C-203/22
Opinia rzecznika generalnegoTSUE2024-09-12CELEX: 62022CC0203ECLI:EU:C:2024:745
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Jak należy interpretować pojęcie „istotnych informacji o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu art. 15 ust. 1 lit. h) RODO, w szczególności w kontekście profilowania zdolności kredytowej, oraz w jaki sposób należy wyważyć to prawo dostępu z ochroną praw i wolności innych osób, takich jak tajemnica przedsiębiorstwa?Ratio decidendi
Rzecznik Generalny proponuje funkcjonalną wykładnię pojęcia „istotnych informacji o zasadach” zautomatyzowanego podejmowania decyzji, wskazując, że informacje te muszą być zwięzłe, łatwo dostępne, zrozumiałe i sformułowane jasnym językiem, a także wystarczająco wyczerpujące, by umożliwić osobie, której dane dotyczą, weryfikację prawidłowości i spójności decyzji. Nie obejmuje to jednak obowiązku ujawniania technicznych szczegółów algorytmów, które są niezrozumiałe dla osób bez specjalistycznej wiedzy. W przypadku kolizji prawa dostępu z ochroną tajemnicy przedsiębiorstwa lub danych osób trzecich, informacje powinny być przekazywane właściwemu organowi nadzorczemu lub sądowi, który dokona wyważenia interesów z poszanowaniem zasady proporcjonalności i poufności, a przepisy krajowe nie mogą z góry wykluczać takiego wyważenia.Stan faktyczny
Sprawa dotyczy CK, której operator telefonii komórkowej odmówił zawarcia umowy z powodu niewystarczającej zdolności kredytowej, opartej na zautomatyzowanej ocenie dokonanej przez firmę Dun & Bradstreet Austria GmbH (D&B). CK zwróciła się do austriackiego organu ochrony danych o dostęp do informacji o zasadach profilowania, co zostało uwzględnione. Mimo orzeczenia Bundesverwaltungsgericht nakazującego D&B udostępnienie istotnych informacji, CK uznała przekazane dane za niewystarczające i nieprawdziwe, ponieważ wskazywały na wysoką zdolność kredytową, podczas gdy faktyczne profilowanie wykluczyło jej zdolność kredytową. Wniosek CK o przymusowe wykonanie orzeczenia został oddalony, co doprowadziło do skargi do Verwaltungsgericht Wien, który zwrócił się z pytaniami prejudycjalnymi.Rozstrzygnięcie
Artykuł 15 ust. 1 lit. h) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) w związku z motywem 63 i art. 23 ust. 1 lit. i) tego rozporządzenia należy interpretować w ten sposób, że:
– jeżeli osoba, której dane dotyczą, podlega zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu, o którym mowa w art. 22 rozporządzenia 2016/679, „istotne informacje o zasadach” tego zautomatyzowanego podejmowania decyzji, do których osoba ta ma prawo dostępu, dotyczą metody i kryteriów stosowanych przez administratora w tym celu;
– informacje te muszą umożliwiać osobie, której dane dotyczą, wykonywanie praw przyznanych jej w rozporządzeniu 2016/679, a w szczególności we wspomnianym art. 22. Powinny one zatem być zwięzłe, łatwo dostępne i łatwe do zrozumienia oraz sformułowane jasnym i prostym językiem. Ponadto powinny one być dostatecznie wyczerpujące i uwzględniające kontekst, aby umożliwić tej osobie sprawdzenie ich prawidłowości oraz tego, czy istnieje możliwa do obiektywnego zweryfikowania spójność i związek przyczynowy między, z jednej strony, zastosowaną metodą i zastosowanymi kryteriami, a z drugiej strony, wynikiem zautomatyzowanego podejmowania decyzji w danej sprawie.
– administrator danych nie ma natomiast obowiązku ujawnienia osobie, której dane dotyczą, informacji, które ze względu na swój techniczny charakter są na tyle złożone, że nie są one możliwe do zrozumienia dla osób nieposiadających specjalistycznej wiedzy technicznej, co wyklucza udostępnianie algorytmów wykorzystywanych przy zautomatyzowanym podejmowaniu decyzji.
– jeżeli informacje, które należy przekazać osobie, której dane dotyczą, na podstawie prawa dostępu zagwarantowanego ustanowionego w art. 15 ust. 1 lit. h) rozporządzenia 2016/679, mogą skutkować naruszeniem praw i wolności innych osób, w szczególności dlatego, że zawierają dane osobowe osób trzecich chronione przez to rozporządzenie lub tajemnicę przedsiębiorstwa w rozumieniu art. 2 ust. 1 pkt 1 dyrektywy (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem, informacje te powinny zostać przekazane właściwemu organowi nadzorczemu lub sądowi, aby te ostatnie mogły wyważyć – przy pełnej znajomości stanu rzeczy i z poszanowaniem zasady proporcjonalności i z zachowaniem poufności tych informacji – wchodzące w grę interesy oraz określić zakres prawa dostępu, które należy przyznać tej osobie.Pełny tekst orzeczenia
OPINIA RZECZNIKA GENERALNEGO
JEANA RICHARDA DE LA TOURA
przedstawiona w dniu 12 września 2024 r. ( )
Sprawa C‑203/22
CK
przy udziale:
Dun & Bradstreet Austria GmbH,
Magistrat der Stadt Wien
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Verwaltungsgericht Wien (sąd administracyjny w Wiedniu, Austria)]
Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 15 ust. 1 lit. h) – Artykuł 22 – Zautomatyzowane podejmowanie decyzji, w tym profilowanie – Ocena zdolności kredytowej osoby fizycznej – Dostęp do istotnych informacji o zasadach zautomatyzowanego podejmowania decyzji – Sprawdzenie prawidłowości udzielonych informacji i ich spójności z daną decyzją o przyznanej ocenie – Ochrona praw i wolności innych osób – Dyrektywa (UE) 2016/943 – Tajemnica przedsiębiorstwa
I. Wprowadzenie
1.
Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy, po pierwsze, wykładni art. 15 ust. 1 lit. h) i ust. 4 oraz art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) ( ) (zwanego dalej „RODO”) oraz, po drugie, wykładni art. 2 pkt 1 dyrektywy (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem ( ).
2.
Wniosek ten został złożony w kontekście sporu między CK a Magistrat der Stadt Wien (urzędem miasta Wiedeń, Austria) dotyczącego wniosku o przymusowe wykonanie orzeczenia sądowego zobowiązującego przedsiębiorstwo dokonujące oceny zdolności kredytowej do dostarczenia CK istotnych informacji o zasadach profilowania dotyczącego jej danych osobowych.
3.
W dalszej części rozważań wyjaśnię, co moim zdaniem należy rozumieć przez „istotne informacje o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu art. 15 ust. 1 lit. h) RODO oraz w jaki sposób należy wyważyć, z jednej strony, prawo dostępu do takich informacji oraz, z drugiej strony, ochronę praw i wolności innych osób, takich jak tajemnica przedsiębiorstwa.
II. Okoliczności faktyczne sporu w postępowaniu głównym i pytania prejudycjalne
4.
Operator telefonii komórkowej odmówił CK zawarcia lub przedłużenia umowy na telefon komórkowy, co wymagałoby uiszczania miesięcznej opłaty w wysokości 10 EUR, uzasadniając to brakiem wystarczającej zdolności kredytowej po jego stronie. Domniemana niewystarczająca zdolność kredytowa CK została oparta na ocenie kredytowej, której Bisnode Austria GmbH (obecnie Dun & Bradstreet Austria GmbH, zwana dalej „D & B”), spółka specjalizująca się w dostarczaniu ocen kredytowych, dokonała za pomocą zautomatyzowanego systemu.
5.
CK zwróciła się do austriackiego organu ochrony danych, aby uzyskać dostęp do odpowiednich informacji o zasadach zautomatyzowanego podejmowania decyzji przez D & B. Organ ten uwzględnił ów wniosek.
6.
D & B zaskarżyła przed Bundesverwaltungsgericht (federalnym sądem administracyjnym, Austria) decyzję austriackiego organu ochrony danych zobowiązującą tę spółkę do udostępnienia informacji żądanych przez CK.
7.
Decyzją z dnia 23 października 2019 r. sąd ten częściowo utrzymał w mocy tę decyzję austriackiego organu ochrony danych. Orzekł on, że D & B naruszyła prawo dostępu przysługujące CK na podstawie art. 15 ust. 1 lit. h) RODO poprzez niedostarczenie jej istotnych informacji o zasadach zautomatyzowanego podejmowania decyzji w odniesieniu do danych osobowych CK lub, przynajmniej, poprzez nieprzedstawienie wystarczającego uzasadnienia braku możliwości udostępnienia tych informacji.
8.
To orzeczenie Bundesverwaltungsgericht (federalnego sądu administracyjnego) uprawomocniło się i jest wykonalne na mocy prawa austriackiego.
9.
Złożony przez CK wniosek o przymusowe wykonanie wskazanego orzeczenia został jednak oddalony przez organ wykonujący, miasto Wiedeń, ze względu na to, że D & B wypełniła już w wystarczającym stopniu ciążący na niej obowiązek informacyjny.
10.
CK wniosła skargę na tę decyzję do Verwaltungsgericht Wien (sądu administracyjnego w Wiedniu, Austria), który jest sądem odsyłającym. Sąd ten wskazuje, że w ramach rozpatrywania tej skargi jest zobowiązany do wydania, w miejsce organu wykonującego, decyzji mającej na celu wykonanie orzeczenia Bundesverwaltungsgericht (federalnego sądu administracyjnego). W związku z tym sąd odsyłający musi ustalić, jakie konkretnie informacje D & B ma obowiązek przekazać CK ( ).
11.
W tym kontekście sąd ten uważa, że art. 15 ust. 1 lit. h) RODO przyznaje osobie, której dane dotyczą, prawo dostępu do prawdziwych informacji. Sąd ten zauważa w tym względzie, że istnieją wyraźne przesłanki wskazujące na to, że (nieliczne) informacje dostarczone do tej pory przez D & B są nieprawdziwe. Podczas gdy bowiem informacje, które zostały przekazane CK, przyznają jej szczególnie wysoką ocenę kredytową, faktycznie przeprowadzone profilowanie CK wykluczyło de facto jakąkolwiek zdolność kredytową po jej stronie, w tym nawet możliwość uiszczania co miesiąc kwoty 10 EUR. Istnieje zatem wyraźna sprzeczność między, z jednej strony, informacjami przekazanymi CK na temat jej przetwarzanych danych osobowych i zasad przeprowadzania zautomatyzowanej oceny, a z drugiej strony, wnioskiem wyciągniętym przez operatora telefonii komórkowej z faktycznie przeprowadzonej oceny. Sprzeczność pozwala wątpić w prawdziwość informacji udostępnionych dotychczas CK.
