nie dysponuje.

24

Tak więc zdaniem sądu odsyłającego, aby uniknąć takiej luki w ochronie prawnej, konieczne jest, aby ustalenie wartości prawdopodobieństwa takiej jak rozpatrywana w postępowaniu głównym było objęte zakresem stosowania art. 22 ust. 1 RODO.

25

Gdyby przyjąć taką wykładnię, zgodność z prawem tej działalności byłaby uzależniona od istnienia podstawy prawnej na poziomie danego państwa członkowskiego, zgodnie z art. 22 ust. 2 lit. b) tego rozporządzenia. Tymczasem w niniejszej sprawie o ile prawdą jest, że § 31 BDSG może stanowić taką podstawę prawną w Niemczech, o tyle istnieją poważne wątpliwości co do zgodności tego przepisu z art. 22 RODO, ponieważ niemiecki ustawodawca reguluje jedynie „wykorzystanie” wartości prawdopodobieństwa takiej jak to rozpatrywane w postępowaniu głównym, a nie ustalanie tej wartości jako takiej.

26

Jeżeli natomiast ustalenie takiej wartości prawdopodobieństwa nie stanowi zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach w rozumieniu art. 22 RODO, klauzula upoważniająca zawarta w art. 22 ust. 2 lit. b) tego rozporządzenia nie ma również zastosowania do przepisów krajowych dotyczących tej działalności. Z uwagi na co do zasady wyczerpujący charakter RODO i w braku innej kompetencji normatywnej w odniesieniu do takich przepisów krajowych, wydaje się, że ustawodawca niemiecki, uzależniając ustalanie wartości prawdopodobieństwa od dalej idących materialnych warunków zgodności z prawem, uściśla regulowaną dziedzinę, wykraczając poza wymogi określone w art. 6 i 22 RODO, nie dysponując w tym celu uprawnieniami regulacyjnymi. Gdyby to stanowisko było prawidłowe, zmieniłoby to zakres uznania krajowego organu nadzorczego, który powinien wówczas ocenić zgodność działalności biur informacji kredytowej w świetle art. 6 tego rozporządzenia.

27

W tych okolicznościach Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

28

SCHUFA kwestionuje dopuszczalność wniosku o wydanie orzeczenia w trybie prejudycjalnym, podnosząc w pierwszej kolejności, że do sądu odsyłającego nie należy kontrola treści decyzji w przedmiocie skargi, wydanej przez organ nadzorczy taki jak HBDI, ponieważ przewidziany w art. 78 ust. 1 RODO środek ochrony prawnej przed sądem na taką decyzję służy jedynie weryfikacji, czy organ ten wypełnił obowiązki ciążące na nim na mocy tego rozporządzenia, a w szczególności obowiązek rozpatrywania skarg, przy czym wspomniany organ dysponuje uprawnieniami dyskrecjonalnymi przy podejmowaniu decyzji w kwestii, czy – i w jaki sposób – powinien podjąć działania.

29

W drugiej kolejności SCHUFA twierdzi, że sąd odsyłający nie przedstawił dokładnych powodów, dla których zadane pytania miałyby mieć decydujące znaczenie dla rozstrzygnięcia sporu w postępowaniu głównym. Przedmiotem tego sporu jest żądanie udzielenia informacji na temat konkretnej wartości scoringu i jej usunięcia. Tymczasem w niniejszym przypadku SCHUFA w wystarczającym stopniu wypełniła swój obowiązek poinformowania i usunęła wartość scoringu będącą przedmiotem postępowania.

30

W tym względzie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału wyłącznie do sądu krajowego, przed którym zawisł spór i na którym spoczywa odpowiedzialność za mające zapaść rozstrzygnięcie, należy ocena, w świetle szczególnych okoliczności sprawy, czy do wydania wyroku jest mu niezbędne uzyskanie orzeczenia prejudycjalnego oraz czy pytania, które zadaje Trybunałowi, mają znaczenie dla sprawy. W konsekwencji jeżeli zadane pytania dotyczą wykładni prawa Unii, Trybunał jest co do zasady zobowiązany do wydania orzeczenia (wyrok z dnia 12 stycznia 2023 r., DOBELES HES, C‑702/20 i C‑17/21, EU:C:2023:1, pkt 46 i przytoczone tam orzecznictwo).

