Ritkán fordul elő, hogy az Európai Unió Bírósága („EUB”) két, egymással párhuzamosan futó előzetes döntéshozatali eljárásban ugyanazt az adatkezelési tevékenységet vizsgálja. Ez a helyzet állt elő 2021 októberében, miután a németországi Wiesbaden közigazgatási bírósága („Verwaltungsgericht, VG Wiesbaden”, „Bíróság”) két különböző érintett hitelfelvevő, mint felperesek, és Hessen tartomány adatvédelmi hatósága, mint alperes közötti két folyamatban lévő peres eljárást felfüggesztett. Mindkét eljárás a hesseni adatvédelmi hatóság által az érintett hitelfelvevők kérelmére a SCHUFA Holding AG-val szemben indult adatvédelmi hatósági eljárásban hozott döntés felülvizsgálatára indult, és a VG Wiesbaden mindkét ügyben előzetes döntéshozatali eljárás lefolytatása iránti kérelmet terjesztett elő az EUB számára. Ha az EUB követi az előterjesztő bíróság érvelését, az lényeges változásokat hozhat az automatizált hitelminősítés és a „scoring” GDPR megfelelőségével kapcsolatban – Magyarországon is.
1. A hitelminősítés „scoring”-rendszere
A SCHUFA Holding AG („SCHUFA”) egy Németországban működő gazdasági-információs magánvállalkozás és hitelminősítő, aki olyan, gazdaságilag releváns adatokat gyűjt magánszemélyekről és vállalkozásokról, amik lehetővé teszik hitelképességük felmérését és értékelését. A SCHUFA közel 9000 szerződő partnere között találhatók bankok, egyéb hitelintézetek, biztosítótársaságok, közműszolgáltatók, és mobilszolgáltatók is. A SCHUFA ezektől a szerződő partnerektől és nyilvánosan elérhető adatbázisokból gyűjt – magánszemélyek esetében személyes adatnak minősülő – adatokat, és ezen szerződő partnerek részére szolgáltat később, azok kérelmére információt, pl. a kapott adatok alapján összeállított hitelminősítést, illetve a fogyasztóról/vállalkozásról rendelkezésére álló egyéb releváns információt.
A hitelfelvevő hitelképességére vonatkozó adatokat a SCHUFA egy pontozási rendszerben is felhasználja, amely az egyes fogyasztókhoz hitelképesség alapján egy számértéket rendel („scoring”).
Ez az automatizált hitelminősítő rendszer a scoring-értéket két lépésből álló matematikai-statisztikai eljárással számítja ki:
- Személyes profil létrehozása. Ennek során a SCHUFA egy adott személyt hasonló jellemzőkkel rendelkező, meghatározott magatartást tanúsító más személyekkel sorol egy csoportba, melynek segítségével előre jelezhető az adott személy jövőbeni magatartása. Az alapul fekvő logika: hasonló jellemzőkkel bíró személyek adott körülmények között X módon jártak el, így valószínű, hogy a velük hasonló jellemzőkkel bíró személy is X módon fog eljárni.
- Scoring-érték kiszámítása az egyes személyes profilokkal kapcsolatban. Ez az érték előre jelzi adott személy jövőbeni magatartásának valószínűségét, például, hogy mekkora valószínűséggel fizeti vissza a hitelét.
Ha például a SCHUFA részére egy szerződő bank által szolgáltatott fogyasztó hiteleire, tranzakcióira vonatkozó adatok között nincs szabálytalanság, az pozitívan hat a fogyasztó értékelésére és magas scoring-értékhez vezet. Ha azonban a fogyasztó nem rendezte időben a tartozását, az csökkenti a scoring-értéket, másrészt a negatív eseményekre vonatkozó információkról a szerződő partnerek három évvel a kötelezettségek rendezése után is kérhetnek információt.
A személyes adatok pontozási rendszer keretén belül, scoring-érték számítás céljából való kezelésének a 2016/679 (EU) általános adatvédelmi rendelet („GDPR”) szerinti jogalapja a SCHUFA adatkezelési tájékoztatója szerint a GDPR 6. cikk (1) bekezdés f) pontja szerinti harmadik fél, azaz az információt igénylő szerződő partner jogos érdeke. A jogos érdek fennállását a scoring-értéket igénylő szerződő partnernek valószínűsítenie kell a SCHUFA részére, mielőtt a SCHUFA továbbítja számára a scoring-értéket. Egy hitelintézetnek meg kell jelölnie például, hogy az érintett hitelfelvevő hitelszerződést kíván-e kötni vagy folyószámlát kíván-e nyitni.
