WYROK TRYBUNAŁU (pierwsza izba)
z dnia 4 października 2024 r. (*)
Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Publikacja w rejestrze handlowym umowy spółki zawierającej dane osobowe – Dyrektywa (UE) 2017/1132 – Nieobowiązkowe dane osobowe – Brak zgody osoby, której dane dotyczą – Prawo do usunięcia danych – Szkoda niemajątkowa
W sprawie C-200/23
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Varhoven administrativen sad (najwyższy sąd administracyjny, Bułgaria) postanowieniem z dnia 21 marca 2023 r., które wpłynęło do Trybunału w dniu 28 marca 2023 r., w postępowaniu:
Agentsia po vpisvaniyata
przeciwko
OL,
przy udziale:
Varhovna administrativna prokuratura,
TRYBUNAŁ (pierwsza izba),
w składzie: A. Arabadjiev, prezes izby, T. von Danwitz (sprawozdawca), P. G. Xuereb, A. Kumin i I. Ziemele, sędziowie,
rzecznik generalny: L. Medina,
sekretarz: R. Stefanova-Kamisheva, administratorka,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 7 marca 2024 r.,
rozważywszy uwagi, które przedstawili:
– w imieniu Agentsia po vpisvaniyata – I. D. Ivanov i D. S. Miteva, których wspierała Z. N. Mandazhieva, advokat,
– w imieniu OL – ona sama, wspierana przez I. Stoyneva i T. Tsoneva, advokati,
– w imieniu rządu bułgarskiego – T. Mitova i R. Stoyanov, w charakterze pełnomocników,
– w imieniu rządu niemieckiego – J. Möller i P.-L. Krüger, działający w charakterze pełnomocników,
– w imieniu Irlandii – M. Browne, Chief State Solicitor, A. Joyce, M. Lane i M. Tierney, w charakterze pełnomocników, których wspierał I. Boyle Harper, BL,
– w imieniu rządu włoskiego – G. Palmieri, w charakterze pełnomocnika, którą wspierała G. Natale, avvocato dello Stato,
– w imieniu rządu polskiego – B. Majczyna, w charakterze pełnomocnika,
– w imieniu rządu fińskiego – A. Laine, w charakterze pełnomocnika,
– w imieniu Komisji Europejskiej – A. Bouchagiar, C. Georgieva, H. Kranenborg i L. Malferrari, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznik generalnej na posiedzeniu w dniu 30 maja 2024 r.,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 3 i 4 dyrektywy 2009/101/WE Parlamentu Europejskiego i Rady z dnia 16 września 2009 r. w sprawie koordynacji gwarancji, jakie są wymagane w państwach członkowskich od spółek w rozumieniu art. 48 akapit drugi traktatu [WE], w celu uzyskania ich równoważności, dla zapewnienia ochrony interesów zarówno wspólników, jak i osób trzecich (Dz.U. 2009, L 258, s. 11), a także art. 4, 6, 17, 58 i 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).
2 Wniosek ten został złożony w ramach sporu między Agentsia po vpisvaniyata (agencją rejestrową, Bułgaria, zwaną dalej „agencją”) a OL, w przedmiocie odmowy wykreślenia przez tę agencję niektórych dotyczących OL danych osobowych zawartych w umowie spółki opublikowanej w rejestrze handlowym.
Ramy prawne
Prawo Unii
Dyrektywa (UE) 2017/1132
3 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/1132 z dnia 14 czerwca 2017 r. w sprawie niektórych aspektów prawa spółek (Dz.U. 2017, L 169, s. 46) uchyliła i zastąpiła dyrektywę 2009/101, z dniem jej wejścia w życie, czyli w dniu 20 lipca 2017 r.
