Wyrok z dnia 2025-02-27 sygn. C-203/22

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

WYROK TRYBUNAŁU (pierwsza izba)

z dnia 27 lutego 2025 r.

Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 15 ust. 1 lit. h) – Zautomatyzowane podejmowanie decyzji, w tym profilowanie – „Scoring” – Ocena zdolności kredytowej osoby fizycznej – Dostęp do istotnych informacji o zasadach profilowania – Sprawdzenie prawidłowości udzielonych informacji – Dyrektywa (UE) 2016/943 – Artykuł 2 pkt 1 – Tajemnica przedsiębiorstwa – Dane osobowe osób trzecich

W sprawie C-203/22

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Verwaltungsgericht Wien (sąd administracyjny w Wiedniu, Austria) postanowieniem z dnia 11 lutego 2022 r., które wpłynęło do Trybunału w dniu 16 marca 2022 r., w postępowaniu:

CK

przeciwko

Magistrat der Stadt Wien,

przy udziale:

Dun & Bradstreet Austria GmbH,

TRYBUNAŁ (pierwsza izba),

w składzie: K. Lenaerts, prezes Trybunału, pełniący obowiązki prezesa pierwszej izby, T. von Danwitz (sprawozdawca), wiceprezes Trybunału, A. Kumin, N. Jääskinen i I. Ziemele, sędziowie,

rzecznik generalny: J. Richard de la Tour,

sekretarz: A. Calot Escobar,

uwzględniając pisemny etap postępowania,

rozważywszy uwagi, które przedstawili:

–        w imieniu CK – Ch. Wirthensohn, Rechtsanwalt,

–        w imieniu Dun & Bradstreet Austria GmbH – D. Cooper, solicitor, A.‑S. Oberschelp de Meneses, adwokat, K. Van Quathem i B. Van Vooren, advocaten,

–        w imieniu rządu hiszpańskiego – A. Ballesteros Panizo, w charakterze pełnomocnika,

–        w imieniu rządu niderlandzkiego – M.K. Bulterman i C.S. Schillemans, w charakterze pełnomocników,

–        w imieniu rządu polskiego – B. Majczyna, w charakterze pełnomocnika,

–        w imieniu Komisji Europejskiej – A. Bouchagiar, F. Erlbacher i H. Kranenborg, w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 12 września 2024 r.,

wydaje następujący

Wyrok

1        Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy, po pierwsze, wykładni art. 15 ust. 1 lit. h) i art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, sprostowanie: Dz.U. 2018, L 127, s. 2, zwanego dalej „RODO”), oraz po drugie, wykładni art. 2 pkt 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem (Dz.U. 2016, L 157, s. 1).

2        Wniosek ten został złożony w ramach sporu pomiędzy CK a Magistrat der Stadt Wien (urzędem miasta Wiedeń, Austria) w przedmiocie egzekucji orzeczenia sądowego nakazującego Bisnode Austria GmbH, obecnie Dun & Bradstreet Austria GmbH (zwanej dalej „spółką D & B”), przedsiębiorstwu specjalizującemu się w dostarczaniu ocen zdolności kredytowej, udzielenie CK istotnych informacji o zasadach profilowania dotyczącego jej danych osobowych.

 Ramy prawne

 Prawo Unii

 RODO

3        Motywy 4, 11, 58, 63 i 71 RODO wskazują:

„(4)      Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych [Unii Europejskiej (zwanej dalej »Kartą«)] – zapisanych w traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, domu oraz komunikowania się, ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz różnorodności kulturowej, religijnej i językowej.

[…]

(11)      Aby ochrona danych osobowych w Unii [Europejskiej] była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich.

[…]

(58)      Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane. […]

[…]

(63)      Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem. […] Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji. […]

[…]

(71)      Osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza się »profilowanie« – które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa. […] Przetwarzanie takie powinno zawsze podlegać odpowiednim zabezpieczeniom, obejmującym informowanie osoby, której dane dotyczą, prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji. […]”.

4        Artykuł 4 tego rozporządzenia, zatytułowany „Definicje”, przewiduje w pkt 4:

„Na użytek niniejszego rozporządzenia:

[…]

4)      »profilowanie« oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

5        Artykuł 12 wspomnianego rozporządzenia, zatytułowany „Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą”, stanowi w ust. 1:

„Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. […]”.

6        Artykuł 13 tego rozporządzenia, który dotyczy informacji podawanych w przypadku zbierania danych od osoby, której dane dotyczą, oraz art. 14 rzeczonego rozporządzenia, który dotyczy informacji podawanych w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą, przewidują, odpowiednio, w ust. 2 lit. f) i ust. 2 lit. g), że administrator jest zobowiązany podać osobie, której dane dotyczą, w celu zapewnienia rzetelności i przejrzystości przetwarzania wobec tej osoby, między innymi informacje o „zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą”.

7        Artykuł 15 RODO, zatytułowany „Prawo dostępu przysługujące osobie, której dane dotyczą”, ma następujące brzmienie:

„1.      Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

[…]

h)      informacj[i] o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotn[ych] informacj[i] o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

[…]

3.      Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

4.      Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych”.

8        Artykuł 22 tego rozporządzenia, zatytułowany „Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie”, stanowi:

„1.      Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

2.      Ust. 1 nie ma zastosowania, jeżeli ta decyzja:

a)      jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;

b)      jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub

c)      opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

3.      W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

4.      Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą”.

9        Zgodnie z art. 23 wspomnianego rozporządzenia, zatytułowanym „Ograniczenia”:

„1.      Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

[…]

i)      ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;

[…]

2.      W szczególności akt prawny, o którym mowa w ust. 1, musi zawierać szczegółowe przepisy przynajmniej – w stosownym przypadku – o:

a)      celach przetwarzania lub kategorii przetwarzania;

b)      kategoriach danych osobowych;

c)      zakresie wprowadzonych ograniczeń;

d)      zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;

e)      określeniu administratora lub kategorii administratorów;

f)      okresach przechowywania oraz mających zastosowanie zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;

g)      ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; oraz

h)      prawie osób, których dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia”.

10      Artykuł 54 tego rozporządzenia, zatytułowany „Zasady ustanawiania organu nadzorczego”, stanowi w ust. 2:

„Członek lub członkowie oraz personel każdego z organów nadzorczych podlegają zgodnie z prawem Unii lub prawem państwa członkowskiego obowiązkowi zachowania tajemnicy służbowej – w trakcie kadencji oraz po jej zakończeniu – w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku wypełniania zadań lub wykonywania swoich uprawnień. Obowiązek zachowania tajemnicy służbowej w trakcie ich kadencji dotyczy w szczególności sytuacji, w których osoby fizyczne zgłaszają naruszenia niniejszego rozporządzenia”.

11      Artykuł 58 RODO, zatytułowany „Uprawnienia”, przewiduje w ust. 1 lit. e):

„Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:

e)      uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań”.

