–

OQ, v zastúpení: U. Schmidt, Rechtsanwalt,

–

Land Hessen, v zastúpení: M. Kottmann a G. Ziegenhorn, Rechtsanwälte,

–

SCHUFA Holding AG, v zastúpení: G. Thüsing a U. Wuermeling, Rechtsanwalt,

–

nemecká vláda, v zastúpení: P.‑L. Krüger, splnomocnený zástupca,

–

dánska vláda, v zastúpení: V. Pasternak Jørgensen, M. Søndahl Wolff a Y. Thyregod Kollberg, splnomocnené zástupkyne,

–

portugalská vláda, v zastúpení: P. Barros da Costa, I. Oliveira, M. J. Ramos a C. Vieira Guerra, splnomocnené zástupkyne,

–

fínska vláda, v zastúpení: M. Pere, splnomocnená zástupkyňa,

–

Európska komisia, v zastúpení: A. Bouchagiar, F. Erlbacher a H. Kranenborg, splnomocnení zástupcovia,

1

Návrh na začatie prejudiciálneho konania sa týka výkladu článku 6 ods. 1 a článku 22 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).

2

Tento návrh bol podaný v rámci sporu medzi OQ a Land Hessen (Spolková krajina Hesensko, Nemecko) vo veci týkajúcej sa toho, že Hessischer Beauftragter für Datenschutz und Informationsfreiheit (splnomocnenec Spolkovej krajiny Hesensko pre ochranu údajov a slobodu informácií, Nemecko) (ďalej len „HBDI“) odmietol uložiť spoločnosti SCHUFA Holding AG (ďalej len „SCHUFA“) povinnosť vyhovieť žiadosti OQ o prístup a vymazanie osobných údajov, ktoré sa jej týkajú.

3

Podľa odôvodnenia 71 GDPR:

„Dotknutá osoba by mala mať právo nepodliehať rozhodnutiu, ktoré môže zahŕňať opatrenie, hodnotiacemu osobné aspekty, ktoré sa jej týkajú, založenému výlučne na automatizovanom spracúvaní a ktoré má právne účinky, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú, ako je napríklad automatické zamietnutie online žiadosti o úver alebo elektronické postupy prijímania pracovníkov bez akéhokoľvek ľudského zásahu. Takéto spracúvanie zahŕňa ‚profilovanie‘ pozostávajúce z akejkoľvek formy automatizovaného spracúvania osobných údajov spočívajúceho v hodnotení osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým na analýzu alebo predvídanie aspektov súvisiacich s výkonnosťou dotknutej osoby v práci, jej majetkovými pomermi, zdravím, osobnými preferenciami alebo záujmami, spoľahlivosťou alebo správaním, polohou alebo pohybom, pokiaľ vedie k právnym účinkom, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú. Rozhodovanie založené na takomto spracúvaní vrátane profilovania by sa však malo umožniť, ak je výslovne povolené právom Únie alebo právom členského štátu, ktoré sa vzťahuje na prevádzkovateľa, a to aj na účely monitorovania podvodov a daňových únikov a ich predchádzania, ktoré sa uskutočňuje v súlade s právnym predpismi, normami a odporúčaniami inštitúcií [Európskej ú]nie alebo vnútroštátnych orgánov dozoru, a na zaistenie bezpečnosti a spoľahlivosti služby poskytovanej zo strany prevádzkovateľa, alebo ak je nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom, alebo ak dotknutá osoba dala svoj výslovný súhlas. V každom prípade by takéto spracúvanie malo podliehať vhodným zárukám, ktoré by mali zahŕňať určité informácie pre dotknutú osobu a právo na ľudský zásah, vyjadriť svoj názor, dostať vysvetlenie rozhodnutia, ktoré bolo prijaté po takomto posúdení, a napadnúť rozhodnutie. Takéto opatrenie by sa nemalo týkať dieťaťa.

S cieľom zabezpečiť spravodlivé a transparentné spracúvanie vo vzťahu k dotknutej osobe a s ohľadom na konkrétne okolnosti a súvislosti spracúvania osobných údajov by mal prevádzkovateľ používať na účely profilovania primerané matematické alebo štatistické postupy, prijať technické a organizačné opatrenia vhodné na to, aby sa predovšetkým zabezpečilo, že faktory, ktoré vedú k nesprávnosti osobných údajov, sa opravia a riziko chýb sa minimalizuje, zabezpečiť osobné údaje tak, aby sa zohľadnili súvisiace potenciálne riziká pre záujmy a práva dotknutej osoby a aby sa okrem iného zabránilo diskriminačným účinkom na fyzické osoby na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie, alebo účinkom, ktoré vedú k opatreniam majúcim takéto účinky.“

4

Článok 4 tohto nariadenia s názvom „Vymedzenia pojmov“ stanovuje:

„Na účely tohto nariadenia:

