Deprecated: Return type of BuddyBossPlatform\Alchemy\BinaryDriver\Configuration::offsetExists($offset) should either be compatible with ArrayAccess::offsetExists(mixed $offset): bool, or the #[\ReturnTypeWillChange] attribute should be used to temporarily suppress the notice in /home/lexro/public_html/devstage/wp-content/plugins/buddyboss-platform/vendor/alchemy/binary-driver/src/Alchemy/BinaryDriver/Configuration.php on line 68 Deprecated: Return type of BuddyBossPlatform\Alchemy\BinaryDriver\Configuration::offsetGet($offset) should either be compatible with ArrayAccess::offsetGet(mixed $offset): mixed, or the #[\ReturnTypeWillChange] attribute should be used to temporarily suppress the notice in /home/lexro/public_html/devstage/wp-content/plugins/buddyboss-platform/vendor/alchemy/binary-driver/src/Alchemy/BinaryDriver/Configuration.php on line 75 Deprecated: Return type of BuddyBossPlatform\Alchemy\BinaryDriver\Configuration::offsetSet($offset, $value) should either be compatible with ArrayAccess::offsetSet(mixed $offset, mixed $value): void, or the #[\ReturnTypeWillChange] attribute should be used to temporarily suppress the notice in /home/lexro/public_html/devstage/wp-content/plugins/buddyboss-platform/vendor/alchemy/binary-driver/src/Alchemy/BinaryDriver/Configuration.php on line 82 Deprecated: Return type of BuddyBossPlatform\Alchemy\BinaryDriver\Configuration::offsetUnset($offset) should either be compatible with ArrayAccess::offsetUnset(mixed $offset): void, or the #[\ReturnTypeWillChange] attribute should be used to temporarily suppress the notice in /home/lexro/public_html/devstage/wp-content/plugins/buddyboss-platform/vendor/alchemy/binary-driver/src/Alchemy/BinaryDriver/Configuration.php on line 89 Deprecated: Return type of BuddyBossPlatform\Alchemy\BinaryDriver\Configuration::getIterator() should either be compatible with IteratorAggregate::getIterator(): Traversable, or the #[\ReturnTypeWillChange] attribute should be used to temporarily suppress the notice in /home/lexro/public_html/devstage/wp-content/plugins/buddyboss-platform/vendor/alchemy/binary-driver/src/Alchemy/BinaryDriver/Configuration.php on line 23 Warning: Undefined array key "/home/lexro/public_html/wp-content/plugins/wpdiscuz/themes/default" in /home/lexro/public_html/devstage/wp-content/plugins/wpdiscuz/utils/class.WpdiscuzHelper.php on line 458 Warning: Trying to access array offset on value of type null in /home/lexro/public_html/devstage/wp-content/plugins/wpdiscuz/utils/class.WpdiscuzHelper.php on line 458

CELEX:62022CJ0203: Hotărârea Curții (Camera întâi) din 27 februarie 2025.#CK împotriva Dun & Bradstreet Austria GmbH și Magistrat der Stadt Wien.#Cerere de decizie preliminară formulată de Verwaltungsgericht Wien.#Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 15 alineatul (1) litera (h) – Proces decizional automatizat incluzând crearea de profiluri – «Scoring» – Aprecierea bonității unei persoane fizice – Accesul la informații pertinente privind logica utilizată pentru crearea de profiluri – Verificarea exactității informațiilor furnizate – Directiva (UE) 2016/943 – Articolul 2 punctul 1 – Secret comercial – Date cu caracter personal ale unor terți.#Cauza C-203/22.

redactia-lex24
Redacția Lex24 28/02/2025
0 comentarii
Redacția Lex24
Publicat in CJUE: Decizii, 28/02/2025

Vă rugăm să vă conectați la marcaj Închide

Ediție provizorieHOTĂRÂREA CURȚII (Camera întâi)27 februarie 2025(*)„ Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 15 alineatul (1) litera (h) – Proces decizional automatizat incluzând crearea de profiluri – «Scoring» – Aprecierea bonității unei...

Informatii

Data documentului: 27/02/2025
Emitent: CJCE
Formă: CJUE: Decizii
Stat sau organizație la originea cererii: Austria

Procedura

Tribunal naţional: *A9* Verwaltungsgericht Wien, beschluss vom 11/02/2022 (VGW-101/042/791/2020-44)

Ediție provizorie

HOTĂRÂREA CURȚII (Camera întâi)

27 februarie 2025(*)

„ Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 15 alineatul (1) litera (h) – Proces decizional automatizat incluzând crearea de profiluri – «Scoring» – Aprecierea bonității unei persoane fizice – Accesul la informații pertinente privind logica utilizată pentru crearea de profiluri – Verificarea exactității informațiilor furnizate – Directiva (UE) 2016/943 – Articolul 2 punctul 1 – Secret comercial – Date cu caracter personal ale unor terți ”

În cauza C‑203/22,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Verwaltungsgericht Wien (Tribunalul Administrativ din Viena, Austria), prin decizia din 11 februarie 2022, primită de Curte la 16 martie 2022, în procedura

CK

împotriva

Magistrat der Stadt Wien

cu participarea:

Dun & Bradstreet Austria GmbH,

CURTEA (Camera întâi),

compusă din domnul K. Lenaerts, președintele Curții, îndeplinind funcția de președinte al Camerei întâi, domnul T. von Danwitz (raportor), vicepreședintele Curții, domnii A. Kumin și N. Jääskinen și doamna I. Ziemele, judecători,

avocat general: domnul J. Richard de la Tour,

grefier: domnul A. Calot Escobar,

având în vedere procedura scrisă,

luând în considerare observațiile prezentate:

–        pentru CK, de C. Wirthensohn, Rechtsanwalt;

–        pentru Dun & Bradstreet Austria GmbH, de D. Cooper, solicitor, A.‑S. Oberschelp de Meneses, avocate, și K. Van Quathem și B. Van Vooren, advocaten;

–        pentru guvernul spaniol, de A. Ballesteros Panizo, în calitate de agent;

–        pentru guvernul neerlandez, de M. K. Bulterman și C. S. Schillemans, în calitate de agenți;

–        pentru guvernul polonez, de B. Majczyna, în calitate de agent;

–        pentru Comisia Europeană, de A. Bouchagiar, F. Erlbacher și H. Kranenborg, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 12 septembrie 2024,

pronunță prezenta

Hotărâre

1        Cererea de decizie preliminară privește interpretarea, pe de o parte, a articolului 15 alineatul (1) litera (h) și a articolului 22 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”) și, pe de altă parte, a articolului 2 punctul 1 din Directiva (UE) 2016/943 a Parlamentului European și a Consiliului din 8 iunie 2016 privind protecția know‑how‑ului și a informațiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării și divulgării ilegale (JO 2016, L 157, p. 1).

2        Această cerere a fost formulată în cadrul unui litigiu între CK, pe de o parte, și Magistrat der Stadt Wien (Consiliul Municipal al Orașului Viena, Austria), pe de altă parte, în legătură cu executarea silită a unei hotărâri judecătorești prin care Bisnode Austria GmbH, devenită Dun & Bradstreet Austria GmbH (denumită în continuare „D & B”), o întreprindere specializată în furnizarea de evaluări de credit, a fost obligată să îi furnizeze lui CK informații pertinente privind logica utilizată pentru crearea de profiluri cu privire la datele sale cu caracter personal.

 Cadrul juridic

 Dreptul Uniunii

 RGPD

3        Considerentele (4), (11), (58), (63) și (71) ale RGPD au următorul cuprins:

„(4)      Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor. Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Prezentul regulament respectă toate drepturile fundamentale și libertățile și principiile recunoscute în [Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare «carta»)], astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică.

