Trybunał Sprawiedliwości Unii Europejskiej (dalej jako „TSUE”) w dniu 7 grudnia 2023 r. orzekł w sprawie wynikającej z istnienia prywatnych baz danych biur informacji kredytowej, w których to rejestrowane i przechowywane są informacje pochodzące z publicznych rejestrów, w szczególności dotyczące zwolnienia z pozostałej części długu. Kwestię sporną stanowiło przechowywanie ich przez SCHUFA Holding AG dłużej niż w rejestrze publicznym[1].

Zgodnie bowiem z opracowanym w Niemczech przez zrzeszenie biur informacji kredytowej i zatwierdzonym przez organ nadzorczy kodeksem postępowania ww. dane usuwa się dopiero z upływem trzech lat od ich zarejestrowania. Tymczasem prawo niemieckie w związku z treścią Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/848 z dnia 20 maja 2015 r. w sprawie postępowania upadłościowego (Dz.U. 2015, L 141, s. 19) przewiduje sześciomiesięczny termin na usunięcie wpisu w tym zakresie[2].

Przetwarzanie danych osobowych, w świetle art. 6 ust. 1 akapit pierwszy lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), dalej jako „RODO”, będzie zgodne z prawem w razie kumulatywnego spełnienia trzech przesłanek:

1. realizacji prawnie uzasadnionego interesu przez administratora lub przez osobę trzecią,
2. niezbędności przetwarzania danych osobowych do realizacji tego prawnie uzasadnionego interesu (tzw. zasada minimalizacji danych),
3. braku pierwszeństwa interesów lub podstawowych praw i wolności osoby objętej ochroną danych przed prawnie uzasadnionym interesem administratora lub osoby trzeciej.

Choć TSUE może udzielić wskazówek dotyczących ustalenia zaistnienia ww. przesłanek, ocena w tym zakresie w odniesieniu do konkretnego postępowania głównego należy ostatecznie do sądu odsyłającego. Do niego również należy wyważenie wchodzących w grę interesów i skutków dla osoby, której dane dotyczą. Z orzecznictwa TSUE wynika bowiem, że „obecność tych samych danych osobowych w wielu źródłach potęguje ingerencję w prawo osoby do życia prywatnego”[3].

Instytucja zwolnienia z długu, na co zwrócił uwagę rzecznik generalny[4], ma umożliwić danej osobie ponowny udział w życiu gospodarczym. Tymczasem uprawnienie biura informacji kredytowej do przechowywania danych osobowych w swoich bazach po usunięciu ich z rejestru publicznego udaremniłoby ten cel. Tym samym „negatywne konsekwencje […] wydają się przeważać nad interesem handlowym przedsiębiorstwa prywatnego i jego klientów”[5].

Wobec powyższego TSUE orzekł w pierwszej kolejności, że decyzja w sprawie skargi wydana przez organ nadzorczy podlega pełnej kontroli sądowej. Ponadto stwierdził, iż art. 5 ust. 1 lit. a RODO w zw. z art. 6 ust. 1 akapit pierwszy lit. f RODO stoi na przeszkodzie praktyce prywatnych biur informacji kredytowej przechowywania we własnych bazach danych pochodzących z rejestru publicznego informacji dotyczących przyznanego osobom fizycznym zwolnienia z pozostałej części długu przez okres dłuższy niż ten, w którym dane są przechowywane w rejestrze publicznym.

Z kolei wobec treści art. 17 ust. 1 lit. c i d RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, gdy wnosi ona sprzeciw wobec przetwarzania zgodnie z art. 21 ust. 1 RODO i nie występują nadrzędne prawnie uzasadnione podstawy mogące wyjątkowo usprawiedliwiać przetwarzanie. Administrator ma natomiast obowiązek usunięcia ich bez zbędnej zwłoki.

W tym samym dniu TSUE wydał kolejne orzeczenie przy udziale SCHUFA Holding AG. Tym razem dotyczyło ono tzw. scoringu, czyli zautomatyzowanego wyliczenia wartości prawdopodobieństwa zdolności do wypełnienia zobowiązań płatniczych w przyszłości[6]. Sprawa trafiła na drogę sądową w konsekwencji odmowy udzielenia pożyczki przed podmiot trzeci po przekazaniu mu ustalonych przez wskazane prywatne biuro informacji kredytowej negatywnych informacji na temat wnioskodawcy. Tymczasem zgodnie z art. 22 ust. 1 RODO „osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”.

TSUE stanął na stanowisku, iż wyliczenie wartości prawdopodobieństwa opartej na danych osobowych w zakresie zdolności do wywiązywania się z zobowiązań płatniczych w przyszłości stanowi „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach” w rozumieniu art. 22 ust. 1 RODO, jeżeli w sposób decydujący zależy od niej nawiązanie, wykonanie lub zakończenie stosunku umownego przez stronę trzecią, której tę wartość prawdopodobieństwa przekazano. Tym samym jest ono zakazane, chyba że zachodzi jeden z wyjątków przewidzianych w ust. 2 tego przepisu.

Jednocześnie państwa członkowskie nie mogą uchwalać przepisów zezwalających na profilowanie z naruszeniem wymogów wynikających z art. 5 i 6 RODO. Z orzecznictwa TSUE wynika bowiem, iż każde przetwarzanie danych osobowych powinno być zgodne z zasadami wyrażonymi we wskazanych przepisach.

[1] Wyrok Trybunału (pierwsza izba) z dnia 7 grudnia 2023 r. w sprawach połączonych C-26/22 i C-64/22, EU:C:2023:958.

[2] Zob. § 9 ust. 1 Insolvenzordnung (ustawy o podstępowaniu upadłościowym) z dnia 5 października 1994 r. (BGBI. 1994 I, s. 2866) oraz § 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (rozporządzenia w sprawie publicznych ogłoszeń w Internecie w postępowaniach upadłościowych) z dnia 12 lutego 2002 r. (BGBl. I, s. 677).

[3] Pkt 100 wyroku Trybunału (pierwsza izba) z dnia 7 grudnia 2023 r. w sprawach połączonych C-26/22 i C-64/22, EU:C:2023:958.

[4] Opinia rzecznika generalnego Priita Pikamäe przedstawiona w dniu 16 marca 2023 r. w sprawach połączonych C-26/22 i C-64/22 (dalej jako „Opinia”).

[5] Pkt 75 Opinii.

[6] Wyrok Trybunału (pierwsza izba) z dnia 7 grudnia 2023 r., C-634/21, EU:C:2023:957.