31

Oznacza to, że pytania dotyczące prawa Unii korzystają z domniemania posiadania znaczenia dla sprawy. Odmowa wydania przez Trybunał orzeczenia w przedmiocie pytania prejudycjalnego postawionego przez sąd krajowy jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia lub ocena ważności zasady prawa Unii, o którą wniesiono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem postępowania głównego, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego niezbędnymi do udzielenia użytecznej odpowiedzi na przedstawione mu pytania (wyrok z dnia 12 stycznia 2023 r., DOBELES HES, C‑702/20 i C‑17/21, EU:C:2023:1, pkt 47 i przytoczone tam orzecznictwo).

32

Co się tyczy w pierwszej kolejności podstawy niedopuszczalności dotyczącej rzekomo ograniczonej kontroli sądowej, której podlegają wydane przez organ nadzorczy decyzje w przedmiocie skargi, należy przypomnieć, że zgodnie z art. 78 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej, każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego, która jej dotyczy.

33

W niniejszej sprawie decyzja przyjęta przez HBDI jako organ nadzorczy stanowi prawnie wiążącą decyzję w rozumieniu art. 78 ust. 1. Po zbadaniu zasadności złożonej do niego skargi organ ten orzekł w jej przedmiocie i stwierdził, że przetwarzanie danych osobowych zakwestionowane przez skarżącą w postępowaniu głównym było zgodne z prawem.

34

Co się tyczy zakresu kontroli sądowej takiej decyzji w ramach środka ochrony prawnej wniesionego na podstawie wspomnianego art. 78 ust. 1, wystarczy zauważyć, że wydana przez organ nadzorczy decyzja w przedmiocie skargi podlega pełnej kontroli sądowej [wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu), C‑26/22 i C‑64/22, EU:C:2023:XXX, pkt 1 sentencji].

35

Należy zatem oddalić pierwszy zarzut niedopuszczalności podniesiony przez SCHUFA.

36

W drugiej kolejności z wniosku o wydanie orzeczenia w trybie prejudycjalnym jasno wynika, że sąd odsyłający zastanawia się nad kryterium kontroli, jakie należy przyjąć przy ocenie, w świetle RODO, przetwarzania danych osobowych rozpatrywanego w postępowaniu głównym, ponieważ kryterium to zależy od możliwości zastosowania lub braku możliwości zastosowania art. 22 ust. 1 tego rozporządzenia.

37

Co za tym idzie, nie można stwierdzić w sposób oczywisty, że interpretacja RODO, o którą zwrócił się sąd odsyłający, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym lub że problem ma charakter hipotetyczny. Ponadto Trybunał dysponuje informacjami w zakresie stanu faktycznego i prawnego niezbędnymi do udzielenia użytecznej odpowiedzi na przedstawione mu pytania.

38

Należy zatem również oddalić drugi zarzut niedopuszczalności podniesiony przez SCHUFA.

39

W tych okolicznościach wniosek o wydanie orzeczenia w trybie prejudycjalnym jest dopuszczalny.

40

Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 22 ust. 1 RODO należy interpretować w ten sposób, że zautomatyzowane wyliczenie przez biuro informacji kredytowej wartości prawdopodobieństwa opartej na danych osobowych dotyczących danej osoby w zakresie jej zdolności do wywiązywania się ze zobowiązań płatniczych w przyszłości stanowi „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach” w rozumieniu tego przepisu, jeżeli od tej wartości prawdopodobieństwa zależy w decydujący sposób, czy strona trzecia, której wspomnianą wartość prawdopodobieństwa przekazano, nawiąże, wykona lub zakończy stosunek umowny z tą osobą.

41

W celu udzielania odpowiedzi na zadane pytanie należy przypomnieć na wstępie, że wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, lecz także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią (wyrok z dnia 22 czerwca 2023 r., Pankki S, C‑579/21, EU:C:2023:501, pkt 38 i przytoczone tam orzecznictwo).

42

Co się tyczy brzmienia art. 22 ust. 1 RODO, przepis ten przewiduje, że osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

43

Możliwość zastosowania tego przepisu jest zatem uzależniona od spełnienia trzech kumulatywnych przesłanek, a mianowicie, po pierwsze, musi istnieć „decyzja”, po drugie, decyzja ta powinna „opiera[ć] się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu”, a po trzecie, musi ona wywoływać „skutki prawne [dotyczące osoby zainteresowanej]” lub „istotnie” na nią wpływać „w podobny sposób”.