[…]

(11)      Protecția efectivă a datelor cu caracter personal în întreaga Uniune [Europeană] necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru infracțiuni în statele membre.

[…]

(58)      Principiul transparenței prevede ca orice informații care se adresează publicului sau persoanei vizate să fie concise, ușor accesibile și ușor de înțeles și să se utilizeze un limbaj simplu și clar, precum și vizualizare acolo unde este cazul. […]

[…]

(63)      O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. […] Acest drept nu ar trebui să aducă atingere drepturilor sau libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. […]

[…]

(71)      Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenție umană. O astfel de prelucrare include «crearea de profiluri», care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă. […] În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate și dreptul acesteia de a obține intervenție umană, de a‑și exprima punctul de vedere, de a primi o explicație privind decizia luată în urma unei astfel de evaluări, precum și dreptul de a contesta decizia. […]”

4        Articolul 4 punctul 4 din acest regulament, intitulat „Definiții”, prevede:

„În sensul prezentului regulament:

[…]

4.      «creare de profiluri» înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia”.

5        Articolul 12 din regulamentul amintit, intitulat „Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, prevede la alineatul (1):

„Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. […]”

6        Articolul 13 din același regulament, care privește informațiile care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată, și articolul 14 din acesta, care privește informațiile care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, prevăd la alineatul (2) litera (f) și, respectiv, la alineatul (2) litera (g) că operatorul furnizează persoanei vizate, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce o privește pe aceasta, printre altele, informația referitoare la „existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată”.

7        Articolul 15 din RGPD, intitulat „Dreptul de acces al persoanei vizate”, are următorul cuprins:

„(1)      Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

[…]

(h)      existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

[…]

(3)      Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într‑un format electronic utilizat în mod curent.

(4)      Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și libertăților altora.”

8        Articolul 22 din acest regulament, intitulat „Procesul decizional individual automatizat, inclusiv crearea de profiluri”, prevede:

„(1)      Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă.

(2)      Alineatul (1) nu se aplică în cazul în care decizia:

(a)      este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date;

(b)      este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate sau

(c)      are la bază consimțământul explicit al persoanei vizate.

(3)      În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a‑și exprima punctul de vedere și de a contesta decizia.

(4)      Deciziile menționate la alineatul (2) nu au la bază categoriile speciale de date cu caracter personal menționate la articolul 9 alineatul (1), cu excepția cazului în care se aplică articolul 9 alineatul (2) litera (a) sau (g) și în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

9        Potrivit articolului 23 din regulamentul menționat, intitulat „Restricții”:

„(1)      Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:

[…]

(i)      protecția persoanei vizate sau a drepturilor și libertăților altora;

[…]

(2)      În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice cel puțin, dacă este cazul, în ceea ce privește:

(a)      scopurile prelucrării sau ale categoriilor de prelucrare;

(b)      categoriile de date cu caracter personal;

(c)      domeniul de aplicare al restricțiilor introduse;

(d)      garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal;

(e)      menționarea operatorului sau a categoriilor de operatori;

(f)      perioadele de stocare și garanțiile aplicabile având în vedere natura, domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare;

(g)      riscurile pentru drepturile și libertăților persoanelor vizate și

(h)      dreptul persoanelor vizate de a fi informate cu privire la restricție, cu excepția cazului în care acest lucru poate aduce atingere scopului restricției.”

10      Articolul 54 din același regulament, intitulat „Norme privind instituirea autorității de supraveghere”, prevede la alineatul (2):

„Membrul sau membrii și personalul fiecărei autorități de supraveghere au obligația, în conformitate cu dreptul Uniunii sau cu dreptul intern, de a respecta atât pe parcursul mandatului, cât și după încetarea acestuia, secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în cursul îndeplinirii sarcinilor sau al exercitării competențelor lor. Pe durata mandatului lor, această obligație de păstrare a secretului profesional se aplică în special în ceea ce privește raportarea de către persoane fizice a încălcărilor prezentului regulament.”

11      Articolul 58 din RGPD, intitulat „Competențe”, prevede la alineatul (1) litera (e):

„Fiecare autoritate de supraveghere are toate următoarele competențe de investigare:

(e)      de a obține, din partea operatorului și a persoanei împuternicite de operator, accesul la toate datele cu caracter personal și la toate informațiile necesare pentru îndeplinirea sarcinilor sale”.

 Directiva 2016/943

12      Considerentul (35) al Directivei 2016/943 enunță:

„[…] prezenta directivă nu ar trebui să aducă atingere drepturilor și obligațiilor prevăzute în [Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10)], în special în ceea ce privește drepturile persoanei vizate de a avea acces la datele sale cu caracter personal care sunt prelucrate și de a obține rectificarea, ștergerea sau blocarea datelor care sunt incomplete sau inexacte […]”.

13      Articolul 2 punctul 1 din această directivă prevede:

„În sensul prezentei directive, se aplică următoarele definiții:

1.      «secret comercial» înseamnă informațiile care îndeplinesc toate cerințele următoare:

(a)      sunt secrete în sensul că nu sunt, ca întreg sau astfel cum se prezintă sau se articulează elementele acestora, cunoscute la nivel general sau ușor accesibile persoanelor din cercurile care se ocupă, în mod normal, de tipul de informații în cauză;

(b)      au valoare comercială prin faptul că sunt secrete;

(c)      au făcut obiectul unor măsuri rezonabile, în circumstanțele date, luate de către persoana care deține în mod legal controlul asupra informațiilor respective, pentru a fi păstrate secrete”.

14      Articolul 9 din directiva menționată, intitulat „Păstrarea confidențialității secretelor comerciale pe parcursul procedurilor judiciare”, prevede:

„(1)      Statele membre se asigură că părțile, avocații sau alți reprezentanți ai acestora, funcționarii judiciari, martorii, experții și orice altă persoană care participă la procedurile juridice legate de dobândirea, utilizarea sau divulgarea ilegală a unui secret comercial sau care au acces la documente care sunt parte integrantă din aceste proceduri juridice nu au voie să folosească sau să divulge secrete comerciale sau presupuse secrete comerciale pe care autoritățile judiciare competente, ca răspuns la o cerere motivată corespunzător a unei părți interesate, le‑au identificat ca fiind confidențiale și de care au luat cunoștință în urma acestei participări sau a acestui acces. În acest sens, statele membre pot, de asemenea, permite autorităților judiciare competente să ia astfel de măsuri din proprie inițiativă.

Obligația la care se face referire la primul paragraf rămâne în vigoare după încheierea procedurilor juridice. Cu toate acestea, obligația respectivă încetează să existe în oricare dintre următoarele circumstanțe:

(a)      atunci când se constată, printr‑o decizie finală, că presupusul secret comercial nu îndeplinește cerințele stabilite la articolul 2 punctul 1 sau

(b)      atunci când informațiile în cauză devin, în timp, general cunoscute sau ușor accesibile persoanelor din cercurile care se ocupă în mod normal de acest tip de informații.

(2)      Statele membre se asigură, de asemenea, că autoritățile judiciare competente au posibilitatea, pe baza unei cereri justificate în mod corespunzător înaintate de către una dintre părți, să ia măsurile specifice necesare pentru a păstra confidențialitatea oricăror secrete comerciale sau presupuse secrete comerciale utilizate sau menționate în cursul procedurii juridice legate de dobândirea, utilizarea sau divulgarea ilegală a unui secret comercial. Statele membre pot, de asemenea, permite autorităților judiciare competente să ia astfel de măsuri din proprie inițiativă.