2021. SCHUFA 1 eljárás, VG Wiesbaden 2021. augusztus 31-i ítélet, EUB C-552/21
1. A kifogásolt adatkezelés
- Az érintett korábban egyéni vállalkozóként fizetésképtelenségi eljárást kezdeményezett, amely során három év elteltével, 2013-ban a fizetésképtelenségi eljárást lefolytató bíróság engedélyezte a tartozáselengedést.
- Az érintett pénzügyi helyzetére vonatkozó adatok egy német szövetségi tartományok által jogszabályi kötelezettség alapján közzétett, a fizetésképtelenséggel kapcsolatos hirdetmények közhiteles nyilvántartásának részeként voltak nyilvánosak, a SCHUFA ebből szerezte meg azokat.
- 2020 decemberében a hesseni adatvédelmi hatósághoz intézett panaszában az érintett GDPR 21. cikke alapján tiltakozott egy korábbi, vele szembeni tartozáselengedésre vonatkozó személyes adatok SCHUFA általi kezelése ellen. A SCHUFA a panasz benyújtásának időpontjában is tárolta a negatív információk miatt az érintett magánéletére és szakmai előmenetelére nézve is hátrányos személyes adatokat.
2. Az adatvédelmi hatóság álláspontja – az adatkezelés jogszerű
A hesseni adatvédelmi hatóság nem állapított meg jogsértést. Érvelése szerint a SCHUFA a tartozáselengedés időszakán túlmenően is tárolhat tartozáselengedésre vonatkozó negatív információkat. A hatóság elfogadta a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek jogszerűségét: a hitelképesség-vizsgálat során jogszerű, ha valamely személycsoport egy részének magatartása alapján valószínűségeket állapítanak meg a szintén e személycsoporthoz tartozó más személyek, így az érintett magatartására vonatkozóan.
3. A VG Wiesbaden álláspontja és az EUB elé utalt kérdések
Az érintett által benyújtott fellebbezés alapján indult bírósági eljárás során a VG Wiesbaden a SCHUFA tevékenységeihez kapcsolódóan a közhiteles nyilvántartásokból szerzett személyes adatok további, eredeti céltól eltérő adatkezelési célra való kezelésének, és az ehhez kapcsolódóan megállapított adatmegőrzési időknek a jogszerűségét vizsgálta, és két kérdést intézett az EUB felé.
- Közhiteles nyilvántartásban feltüntetett személyes adatok további kezelése a magánvállalkozás saját adatbázisában
A hitelképességi adatok SCHUFA általi nyilvántartásának létjogosultságát vizsgálta a VG Wiesbaden azzal a kérdéssel, hogy lehet-e közhiteles nyilvántartásból származó személyes adatokat „párhuzamos magánadatbázisokban” konkrét indok nélkül pusztán abból a célból tárolni, hogy esetleges jövőbeni megkeresés esetén tájékoztatást lehessen adni azokról szerződő partnerek számára.
Jelen esetben a közhiteles adatbázis a szövetségi tartományok által közzétételi kötelezettségük körében üzemeltetetett www.insolvenzbekanntmachungen.de weboldal. A fizetésképtelenséggel kapcsolatos hirdetmények közhiteles nyilvántartásának szövetségi tartományok általi, jogszabályban meghatározott ideig történő vezetését a német fizetésképtelenségi törvény („Insolvenzverordnung”) írja elő, a személyes adatok kezelésének jogalapja tehát a GDPR 6. cikk (1) bekezdése c) pontja szerinti jogszabályi kötelezettség teljesítése – de csak a szövetségi tartományok számára.
Ezzel szemben a fenti közhiteles nyilvántartásból kigyűjtött személyes adatokból magánvállalkozások által összeállított adatbázisok esetén az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés f) pontja szerint a szerződő partner, mint harmadik fél információhoz fűződő jogos gazdasági érdeke. A VG Wiesbaden szerint nem jogszerű, hogy egy gazdasági-információs vállalkozás közvetlenül pénzt keres azzal, ha tárolja és egy hitelképesség-vizsgálat során értékeli az adatokat, amely további párhuzamos adattárolásra, így az adattakarékosság megsértésére ösztönzi.