4 Motywy 1, 7, 8 i 12 dyrektywy 2017/1132 mają następujące brzmienie:
„(1) Dyrektywa [2009/101] i dyrektywa [Parlamentu Europejskiego i Rady 2012/30/UE z dnia 25 października 2012 r. w sprawie koordynacji gwarancji, jakie są wymagane w państwach członkowskich od spółek w rozumieniu art. 54 akapit drugi [TFUE], w celu uzyskania ich równoważności, dla ochrony interesów zarówno wspólników, jak i osób trzecich w zakresie tworzenia spółki akcyjnej, jak również utrzymania i zmian jej kapitału (Dz.U. 2012, L 315, s. 74)] zostały kilkakrotnie znacząco zmienione […]. Dla zachowania przejrzystości i zrozumiałości należy je ujednolicić.
[…]
(7) Koordynacja przepisów prawa krajowego dotyczących jawności, ważności zobowiązań spółek akcyjnych, spółek z ograniczoną odpowiedzialnością i spółek komandytowo-akcyjnych oraz nieważność umów takich spółek ma szczególne znaczenie, w szczególności w celu zapewnienia ochrony interesów osób trzecich.
(8) Podstawowe dokumenty spółki powinny być jawne w celu umożliwienia osobom trzecim zapoznania się z ich treścią oraz innymi informacjami dotyczącymi spółki, w szczególności z danymi osób, które są uprawnione do nabywania praw i zaciągania zobowiązań w imieniu spółki.
[…]
(12) Transgraniczny dostęp do informacji o spółce powinien zostać ułatwiony poprzez umożliwienie, oprócz obowiązkowego ujawnienia dokonywanego w jednym z języków dopuszczonych w państwie członkowskim spółki, dobrowolnej rejestracji wymaganych dokumentów i informacji w dodatkowych językach. Osoby trzecie, działające w dobrej wierze, powinny móc polegać na tłumaczeniach tych dokumentów i informacji”.
5 Zawarty w sekcji 1 rozdziału II tytułu I dyrektywy 2017/1132, zatytułowanej „Utworzenie spółki akcyjnej”, art. 4 tej dyrektywy, zatytułowany „Obowiązkowe informacje zawarte w statucie, akcie założycielskim spółki lub odrębnych dokumentach”, stanowi:
„Co najmniej następujące informacje zawiera się w statucie spółki, akcie założycielskim lub odrębnym dokumencie ogłaszanym zgodnie z procedurą ustanowioną przez przepisy każdego z państw członkowskich zgodnie z art. 16:
[…]
i) tożsamość osób fizycznych lub prawnych lub spółek, które podpisały lub w imieniu których podpisano statut lub akt założycielski, a jeśli utworzenie spółki nie jest jednoczesne, tożsamość osób fizycznych lub prawnych lub spółek, które podpisały lub w imieniu których zostały podpisane projekty statutu lub aktu założycielskiego;
[…]”.
6 Sekcja 1 rozdziału III tytułu I wspomnianej dyrektywy, zatytułowana „Przepisy ogólne”, obejmuje art. 13–28 tej dyrektywy.
7 Zgodnie z art. 13 tej dyrektywy, zatytułowanym „Zakres”:
„Środki koordynacji ustanowione w niniejszej sekcji stosuje się do przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich dotyczących rodzajów spółek wymienionych w załączniku II”.
8 Artykuł 14 dyrektywy 2017/1132, zatytułowany „Dokumenty i informacje podlegające ujawnieniu przez spółki”, stanowi:
„Państwa członkowskie podejmują niezbędne środki w celu zapewniania obowiązkowego ujawniania przez spółki co najmniej następujących dokumentów i informacji:
a) akt założycielski oraz statut, jeśli są one oddzielnymi aktami;
b) zmiany dokumentów, o których mowa w lit. a), w tym przedłużenia czasu trwania spółki;
c) skonsolidowany tekst zmienionego aktu założycielskiego lub statutu w jego aktualnym brzmieniu po każdej zmianie aktu założycielskiego lub statutu;
d) powołanie, zakończenie sprawowania funkcji, jak też dane osób, które jako organ przewidziany w prawie albo członkowie takiego organu:
i) są upoważnione do reprezentowania spółki wobec osób trzecich oraz do reprezentowania jej w postępowaniu sądowym; z ujawnionych informacji musi wynikać, czy osoby upoważnione mogą reprezentować spółkę samodzielnie czy są zobowiązane reprezentować ją łącznie;
ii) uczestniczą w zarządzaniu, nadzorowaniu lub kontrolowaniu spółki;
[…]”.