Măsurile menționate la primul paragraf includ cel puțin posibilitatea:

(a)      de a restricționa, integral sau parțial, la un număr limitat de persoane, accesul la orice document care conține secrete comerciale sau presupuse secrete comerciale și care a fost prezentat de părți sau de terți;

(b)      de a restricționa la un număr limitat de persoane accesul la ședințele de judecată, atunci când pot fi divulgate secrete comerciale sau presupuse secrete comerciale, precum și la înregistrările sau transcrierile aferente ședințelor de judecată respective;

(c)      de a pune la dispoziția oricărei alte persoane decât cele care fac parte din numărul limitat de persoane menționat la literele (a) și (b) o versiune neconfidențială a oricărei hotărâri judecătorești, din care au fost eliminate sau ocultate pasajele conținând secrete comerciale.

Numărul de persoane menționat la al doilea paragraf literele (a) și (b) nu depășește ceea ce este necesar pentru a asigura respectarea dreptului părților la procedurile juridice la o cale de atac efectivă și la un proces echitabil și include cel puțin o persoană fizică din partea fiecărei părți și avocații sau alți reprezentanți ai respectivelor părți la procedurile juridice.

(3)      Atunci când adoptă o decizie privind măsurile menționate la alineatul (2) și evaluează proporționalitatea acestora, autoritățile judiciare competente iau în considerare necesitatea de a garanta dreptul la o cale de atac efectivă și la un proces echitabil, interesele legitime ale părților și, după caz, ale terților, precum și orice eventual prejudiciu cauzat oricăreia dintre părți și, după caz, terților, care rezultă din aprobarea sau respingerea unor astfel de măsuri.

(4)      Orice prelucrare a datelor cu caracter personal în temeiul alineatelor (1), (2) sau (3) se efectuează în conformitate cu [Directiva 95/46].”

 Dreptul austriac

15      Articolul 4 alineatul (6) din Datenschutzgesetz (Legea privind protecția datelor) din 17 august 1999 (BGBl. I, 165/1999), în versiunea aplicabilă litigiului principal (denumită în continuare „DSG”), exclude în principiu dreptul de acces al persoanei vizate la datele sale cu caracter personal, prevăzut la articolul 15 din RGPD, atunci când prin furnizarea acestei informații ar fi pus în pericol un secret comercial sau profesional al operatorului sau al unor terți.

 Litigiul principal și întrebările preliminare

16      Lui CK i s‑a refuzat de un operator de telefonie mobilă încheierea sau prelungirea unui contract de telefonie mobilă care ar fi presupus plata lunară a sumei de zece euro pentru motivul că, potrivit unei evaluări a creditului său efectuată cu mijloace automatizate de D & B, ea nu avea bonitate financiară suficientă.

17      CK a sesizat autoritatea austriacă de protecție a datelor, care a obligat D & B să îi comunice lui CK informații pertinente cu privire la logica utilizată în procesul decizional automatizat bazat pe datele cu caracter personal referitoare la CK.

18      D & B a formulat o acțiune împotriva deciziei acestei autorități la Bundesverwaltungsgericht (Tribunalul Administrativ Federal, Austria), susținând în esență că, din cauza unui secret comercial protejat, aceasta nu trebuia să îi comunice lui CK informații suplimentare față de cele care îi fuseseră deja furnizate.

19      Printr‑o decizie din 23 octombrie 2019 (denumită în continuare „decizia din 23 octombrie 2019”), această instanță a constatat că D & B a încălcat articolul 15 alineatul (1) litera (h) din RGPD prin faptul că nu i‑a furnizat lui CK informații pertinente cu privire la logica utilizată în procesul decizional automatizat bazat pe datele cu caracter personal referitoare la CK sau, cel puțin, prin faptul că nu a motivat suficient imposibilitatea de a furniza aceste informații.

20      În special, în această decizie, Bundesverwaltungsgericht (Tribunalul Administrativ Federal) a arătat că D & B nu îi furnizase lui CK explicații suficiente care să îi permită să înțeleagă cum s‑a stabilit, în ceea ce o privește, pronosticul cu privire la probabilitatea comportamentului său viitor („score”), pe care această întreprindere i‑a comunicat‑o cu precizarea că, pentru a obține acest „scor”, fuseseră „agregate în mod echivalent” anumite date sociodemografice ale lui CK.

21      Decizia din 23 octombrie 2019 a rămas definitivă și este executorie în temeiul dreptului austriac. Cu toate acestea, cererea de executare silită a deciziei respective formulată de CK la Consiliul Municipal al Orașului Viena, care este autoritatea de executare, a fost respinsă pentru motivul că D & B și‑ar fi îndeplinit în mod suficient obligația de informare, deși respectiva societate nu a furnizat nicio informație suplimentară după adoptarea aceleiași decizii.

22      CK a formulat o acțiune împotriva deciziei Consiliului Municipal al Orașului Viena la Verwaltungsgericht Wien (Tribunalul Administrativ din Viena, Austria), care este instanța de trimitere, în vederea executării silite a deciziei din 23 octombrie 2019.

23      Instanța de trimitere consideră că, în temeiul dreptului austriac, ea este ținută să pună în executare această din urmă decizie, ceea ce ar presupune să stabilească actele concrete pe care D & B este obligată să le execute în temeiul deciziei amintite.

24      Apreciind că această stabilire nu poate fi efectuată decât de un expert care are competențele necesare, instanța de trimitere a desemnat un expert, care a considerat că D & B este obligată să furnizeze, pentru a‑și îndeplini obligațiile față de CK, următoarele informații minime:

–        datele cu caracter personal referitoare la CK care au fost prelucrate în cadrul stabilirii unui „factor” (data nașterii, adresa, sexul etc.);

–        formula matematică aflată la baza calculului care a condus la „score‑ul” în discuție în litigiul principal;

–        valoarea concretă atribuită lui CK pentru fiecare dintre factorii în cauză și

–        precizarea intervalelor în cadrul cărora aceeași valoare este atribuită unor date diferite pentru același factor (evaluare la intervale sau evaluare discretă sau indicială/cadastrală).

25      Pentru a garanta că, după comunicarea lor, exactitatea acestor informații minime poate fi verificată de CK, D & B ar trebui de asemenea să furnizeze o listă care să stabilească „score‑urile” persoanelor („scoring”) pentru perioada care acoperă cele șase luni anterioare și cele șase luni ulterioare stabilirii „score‑ului” lui CK și care au fost obținute pe baza aceleiași reguli de calcul.

26      Potrivit instanței de trimitere, doar comunicarea informațiilor minime identificate de expertul menționat ar permite verificarea coerenței și a exactității informațiilor furnizate de un operator în temeiul articolului 15 alineatul (1) litera (h) din RGPD.

27      În speță, mai multe indicii ar arăta în mod clar că informațiile furnizate de D & B sunt contrare situației de fapt. Astfel, în timp ce informațiile comunicate lui CK, printre care în special „score‑ul” obținut, atestau o foarte bună bonitate a acesteia, profilul real creat ar fi condus la concluzia că aceasta nu avea bonitate, inclusiv pentru plata sumei de zece euro pe lună în temeiul unui contract de telefonie mobilă.

28      Instanța de trimitere consideră, așadar, că se ridică problema dacă articolul 15 alineatul (1) litera (h) din RGPD garantează persoanei vizate posibilitatea de a verifica exactitatea informațiilor comunicate de operator.