A személyes adatok magánadatbázisban való további kezelésével sérül továbbá az érintett GDPR 17. cikk szerinti törléshez való joga – az érintettnek ugyanis több különböző helyen kell törlés iránti kérelmet beadni. (A GDPR 17. cikk (3) bekezdés b) pontja szerint a közhiteles nyilvántartást üzemeltető adatkezelővel szemben a törlési jog érvényesíthető, amennyiben az adatkezelés az adatkezelőre alkalmazandó jogi kötelezettség teljesítése céljából szükséges.)
- Közhiteles nyilvántartásból nyert adatok adatmegőrzési ideje a magánvállalkozás saját adatbázisában
A német fizetésképtelenségi törvény (Insolvenzverordnung) szerint a fizetésképtelenségi eljárással kapcsolatos adatok, köztük a tartozáselengedésre vonatkozó adatoknak a fizetésképtelenséggel kapcsolatos hirdetmények közhiteles nyilvántartásában való közzétételét legkésőbb a fizetésképtelenségi eljárás jogerős megszüntetését követő 6 hónap elteltével meg kell szüntetni, és az adatokat törölni kell.
A SCHUFA gyakorlata az, hogy ebből a közhiteles nyilvántartásból származó adatokat kigyűjti, majd 3 évig a saját adatbázisában megőrzi. Ezért az a helyzet áll elő, hogy egyes hitelképességre vonatkozó személyes adatokat 6 hónap elteltével törölni kell a közhiteles nyilvántartásból, a gazdasági információs magánvállalkozások azonban az erre vonatkozó adatokat további három évig tárolhatják és azokról kérés esetén tájékoztatás adhatnak. A VG Wiesbaden szerint az ilyen túlzó adattárolási idő ellentétes a jogalkotói akarattal, amely a fizetésképtelenséghez kötődő esetleges hátrányos következmények tartós fennállását rövidebb időtartam megszabásával kívánta elkerülni. A VG Wiesbaden ezért azon az állásponton volt, hogy a magánvállalkozásoknak is legfeljebb a közhiteles nyilvántartásra vonatkozó tárolási és törlési határidőket kellene alkalmazniuk.
A SCHUFA által is alkalmazott 3 éves határidőt egy szektorális, GDPR 40. cikke alapján jóváhagyott magatartási kódex tartalmazza. (A GDPR 40. cikke lehetővé teszi, hogy az egy kategóriába tartozó adatkezelőket (jelen esetben hitelminősítő vállalkozások) képviselő szervezetek magatartási kódexeket dolgozzanak ki, amelyben meghatározzák az adott szektorban tevékeny adatkezelők GDPR-megfelelésének követelményeit.) Ezzel kapcsolatban a VG Wiesbaden azt a további kérdést tette fel az EUB-nak, hogy ha a SCHUFA adatkezelésének jogalapja a harmadik fél jogos érdeke, kötelező-e érdekmérlegelés lefolytatása akkor is, ha a magatartási kódex írja elő a hosszabb adattárolási időt. A kérdésben a VG Wiesbaden elutasította a hesseni adatvédelmi hatóság és a SCHUFA érveit, mely szerint azáltal, hogy a magatartási kódexek szabványos törlési határidőket írnak elő, egyfajta „adattároláshoz való jogot” alapítanak. A VG Wiesbaden álláspontja szerint a magatartási kódex megfelelő orientációt nyújt, de nem váltja ki az egyedi érdekmérlegelési kötelezettséget.
SCHUFA 2 eljárás, VG Wiesbaden 2021. október 1-i ítélet, EUB C-634/21
1. A kifogásolt adatkezelés
- A SCHUFA által az érintettre vonatkozó scoring-értékről kapott tájékoztatást követően egy hitelintézet megtagadta az érintettnek való hitelnyújtást. (Az érintett nem azonos a SCHUFA 1 eljárásban érintett hitelfelvevővel.)