9 Artykuł 15 ust. 1 tej dyrektywy, zatytułowany „Zmiany w dokumentach i informacjach”, stanowi:
„Państwa członkowskie podejmują działania wymagane do zapewnienia, aby wszelkie zmiany w dokumentach i informacjach, o których mowa w art. 14, były wprowadzane do właściwego rejestru, o którym mowa w art. 16 ust. 1 akapit pierwszy, i były ujawniane zgodnie z art. 16 ust. 3 i 5, co do zasady w terminie 21 dni od otrzymania kompletnej dokumentacji dotyczącej tych zmian, w tym, w stosownych przypadkach, od sprawdzenia zgodności z prawem wymaganego na mocy przepisów krajowych w celu włączenia do dokumentacji”.
10 Zgodnie z art. 16 wspomnianej dyrektywy, zatytułowanym „Ujawnianie danych w rejestrze”:
„1. W każdym państwie członkowskim w rejestrze centralnym, rejestrze handlowym lub rejestrze spółek (zwanym dalej »rejestrem«) prowadzona jest dokumentacja dla każdej ze spółek, które są w nim zarejestrowane.
[…]
3. Wszelkie dokumenty i informacje, które mają zostać ujawnione na podstawie art. 14, znajdują się w dokumentacji lub są wpisywane do rejestru; w każdym przypadku przedmiot wpisu do rejestru zostaje wykazany w dokumentacji.
Państwa członkowskie zapewniają możliwość składania przez spółki, oraz inne osoby i organy, od których wymaga się dokonywania lub towarzyszenia przy dokonywaniu powiadomień, wszystkich dokumentów oraz informacji, które mają zostać ujawnione na podstawie art. 14, w formie elektronicznej. Ponadto państwa członkowskie mogą wymagać, aby wszystkie lub niektóre kategorie spółek składały wszystkie lub niektóre rodzaje takich dokumentów i informacji w formie elektronicznej.
Wszystkie dokumenty i informacje, o których mowa w art. 14, składane w formie papierowej lub elektronicznej, przechowuje się w dokumentacji lub wpisuje do rejestru w formie elektronicznej. W tym celu państwa członkowskie zapewniają przetwarzanie w rejestrze wszystkich takich dokumentów i informacji składanych w formie papierowej na formę elektroniczną.
[…]
4. Kopię całości lub części każdego dokumentu lub każdej informacji, określonych w art. 14, udostępnia się na wniosek. Wnioski mogą być składane w rejestrze w formie papierowej lub elektronicznej zgodnie z wyborem wnioskodawcy.
[…]
5. Ujawnienie dokumentów i informacji, o których mowa w ust. 3, dokonuje się poprzez ogłoszenie ich treści w całości lub w części, bądź w formie odniesienia do dokumentu, włączonego do dokumentacji lub wpisanego do rejestru, w biuletynie krajowym wskazanym do tego celu przez państwo członkowskie. Krajowy biuletyn przeznaczony do tego celu może być prowadzony w formie elektronicznej.
Państwa członkowskie mogą zdecydować o zastąpieniu publikacji w biuletynie krajowym środkami o jednakowym skutku, co obejmuje przynajmniej wykorzystanie systemu, w którym ujawnione dane dostępne będą w porządku chronologicznym za pomocą centralnej platformy elektronicznej.
6. Spółka może powoływać się wobec osób trzecich na dokumenty i informacje dopiero po ich ujawnieniu zgodnie z ust. 5, chyba że spółka udowodni, że osoby trzecie były o nich poinformowane.
[…]
7. Państwa członkowskie podejmują niezbędne środki w celu uniknięcia wszelkich niezgodności między treścią ujawnioną zgodnie z ust. 5 a treścią w rejestrze lub dokumentacji.