29      În situația în care articolul 15 alineatul (1) litera (h) din RGPD nu ar garanta această verificare, dreptul de acces la datele cu caracter personal ale persoanei vizate și la alte informații prevăzut de regulamentul amintit ar fi golit de conținut și ar deveni inutil, cu atât mai mult cu cât ar fi posibil în acest caz ca fiecare operator să furnizeze informații eronate.

30      S‑ar ridica de asemenea problema dacă și, eventual, în ce măsură excepția întemeiată pe existența unui secret comercial este de natură să restrângă acest drept de acces garantat de dispozițiile coroborate ale articolului 15 alineatul (1) litera (h) și ale articolului 22 din RGPD.

31      În lumina normelor prevăzute la articolul 9 din Directiva 2016/943, ar trebui să se aprecieze dacă este posibil să se comunice doar autorității sau instanței sesizate informațiile calificate drept „secrete comerciale” în sensul articolului 2 punctul 1 din respectiva directivă pentru ca această autoritate sau această instanță să verifice în mod autonom dacă este necesar să se considere că există efectiv un asemenea secret comercial și dacă aceste informații furnizate de operator în sensul articolului 15 alineatul (1) din RGPD sunt conforme cu realitatea situației în cauză.

32      În sfârșit, ar trebui să se examineze dacă o dispoziție precum articolul 4 alineatul (6) din DSG, care exclude în principiu dreptul de acces al persoanei vizate prevăzut la articolul 15 din RGPD atunci când acest acces ar compromite un secret comercial sau profesional al operatorului sau al unui terț, poate fi considerată conformă cu dispozițiile coroborate ale articolului 15 alineatul (1) și ale articolului 22 alineatul (3) din RGPD.

33      În aceste condiții, Verwaltungsgericht Wien (Tribunalul Administrativ din Viena) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)      Care sunt cerințele de fond pe care trebuie să le îndeplinească informațiile furnizate pentru a fi calificate drept suficient de «pertinente» în sensul articolului 15 alineatul (1) litera (h) din [RGPD]?

În cazul unei creări de profiluri, în cadrul furnizării de informații cu privire la «logica utilizată», operatorul trebuie, în principiu, să divulge – respectând, în orice caz, un secret profesional existent – inclusiv informațiile esențiale pentru a permite trasabilitatea rezultatului deciziei automatizate în cazul concret, care includ în special: 1) divulgarea datelor prelucrate ale persoanei vizate; 2) divulgarea părților algoritmului pe care este bazată crearea profilului, care sunt necesare pentru a permite trasabilitatea, și 3) divulgarea informațiilor relevante pentru stabilirea legăturii dintre informațiile prelucrate și evaluarea efectuată?

În cazurile care au ca obiect o creare de profiluri, pentru a‑i permite să își protejeze drepturile care îi revin în temeiul articolului 22 alineatul (3) din RGPD, titularul dreptului de acces în sensul articolului 15 alineatul (1) litera (h) din RGPD trebuie să primească – inclusiv în cazul obiecției întemeiate pe secretul comercial – următoarele informații cu privire la prelucrarea concretă care îl privește:

a)      comunicarea tuturor informațiilor, eventual [după ce au făcut obiectul unei pseudonimizări], în special cu privire la modalitatea prelucrării datelor persoanei vizate, care permite verificarea conformității cu RGPD;

b)      punerea la dispoziție a datelor de intrare utilizate pentru crearea profilului;

c)      parametrii și variabilele de intrare utilizate în stabilirea evaluării;

d)      influența acestor parametri și variabile de intrare asupra evaluării calculate;

e)      informații privind definirea parametrilor, respectiv a variabilelor de intrare;

f)      explicarea motivului pentru care titularului dreptului de acces în sensul articolului 15 alineatul (1) litera (h) din RGPD i‑a fost atribuit un anumit rezultat al evaluării și prezentarea declarației care a fost asociată cu această evaluare;

g)      enumerarea categoriilor de profiluri și furnizarea de explicații cu privire la declarația de evaluare care este asociată fiecăreia dintre categoriile de profiluri?

2)      Dreptul de acces prevăzut la articolul 15 alineatul (1) litera (h) din RGPD este legat de drepturile garantate la articolul 22 alineatul (3) din RGPD de a‑și exprima punctul de vedere și de a contesta un proces decizional automatizat în sensul articolului 22 din RGPD, astfel încât întinderea informațiilor furnizate pe baza unei cereri de informații în sensul articolului 15 alineatul (1) litera (h) din RGPD este suficient de «pertinentă» numai atunci când persoanei care solicită informații și persoanei vizate în sensul articolului 15 alineatul (1) litera (h) din RGPD i se dă posibilitatea de a‑și exercita în mod efectiv, pe deplin și cu șanse de succes drepturile care îi sunt garantate prin articolul 22 alineatul (3) din RGPD, și anume dreptul de a‑și exprima punctul de vedere și dreptul de a contesta un proces decizional automatizat care o privește, în sensul articolului 22 din RGPD?

3)      a)      Articolul 15 alineatul (1) litera (h) din RGPD trebuie interpretat în sensul că trebuie să se considere că există o «informație pertinentă» în sensul acestei dispoziții numai atunci când această informație este atât de amplă încât titularul dreptului de acces în sensul articolului 15 alineatul (1) litera (h) din RGPD poate să constate dacă această informație furnizată corespunde într‑adevăr faptelor și, prin urmare, dacă decizia automatizată solicitată în mod expres s‑a bazat efectiv pe informațiile divulgate?

b)      În cazul unui răspuns afirmativ: cum trebuie să se procedeze atunci când exactitatea informațiilor furnizate de un operator poate fi verificată numai dacă datele unor terți, protejate de RGPD, trebuie de asemenea aduse la cunoștința titularului dreptului de acces în sensul articolului 15 alineatul (1) litera (h) din RGPD [cutie neagră (black box)]?

Acest conflict între dreptul de acces în sensul articolului 15 alineatul (1) din RGPD și drepturile terților la protecția datelor poate fi rezolvat prin dezvăluirea exclusiv autorității sau instanței judecătorești a datelor terților necesare pentru verificarea exactității, care au fost supuse aceleiași creări de profiluri, astfel încât autoritatea sau instanța judecătorească să verifice în mod autonom dacă datele divulgate ale acestor terți corespund faptelor?

c)      În cazul unui răspuns afirmativ: care sunt drepturile care trebuie, în orice caz, să fie acordate titularului dreptului de acces în sensul articolului 15 alineatul (1) litera (h) din RGPD, atunci când cerința privind protejarea drepturilor altor persoane prevăzută la articolul 15 alineatul (4) din RGPD impune crearea cutiei negre menționate la întrebarea 3 litera b)?

În acest caz, datele altor persoane care trebuie să fie divulgate de operator pentru a permite verificarea exactității procesului decizional în sensul articolului 15 alineatul (1) din RGPD trebuie să fie divulgate titularului dreptului de acces în sensul articolului 15 alineatul (1) litera (h) din RGPD, în orice caz în formă pseudonimizată?

4)      a)      Cum trebuie să se procedeze în cazul în care informațiile care trebuie furnizate în sensul articolului 15 alineatul (1) litera (h) din RGPD îndeplinesc, de asemenea, cerințele unui secret comercial în sensul articolului 2 punctul 1 din Directiva [2016/943]?