- Az érintett ezt követően kérte a SCHUFA-tól a rá vonatkozó, és álláspontja szerint téves bejegyzés törlését, valamint a róla tárolt adatokhoz való hozzáférés biztosítását.
- A SCHUFA válaszul megosztotta az érintettel, hogy a hitelképességével kapcsolatban 86 %-os scoring-értéket állapított meg, és nagyvonalakban ismertette a scoring-érték számításának módját. Arról azonban üzleti titokra hivatkozással nem adott felvilágosítást, hogy mely információt milyen súllyal vesz figyelembe a scoring rendszer a számítás során.
- A SCHUFA tájékoztatta továbbá az érintettet, hogy a SCHUFA a scoring-érték formájában pusztán információt bocsát a szerződéses partnerei rendelkezésére, a szerződéskötésre vonatkozó tulajdonképpeni döntést azonban ez utóbbiak hozzák meg. Az érintett ezt követően fordult a hesseni adatvédelmi hatósághoz.
2. Az adatvédelmi hatóság álláspontja – a SCHUFA nem hoz a GDPR 22. cikk (1) bekezdés alá eső automatizált adatkezelésen alapuló döntést
A hesseni adatvédelmi hatóság, és az eljárásába beavatkozóként részt vevő SCHUFA érvelése szerint a SCHUFA nem végez GDPR 22. cikk (1) bekezdés alá eső automatizált adatkezelésen alapuló döntéshozatalt, mert ő pusztán a score-értéket számítja és nyújtja a hitelintézetnek, és ez utóbbi az az adatkezelő, aki az automatizált adatkezelésen alapuló döntést meghozza. Magának az automatizált adatkezelésnek a tényét a SCHUFA sem vitatta, ugyanakkor, tekintettel arra, hogy a GDPR 22. cikk (1) bekezdése nem magát az automatizált adatkezelést, profilalkotást tiltja (71. preambulumbekezdés alapján ennek altípusa a kredit-scoring), csak az ennek alapján hozott döntést, a SCHUFA eljárására nem alkalmazható a GDPR 22. cikke.
3. A VG Wiesbaden álláspontja és az EUB elé utalt kérdés
Az érintett fellebbezésére, a hesseni adatvédelmi hatóság határozata ellen indult bírósági eljárásban a VG Wiesbaden az adatvédelmi hatósággal ellentétes véleményt fogalmazott meg. A VG Wiesbaden érvelése szerint a GDPR 22. cikkének (1) bekezdése alkalmazandó az olyan tevékenységekre, amely során (i) a SCHUFA a személyes adatokat valamely természetes személy meghatározott jövőbeli magatartására vonatkozó valószínűségi érték megállapítása érdekében automatizáltan összeállítja; (ii) abból a célból, hogy ezen értéket harmadik felek részére továbbítsa; (iii) a harmadik fél és az érintett közötti szerződéses jogviszony létesítésére, teljesítésére vagy megszüntetésére vonatkozó döntéséhez. A GDPR 71. preambulumbekezdés első mondata a GDPR 22. cikkének (1) bekezdése értelmében vett döntések példájaként pont egy online hitelkérelem automatikus elutasítását említi.
A VG Wiesbaden egy kérdést utalt előzetes döntéshozatalra az EUB-hoz:
Adatvédelmileg egybefüggő folyamat-e az automatizált adatkezelésen alapuló döntéshozatal?
Részletesebben: az érintettnek hitel jövőbeli törlesztésével kapcsolatos képességére vonatkozó scoring-érték automatizált megállapítása automatizált adatkezelésen alapuló döntéshozatalnak minősül-e, amennyiben (i) önmagában a scoring-érték megállapítása az érintettre nem jár közvetlen joghatással, és nem érinti őt jelentős mértékben, (ii) ugyanakkor rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené, amennyiben ezen scoring-értéket az adatkezelő egy harmadik fél részére továbbítja, és e harmadik fél az érintettel fennálló szerződéses jogviszony létrehozására, teljesítésére vagy megszüntetésére vonatkozó döntését elsősorban ezen értékre alapozza.
- A VG Wiesbaden elfogadta a GDPR 22. cikkében található „adatkezelés” és „döntés” megkülönböztetést, és azt, hogy „helyzetek, amelyekben egy információs vállalkozás score-értéket állapít meg, „adatkezelésnek”, nem pedig az általános adatvédelmi rendelet 22. cikkének (1) bekezdése értelmében vett „döntésnek” minősülnek.