…

…“

5

Článok 5 uvedeného nariadenia, nazvaný „Zásady spracúvania osobných údajov“, stanovuje:

„1.   Osobné údaje musia byť:

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

6

Článok 6 GDPR, nazvaný „Zákonnosť spracúvania“, v odsekoch 1 a 3 uvádza:

„1.   Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

…

3.   Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:

Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. …“

7

Článok 9 tohto nariadenia, nazvaný „Spracúvanie osobitných kategórií osobných údajov“, znie:

„1.   Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

2.   Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok:

…

…“

8

Článok 13 uvedeného nariadenia, nazvaný „Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby“, v odseku 2 stanovuje:

„Okrem informácií, ktoré sa uvádzajú v odseku 1, prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania:

…

9

Článok 14 GDPR, nazvaný „Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby“, v odseku 2 stanovuje:

„Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:

…

10

Článok 15 tohto nariadenia, nazvaný „Právo dotknutej osoby na prístup k údajom“, v odseku 1 uvádza:

„Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

…

11

Článok 22 uvedeného nariadenia, nazvaný „Automatizované individuálne rozhodovanie vrátane profilovania“, stanovuje:

„1.   Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

2.   Odsek 1 sa neuplatňuje, ak je rozhodnutie:

3.   V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ vykoná vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.

4.   Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných údajov uvedených v článku 9 ods. 1, pokiaľ sa neuplatňuje článok 9 ods. 2 písm. a) alebo g) a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a oprávnených záujmov dotknutej osoby.“

12

Článok 78 GDPR, nazvaný „Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu“, v odseku 1 stanovuje:

„Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.“

13

Ustanovenie § 31 Bundesdatenschutzgesetz (spolkový zákon o ochrane údajov) z 30. júna 2017 (BGBl. I, s. 2097, ďalej len „BDSG“) s názvom „Ochrana ekonomických transakcií v prípade scoringu a informácií o bonite“ znie:

„1.   Použitie hodnoty pravdepodobnosti určitého budúceho správania fyzickej osoby na účely rozhodnutia o založení, plnení alebo ukončení zmluvného vzťahu s touto osobou (scoring) je prípustné len vtedy, ak

2.   Použitie hodnoty pravdepodobnosti zistenej spoločnosťami poskytujúcimi ekonomické informácie, ktorá sa týka platobnej schopnosti fyzickej osoby a jej ochoty splácať úvery, je v prípade zohľadnenia informácií o pohľadávkach prípustné len vtedy, ak sú splnené podmienky uvedené v odseku 1 a ak sa berú do úvahy len pohľadávky na plnenie, ktoré sa napriek splatnosti neposkytlo a

(5)   ktoré sú založené na zmluvnom vzťahu, ktorý možno z dôvodu omeškania so zaplatením vypovedať bez výpovednej doby, a v prípade ktorých bol dlžník informovaný o ich možnom zohľadnení spoločnosťou poskytujúcou ekonomické informácie.

Prípustnosť spracúvania, vrátane stanovenia hodnôt pravdepodobnosti a iných údajov relevantných pre bonitu podľa všeobecných predpisov o ochrane údajov tým nie je dotknutá.“

14

SCHUFA je súkromnou spoločnosťou založenou podľa nemeckého práva, ktorá svojim zmluvným partnerom poskytuje informácie o úverovej bonite tretích osôb, najmä spotrebiteľov. Na tento účel stanovuje prognózu pravdepodobnosti budúceho správania osoby („skóre“), ako je splácanie úveru v závislosti od určitých charakteristík tejto osoby na základe matematických a štatistických postupov. Určenie skóre (scoring) je založené na predpoklade, že pomocou priradenia osoby ku skupine iných osôb s určitými porovnateľnými znakmi, ktoré sa správali určitým spôsobom, možno predpovedať podobné správanie.

15

Z návrhu na začatie prejudiciálneho konania vyplýva, že tretia strana odmietla OQ poskytnúť úver po tom, čo jej SCHUFA odovzdala záporné informácie o OQ. OQ požiadala SCHUFA, aby jej poskytla informácie o zaznamenaných osobných údajoch a vymazala z nich tie, ktoré sú údajne nesprávne.

16

V odpovedi na túto žiadosť SCHUFA informovala OQ o úrovni jej skóre a načrtla spôsoby výpočtu skóre. S odvolaním sa na obchodné tajomstvo však odmietla zverejniť jednotlivé informácie zohľadnené na účely tohto výpočtu, ako aj ich váhu. Napokon SCHUFA uviedla, že sa obmedzuje na poskytnutie informácií svojim zmluvným partnerom a že zmluvné rozhodnutia v pravom zmysle slova prijímajú práve títo partneri.

17

Sťažnosťou podanou 18. októbra 2018 OQ požiadala HBDI, príslušný dozorný orgán, aby nariadil spoločnosti SCHUFA vyhovieť jej žiadosti o prístup k informáciám a o výmaz.