 Dyrektywa 2016/943

12      Motyw 35 dyrektywy 2016/943 wskazuje:

„[…] [n]iniejsza dyrektywa nie powinna […] wpływać na prawa i obowiązki określone w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady [z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31)], w szczególności na prawa osoby, której dane dotyczą, do dostępu do jej danych osobowych, które są przetwarzane, oraz do uzyskania sprostowania, usunięcia lub zablokowania danych niekompletnych lub nieprawidłowych […]”.

13      Artykuł 2 pkt 1 tej dyrektywy przewiduje:

„Na potrzeby niniejszej dyrektywy zastosowanie mają następujące definicje:

1)      »tajemnica przedsiębiorstwa« oznacza informacje, które spełniają wszystkie następujące wymogi:

a)      są poufne w tym sensie, że jako całość lub w szczególnym zestawie i zbiorze ich elementów nie są ogólnie znane lub łatwo dostępne dla osób z kręgów, które zwykle zajmują się tym rodzajem informacji;

b)      mają wartość handlową dlatego, że są objęte tajemnicą;

c)      poddane zostały przez osobę, która zgodnie z prawem sprawuje nad nimi kontrolę, rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich w tajemnicy”.

14      Artykuł 9 wspomnianej dyrektywy, zatytułowany „Zachowanie poufności tajemnic przedsiębiorstwa w trakcie postępowania sądowego”, stanowi:

„1.      Państwa członkowskie zapewniają, aby strony, ich prawnicy lub inni przedstawiciele, urzędnicy sądowi, świadkowie, biegli oraz wszystkie inne osoby biorące udział w postępowaniu sądowym dotyczącym bezprawnego pozyskania, wykorzystywania lub ujawnienia tajemnicy przedsiębiorstwa lub mające dostęp do dokumentów stanowiących część takiego postępowania sądowego nie mogły wykorzystywać ani ujawniać jakiejkolwiek tajemnicy przedsiębiorstwa lub domniemanej tajemnicy przedsiębiorstwa, którą właściwe organy sądowe, w odpowiedzi na należycie uzasadniony wniosek zainteresowanej strony, określiły jako poufną i o której dowiedziały się w wyniku takiego udziału lub dostępu. W tym względzie państwa członkowskie mogą również umożliwić właściwym organom sądowym działanie z urzędu.

Obowiązek, o którym mowa w akapicie pierwszym, pozostaje w mocy po zakończeniu postępowania sądowego. Taki obowiązek ustaje jednak w następujących okolicznościach:

a)      w przypadku gdy w ostatecznym orzeczeniu stwierdza się, że domniemana tajemnica przedsiębiorstwa nie spełnia wymogów określonych w art. 2 pkt 1; lub

b)      w przypadku gdy z biegiem czasu informacje, o których mowa, stają się powszechnie znane lub łatwo dostępne osobom, które zwykle mają do czynienia z tego rodzaju informacjami.

2.      Państwa członkowskie zapewniają również, aby właściwe organy sądowe – na należycie uzasadniony wniosek strony – mogły zastosować środki szczególne niezbędne do zachowania poufności wszelkich tajemnic przedsiębiorstwa lub domniemanych tajemnic przedsiębiorstwa wykorzystywanych lub wzmiankowanych w trakcie postępowania sądowego dotyczącego bezprawnego pozyskania, wykorzystywania lub ujawnienia tajemnicy przedsiębiorstwa. Państwa członkowskie mogą również umożliwić właściwym organom sądowym stosowanie takich środków z urzędu.

Środki, o których mowa w akapicie pierwszym, obejmują co najmniej możliwość:

a)      ograniczenia dostępu do wszelkich dokumentów zawierających tajemnice przedsiębiorstwa lub domniemane tajemnice przedsiębiorstwa przedkładanych przez strony lub osoby trzecie, w całości lub w części, do ograniczonej liczb[y] osób;

b)      ograniczenia dostępu do rozpraw i posiedzeń, podczas których mogą zostać ujawnione tajemnice przedsiębiorstwa lub domniemane tajemnice przedsiębiorstwa, oraz do protokołów lub zapisów z takich rozpraw i posiedzeń, do ograniczonej liczby osób;

c)      udostępnienia wszelkim osobom innym niż osoby należące do ograniczonej liczby osób, o której mowa w lit. a) i b), każdego orzeczenia sądu w wersji nieopatrzonej klauzulą poufności, z której usunięto lub w której przeredagowano fragmenty zawierające tajemnice przedsiębiorstwa.

Liczba osób, o której mowa w lit. a) i b) akapitu drugiego, nie może być większa, niż jest to konieczne dla zapewnienia zgodności z prawem stron postępowania sądowego do skutecznego środka prawnego oraz rzetelnego procesu, i obejmuje co najmniej jedną osobę fizyczną z każdej ze stron oraz prawników lub innych przedstawicieli tych stron postępowania sądowego.

3.      Przy podejmowaniu decyzji dotyczącej środków, o których mowa w ust. 2, oraz przy ocenie ich proporcjonalności właściwe organy sądowe uwzględniają potrzebę zapewnienia prawa do skutecznego środka prawnego i rzetelnego procesu, uprawnione interesy stron i, w stosownych przypadkach, osób trzecich oraz wszelkie potencjalne szkody dla którejkolwiek ze stron i, w stosownych przypadkach, dla osób trzecich, wynikające z przyjęcia lub odrzucenia takich środków.

4.      Wszelkie operacje przetwarzania danych osobowych na mocy ust. 1, 2 lub 3 przeprowadza się zgodnie z dyrektywą [95/46]”.

 Prawo austriackie

15      Paragraf 4 ust. 6 Datenschutzgesetz (ustawy o ochronie danych) z dnia 17 sierpnia 1999 r. (BGBl. I, 165/1999), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanej dalej „DSG”), co do zasady wyklucza dostęp osoby, której dane dotyczą, do jej danych osobowych, o którym mowa w art. 15 RODO, jeżeli dostęp ten narusza tajemnicę handlową lub przemysłową administratora lub osoby trzeciej.

 Postępowanie główne i pytania prejudycjalne

16      Operator telefonii komórkowej odmówił CK zawarcia lub przedłużenia umowy o świadczenie usług telefonii komórkowej, która miała się wiązać z miesięczną zapłatą kwoty 10 EUR, ze względu na to, że CK nie posiadała, zgodnie z dokonaną przez spółkę D & B w sposób zautomatyzowany oceną kredytową, wystarczającej zdolności kredytowej.

17      CK zwróciła się do austriackiego organu ochrony danych, który nakazał spółce D & B przekazanie CK istotnych informacji o zasadach zautomatyzowanego podejmowania decyzji w oparciu o dane osobowe CK.

18      Spółka D & B wniosła skargę na decyzję tego organu do Bundesverwaltungsgericht (federalnego sądu administracyjnego, Austria), podnosząc zasadniczo, że ze względu na chronioną tajemnicę przedsiębiorstwa nie musi przekazywać CK informacji uzupełniających informacje, które zostały jej już udzielone.