Conflictul dintre dreptul de acces garantat prin articolul 15 alineatul (1) litera (h) din RGPD și dreptul la nedivulgarea unui secret comercial, protejat prin Directiva 2016/943, poate fi rezolvat prin dezvăluirea exclusiv autorității sau instanței judecătorești a informațiilor clasificate ca secret comercial în sensul articolului 2 punctul 1 din Directiva 2016/943, astfel încât autoritatea sau instanța judecătorească să verifice în mod autonom dacă există un secret comercial în sensul articolului 2 punctul 1 din Directiva 2016/943 și dacă informațiile furnizate de operator în sensul articolului 15 alineatul (1) din RGPD corespund faptelor?

b)      În cazul unui răspuns afirmativ: care sunt drepturile care trebuie, în orice caz, să fie acordate titularului dreptului de acces în sensul articolului 15 alineatul (1) litera (h) din RGPD, atunci când cerința privind protejarea drepturilor altor persoane prevăzută la articolul 15 alineatul (4) din RGPD, impune crearea cutiei negre menționate în a patra întrebare litera a)?

În ipoteza în care există o neconcordanță între informațiile care trebuie divulgate autorității sau instanței judecătorești și informațiile care trebuie divulgate titularului dreptului de acces în sensul articolului 15 alineatul (1) litera (h) din RGPD, în cazurile care au ca obiect o creare de profiluri, titularului dreptului de acces în sensul articolului 15 alineatul (1) litera (h) din RGPD trebuie să i se divulge, în orice caz, următoarele informații cu privire la prelucrarea concretă care îl privește pentru a‑i permite pe deplin să își protejeze drepturile care îi revin în temeiul articolului 22 alineatul (3) din RGPD:

–        comunicarea tuturor informațiilor, eventual [după ce au făcut obiectul unei pseudonimizări], în special cu privire la modalitatea prelucrării datelor persoanei vizate, care permite verificarea conformității cu RGPD;

–        punerea la dispoziție a datelor de intrare utilizate pentru crearea profilului;

–        parametrii și variabilele de intrare utilizate în stabilirea evaluării;

–        influența acestor parametri și variabile de intrare asupra evaluării calculate;

–        informații privind definirea parametrilor, respectiv a variabilelor de intrare;

–        explicarea motivului pentru care titularului dreptului de acces în sensul articolului 15 alineatul (1) litera (h) din RGPD i‑a fost atribuit un anumit rezultat al evaluării și prezentarea declarației care a fost asociată cu această evaluare;

–        enumerarea categoriilor de profiluri și furnizarea de explicații cu privire la declarația de evaluare care este asociată fiecăreia dintre categoriile de profiluri?

5)      Articolul 15 alineatul (4) din RGPD limitează în vreun fel întinderea informațiilor care trebuie furnizate în temeiul articolului 15 alineatul (1) litera (h) din RGPD?

În cazul unui răspuns afirmativ, în ce mod este limitat acest drept de acces prin articolul 15 alineatul (4) din RGPD și cum se determină întinderea acestei limitări în cazul respectiv?

6)      Articolul 4 alineatul (6) din [DSG], potrivit căruia «dreptul de acces al persoanei vizate, prevăzut la articolul 15 din RGPD, nu există în principiu față de un operator atunci când, prin furnizarea acestei informații, ar fi pus în pericol un secret comercial sau profesional al operatorului sau al unor terți» este compatibil cu cerințele prevăzute la articolul 15 alineatul (1) coroborat cu articolul 22 alineatul (3) din RGPD? În cazul unui răspuns afirmativ, în ce condiții există o astfel de compatibilitate?”

 Procedura în fața Curții

34      Prin decizia din 8 decembrie 2022, președintele Curții a suspendat prezenta procedură în așteptarea deciziei de finalizare a judecății în cauza C‑634/21, SCHUFA Holding ș.a. (Scoring).

35      În conformitate cu decizia președintelui Curții din 13 decembrie 2023, grefa Curții a notificat instanței de trimitere Hotărârea din 7 decembrie 2023, SCHUFA Holding ș.a. (Scoring) (C‑634/21, EU:C:2023:957), invitând‑o să îi indice dacă, ținând seama de această hotărâre, dorea să își mențină cererea de decizie preliminară.

36      Prin scrisoarea primită la grefa Curții la 29 ianuarie 2024, această instanță a arătat că își menține cererea de decizie preliminară, întrucât Hotărârea din 7 decembrie 2023, SCHUFA Holding ș.a. (Scoring) (C‑634/21, EU:C:2023:957), nu permitea să se răspundă la întrebările pe care le‑a adresat în prezenta cauză.

37      Prin decizia din 14 februarie 2024, președintele Curții a dispus, așadar, reluarea procedurii în prezenta cauză.

 Cu privire la întrebările preliminare

 Cu privire la prima și la a doua întrebare, precum și la a treia întrebare litera a)

38      Prin intermediul primei și al celei de a doua întrebări, precum și prin intermediul celei de a treia întrebări litera a), care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 15 alineatul (1) litera (h) din RGPD trebuie interpretat în sensul că, în cazul unui proces decizional automatizat incluzând crearea de profiluri în sensul articolului 22 alineatul (1) din acest regulament, persoana vizată poate solicita operatorului, cu titlu de „informații pertinente privind logica utilizată”, o explicație exhaustivă cu privire la procedura și la principiile aplicate în concret pentru a prelucra cu mijloace automatizate datele cu caracter personal referitoare la această persoană în scopul obținerii unui anumit rezultat, cum ar fi un profil de bonitate.

39      Potrivit unei jurisprudențe constante a Curții, în vederea interpretării unei dispoziții de drept al Uniunii, trebuie să se țină seama nu numai de termenii acesteia, ci și de contextul său și de obiectivele urmărite de reglementarea din care face parte această dispoziție (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 19, precum și jurisprudența citată).

40      În ceea ce privește, mai întâi, modul de redactare a articolului 15 alineatul (1) litera (h) din RGPD, trebuie arătat, pe de o parte, că accepțiunile noțiunii de „informații pertinente” în sensul acestei dispoziții, în diferitele sale versiuni lingvistice, sunt diferite, unele privilegiind, la fel ca versiunea în limba franceză, funcționalitatea („nuttige” în limba neerlandeză, „úteis” în limba portugheză) sau pertinența („pertinente” în limba română) informațiilor care trebuie furnizate, în timp ce altele insistă mai mult asupra importanței acestora („significativa” în limba spaniolă și „istotne” în limba polonă). În sfârșit, atât în versiunea în limba germană, cât și în cea în limba engleză a dispoziției menționate, termenul reținut („aussagekräftig” și, respectiv, „meaningful”) poate fi înțeles atât ca făcând referire la buna inteligibilitate a informațiilor menționate, cât și ca raportându‑se la o anumită calitate a acestora.

41      Or, diversitatea accepțiunilor reținute în diferitele versiuni lingvistice trebuie să fie înțeleasă în sensul unei complementarități a semnificațiilor expuse la punctul anterior, de care trebuie să se țină seama în interpretarea noțiunii de „informații pertinente privind logica utilizată”, în sensul articolului 15 alineatul (1) litera (h) din RGPD, astfel cum a arătat în esență domnul avocat general la punctul 65 din concluzii.

42      Pe de altă parte, având în vedere formularea sa generală, referirea în această dispoziție la „logica utilizată” într‑un proces decizional automatizat, care constituie obiectul „informațiilor pertinente” menționate, poate acoperi o gamă largă de „logici” de prelucrare a datelor cu caracter personal și a altor date în scopul obținerii, cu mijloace automatizate, a unui anumit rezultat. Această interpretare este confirmată de anumite versiuni lingvistice ale dispoziției menționate care utilizează termeni ce vizează, în mod complementar, diferite aspecte ale accepțiunii comune a noțiunii de „logică”. Astfel, de exemplu, în versiunile în limbile cehă și polonă se face referire la termenii „postupu” și, respectiv, „zasady”, care pot fi traduși prin „procedură” și „principii”.