Jednakże w przypadku niezgodności nie można powoływać się wobec osób trzecich na tekst ujawniony zgodnie z ust. 5; osoby te mogą jednak powołać się na ujawnioną treść, chyba że spółka wykaże, iż osobom takim znana była treść włączona do dokumentacji lub wpisana do rejestru.
[…]”.
11 Artykuł 21 dyrektywy 2017/1132, zatytułowany „Język ujawnienia oraz tłumaczenie ujawnianych dokumentów i informacji”, stanowi:
„1. Dokumenty i informacje, które mają zostać ujawnione na podstawie art. 14, zostają sporządzone i złożone do dokumentacji w jednym z języków dopuszczonych przez zasady językowe stosowane w państwie członkowskim, w którym prowadzona jest dokumentacja, o której mowa w art. 16 ust. 1.
2. Oprócz obowiązkowego ujawnienia, o którym mowa w art. 16, państwa członkowskie dopuszczają dobrowolne ujawnianie zgodnie z art. 16 tłumaczeń dokumentów i informacji, o których mowa w art. 14, w dowolnym języku lub językach urzędowych Unii [Europejskiej].
Państwa członkowskie mogą wymagać, aby tłumaczenia takich dokumentów i informacji były poświadczone.
Państwa członkowskie podejmują środki niezbędne w celu ułatwienia dostępu osobom trzecim do ujawnionych dobrowolnie tłumaczeń.
3. Oprócz obowiązkowego ujawnienia, o którym mowa w art. 16, oraz dobrowolnego ujawnienia przewidzianego w ust. 2 niniejszego artykułu, państwa członkowskie mogą dopuścić ujawnienie danych dokumentów i informacji zgodnie z art. 16 w dowolnym innym języku.
[…]
4. W przypadku rozbieżności między dokumentami i informacjami ujawnionymi w językach urzędowych rejestru a dobrowolnie ujawnionym tłumaczeniem, na to ostatnie nie można powoływać się wobec osób trzecich. […]”.
12 Zgodnie z art. 161 tej dyrektywy, zatytułowanym „Ochrona danych osobowych”:
„Przetwarzanie danych osobowych, które odbywa się w kontekście niniejszej dyrektywy, podlega przepisom dyrektywy 95/46/WE [Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31)]”.
13 Artykuł 166 wspomnianej dyrektywy, zatytułowany „Uchylenie”, stanowi:
„Dyrektywy [2009/101 i 2012/30] tracą moc […]
Odesłania do uchylonych dyrektyw odczytuje się jako odesłania do niniejszej dyrektywy zgodnie z tabelą korelacji w załączniku IV”.
14 W załączniku II do dyrektywy 2017/1132 wymieniono formy spółek, o których mowa w art. 7 ust. 1, art. 13, art. 29 ust. 1, art. 36 ust. 1, art. 67 ust. 1 i art. 119 ust. 1 lit. a) tej dyrektywy, w tym, w przypadku Bułgarii, OOD.
15 Zgodnie z tabelą korelacji zawartą w załączniku IV do dyrektywy 2017/1132, po pierwsze, art. 2, 2a, 3, 4 i 7a dyrektywy 2009/101 odpowiadają, odpowiednio, art. 14, 15, 16, 21 i 161 dyrektywy 2017/1132. Po drugie, art. 3 dyrektywy 2012/30 odpowiada art. 4 dyrektywy 2017/1132.
Dyrektywa (UE) 2019/1151
16 Dyrektywa 2017/1132 została zmieniona w szczególności dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/1151 z dnia 20 czerwca 2019 r. zmieniającą dyrektywę (UE) 2017/1132 w odniesieniu do stosowania narzędzi i procesów cyfrowych w prawie spółek (Dz.U. 2019, L 186, s. 80), która weszła w życie w dniu 31 lipca 2019 r. i stanowi w art. 1, zatytułowanym „Zmiany dyrektywy [2017/1132]”:
„W dyrektywie [2017/1132] wprowadza się następujące zmiany:
[…]
6) art. 16 otrzymuje brzmienie:
»Artykuł 16
Ujawnianie danych w rejestrze
1. W każdym państwie członkowskim w rejestrze centralnym, rejestrze handlowym lub rejestrze spółek (zwanym dalej »rejestrem«) prowadzona jest dokumentacja dla każdej ze spółek, które są w nim zarejestrowane.