12.
Wychodząc z tego stwierdzenia, sąd odsyłający wskazuje, że osoba, której dane dotyczą, w przypadku poddania jej profilowaniu, może powoływać się na prawo dostępu do prawdziwych informacji tylko jeżeli art. 15 ust. 1 lit. h) RODO przyznaje jej prawo dostępu wystarczająco szerokie, aby umożliwić jej sprawdzenie spójności i zrozumiałości przedstawionej oceny, a także ustalenie, czy informacje o wewnętrznych zasadach podejmowania decyzji, które zostały jej przekazane w ramach przysługującego jej prawa dostępu, rzeczywiście stanowiły podstawę profilowania, któremu osoba ta została poddana. Podsumowując, osoba, której dane dotyczą, powinna mieć możliwość uzyskania wystarczająco szczegółowych informacji na temat przetwarzanych danych osobowych oraz wewnętrznych zasad zautomatyzowanego podejmowania decyzji, aby mogła ona tę decyzję zrozumieć i zweryfikować jej prawidłowość.
13.
Zdaniem tego sądu taka wykładnia art. 15 ust. 1 lit. h) RODO pozwoliłaby zagwarantować skuteczność (effet utile) tego przepisu, stając na przeszkodzie przekazywaniu błędnych informacji przez administratora danych. Ponadto interpretacja taka umożliwiłaby osobie, której dane dotyczą, skorzystanie z praw przyznanych jej w art. 22 ust. 3 tego rozporządzenia, a mianowicie w szczególności prawa do wyrażenia własnego stanowiska wobec konkretnej zautomatyzowanej decyzji oraz do zakwestionowania jej spójności i prawidłowości.
14.
Sąd ten podkreśla, że wymóg, zgodnie z którym osoba, której dane dotyczą, powinna mieć możliwość sprawdzenia spójności i prawidłowości informacji przekazanych na podstawie art. 15 ust. 1 lit. h) RODO, ma istotne skutki w odniesieniu do kwestii zakresu i stopnia szczegółowości informacji, jakie administrator danych jest zobowiązany ujawnić na podstawie tego przepisu.
15.
W ramach postępowania głównego sąd odsyłający powołał biegłego w celu ustalenia, jakie konkretnie informacje D & B jest zobowiązana przekazać CK na podstawie orzeczenia Bundesverwaltungsgericht (federalnego sądu administracyjnego).
16.
Zdaniem powołanego biegłego dla skonkretyzowania, które umożliwiłoby przymusowe wykonanie, zapewniłoby zrozumiałość zautomatyzowanego podjęcia decyzji oraz pozwoliłoby na sprawdzenie prawidłowości i spójności przekazanych informacji, osoba, której dane dotyczą, powinna otrzymać, na mocy prawa dostępu zagwarantowanego jej w art. 15 ust. 1 lit. h) RODO, w sposób wystarczająco konkretny i szczegółowy, następujące informacje minimalne:
–
po pierwsze, dane osobowe osoby, której dane dotyczą, przetwarzane przy ustalaniu czynników, w jaki sposób się to odbywa oraz ze wskazaniem, czy dane te podlegały ważeniu;
–
po drugie, istotne części algorytmu, na których opiera się zautomatyzowane podejmowanie decyzji, które obejmują, w każdym razie: wzór matematyczny, do którego można wprowadzić, w formie wartości liczbowych, wszystkie informacje istotne dla obliczenia oceny kredytowej, tak aby wynikiem zastosowania tego wzoru była ta ocena, oraz zrozumiałe wyjaśnienie wszystkich wartości użytych w tym wzorze, w szczególności tych, które nie pochodzą bezpośrednio z informacji przechowywanych na temat osoby, której dane dotyczą, oraz
–
po trzecie, informacje istotne dla ustalenia związku między przetwarzanymi informacjami a przeprowadzoną oceną, co obejmuje w szczególności wskazanie i odpowiedni opis funkcji oceny wszystkich wartości wykorzystanych w tym wzorze; przedstawienie informacji niezbędnych do ustalenia związku między informacją a oceną w przypadku ocen przedziałowych oraz przedstawienie wykorzystywanych funkcji katastralnych lub indeksowania.
17.
Z opinii biegłego wynika, że jedynie przekazanie wzoru matematycznego i funkcji oceny wszystkich wartości wykorzystanych w tym wzorze umożliwiłoby CK zrozumienie profilowania, któremu została ona poddana, tak że tylko dzięki tym informacjom mogłaby ona dochodzić prawa przyznanego jej w art. 22 ust. 3 RODO do wyrażenia własnego stanowiska i zakwestionowania decyzji opartej na zautomatyzowanym przetwarzaniu.
18.
Również zgodnie z tą opinią, aby zapewnić możliwość sprawdzenia prawidłowości przekazanych informacji minimalnych, D & B powinna także sporządzić i przedstawić, w sposób stosunkowo kompletny i szczegółowy oraz możliwy do zastosowania jako podstawę porównania, wykaz wszystkich informacji dotyczących co najmniej 25 przypadków porównywalnych i niezanonimizowanych profilowania, z tego samego okresu co profilowanie, któremu została poddana CK i których dokonano z wykorzystaniem tej samej zasady obliczania.
19.
Odnosząc się do ostatniej z tych uwag, sąd odsyłający wskazuje, że przekazanie takich informacji może naruszać prawo do ochrony danych osobowych poddanych ocenie w przypadkach profilowania, które mają służyć jako podstawa porównania.
20.
Sąd ten zastanawia się zatem, w szczególności w świetle tego, co przewiduje art. 9 dyrektywy 2016/943, czy konflikt między różnymi spornymi interesami można by rozwiązać, gdyby dane osobowe osób trzecich niezbędne do sprawdzenia prawidłowości informacji minimalnych zostały przekazane wyłącznie właściwemu organowi lub sądowi, które wówczas samodzielnie badałyby, czy te dane osób trzecich odpowiadają stanowi faktycznemu.
21.
Sąd odsyłający zauważa również, że zgodnie z orzecznictwem Oberster Gerichtshof (sądu najwyższego, Austria) i przeważającą opinią w doktrynie, algorytm wykorzystywany do profilowania stanowi tajemnicę przedsiębiorstwa w rozumieniu dyrektywy 2016/943. Sąd odsyłający wskazuje w tym względzie, że D & B powołała się na istnienie podlegającej ochronie tajemnicy przedsiębiorstwa w odniesieniu do algorytmu, na którym opiera się przetwarzanie, odmawiając przekazania wystarczających informacji o zasadach zautomatyzowanego podejmowania decyzji. W tym przypadku sąd ten ponownie zastanawia się, czy konflikt między interesami osoby, której dane dotyczą, a interesami administratora danych mógłby zostać rozwiązany, gdyby informacje uznane za „tajemnicę przedsiębiorstwa” w rozumieniu art. 2 pkt 1 dyrektywy 2016/943 zostały ujawnione wyłącznie właściwemu organowi lub sądowi, które samodzielnie sprawdziłyby, czy można przyjąć taką kwalifikację i czy informacje dostarczone przez administratora na podstawie art. 15 ust. 1 lit. h) RODO odpowiadają rzeczywistości.
22.
Sąd odsyłający podkreśla jednak, że wadą takiego sposobu rozwiązywania konfliktu między różnymi spornymi interesami jest to, że osoba, której dane dotyczą, jest pozbawiona szczegółowych informacji, co ogranicza, a nawet uniemożliwia skorzystanie z prawa dostępu zagwarantowanego w ostatnim z przywołanych przepisów. Mogłoby to skutkować uniemożliwieniem tej osobie sprawdzenia, czy informacje przekazane przez administratora danych są zrozumiałe i prawidłowe, a także skorzystania z praw przysługujących jej w szczególności na mocy art. 22 ust. 3 RODO i art. 47 Karty praw podstawowych Unii Europejskiej ( ).
23.
W kontekście wyważenia, którego należy dokonać między interesami osoby wnioskującej o prawo dostępu a interesami administratora danych, sąd ten zwraca się również, uwzględniając w szczególności treść § 4 ust. 6 Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (ustawy federalnej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych) z dnia 17 sierpnia 1999 r. ( ), w brzmieniu mającym zastosowanie w postępowaniu głównym ( ) (zwanej dalej „DSG”), o dokonanie wykładni art. 15 ust. 4 i art. 23 ust. 1 lit. i) RODO w świetle motywu 63 tego rozporządzenia.
24.
W tych okolicznościach Verwaltungsgericht Wien (sąd administracyjny w Wiedniu) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1)
Jakie wymogi dotyczące treści muszą spełniać podane informacje, aby można je było zakwalifikować jako wystarczająco »istotne« w rozumieniu art. 15 ust. 1 lit. h) [RODO]?
Czy w przypadku profilowania, administrator musi w ramach udostępnienia »zasad podejmowania decyzji« zasadniczo również ujawnić istotne informacje umożliwiające zrozumienie wyniku zautomatyzowanej decyzji w indywidualnym przypadku – ewentualnie przy zachowaniu istniejącej tajemnicy przedsiębiorstwa – co obejmuje w szczególności […] ujawnienie przetwarzanych danych dotyczących osoby, której dane dotyczą, […] ujawnienie części algorytmu, na którym opiera się profilowanie, umożliwiające zrozumienie oraz informacje istotne dla ustalenia związku między przetwarzanymi informacjami a przeprowadzoną oceną?
Czy w przypadkach związanych z profilowaniem osoba uprawniona do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO musi otrzymać następujące informacje na temat konkretnego przetwarzania jej danych, nawet jeśli dotyczy to tajemnicy przedsiębiorstwa, aby umożliwić jej ochronę praw przysługujących jej na mocy art. 22 ust. 3 RODO:
a)
przekazanie wszelkich informacji, ewentualnie poddanych pseudoanonimizacji, w szczególności dotyczących sposobu przetwarzania danych osoby, której dane dotyczą, które umożliwiają sprawdzenie zgodności z RODO,
b)
udostępnianie danych wejściowych użytych do utworzenia profilu,
c)
parametry i zmienne wejściowe stosowane przy dokonywaniu oceny,
d)
wpływ tych parametrów i zmiennych wejściowych na obliczony wskaźnik oceny,
e)
informacje o pochodzeniu parametrów lub zmiennych wejściowych,
f)
wyjaśnienie, dlaczego osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO przypisano konkretny wynik oceny oraz opis, jakie ustalenie związano z tą oceną, [a także]
g)
lista kategorii profilowania oraz wyjaśnienie, jakie ustalenie wynikające z oceny jest związane z każdą z kategorii profilowania?