19      Orzeczeniem z dnia 23 października 2019 r. (zwanym dalej „orzeczeniem z dnia 23 października 2019 r.”) sąd ten stwierdził, że spółka D & B, nie udzielając CK istotnych informacji o zasadach zautomatyzowanego podejmowania decyzji w oparciu o dane osobowe dotyczące CK lub przynajmniej nie uzasadniając w wystarczający sposób niemożności udzielenia tych informacji, naruszyła art. 15 ust. 1 lit. h) RODO.

20      W szczególności w orzeczeniu tym Bundesverwaltungsgericht (federalny sąd administracyjny) zauważył, że spółka D & B nie przedstawiła CK wystarczających wyjaśnień pozwalających jej zrozumieć, w jaki sposób sporządzono w odniesieniu do CK prognozę prawdopodobieństwa jej przyszłego zachowania („wartość scoringu”), którą to prognozę wspomniane przedsiębiorstwo przekazało CK z wyjaśnieniem, że w celu uzyskania tej „wartości scoringu” pewne dane społeczno-demograficzne dotyczące CK zostały „zagregowane w równoważny sposób”.

21      Orzeczenie z dnia 23 października 2019 r. uprawomocniło się i jest wykonalne na mocy prawa austriackiego. Niemniej jednak wniosek o wszczęcie egzekucji tego orzeczenia złożony przez CK do urzędu miasta Wiedeń, który jest organem egzekucyjnym, został oddalony ze względu na to, że spółka D & B miała w wystarczającym stopniu wywiązać się ze spoczywającego na niej obowiązku informacyjnego, pomimo tego, że spółka ta nie dostarczyła żadnych dodatkowych informacji po wydaniu wspomnianego orzeczenia.

22      CK wniosła skargę na decyzję urzędu miasta Wiedeń do Verwaltungsgericht Wien (sądu administracyjnego w Wiedniu, Austria), będącego sądem odsyłającym, w celu uzyskania egzekucji orzeczenia z dnia 23 października 2019 r.

23      Sąd odsyłający uważa, że zgodnie z prawem austriackim jest on zobowiązany do wykonania tego ostatniego orzeczenia, co wiązałoby się z ustaleniem konkretnych czynności, do których wykonania spółka D & B jest zobowiązana na jego podstawie.

24      Uznawszy, że ustalenia tego może dokonać wyłącznie biegły posiadający wymagane kompetencje, sąd odsyłający wyznaczył biegłego, który stwierdził, że spółka D & B jest zobowiązana do dostarczenia, w celu wypełnienia swoich obowiązków wobec CK, następujących minimalnych informacji:

–        danych osobowych dotyczących CK, które były przetwarzane w kontekście ustalania „czynnika” (daty urodzenia, adresu, płci itp.);

–        wzoru matematycznego leżącego u podstaw obliczeń, które doprowadziły do „wartości scoringu”, o której mowa w postępowaniu głównym;

–        konkretnej wartości przypisanej CK dla każdego z rozpatrywanych czynników oraz

–        uściślenia przedziałów, w których ta sama wartość jest przypisywana różnym danym dla tego samego czynnika (oceny przedziałowej lub oceny nieciągłej bądź indeksowanej/katastralnej).

25      W celu zagwarantowania, że po przekazaniu tych minimalnych informacji CK będzie mogła sprawdzić ich prawidłowość, spółka D & B powinna również przedstawić wykaz zawierający „wartości scoringu” osób („scoring”) za okres sześciu miesięcy przed sporządzeniem i po sporządzeniu „wartości scoringu” CK, które to wartości scoringu zostały uzyskane na podstawie tej samej zasady obliczania.

26      Zdaniem sądu odsyłającego jedynie przekazanie minimalnych informacji wskazanych przez wspomnianego biegłego umożliwiłoby sprawdzenie spójności i prawidłowości informacji udzielonych przez administratora na podstawie art. 15 ust. 1 lit. h) RODO.

27      W niniejszym przypadku szereg wskazówek wyraźnie świadczy o tym, że informacje udzielone przez spółkę D & B są sprzeczne z faktami. O ile bowiem informacje przekazane CK, w tym w szczególności uzyskana „wartość scoringu”, świadczą o jej bardzo dobrej zdolności kredytowej, o tyle rzeczywiste profilowanie doprowadziło do wniosku, że nie ma ona zdolności kredytowej, w tym w odniesieniu do uiszczania kwoty 10 EUR miesięcznie na podstawie umowy o świadczenie usług telefonii komórkowej.

28      Sąd odsyłający uważa zatem, że powstaje pytanie, czy art. 15 ust. 1 lit. h) RODO gwarantuje osobie, której dane dotyczą, możliwość zweryfikowania prawidłowości informacji przekazanych przez administratora.

29      W przypadku gdyby art. 15 ust. 1 lit. h) RODO nie gwarantował takiej weryfikacji, przewidziane w nim prawo dostępu do danych osobowych osoby, której dane dotyczą, oraz do innych informacji byłoby pozbawione wszelkiego znaczenia i stałoby się zbędne, tym bardziej że każdy administrator mógłby w takim wypadku udzielać błędnych informacji.

30      Powstaje również pytanie, czy – a jeśli tak, to w jakim zakresie – wyjątek dotyczący istnienia tajemnicy przedsiębiorstwa może ograniczać to prawo dostępu zagwarantowane w art. 15 ust. 1 lit. h) w związku z art. 22 RODO.

31      W świetle zasad przewidzianych w art. 9 dyrektywy 2016/943 należałoby ocenić, czy możliwe jest przekazanie wyłącznie organowi lub sądowi rozpatrującemu sprawę informacji uznanych za „tajemnicę przedsiębiorstwa” w rozumieniu art. 2 pkt 1 tej dyrektywy, tak aby ten organ lub sąd samodzielnie sprawdził, czy należy uznać, że rzeczywiście istnieje taka tajemnica przedsiębiorstwa, i czy te informacje przekazane przez administratora w rozumieniu art. 15 ust. 1 RODO są zgodne ze stanem faktycznym zaistniałym w rozpatrywanej sytuacji.

32      Wreszcie należałoby zbadać, czy przepis taki jak § 4 ust. 6 DSG – który co do zasady wyklucza przewidziane w art. 15 RODO prawo dostępu przysługujące osobie, której dane dotyczą, jeżeli zapewnienie tego dostępu stanowiłoby zagrożenie dla tajemnicy handlowej lub tajemnicy przedsiębiorstwa administratora lub osoby trzeciej – można uznać za zgodny z art. 15 ust. 1 w związku z art. 22 ust. 3 RODO.

33      W tych okolicznościach Verwaltungsgericht Wien (sąd administracyjny w Wiedniu) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      Jakie wymogi dotyczące treści muszą spełniać podane informacje, aby można je było zakwalifikować jako wystarczająco »istotne« w rozumieniu art. 15 ust. 1 lit. h) [RODO]?