44

Co się tyczy, po pierwsze, przesłanki dotyczącej istnienia decyzji, należy wskazać, że pojęcie „decyzji” w rozumieniu art. 22 ust. 1 RODO nie zostało zdefiniowane w tym rozporządzeniu. Z samego brzmienia tego przepisu wynika jednak, że pojęcie to odnosi się nie tylko do aktów, które wywołują skutki prawne wobec danej osoby, ale również do aktów, które w podobny sposób dotyczą jej w istotny sposób.

45

Szeroki zakres pojęcia „decyzji” znajduje potwierdzenie w motywie 71 RODO, zgodnie z którym decyzja obejmująca ocenę niektórych aspektów osobistych danej osoby, w odniesieniu do której to decyzji powinno tej osobie przysługiwać prawo do tego, by jej nie podlegać, może „obejmować określone środki”, które wywołają dotyczące jej „skutki prawne” lub „w podobny sposób znacząco na nią wpły[ną]”. Zgodnie z tym motywem termin „decyzja” obejmuje, tytułem przykładu, automatyczne odrzucenie elektronicznego wniosku kredytowego czy też elektroniczne metody rekrutacji bez interwencji ludzkiej.

46

Ponieważ pojęcie „decyzji” w rozumieniu art. 22 ust. 1 RODO może zatem, jak zauważył rzecznik generalny w pkt 38 opinii, obejmować szereg czynności mogących w różny sposób wpływać na osobę, której dane dotyczą, pojęcie to jest wystarczająco szerokie, aby objąć wynik obliczenia wypłacalności danej osoby w postaci wartości prawdopodobieństwa dotyczącej zdolności tej osoby do wywiązywania się ze zobowiązań płatniczych w przyszłości.

47

Co się tyczy, po drugie, warunku, zgodnie z którym decyzja w rozumieniu tego art. 22 ust. 1 powinna „opiera[ć] się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu”, jak zauważył rzecznik generalny w pkt 33 opinii, bezsporne jest, że działalność tego rodzaju jak działalność SCHUFA odpowiada definicji „profilowania” zawartej w art. 4 pkt 4 RODO, a zatem że przesłanka ta jest w niniejszej sprawie spełniona, tym bardziej, że brzmienie pierwszego pytania prejudycjalnego odnosi się w sposób wyraźny do zautomatyzowanego wyliczenia wartości prawdopodobieństwa w oparciu o dane osobowe dotyczące określonej osoby w zakresie jej zdolności do spłaty kredytu w przyszłości.

48

Co się tyczy, po trzecie, przesłanki, zgodnie z którą decyzja powinna wywoływać „skutki prawne” w odniesieniu do danej osoby lub „istotnie” na nią wpływać „w podobny sposób”, z samej treści pierwszego pytania prejudycjalnego wynika, że działanie osoby trzeciej, której przekazana jest wartość prawdopodobieństwa, jest uzależnione w sposób „decydujący” od tej wartości. Tak więc zgodnie z ustaleniami faktycznymi sądu odsyłającego w kontekście wniosku o kredyt skierowanego przez konsumenta do banku niewystarczająca wartość prawdopodobieństwa pociąga za sobą w prawie wszystkich przypadkach odmowę udzielenia przez bank wnioskowanego kredytu.

49

W tych okolicznościach należy uznać, że trzecia przesłanka, od której uzależnione jest stosowanie art. 22 ust. 1 RODO, jest również spełniona, ponieważ wartość prawdopodobieństwa taka jak rozpatrywana w postępowaniu głównym w każdym wypadku w sposób istotny wpływa na osobę, której dane dotyczą.

50

Wynika z tego, że w okolicznościach takich jak rozpatrywane w postępowaniu głównym, w których wartość prawdopodobieństwa ustalona przez biuro informacji kredytowej i przekazana bankowi odgrywa decydującą rolę przy udzielaniu kredytu, wyliczenie tej wartości samo w sobie należy zakwalifikować jako decyzję wywołującą wobec osoby, której dane dotyczą, „skutki prawne” lub „istotnie” na nią wpływającą „w podobny sposób” w rozumieniu art. 22 ust. 1 RODO.