2)
Czy prawo dostępu przyznane na podstawie art. 15 ust. 1 lit. h) RODO jest związane z gwarantowanymi na mocy art. 22 ust. 3 RODO prawami do wyrażenia własnego stanowiska i do zakwestionowania zautomatyzowanej decyzji w rozumieniu art. 22 RODO, ponieważ zakres informacji, które należy przekazać na podstawie wniosku o udzielenie informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, jest wystarczająco »istotny« tylko wtedy, gdy osoba żądająca informacji i osoba, której dane dotyczą w rozumieniu art. 15 ust. 1 lit. h) RODO, ma możliwość korzystania z praw przyznanych jej na podstawie art. 22 ust. 3 RODO do wyrażenia własnego stanowiska i zakwestionowania dotyczącej jej zautomatyzowanej decyzji w rozumieniu art. 22 RODO w sposób skuteczny, dogłębny i konstruktywny?
a)
Czy art. 15 ust. 1 lit. h) RODO należy interpretować w ten sposób, że informacje stanowią »istotne informacje« w rozumieniu tego przepisu tylko wtedy, gdy są one na tyle wyczerpujące, że osoba uprawniona do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO ma możliwość sprawdzenia, czy przekazane informacje odpowiadają również stanowi faktycznemu, to znaczy, czy konkretna zautomatyzowana decyzja, której wniosek dotyczy, została także faktycznie oparta na ujawnionych informacjach?
b)
W przypadku odpowiedzi twierdzącej: jak należy postąpić w sytuacji, gdy prawidłowość informacji udzielonych przez administratora można zweryfikować jedynie w ten sposób, że dane osób trzecich chronione na mocy RODO muszą być również podane do wiadomości osoby uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO (czarna skrzynka)?
Czy ten napięty stosunek między prawem dostępu w rozumieniu art. 15 ust. 1 RODO a prawem osób trzecich do ochrony danych można rozładować również poprzez ujawnienie danych osób trzecich wymaganych do kontroli prawidłowości, które także zostały poddane temu samemu profilowaniu, wyłącznie organowi lub sądowi, tak aby organ lub sąd musiał samodzielnie sprawdzić, czy ujawnione dane tych osób trzecich odpowiadają stanowi faktycznemu?
c)
W przypadku odpowiedzi twierdzącej: jakie prawa należy przyznać osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, w przypadku gdy konieczne jest zapewnienie ochrony praw osób trzecich w rozumieniu art. 15 ust. 4 RODO poprzez utworzenie czarnej skrzynki, o której mowa w punkcie 3b)?
Czy w takim przypadku dane innych osób, które administrator w rozumieniu art. 15 ust. 1 RODO ma ujawnić osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, muszą być ujawnione w postaci pseudoanonimizowanej, aby umożliwić sprawdzenie prawidłowości procesu podejmowania decyzji?
a)
Jak należy postępować, jeżeli informacja, którą należy przekazać w rozumieniu art. 15 ust. 1 lit. h) RODO, spełnia również wymogi tajemnicy przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy [2016/943]?
Czy napięty stosunek między prawem dostępu gwarantowanym przez art. 15 ust. 1 lit. h) RODO a prawem do nieujawniania tajemnicy przedsiębiorstwa chronionym przez dyrektywę 2016/943 można rozładować poprzez ujawnienie informacji zaklasyfikowanych jako tajemnica przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943 wyłącznie organowi lub sądowi, tak aby organ lub sąd musiał samodzielnie sprawdzić, czy należy przyjąć istnienie tajemnicy przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943 i czy informacje przekazane przez administratora w rozumieniu art. 15 ust. 1 RODO odpowiadają stanowi faktycznemu?
b)
W przypadku odpowiedzi twierdzącej: jakie prawa należy w każdym wypadku przyznać osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, w przypadku gdy konieczne jest zapewnienie ochrony praw osób trzecich w rozumieniu art. 15 ust. 4 RODO poprzez utworzenie czarnej skrzynki, o której mowa w punkcie 4a?
Czy (także) w tym przypadku rozbieżności między informacjami, które należy ujawnić organowi lub sądowi, a informacjami, które należy ujawnić osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO w przypadkach dotyczących profilowania, osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO należy w każdym razie udzielić następujących informacji na temat konkretnego przetwarzania danych jej dotyczących, aby w pełni umożliwić jej ochronę praw przysługujących jej na mocy art. 22 ust. 3 RODO:
(i)
przekazanie wszelkich informacji, ewentualnie poddanych pseudoanonimizacji, w szczególności dotyczących sposobu przetwarzania danych osoby, której dane dotyczą, które umożliwiają sprawdzenie zgodności z RODO,
(ii)
udostępnianie danych wejściowych użytych do utworzenia profilu,
(iii)
parametry i zmienne wejściowe stosowane przy dokonywaniu oceny,
(iv)
wpływ tych parametrów i zmiennych wejściowych na obliczony wskaźnik oceny,
(v)
informacje o pochodzeniu parametrów lub zmiennych wejściowych,
(vi)
wyjaśnienie, dlaczego osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO przypisano konkretny wynik oceny oraz opis, jakie ustalenie związano z tą oceną, [a także]
(vii)
lista kategorii profilowania oraz wyjaśnienie, jakie ustalenie wynikające z oceny jest związane z każdą z kategorii profilowania?
5)
Czy przepis art. 15 ust. 4 RODO w jakikolwiek sposób ogranicza zakres informacji, które należy przekazać na podstawie art. 15 ust. 1 lit. h) RODO?
W przypadku odpowiedzi twierdzącej: w jaki sposób to prawo dostępu jest ograniczone przez art. 15 ust. 4 RODO i jak należy określić zakres tego ograniczenia w danym przypadku?
6)
Czy przepis § 4 ust. 6 [DSG], zgodnie z którym »prawo dostępu osoby, której dane dotyczą, zgodnie z art. 15 RODO nie przysługuje w stosunku do administratora, bez uszczerbku dla innych ograniczeń prawnych, co do zasady wtedy, gdy zapewnienie dostępu stanowiłoby zagrożenie dla tajemnicy handlowej lub tajemnicy przedsiębiorstwa administratora lub osoby trzeciej« jest zgodny z wymogami art. 15 ust. 1 w związku z art. 22 ust. 3 RODO? Jeśli odpowiedź jest twierdząca, to pod jakimi warunkami istnieje taka zgodność?”.
25.
Uwagi na piśmie zostały przedstawione przez CK, D & B, rządy hiszpański, niderlandzki i polski oraz Komisję Europejską.
III. Analiza
A.
Uwagi wstępne
26.
Zgodnie z art. 22 ust. 1 RODO „[o]soba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa” ( ). Jednakże tak sformułowany zakaz nie ma zastosowania w przypadkach wymienionych w art. 22 ust. 2 tego rozporządzenia, do których powrócę w dalszej części opinii.
27.
W wyroku z dnia 7 grudnia 2023 r., SCHUFA Holding i in. (Scoring) ( ), Trybunał orzekł, że art. 22 ust. 1 RODO należy interpretować w ten sposób, że zautomatyzowane wyliczenie przez biuro informacji kredytowej wartości prawdopodobieństwa opartej na danych osobowych dotyczących danej osoby w zakresie jej zdolności do wywiązywania się ze zobowiązań płatniczych w przyszłości stanowi „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach” w rozumieniu tego przepisu, jeżeli od tej wartości prawdopodobieństwa zależy w decydujący sposób, czy strona trzecia, której wspomnianą wartość prawdopodobieństwa przekazano, nawiąże, wykona lub zakończy stosunek umowny z tą osobą ( ).
28.
W następstwie tego wyroku Trybunał zwrócił się do sądu odsyłającego o wskazanie, czy podtrzymuje swój wniosek o wydanie orzeczenia w trybie prejudycjalnym, na co sąd ten udzielił odpowiedzi twierdzącej. Uznał on bowiem w istocie, że wskazany wyrok nie udzielił odpowiedzi na pytania sądu dotyczące w szczególności sposobu rozwiązania konfliktu między prawem osoby, której dane dotyczą, do ochrony jej danych osobowych a interesem administratora danych w zakresie ochrony tajemnicy przedsiębiorstwa. Ponadto w tym wyroku nie udzielono odpowiedzi na pytanie dotyczące wymaganego poziomu szczegółowości „istotnych informacji o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu art. 15 ust. 1 lit. h) RODO.
29.
Niniejsza sprawa będzie zatem okazją dla Trybunału do uzupełnienia wyroku SCHUFA Holding i in. (Scoring) ( ) poprzez sprecyzowanie zakresu prawa dostępu zagwarantowanego w tym przepisie.
30.
Sąd odsyłający powinien bowiem określić zakres i poziom szczegółowości informacji, które D & B jest zobowiązana dostarczyć, aby spełnić wymogi wynikające z tego przepisu.
31.
Z tego punktu widzenia sąd ten zwraca się do Trybunału o pomoc w rozstrzygnięciu następujących kwestii prawnych.
32.
W pierwszej kolejności, co należy rozumieć pod pojęciem „istotnych informacji o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu art. 15 ust. 1 lit. h) RODO? Czy do informacji tych należy algorytm wykorzystany w tym celu? W jakim zakresie i w jakim stopniu można wymagać od administratora danych przekazania wystarczającej ilości informacji, aby umożliwić osobie, której dane dotyczą, sprawdzenie prawidłowości tych informacji i ich spójności z odnośną decyzją o przyznanej ocenie?
33.
W drugiej kolejności, w jakim zakresie ochrona praw i wolności innych osób, w szczególności ochrona tajemnicy przedsiębiorstwa, może mieć wpływ na spoczywający na administratorze danych obowiązek dostarczenia „istotnych informacji dotyczących zasad” automatycznego podejmowania decyzji w rozumieniu art. 15 ust. 1 lit. h) RODO? Jakie mechanizmy mogłyby, w stosownych przypadkach, rozwiązać konflikt pomiędzy prawami osoby, której dane dotyczą, a interesami administratora?
34.
W swojej opinii w sprawie, w której zapadł wyrok SCHUFA Holding i in. (Scoring) ( ), rzecznik generalny P. Pikamäe zajął stanowisko w sprawie głównych aspektów tych kwestii. Uznał on, że art. 15 ust. 1 lit. h) RODO w związku z motywem 63 tego rozporządzenia należy interpretować w ten sposób, że „obejmuje on zasadniczo również metodę obliczeniową stosowaną przez biuro informacji kredytowej w celu wyliczenia wartości scoringu, o ile nie występują sprzeczne interesy zasługujące na ochronę” ( ).
35.