18

Rozhodnutím z 3. júna 2020 HBDI zamietol tento návrh na vydanie príkazu, pričom vysvetlil, že nebolo preukázané, že SCHUFA nesplnila požiadavky stanovené v § 31 BDSG, pokiaľ ide o jej činnosť.

19

OQ podala proti tomuto rozhodnutiu žalobu na Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden, Nemecko), vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania, na základe článku 78 ods. 1 nariadenia GDPR.

20

Podľa tohto súdu treba na účely rozhodnutia sporu, ktorý prejednáva, určiť, či určenie takej hodnoty pravdepodobnosti, o akú ide vo veci samej, predstavuje automatizované individuálne rozhodnutie v zmysle článku 22 ods. 1 nariadenia GDPR. V prípade kladnej odpovede by totiž zákonnosť tejto činnosti v súlade s článkom 22 ods. 2 písm. b) tohto nariadenia podliehala podmienke, aby toto rozhodnutie bolo v súlade s právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha.

21

V tejto súvislosti má vnútroštátny súd pochybnosti, pokiaľ ide o teóriu, že článok 22 ods. 1 GDPR sa neuplatňuje na činnosť takých spoločností, ako je SCHUFA. Svoje pochybnosti zo skutkového hľadiska zakladá na význame takej hodnoty pravdepodobnosti, o akú ide vo veci samej, pre rozhodovaciu prax tretích strán, ktorým sa táto hodnota pravdepodobnosti odovzdáva, a z právneho hľadiska najmä na cieľoch sledovaných týmto článkom 22 ods. 1 a na zárukách právnej ochrany zakotvených v GDPR.

22

Konkrétnejšie vnútroštátny súd zdôrazňuje, že je to práve hodnota pravdepodobnosti, ktorá obvykle určuje, či a ako sa tretia strana dohodne s dotknutou osobou. Cieľom článku 22 nariadenia GDPR je pritom práve chrániť osoby pred rizikami spojenými s rozhodnutiami založenými výlučne na automatizovanom spracúvaní.

23

Naproti tomu, ak by sa mal článok 22 ods. 1 nariadenia GDPR vykladať v tom zmysle, že za „automatizované individuálne rozhodnutie“ v situácii, o akú ide vo veci samej, možno považovať len rozhodnutie prijaté treťou stranou vo vzťahu k dotknutej osobe, vyplývala by z toho medzera v právnej ochrane. Na jednej strane by totiž spoločnosť, akou je SCHUFA, nebola povinná poskytnúť prístup k dodatočným informáciám, na ktoré má dotknutá osoba nárok podľa článku 15 ods. 1 písm. h) tohto nariadenia, pretože táto spoločnosť by nebola spoločnosťou, ktorá prijala „automatizované rozhodnutie“ v zmysle tohto ustanovenia, a v dôsledku toho v zmysle článku 22 ods. 1 uvedeného nariadenia. Na druhej strane tretia strana, ktorej je hodnota pravdepodobnosti oznámená, nemôže poskytnúť tieto dodatočné informácie, pretože nimi nedisponuje.

24

Podľa vnútroštátneho súdu je teda na to, aby sa zabránilo takejto medzere v právnej ochrane, nevyhnutné, aby určenie takej hodnoty pravdepodobnosti, o akú ide vo veci samej, patrilo do pôsobnosti článku 22 ods. 1 nariadenia GDPR.

25

Ak by sa prijal takýto výklad, zákonnosť tejto činnosti by podliehala existencii právneho základu na úrovni dotknutého členského štátu v súlade s článkom 22 ods. 2 písm. b) tohto nariadenia. Hoci je v prejednávanej veci pravda, že § 31 BDSG by mohol predstavovať takýto právny základ v Nemecku, existujú vážne pochybnosti o zlučiteľnosti tohto ustanovenia s článkom 22 GDPR, pretože nemecký zákonodarca upravuje len „použitie“ takej hodnoty pravdepodobnosti, o akú ide vo veci samej, a nie samotné určenie tejto hodnoty.

26

Naopak, ak určenie takejto hodnoty pravdepodobnosti nepredstavuje automatizované individuálne rozhodovanie v zmysle článku 22 nariadenia GDPR, ustanovenie o výnimke uvedené v odseku 2 písm. b) tohto článku 22 sa neuplatní ani na vnútroštátne právne predpisy týkajúce sa tejto činnosti. Vzhľadom na v zásade taxatívnu povahu GDPR a neexistenciu inej normatívnej právomoci pre takéto vnútroštátne právne predpisy sa javí, že nemecký zákonodarca tým, že pre určenie hodnoty pravdepodobnosti stanovuje podrobnejšie obsahové podmienky prípustnosti, špecifikuje predmet úpravy nad rámec požiadaviek stanovených v článkoch 6 a 22 GDPR bez toho, aby mal na tento účel regulačnú právomoc. Ak by bol tento názor správny, zmenilo by to mieru voľnej úvahy vnútroštátneho dozorného orgánu, ktorý by potom musel posúdiť zlučiteľnosť činnosti spoločností poskytujúcich ekonomické informácie z hľadiska článku 6 tohto nariadenia.

