Uwaga: wyroki nie są związane ze sprawami Noyb
Przełomowe orzeczenia TSUE w sprawie "rankingu kredytowego" i przeglądu umów o unikaniu podwójnego opodatkowania
Europejski Trybunał Sprawiedliwości (TSUE) wydał dziś dwa przełomowe wyroki w postępowaniu przeciwko niemieckiej agencji informacji kredytowej SCHUFA, która wcześniej cieszyła się znaczną swobodą w Niemczech. TSUE potwierdził, że sądy krajowe mają szerokie uprawnienia do kontrolowania organów ochrony danych - wzmacniając tym samym prawa osób, których dane dotyczą. Ponadto Trybunał orzekł, że przypisywanie automatycznie obliczanych ocen kredytowych nie jest zgodne z RODO.
- Oświadczenie prawnika, który reprezentował jednego z powodów przeciwko SCHUFA
- Komunikat prasowy TSUE
Na czym polega działalność rankingu kredytowego? Firmy takie jak SCHUFA są tak zwanymi agencjami informacji kredytowej. Gromadzą one ogromne ilości danych osobowych w celu przypisania ludziom domniemanej zdolności kredytowej. Wynik ten jest wykorzystywany przez banki i firmy do oceny, czy ktoś powinien otrzymać pożyczkę lub umowę na telefon komórkowy.
Kontekst: Usuwanie danych i zautomatyzowany scoring kredytowy. Punktem wyjścia dla obecnie rozstrzygniętego postępowania przed TSUE były dwie skargi przeciwko SCHUFA do Heskiego Urzędu Ochrony Danych (HBDI). W jednej sprawie (połączone sprawy C-26/22 i C-64/22) osoba, której dane dotyczyły, zażądała usunięcia danych dotyczących niewypłacalności z bazy danych SCHUFA po tym, jak zostały one już usunięte z publicznego rejestru niewypłacalności, skąd zostały pobrane przez SCHUFA i dalej przechowywane. HBDI nie tylko oddaliła sprawę, ale nawet argumentowała, że właściwy sąd nie może dokonać merytorycznej kontroli swojej decyzji. Druga sprawa (C-634/21) dotyczyła kwestii, czy SCHUFA może w ogóle automatycznie wystawiać oceny kredytowe - lub czy stanowi to "zautomatyzowaną decyzję w indywidualnych przypadkach", która jest w dużej mierze zabroniona przez RODO.
Wyrok w sprawach połączonych C-26/22 i C-64/22(link)
Pełna kontrola sądowa organów ochrony danych. Orzeczenie TSUE znacznie zwiększyło presję na organy ochrony danych (OOD). W niektórych państwach członkowskich UE, w tym w Niemczech, do tej pory zakładały one, że skarga GDPR od osób, których dane dotyczą, jest jedynie rodzajem "petycji". W praktyce oznacza to, że pomimo rocznego budżetu w wysokości 100 milionów euro, niemieckie organy ochrony danych odrzuciły wiele skarg z dziwacznymi uzasadnieniami, a naruszenia RODO nie były ścigane. W krajach takich jak Irlandia ponad 99% skarg nie zostało rozpatrzonych, a we Francji odmówiono osobom poszkodowanym prawa do udziału w procedurze dotyczącej ich własnych praw. Niektóre organy ochrony danych, takie jak organ w Hesji w niniejszej sprawie, argumentowały również, że sądy nie mogą dokonywać szczegółowego przeglądu ich decyzji.
Więcej praw dla osób, których dane dotyczą. TSUE położył teraz kres takiemu podejściu. Orzekł, że art. 77 RODO został zaprojektowany jako mechanizm skutecznie chroniący prawa i interesy osób, których dane dotyczą. Ponadto Trybunał orzekł, że art. 78 RODO umożliwia sądom krajowym przeprowadzenie pełnego przeglądu decyzji organu ochrony danych. Obejmuje to ocenę, czy władze działały w granicach przysługującego im uznania.
Raphael Rohrmoser, prawnik powoda w tej sprawie: "Europejski Trybunał Sprawiedliwości masowo wzmocnił prawa osób, których dane dotyczą. Przechowywanie danych z rejestrów publicznych nie jest już dozwolone inaczej niż w samym rejestrze"
Wyrok w sprawie C-634/21(link)
Biznes rankingów kredytowych na chwiejnym gruncie. Ale to nie wszystko. Wyrokiem w sprawie C-634/21 TSUE wstrząsnął całym modelem biznesowym SCHUFA (i innych agencji kredytowych): w pełni zautomatyzowane obliczanie domniemanej zdolności kredytowej przy użyciu nieprzejrzystych algorytmów podlega szczególnej ochronie art. 22 RODO. Przepis ten zabrania wykorzystywania danych osobowych do podejmowania w pełni zautomatyzowanych decyzji, które mają "istotny niekorzystny wpływ" na osoby, których dane dotyczą. Innymi słowy, decyzje o określonym zakresie nie powinny być podejmowane wyłącznie przez algorytmy.
Marco Blocher: "Zwykłe przypisywanie obywatelom niezrozumiałej oceny kredytowej, a następnie automatyczna odmowa zawarcia umowy to już przeszłość dzięki wyrokowi TSUE"
Zakaz automatycznej oceny zdolności kredytowej. Branża agencji kredytowych do tej pory argumentowała, że nawet fatalna ocena kredytowa, która z pewnością uniemożliwiłaby danej osobie zawarcie dużej liczby umów (takich jak pożyczki, ubezpieczenia, umowy najmu lub dostawy energii elektrycznej), nie jest "decyzją negatywną". Według nich ostateczna decyzja jest podejmowana przez firmę korzystającą z oceny. TSUE jest innego zdania i orzekł, że przypisanie zdolności kredytowej może już stanowić decyzję na mocy art. 22 RODO. Oznacza to, że zautomatyzowany scoring kredytowy w obecnej formie jest zabroniony dla agencji kredytowych w całej UE. Jeśli SCHUFA chce w przyszłości obliczać zdolność kredytową osób, będzie potrzebować ich wyraźnej zgody. Ponadto osoby, których dane dotyczą, muszą mieć możliwość zakwestionowania oceny kredytowej.
Raphael Rohrmoser, prawnik powoda w tej sprawie: "Nie należy lekceważyć faktu, że osoby, których dane dotyczą, mogą teraz regularnie podejmować działania prawne przeciwko oficjalnym decyzjom. Z pewnością wzmocni to egzekwowanie praw wynikających z RODO"