Pragnąc zapewnić właściwą równowagę między rozbieżnymi prawami i interesami w danej sprawie, prawodawca Unii chciał zapewnić, że „w każdym przypadku należy udzielić minimum informacji, aby nie naruszyć istoty prawa do ochrony danych osobowych” ( ). Wobec tego, w opinii rzecznika generalnego P. Pikamäe, „o ile ochrona tajemnicy handlowej lub własności intelektualnej jest co do zasady uzasadnionym powodem odmowy ujawnienia przez biuro informacji kredytowej algorytmu użytego do obliczenia wartości scoringu osoby, której dane dotyczą, to jednak w żaden sposób nie może uzasadniać całkowitej odmowy udzielenia informacji” ( ).
36.
W świetle art. 12 ust. 1 RODO, zgodnie z którym „[a]dministrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, [o których mowa w art. 15] w sprawie przetwarzania” ( ), oraz motywu 58 tego rozporządzenia rzecznik generalny P. Pikamäe uznał, że „rzeczywistym celem art. 15 ust. 1 lit. h) RODO jest zapewnienie, aby osoba, której dane dotyczą, uzyskała informacje w sposób zrozumiały i w dostępnej formie, zgodnie z jej potrzebami” ( ). Jego zdaniem „już te wymagania wykluczają ewentualny obowiązek ujawniania algorytmu, ze względu na jego złożoność. Przydatność przekazania szczególnie złożonej formuły bez dołączenia niezbędnych wyjaśnień byłaby bowiem wątpliwa” ( ).
37.
W świetle tych okoliczności rzecznik generalny P. Pikamäe stwierdził zatem, że obowiązek dostarczenia „istotnych informacji o zasadach [podejmowania decyzji]” należy rozumieć w ten sposób, że obejmuje on wystarczająco szczegółowe wyjaśnienia dotyczące metody zastosowanej do wyliczenia wartości scoringu oraz przyczyn, które doprowadziły do określonego wyniku. Ogólnie rzecz biorąc, administrator danych powinien przekazać osobie, której dane dotyczą ogólne informacje, w szczególności na temat czynników branych pod uwagę w procesie podejmowania decyzji oraz na temat ich wagi na poziomie zbiorczym, które są również przydatne do zakwestionowania wszelkich „decyzji” w rozumieniu art. 22 ust. 1 RODO ( ).
38.
Zasadniczo zgadzam się z wykładnią zaproponowaną przez rzecznika generalnego P. Pikamäe, co wyjaśnię bardziej szczegółowo w dalszych rozważaniach ( ).
B.
W przedmiocie pytań prejudycjalnych
39.
Poprzez swoje pytania, które proponuję przeanalizować łącznie, sąd odsyłający zwraca się w istocie do Trybunału o rozstrzygnięcie, czy, po pierwsze, art. 15 ust. 1 lit. h) RODO należy interpretować w ten sposób, że „istotne informacje o zasadach” zautomatyzowanego podejmowania decyzji obejmują informacje, które są wystarczająco kompletne, aby umożliwić osobie, której dane dotyczą, sprawdzenie prawidłowości tych informacji i ich spójności z daną decyzją o przyznanej ocenie, w tym algorytm wykorzystany do tego zautomatyzowanego podjęcia decyzji. Z drugiej strony sąd ten dąży do ustalenia, czy, a jeśli tak, to w jakim stopniu ochrona praw i wolności innych osób, takich jak ochrona tajemnicy przedsiębiorstwa, na którą powołuje się administrator, może ograniczyć zakres prawa dostępu przysługującego osobie, której dane dotyczą, na mocy tego przepisu.
1. W przedmiocie pojęcia „istotnych informacji o zasadach” zautomatyzowanego podejmowania decyzji
40.
Na wstępie należy zauważyć, że Trybunał podkreślił ostatnio kilka cech prawa dostępu przewidzianego w art. 15 RODO, orzekając w sprawie zakresu prawa do uzyskania kopii danych osobowych podlegających przetwarzaniu, które przewidziane jest w ust. 3 zdanie pierwsze tego artykułu. Wydaje mi się, że obserwacje te są użyteczne do udzielenia odpowiedzi na pytania sądu odsyłającego.
41.
Artykuł 15 ust. 1 RODO, zatytułowany „Prawo dostępu przysługujące osobie, której dane dotyczą”, określa w ust. 1 przedmiot i zakres przyznanego osobie, której dane dotyczą, prawa dostępu i ustanawia w nim prawo tej osoby do uzyskania od administratora dostępu do jej danych osobowych oraz informacji, do których odnoszą się lit. a)–h) tego ustępu.
42.
Zagwarantowanie takiego prawa ma na celu osiągnięcie celów RODO, którymi są, jak wskazują motywy 10 i 11 tego rozporządzenia, zapewnienie spójnego i wysokiego stopnia ochrony osób fizycznych w Unii Europejskiej oraz wzmocnienie i doprecyzowanie praw osób, których dane dotyczą ( ).
43.
Artykuł 15 ust. 1 lit. h) RODO stanowi, dokładniej rzecz ujmując, że osoba, której dane dotyczą, ma prawo uzyskać od administratora informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu ( ), o którym mowa w art. 22 ust. 1 i 4 tego rozporządzenia, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ( ) ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą ( ).
44.
Ogólnie rzecz biorąc, z orzecznictwa Trybunału wynika, że prawo dostępu przewidziane w art. 15 RODO powinno umożliwiać osobie, której dane dotyczą, upewnienie się, że dotyczące jej dane osobowe są prawidłowe i przetwarzane zgodnie z prawem ( ).
45.
Ponadto kopia danych osobowych podlegających przetwarzaniu, którą administrator musi dostarczyć na podstawie art. 15 ust. 3 zdanie pierwsze RODO, powinna posiadać wszystkie cechy umożliwiające osobie, której dane dotyczą, skuteczne wykonywanie jej praw wynikających z tego rozporządzenia, a w konsekwencji powinna odtwarzać w całości i wiernie te dane ( ).
46.
W szczególności owo prawo dostępu jest niezbędne, aby umożliwić osobie, której dane dotyczą, skorzystanie, w stosownych przypadkach, z prawa do sprostowania danych, prawa do usunięcia danych („prawa do bycia zapomnianym”), prawa do ograniczenia przetwarzania, które zostało jej przyznane, odpowiednio, w art. 16, 17 i 18 RODO, a także prawa do sprzeciwu wobec przetwarzania jej danych osobowych, przewidzianego w art. 21 RODO, oraz prawa do dochodzenia roszczeń w przypadku poniesionej szkody, przewidzianego w art. 79 i 82 RODO ( ).
47.
Co się tyczy prawa osoby, której dane dotyczą, do uzyskania informacji przewidzianych w art. 15 ust. 1 lit. h), pragnę dodać, że to prawo dostępu powinno umożliwiać jej wykonywanie praw przyznanych jej w art. 22 RODO, który odnosi się w szczególności do sytuacji, w której osoba, której dane dotyczą, podlega decyzji, która opiera się na zautomatyzowanym przetwarzaniu.
48.
Tym samym, jak wskazałem wcześniej, zgodnie z art. 22 ust. 1 RODO osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa ( ). Jednakże tak sformułowany zakaz nie ma zastosowania w przypadkach wymienionych w art. 22 ust. 2 tego rozporządzenia, a mianowicie gdy decyzja ta jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem [lit. a)], jeżeli jest ona dozwolona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator [lit. b)], lub jeżeli opiera się ona na wyraźnej zgodzie osoby, której dane dotyczą [lit. c)].
49.
Ponadto art. 22 RODO przewiduje w ust. 2 lit. b) i w ust. 3, że należy przewidzieć odpowiednie środki ochrony praw i wolności oraz uzasadnionych interesów osoby, której dane dotyczą. W przypadkach, o których mowa w art. 22 ust. 2 lit. a) i c) tego rozporządzenia, administrator co najmniej wdraża prawo osoby, której dane dotyczą do uzyskania interwencji ludzkiej, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji ( ). W ramach niniejszej sprawy sąd odsyłający kładzie nacisk na powiązanie pomiędzy prawem dostępu przewidzianym w art. 15 ust. 1 lit. h) tego rozporządzenia i prawami osoby, której dane dotyczą, do wyrażenia własnego stanowiska i do zakwestionowania zautomatyzowanej decyzji.
50.
Zdaniem Trybunału wyższe wymogi ustanowione w RODO dotyczące zgodności z prawem zautomatyzowanego podejmowania decyzji, a także dodatkowe obowiązki informacyjne administratora i związane z nimi dodatkowe prawa dostępu przysługujące osobie, której dane dotyczą, wynikają z celu art. 22 RODO, jakim jest ochrona osób przed szczególnymi zagrożeniami dla ich praw i wolności wynikającymi z automatycznego przetwarzania danych osobowych, w tym profilowania ( ).
51.
Wynika z tego, że w celu ustalenia, co obejmuje pojęcie „istotnych informacji o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu art. 15 ust. 1 lit. h) RODO, należy wziąć pod uwagę cel realizowany przez art. 22 tego rozporządzenia, tak aby osoba, której dane dotyczą, mogła skutecznie, w oparciu o te informacje, skorzystać z praw przyznanych jej w ostatnim z tych przepisów.
52.
W tym względzie należy zauważyć, że zgodnie z zasadą przejrzystości, do której odnosi się motyw 58 RODO i którą wyraźnie ustanawia art. 12 ust. 1 tego rozporządzenia, wszelkie informacje kierowane do osoby, której dane dotyczą, muszą być zwięzłe, łatwo dostępne i łatwe do zrozumienia oraz sformułowane jasnym i prostym językiem ( ).
53.
W związku z tym Trybunał wywiódł z tego przepisu, że administrator jest zobowiązany do podjęcia odpowiednich środków, aby udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa między innymi w art. 15 RODO, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Celem tego przepisu, który jest wyrazem zasady przejrzystości, jest zapewnienie, by osoba, której dane dotyczą, była w stanie zrozumieć w pełni przekazywane jej informacje ( ).
54.
Z tych ustaleń wynika, zdaniem Trybunału, że kopia danych osobowych podlegających przetwarzaniu, którą administrator musi przedstawić na podstawie art. 15 ust. 3 zdanie pierwsze RODO, powinna posiadać wszystkie cechy umożliwiające osobie, której dane dotyczą, skuteczne wykonywanie jej praw wynikających z tego rozporządzenia, a w konsekwencji powinna odtwarzać w całości i wiernie te dane ( ).
55.
