TSUE zbada zasady scoringu

W sprawie SCHUFA Holding (C-634/21) Trybunał Sprawiedliwości Unii Europejskiej opublikował wniosek Sądu Administracyjnego w Wiesbaden, w którym sformułowano dwa kluczowe pytania dotyczące tworzenia profili scoringowych.

Przedmiotem postępowania jest skarga na wartość scoringu, jaką biorąca udział w postępowaniu SCHUFA Holding AG (zwana dalej „spółką SCHUFA”) wyliczyła w odniesieniu do skarżącej. Spółka SCHUFA jest niemieckim prywatnym biurem informacji kredytowej, które dostarcza swoim kontrahentom informacji na temat wiarygodności kredytowej osób trzecich, w szczególności także konsumentów. W tym celu Spółka SCHUFA wylicza tzw. wartości scoringu. Prognozuje się tak prawdopodobieństwo wystąpienia w przyszłości określonego zachowania danej osoby, takiego jak spłata kredytu, na podstawie pewnych cech tej osoby w oparciu o matematyczno-statystyczną formułę, przy czym ani poszczególne cechy, na których opiera się prognoza, ani matematyczno-statystyczna formuła nie są ujawniane. Wyliczenie w ten sposób wartości scoringu opiera się na założeniu, że poprzez przyporządkowanie danej osoby do grupy innych osób o pewnych porównywalnych cechach, które zachowały się w określony sposób, można przewidzieć podobne zachowanie. Jeżeli dana osoba pasuje do określonego profilu, ustalona wartość scoringu jest jej przypisywana przez spółkę SCHUFA i uwzględniana, z odpowiednimi konsekwencjami, w procesie podejmowania decyzji przez podmiot, który ostatecznie zawiera umowę z tą osobą, na przykład przez instytucję kredytową przy udzielaniu kredytu.

Skarżąca spotkała się z odmową udzielenia kredytu przez osobę trzecią, po tym jak spółka SCHUFA podała o niej negatywne informacje. W konsekwencji skarżąca domagała się od tego podmiotu, oprócz usunięcia wpisów, które uważała za błędne, także informacji o przechowywanych danych. W dniu 10 lipca 2018 r. spółka SCHUFA przekazała skarżącej informację, z której wynikało, że skarżąca uzyskała u niej wartość scoringu w wysokości 85,96%. W pismach z dnia 8 sierpnia 2018 r. i 23 sierpnia 2018 r. spółka SCHUFA poinformowała również skarżącą w sposób ogólny o tym, w jaki sposób przebiegało zasadniczo obliczenie wartości scoringu, ale nie o tym, jakie poszczególne informacje zostały uwzględnione przy obliczeniu i jak były ważone. Spółka SCHUFA jest zdania, że nie jest zobowiązana do ujawnienia metod obliczeniowych, ponieważ są one objęte tajemnicą zawodową i handlową. Spółka SCHUFA wskazała też skarżącej, że udziela ona jedynie informacji swoim kontrahentom, ale to ci kontrahenci podejmują faktyczne decyzje w kwestii zawarcia umowy; spółka SCHUFA nie wydaje w tym zakresie rekomendacji za zawarciem umowy lub przeciwko zawarciu umowy z osobą, w odniesieniu do której udzieliła ona informacji. W dniu 18 października 2018 r. skarżąca złożyła do drugiej strony postępowania skargę na tę informację, wnosząc, by druga strona postępowania nakazała spółce SCHUFA spełnienie żądania skarżącej w zakresie udzielenia informacji i usunięcia wpisów. Spółka SCHUFA jest zdaniem skarżącej zobowiązana do poinformowania o zastosowanej logice, znaczeniu i skutkach przetwarzania.