27

Za týchto okolností Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

28

SCHUFA spochybňuje prípustnosť návrhu na začatie prejudiciálneho konania, pričom v prvom rade tvrdí, že vnútroštátny súd nemá preskúmať obsah rozhodnutia o sťažnosti prijatého dozorným orgánom, akým je HBDI, keďže súdny prostriedok nápravy proti takémuto rozhodnutiu stanovený v článku 78 ods. 1 nariadenia GDPR slúži len na preskúmanie toho, či tento orgán dodržal povinnosti, ktoré mu vyplývajú z tohto nariadenia, najmä povinnosť vybavovania sťažností, pričom spresňuje, že uvedený orgán má diskrečnú právomoc rozhodnúť, či a ako má konať.

29

V druhom rade SCHUFA tvrdí, že vnútroštátny súd neuvádza presné dôvody, pre ktoré sú položené otázky rozhodujúce pre vyriešenie sporu vo veci samej. Predmetom tohto sporu je žiadosť o informácie o konkrétnom skóre a jeho výmaz. SCHUFA si v prejednávanej veci dostatočne splnila svoju informačnú povinnosť a už vymazala skóre, ktoré je predmetom konania.

30

V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry Súdneho dvora prináleží len vnútroštátnemu súdu, ktorému bol spor predložený a ktorý musí niesť zodpovednosť za prijaté súdne rozhodnutie, aby s prihliadnutím na konkrétne okolnosti veci posúdil tak nevyhnutnosť prejudiciálneho rozhodnutia pre vydanie svojho rozsudku, ako aj relevantnosť otázok, ktoré predkladá Súdnemu dvoru. V dôsledku toho, ak sa položené otázky týkajú výkladu práva Únie, Súdny dvor je v zásade povinný rozhodnúť (rozsudok z 12. januára 2023, DOBELES HES, C‑702/20 a C‑17/21, EU:C:2023:1, bod 46, ako aj citovaná judikatúra).

31

Z toho vyplýva, že na otázky týkajúce sa práva Únie sa vzťahuje prezumpcia relevantnosti. Súdny dvor môže odmietnuť rozhodnúť o prejudiciálnej otázke podanej vnútroštátnym súdom len vtedy, ak je zjavné, že požadovaný výklad pravidla Únie nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, ak ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými ani právnymi podkladmi potrebnými na užitočnú odpoveď na otázky, ktoré mu boli položené (rozsudok z 12. januára 2023, DOBELES HES, C‑702/20 a C‑17/21, EU:C:2023:1, bod 47, ako aj citovaná judikatúra).

32

Pokiaľ ide v prvom rade o dôvod neprípustnosti založený na údajne obmedzenom súdnom preskúmaní, ktorému by podliehali rozhodnutia o sťažnosti prijaté dozorným orgánom, treba pripomenúť, že podľa článku 78 ods. 1 GDPR bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.

33

V prejednávanej veci je rozhodnutie, ktoré prijal HBDI ako dozorný orgán, právne záväzným rozhodnutím v zmysle tohto článku 78 ods. 1 Tento orgán totiž po preskúmaní dôvodnosti sťažnosti, ktorá mu bola predložená, o nej rozhodol a konštatoval, že spracúvanie osobných údajov, ktoré žalobkyňa vo veci samej napáda, bolo zákonné.

34

Pokiaľ ide o rozsah súdneho preskúmania takéhoto rozhodnutia v rámci žaloby podanej na základe uvedeného článku 78 ods. 1, stačí uviesť, že rozhodnutie o sťažnosti prijaté dozorným orgánom podlieha úplnému súdnemu preskúmaniu [rozsudok zo 7. decembra 2023, SCHUFA Holding a i. (Odpustenie zostatku dlhu), C‑26/22 a C‑64/22, EU:C:2023:XXX, bod 1 výroku].

35

Prvý dôvod neprípustnosti, ktorý vzniesla SCHUFA, sa teda musí zamietnuť.

36

V druhom rade z návrhu na začatie prejudiciálneho konania jasne vyplýva, že vnútroštátny súd sa pýta na kritérium preskúmania, ktoré sa má použiť pri posudzovaní spracúvania osobných údajov, o ktoré ide vo veci samej, z hľadiska GDPR, pričom toto kritérium závisí od uplatniteľnosti alebo neuplatniteľnosti článku 22 ods. 1 tohto nariadenia.

37

Nie je teda zjavné, že výklad nariadenia GDPR požadovaný vnútroštátnym súdom nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, ani že ide o hypotetický problém. Navyše má Súdny dvor k dispozícii skutkové a právne informácie nevyhnutné na to, aby poskytol užitočnú odpoveď na otázky, ktoré mu boli položené.

