U dvije odluke, Europski sud pravde ("ECJ") presudio je o SCHUFA bodovanju i praksi obrade podataka SCHUFA Holding AG ("SCHUFA"). Prema ECJ-u, SCHUFA bodovanje predstavlja automatizirano individualno donošenje odluka – što općenito nije dopušteno – ako klijenti SCHUFA bodovanju pripisuju odlučujuću ulogu u kontekstu odobravanja kredita. Sud koji je uputio zahtjev sada mora ispitati predviđa li njemački Savezni zakon o zaštiti podataka (BDSG) odgovarajuću iznimku od ovoga. ECJ je također presudio da privatne kreditne agencije ne bi trebale pohranjivati podatke koji se odnose na otpust preostalih dugova dulje od javnih registara o nesolventnosti.
Pozadina slučaja
ECJ je morao donjeti odluke o ukupno tri postupka vezana uz preliminarne odluke Upravnog suda u Wiesbadenu.
Prvi od tri postupka prethodnog odlučivanja (C-634/21) posebno se bavio pitanjem predstavlja li bodovanje od strane SCHUFA-e automatizirano donošenje odluka u smislu čl. 22 GDPR-a. Vrijednost rezultata temelji se na bodovanju, "matematičkoj statističkoj metodi" na temelju koje se procjenjuje vjerojatnost budućeg ponašanja plaćanja, npr. vjerojatnost otplate kredita.
SCHUFA je u postupku tvrdila da je samo izračunala ˝ocjenu˝ i stavila je na raspolaganje ugovornim partnerima, ali da sama nije donosila automatizirane odluke o odobravanju kredita; umjesto toga te bi odluke donosili sami ugovorni partneri, npr. banke.
Sud se također pozabavio pitanjem isključuju li odredbe GDPR-a primjenu odjeljka 31. BDSG-a. Odjeljak 31. BDSG dopušta bodovanje i kreditna izvješća za zaštitu komercijalnih transakcija. Sud koji je uputio zahtjev postavio je Europskom sudu pravde nekoliko pitanja u vezi s tim. Konkretno, želio je znati predstavlja li stvaranje/ kreiranje rezultata već automatizirano donošenje odluka u smislu čl. 22 GDPR-a ako drugi voditelj obrade (npr. korisnik SCHUFA-e) donese konačnu odluku o odobravanju kredita, a ako to nije slučaj, isključuje li GDPR primjenu odjeljka 31 BDSG.
Druga dva vezana postupka prethodnog odlučivanja (C-26/22 i C-64/22) odnose se na brisanje SCHUFA unosa koji se odnose na otpust od preostalih dugova. SCHUFA je ove podatke čuvala tri godine, dok ih javni registri nesolventnosti brišu šest mjeseci nakon što je odobren otpust od preostalih dugova. Sud koji je uputio zahtjev pitao je da li je to dopušteno prema propisima o zaštiti podataka i mogu li ispitanici također zahtijevati da SCHUFA izbriše odgovarajući unos u bazama podataka SCHUFA-e nakon što istekne razdoblje pohrane koje se primjenjuje na javne registre.
ECJ o usklađenosti bodovanja s odredbama GDPR-a (C-634/21)
ECJ je u konačnici donio odluku da bodovanje predstavlja "automatizirano pojedinačno donošenje odluka", što u načelu nije dopušteno prema GDPR-u, ako bodovanje određuje hoće li treća strana kojoj se prenosi vrijednost bodova uspostaviti ili prekinuti ugovorni odnos s tom osobom. Slijedom navedeng, Sud kojije uputio zahtjev mora ispitati sadrži li BDSG učinkovitu iznimku od ove zabrane i, ako je to slučaj, jesu li ispunjeni opći zahtjevi GDPR-a za obradu osobnih podataka.
Prema ECJ-u, bodovanje predstavlja takvo automatizirano donošenje odluka ako klijenti SCHUFA-e, npr. banke, svoju odluku (npr. o odobravanju kredita) donose isključivo ovisno o vrijednosti boda.
Prema mišljenju suda koji je uputio zahtjev, to je bio slučaj u glavnom postupku. Pridružena stranka SCHUFA, s druge strane, tvrdila je da ne spada u djelokrug čl. 22 GDPR-a. Iako je pružanjem podataka pomogao svojim klijentima u procesu donošenja odluka, sam nije donosio nikakve odluke. Europski sud pravde zauzeo je drugačije stajalište, navodeći da su zahtjevi iz čl. 22. st. 1 GDPR-a. Bodovanje je predstavljalo automatizirano donošenje odluka koje imaju pravni učinak na nositelja podataka ili na sličan način značajno utječu na njega. To je proizašlo iz činjeničnih nalaza suda koji je uputio zahtjev, prema kojima bi, u slučaju zahtjeva za potrošačkim kreditom, nedovoljan rezultat u gotovo svim slučajevima rezultirao odbijanjem zahtjeva od strane banke. Posljedično, moralo bi se pretpostaviti da vrijednost rezultata barem značajno utječe na ispitanika.
