Az elmúlt hét legnagyobb figyelmet kapott - komoly adatvédelmi vonatkozásokkal is bíró - eseménye az EU mesterséges intelligencia rendelete körüli egyeztetések maratoni utolsó fordulója volt, amely végül eredményt hozott és elvi megállapodás született az Európai Parlament és a Tanács között az MI rendelet tartalma kapcsán.

Talán kevesebb reflektorfény vetült rá, de az Európai Bíróság sem tétlenkedett a múlt héten, ami az adatvédelmet érintő ítéletek közzétételét illeti, hiszen több ügyben is fontos iránymutatásokat tartalmazó döntések jelentek meg. Az alábbiakban röviden a Bíróság múlt héten közzétett adatvédelmi tárgyú ítéleteinek néhány főbb elemét emelem ki. 

1. Pontozási rendszerek (scoring), automatizált döntéshozatal, adatok tárolása, érintetti jogok: az ún. SCHUFA-ügy(ek) (C‑634/21. sz. ügy és C‑26/22. és C‑64/22. sz. egyesített ügyek)   

A SCHUFA Holding AG (SCHUFA) egy német cég, amely elsősorban fogyasztók (magánszemélyek) fizetőképességéről ad információt az ügyfeleinek (tipikusan vállalkozásoknak). Annak érdekében, hogy a fogyasztók fizetőképességéről használható információval rendelkezzen, a Schufa matematikai és statisztikai módszerekkel a vizsgált személyek valószínű jövőbeli viselkedéséről előrejelzést készít („score”). A score‑értékek megállapítása („scoring”) azon a feltevésen alapul, hogy valamely személynek bizonyos hasonló jellemzőkkel rendelkező, adott módon viselkedő személyek csoportjába való besorolásával hasonló viselkedést lehet előre jelezni. (Adatvédelmi szempontból tehát profilalkotásra kerül sor.)

A SCHUFA tevékenysége kapcsán érdemes azt is kiemelni, hogy az elemzésekhez szükséges információkat a társaság közhiteles nyilvántartásokból (is) gyűjti és saját adatbázisában tárolja. A saját adatbázisban tárolt információk törlésére – a üzleti információkat nyújtó vállalatok szövetsége által Németországban kidolgozott és az illetékes felügyeleti hatóság által jóváhagyott magatartási kódexnek megfelelően – a nyilvántartásba vételtől számított 3 év elteltével törli.

A SCHUFA tevékenységét illetően fontos megemlíteni, hogy a Bundesdatenschutzgesetz (az adatvédelemről szóló német szövetségi törvény, BDSG) külön pontban rendelkezik "a gazdasági forgalom védelme pontozásos hitelbírálat (scoring) és a fizetőképességre vonatkozó információk" kezelése tekintetében. 

1.1. A GDPR automatizált döntéshozatali szabályai alkalmazandók-e a valószínűségi érték automatizált meghatározására, ha a döntést ez alapján egy másik adatkezelő (harmadik személy) hozza meg?

Az egyik ügyben (C-634/21. sz. ügy) az eljárás alapjául a SCHUFA által készített előrejelzés alapján egy harmadik személy (SCHUFA szolgáltatást igénybe vevő ügyfél) által elutasított kölcsön iránti igény volt, amelyre tekintettel az érintett magán személy kérte a SCHUFA‑tól, hogy adjon tájékoztatást a nyilvántartott személyes adatokról, és törölje az állítása szerint téves személyes adatokat. E kérelemre válaszul a SCHUFA tájékoztatta az érintettet a score‑értékének szintjéről, és felvázolta számára a score‑érték kiszámításának módját, ugyanakkor üzleti titokra hivatkozva megtagadta a  számítás során figyelembe vett különböző információk és azok súlyozásának nyilvánosságra hozatalát. A SCHUFA arról is tájékoztatta az érintettet, hogy ő csupán továbbítja az információkat szerződéses partnereinek, és a tényleges szerződéses döntéseket az utóbbiak hozzák meg. (Lásd a C-634/21. sz. ügyben hozott ítélet 15-16. pontjait.)

A kérdést feltevő bíróság atekintetben kért előzetes döntéshozatalt az Európai Bíróságtól, hogy a SCHUFA által végzett tevékenység, azaz a döntéshez szükséges valószínűségi érték automatizált meghatározása akkor is a GDPR 22. cikk (1) bekezdésének (automatizált döntéshozatal egyedi ügyekben) hatálya alá tartozik-e, ha a valószínűségi érték alapján a döntést egy harmadik fél hozza meg, akinek a valószínűségi értéket megállapító adatkezelő az adatot továbbítja. 