43      Prin urmare, este necesar să se considere că modul de redactare a articolului 15 alineatul (1) litera (h) din RGPD vizează orice informație pertinentă referitoare la procedura și la principiile de prelucrare, cu mijloace automatizate, a datelor cu caracter personal în scopul obținerii unui anumit rezultat.

44      În ceea ce privește, în continuare, contextul în care se înscrie noțiunea de „informații pertinente privind logica utilizată” care figurează la articolul 15 alineatul (1) litera (h) din RGPD, trebuie subliniat în primul rând că aceste informații nu sunt decât o parte dintre cele vizate de dreptul de acces prevăzut la articolul amintit, acesta referindu‑se și la informațiile privind importanța și consecințele preconizate ale prelucrării în cauză pentru persoana vizată.

45      Deși aceste din urmă informații, care, potrivit Orientărilor privind procesul decizional individual automatizat și crearea de profiluri în sensul Regulamentului (UE) 2016/679, adoptate la 3 octombrie 2017 de Grupul de lucru pentru protecția datelor „Articolul 29” din Directiva 95/46, în versiunea lor revizuită și adoptată la 6 februarie 2018, pentru a fi pertinente și inteligibile, ar trebui să fie însoțite de „exemple reale și concrete”, nu fac obiectul întrebărilor adresate de instanța de trimitere, trebuie totuși să se țină seama de acestea ca element al contextului în care se înscrie noțiunea de „informații pertinente privind logica utilizată”.

46      În al doilea rând, având în vedere că noțiunea de „informații pertinente privind logica utilizată” figurează de asemenea la articolul 13 alineatul (2) litera (f) și la articolul 14 alineatul (2) litera (g) din RGPD, Curtea a constatat deja că, în cazul unui proces decizional automatizat în sensul articolului 22 alineatul (1) din acest regulament, dreptul de acces la astfel de informații consacrat la articolul 15 alineatul (1) litera (h) din acesta formează un întreg împreună cu obligațiile de informare suplimentare care se impun operatorului în temeiul acestui articol 13 alineatul (2) litera (f) și al acestui articol 14 alineatul (2) litera (g) din RGPD [a se vedea în acest sens Hotărârea din 7 decembrie 2023, SCHUFA Holding ș.a. (Scoring), C‑634/21, EU:C:2023:957, punctul 56].

47      În al treilea rând, după cum a arătat în esență domnul avocat general la punctele 58-60 din concluzii, în cadrul interpretării contextuale a drepturilor de acces prevăzute în cazul unui proces decizional automatizat, este necesar să se țină seama de jurisprudența Curții referitoare la cerințele pe care trebuie să le respecte operatorul în temeiul articolului 15 alineatul (3) din RGPD.

48      Astfel, este necesar să se țină seama printre altele de faptul că cerința privind transparența informațiilor comunicate prevăzută la articolul 12 alineatul (1) din RGPD se aplică tuturor datelor și informațiilor menționate la articolul 15 amintit, inclusiv celor legate de procesul decizional automatizat.

49      Pentru a garanta că persoana vizată este în măsură să înțeleagă pe deplin informațiile care îi sunt furnizate de operator, articolul 12 alineatul (1) menționat îl obligă pe acesta din urmă să ia măsuri adecvate printre altele pentru a furniza persoanei vizate aceste date și informații într‑un mod concis, transparent, inteligibil și ușor accesibil, utilizând un limbaj clar și simplu (a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 38).

50      Examinarea contextului în care se înscrie articolul 15 alineatul (1) litera (h) din RGPD confirmă astfel interpretarea care se desprinde din analiza termenilor acestei dispoziții, potrivit căreia „informațiile pertinente privind logica utilizată” într‑un proces decizional automatizat în sensul acestei dispoziții se referă la orice informație pertinentă privind procedura și principiile de prelucrare a datelor cu caracter personal în scopul de a obține cu mijloace automatizate un anumit rezultat, obligația de transparență impunând, de altfel, ca aceste informații să fie furnizate într‑un mod concis, transparent, inteligibil și ușor accesibil.

51      În ceea ce privește, în sfârșit, finalitățile RGPD, trebuie amintit că obiectivul acestui regulament constă printre altele în asigurarea unui nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului lor la protecția datelor cu caracter personal, consacrat la articolul 16 TFUE și garantat ca drept fundamental la articolul 8 din cartă, care completează dreptul la viața privată garantat la articolul 7 din aceasta [a se vedea în acest sens Hotărârea din 4 octombrie 2024, Schrems (Comunicare de date către publicul larg), C‑446/21, EU:C:2024:834, punctul 45 și jurisprudența citată].

52      Astfel, după cum se precizează de altfel în considerentul (11) al acestuia, RGPD are ca scop consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 33, precum și jurisprudența citată).

53      În ceea ce privește, mai precis, dreptul de acces prevăzut la articolul 15 din RGPD, din jurisprudența Curții reiese că acest drept trebuie să permită persoanei vizate să se asigure că datele cu caracter personal care o privesc sunt exacte și că sunt prelucrate în mod legal [Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 34, precum și Hotărârea din 26 octombrie 2023, FT (Copii din registrul medical), C‑307/22, EU:C:2023:811, punctul 73].

54      Acest drept de acces este necesar pentru a‑i permite persoanei vizate să își exercite, dacă este cazul, dreptul la rectificare, dreptul la ștergerea datelor („dreptul de a fi uitat”) și dreptul la restricționarea prelucrării, care îi sunt recunoscute la articolele 16, 17 și, respectiv, 18 din RGPD, dreptul la opoziție la prelucrarea datelor sale cu caracter personal prevăzut la articolul 21 din RGDP, precum și dreptul la o cale de atac și dreptul la despăgubiri, prevăzute la articolele 79 și, respectiv, 82 din RGPD (a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 35).

55      În special, în contextul specific al adoptării unei decizii bazate exclusiv pe o prelucrare automatizată, scopul principal al dreptului persoanei vizate de a obține informațiile prevăzute la articolul 15 alineatul (1) litera (h) din RGPD constă în a‑i permite să își exercite în mod eficient drepturile care îi sunt recunoscute la articolul 22 alineatul (3) din acest regulament, și anume acela de a‑și exprima punctul de vedere cu privire la această decizie și cel de a o contesta.

56      Astfel, dacă persoanele afectate de o decizie automatizată, inclusiv de o creare de profiluri, nu ar fi în măsură să înțeleagă motivele care au condus la această decizie înainte de a‑și exprima punctul de vedere sau de a o contesta, aceste drepturi nu ar putea, prin urmare, să își îndeplinească pe deplin scopul de a proteja respectivele persoane împotriva riscurilor specifice pentru drepturile și libertățile lor generate de prelucrarea automatizată a datelor lor cu caracter personal [a se vedea în acest sens Hotărârea din 7 decembrie 2023, SCHUFA Holding ș.a. (Scoring), C‑634/21, EU:C:2023:957, punctul 57].

57      În această privință, din considerentul (71) al RGPD reiese că, atunci când persoana vizată face obiectul unei decizii care se bazează exclusiv pe prelucrarea automatizată și care o afectează într‑o măsură semnificativă, această persoană trebuie să aibă dreptul de a obține o explicație cu privire la respectiva decizie. Așa cum a arătat domnul avocat general la punctul 67 din concluzii, este necesar, așadar, să se considere că articolul 15 alineatul (1) litera (h) din RGPD oferă persoanei vizate un drept veritabil la explicații cu privire la funcționarea mecanismului care stă la baza procesului decizional automatizat căreia i‑a făcut obiectul această persoană și cu privire la rezultatul la care a condus respectiva decizie.