W skierowanej do skarżącej decyzji z dnia 3 czerwca 2020 r. druga strona postępowania odmówiła podjęcia dalszych działań wobec spółki SCHUFA. W uzasadnieniu druga strona postępowania wskazała między innymi, że obliczenie wartości zdolności kredytowej przez spółkę SCHUFA musi co prawda odpowiadać wymogom szczegółowo uregulowanym w § 31 Bundesdatenschutzgesetz [ustawy federalnej o ochronie danych, zwanej dalej „BDSG”) [art. 1 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) – ustawy o dostosowaniu prawa o ochronie danych do rozporządzenia (UE) 2016/679 i o transpozycji dyrektywy (UE) 2016/680 – z dnia 30 czerwca 2018 r., BGBl. I s. 2097]. Wymogi te są jednak – zdaniem drugiej strony postępowania –- z reguły spełniane przez spółkę SCHUFA, a w niniejszej sprawie nic nie wskazuje na to, aby było inaczej.

Przed Trybunałem Sprawiedliwości Unii Europejskiej stoi zadanie rozstrzygnięcia, czy działalność biur informacji kredytowej, takich jak spółka SCHUFA, polegająca na wyliczeniu wartości scoringu osób, których dane dotyczą, i przekazywaniu ich bez dalszych zaleceń lub komentarzy osobom trzecim, które, uwzględniając w istotnym stopniu tę wartość scoringu, zawierają umowy z osobą, której dane dotyczą, lub powstrzymują się od zawierania takich umów, wchodzi w zakres zastosowania art. 22 ust. 1 RODO. W takim przypadku bowiem dopuszczalność wyliczenia ostatecznej wartości scoringu w celu jej przekazania przez biuro informacji kredytowej, takie jak spółka SCHUFA, może opierać się wyłącznie na art. 22 ust. 2 lit. b) RODO w związku z § 31 BDSG, przy czym normy te są jednocześnie – w przypadku złożenia, tak jak w przedmiotowym postępowaniu, skargi przez osobę, której dane dotyczą, do właściwego organu nadzorczego – kryterium kontroli przez organ nadzorczy działalności biura informacji kredytowej. Dla kontroli tej istotne jest z kolei, czy przepis o treści zawartej w § 31 BDSG jest zgodny z art. 22 ust. 2 lit. b) RODO. Jeśli bowiem tak nie jest, to brak jest tego ustawowego kryterium kontroli, które druga strona postępowania stosuje w niniejszej sprawie w odniesieniu do spółki SCHUFA.

W zakresie samego zautomatyzowanego podejmowania decyzji ważny jest ten element wniosku Sądu Administracyjnego Wiesbaden :

Działalność taka jak będące przedmiotem sporu – dokonywane przez spółkę SCHUFA – zautomatyzowane gromadzenie danych osobowych w celu ustalenia wartości prawdopodobieństwa co do określonego przyszłego zachowania osoby fizycznej, aby przekazać ją osobom trzecim w celu podjęcia przez nie decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z tą osobą fizyczną, której dane dotyczą, podlegają – w każdym razie w zależności od treści danej działalności –reżimowi regulacji art. 22 ust. 1 RODO. Zgodnie z jednoznacznym brzmieniem tego przepisu obejmuje on nie tylko, ale również, decyzje podejmowane na podstawie profilowania, zob. także motyw 71 zdanie drugie. Zgodnie z legalną definicją profilowania zawartą w art. 4 pkt 4 RODO stanowi ono dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

oraz

Wyliczenie wartości scoringu spełnia cechy tej definicji. Przemawia za tym również motyw 71 zdanie drugie, zgodnie z którym profilowanie należy rozumieć między innymi właśnie jako analizę lub prognozę aspektów dotyczących sytuacji ekonomicznej, wiarygodności lub zachowania danej osoby. Motyw 71 zdanie pierwsze wymienia ponadto automatyczne odrzucenie elektronicznego wniosku kredytowego jako przykład decyzji w rozumieniu art. 22 ust. 1 RODO. W tym względzie art. 22 ust. 1 RODO ma zasadniczo zastosowanie do przypadków takich jak niniejszy, chociażby ze względu na to, że zgodnie z intencją prawodawcy Unii wyliczenie wartości scoringu jest jednym z przypadków profilowania w rozumieniu art. 4 pkt 4 RODO.