38

Druhý dôvod neprípustnosti, ktorý vzniesla SCHUFA, treba teda tiež zamietnuť.

39

Za týchto podmienok je návrh na začatie prejudiciálneho konania prípustný.

40

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 22 ods. 1 GDPR vykladať v tom zmysle, že „automatizovaným individuálnym rozhodnutím“ v zmysle tohto ustanovenia je, keď spoločnosť poskytujúca ekonomické informácie vykoná automatizované určenie hodnoty pravdepodobnosti založenej na osobných údajoch osoby a týkajúcej sa schopnosti tejto osoby v budúcnosti plniť platobné záväzky, ak od tejto hodnoty pravdepodobnosti v rozhodujúcej miere závisí skutočnosť, či tretia strana, ktorej bola táto hodnota pravdepodobnosti poskytnutá, založí, vykoná alebo ukončí zmluvný vzťah s touto osobou.

41

Na účely odpovede na túto otázku treba na úvod pripomenúť, že výklad ustanovenia práva Únie si vyžaduje zohľadnenie nielen jeho znenia, ale aj kontextu, do ktorého patrí, a cieľov a účelu aktu, ktorého je súčasťou (rozsudok z 22. júna 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 38 a citovaná judikatúra).

42

Pokiaľ ide o znenie článku 22 ods. 1 GDPR, toto ustanovenie stanovuje, že dotknutá osoba má právo, aby sa na ňu nevzťahovalo rozhodnutie založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

43

Uplatniteľnosť tohto ustanovenia teda podlieha trom kumulatívnym podmienkam, a to po prvé, že musí existovať „rozhodnutie“, po druhé, že toto rozhodnutie musí byť „založené výlučne na automatizovanom spracúvaní, vrátane profilovania“, a po tretie, že musí mať „právne účinky [vo vzťahu k dotknutej osobe]“ alebo ju musí „podobne významne ovplyvniť“.

44

Pokiaľ ide po prvé o podmienku týkajúcu sa existencie rozhodnutia, treba uviesť, že pojem „rozhodnutie“ v zmysle článku 22 ods. 1 GDPR nie je v tomto nariadení definovaný. Zo samotného znenia tohto ustanovenia však vyplýva, že tento pojem odkazuje nielen na akty, ktoré majú právne účinky vo vzťahu k dotknutej osobe, ale aj na akty, ktoré ju podobne výrazne ovplyvňujú.

45

Široký rozsah pojmu „rozhodnutie“ potvrdzuje odôvodnenie 71 GDPR, podľa ktorého rozhodnutie, ktoré zahŕňa posúdenie určitých osobných aspektov týkajúcich sa určitej osoby, v súvislosti s ktorým by táto osoba mala mať právo nepodliehať rozhodnutiu, ktoré „môže zahŕňať opatrenie“, ktoré má buď „právne účinky, ktoré sa jej týkajú“, alebo „ju podobným spôsobom významne ovplyvňujú“. Podľa tohto odôvodnenia sa pojem „rozhodnutie“ vzťahuje napríklad na automatické zamietnutie online žiadosti o úver alebo elektronické postupy prijímania pracovníkov bez akéhokoľvek ľudského zásahu.

46

Vzhľadom na to, že pojem „rozhodnutie“ v zmysle článku 22 ods. 1 nariadenia GDPR môže, ako uviedol generálny advokát v bode 38 svojich návrhov, zahŕňať viaceré akty, ktoré môžu mnohými spôsobmi ovplyvniť dotknutú osobu, tento pojem je dostatočne široký na to, aby zahŕňal výsledok výpočtu úverovej bonity osoby vo forme hodnoty pravdepodobnosti týkajúcej sa schopnosti tejto osoby v budúcnosti plniť platobné záväzky.

47

Pokiaľ ide po druhé o podmienku, podľa ktorej rozhodnutie v zmysle tohto článku 22 ods. 1 musí byť „založené výlučne na automatizovanom spracúvaní, vrátane profilovania“, ako uviedol generálny advokát v bode 33 svojich návrhov, je nesporné, že taká činnosť, ako je činnosť spoločnosti SCHUFA, zodpovedá definícii „profilovania“ uvedenej v článku 4 bode 4 GDPR, a teda že táto podmienka je v prejednávanej veci splnená, keďže znenie prvej prejudiciálnej otázky navyše výslovne odkazuje na automatizované určenie hodnoty pravdepodobnosti založenej na osobných údajoch osoby a týkajúcej sa jej schopnosti v budúcnosti splácať úver.

48

Po tretie, pokiaľ ide o podmienku, že rozhodnutie musí mať „právne účinky“ týkajúce sa dotknutej osoby alebo ju musí „podobne významne ovplyv[ňovať]“, zo samotného znenia prvej prejudiciálnej otázky vyplýva, že konanie tretej strany, ktorej sa hodnota pravdepodobnosti odovzdá, sa „rozhodujúcou mierou“ riadi touto hodnotou. Podľa skutkových zistení vnútroštátneho súdu tak v prípade žiadosti o úver, ktorú spotrebiteľ adresuje banke, nedostatočná hodnota pravdepodobnosti vedie takmer vo všetkých prípadoch k odmietnutiu zo strany tejto banky poskytnúť požadovaný úver.