Czy w przypadku profilowania administrator musi w ramach udostępnienia »zasad podejmowania decyzji« zasadniczo również ujawnić istotne informacje umożliwiające zrozumienie wyniku zautomatyzowanej decyzji w indywidualnym przypadku – ewentualnie przy zachowaniu istniejącej tajemnicy przedsiębiorstwa – co obejmuje w szczególności 1) ujawnienie przetwarzanych danych dotyczących osoby, której dane dotyczą, 2) ujawnienie części algorytmu, na którym opiera się profilowanie, umożliwiające zrozumienie oraz 3) informacje istotne dla ustalenia związku między przetwarzanymi informacjami a przeprowadzoną oceną?

Czy w przypadkach związanych z profilowaniem osoba uprawniona do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO musi otrzymać następujące informacje na temat konkretnego przetwarzania jej danych, nawet jeśli dotyczy to tajemnicy przedsiębiorstwa, aby umożliwić jej ochronę praw przysługujących jej na mocy art. 22 ust. 3 RODO:

a)      przekazanie wszelkich informacji, ewentualnie poddanych [pseudonimizacji], w szczególności dotyczących sposobu przetwarzania danych osoby, której dane dotyczą, które umożliwiają sprawdzenie zgodności z RODO,

b)      udostępnianie danych wejściowych użytych do utworzenia profilu,

c)      parametry i zmienne wejściowe stosowane przy dokonywaniu oceny,

d)      wpływ tych parametrów i zmiennych wejściowych na obliczony wskaźnik oceny,

e)      informacje o pochodzeniu parametrów lub zmiennych wejściowych,

f)      wyjaśnienie, dlaczego osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO przypisano konkretny wynik oceny oraz opis, jakie ustalenie związano z tą oceną,

g)      lista kategorii profilowania oraz wyjaśnienie, jakie ustalenie wynikające z oceny jest związane z każdą z kategorii profilowania?

2)      Czy prawo dostępu przyznane na podstawie art. 15 ust. 1 lit. h) RODO jest związane z gwarantowanymi na mocy art. 22 ust. 3 RODO prawami do wyrażenia własnego stanowiska i do zakwestionowania zautomatyzowanej decyzji w rozumieniu art. 22 RODO, ponieważ zakres informacji, które należy przekazać na podstawie wniosku o udzielenie informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, jest wystarczająco »istotny« tylko wtedy, gdy osoba żądająca informacji i osoba, której dane dotyczą w rozumieniu art. 15 ust. 1 lit. h) RODO, ma możliwość korzystania z praw przyznanych jej na podstawie art. 22 ust. 3 RODO do wyrażenia własnego stanowiska i zakwestionowania dotyczącej jej zautomatyzowanej decyzji w rozumieniu art. 22 RODO w sposób skuteczny, dogłębny i konstruktywny?

3)      a)      Czy art. 15 ust. 1 lit. h) RODO należy interpretować w ten sposób, że informacje stanowią »istotne informacje« w rozumieniu tego przepisu tylko wtedy, gdy są one na tyle wyczerpujące, że osoba uprawniona do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO ma możliwość sprawdzenia, czy przekazane informacje odpowiadają również stanowi faktycznemu, to znaczy, czy konkretna zautomatyzowana decyzja, której wniosek dotyczy, została także faktycznie oparta na ujawnionych informacjach?

b)      W przypadku odpowiedzi twierdzącej: jak należy postąpić w sytuacji, gdy prawidłowość informacji udzielonych przez administratora można zweryfikować jedynie w ten sposób, że dane osób trzecich chronione na mocy RODO muszą być również podane do wiadomości osoby uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO (czarna skrzynka)?

Czy ten napięty stosunek między prawem dostępu w rozumieniu art. 15 ust. 1 RODO a prawem osób trzecich do ochrony danych można rozładować również poprzez ujawnienie danych osób trzecich wymaganych do kontroli prawidłowości, które także zostały poddane temu samemu profilowaniu, wyłącznie organowi lub sądowi, tak aby organ lub sąd musiał samodzielnie sprawdzić, czy ujawnione dane tych osób trzecich odpowiadają stanowi faktycznemu?

c)      W przypadku odpowiedzi twierdzącej: jakie prawa należy przyznać osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, w przypadku gdy konieczne jest zapewnienie ochrony praw osób trzecich w rozumieniu art. 15 ust. 4 RODO poprzez utworzenie czarnej skrzynki, o której mowa w [pytaniu trzecim lit. b)]?

Czy w takim przypadku dane innych osób, które administrator w rozumieniu art. 15 ust. 1 lit. h) RODO ma ujawnić osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, muszą być ujawnione w postaci [pseudonimizowanej], aby umożliwić sprawdzenie prawidłowości procesu podejmowania decyzji?

4)      a)      Jak należy postępować, jeżeli informacja, którą należy przekazać w rozumieniu art. 15 ust. 1 lit. h) RODO, spełnia również wymogi tajemnicy przedsiębiorstwa w rozumieniu art. 2 pkt 1 [dyrektywy 2016/943]?

Czy napięty stosunek między prawem dostępu gwarantowanym przez art. 15 ust. 1 lit. h) RODO a prawem do nieujawniania tajemnicy przedsiębiorstwa chronionym przez dyrektywę 2016/943 można rozładować poprzez ujawnienie informacji zaklasyfikowanych jako tajemnica przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943 wyłącznie organowi lub sądowi, tak aby organ lub sąd musiał samodzielnie sprawdzić, czy należy przyjąć istnienie tajemnicy przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943 i czy informacje przekazane przez administratora w rozumieniu art. 15 ust. 1 RODO odpowiadają stanowi faktycznemu?

4)      b)      W przypadku odpowiedzi twierdzącej: jakie prawa należy w każdym wypadku przyznać osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO, w przypadku gdy konieczne jest zapewnienie ochrony praw osób trzecich w rozumieniu art. 15 ust. 4 RODO poprzez utworzenie czarnej skrzynki, o której mowa w [pytaniu czwartym lit. a)]?

Czy (także) w tym przypadku rozbieżności między informacjami, które należy ujawnić organowi lub sądowi, a informacjami, które należy ujawnić osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO w przypadkach dotyczących profilowania, osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO należy w każdym razie udzielić następujących informacji na temat konkretnego przetwarzania danych jej dotyczących, aby w pełni umożliwić jej ochronę praw przysługujących jej na mocy art. 22 ust. 3 RODO:

–        przekazanie wszelkich informacji, ewentualnie poddanych [pseudonimizacji], w szczególności dotyczących sposobu przetwarzania danych osoby, której dane dotyczą, które umożliwiają sprawdzenie zgodności z RODO,

–        udostępnianie danych wejściowych użytych do utworzenia profilu,

–        parametry i zmienne wejściowe stosowane przy dokonywaniu oceny,

–        wpływ tych parametrów i zmiennych wejściowych na obliczony wskaźnik oceny,

–        informacje o pochodzeniu parametrów lub zmiennych wejściowych,

–        wyjaśnienie, dlaczego osobie uprawnionej do informacji w rozumieniu art. 15 ust. 1 lit. h) RODO przypisano konkretny wynik oceny oraz opis, jakie ustalenie związano z tą oceną,

–        lista kategorii profilowania oraz wyjaśnienie, jakie ustalenie wynikające z oceny jest związane z każdą z kategorii profilowania?