51

Wykładnię tę potwierdza kontekst, w jaki wpisuje się art. 22 ust. 1 RODO, a także cele tego rozporządzenia.

52

W tym względzie należy stwierdzić – jak wskazał rzecznik generalny w pkt 31 opinii – że art. 22 ust. 1 RODO nadaje osobie, której dane dotyczą, „prawo” do tego, by nie podlegała decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu włącznie z profilowaniem. Przepis ten ustanawia zasadniczy zakaz, którego naruszenie nie wymaga indywidualnego powołania się przez taką osobę.

53

Jak bowiem wynika z łącznej lektury art. 22 ust. 2 RODO i motywu 71 tego rozporządzenia, przyjęcie decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu jest dozwolone wyłącznie w przypadkach, o których mowa w tym art. 22 ust. 2, a mianowicie gdy decyzja ta jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem [lit. a)], jeżeli jest ona dozwolona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator [lit. b)], lub jeżeli opiera się ona na wyraźnej zgodzie osoby, której dane dotyczą [lit. c)].

54

Ponadto art. 22 RODO przewiduje w ust. 2 lit. b) i w ust. 3, że należy przewidzieć odpowiednie środki ochrony praw i wolności oraz uzasadnionych interesów osoby, której dane dotyczą. W przypadkach, o których mowa w art. 22 ust. 2 lit. a) i c) tego rozporządzenia, administrator co najmniej wdraża prawo osoby, której dane dotyczą do uzyskania interwencji ludzkiej, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

55

Ponadto zgodnie z art. 22 ust. 4 RODO jedynie w niektórych szczególnych przypadkach zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach w rozumieniu tego art. 22 mogą być oparte na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1 tego rozporządzenia.

56

Ponadto w przypadku zautomatyzowanego podejmowania decyzji, o którym mowa w art. 22 ust. 1 RODO, po pierwsze, administrator podlega dodatkowym obowiązkom informacyjnym na podstawie art. 13 ust. 2 lit. f) oraz art. 14 ust. 2 lit. g) tego rozporządzenia. Po drugie, osoba, której dane dotyczą, korzysta na podstawie art. 15 ust. 1 lit. h) wspomnianego rozporządzenia z prawa uzyskania od administratora w szczególności „istotnych informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą”.

57

Takie wyższe wymogi dotyczące zgodności z prawem zautomatyzowanego podejmowania decyzji, a także dodatkowe obowiązki informacyjne administratora i związane z nimi dodatkowe prawa dostępu przysługujące osobie, której dane dotyczą, wynikają z celu art. 22 RODO, jakim jest ochrona osób przed szczególnymi zagrożeniami dla ich praw i wolności wynikającymi z automatycznego przetwarzania danych osobowych, w tym profilowania.

58

Przetwarzanie to oznacza bowiem, jak wynika z motywu 71 RODO, ocenę aspektów osobistych osoby fizycznej, której dotyczy to przetwarzanie, w szczególności w celu analizowania lub prognozowania aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się.

59

Zgodnie z tym motywem te szczególne zagrożenia mogą negatywnie wpływać na uzasadnione interesy i prawa osoby, której dane dotyczą, w szczególności z uwagi na potencjalne skutki w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny lub orientację seksualną. Zgodnie z tym motywem istotne jest zatem zapewnienie odpowiednich zabezpieczeń oraz sprawiedliwego i przejrzystego traktowania osób, których dane dotyczą, w szczególności poprzez stosowanie odpowiednich procedur matematycznych lub statystycznych do celów profilowania oraz poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych w celu ograniczenia ryzyka błędu do minimum.

60

Wykładnia przedstawiona w pkt 42–50 niniejszego wyroku, a w szczególności szeroki zakres pojęcia „decyzji” w rozumieniu art. 22 ust. 1 RODO, wzmacnia skuteczną ochronę, o której mowa w tym przepisie.

61

Natomiast w okolicznościach takich jak rozpatrywane w postępowaniu głównym, w których zaangażowane są trzy podmioty, istniałoby ryzyko obejścia art. 22 RODO, a w konsekwencji wystąpiłaby luka w ochronie prawnej, gdyby przyjęto zawężającą wykładnię tego przepisu, zgodnie z którą wyliczenie wartości prawdopodobieństwa należało uznać jedynie za działanie przygotowawcze, a wyłącznie działanie strony trzeciej mogłoby w danym wypadku zostać uznane za „decyzję” w rozumieniu art. 22 ust. 1 tego rozporządzenia.