Trybunał wyjaśnił również, że może okazać się koniecznym uwzględnienie kontekstu przetwarzanych danych osobowych, aby zapewnić, że będą one zrozumiałe. W związku z tym, aby bowiem zagwarantować, że przekazane w ten sposób informacje będą łatwe do zrozumienia, jak tego wymaga art. 12 ust. 1 RODO w związku z motywem 58 tego rozporządzenia, odtworzenie fragmentów dokumentów, a nawet całych dokumentów lub wyciągów z baz danych, które zawierają między innymi przetwarzane dane osobowe, może okazać się niezbędne ( ).
56.
W szczególności, zdaniem Trybunału, gdy dane osobowe są generowane z innych danych lub gdy dane te wynikają z wolnych pól, a mianowicie z braku informacji ujawniających informację o osobie, której dane dotyczą, kontekst, w jakim dane te są przetwarzane, jest niezbędnym elementem umożliwiającym osobie, której dane dotyczą, uzyskanie przejrzystego dostępu i zrozumiałego przedstawienia tych danych ( ).
57.
W konsekwencji prawo do uzyskania od administratora kopii danych osobowych podlegających przetwarzaniu oznacza przekazanie osobie, której dane dotyczą, wiernej i zrozumiałej kopii wszystkich oryginałów tych danych. Prawo to obejmuje prawo do uzyskania kopii fragmentów dokumentów lub całych dokumentów, lub też wyciągów z baz danych, które zawierają między innymi te dane, jeżeli dostarczenie takiej kopii jest niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie ( ).
58.
Orzecznictwo Trybunału dotyczące wymogów, jakie powinien spełniać administrator danych, gdy dostarcza on na podstawie art. 15 ust. 3 zdanie pierwsze RODO kopię danych osobowych podlegających przetwarzaniu, zawiera – moim zdaniem – cenne wskazówki dla określenia, czym powinny cechować się „istotne informacje o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu art. 15 ust. 1 lit. h) tego rozporządzenia.
59.
Z orzecznictwa tego wynika również, co prawda, że danych osobowych, których kopię administrator musi dostarczyć zgodnie z art. 15 ust. 3 zdanie pierwsze tego rozporządzenia, nie należy mylić z informacjami, do których osoba, której dane dotyczą, ma prawo dostępu zgodnie z art. 15 ust. 1 lit. a)-h) tego rozporządzenia ( ).
60.
Moim zdaniem nie ulega jednak wątpliwości, że wymóg przejrzystości udzielanych informacji, ustanowiony w art. 12 ust. 1 RODO, i na którym opiera się to orzecznictwo, ma zastosowanie, zgodnie z samym brzmieniem tego przepisu, do całości tych danych i informacji, w tym tych, które są związane ze zautomatyzowanym podejmowaniem decyzji.
61.
W związku z tym osobie, której dane dotyczą, należy przekazać, w kontekście zautomatyzowanego podejmowania decyzji, takiego jak w postępowaniu głównym, kopię jej danych osobowych podlegających przetwarzaniu, która odtwarza w całości i wiernie te dane, zgodnie z art. 15 ust. 3 zdanie pierwsze RODO.
62.
Ponadto wydaje się niezbędne, aby osoba, której dane dotyczą, znała kontekst, w jakim jej dane osobowe są przetwarzane w sposób zautomatyzowany, tak aby miała ona możliwość skorzystania z praw przyznanych jej w RODO, w tym prawa wyrażenia własnego stanowiska względem zautomatyzowanej decyzji i do jej zakwestionowania.
63.
Taki jest zresztą sam cel art. 15 ust. 1 lit. h) RODO, który wymaga w istocie, aby osoba, której dane dotyczą, została poinformowana o kontekście, w którym podjęto zautomatyzowaną decyzję, a w szczególności o zasadach podjęcia tej decyzji.
64.
Znajomość tego kontekstu po stronie osoby, której dane dotyczą, powinna umożliwiać jej zrozumienie wyniku zautomatyzowanej decyzji dzięki znajomości kluczowych elementów metody i zastosowanych kryteriów. Krótko mówiąc, proces, który ma charakter z natury techniczny, a który doprowadził do podjęcia tej decyzji, powinien stać się możliwym do zrozumienia. Tylko w ten sposób osoba, której dane dotyczą, będzie mogła skorzystać ze swoich praw wynikających z RODO, w tym prawa do wyrażenia własnego stanowiska względem zautomatyzowanej decyzji i jej zakwestionowania. Pojęcie „istotnych informacji o zasadach” zautomatyzowanego podejmowania decyzji należy zatem rozumieć w sposób funkcjonalny ( ).
65.
W tym względzie nacisk położony przez prawodawcę Unii na potrzebę istotnych informacji jest bezpośrednio związany z technicznym charakterem rozpatrywanej dziedziny, co sprawia, że konieczne jest zapewnienie, by informacje te były zrozumiałe
i znaczące dla osoby, której dane dotyczą. Jest to warunek konieczny do zapewnienia przydatności wspomnianych informacji w celu umożliwienia tej osobie skutecznego wykonywania praw przyznanych jej przez RODO. W zależności od wersji językowej art. 15 ust. 1 lit. h) RODO kładzie się różny nacisk na „zrozumiały”, czy też „znaczący” charakter informacji, przy czym to dwojakie znaczenie wyraża słowo „meaningful” w angielskiej wersji językowej ( ). Należy zatem, moim zdaniem, przyjąć taką interpretację pojęcia „istotnych informacji” w rozumieniu tego przepisu, która umożliwi, w ramach podejścia funkcjonalnego, uwzględnienie tych uzupełniających się znaczeń.
66.
Przydatność informacji dla osoby, której dane dotyczą, zakłada zatem – podobnie jak w przypadku kopii danych osobowych podlegających przetwarzaniu, która powinna być dostarczona na podstawie art. 15 ust. 3 zdanie pierwsze RODO – że informacje te powinny być zwięzłe, łatwo dostępne i łatwe do zrozumienia oraz sformułowane jasnym i prostym językiem. Osoba, której dane dotyczą, której udostępniane są te informacje, powinna zatem być w stanie zrozumieć w pełni przekazywane jej informacje. Z tej perspektywy konieczne może być uwzględnienie kontekstu udostępnianych informacji, aby zapewnić, że będą one zrozumiałe.
67.
Podsumowując, „istotne informacje”, jakich wymaga art. 15 ust. 1 lit. h) RODO, powinny być nie tylko jasne i łatwo zrozumiałe, ale powinny im również towarzyszyć zawierać odpowiednie wyjaśnienia zapewniające ich prawidłowe zrozumienie. Jest to tym bardziej oczywiste w przypadkach, w których należy udzielić osobie, której dane dotyczą, informacji dotyczących dziedziny technicznej. W tym sensie przepis ten przyznaje osobie, której dane dotyczą, rzeczywiste prawo do wyjaśnienia funkcjonowania mechanizmu leżącego u podstaw zautomatyzowanego podejmowania decyzji, któremu podlegała ta osoba, oraz wyniku tej decyzji ( ). W tym względzie pragnę zwrócić uwagę, że zgodnie z motywem 71 RODO osoba, której dane dotyczą, powinna mieć możliwość „uzyskania wyjaśnienia decyzji podjętej w wyniku tego rodzaju oceny”.
68.
Do tych wymogów należy dodać to, że osoba, której dane dotyczą, powinna mieć możliwość sprawdzenia prawidłowości dotyczących jej danych osobowych i informacji o zasadach zautomatyzowanego podejmowania decyzji. Powinna ona tym samym móc upewnić się, że istnieje spójność i związek przyczynowy możliwe do obiektywnego zweryfikowania pomiędzy, z jednej strony, metodą i zastosowanymi kryteriami a, z drugiej strony, wynikiem zautomatyzowanego podejmowania decyzji. Innymi słowy, przekazane informacje powinny umożliwiać tej osobie sprawdzenie, czy odpowiadają one faktom, a zatem czy dana zautomatyzowana decyzja została faktycznie oparta na dokładnych informacjach ( ).
69.
Pragnę w tym względzie przypomnieć, że jak wynika z postanowienia odsyłającego, informacje przekazane CK przez D & B wydają się nie odpowiadać faktom, ponieważ nie ujawniają one profilowania faktycznie dokonanego wobec niej. Trybunał podkreślił już, że ze względu na szczególne zagrożenia dla ich praw i wolności wynikające ze zautomatyzowanego przetwarzania danych osobowych, w tym profilowania, istotne jest, zgodnie z motywem 71 RODO, zapewnienie odpowiednich zabezpieczeń oraz sprawiedliwego i przejrzystego traktowania osób, których dane dotyczą, w szczególności poprzez stosowanie odpowiednich procedur matematycznych lub statystycznych do celów profilowania oraz poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych w celu ograniczenia ryzyka błędu do minimum ( ).
70.
Ten wymóg prawidłowości jest, moim zdaniem, wzmocniony, jeżeli weźmie się pod uwagę – tak jak Trybunał w wyroku z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu) ( ), w kontekście przetwarzania danych osobowych związanego z przyznaniem zwolnienia z pozostałej części długu – że zautomatyzowane przetwarzanie, takie jak rozpatrywane w postępowaniu głównym, stanowi poważną ingerencję w prawa podstawowe osoby, której dane dotyczą, ustanowione w art. 7 i 8 Karty. Dane osobowe osoby, której dane dotyczą, są bowiem przetwarzane w celu oceny jej wypłacalności, a zatem stanowią szczególnie chronione informacje na temat jej życia prywatnego. Ich przetwarzanie może poważnie zaszkodzić interesom tej osoby, uniemożliwiając jej nawiązanie stosunków umownych, które mają umożliwić jej zaspokojenie jej zwykłych potrzeb ( ).
71.
W związku z tym uważam, że „istotne informacje o zasadach” zautomatyzowanego podejmowania decyzji powinny umożliwiać osobie, której dane dotyczą, wykonywanie praw przyznanych jej w RODO, a w szczególności w art. 22 tego rozporządzenia. Oznacza to, w pierwszej kolejności, że osoba ta powinna móc uzyskać zwięzłe, łatwo dostępne i łatwe do zrozumienia oraz sformułowane jasnym i prostym językiem informacje o metodzie i kryteriach zastosowanych przy podejmowaniu tej decyzji. W drugiej kolejności, informacje te powinny być dostatecznie wyczerpujące i uwzględniające kontekst, aby umożliwić tej osobie sprawdzenie ich prawidłowości oraz tego, czy istnieje możliwa do obiektywnego zweryfikowania spójność i związek przyczynowy między, z jednej strony, zastosowaną metodą i zastosowanymi kryteriami, a z drugiej strony, wynikiem zautomatyzowanego podejmowania decyzji.
72.