5)      Czy przepis art. 15 ust. 4 RODO w jakikolwiek sposób ogranicza zakres informacji, które należy przekazać na podstawie art. 15 ust. 1 lit. h) RODO?

W przypadku odpowiedzi twierdzącej: w jaki sposób to prawo dostępu jest ograniczone przez art. 15 ust. 4 RODO i jak należy określić zakres tego ograniczenia w danym przypadku?

6)      Czy przepis § 4 ust. 6 [DSG], zgodnie z którym »prawo dostępu osoby, której dane dotyczą, zgodnie z art. 15 RODO nie przysługuje w stosunku do administratora, bez uszczerbku dla innych ograniczeń prawnych, co do zasady wtedy, gdy zapewnienie dostępu stanowiłoby zagrożenie dla tajemnicy handlowej lub tajemnicy przedsiębiorstwa administratora lub osoby trzeciej«, jest zgodny z wymogami art. 15 ust. 1 w związku z art. 22 ust. 3 RODO? Jeśli odpowiedź jest twierdząca, to pod jakimi warunkami istnieje taka zgodność?”.

 Postępowanie przed Trybunałem

34      Decyzją z dnia 8 grudnia 2022 r. prezes Trybunału zawiesił niniejsze postępowanie do czasu wydania orzeczenia kończącego postępowanie w sprawie C‑634/21, SCHUFA Holding i in. (Scoring).

35      Zgodnie z decyzją prezesa Trybunału z dnia 13 grudnia 2023 r. sekretariat Trybunału doręczył sądowi odsyłającemu wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding i in. (Scoring) (C‑634/21, EU:C:2023:957), wzywając go do wskazania, czy w świetle tego wyroku zamierza podtrzymać swój wniosek o wydanie orzeczenia w trybie prejudycjalnym.

36      Pismem, które wpłynęło do sekretariatu Trybunału w dniu 29 stycznia 2024 r., sąd ten wskazał, że podtrzymuje swój wniosek o wydanie orzeczenia w trybie prejudycjalnym, ponieważ wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding i in. (Scoring) (C‑634/21, EU:C:2023:957), nie pozwala na udzielenie odpowiedzi na pytania, które ów sąd zadał w niniejszej sprawie.

37      Decyzją z dnia 14 lutego 2024 r. prezes Trybunału zarządził zatem wznowienie postępowania w niniejszej sprawie.

 W przedmiocie pytań prejudycjalnych

 W przedmiocie pytań pierwszego i drugiego oraz pytania trzeciego lit. a)

38      Poprzez pytania pierwsze i drugie oraz pytanie trzecie lit. a), które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 15 ust. 1 lit. h) RODO należy interpretować w ten sposób, że w przypadku zautomatyzowanego podejmowania decyzji, w tym profilowania, w rozumieniu art. 22 ust. 1 tego rozporządzenia, osoba, której dane dotyczą, może żądać od administratora, tytułem „istotnych informacji o zasadach […] podejmowania [tych decyzji]”, wyczerpującego wyjaśnienia procedury i zasad konkretnie zastosowanych do zautomatyzowanego wykorzystania danych osobowych dotyczących tej osoby w celu uzyskania określonego wyniku, takiego jak profil zdolności kredytowej.

39      Zgodnie z utrwalonym orzecznictwem Trybunału w celu dokonania wykładni przepisu prawa Unii należy uwzględnić nie tylko jego brzmienie, lecz także jego kontekst oraz cele regulacji, której część ten przepis stanowi (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 19 i przytoczone tam orzecznictwo).

40      Co się tyczy przede wszystkim brzmienia art. 15 ust. 1 lit. h) RODO, należy zauważyć, po pierwsze, że znaczenia pojęcia „istotnych informacji” w rozumieniu tego przepisu w jego różnych wersjach językowych różnią się od siebie, ponieważ niektóre z nich przyznają pierwszeństwo, podobnie jak wersja francuska, funkcjonalności („nuttige” w języku niderlandzkim, „úteis” w języku portugalskim) lub znaczeniu („pertinente” w języku rumuńskim) informacji, których należy dostarczyć, podczas gdy inne podkreślają wagę tych informacji („significativa” w języku hiszpańskim i „istotne” w języku polskim). Wreszcie zarówno w niemieckiej, jak i w angielskiej wersji językowej tego przepisu użyte wyrażenie (odpowiednio, „aussagekräftig” i „meaningful”) można rozumieć jako odnoszące się zarówno do zrozumiałości tych informacji, jak i do pewnej ich jakości.

41      Różnorodność znaczeń przyjętych w różnych wersjach językowych należy jednak rozumieć w sensie komplementarności znaczeń przedstawionych w poprzednim punkcie, którą trzeba wziąć pod uwagę przy dokonywaniu wykładni pojęcia „istotnych informacji o zasadach [podejmowania decyzji]” w rozumieniu art. 15 ust. 1 lit. h) RODO, jak zauważył zasadniczo rzecznik generalny w pkt 65 opinii.

42      Po drugie, z uwagi na jego ogólne sformułowanie, zawarte w tym przepisie odniesienie do „zasad [w oryginale fr. »logique sous-jacente«, co można dosłownie przetłumaczyć jako »rozumowanie leżące u podstaw«]” zautomatyzowanego podejmowania decyzji, które stanowią przedmiot wspomnianych „istotnych informacji”, może obejmować szeroki wachlarz „zasad [w oryginale fr. »logiques«, co można dosłownie przetłumaczyć jako »rozumowania«]” wykorzystywania danych osobowych i innych danych w celu uzyskania w sposób zautomatyzowany określonego rezultatu. Wykładnia ta znajduje potwierdzenie w niektórych wersjach językowych tego przepisu, w których posłużono się zwrotami odnoszącymi się w sposób uzupełniający do różnych aspektów powszechnego rozumienia pojęcia „zasad [w oryginale fr. »logique«, co można dosłownie przetłumaczyć jako »rozumowanie«]”. I tak na przykład w wersjach językowych czeskiej i polskiej posłużono się, odpowiednio, zwrotami „postupu” i „zasady”, które można przetłumaczyć jako „procedurę” i „zasady [w oryginale fr. »principes«]”.

43      Należy zatem uznać, że brzmienie art. 15 ust. 1 lit. h) RODO odnosi się do wszelkich istotnych informacji dotyczących procedury i zasad zautomatyzowanego wykorzystywania danych osobowych w celu uzyskania określonego rezultatu.

44      Następnie, co się tyczy kontekstu, w jaki wpisuje się zawarte w art. 15 ust. 1 lit. h) RODO pojęcie „istotnych informacji o zasadach [podejmowania decyzji]”, należy podkreślić w pierwszej kolejności, że informacje te stanowią jedynie część informacji objętych prawem dostępu przewidzianym w tym artykule, ponieważ artykuł ten dotyczy również informacji o znaczeniu i przewidywanych konsekwencjach danego przetwarzania dla osoby, której dane dotyczą.

45      Wprawdzie te ostatnie informacje, które zgodnie z wytycznymi dotyczącymi zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia (UE) 2016/679, przyjętymi w dniu 3 października 2017 r. przez grupę roboczą utworzoną na mocy art. 29 dyrektywy 95/46, w wersji zmienionej i przyjętej w dniu 6 lutego 2018 r., aby były użyteczne i zrozumiałe, powinny być poparte „autentycznymi i konkretnymi przykładami”, nie są przedmiotem pytań zadanych przez sąd odsyłający, to jednak należy je uwzględnić jako element kontekstu, w jaki wpisuje się pojęcie „istotnych informacji o zasadach [podejmowania decyzji]”.

46      W drugiej kolejności, uwzględniając fakt, że pojęcie „istotnych informacji o zasadach [podejmowania decyzji]” znajduje się również w art. 13 ust. 2 lit. f) i art. 14 ust. 2 lit. g) RODO, Trybunał stwierdził już, że w przypadku zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 ust. 1 tego rozporządzenia prawo dostępu do takich informacji ustanowione w jego art. 15 ust. 1 lit. h) wraz z dodatkowymi obowiązkami informacyjnymi, które ciążą na administratorze na podstawie tego art. 13 ust. 2 lit. f) i art. 14 ust. 2 lit. g) RODO stanowi całość [zob. podobnie wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding i in. (Scoring), C‑634/21, EU:C:2023:957, pkt 56].

47      W trzeciej kolejności, jak wskazał zasadniczo rzecznik generalny w pkt 58–60 opinii, w ramach wykładni kontekstualnej praw dostępu przewidzianych w przypadku zautomatyzowanego podejmowania decyzji należy uwzględnić orzecznictwo Trybunału dotyczące wymogów, jakie powinien spełniać administrator na podstawie art. 15 ust. 3 RODO.

48      Należy zatem wziąć pod uwagę w szczególności fakt, że przewidziany w art. 12 ust. 1 RODO wymóg przejrzystości przekazywanych informacji ma zastosowanie do wszystkich danych i informacji, o których mowa we wspomnianym art. 15, w tym do danych i informacji związanych ze zautomatyzowanym podejmowaniem decyzji.

49      W celu zapewnienia, aby osoba, której dane dotyczą, była w stanie w pełni zrozumieć informacje przekazane jej przez administratora, wspomniany art. 12 ust. 1 zobowiązuje tego ostatniego do podjęcia odpowiednich środków, w szczególności w celu udzielenia osobie, której dane dotyczą, tych danych i informacji w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 38).

50      Analiza kontekstu, w jaki wpisuje się art. 15 ust. 1 lit. h) RODO, potwierdza zatem wykładnię wynikającą z analizy brzmienia tego przepisu, zgodnie z którą „istotne informacje o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu tego przepisu obejmują wszelkie istotne informacje dotyczące procedury i zasad wykorzystywania danych osobowych w celu uzyskania w sposób zautomatyzowany określonego rezultatu, przy czym obowiązek przejrzystości wymaga ponadto, aby informacje te były przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie.

51      Wreszcie, co się tyczy celów RODO, należy przypomnieć, że celem tego rozporządzenia jest w szczególności zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do ochrony danych osobowych, zapisanego w art. 16 TFUE i zagwarantowanego jako prawo podstawowe w art. 8 Karty, które uzupełnia prawo do życia prywatnego zagwarantowane w jej art. 7 [zob. podobnie wyrok z dnia 4 października 2024 r., Schrems (Przekazywanie danych do wiadomości publicznej), C‑446/21, EU:C:2024:834, pkt 45 i przytoczone tam orzecznictwo].

52      I tak, celem RODO, jak wskazano ponadto w jego motywie 11, jest wzmocnienie i doprecyzowanie praw osób, których dane dotyczą (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 33 i przytoczone tam orzecznictwo).

53      Jeśli chodzi w szczególności o prawo dostępu przewidziane w art. 15 RODO, z orzecznictwa Trybunału wynika, że prawo to powinno umożliwiać osobie, której dane dotyczą, upewnienie się, że dotyczące jej dane osobowe są prawidłowe i przetwarzane zgodnie z prawem [wyroki: z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 34; z dnia 26 października 2023 r., FT (Kopie dokumentacji medycznej), C‑307/22, EU:C:2023:811, pkt 73].

54      Owo prawo dostępu jest niezbędne, aby umożliwić osobie, której dane dotyczą, skorzystanie, w stosownych przypadkach, z prawa do sprostowania danych, prawa do usunięcia danych („prawa do bycia zapomnianym”), prawa do ograniczenia przetwarzania, które zostało jej przyznane, odpowiednio, w art. 16, 17 i 18 RODO, prawa do sprzeciwu wobec przetwarzania jej danych osobowych, przewidzianego w art. 21 RODO, oraz prawa do dochodzenia roszczeń i prawa do odszkodowania, przewidzianych, odpowiednio, w art. 79 i 82 RODO (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 35).

55      W szczególności w konkretnym kontekście wydania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu głównym celem prawa osoby, której dane dotyczą, do uzyskania informacji przewidzianych w art. 15 ust. 1 lit. h) RODO jest umożliwienie tej osobie skutecznego wykonywania praw przyznanych jej w art. 22 ust. 3 tego rozporządzenia, a mianowicie prawa do wyrażenia własnego stanowiska w przedmiocie tej decyzji i do jej zakwestionowania.

56      Jeżeli bowiem osoby, których dotyczy zautomatyzowana decyzja, w tym profilowanie, nie były w stanie zrozumieć powodów, które doprowadziły do wydania tej decyzji przed wyrażeniem swojego stanowiska lub zakwestionowaniem jej, to prawa te nie mogą zatem w pełni spełniać swojego celu, jakim jest ochrona tych osób przed szczególnymi zagrożeniami dla ich praw i wolności wynikającymi ze zautomatyzowanego przetwarzania ich danych osobowych [zob. podobnie wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding i in. (Scoring), C‑634/21, EU:C:2023:957, pkt 57].

57      W tym względzie z motywu 71 RODO wynika, że w przypadku gdy wobec osoby, której dane dotyczą, podjęto decyzję, która opiera się wyłącznie na przetwarzaniu zautomatyzowanym i która znacząco na nią wpływa, osoba ta powinna mieć prawo do uzyskania wyjaśnienia co do tej decyzji. Jak zauważył rzecznik generalny w pkt 67 opinii, należy zatem uznać, że art. 15 ust. 1 lit. h) RODO przyznaje osobie, której dane dotyczą, rzeczywiste prawo do wyjaśnienia funkcjonowania mechanizmu leżącego u podstaw zautomatyzowanego podejmowania decyzji, któremu podlegała ta osoba, oraz wyniku, do którego decyzja ta doprowadziła.

58      Z analizy celów RODO, a w szczególności celów art. 15 ust. 1 lit. h), wynika, że prawo do uzyskania „istotnych informacji o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu tego przepisu należy rozumieć jako prawo do wyjaśnienia procedury i zasad konkretnie zastosowanych do zautomatyzowanego wykorzystania danych osobowych osoby, której dane dotyczą, w celu uzyskania określonego wyniku, takiego jak profil zdolności kredytowej. Aby umożliwić osobie, której dane dotyczą, skuteczne wykonywanie praw przysługujących jej na mocy RODO, a w szczególności art. 22 ust. 3 tego rozporządzenia, wyjaśnienie to powinno być przedstawione w drodze istotnych informacji oraz w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie.

59      Wymogów tych nie może spełniać ani zwykłe przekazanie złożonego wzoru matematycznego, takiego jak algorytm, ani szczegółowy opis wszystkich etapów zautomatyzowanego podejmowania decyzji, ponieważ żaden z tych sposobów nie stanowi wystarczająco zwięzłego i zrozumiałego wyjaśnienia.

60      Jak bowiem wynika ze s. 28 wytycznych dotyczących zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia (UE) 2016/679, o których mowa w pkt 45 niniejszego wyroku, po pierwsze, administrator powinien znaleźć proste sposoby, aby poinformować osobę, której dane dotyczą, o przesłankach zautomatyzowanego podejmowania decyzji lub kryteriach, na których się ona opiera. Po drugie, RODO wymaga, aby ów administrator dostarczył istotnych informacji o zasadach podjęcia tej decyzji, „ale niekoniecznie złożonego wyjaśnienia zastosowanych algorytmów lub ujawnienia pełnego algorytmu”.

61      Tak więc „istotne informacje o zasadach” zautomatyzowanego podejmowania decyzji w rozumieniu art. 15 ust. 1 lit. h) RODO powinny opisywać konkretnie zastosowane procedurę i zasady w taki sposób, aby osoba, której dane dotyczą, mogła zrozumieć, które z jej danych osobowych i w jaki sposób zostały wykorzystane w kontekście rozpatrywanego zautomatyzowanego podejmowania decyzji, przy czym złożoność operacji, które należy przeprowadzić w ramach zautomatyzowanego podejmowania decyzji, nie zwalnia administratora z obowiązku udzielenia wyjaśnień.

62      Co się tyczy konkretnie profilowania takiego jak to rozpatrywane w postępowaniu głównym, sąd odsyłający mógłby w szczególności uznać za wystarczająco przejrzyste i zrozumiałe poinformowanie osoby, której dane dotyczą, o tym, w jakim zakresie zmiana uwzględnionych danych osobowych doprowadziłaby do odmiennego rezultatu.

63      Niemniej jednak należy jeszcze uściślić, że w odniesieniu do kwestii, czy udzielone informacje powinny umożliwiać osobie, której dane dotyczą, sprawdzenie prawidłowości dotyczących jej danych osobowych, na których opiera się zautomatyzowane podejmowanie decyzji, prawo dostępu do wspomnianych danych jest objęte nie art. 15 ust. 1 lit. h) RODO, lecz zdaniem wprowadzającym tego ustępu, gwarantującego osobie, której dane dotyczą, możliwość upewnienia się co do prawidłowości tych danych, jak wynika z orzecznictwa przytoczonego w pkt 53 niniejszego wyroku.

64      Wreszcie, co się tyczy twierdzenia sądu odsyłającego, zgodnie z którym informacje przekazane CK przez spółkę D & B na podstawie art. 15 ust. 1 lit. h) RODO są sprzeczne z faktami, ponieważ „faktyczne” profilowanie doprowadziło do uznania, że CK nie miała zdolności kredytowej, podczas gdy informacje te sugerowały coś przeciwnego, należy zauważyć, że jeżeli zdaniem tego sądu stwierdzona w ten sposób niezgodność wynika z nieprzekazania CK przez spółkę D & B profilowania przeprowadzonego w stosunku do niej w imieniu przedsiębiorstwa telefonii komórkowej, które na tej podstawie odmówiło zawarcia lub przedłużenia z nią umowy, to należałoby temu zaradzić za pomocą prawa dostępu do ustalonego w ten sposób profilu zdolności kredytowej. W tym względzie z orzecznictwa Trybunału wynika, że dane osobowe, które zostały wygenerowane przez samego administratora, wchodzą w zakres stosowania art. 14 RODO (zob. podobnie wyrok z dnia 28 listopada 2024 r., Másdi, C‑169/23, EU:C:2024:988, pkt 48).

65      Natomiast wyjaśnienie różnic występujących między wynikiem takiego „faktycznego” profilowania, przy założeniu, że zostanie on wykazany, a wynikiem przekazanym CK przez spółkę D & B i uzyskanym zdaniem tej spółki w drodze „równoważnego zagregowania” danych dotyczących CK rzeczywiście wchodziłoby w zakres „istotnych informacji o zasadach” dokonanego w ten sposób profilowania. Zgodnie z tym, co zostało stwierdzone w pkt 58 niniejszego wyroku, spółka D & B byłaby zatem zobowiązana do wyjaśnienia w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie procedury i zasad, na podstawie których uzyskano wynik „faktycznego” profilowania.

66      Z całości powyższych rozważań wynika, że na pytania pierwsze i drugie oraz na pytanie trzecie lit. a) trzeba odpowiedzieć, iż art. 15 ust. 1 lit. h) RODO należy interpretować w ten sposób, że w przypadku zautomatyzowanego podejmowania decyzji, w tym profilowania, w rozumieniu art. 22 ust. 1 tego rozporządzenia, osoba, której dane dotyczą, może żądać od administratora, tytułem „istotnych informacji o zasadach […] podejmowania [tych decyzji]”, aby ten wyjaśnił jej, w drodze istotnych informacji oraz w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, procedurę i zasady konkretnie zastosowane do zautomatyzowanego wykorzystania danych osobowych dotyczących tej osoby w celu uzyskania określonego wyniku, takiego jak profil zdolności kredytowej.

 W przedmiocie pytania trzeciego lit. b) i c), pytania czwartego lit. a) i b) oraz pytań piątego i szóstego

67      Poprzez pytanie trzecie lit. b) i c), pytanie czwarte lit. a) i b) oraz pytania piąte i szóste, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 15 ust. 1 lit. h) RODO należy interpretować w ten sposób, że w przypadku gdy administrator uważa, iż informacje, które należy przekazać osobie, której dane dotyczą, zgodnie z tym przepisem, zawierają dane osób trzecich chronione tym rozporządzeniem lub tajemnice przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943, administrator ten jest zobowiązany do przekazania tych informacji, które miałyby być chronione, właściwemu organowi nadzorczemu lub właściwemu sądowi, na których spoczywa obowiązek wyważenia rozpatrywanych praw i interesów w celu ustalenia zakresu prawa dostępu przysługującego osobie, której dane dotyczą, przewidzianego w art. 15 RODO.

68      W tym względzie należy przypomnieć, że na mocy motywu 4 RODO prawo do ochrony danych osobowych nie jest prawem bezwzględnym i należy je wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. I tak, RODO nie narusza praw podstawowych, wolności i zasad uznanych w Karcie, które są zapisane w traktatach [wyrok z dnia 26 października 2023 r., FT (Kopie dokumentacji medycznej), C‑307/22, EU:C:2023:811, pkt 59 i przytoczone tam orzecznictwo].

69      Ponadto motyw 63 tego rozporządzenia wskazuje, że prawo dostępu osoby, której dane dotyczą, do zebranych danych osobowych jej dotyczących nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie.

70      Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji. I tak, art. 23 ust. 1 lit. i) tego rozporządzenia przewiduje zasadniczo, że ograniczenie zakresu obowiązków i praw przewidzianych w szczególności w jego art. 15 jest możliwe, jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym ochronie praw i wolności innych osób.

71      W odniesieniu do pokrewnego prawa do uzyskania kopii, zapisanego w art. 15 ust. 4 RODO, Trybunał zauważył już, że jego stosowanie nie powinno naruszać praw i wolności innych osób, w tym tajemnicy handlowej lub własności intelektualnej, w szczególności praw autorskich chroniących oprogramowanie (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 43).

72      W tym kontekście Trybunał zauważył, że w przypadku kolizji między z jednej strony wykonywaniem prawa do pełnego i całkowitego dostępu do danych osobowych a z drugiej strony prawami lub wolnościami innych osób konieczne jest wyważenie danych praw i wolności. W miarę możliwości należy wybrać sposób przekazania danych osobowych, który nie narusza praw lub wolności innych osób, mając na uwadze, że – jak wynika z motywu 63 RODO – względy te nie powinny jednak „skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji” (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 44).

73      Co się tyczy kwestii, w jaki sposób prawo dostępu ustanowione w art. 15 ust. 1 lit. h) RODO może być wykonywane w sposób zapewniający poszanowanie praw i wolności innych osób, należy przypomnieć, że zgodnie z orzecznictwem sąd krajowy może uznać, iż dane osobowe stron lub osób trzecich powinny zostać mu przekazane, aby móc wyważyć występujące w postępowaniu interesy przy pełnej znajomości stanu rzeczy i z poszanowaniem zasady proporcjonalności. Ocena ta może w danym wypadku prowadzić do zezwolenia stronie przeciwnej na pełne lub częściowe ujawnienie przekazanych jej w ten sposób danych osobowych, jeżeli uzna on, że takie ujawnienie nie wykracza poza to, co jest konieczne do zapewnienia skutecznego korzystania z praw, które jednostki wywodzą z art. 47 Karty (wyrok z dnia 2 marca 2023 r., Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, pkt 58).

74      Jak zauważył rzecznik generalny w pkt 94 opinii, orzecznictwo to można w pełni zastosować do sytuacji, w której informacje, jakie należy przekazać osobie, której dane dotyczą, na podstawie prawa dostępu zagwarantowanego w art. 15 ust. 1 lit. h) RODO, mogą prowadzić do naruszenia praw i wolności innych osób, w szczególności w zakresie, w jakim zawierają one dane osobowe osób trzecich chronione wspomnianym rozporządzeniem lub tajemnicę przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943. Również w tym przypadku wspomniane informacje powinny zostać przekazane właściwemu organowi nadzorczemu lub właściwemu sądowi, na których spoczywa obowiązek wyważenia rozpatrywanych praw i interesów w celu określenia zakresu prawa dostępu przysługującego osobie, której dane dotyczą, do dotyczących jej danych osobowych.

75      Ze względu na konieczność dokonania takiego ustalenia w każdym konkretnym przypadku art. 15 ust. 1 lit. h) RODO stoi w szczególności na przeszkodzie stosowaniu przepisu takiego jak § 4 ust. 6 DSG, który co do zasady wyklucza przewidziane w art. 15 RODO prawo dostępu osoby, której dane dotyczą, jeżeli zapewnienie tego dostępu stanowiłoby zagrożenie dla tajemnicy handlowej lub tajemnicy przedsiębiorstwa administratora lub osoby trzeciej. W tym względzie należy przypomnieć, że państwo członkowskie nie może określić w sposób ostateczny wyniku wyważenia w każdym konkretnym przypadku danych praw i interesów, wymaganego przez prawo Unii [zob. podobnie wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding i in. (Scoring), C‑634/21, EU:C:2023:957, pkt 70 i przytoczone tam orzecznictwo].

76      W świetle całości powyższych rozważań na pytanie trzecie lit. b) i c), na pytanie czwarte lit. a) i b) oraz na pytania piąte i szóste trzeba odpowiedzieć, iż art. 15 ust. 1 lit. h) RODO należy interpretować w ten sposób, że w przypadku gdy administrator uważa, iż informacje, które należy zgodnie z tym przepisem przekazać osobie, której dane dotyczą, zawierają dane osób trzecich chronione tym rozporządzeniem lub tajemnice przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943, administrator ten jest zobowiązany do przekazania tych informacji, które miałyby być chronione, właściwemu organowi nadzorczemu lub właściwemu sądowi, na których spoczywa obowiązek wyważenia rozpatrywanych praw i interesów w celu ustalenia zakresu prawa dostępu przysługującego osobie, której dane dotyczą, przewidzianego w art. 15 RODO.

 W przedmiocie kosztów

77      Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje:

1)      Artykuł 15 ust. 1 lit. h) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

w przypadku zautomatyzowanego podejmowania decyzji, w tym profilowania, w rozumieniu art. 22 ust. 1 tego rozporządzenia, osoba, której dane dotyczą, może żądać od administratora, tytułem „istotnych informacji o zasadach […] podejmowania [tych decyzji]”, aby ten wyjaśnił jej, w drodze istotnych informacji oraz w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, procedurę i zasady konkretnie zastosowane do zautomatyzowanego wykorzystania danych osobowych dotyczących tej osoby w celu uzyskania określonego wyniku, takiego jak profil zdolności kredytowej.

2)      Artykuł 15 ust. 1 lit. h) rozporządzenia 2016/679

należy interpretować w ten sposób, że:

w przypadku gdy administrator uważa, iż informacje, które należy zgodnie z tym przepisem przekazać osobie, której dane dotyczą, zawierają dane osób trzecich chronione tym rozporządzeniem lub tajemnice przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem, administrator ten jest zobowiązany do przekazania tych informacji, które miałyby być chronione, właściwemu organowi nadzorczemu lub właściwemu sądowi, na których spoczywa obowiązek wyważenia rozpatrywanych praw i interesów w celu ustalenia zakresu prawa dostępu przysługującego osobie, której dane dotyczą, przewidzianego w art. 15 tego rozporządzenia.