58      Din examinarea finalităților RGPD și în special a celor ale articolului 15 alineatul (1) litera (h) din acesta reiese că dreptul de a obține „informații pertinente privind logica utilizată” într‑un proces decizional automatizat în sensul acestei dispoziții trebuie să fie înțeles ca un drept la explicarea procedurii și a principiilor aplicate în mod concret pentru a prelucra, cu mijloace automatizate, datele cu caracter personal ale persoanei vizate în scopul obținerii unui anumit rezultat, cum ar fi un profil de bonitate. Pentru a permite persoanei vizate să își exercite în mod eficient drepturile care îi sunt recunoscute de RGPD și în special de articolul 22 alineatul (3) din acesta, explicația respectivă trebuie să fie furnizată cu ajutorul unor informații pertinente și în mod concis, transparent, inteligibil și ușor accesibil.

59      Nu poate îndeplini aceste cerințe nici simpla comunicare a unei formule matematice complexe, precum un algoritm, nici descrierea detaliată a tuturor etapelor unui proces decizional automatizat, în măsura în care niciuna dintre aceste modalități nu ar constitui o explicație suficient de concisă și de inteligibilă.

60      Astfel, după cum reiese din cuprinsul paginii 28 din Orientările privind procesul decizional individual automatizat și crearea de profiluri în sensul Regulamentului (UE) 2016/679, menționate la punctul 45 din prezenta hotărâre, pe de o parte, operatorul ar trebui să găsească modalități simple pentru a informa persoana vizată despre raționamentul deciziei automatizate sau despre criteriile care au stat la baza acesteia. Pe de altă parte, RGPD impune ca operatorul menționat să furnizeze informații pertinente privind logica utilizată pentru această decizie, dar „nu în mod necesar [să ofere] o explicație complexă a algoritmilor utilizați sau [să prezinte] întregul algoritm”.

61      Așadar, „informațiile pertinente privind logica utilizată” într‑un proces decizional automatizat în sensul articolului 15 alineatul (1) litera (h) din RGPD trebuie să descrie procedura și principiile aplicate în mod concret, astfel încât persoana vizată să poată înțelege care dintre datele sale cu caracter personal au fost utilizate și în ce mod în procesul decizional automatizat în cauză, fără ca complexitatea operațiunilor care trebuie realizate în cadrul unui proces decizional automatizat să poată elibera operatorul de obligația sa de a furniza explicații.

62      În ceea ce privește în mod specific o creare de profiluri precum cea în discuție în litigiul principal, instanța de trimitere ar putea printre altele să considere ca fiind suficient de transparentă și de inteligibilă informarea persoanei vizate cu privire la măsura în care o variație la nivelul datelor cu caracter personal luate în considerare ar fi condus la un rezultat diferit.

63      În aceste condiții, mai trebuie precizat că, în ceea ce privește aspectul dacă informațiile furnizate trebuie să permită persoanei vizate să verifice exactitatea datelor cu caracter personal care o privesc pe care se întemeiază procesul decizional automatizat, dreptul de acces la datele menționate intră nu sub incidența literei (h) a alineatului (1) al articolului 15 din RGPD, ci a tezei introductive a aceluiași alineat, care garantează persoanei vizate că se poate asigura de exactitatea acestor date, astfel cum reiese din jurisprudența citată la punctul 53 din prezenta hotărâre.

64      În sfârșit, în ceea ce privește afirmația instanței de trimitere potrivit căreia informațiile furnizate de D & B lui CK în temeiul articolului 15 alineatul (1) litera (h) din RGPD sunt contrare situației de fapt, întrucât profilul „real” creat ar fi condus la concluzia că aceasta nu avea bonitate, deși informațiile menționate ar sugera contrariul, este necesar să se arate că, în cazul în care, potrivit acestei instanțe, neconformitatea astfel constatată rezultă din lipsa comunicării de către D & B lui CK a profilului realizat în privința sa pentru întreprinderea de telefonie mobilă care, pe această bază, a refuzat să încheie sau să reînnoiască un contract cu aceasta, ea ar trebui remediată prin intermediul dreptului de acces la profilul de bonitate care ar fi fost stabilit în acest mod. În această privință, din jurisprudența Curții reiese că datele cu caracter personal generate de operatorul însuși intră în domeniul de aplicare al articolului 14 din RGPD (a se vedea în acest sens Hotărârea din 28 noiembrie 2024, Másdi, C‑169/23, EU:C:2024:988, punctul 48).

65      În schimb, o explicație a diferențelor care există între rezultatul unui asemenea profil „real” creat, presupunând că este dovedit, și rezultatul comunicat de D & B lui CK și obținut, potrivit acestei societăți, prin intermediul unei „agregări echivalente” a datelor referitoare la CK s‑ar încadra într‑adevăr în „informațiile pertinente privind logica utilizată” pentru crearea de profiluri astfel realizată. În conformitate cu cele arătate la punctul 58 din prezenta hotărâre, D & B ar fi, așadar, obligată să explice în mod concis, transparent, inteligibil și ușor accesibil procedura și principiile în temeiul cărora a fost obținut rezultatul profilului „real” creat.

66      Din tot ceea ce precedă rezultă că este necesar să se răspundă la prima și la a doua întrebare, precum și la a treia întrebare litera a) că articolul 15 alineatul (1) litera (h) din RGPD trebuie interpretat în sensul că, în cazul unui proces decizional automatizat incluzând crearea de profiluri în sensul articolului 22 alineatul (1) din acest regulament, persoana vizată poate solicita operatorului, cu titlu de „informații pertinente privind logica utilizată”, ca acesta să îi explice, cu ajutorul unor informații pertinente și într‑un mod concis, transparent, inteligibil și ușor accesibil, procedura și principiile aplicate în mod concret pentru a prelucra cu mijloace automatizate datele cu caracter personal referitoare la această persoană în scopul obținerii unui anumit rezultat, cum ar fi un profil de bonitate.

 Cu privire la a treia întrebare literele b) și c), la a patra întrebare literele a) și b), precum și cu privire la a cincea și la a șasea întrebare

67      Prin intermediul celei de a treia întrebări literele b) și c), al celei de a patra întrebări literele a) și b), precum și al celei de a cincea și al celei de a șasea întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 15 alineatul (1) litera (h) din RGPD trebuie interpretat în sensul că, în situația în care operatorul consideră că informațiile care trebuie furnizate persoanei vizate în conformitate cu această dispoziție conțin date ale unor terți protejate prin acest regulament sau secrete comerciale în sensul articolului 2 punctul 1 din Directiva 2016/943, respectivul operator este obligat să comunice aceste informații pretins protejate autorității de supraveghere sau instanței competente, cărora le revine obligația de a pondera drepturile și interesele în cauză pentru a stabili întinderea dreptului de acces al persoanei vizate prevăzut la articolul 15 din RGPD.

68      În această privință, trebuie arătat că, în temeiul considerentului (4) al RGPD, dreptul la protecția datelor cu caracter personal nu este un drept absolut și trebuie să fie echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Astfel, RGPD respectă toate drepturile fundamentale, precum și libertățile și principiile recunoscute în cartă, care sunt consacrate în tratate [Hotărârea din 26 octombrie 2023, FT (Copii din dosarul medical), C‑307/22, EU:C:2023:811, punctul 59 și jurisprudența citată].