- A VG Wiesbaden szerint ugyanakkor a jelen helyzetben a score-érték információs vállalkozás általi megállapítása nem csupán az adatkezelő harmadik fél döntését előkészítő profilalkotásnak, hanem éppen a GDPR 22. cikkének (1) bekezdése értelmében vett önálló „döntésnek” minősül.
- A VG Wiesbaden ezen álláspontja kialakítása során figyelembe vette a SCHUFA scoringgal kapcsolatban kialakított piaci gyakorlatot is: ugyan az adatkezelő harmadik felek saját döntést hozhatnak az érintettel való szerződéskötésről és annak módjáról, mivel a döntési folyamat e szakaszában elvileg még lehetséges a humán-vezérelt egyedi döntéshozatal, a gyakorlatban a gazdasági információs vállalkozások által továbbított score-érték olyan jelentős mértékben meghatározza e döntést, hogy a score-érték lényegében kiváltja az adatkezelő harmadik fél önálló döntését. Az adatkezelő harmadik félnek az érintettel való szerződéskötéséről és annak módjáról végső soron a gazdasági információs vállalkozás által az automatizált adatkezelés alapján megállapított score-érték dönt. Kétségtelen, hogy az adatkezelő harmadik félnek nem kell a döntését kizárólag a score-értéktől függővé tennie, a piacon azonban mégis ez a jellemző.
- A VG Wiesbaden további érve amellett, hogy a dogmatikailag kettébontott automatizált adatkezelésen alapuló döntéshozatalt a gyakorlatban a SCHUFA „egyfázisos” adatkezelésének tekintse az, hogy amennyiben a GDPR 22. cikk (1) bekezdése szerinti döntéshozatal a hitelintézetnek tudható be, joghézag alakul ki, mert a hitelintézetnek a GDPR 22. cikk (2) bekezdése g) pontja alapján tájékoztatási kötelezettsége keletkezne az alkalmazott logikát illetően, amit viszont a SCHUFA már vele sem oszt meg. Így a hitelintézet elméletileg sem tudna ennek a tájékoztatási kötelezettségnek eleget tenni.
Várható gyakorlati következmények
A két előzetes döntéshozatali eljárásban döntés legkorábban 2022 nyarán várható.
Ha az EUB követi az előterjesztő bíróság érvelését, az lényeges változásokat hozhat a GDPR megfelelőség teljesítéséhez – nem csak Németországban.
- Ha egy szervezet nyilvános forrásokból gyűjtött adatok alapján hoz létre saját adatbázist (ún. „másodlagos adatbázis”), akkor előzetes érdekmérlegelést kell végezzen, hogy ez jogszerű-e. Különös figyelmet kell fordítani az adatmegőrzési idő jogszerűségének és szükségességének megállapítására, ha a személyes adatok létrehozott saját adatbázisban az eredeti adatbázisból való törlést követően is megőrzésre kerülnek.
- Biztosítani kell az érintetti jogok érvényesülését, ha az adatkezelő a személyes adatokat nem közvetlenül az érintettől gyűjtötte, különös tekintettel a GDPR 17. cikkében foglalt törléshez való jogra, valamint a GDPR 21. cikke szerinti tiltakozáshoz való jogra.
- Ha az automatizált adatkezelésen alapuló döntéshozatali folyamatban több szervezet is érintett, meg kell vizsgálniuk, hogy milyen felelősség terheli őket az adatvédelmi megfelelőség tekintetében. Ennek során figyelemmel kell lenni a döntéshozatal egyes lépéseire: például, hogy a döntéshozatal során történik-e tényleges további mérlegelés, vagy a döntéshozatal kizárólag az automatizált adatkezelés eredményén (pl. számítógép által generált érték) alapul-és pusztán az automatizált adatkezelés eredményének megerősítésére korlátozódik. Az utóbbi esetekben közvetlenül a profilalkotást végző szervezet köteles biztosítani a GDPR 22 cikkében foglalt érintetti jogok érvényesülését, pl. tájékoztatást az automatizált döntéshozatal alapjául fekvő módszerről.