62

W takim bowiem przypadku wyliczenie wartości prawdopodobieństwa takiej jak rozpatrywana w postępowaniu głównym nie byłoby objęte szczególnymi wymogami przewidzianymi w art. 22 ust. 2–4 RODO, mimo że procedura ta opiera się na zautomatyzowanym przetwarzaniu i istotnie wpływa na osobę, której dane dotyczą, ponieważ działanie osoby trzeciej, której przekazano tę wartość prawdopodobieństwa, jest uzależnione od owej wartości w sposób decydujący.

63

Ponadto, jak zauważył rzecznik generalny w pkt 48 opinii, po pierwsze, osoba, której dane dotyczą, nie mogłaby powoływać się wobec biura informacji kredytowej, które wylicza odnoszącą się do niej wartość prawdopodobieństwa, na przysługujące jej prawo dostępu do konkretnych informacji, o których mowa w art. 15 ust. 1 lit. h) RODO, w braku zautomatyzowanego podejmowania decyzji przez to biuro. Po drugie, nawet przy założeniu, że działanie osoby trzeciej jest objęte zakresem stosowania art. 22 ust. 1 tego rozporządzenia, o ile spełnia przesłanki zastosowania tego przepisu, owa osoba trzecia nie byłaby w stanie dostarczyć tych konkretnych informacji, ponieważ co do zasady nimi nie dysponuje.

64

Okoliczność, że wyliczenie wartości prawdopodobieństwa takiej jak ta rozpatrywana w postępowaniu głównym jest objęte art. 22 ust. 1 RODO, skutkuje, jak wskazano w pkt 53–55 niniejszego wyroku, tym, że jest ono zakazane, chyba że zachodzi jeden z wyjątków określonych w art. 22 ust. 2 tego rozporządzenia i dochowane zostaną szczególne wymogi przewidziane w art. 22 ust. 3 i 4 tego rozporządzenia.

65

Co się tyczy konkretnie art. 22 ust. 2 lit. b) RODO, do którego odwołuje się sąd odsyłający, z samego brzmienia tego przepisu wynika, że prawo krajowe, które zezwala na zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, powinno przewidywać odpowiednie środki ochrony praw i wolności oraz uzasadnionych interesów osoby, której dane dotyczą.

66

W świetle motywu 71 RODO środki takie powinny obejmować w szczególności spoczywający na administratorze obowiązek stosowania odpowiednich procedur matematycznych lub statystycznych, wdrożenia właściwych środków technicznych i organizacyjnych celem zmniejszenia ryzyka błędów do minimum i ich skorygowania, zabezpieczenia danych osobowych w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegnięcia w szczególności skutkom w postaci dyskryminacji względem niej. Środki te obejmują ponadto co najmniej prawo osoby, której dane dotyczą, do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania podjętej wobec niej decyzji.

67

Należy ponadto zauważyć, że zgodnie z utrwalonym orzecznictwem Trybunału każde przetwarzanie danych osobowych powinno z jednej strony być zgodne z zasadami dotyczącymi przetwarzania danych określonymi w art. 5 RODO, a z drugiej strony, zważywszy zwłaszcza na przewidzianą w art. 5 ust. 1 lit. a) zasadę zgodności przetwarzania z prawem, spełniać jeden z warunków zgodności przetwarzania z prawem wymienionych w art. 6 owego rozporządzenia (wyrok z dnia 20 października 2022 r., Digi, C‑77/21, EU:C:2022:805, pkt 49 i przytoczone tam orzecznictwo). Administrator musi być w stanie wykazać przestrzeganie tych zasad, zgodnie z zasadą odpowiedzialności określoną w art. 5 ust. 2 tego rozporządzenia (zob. podobnie wyrok z dnia 20 października 2022 r., Digi, C‑77/21, EU:C:2022:805, pkt 24).