W świetle powyższego nie uważam, że art. 15 ust. 1 lit. h) RODO należy interpretować w ten sposób, że nakłada on na administratora danych obowiązek ujawnienia osobie, której dane dotyczą, informacji, które ze względu na swój techniczny charakter są na tyle złożone, że nie są one możliwe do zrozumienia dla osób nieposiadających specjalistycznej wiedzy technicznej ( ). Tak jest, moim zdaniem, w przypadku algorytmów wykorzystywanych przy zautomatyzowanym podejmowaniu decyzji.
73.
Można by argumentować, co prawda, w ramach szerokiego rozumienia obowiązku transparentności, że kontrola sposobu przetwarzania danych osobowych przez algorytm wymaga ujawnienia algorytmu osobie, której dane dotyczą ( ). Jestem jednakże zdania, że celem tego obowiązku jest umożliwienie osobie, której dane dotyczą, zrozumienia przekazywanych jej informacji, tak aby mogła ona dochodzić praw przyznanych jej w RODO. Z tej perspektywy wyjaśnienia, które będą zrozumiałe bez konieczności posiadania specjalistycznej wiedzy technicznej, będą z pewnością „istotniejsze” niż skomplikowany wzór matematyczny.
74.
Podobnie pragnę zauważyć, że – jak wynika z Wytycznych – „[…] zrozumienie, jak działa zautomatyzowany proces podejmowania decyzji lub profilowanie [może być utrudnione]”. W związku z tym „administrator powinien znaleźć proste sposoby, aby poinformować osobę, której dane dotyczą, o przesłankach lub kryteriach, na których opiera się decyzja. RODO wymaga od administratora dostarczenia istotnych informacji na temat założeń przetwarzania, niekoniecznie złożonego wyjaśnienia zastosowanych algorytmów lub ujawnienia pełnego algorytmu […] Dostarczone informacje powinny jednak być wystarczająco wyczerpujące, aby osoba, której dane dotyczą, zrozumiała przyczyny decyzji” ( ). W związku z tym „[a]dministrator danych powinien przekazać osobie, której dane dotyczą, ogólne informacje (w szczególności na temat czynników branych pod uwagę w procesie podejmowania decyzji oraz na temat ich „wagi” na poziomie zbiorczym), które są również przydatne do zakwestionowania tej decyzji” ( ).
75.
Jednakże, jak wskazała Grupa Robocza Artykuł 29 ds. ochrony danych w swoich Wytycznych, „[s]komplikowanie nie jest wymówką dla nieprzedstawienia informacji osobie, której dane dotyczą” ( ). Wynika z tego, że administrator nie może powoływać się na złożony charakter informacji, aby odmówić wykonania obowiązku ciążącego na nim na mocy art. art. 15 ust. 1 lit. h) RODO. Do niego należy zapewnienie, że dostarczone informacje będą jednocześnie zrozumiałe i wyczerpujące, tak aby osoba, której dane dotyczą, mogła zrozumieć proces, który doprowadził do wydania wobec niej zautomatyzowanej decyzji.
76.
Wnioskuję z tego, że administrator danych nie jest zobowiązany – na podstawie art. 15 ust. 1 lit. h) RODO – do przekazania osobie, której dane dotyczą, informacji o charakterze technicznym, których osoba ta nie byłaby w stanie zrozumieć, takich jak szczegóły dotyczące zastosowanych algorytmów ( ). Natomiast administrator ten powinien wywiązać się ze swojego obowiązku polegającego, w każdym przypadku, na dostarczeniu tej osobie jednocześnie zrozumiałych i dostatecznie wyczerpujących informacji na temat procesu, który doprowadził do podjęcia danej zautomatyzowanej decyzji, oraz na temat przyczyn wyjaśniających wynik tej decyzji. Zdefiniowane w ten sposób „istotne informacje o zasadach” zautomatyzowanego podejmowania decyzji powinny w szczególności opisywać zastosowaną metodę i uwzględnione kryteria, a także ich wagę ( ). Osoba, której dane dotyczą, powinna być w stanie zrozumieć, które informacje zostały wykorzystane do zautomatyzowanego podejmowania decyzji oraz w jaki sposób zostały one uwzględnione i jaka była ich waga.
77.
Należy również wyjaśnić, że przepis ten nie stoi, moim zdaniem, na przeszkodzie temu, aby administrator danych dobrowolnie podjął decyzję o przekazaniu osobie, której dane dotyczą, informacji o charakterze technicznym, takich jak szczegóły dotyczące zastosowanych algorytmów, pod warunkiem, że informacjom tym towarzyszyć będą informacje umożliwiające osobie, której dane dotyczą, zrozumienie procesu, który doprowadził do podjęcia zautomatyzowanej decyzji, oraz jej wyniku.
78.
Dodam, że art. 15 ust. 1 lit. h) RODO nie powinien moim zdaniem być interpretowany w ten sposób, że wymaga on od administratora, aby przekazał osobie, której dane dotyczą, dane osobowe dotyczące osób trzecich, w przeciwnym razie doszłoby bowiem do naruszenia praw tych osób trzecich. Z drugiej strony, przykłady podobnych operacji przetwarzania danych wskazane – dla porównania – w sposób zanonimizowany mogłyby umożliwić tej osobie lepsze zrozumienie zautomatyzowanej decyzji podjętej wobec niej.
79.
Do sądu odsyłającego należy ustalenie – w oparciu o powyższe wskazania, jakie informacje powinny zostać udostępnione osobie zainteresowanej w postępowaniu głównym. W tym względzie mam wątpliwości, czy Trybunał, pełniąc należącą do niego funkcję powierzoną mu na mocy art. 267 TFUE, jaką jest dokonywanie wykładni prawa Unii, którą należy odróżnić od funkcji w postaci stosowania tego prawa, która należy do sądów krajowych, może posunąć się tak daleko w skonkretyzowaniu tych informacji, jak chciałby ten sąd.
80.
Pragnę ponadto uściślić, że wykładnia pojęcia „istotnych informacji o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu art. 15 ust. 1 lit. h) RODO, którą proponuję przyjąć Trybunałowi, pozwala uznać, że prawodawca Unii zapewnił już w dużej mierze równowagę między z jednej strony wymogiem przejrzystości, który leży u podstaw tego przepisu, a, z drugiej strony, ochroną praw i wolności innych osób, wśród których znajduje się ochrona tajemnicy przedsiębiorstwa. W zakresie bowiem, w jakim – moim zdaniem – pojęcie to nie powinno rozciągać się na informacje o charakterze technicznym, takie jak algorytm, których osoba, której dane dotyczą, nie jest w stanie zrozumieć bez posiadania specjalistycznej wiedzy, prawo dostępu ustanowione w tym przepisie nie powinno, w większości przypadków, zagrażać tajemnicy przedsiębiorstwa, na którą może zasadnie powoływać się administrator danych. To samo dotyczy ochrony danych osobowych osób trzecich, w zakresie w jakim omawiane pojęcie nie powinno co do zasady obejmować takich danych.
81.
Niemniej jednak nie można wykluczyć, że w niektórych przypadkach prawo dostępu ustanowione w art. 15 ust. 1 lit. h) RODO może prowadzić do naruszenia praw i wolności innych osób. Na takie naruszenie może powołać się administrator danych w celu uzasadnienia odmowy przekazania informacji osobie, której dane dotyczą. Ponadto jest możliwe, że przekazane informacje nie będą wystarczające, aby umożliwić sprawdzenie ich prawidłowości i spójności z wynikiem, do którego doprowadziło zautomatyzowane podejmowanie decyzji w danej sprawie, oraz że przekazanie dodatkowych informacji dla zapewnienia tej możliwości będzie skutkować naruszeniem praw i wolności innych osób. Z tego względu należy ustalić, zgodnie z tym, o co wnosi sąd odsyłający, za pomocą jakich mechanizmów można pogodzić sporne prawa i odsetki.
2. W przedmiocie wyważenia praw osoby, której dane dotyczą, z prawami i wolnościami innych osób
82.
Pragnę przypomnieć, że sąd odsyłający dąży do ustalenia, czy, a jeśli tak, to w jakim stopniu ochrona praw i wolności innych osób, takich jak ochrona tajemnicy przedsiębiorstwa, na którą powołuje się administrator, może ograniczyć zakres prawa dostępu przysługującego osobie, której dane dotyczą, na mocy art. 15 ust. 1 lit. h) RODO.
83.
Należy na wstępie wskazać w tym względzie, że na mocy motywu 4 RODO prawo do ochrony danych osobowych nie jest prawem bezwzględnym i należy je wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. I tak RODO nie narusza praw podstawowych, wolności i zasad uznanych w karcie praw podstawowych oraz zapisanych w traktatach ( ).
84.
Ponadto motyw 63 tego rozporządzenia stanowi, że prawo każdej osoby, której dane dotyczą, dostępu do zebranych danych jej dotyczących, „nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji”.
85.
Artykuł 15 ust. 4 RODO przewiduje tym samym, że „prawo do uzyskania kopii [przetwarzanych danych osobowych] nie może niekorzystnie wpływać na prawa i wolności innych”.
86.
Podobnie art. 23 ust. 1 lit. i) RODO przypomina, że ograniczenie zakresu obowiązków i praw przewidzianych w szczególności w art. 15 RODO jest możliwe, „jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym ochronie praw i wolności innych osób” ( ).
87.
Z przepisów tych Trybunał wywiódł, że przyznane osobie, której dane dotyczą, prawo do bezpłatnego uzyskania pierwszej kopii jej danych osobowych podlegających przetwarzaniu nie jest prawem absolutnym ( ). W szczególności zgodnie z art. 15 ust. 4 RODO w związku z motywem 63 tego rozporządzenia, prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu, o którym mowa w ust. 3 tego artykułu, nie powinno naruszać praw i wolności innych osób, w tym tajemnicy handlowej lub własności intelektualnej, w szczególności praw autorskich chroniących oprogramowanie ( ).
88.
Wynika z nich, że względy związane w szczególności z ochroną praw i wolności innych osób mogą uzasadniać ograniczenie prawa dostępu przewidzianego w art. 15 ust. 1 lit. h) RODO, pod warunkiem że takie ograniczenie nie narusza jego istoty i stanowi konieczny i proporcjonalny środek w celu zagwarantowania tej ochrony, zgodnie z art. 23 ust. 1 lit. i) RODO ( ).
89.
Tymczasem względy związane z ochroną tajemnicy przedsiębiorstwa w rozumieniu art. 2 ust. 1 pkt 1 dyrektywy 2016/943 ( ) mogą uzasadniać ograniczenie prawa dostępu przewidzianego w art. 15 ust. 1 lit. h) RODO.
90.