Ahhoz, hogy egy adatkezelés a GDPR 22. cikk (1) bekezdése alá essen (tehát egyedi ügyekben történő automatizált döntéshozatalnak lehessen tekinteni) három feltételnek kell együttesen fennállnia: 

• döntéshozatalra kell, hogy sor kerüljön, 
• a döntésnek kizárólag automatizált adatkezelésen kell alapulnia (beleértve a profilalkotást is), és 
• a döntésnek joghatással kell járnia vagy az érintettet hasonlóképpen jelentős mértékben kell érintenie.  

A Bíróság véleménye alapján a "döntés" fogalmát - figyelemmel a GDPR (71) preambulumbekezdésére is - tágan kell értelmezni, így "e fogalom kellően tág ahhoz, hogy magában foglalja valamely személy fizetőképességére vonatkozó számítás eredményét, egy valószínűségi érték formájában, amely arra vonatkozik, hogy e személy a jövőben képes lesz‑e teljesíteni fizetési kötelezettségeit." (Kiemelés tőlem. Lásd a C-634/21. sz. ügyben hozott ítélet 46. pont.)

A második feltétel is teljesül, hiszen a SCHUFA tevékenysége megfelel a GDPR szerinti profilalkotás fogalmának (lásd fent). 

A harmadik feltétel pedig arra tekintettel teljesül, hogy a valószínűségi értéket felhasználó harmadik személy tevékenységét „elsősorban” ez az érték irányítja, azaz az érintettre nézve jelentős mértékű hatás megléte is igazolható. (Lásd a C-634/21. sz. ügyben hozott ítélet 48-49. pontok.)

Összességében tehát arra jutott a Bíróság, hogy 

[...] az általános adatvédelmi rendelet 22. cikkének (1) bekezdését úgy kell értelmezni, hogy valamely üzleti információkat nyújtó vállalat által egy magánszemély személyes adatain alapuló, az adott személy jövőbeli fizetési kötelezettségeinek teljesítésével kapcsolatos képességére vonatkozó valószínűségi érték automatizált megállapítása az említett rendelkezés értelmében vett „automatizált egyedi döntésnek” minősül, amennyiben döntően ettől a valószínűségi értéktől függ, hogy egy harmadik személy, akivel ezt a valószínűségi értéket közlik, létrehoz-e, teljesít-e vagy megszüntet-e valamely szerződéses kapcsolatot az adott személlyel. (Lásd a C-634/21. sz. ügyben hozott ítélet 73. pont. Kiemelés tőlem.)

A kérdést feltevő bíróságnak kell azt megvizsgálnia, hogy az adatvédelemről szóló német szövetségi törvény (BDSG) által az automatizált döntéshozatal végzésére vonatkozó felhatalmazás megfelel-e a GDPR 22. cikk (2) bekezdés b) pontja szerinti szabálynak (azaz az automatizált döntéshozatalra vonatkozó, a GDPR 22. cikk (1) bekezdése szerinti tilalom alóli mentesülést lehetővé teheti-e ez a szabály), továbbá a GDPR 22. cikk (4) bekezdésében, 5. és 6. cikkeiben foglalt feltételeknek.   

1.2. A közhiteles nyilvántartásból származó fizetőképességgel összefüggő adat kezelhető-e tovább a gazdasági információs magánvállalkozás által, mint ahogy az a közhiteles nyilvántartásban elérhető?

A C‑26/22. és C‑64/22. sz. egyesített ügyekben felmerülő egyik alapvető kérdés az adatok kezelésének az időtartamát érintette, mivel a vonatkozó német jogszabály szerint a fennálló tartozások elengedésére vonatkozó információt a fizetésképtelenségi nyilvántartás (állami közhiteles nyilvántartás) 6 hónapig tartalmazza, míg a SCHUFA adatbázisából csak 3 év elteltével törlik ezt az adatot (figyelemmel az üzleti információkat nyújtó német vállalatok magatartási kódexére).  

A Bíróság lényegében - összevonva a kérdéseket előterjesztő bíróság második, harmadik, negyedik és ötödik kérdéseit - arra adott választ, hogy

• az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontját az e rendelet 6. cikke (1) bekezdése első albekezdésének f) pontjával összefüggésben úgy kell‑e értelmezni, hogy azokkal ellentétes a gazdasági információs magánvállalatok azon gyakorlata, hogy saját adatbázisaikban természetes személyek fennálló tartozásainak elengedésére vonatkozó, közhiteles nyilvántartásból származó információkat tárolnak, és ezeket az információkat az ugyanezen rendelet 40. cikke szerinti magatartási kódexnek megfelelően három év elteltével törlik, noha az említett információk közhiteles nyilvántartásban való tárolásának időtartama hat hónap, és
• az általános adatvédelmi rendelet 17. cikke (1) bekezdésének c) és d) pontját úgy kell‑e értelmezni, hogy a fennálló tartozások elengedésére vonatkozó információkat közhiteles nyilvántartásból átvevő gazdasági információs magánvállalat, köteles ezeket az információkat törölni. (Lásd C‑26/22. és C‑64/22. sz. egyesített ügyekben hozott ítélet 71. pont)