49

Za týchto podmienok treba konštatovať, že tretia podmienka, ktorej podlieha uplatnenie článku 22 ods. 1 GDPR, je tiež splnená, keďže hodnota pravdepodobnosti, o akú ide vo veci samej, prinajmenšom ovplyvní dotknutú osobu výrazným spôsobom.

50

Z toho vyplýva, že za takých okolností, o aké ide vo veci samej, keď hodnota pravdepodobnosti určená spoločnosťou poskytujúcou ekonomické informácie a oznámená banke zohráva rozhodujúcu úlohu pri poskytovaní úveru, sa určenie tejto hodnoty musí samo osebe kvalifikovať ako rozhodnutie, ktoré má vo vzťahu k dotknutej osobe „právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú“ v zmysle článku 22 ods. 1 GDPR.

51

Tento výklad je podporený kontextom, do ktorého patrí článok 22 ods. 1 GDPR, ako aj cieľmi a účelom, ktoré toto nariadenie sleduje.

52

V tejto súvislosti treba uviesť, že ako poznamenal generálny advokát v bode 31 svojich návrhov, článok 22 ods. 1 GDPR priznáva dotknutej osobe „právo“ na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania. Toto ustanovenie stanovuje zásadný zákaz, ktorého porušenie takáto osoba nemusí individuálne uplatňovať.

53

Ako totiž vyplýva z článku 22 ods. 2 nariadenia GDPR v spojení s odôvodnením 71 tohto nariadenia, prijatie rozhodnutia založeného výlučne na automatizovanom spracúvaní je prípustné len v prípadoch uvedených v tomto článku 22 ods. 2, t. j. ak je toto rozhodnutie nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom [písmeno a)], ak je povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha [písmeno b)], alebo ak je založené na výslovnom súhlase dotknutej osoby [písmeno c)].

54

Okrem toho článok 22 nariadenia GDPR vo svojom odseku 2 písm. b) a odseku 3 stanovuje, že musia byť stanovené vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby. V prípadoch uvedených v článku 22 ods. 2 písm. a) a c) tohto nariadenia prevádzkovateľ vykoná aspoň právo na ľudský zásah zo strany prevádzkovateľa, právo vyjadriť svoje stanovisko a právo napadnúť rozhodnutie.

55

Okrem toho v súlade s článkom 22 ods. 4 GDPR môžu byť automatizované individuálne rozhodnutia v zmysle tohto článku 22 založené na osobitných kategóriách osobných údajov uvedených v článku 9 ods. 1 tohto nariadenia len v určitých osobitných prípadoch.

56

Navyše v prípade automatizovaného rozhodovania, aké je uvedené v článku 22 ods. 1 nariadenia GDPR, na jednej strane prevádzkovateľ podlieha dodatočným informačným povinnostiam podľa článku 13 ods. 2 písm. f), ako aj článku 14 ods. 2 písm. g) tohto nariadenia. Na druhej strane má dotknutá osoba na základe článku 15 ods. 1 písm. h) uvedeného nariadenia právo od prevádzkovateľa získať „zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu“.

57

Tieto prísnejšie požiadavky, pokiaľ ide o zákonnosť automatizovaného rozhodovania, ako aj dodatočné informačné povinnosti prevádzkovateľa a súvisiace dodatočné práva na prístup dotknutej osoby, sa vysvetľujú účelom, ktorý sleduje článok 22 GDPR, ktorý spočíva v ochrane jednotlivcov pred osobitnými rizikami pre ich práva a slobody, ktoré predstavuje automatizované spracúvanie osobných údajov, vrátane profilovania.

58

Ako totiž vyplýva z odôvodnenia 71 GDPR, toto spracúvanie zahŕňa hodnotenie osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým na účely analýzy alebo predvídania aspektov súvisiacich s výkonnosťou dotknutej osoby v práci, jej majetkovými pomermi, zdravím, osobnými preferenciami alebo záujmami, so spoľahlivosťou alebo správaním, polohou alebo pohybom.

59

Tieto osobitné riziká môžu podľa tohto odôvodnenia ovplyvniť oprávnené záujmy a práva dotknutej osoby, najmä vzhľadom na možné diskriminačné účinky na fyzické osoby na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie. Podľa uvedeného odôvodnenia je teda dôležité stanoviť primerané záruky a zabezpečiť spravodlivé a transparentné zaobchádzanie s dotknutou osobou, najmä použitím primeraných matematických alebo štatistických postupov na účely profilovania a uplatňovaním vhodných technických a organizačných opatrení na zabezpečenie minimalizácie rizika chýb.