Wprawdzie motyw 35 dyrektywy 2016/943 stanowi, że „nie powinna [ona] wpływać na prawa i obowiązki określone w dyrektywie 95/46/WE [Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych ( )], w szczególności na prawa osoby, której dane dotyczą, do dostępu do jej danych osobowych, które są przetwarzane, oraz do uzyskania sprostowania, usunięcia lub zablokowania danych niekompletnych lub nieprawidłowych”. Niemniej jednak przywołane przeze mnie powyżej przepisy RODO wydają mi się przemawiać, w przypadku kolizji między z jednej strony wykonywaniem prawa dostępu przewidzianego w art. 15 ust. 1 lit. h) tego rozporządzenia, a z drugiej strony prawami i wolnościami innych osób, na rzecz możliwości wyważenia rozpatrywanych praw i wolności ( ).
91.
Tym samym, jak już orzekł Trybunał, w miarę możliwości należy wybrać sposób przekazania danych osobowych, który nie narusza praw lub wolności innych osób, mając na uwadze, że – jak wynika z motywu 63 RODO – względy te nie powinny jednak „skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji” ( ).
92.
Sąd odsyłający zmierza w istocie do ustalenia, jakie formy mogą przybrać takie sposoby przekazania, które byłyby zgodne z prawami i wolnościami innych osób w szczególnym kontekście art. 15 ust. 1 lit. h) RODO.
93.
Pragę w tym względzie zauważyć, że Trybunał orzekł już, iż sąd krajowy może uznać, że dane osobowe stron lub osób trzecich powinny zostać mu przekazane, aby móc wyważyć występujące w postępowaniu interesy przy pełnej znajomości stanu rzeczy i z poszanowaniem zasady proporcjonalności Ocena ta może w danym wypadku prowadzić do zezwolenia stronie przeciwnej na pełne lub częściowe ujawnienie przekazanych jej w ten sposób danych osobowych, jeżeli uzna on, że takie ujawnienie nie wykracza poza to, co jest konieczne do zapewnienia skutecznego korzystania z praw, które jednostki wywodzą z art. 47 Karty ( ).
94.
Orzecznictwo to można moim zdaniem zastosować do informacji, o których mowa w art. 15 ust. 1 lit. h) RODO. W świetle tego orzecznictwa uważam, że przepis ten w związku z motywem 63 i art. 23 ust. 1 lit. i) tego rozporządzenia należy interpretować w ten sposób, że w przypadku gdy informacje, które należy przekazać osobie, której dane dotyczą, zgodnie z prawem dostępu zagwarantowanym w pierwszym z tych przepisów, mogą prowadzić do naruszenia praw i wolności innych osób, w szczególności dlatego, że zawierają dane osobowe osób trzecich chronione przez RODO lub tajemnicę przedsiębiorstwa w rozumieniu art. 2 ust. 1 pkt 1 dyrektywy 2016/943, informacje te powinny zostać przekazane właściwemu organowi nadzorczemu lub właściwemu sądowi, aby mogły one wyważyć – przy pełnej znajomości stanu rzeczy i z poszanowaniem zasady proporcjonalności i z zachowaniem poufności tych informacji – wchodzące w grę interesy oraz określić zakres prawa dostępu, które należy tej osobie przyznać.
95.
Zgodnie z informacjami przekazanymi przez sąd odsyłający we wniosku o wydanie orzeczenia w trybie prejudycjalnym § 4 ust. 6 DSG wyłącza, co do zasady, prawo dostępu osoby, której dane dotyczą, przewidziane w art. 15 RODO, jeżeli taki dostęp zagrażałby tajemnicy przedsiębiorstwa lub tajemnicy handlowej administratora danych lub osoby trzeciej. Uważam w tym względzie, że przepis tego rodzaju nie może wyłączać wyważenia, którego powinien dokonać w każdym indywidualnym przypadku właściwy organ lub sąd. Wydaje mi się bowiem, że z orzecznictwa Trybunału wynika, iż w przypadku gdy należy dokonać wyważenia przeciwstawnych praw i interesów, państwo członkowskie nie może określić w sposób ostateczny wyniku tego ważenia ( ) nie dopuszczając innego rezultatu wynikającego ze szczególnych okoliczności danej sprawy ( ).
IV. Wnioski
96.
W świetle wszystkich powyższych rozważań proponuję, aby Trybunał odpowiedział na pytania prejudycjalne zadane przez Verwaltungsgericht Wien (sąd administracyjny w Wiedniu, Austria) w następujący sposób:
Artykuł 15 ust. 1 lit. h) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) w związku z motywem 63 i art. 23 ust. 1 lit. i) tego rozporządzenia
należy interpretować w ten sposób, że:
–
jeżeli osoba, której dane dotyczą, podlega zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu, o którym mowa w art. 22 rozporządzenia 2016/679, „istotne informacje o zasadach” tego zautomatyzowanego podejmowania decyzji, do których osoba ta ma prawo dostępu, dotyczą metody i kryteriów stosowanych przez administratora w tym celu;
–
informacje te muszą umożliwiać osobie, której dane dotyczą, wykonywanie praw przyznanych jej w rozporządzeniu 2016/679, a w szczególności we wspomnianym art. 22. Powinny one zatem być zwięzłe, łatwo dostępne i łatwe do zrozumienia oraz sformułowane jasnym i prostym językiem. Ponadto powinny one być dostatecznie wyczerpujące i uwzględniające kontekst, aby umożliwić tej osobie sprawdzenie ich prawidłowości oraz tego, czy istnieje możliwa do obiektywnego zweryfikowania spójność i związek przyczynowy między, z jednej strony, zastosowaną metodą i zastosowanymi kryteriami, a z drugiej strony, wynikiem zautomatyzowanego podejmowania decyzji w danej sprawie.
–
administrator danych nie ma natomiast obowiązku ujawnienia osobie, której dane dotyczą, informacji, które ze względu na swój techniczny charakter są na tyle złożone, że nie są one możliwe do zrozumienia dla osób nieposiadających specjalistycznej wiedzy technicznej, co wyklucza udostępnianie algorytmów wykorzystywanych przy zautomatyzowanym podejmowaniu decyzji.
–
jeżeli informacje, które należy przekazać osobie, której dane dotyczą, na podstawie prawa dostępu zagwarantowanego ustanowionego w art. 15 ust. 1 lit. h) rozporządzenia 2016/679, mogą skutkować naruszeniem praw i wolności innych osób, w szczególności dlatego, że zawierają dane osobowe osób trzecich chronione przez to rozporządzenie lub tajemnicę przedsiębiorstwa w rozumieniu art. 2 ust. 1 pkt 1 dyrektywy (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem, informacje te powinny zostać przekazane właściwemu organowi nadzorczemu lub sądowi, aby te ostatnie mogły wyważyć – przy pełnej znajomości stanu rzeczy i z poszanowaniem zasady proporcjonalności i z zachowaniem poufności tych informacji – wchodzące w grę interesy oraz określić zakres prawa dostępu, które należy przyznać tej osobie.
( ) Język oryginału: francuski.
( ) Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2.
( ) Dz.U. 2016, L 157 s. 1.
( ) Sąd odsyłający podkreśla w tym względzie, że Bundesverwaltungsgericht (federalny sąd administracyjny) nie sprecyzował w swoim orzeczeniu zakresu przetwarzanych danych osobowych, które mają zostać udostępnione ani stopnia szczegółowości informacji o zasadach przetwarzania, które mają zostać przekazane.
( ) Zwana dalej „Kartą”.
( ) BGBl. I, 165/1999.
( ) BGBl. I, 14/2019. Przepis ten zasadniczo wyklucza prawo dostępu osoby, której dane dotyczą, przewidziane w art. 15 RODO, jeżeli dostęp ten zagrażałby tajemnicy handlowej lub tajemnicy przedsiębiorstwa administratora danych lub osoby trzeciej.
( ) Zobacz w tym względzie motyw 71 RODO, który stanowi, że „[o]soba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza się »profilowanie« […] o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa”.
( ) C‑634/21, zwany dalej „wyrokiem SCHUFA Holding i in. (Scoring), EU:C:2023:957.
( ) Zobacz wyrok SCHUFA Holding i in. (Scoring) (pkt 73).
( ) W dniu, w którym Trybunał wydał ten wyrok, wydał również wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu) (C‑26/22 i C‑64/22, EU:C:2023:958), w którym dokonał wykładni następujących artykułów RODO: art. 5 ust. 1 lit. a) w związku z art. 6 ust. 1 akapit pierwszy lit. f); art. 17 ust. 1 lit. c) i d) oraz art. 78 ust. 1.
( ) C‑634/21, EU:C:2023:220.
( ) Zobacz opinia rzecznika generalnego P. Pikamäe w sprawie SCHUFA Holding i in. (Scoring) (C‑634/21, EU:C:2023:220, pkt 54).
( ) Zobacz opinia rzecznika generalnego P. Pikamäe w sprawie SCHUFA Holding i in. (Scoring) (C‑634/21, EU:C:2023:220, pkt 56).
( ) Zobacz opinia rzecznika generalnego P. Pikamäe w sprawie SCHUFA Holding i in. (Scoring) (C‑634/21, EU:C:2023:220, pkt 56).
( ) Wyróżnienie moje.
( ) Zobacz opinia rzecznika generalnego P. Pikamäe w sprawie SCHUFA Holding i in. (Scoring) (C‑634/21, EU:C:2023:220, pkt 57).
( ) Zobacz opinia rzecznika generalnego P. Pikamäe w sprawie SCHUFA Holding i in. (Scoring) (C‑634/21, EU:C:2023:220, pkt 57).
( ) Zobacz opinia rzecznika generalnego P. Pikamäe w sprawie SCHUFA Holding i in. (Scoring) (C‑634/21, EU:C:2023:220, pkt 58). W tym względzie rzecznik generalny P. Pikamäe oparł się na „Wytycznych w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE”, przyjętych w dniu 3 października 2017 r. przez Grupę Roboczą Artykuł 29 ds. ochrony danych, w wersji zmienionej i przyjętej w dniu 6 lutego 2018 r. (zwanych dalej „Wytycznymi”), s. 28, 30.