68

Tak więc w przypadku gdy prawo państwa członkowskiego zezwala, zgodnie z art. 22 ust. 2 lit. b) RODO, na przyjęcie decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, przetwarzanie to powinno nie tylko spełniać warunki określone w tym ostatnim przepisie i w art. 22 ust. 4 tego rozporządzenia, lecz również spełniać wymogi określone w art. 5 i 6 tego rozporządzenia. W związku z tym państwa członkowskie nie mogą przyjmować na podstawie art. 22 ust. 2 lit. b) RODO przepisów, które zezwalają na profilowanie z naruszeniem wymogów ustanowionych w tych art. 5 i 6 zgodnie z ich wykładnią dokonaną w orzecznictwie Trybunału.

69

Co się tyczy w szczególności warunków zgodności z prawem przewidzianych w art. 6 ust. 1 lit. a), b) i f) RODO, które mogą znaleźć zastosowanie w przypadku takim jak rozpatrywany w postępowaniu głównym, państwa członkowskie nie są uprawnione do ustanowienia dodatkowych zasad stosowania tych warunków, ponieważ takie uprawnienie jest, zgodnie z art. 6 ust. 3 tego rozporządzenia, ograniczone do podstaw, o których mowa w art. 6 ust. 1 lit. c) i e) wspomnianego rozporządzenia.

70

Ponadto, co się tyczy w szczególności art. 6 ust. 1 lit. f) RODO, państwa członkowskie nie mogą, na podstawie art. 22 ust. 2 lit. b) tego rozporządzenia, odstąpić od wymogów wynikających z orzecznictwa Trybunału wypływającego z wyroku z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu) (C‑26/22 i C‑64/22, EU:C:2023:XXX), w szczególności określając w sposób ostateczny wynik wyważenia rozpatrywanych praw i interesów (zob. podobnie wyrok z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 62).

71

W niniejszej sprawie sąd odsyłający wskazuje, że jedynie § 31 BDSG może stanowić krajową podstawę prawną w rozumieniu art. 22 ust. 2 lit. b) RODO. Jednakże ma on poważne wątpliwości co do zgodności tego § 31 z prawem Unii. Przy założeniu, że przepis ten zostanie uznany za niezgodny z prawem Unii, SCHUFA działałaby nie tylko bez podstawy prawnej, ale również naruszałaby ipso iure zakaz ustanowiony w art. 22 ust. 1 RODO.

72

W tym względzie do sądu odsyłającego należy zbadanie, czy § 31 BDSG można uznać za podstawę prawną upoważniającą na podstawie art. 22 ust. 2 lit. b) RODO do przyjęcia decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu. Jeżeli sąd ten dojdzie do wniosku, że wspomniany § 31 stanowi taką podstawę prawną, powinien on jeszcze zbadać, czy w niniejszej sprawie spełnione są warunki określone w art. 22 ust. 2 lit. b) i art. 22 ust. 4 RODO oraz w art. 5 i 6 tego rozporządzenia.

73

W świetle całości powyższych rozważań na pytanie pierwsze należy odpowiedzieć, iż art. 22 ust. 1 RODO należy interpretować w ten sposób, że zautomatyzowane wyliczenie przez biuro informacji kredytowej wartości prawdopodobieństwa opartej na danych osobowych dotyczących danej osoby w zakresie jej zdolności do wywiązywania się ze zobowiązań płatniczych w przyszłości stanowi „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach” w rozumieniu tego przepisu, jeżeli od tej wartości prawdopodobieństwa zależy w decydujący sposób, czy strona trzecia, której wspomnianą wartość prawdopodobieństwa przekazano, nawiąże, wykona lub zakończy stosunek umowny z tą osobą.

74

Z uwagi na odpowiedź udzieloną na pytanie pierwsze nie ma konieczności udzielania odpowiedzi na pytanie drugie.

75

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje:

Artykuł 22 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

zautomatyzowane wyliczenie przez biuro informacji kredytowej wartości prawdopodobieństwa opartej na danych osobowych dotyczących danej osoby w zakresie jej zdolności do wywiązywania się ze zobowiązań płatniczych w przyszłości stanowi „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach” w rozumieniu tego przepisu, jeżeli od tej wartości prawdopodobieństwa zależy w decydujący sposób, czy strona trzecia, której wspomnianą wartość prawdopodobieństwa przekazano, nawiąże, wykona lub zakończy stosunek umowny z tą osobą.