TSUE na temat przetwarzania danych osobowych przez biura informacji kredytowej
Trybunał Sprawiedliwości Unii Europejskiej (dalej jako „TSUE”) w dniu 7 grudnia 2023 r. orzekł w sprawie wynikającej z istnienia prywatnych baz danych biur informacji kredytowej, w których to rejestrowane i przechowywane są informacje pochodzące z publicznych rejestrów, w szczególności dotyczące zwolnienia z pozostałej części długu. Kwestię sporną stanowiło przechowywanie ich przez SCHUFA Holding AG dłużej niż w rejestrze publicznym[1].
Zgodnie bowiem z opracowanym w Niemczech przez zrzeszenie biur informacji kredytowej i zatwierdzonym przez organ nadzorczy kodeksem postępowania ww. dane usuwa się dopiero z upływem trzech lat od ich zarejestrowania. Tymczasem prawo niemieckie w związku z treścią Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/848 z dnia 20 maja 2015 r. w sprawie postępowania upadłościowego (Dz.U. 2015, L 141, s. 19) przewiduje sześciomiesięczny termin na usunięcie wpisu w tym zakresie[2].
Przetwarzanie danych osobowych, w świetle art. 6 ust. 1 akapit pierwszy lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), dalej jako „RODO”, będzie zgodne z prawem w razie kumulatywnego spełnienia trzech przesłanek:
- realizacji prawnie uzasadnionego interesu przez administratora lub przez osobę trzecią,
- niezbędności przetwarzania danych osobowych do realizacji tego prawnie uzasadnionego interesu (tzw. zasada minimalizacji danych),
- braku pierwszeństwa interesów lub podstawowych praw i wolności osoby objętej ochroną danych przed prawnie uzasadnionym interesem administratora lub osoby trzeciej.
Choć TSUE może udzielić wskazówek dotyczących ustalenia zaistnienia ww. przesłanek, ocena w tym zakresie w odniesieniu do konkretnego postępowania głównego należy ostatecznie do sądu odsyłającego. Do niego również należy wyważenie wchodzących w grę interesów i skutków dla osoby, której dane dotyczą. Z orzecznictwa TSUE wynika bowiem, że „obecność tych samych danych osobowych w wielu źródłach potęguje ingerencję w prawo osoby do życia prywatnego”[3].
Instytucja zwolnienia z długu, na co zwrócił uwagę rzecznik generalny[4], ma umożliwić danej osobie ponowny udział w życiu gospodarczym. Tymczasem uprawnienie biura informacji kredytowej do przechowywania danych osobowych w swoich bazach po usunięciu ich z rejestru publicznego udaremniłoby ten cel. Tym samym „negatywne konsekwencje […] wydają się przeważać nad interesem handlowym przedsiębiorstwa prywatnego i jego klientów”[5].
Wobec powyższego TSUE orzekł w pierwszej kolejności, że decyzja w sprawie skargi wydana przez organ nadzorczy podlega pełnej kontroli sądowej. Ponadto stwierdził, iż art. 5 ust. 1 lit. a RODO w zw. z art. 6 ust. 1 akapit pierwszy lit. f RODO stoi na przeszkodzie praktyce prywatnych biur informacji kredytowej przechowywania we własnych bazach danych pochodzących z rejestru publicznego informacji dotyczących przyznanego osobom fizycznym zwolnienia z pozostałej części długu przez okres dłuższy niż ten, w którym dane są przechowywane w rejestrze publicznym.
Z kolei wobec treści art. 17 ust. 1 lit. c i d RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, gdy wnosi ona sprzeciw wobec przetwarzania zgodnie z art. 21 ust. 1 RODO i nie występują nadrzędne prawnie uzasadnione podstawy mogące wyjątkowo usprawiedliwiać przetwarzanie. Administrator ma natomiast obowiązek usunięcia ich bez zbędnej zwłoki.
W tym samym dniu TSUE wydał kolejne orzeczenie przy udziale SCHUFA Holding AG. Tym razem dotyczyło ono tzw. scoringu, czyli zautomatyzowanego wyliczenia wartości prawdopodobieństwa zdolności do wypełnienia zobowiązań płatniczych w przyszłości[6]. Sprawa trafiła na drogę sądową w konsekwencji odmowy udzielenia pożyczki przed podmiot trzeci po przekazaniu mu ustalonych przez wskazane prywatne biuro informacji kredytowej negatywnych informacji na temat wnioskodawcy. Tymczasem zgodnie z art. 22 ust. 1 RODO „osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”.
TSUE stanął na stanowisku, iż wyliczenie wartości prawdopodobieństwa opartej na danych osobowych w zakresie zdolności do wywiązywania się z zobowiązań płatniczych w przyszłości stanowi „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach” w rozumieniu art. 22 ust. 1 RODO, jeżeli w sposób decydujący zależy od niej nawiązanie, wykonanie lub zakończenie stosunku umownego przez stronę trzecią, której tę wartość prawdopodobieństwa przekazano. Tym samym jest ono zakazane, chyba że zachodzi jeden z wyjątków przewidzianych w ust. 2 tego przepisu.
Jednocześnie państwa członkowskie nie mogą uchwalać przepisów zezwalających na profilowanie z naruszeniem wymogów wynikających z art. 5 i 6 RODO. Z orzecznictwa TSUE wynika bowiem, iż każde przetwarzanie danych osobowych powinno być zgodne z zasadami wyrażonymi we wskazanych przepisach.
[1] Wyrok Trybunału (pierwsza izba) z dnia 7 grudnia 2023 r. w sprawach połączonych C-26/22 i C-64/22, EU:C:2023:958.
[2] Zob. § 9 ust. 1 Insolvenzordnung (ustawy o podstępowaniu upadłościowym) z dnia 5 października 1994 r. (BGBI. 1994 I, s. 2866) oraz § 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (rozporządzenia w sprawie publicznych ogłoszeń w Internecie w postępowaniach upadłościowych) z dnia 12 lutego 2002 r. (BGBl. I, s. 677).
[3] Pkt 100 wyroku Trybunału (pierwsza izba) z dnia 7 grudnia 2023 r. w sprawach połączonych C-26/22 i C-64/22, EU:C:2023:958.
[4] Opinia rzecznika generalnego Priita Pikamäe przedstawiona w dniu 16 marca 2023 r. w sprawach połączonych C-26/22 i C-64/22 (dalej jako „Opinia”).
[5] Pkt 75 Opinii.
[6] Wyrok Trybunału (pierwsza izba) z dnia 7 grudnia 2023 r., C-634/21, EU:C:2023:957.