60

Výklad uvedený v bodoch 42 až 50 tohto rozsudku, a najmä široký rozsah pojmu „rozhodnutie“ v zmysle článku 22 ods. 1 nariadenia GDPR, posilňuje účinnú ochranu uvedenú v tomto ustanovení.

61

Naproti tomu za takých okolností, o aké ide vo veci samej, do ktorých sú zapojené tri subjekty, by existovalo riziko obchádzania článku 22 nariadenia GDPR a v dôsledku toho medzera v právnej ochrane, ak by sa prijal reštriktívny výklad tohto ustanovenia, podľa ktorého sa určenie uvedenej hodnoty pravdepodobnosti musí považovať len za prípravný akt a za „rozhodnutie“ v zmysle článku 22 ods. 1 tohto nariadenia možno prípadne považovať len akt prijatý treťou stranou.

62

V takom prípade by totiž určenie takej hodnoty pravdepodobnosti, o akú ide vo veci samej, uniklo osobitným požiadavkám stanoveným v článku 22 ods. 2 až 4 GDPR, hoci tento postup je založený na automatizovanom spracúvaní a vyvoláva účinky významne ovplyvňujúce dotknutú osobu, keďže konanie tretej strany, ktorej sa táto hodnota pravdepodobnosti poskytuje, sa rozhodujúcou mierou riadi touto hodnotou.

63

Okrem toho, ako uviedol generálny advokát v bode 48 svojich návrhov, dotknutá osoba by si na jednej strane nemohla voči spoločnosti poskytujúcej ekonomické informácie, ktorá bez vykonania automatizovaného rozhodovania určí hodnotu pravdepodobnosti týkajúcu sa tejto osoby, uplatniť svoje právo na prístup k osobitným informáciám uvedeným v článku 15 ods. 1 písm. h) GDPR. Na druhej strane aj za predpokladu, že by sa na akt prijatý treťou stranou vzťahoval článok 22 ods. 1 tohto nariadenia, pokiaľ spĺňa podmienky uplatnenia tohto ustanovenia, táto tretia strana by nebola schopná poskytnúť tieto konkrétne informácie, pretože ich v zásade nemá.

64

Skutočnosť, že na určenie takej hodnoty pravdepodobnosti, o akú ide vo veci samej, sa vzťahuje článok 22 ods. 1 GDPR, má za následok, ako bolo uvedené v bodoch 53 až 55 tohto rozsudku, že toto určenie je zakázané, pokiaľ sa neuplatní jedna z výnimiek uvedených v článku 22 ods. 2 tohto nariadenia a sú splnené osobitné požiadavky stanovené v článku 22 ods. 3 a 4 uvedeného nariadenia.

65

Pokiaľ ide konkrétnejšie o článok 22 ods. 2 písm. b) GDPR, na ktorý odkazuje vnútroštátny súd, zo samotného znenia tohto ustanovenia vyplýva, že vnútroštátne právo, ktoré umožňuje prijatie automatizovaného individuálneho rozhodnutia, musí stanoviť vhodné opatrenia na ochranu práv a slobôd, ako aj oprávnených záujmov dotknutej osoby.

66

So zreteľom na odôvodnenie 71 GDPR by takéto opatrenia mali zahŕňať najmä povinnosť prevádzkovateľa používať primerané matematické alebo štatistické postupy, prijať technické a organizačné opatrenia vhodné na to, aby sa riziko chýb minimalizovalo a chyby sa opravili, ako aj zabezpečiť osobné údaje tak, aby sa zohľadnili súvisiace potenciálne riziká pre záujmy a práva dotknutej osoby a aby sa okrem iného zabránilo diskriminačným účinkom na túto osobu. Tieto opatrenia navyše zahŕňajú aspoň právo dotknutej osoby na ľudský zásah zo strany prevádzkovateľa, právo vyjadriť svoj názor a právo napadnúť rozhodnutie, ktoré bolo voči nej prijaté.

67

Treba ešte uviesť, že podľa ustálenej judikatúry Súdneho dvora každé spracúvanie osobných údajov musí byť na jednej strane v súlade so zásadami týkajúcimi sa spracúvania údajov, ktoré sú stanovené v článku 5 uvedeného nariadenia, a na druhej strane najmä vzhľadom na zásadu zákonnosti spracúvania stanovenú v odseku 1 písm. a) tohto článku musí spĺňať jednu z podmienok zákonnosti spracúvania uvedených v článku 6 tohto nariadenia (rozsudok z 20. októbra 2022, Digi, C‑77/21, EU:C:2022:805, bod 49 a citovaná judikatúra). Prevádzkovateľ musí byť schopný preukázať dodržiavanie týchto zásad v súlade so zásadou zodpovednosti stanovenou v článku 5 ods. 2 uvedeného nariadenia (pozri v tomto zmysle rozsudok z 20. októbra 2022, Digi, C‑77/21, EU:C:2022:805, bod 24).