69      În plus, considerentul (63) al acestui regulament enunță că dreptul oricărei persoane vizate de a avea acces la datele cu caracter personal colectate care o privesc nu ar trebui să aducă atingere drepturilor sau libertăților altora, inclusiv secretului comercial sau proprietății intelectuale, și în special drepturilor de autor care asigură protecția programelor software.

70      Or, aceste considerații nu ar trebui să conducă la a refuza orice comunicare de informații persoanei vizate. Astfel, articolul 23 alineatul (1) litera (i) din respectivul regulament prevede în esență că o restricționare a întinderii obligațiilor și a drepturilor prevăzute printre altele la articolul 15 din acesta nu este posibilă decât atunci când o atare restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică pentru a asigura protecția drepturilor și libertăților altora.

71      În raport cu dreptul conex de a obține o copie, consacrat la articolul 15 alineatul (4) din RGPD, Curtea a arătat deja că aplicarea sa nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale, în special dreptului de autor care asigură protecția programelor software (a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 43).

72      În acest context, Curtea a arătat că, în caz de conflict între, pe de o parte, exercitarea dreptului de acces deplin și complet la datele cu caracter personal și, pe de altă parte, drepturile sau libertățile altora, va fi necesar să se pună în balanță drepturile și libertățile în discuție. În măsura posibilului, trebuie să se aleagă modalitățile de comunicare a datelor cu caracter personal care nu aduc atingere drepturilor sau libertăților altora, ținând seama de faptul că aceste considerații nu trebuie „să aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate”, după cum rezultă din considerentul (63) al RGPD (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 44).

73      În ceea ce privește modul în care dreptul de acces consacrat la articolul 15 alineatul (1) litera (h) din RGPD poate fi pus în aplicare astfel încât să respecte drepturile și libertățile altora, trebuie amintit că, potrivit jurisprudenței, o instanță națională poate aprecia că trebuie să îi fie comunicate datele cu caracter personal ale părților sau ale terților pentru a putea să pondereze, în deplină cunoștință de cauză și cu respectarea principiului proporționalității, interesele implicate. Această apreciere poate, dacă este cazul, să o determine să autorizeze divulgarea completă sau parțială către partea adversă a datelor cu caracter personal care i‑au fost comunicate, în cazul în care consideră că o asemenea divulgare nu depășește ceea ce este necesar pentru a garanta beneficiul efectiv al drepturilor conferite justițiabililor de articolul 47 din cartă (Hotărârea din 2 martie 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punctul 58).

74      Așa cum a arătat domnul avocat general la punctul 94 din concluzii, această jurisprudență poate fi transpusă pe deplin situației în care informațiile care trebuie furnizate persoanei vizate în temeiul dreptului de acces garantat de articolul 15 alineatul (1) litera (h) din RGPD pot aduce atingere drepturilor și libertăților altora, în special în măsura în care conțin date cu caracter personal ale unor terți protejate de regulamentul menționat sau un secret comercial, în sensul articolului 2 punctul 1 din Directiva 2016/943. Și în această ipoteză, informațiile menționate trebuie să fie comunicate autorității de supraveghere sau instanței competente, cărora le revine obligația de a pondera drepturile și interesele în cauză pentru a stabili întinderea dreptului de acces al persoanei vizate la datele cu caracter personal care o privesc.

75      Având în vedere necesitatea unei asemenea stabiliri de la caz la caz, articolul 15 alineatul (1) litera (h) din RGPD se opune printre altele aplicării unei dispoziții precum articolul 4 alineatul (6) din DSG, care exclude, în principiu, dreptul de acces al persoanei vizate prevăzut la articolul 15 din RGPD atunci când acest acces ar compromite un secret comercial sau un secret profesional al operatorului sau al unui terț. În această privință, trebuie amintit că un stat membru nu poate să stabilească în mod definitiv rezultatul ponderării de la caz la caz a drepturilor și a intereselor în cauză, impuse de dreptul Uniunii [a se vedea în acest sens Hotărârea din 7 decembrie 2023, SCHUFA Holding ș.a. (Scoring), C‑634/21, EU:C:2023:957, punctul 70, precum și jurisprudența citată].

76      Având în vedere tot ceea ce precedă, este necesar să se răspundă la a treia întrebare literele b) și c), la a patra întrebare literele a) și b), precum și la a cincea și la a șasea întrebare că articolul 15 alineatul (1) litera (h) din RGPD trebuie interpretat în sensul că, în situația în care operatorul consideră că informațiile care trebuie furnizate persoanei vizate în conformitate cu această dispoziție conțin date ale unor terți protejate prin acest regulament sau secrete comerciale în sensul articolului 2 punctul 1 din Directiva 2016/943, respectivul operator este obligat să comunice aceste informații pretins protejate autorității de supraveghere sau instanței competente, cărora le revine obligația de a pondera drepturile și interesele în cauză pentru a stabili întinderea dreptului de acces al persoanei vizate prevăzut la articolul 15 din RGPD.

 Cu privire la cheltuielile de judecată

77      Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera întâi) declară:

1)      Articolul 15 alineatul (1) litera (h) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretat în sensul că,

în cazul unui proces decizional automatizat incluzând crearea de profiluri în sensul articolului 22 alineatul (1) din acest regulament, persoana vizată poate solicita operatorului, cu titlu de „informații pertinente privind logica utilizată”, ca acesta să îi explice, cu ajutorul unor informații pertinente și întrun mod concis, transparent, inteligibil și ușor accesibil, procedura și principiile aplicate în mod concret pentru a prelucra cu mijloace automatizate datele cu caracter personal referitoare la această persoană în scopul obținerii unui anumit rezultat, cum ar fi un profil de bonitate.

2)      Articolul 15 alineatul (1) litera (h) din Regulamentul 2016/679

trebuie interpretat în sensul că,

în situația în care operatorul consideră că informațiile care trebuie furnizate persoanei vizate în conformitate cu această dispoziție conțin date ale unor terți protejate prin acest regulament sau secrete comerciale în sensul articolului 2 punctul 1 din Directiva (UE) 2016/943 a Parlamentului European și a Consiliului din 8 iunie 2016 privind protecția knowhowului și a informațiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării și divulgării ilegale, respectivul operator este obligat să comunice aceste informații pretins protejate autorității de supraveghere sau instanței competente, cărora le revine obligația de a pondera drepturile și interesele în cauză pentru a stabili întinderea dreptului de acces al persoanei vizate prevăzut la articolul 15 din regulamentul amintit.

Semnături

*      Limba de procedură: germana.

Top

Redacția Lex24
Drept la Sursa!
Articole Urmărește
Categorii: Politica internă a UE
Abonati-va
Anunțați despre
0 Discuții
Cel mai vechi
Cel mai nou Cele mai votate
Feedback-uri inline
Vezi toate comentariile
0
Opinia dvs. este importantă, adăugați un comentariu.x

Raport

Conține informații înșelătoare sau false
Hărțuire sau comportament de intimidare
Conține materiale pentru adulți sau sensibile
Conține conținut abuziv sau disprețuitor
Conține spam, conținut fals sau potențial malware

Blocare membru?

Vă rugăm să confirmați că doriți să blocați acest membru.

Nu vei mai putea:

  • Vedeți postările membrilor blocați
  • Menționați acest membru în postări
  • Invitați acest membru în grupuri
  • Trimite mesaj acestui membru
  • Adăugați acest membru ca conexiune

Vă rugăm să rețineți: Această acțiune va elimina și acest membru din conexiunile dvs. și va trimite un raport administratorului site-ului. Vă rugăm să acordați câteva minute pentru finalizarea acestui proces.

Raport

Ai raportat deja acest lucru .