7 декабря 2023 года Европейский суд (ECJ) вынес два знаковых решения против немецкого агентства кредитного скоринга SCHUFA. Оба решения значительно усиливают права субъекта данных в соответствии с Общим регламентом защиты данных (GDPR) в нескольких основных и процессуальных аспектах.

Во-первых, с материальной точки зрения, в деле C-634/21 Суд полностью отменил бизнес-модель компании, заявив, что решения о кредитном рейтинге представляют собой автоматизированное принятие решений и, следовательно, должны подлежать человеческому надзору. Более того, в совместных делах C-26/22 и C-64/22 Суд запретил частным агентствам хранить данные дольше, чем государственный реестр.

Вместо этого в этом докладе рассматриваются одинаково важные последствия решений C-26/22 и C-64/22 о процессуальных правах GDPR. Там Европейский суд рассмотрел важные вопросы, касающиеся статуса жалобы на GDPR и ее судебного рассмотрения. Прежде всего, Суд подтвердил, что вопреки мнению некоторых органов по защите данных (DPA), жалоба лица на защиту данных в DPA не является петицией. Кроме того, Суд подчеркнул право на полный судебный пересмотр любого юридически обязательного решения DPA. Это может привести к фундаментальным изменениям в обеспечении соблюдения GDPR в ЕС.

Предыстория

Статья 8(3) Хартии Европейского Союза об основных правах (CFREU) возлагает надзор за соблюдением правил защиты данных на независимый орган – DPA. DPA являются единственными органами национального уровня, находящимися под защитой CFREU, и поэтому занимают особое положение в законодательстве ЕС. GDPR подтверждает это, подтверждая высокие стандарты полной независимости DPA. DPA также обладают обширным набором корректирующих, следственных и надзорных полномочий.

Одной из задач DPA является рассмотрение жалоб, поданных субъектами данных или их представителями. При рассмотрении жалоб DPA обязаны соблюдать GDPR и свои национальные административные процедуры. В результате их практика фрагментирована и различается в разных странах ЕС. Например, в некоторых государствах-членах ЕС заявитель не имеет статуса стороны разбирательства. Эти различия вызывают дополнительные проблемы в трансграничных делах, когда две или более юрисдикции могут конфликтовать из-за разного понимания понятий административного права, таких как «жалоба», «рассмотрение» или «сторона судебного разбирательства». Эти понятия выходят за рамки GDPR и представляют собой проблему для DPA с точки зрения их адекватной гармонизации.

В соответствии с GDPR каждый субъект данных имеет право подать жалобу в DPA, а также право на эффективное судебное средство правовой защиты против юридически обязательного решения DPA относительно него, что также применяется в случаях нерассмотрения жалобы или ее нерассмотрения. своевременное информирование о ее ходе. Помимо государственного механизма возмещения ущерба, субъект данных имеет параллельное право на эффективное судебное средство правовой защиты от нарушений GDPR в национальных судах.

Решение вынесено на основании предварительного запроса, поданного немецким судом по делам двух субъектов данных: UF (Дело C-26/22) и AB (C-644/22). Они оба участвовали в производстве по делу о несостоятельности в Германии, и впоследствии суды предоставили им досрочное освобождение от оставшихся долгов. Следовательно, в соответствии с законодательством Германии, информация об их неплатежеспособности была удалена из государственного реестра через шесть месяцев.

Однако немецкое агентство кредитного рейтинга SCHUFA уже внесло эту информацию из публичного реестра в свою базу данных. SCHUFA, действуя на основании кодекса поведения, одобренного DPA, намеревалась хранить информацию о несостоятельности гораздо дольше, а именно три года после регистрации. SCHUFA заявила, что имеет законный интерес к этой информации, поскольку ее деловая практика предполагает оценку кредитоспособности физических лиц на основе их финансовой истории.

УФ и АБ обратились в SCHUFA с просьбой аннулировать решения о погашении долга ранее, согласно сроку хранения публичного реестра. SCHUFA отказалась это сделать. В результате субъекты данных подали жалобы в DPA земли Гессен.

DPA отклонило жалобы и признало обработку данных SCHUFA законной. Он утверждал, что компания могла бы сохранить данные, если бы это было необходимо для целей обработки, которая в данном случае заключалась в оценке кредитоспособности UF и AB.

Субъекты данных обжаловали решение DPA в административном суде Висбадена в соответствии со статьей 78 GDPR. Они утверждали, что DPA было обязано в рамках своих обязанностей и полномочий принять соответствующие меры в отношении SCHUFA и распорядиться об удалении данных.

Жалоба на защиту данных не является петицией
""