( ) Należy także zauważyć, że pojęcie „istotnych informacji o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu art. 15 ust. 1 lit. h) RODO stało się przedmiotem licznych publikacji, które dzięki różnorodności stanowisk pozwalają na wzbogacenie rozważań na temat znaczenia, jakie należy nadać temu pojęciu. Spośród tych publikacji pragnę przytoczyć następujące: B. Goodman, S. Flaxman, European Union Regulations on Algorithmic Decision Making and a „Right to Explanation”, AI Magazine, vol. 38, nr 3, Wiley, Berlin 2017, s. 50–57; S. Wachter, B. Mittelstadt, L. Floridi, Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, International Data Privacy Law, vol. 7, no. 2, Oxford University Press, Oxford 2017, s. 76–99; A.D. Selbst, J. Powles, Meaningful information and the right to explanation, International Data Privacy Law, vol. 7, no. 4, Oxford University Press, Oxford 2017, s. 233–242; T.S. Cabral, AI and the Right to Explanation: Three Legal Bases under the GDPR, w: D. Hallinan, R. Leenes, P. De Hert, Data Protection and Privacy: Data Protection and Artificial Intelligence, Hart Publishing, Oxford 2021, s. 29–56; L. Edwards, M. Veale, Slave to the Algorithm? Why a „Right to an Explanation” Is Probably Not the Remedy You Are Looking For, Duke Law & Technology Review, vol. 16, Duke Law School, Durham 2017, s. 18–84; M. Brkan, Do algorithms rule the worlds? Algorithmic decision-making and data protection in the framework of the GDPR and beyond, International Journal of Law and Information Technology, vol. 27, no. 2, Oxford University Press, Oxford 2019, s. 91–121; M.E. Kaminski, G. Malgieri, Algorithmic impact assessments under the GDPR: producing multi-layered explanations, International Data Privacy Law, vol. 11 no. 2, Oxford University Press, Oxford 2021, s. 125–144; B. Custers, A.‑S. Heijne, The right of access in automated decision-making: The scope of art. 15(1)(h) GDPR in theory and practice, Computer Law & Security Review, vol. 46, Elsevier, Amsterdam 2022; L. Naudts, P. Dewitte, J. Ausloos, Meaningful transparency through data rights: A multidimensional analysis, Research Handbook on EU Data Protection Law, Elgar, Cheltenham 2022, s. 530–571.
( ) Zobacz w szczególności wyrok z dnia 26 października 2023 r., FT (Kopie dokumentacji medycznej) [C‑307/22, zwany dalej „wyrokiem FT (Kopie dokumentacji medycznej), EU:C:2023:811, pkt 47, 48 oraz przytoczone tam orzecznictwo].
( ) Zgodnie z art. 4 pkt 4 RODO „profilowanie” oznacza „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.
( ) Pojęcie to pojawia się również w art. 13 ust. 2 lit. f) i art. 14 ust. 2 lit. g) RODO. Zobacz również motyw 63 tego rozporządzenia, który stanowi, że „każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji […] w zakresie […] założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania”.
( ) Chociaż niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym odnosi się w szczególności do pojęcia „istotnych informacji o zasadach [przetwarzania]” w rozumieniu art. 15 ust. 1 lit. h) RODO, nie należy lekceważyć faktu, że osoba, której dane dotyczą, powinna również zostać poinformowana o znaczeniu i przewidywanych konsekwencjach spornego przetwarzania. Według Grupy Roboczej Artykuł 29 ds. ochrony danych „terminy [te] oznaczają, że administrator jest zobowiązany do udzielania informacji na temat planowanego lub przyszłego przetwarzania i wpływu, jaki zautomatyzowane podejmowanie decyzji może wywrzeć na osobę, której dane dotyczą […] Aby przekazywane informacje były istotne i zrozumiałe, administrator powinien przedstawić autentyczne, konkretne przykłady takiego potencjalnego wpływu przetwarzania na osobę” – zobacz wytyczne (s. 29).
( ) Zobacz w szczególności wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF (C‑487/21, zwany dalej „wyrokiem Österreichische Datenschutzbehörde i CRIF, EU:C:2023:369, pkt 34 i przytoczone tam orzecznictwo), a także wyrok FT (Kopie dokumentacji medycznej) (pkt 73 i przytoczone tam orzecznictwo).
( ) Zobacz w szczególności wyrok FT (Kopie dokumentacji medycznej) (pkt 73 i przytoczone tam orzecznictwo).
( ) Zobacz w szczególności wyrok Österreichische Datenschutzbehörde i CRIF (pkt 35 i przytoczone tam orzecznictwo).
( ) Jak wskazał Trybunał w wyroku SCHUFA Holding i in. (Scoring) (pkt 52) przepis ten ustanawia zasadniczy zakaz, którego naruszenie nie wymaga indywidualnego powołania się przez taką osobę.
( ) Zobacz wyrok SCHUFA Holding i in. (Scoring) (pkt 54).
( ) Zobacz wyrok SCHUFA Holding i in. (Scoring) (pkt 57). Zdaniem Trybunału przetwarzanie to oznacza bowiem, jak wynika z motywu 71 RODO, ocenę aspektów osobistych osoby fizycznej, której dotyczy to przetwarzanie, w szczególności w celu analizowania lub prognozowania aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się (pkt 58). Zgodnie z tym motywem te szczególne zagrożenia mogą negatywnie wpływać na uzasadnione interesy i prawa osoby, której dane dotyczą, w szczególności z uwagi na potencjalne skutki w postaci dyskryminacji osób fizycznych (pkt 59).
( ) Zobacz w szczególności wyrok Österreichische Datenschutzbehörde i CRIF (pkt 37).
( ) Zobacz w szczególności wyrok Österreichische Datenschutzbehörde i CRIF (pkt 38).
( ) Zobacz wyroki: Österreichische Datenschutzbehörde i CRIF (pkt 39) oraz FT (Kopie dokumentacji medycznej) (pkt 73).
( ) Zobacz wyroki: Österreichische Datenschutzbehörde i CRIF (pkt 41) oraz FT (Kopie dokumentacji medycznej) (pkt 74).
( ) Zobacz w szczególności wyrok Österreichische Datenschutzbehörde i CRIF (pkt 42).
( ) Zobacz wyroki: Österreichische Datenschutzbehörde i CRIF (pkt 45) oraz FT (Kopie dokumentacji medycznej) (pkt 75).
( ) W odniesieniu do wykładni przez Trybunał pojęcia „informacji” w rozumieniu art. 15 ust. 3 zdanie trzecie RODO zobacz wyrok Österreichische Datenschutzbehörde i CRIF (pkt 46–53).
( ) Zobacz Selbst, A.D. i Powles, J., op.cit., s. 236.
( ) Zobacz w tym względzie G. Malgieri, G. Comandé, Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, International Data Privacy Law, Oxford University Press, Oxford 2017, vol. 7, no 4, s. 243–265, a w szczególności s. 257.
( ) Zobacz w szczególności T.S. Cabral, op.cit. Zobacz również dyskusję na temat tego, czy istnieje prawo do wyjaśnienia, M. Brkan, op.cit., s. 110 i nast.
( ) Zobacz K. Foss-Solbrekk, A.K. Glenster, The intersection of data protection rights and trade secrets privileges in „algorithmic transparency”, w: Research Handbook on EU Data Protection Law, op.cit., s. 163–183. Wśród obaw związanych ze stosowaniem algorytmów autorzy wskazują na „możliwość, że algorytmy […] opierają się na niedokładnych danych, dając w ten sposób wyniki, które nie odzwierciedlają sytuacji danej osoby” (s. 166) (tłumaczenie nieoficjalne).
( ) Zobacz wyrok SCHUFA Holding i in. (Scoring) (pkt 59).
( ) C‑26/22 i C‑64/22, EU:C:2023:958.
( ) Zobacz wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu) (C‑26/22 i C‑64/22, EU:C:2023:958, pkt 94 i przytoczone tam orzecznictwo).
( ) Zobacz A.D. Selbst, J. Powles, op.cit., s. 236.
( ) W przedmiocie bogatej debaty dotyczącej tej kwestii zobacz w szczególności K. Foss-Solbrekk, A.K. Glenster, op.cit., s. 167.
( ) Zobacz Wytyczne (s. 25). Wyróżnienie moje.
( ) Zobacz Wytyczne (s. 27).
( ) Zobacz Wytyczne (s. 25). Jak wskazuje ta Grupa Robocza, z motywu 58 RODO wynika, że „zasada przejrzystości dotyczy „w szczególności sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy w internecie”.
( ) Zobacz G. Malgieri, G. Comandé, op.cit., którzy zauważają, że „algorytmy często nie tylko nie są znane osobom fizycznym, ale są dla nich także niezrozumiałe” (tłumaczenie nieoficjalne) (s. 243).
( ) Zobacz Y. Poullet, Le RGPD face aux défis de l’intelligence artificielle, Larcier, Bruksela 2021, który wskazuje, że „pojęcie »istotnych informacji« odnosi się do różnych rodzajów anonimowych lub nieprzetworzonych danych, ich źródeł, sposobu działania algorytmu oraz, bez wątpienia i bez konieczności podawania szczegółów, wag przypisanych każdemu rodzajowi danych w algorytmie bazowym” (tłumaczenie nieoficjalne) (s. 115).
( ) Zobacz w szczególności wyrok FT (Kopie dokumentacji medycznej) (pkt 59 i przytoczone tam orzecznictwo).
( ) Zobacz w szczególności wyrok FT (Kopie dokumentacji medycznej) (pkt 61).
( ) Zobacz w szczególności wyrok FT (Kopie dokumentacji medycznej) (pkt 62).
( ) Zobacz w szczególności wyrok Österreichische Datenschutzbehörde i CRIF (pkt 43).
( ) Zobacz w szczególności wyrok FT (Kopie dokumentacji medycznej) (pkt 63).
( ) Zgodnie z tym przepisem „tajemnica przedsiębiorstwa” na potrzeby tej dyrektywy oznacza „informacje, które spełniają wszystkie następujące wymogi: a) są poufne w tym sensie, że jako całość lub w szczególnym zestawie i zbiorze ich elementów nie są ogólnie znane lub łatwo dostępne dla osób z kręgów, które zwykle zajmują się tym rodzajem informacji; b) mają wartość handlową dlatego, że są objęte tajemnicą; c) poddane zostały przez osobę, która zgodnie z prawem sprawuje nad nimi kontrolę, rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich w tajemnicy”.
( ) Dz.U. 1995, L 281, s. 31.
( ) Zobacz podobnie, w odniesieniu do art. 15 ust. 4 RODO, który pozwala na ograniczenie prawa do uzyskania kopii danych osobowych, o których mowa w ust. 3 tego artykułu, wyrok Österreichische Datenschutzbehörde i CRIF (pkt 44).
( ) Zobacz wyrok Österreichische Datenschutzbehörde i CRIF (pkt 44).
( ) Zobacz wyrok z dnia 2 marca 2023 r., Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, pkt 58).
( ) Zobacz w szczególności wyrok SCHUFA Holding i in. (Scoring) (pkt 70 i przytoczone tam orzecznictwo).
( ) Zobacz w szczególności wyrok z dnia 17 czerwca 2021 r., M.I.C.M. (C‑597/19, EU:C:2021:492, pkt 111 i przytoczone tam orzecznictwo).
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 14.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło