Förslag till avgörande av generaladvokat Priit Pikamäe av den 16 mars 2023
1 Originalspråk: franska.
2 EUT L 119, 2016, s. 1.
3 BGBl. 2017 I, s. 2097.
4 BGBl. 2019 I, s. 1626.
5 Det rör sig konkret om artiklarna 18 och 21 i Europaparlamentets och rådets direktiv 2014/17/EU av den 4 februari 2014 om konsumentkreditavtal som avser bostadsfastighet och om ändring av direktiven 2008/48/EG och 2013/36/EU och förordning (EU) nr 1093/2010 (EUT L 60, 2014, s. 34) samt artiklarna 8 och 9 i Europaparlamentets och rådets direktiv 2008/48/EG av den 23 april 2008 om konsumentkreditavtal och om upphävande av rådets direktiv 87/102/EEG (EUT L 133, 2008, s. 66).
6 Det framgår av de Riktlinjer om automatiserat individuellt beslutsfattande och profilering enligt förordning (EU) 2016/679, som antogs den 3 oktober 2017 av arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter (artikel 29-gruppen) att profilering och automatiskt beslutsfattande kan ge upphov till betydande risker för enskildas rättigheter och friheter. Profilering kan i synnerhet upprätthålla befintliga stereotyper och social segregation. Eftersom de registrerade kan begränsas i sin valfrihet när det gäller vissa produkter eller tjänster kan profilering dessutom leda till att varor och tjänster nekas och till obefogad diskriminering.
7 Se dom av den 28 april 2022, Meta Platforms Ireland ( C-319/20, EU:C:2022:322, punkterna 57 och 60).
8 Se dom av den 28 oktober 2020, Pegaso och Sistemi di Sicurezza ( C-521/18, EU:C:2020:867, punkterna 26 och 27).
9 Se förslag till avgörande av generaladvokaten Richard de la Tour i målet Nemzeti Adatvédelmi és Információszabadság Hatóság ( C-132/21, EU:C:2022:661, punkt 43 och följande punkter).
10 Se dom av den 22 juni 2010, Melki och Abdeli ( C-188/10 och C-189/10, EU:C:2010:363, punkt 45).
11 Se dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság ( C-132/21, EU:C:2023:2, punkt 57).
12 Se de spanska (tratamiento automatizado, incluida la elaboración de perfiles), danska (automatisk behandling, herunder profilering), tyska (einer automatisierten Verarbeitung – einschließlich Profiling –), estniska (automatiseeritud töötlusel, sealhulgas profiilianalüüsil), engelska (automated processing, including profiling), franska (un traitement automatisé, y compris le profilage) och polska (zautomatyzowanym przetwarzaniu, w tym profilowaniu) versionerna (min kursivering).
13 Se, för ett liknande resonemang, Bygrave, L.A., Article 22. Automated individual decision-making, including profiling, The EU General Data Protection Regulation (GDPR), Kuner, C., Bygrave, L. A. Docksey, C., (utgivare), Oxford 2020, s. 532.
14 Abel, R., Automatisierte Entscheidungen im Einzelfall gem. Art. 22 DS-GVO – Anwedungsbereich und Grenzen im nicht-öffentlichen Bereich, Zeitschrift für Datenschutz, 7/2018, s. 307, anser att denna bestämmelse avser beslut som påverkar den registrerades rättsliga ställning eller varaktigt stör den registrerades ekonomiska eller personliga utveckling.
15 Helfrich, M./Sydow.G., DS-GVO/BDSG, andra upplagan, Baden-Baden 2018, artikel 22, punkt 51, anser att det avgörande är att fastställa huruvida den registrerade påverkas vid utövandet av sina rättigheter och friheter av exempelvis följderna av en observation och en värdering, vilka kan påverka honom eller henne på ett icke försumbart sätt vid utvecklingen av hans eller hennes personlighet.
16 Bernhardt, U./Ruhrman, I./Schuler, K./Weichert, T., Evaluation der Europäischen Datentschutz-Grundverordnung, version av den 18 juli 2019, Netzwerk Datenschutzexpertise, s. 7, anser att de algoritmer som används vid profilering har en stor potential för diskriminering och kan orsaka skada, varför författarna anser att det bör klargöras att alla former av omfattande och komplex profilering avses med det förbud som nämns i artikel 22.1 i dataskyddsförordningen.
17 Se, för ett liknande resonemang, Sydow, G./Marsch, N., DS-GVO/BDSG, 3:e upplagan, Baden-Baden 2022, 31 § BDSG, punkt 5, som anser att scoring kan påverka de registrerade i betydande grad och på ett sätt som liknar ett beslut som ger rättsliga följder.
18 Se de spanska (únicamente), danska (alene), tyska (ausschließlich), estniska (üksnes), engelska (solely), franska (exclusivement) och polska (wyłącznie) versionerna.
19 Ett sådant synsätt är enligt min mening än mer nödvändigt, eftersom varken SCHUFA eller HBDI har kunnat ge ett tydligt svar vid förhandlingen på frågan om kreditbetygen tenderar att föregripa finansinstitutens beslut. Företrädaren för SCHUFA uppgav dock att sistnämnda drar nytta av kreditföretagens erfarenhet och kompetens att fastställa en fysisk persons betalningsförmåga, vilket i princip skulle kunna tolkas som en indikation på ett betydande inflytande på beslutsprocessen.
20 Blasek, K., Auskunfteiwesen und Kredit-Scoring in unruhigem Fahrwasser – Ein Spagat zwischen Individualschutz und Rechtssicherheit, Zeitschrift für Datenschutz, 8/2022, s. 436 och s. 438, anser att en tillämpning av artikel 22.1 i dataskyddsförordningen inte kan uteslutas i de fall då en bankanställd inte ifrågasätter de automatiserade bedömningar (profilering, kreditbetyg) som gjorts av kreditupplysningsföretag. Enligt författaren borde bankerna inte enbart förlita sig på denna externa information, utan snarare själva kontrollera den på ett lämpligt sätt.
21 Se, för ett liknande resonemang, Horstmann, J./Dalmer, S., Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen, Zeitschrift für Datenschutz, 5/2022, s. 263.
22 Min kursivering.
23 Min kursivering.
24 Se, Zanfir-Fortuna, G., Article 15. Right of access by the data subject, The EU General Data Protection Regulation (GDPR) Kuner, C., Bygrave, L. A., Docksey, C., (utgivare), Oxford 2020, s. 463.
25 Se, för ett liknande resonemang, Riktlinjer om automatiserat individuellt beslutsfattande och profilering enligt förordning (EU) 2016/679 som antogs den 3 oktober 2017 av arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter (artikel 29-gruppen), s. 28 och s. 30.
26 Se Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU), Bundesrat – Drucksache 110/17 av den 2.2.2017, s. 101 och s, 102, Abel, R., Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht , Zeitschrift für Datenschutz, 3/2018, s. 105, har kritiserat det lagförslag som inte anger den öppnandeklausul som 31 § BDSG grundar sig på och uttryckt tvivel om denna bestämmelse är förenlig med unionsrätten.
27 Se, för ett liknande resonemang, Horstmann, J./Dalmer, S., Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen, Zeitschrift für Datenschutz, 5/2022, s. 265.
28 Se punkt 44 i förevarande förslag till avgörande.
29 Dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C-439/19, EU:C:2021:504, punkt 99).
30 Dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C-439/19, EU:C:2021:504, punkt 81).
31 Se, för ett liknande resonemang, von Lewinski, K./Pohl, D., Auskunfteien nach der europäischen Datenschutzreform – Brüche und Kontinuitäten der Rechtslage, Zeitschrift für Datenschutz, 1/2018, s. 19.
32 Se, för ett liknande resonemang, Abel, R., Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht, Zeitschrift für Datenschutz, 3/2018, s. 106.
33 Se Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU), Bundesrat – Drucksache 110/17 av den 2.2.2017, s. 101 och s. 102. Vid förhandlingen bekräftade den tyska regeringen att det faktiskt rör sig om lagstiftningssyftet med 31 § BDSG.
34 Se, i detta avseende, Guggenberger, N./Sydow, G., Bundesdatenschutzgesetz, första upplagan, Baden-Baden 2020, 31 §, punkterna 2 och 5.
35 Se dom av den 27 mars 2014, LCL Le Crédit Lyonnais ( C-565/12, EU:C:2014:190, punkterna 40 och 42), om kreditgivarens skyldighet enligt artikel 8.1 i direktiv 2008/48 att bedöma konsumentens kreditvärdighet innan ett kreditavtal ingås. Nämnda skyldighet kan innefatta sökningar i relevanta databaser. Enligt EU-domstolen syftar denna skyldighet till att skydda konsumenterna mot riskerna för överskuldsättning och obestånd, genom att säkerställa en hög skyddsnivå för deras intressen och underlätta framväxten av en väl fungerande inre marknad för konsumentkrediter.
36 Se dom av den 6 juni 2019, Schyns ( C-58/18, EU:C:2019:467, punkterna 45 och 46), där EU-domstolen slog fast att kreditgivarens skyldighet enligt artikel 18.5 a i direktiv2014/17 att pröva låntagarens kreditvärdighet innan denne beviljar en kredit syftar till att förhindra ett oansvarigt beteende från marknadsaktörernas sida, som kan underminera det finansiella systemet.
37 Se, för ett liknande resonemang, Sydow, G./Marsch, N., DS-GVO/BDSG, tredje upplagan, Baden-Baden 2022, 31 § BDSG, punkt 6, och Abel, R., Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht, Zeitschrift für Datenschutz, 3/2018, s. 105.
38 Se, i detta avseende, Guggenberger, N./Sydow, G., Bundesdatenschutzgesetz, första upplagan, Baden-Baden 2020, 31 §, punkt 5.
39 Se punkt 66 i förevarande förslag till avgörande.
40 Dom av den 17 juni 2021, M.I.C.M. ( C-597/19, EU:C:2021:492, punkt 106).
41 Se, i detta avseende, förslag till avgörande av generaladvokaten Rantos i målet Meta Platforms m.fl. (Allmänna villkor för tillämpning av ett socialt nätverk) ( C-252/21, EU:C:2022:704, punkt 60).
42 Se punkt 74 i förevarande förslag till avgörande.
43 Se dom av den 4 maj 2017, Rīgas satiksme ( C-13/16, EU:C:2017:336, punkt 30) och dom av den 17 juni 2021, M.I.C.M. ( C-597/19, EU:C:2021:492, punkt 110).
44 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).
45 Se, för ett liknande resonemang, Heberlein, H., DS-GVO – Kommentar, Munich 2017, Art. 6, punkterna 28 och 32.
46 Se, för ett liknande resonemang, Heberlein, H., a.a., punkt 32, Roßnagel, A., Datenschutzrecht Simitis, S., Hornung, G., Spiecker, I., (utg.), München 2019, artikel 6, punkt 23.
47 Se dom av den 22 juni 2022, Leistritz ( C-534/20, EU:C:2022:495, punkt 26).
48 Se dom av den 19 oktober 2016, Breyer ( C-582/14, EU:C:2016:779, punkt 62).
49 Se dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija ( C-184/20, EU:C:2022:601, punkt 66), där domstolen tolkade vissa bestämmelser i direktiv 95/46 och i dataskyddsförordningen på ett enhetligt sätt.
50 Guggenberger, N./Sydow, G., Bundesdatenschutzgesetz, första upplagan, Baden-Baden 2020, 31 §, punkt 6, bekräftar den hänskjutande domstolens bedömning att dessa bestämmelser saknar betydelse för valet av rättslig grund för antagandet av 31 § BDSG.
51 Dom av den 21 juni 2022, Ligue des droits humains ( C-817/19, EU:C:2022:491, punkt 293).