A Bíróság vizsgálta a jogos érdeken alapuló adatkezelés feltételeit (GDPR 6. cikk (1) bekezdés f) pont), a törlésre vonatkozó érintetti jog gyakorlására vonatkozó rendelkezéseket (GDPR 17. cikk (1) bek.), illetve a magatartási kódexek (GDPR 40. cikk) által adott mozgásteret és a fenti kérdések mérlegelése alapján arra jut, hogy 

• nem felel meg a GDPR-nak (5. cikk (1) a) pont, 6. cikk(1) f) pont), ha a gazdasági információs magánvállalatok (mint amilyen a SCHUFA) azon gyakorlata, hogy saját adatbázisaikban az adatok közhiteles nyilvántartásban való tárolásának időtartamát meghaladó ideig tárolják a közhiteles nyilvántartásból származó, a természetes személyek fennálló tartozásainak elengedésére vonatkozó információkat annak érdekében, hogy az említett személyek fizetőképességéről tájékoztatást nyújthassanak,
• az érintett személy jogosult arra a GDPR 17. cikk (1) c) pont alapján, hogy az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, amennyiben az érintett tiltakozik az adatkezelés ellen (GDPR 21. cikke alapján), és nincsenek olyan elsőbbséget élvező jogszerű okok, amelyek kivételes jelleggel igazolhaták a szóban forgó adatkezelést,
• a GDPR 17. cikk (1) d) pontra tekintettel, az adatkezelő köteles a jogellenesen kezelt személyes adatokat indokolatlan késedelem nélkül törölni. (Lásd C‑26/22. és C‑64/22. sz. egyesített ügyekben hozott ítélet 113. pont)

2. Bírságkiszabással kapcsolatos kérdések (C‑807/21. sz. ügy és C‑683/21. sz. ügy)

A fent hivatkozott két ügyben a Bírtóság az adatvédelmi bírság (GDPR 83. cikk) kiszabásával kapcsolatos különböző kérdéseket járt körbe. Ennek kapcsán az alábbi fontosabb megállapításokat tette. 

2.1. C‑807/21. sz. ügy (Deutsche Wohnen-ügy):

• a GDPR-ral ellentétes az olyan nemzeti szabályozás, amelynek értelmében valamely jogi személlyel mint adatkezelővel szemben csak akkor szabható ki közigazgatási bírság az e 83. cikk (4)–(6) bekezdésében említett jogsértés miatt, ha e jogsértést ezt megelőzően betudták egy azonosított természetes személynek, illetve
• a GDPR alapján közigazgatási bírság kizárólag akkor szabható ki, ha megállapítást nyer, hogy az adatkezelő, amely egyszerre jogi személy és vállalkozás is, szándékosan vagy gondatlanságból követte el a GDPR 83. cikk (4)–(6) bekezdésében említett jogsértést.

Az ítélet fő üzenete tehát, hogy vizsgálni kell a jogsérté tekintetében, hogy arra szándékosan vagy gondatlanságból került-e sor (nincs "objektív felelősség" a GDPR 83. cikke alapján). 

2.2. C‑683/21. sz. ügy: 

• két jogalany közös adatkezelőnek való minősítése nem feltételezi sem azt, hogy a jogalanyok között megállapodás áll fenn a szóban forgó személyes adatok kezelésének céljait és eszközeit illetően, sem pedig azt, hogy létezik olyan megállapodás, amely meghatározza a közös adatkezelésre irányadó feltételeket, 

• csak akkor szabható ki a GDPR-ra tekintettel közigazgatási bírság, ha megállapítást nyer, hogy az adatkezelő a 83. cikk (4)–(6) bekezdésében említett jogsértést szándékosan vagy gondatlanságból követte el, másrészt közigazgatási bírság szabható ki az adatkezelővel szemben az adatfeldolgozó által az adatkezelő nevében végzett adatkezelési műveletekre tekintettel, kivéve, ha e műveletekkel összefüggésben az adatfeldolgozó saját célból kezelt személyes adatokat, vagy ezeket az adatokat az adatkezelő által meghatározott adatkezelési környezettel, illetve szabályokkal összeegyeztethetetlen vagy oly módon kezelte, hogy észszerűen nem állapítható meg, hogy az adatkezelő hozzájárult volna ehhez.

Ez az ügy is kiemeli, hogy a jogsértés csak szándékosság vagy gondatlanság megállapíthatósága esetén szankcionálható közigazgatási bírsággal, továbbá az adatkezelőnek az adatfeldolgozó általi jogsértésre vonatkozó felelősségét is megerősíti.