Što dalje?
Upravni sud u Wiesbadenu sada mora provjeriti sadrži li BDSG iznimku od ove zabrane u skladu s GDPR-om. Članak 22. st. 2 lit. b GDPR-a dopušta državama članicama donošenje propisa o automatskom donošenju odluka. Takvim propisom bi se mogao smatrati BDSG-a (u Odjeljak 31.), a za koji se sada mora ocijeniti je li usklađen sa čl. 22 GDPR-a. Ako bi Upravni sud u Wiesbadenu ovo potvrdio, moralo bi dodatno ispitati ispunjavaju li se zahtjevi iz čl. 5 i 6 GDPR-a u ovom slučaju.
Nezakonita razdoblja čuvanja u vezi s otpustom od preostalih dugova (C-26/22 i C-64/22)
ECJ je također u svojoj odluci istaknuo da SCHUFA-ina prethodna praksa pohranjivanja podataka u vezi s otpustom preostalih dugova iz javnih registara nesolventnosti nije u skladu s GDPR-om. Privatne kreditne agencije kao što je SCHUFA stoga ne smiju pohranjivati podatke koji se odnose na davanje otpusta od preostalih dugova dulje od javnih registara nesolventnosti.
Odjeljak 3. (1) njemačke Uredbe o javnim obavijestima o stečaju i restrukturiranju na internetu (Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren und Restrukturierungssachen im Internet, „InsBekV“) propisuje rok od šest mjeseci za pohranu takvih podataka u javnim registrima nakon podmirenja preostalih dugova. Prema ECJ-u, za pohranjivanje podataka od strane SCHUFA-e, to znači da nakon isteka šest mjeseci ispitanik ima pravo na brisanje tih podataka i SCHUFA je u skladu s tim dužna te podatke odmah izbrisati. ECJ je to obrazložio navodeći, među ostalim, da pohranjivanje i prosljeđivanje tih podataka predstavlja ozbiljno miješanje u temeljna prava fizičkih osoba kako je sadržano u člancima 7. i 8. Povelje o temeljnim pravima Europske unije osobito jer dužniku treba omogućiti nakon otplate svih dugova i neko normalno sudjelovanje u (gospodarskom) životu i od njegove je"egzistencijalne važnosti". Navedena svrha bi bila narušena ako bi kreditne agencije bile ovlaštene čuvati i obrađivati takve podatke i nakon brisanja iz javne evidencije, jer bi se ti podaci uvijek koristili (ili mogli koristiti) kao negativni čimbenik pri ocjeni kreditne sposobnosti takve osobe.
Dopuštenost tzv. paralelne pohrane podataka koja se odnosi i na puki podatak ˝oprost˝/ otkup ili plaćanje preostalih dugova od strane SCHUFA-e unutar šestomjesečnog razdoblja pohrane bila bi manje rizična od pohrane kako ju je SCHUFA do sada prakticirala. Međutim, prethodno opisana pohrana podataka i dalje predstavlja miješanje u prava iz članaka 7. i 8. Povelje o temeljnim pravima EU-a. Prema ECJ-u, sud koji upućuje zahtjev sada mora odvagnuti sukobljene interese.
Zaključak
Presude ECJ-a od iznimne su važnosti za privatne kreditne agencije kao i za njihove klijente. Posebno za SCHUFA-ine klijente, npr. banke, online trgovce na malo ili opskrbljivače energijom. Za njih je SCHUFA često jedan od rijetkih načina da se zaštite od rizika neplaćanja prilikom sklapanja ugovora. Ako se poduzeća oslanjaju isključivo na rezultat, npr. kod odobravanja kredita to spada pod zabranu čl. 22 GDPR-a.
Dakle, tvrtke koje se značajno oslanjaju na bodovanje pri sklapanju ugovora trebale bi sada pregledati svoje procese radi usklađivanja s čl. 22 GDPR-a te drugim zahtjevima GDPR-a. Upravni sud u Wiesbadenu još mora ispitati predviđa li nacionalni zakon odgovarajuću iznimku u članku 31. BDSG-a, koji (ipak) dopušta bodovanje. No, tu se ne očekuju veća iznenađenja: Upravni sud u Wiesbadenu već je u svom zahtjevu za prethodnu odluku izrazio "ozbiljne sumnje" u pogledu usklađenosti poslovanja s pravom EU dok je u svom mišljenju nezavisni odvjetnik također izrazio mišljenje da članak 31. BDSG-a ne predstavlja pravnu osnovu u skladu s pravom EU-a.
U izjavi na svojoj web stranici, SCHUFA je već objavila da je skratila razdoblja pohrane ˝spornih˝podataka na šest mjeseci odmah nakon mišljenja državnog odvjetnika u ožujku 2023.
Ovaj blog je prvi u nizu blogova na ovu temu, pratite naše blogove, u sljedećm ćemo raditi još detaljniju analizu predmetne presude.