68

Ak teda právo členského štátu povoľuje v súlade s článkom 22 ods. 2 písm. b) nariadenia GDPR prijatie rozhodnutia založeného výlučne na automatizovanom spracúvaní, toto spracúvanie musí spĺňať nielen podmienky stanovené v tomto poslednom uvedenom ustanovení a v článku 22 ods. 4 tohto nariadenia, ale aj požiadavky stanovené v článkoch 5 a 6 uvedeného nariadenia. Členské štáty preto nemôžu na základe článku 22 ods. 2 písm. b) nariadenia GDPR prijať právne predpisy, ktoré umožňujú profilovanie v rozpore s požiadavkami stanovenými v týchto článkoch 5 a 6, ako ich vykladá judikatúra Súdneho dvora.

69

Pokiaľ ide konkrétne o podmienky zákonnosti stanovené v článku 6 ods. 1 písm. a), b) a f) GDPR, ktoré sa môžu uplatniť v prípade, o aký ide vo veci samej, členské štáty nie sú oprávnené stanoviť dodatočné pravidlá na uplatňovanie týchto podmienok, keďže takáto možnosť je v súlade s článkom 6 ods. 3 tohto nariadenia obmedzená na dôvody uvedené v článku 6 ods. 1 písm. c) a e) uvedeného nariadenia.

70

Okrem toho, pokiaľ ide konkrétnejšie o článok 6 ods. 1 písm. f) GDPR, členské štáty sa podľa článku 22 ods. 2 písm. b) tohto nariadenia nemôžu odchýliť od požiadaviek na základe judikatúry Súdneho dvora vyplývajúcej z rozsudku zo 7. decembra 2023, SCHUFA Holding (Odpustenie zostatku dlhu) (C‑26/22 a C‑64/22, EU:C:2023:XXX), a to najmä tým, že s konečnou platnosťou stanovia výsledok zváženia dotknutých práv a záujmov (pozri v tomto zmysle rozsudok z 19. októbra 2016, Breyer, C‑582/14, EU:C:2016:779, bod 62).

71

V prejednávanej veci vnútroštátny súd uvádza, že iba § 31 BDSG môže predstavovať vnútroštátny právny základ v zmysle článku 22 ods. 2 písm. b) GDPR. Má však vážne pochybnosti o zlučiteľnosti tohto § 31 s právom Únie. Za predpokladu, že by sa toto ustanovenie považovalo za nezlučiteľné s právom Únie, SCHUFA by konala nielen bez právneho základu, ale ipso iure by porušovala zákaz stanovený v článku 22 ods. 1 GDPR.

72

V tejto súvislosti prináleží vnútroštátnemu súdu, aby overil, či § 31 BDSG možno považovať za právny základ umožňujúci podľa článku 22 ods. 2 písm. b) GDPR prijatie rozhodnutia založeného výlučne na automatizovanom spracúvaní. Ak tento súd dospeje k záveru, že uvedený § 31 predstavuje takýto právny základ, prináleží mu ešte overiť, či sú v prejednávanej veci splnené podmienky stanovené v článku 22 ods. 2 písm. b) a článku 22 ods. 4 GDPR a podmienky uvedené v článkoch 5 a 6 tohto nariadenia.

73

Vzhľadom na predchádzajúce úvahy treba na prvú otázku odpovedať tak, že článok 22 ods. 1 GDPR sa má vykladať v tom zmysle, že keď spoločnosť poskytujúca ekonomické informácie vykoná automatizované určenie hodnoty pravdepodobnosti založenej na osobných údajoch osoby a týkajúcej sa schopnosti tejto osoby v budúcnosti plniť platobné záväzky, ide o „automatizované individuálne rozhodnutie“ v zmysle tohto ustanovenia, ak od tejto hodnoty pravdepodobnosti v rozhodujúcej miere závisí skutočnosť, či tretia strana, ktorej bola táto hodnota pravdepodobnosti poskytnutá, založí, vykoná alebo ukončí zmluvný vzťah s touto osobou.

74

Vzhľadom na odpoveď, ktorá bola poskytnutá na prvú otázku, netreba odpovedať na druhú otázku.

75

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (prvá komora) rozhodol takto:

Článok 22 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),

sa má vykladať v tom zmysle, že:

keď spoločnosť poskytujúca ekonomické informácie vykoná automatizované určenie hodnoty pravdepodobnosti založenej na osobných údajoch osoby a týkajúcej sa schopnosti tejto osoby v budúcnosti plniť platobné záväzky, ide o „automatizované individuálne rozhodnutie“ v zmysle tohto ustanovenia, ak od tejto hodnoty pravdepodobnosti v rozhodujúcej miere závisí skutočnosť, či tretia strana, ktorej bola táto hodnota pravdepodobnosti poskytnutá, založí, vykoná alebo ukončí zmluvný vzťah s touto osobou.