Niemiecki Sąd uważa:

za oczywiste, że w przypadkach takich jak będący przedmiotem niniejszego sporu spełniony jest również wymagany przez art. 22 ust. 1 RODO warunek, by decyzja była oparta wyłącznie na zautomatyzowanym przetwarzaniu. Nie przeczy temu fakt, że zgodnie z powyższym główna działalność biur informacji kredytowej – takich jak spółka SCHUFA – polega na ustalaniu wartości scoringu, co zgodnie z motywami rozporządzania jest jednym z przypadków profilowania. Prawdą jest, że prawodawca najwyraźniej nie zamierzał uregulować odrębnie w art. 22 ust. 1 RODO dopuszczalności profilowania w świetle prawa o ochronie danych, lecz jedynie zająć się profilowaniem w tym kontekście w powiązaniu z innym elementem, niejako w zakresie, w jakim jest ono częścią decyzji opartej na zautomatyzowanym podejmowaniu decyzji. Wynika to już z brzmienia przepisu, który odnosi zawarty w nim zakaz przede wszystkim do decyzji opartej na profilowaniu – lub innym zautomatyzowanym przetwarzaniu danych – a nie do samego profilowania.

oraz

Sąd, biorąc pod uwagę brzmienie art. 22 ust. 1 RODO, ma świadomość, że przepis ten przy restrykcyjnej wykładni może być rozumiany i też jest powszechnie rozumiany w ten sposób, że nie ma on bezpośrednio zastosowania do działalności biur informacji kredytowej, takich jak spółka SCHUFA. Zdaniem sądu założenie takie opiera się jednak na błędnym rozumieniu działalności biur informacji kredytowej i wpływu wartości scoringu, które one wyliczają. Założenie to bazuje bowiem na przekonaniu, że biura informacji kredytowej same nie podejmują decyzji istotnej dla art. 22 ust. 1 RODO, ponieważ niejako przygotowują one jedynie ostateczną decyzję administratora danych poprzez ustalanie i zestawianie danych osobowych do celów przeprowadzenia profilowania i związanego z tym ustalenia ostatecznej wartości scoringu; przekazując wartość scoringu, zazwyczaj nie rekomendują one przecież jednocześnie administratorowi danych będącemu osobą trzecią zawarcia umowy z osobą, której dane dotyczą, ani tego nie odradzają.

Trybunałowi postawiono takie oto dwa pytania:

Czy art. 22 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej „RODO”, Dz.U. L nr 119 z dnia 4 maja 2016 r., s. 1) należy interpretować w ten sposób, że już samo zautomatyzowane wyliczenie wartości prawdopodobieństwa dotyczącego zdolności osoby, której dane dotyczą, do obsługi kredytu w przyszłości stanowi opartą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, decyzję wywołującą skutki prawne wobec tej osoby lub w podobny sposób istotnie na nią wpływającą, gdy wartość ta, ustalona na podstawie danych osobowych tej osoby jest przekazywana przez administratora danych innemu administratorowi, a wartość ta ma istotne znaczenie dla tego innego administratora przy podejmowaniu decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z osobą, której dane dotyczą?

Jeżeli na pierwsze pytanie prejudycjalne należy udzielić odpowiedzi przeczącej: czy art. 6 ust. 1 i art. 22 rozporządzenia (UE) 2016/679 (RODO) należy interpretować w ten sposób, że stoją one na przeszkodzie regulacji w prawie krajowym, zgodnie z którą wykorzystanie wartości prawdopodobieństwa dotyczącego określonego przyszłego zachowania osoby fizycznej – w tym przypadku dotyczącego wypłacalności osoby fizycznej i jej gotowości do zapłaty z uwzględnieniem informacji o jej wierzytelnościach – w celu podjęcia decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z tą osobą (scoring) jest dopuszczalne tylko wtedy, gdy są spełnione pewne dalsze warunki, które zostały bardziej szczegółowo określone w uzasadnieniu odesłania?