[…]
2. Wszelkie dokumenty i informacje, które mają zostać ujawnione na podstawie art. 14, znajdują się w dokumentacji, o której mowa w ust. 1 niniejszego artykułu, lub są bezpośrednio wpisywane do rejestru, przy czym w każdym przypadku przedmiot wpisu do rejestru zostaje odnotowany w dokumentacji.
Wszystkie dokumenty i informacje, o których mowa w art. 14, niezależnie od formy, w jakiej są składane, przechowuje się w dokumentacji w rejestrze lub wpisuje bezpośrednio do rejestru w formie elektronicznej. Państwa członkowskie zapewniają możliwie jak najszybsze przetwarzanie w rejestrze wszystkich dokumentów i informacji składanych w formie papierowej na formę elektroniczną.
[…]
3. Państwa członkowskie zapewniają, aby ujawnienie dokumentów i informacji, o których mowa w art. 14, następowało poprzez ich udostępnienie publiczne w rejestrze. Ponadto państwa członkowskie mogą również wymagać publikacji niektórych lub wszystkich dokumentów oraz informacji w biuletynie krajowym wskazanym do tego celu lub równoważnymi środkami. […]
4. Państwa członkowskie przyjmują niezbędne środki w celu uniknięcia niezgodności między danymi zawartymi w rejestrze a danymi zawartymi w przedłożonej dokumentacji.
Państwa członkowskie, które wymagają publikacji dokumentów i informacji w biuletynie krajowym lub na centralnej platformie elektronicznej, przyjmują niezbędne środki w celu uniknięcia niezgodności między danymi ujawnionymi zgodnie z ust. 3 a danymi opublikowanymi w biuletynie krajowym lub na platformie.
W przypadku niezgodności, o których mowa w niniejszym artykule, wiążące są dokumenty i informacje udostępnione w rejestrze.
5. Spółka może powoływać się wobec osób trzecich na dokumenty i informacje, o których mowa w [ust. 4], dopiero po ich ujawnieniu zgodnie z ust. 3 niniejszego artykułu, chyba że udowodni, że osoby trzecie o nich wiedziały.
[…]
6. Państwa członkowskie zapewniają, aby wszystkie dokumenty i informacje składane w ramach tworzenia spółki, rejestracji oddziału lub ich składania przez spółkę lub oddział były przechowywane w rejestrach w formacie nadającym się do odczytu maszynowego i umożliwiającym wyszukiwanie lub jako dane ustrukturyzowane«.
7) dodaje się artykuł w brzmieniu:
»Artykuł 16a
Dostęp do ujawnionych informacji
1. Państwa członkowskie zapewniają, aby kopie całości lub jakiejkolwiek części dokumentów i informacji, o których mowa w art. 14, można było uzyskać z rejestru na wniosek […]
[…]«
19) art. 161 otrzymuje brzmienie:
»Artykuł 161
Ochrona danych osobowych
Przetwarzanie danych osobowych, które odbywa się w kontekście niniejszej dyrektywy, podlega [RODO]«”.
17 Zgodnie z art. 2 dyrektywy 2019/1151, zatytułowanym „Transpozycja”:
„1. Państwa członkowskie wprowadzają w życie przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy do dnia 1 sierpnia 2021 r. […]
2. Niezależnie od ust. 1 niniejszego artykułu państwa członkowskie wprowadzają w życie przepisy ustawowe, wykonawcze i administracyjne niezbędne do zapewnienia zgodności z […] art. 1 ust. 6 niniejszej dyrektywy, w odniesieniu do art. 16 ust. 6 dyrektywy [2017/1132], do dnia 1 sierpnia 2023 r.
3. Na zasadzie odstępstwa od ust. 1 państwa członkowskie, które napotkają szczególne trudności w transpozycji niniejszej dyrektywy, mogą skorzystać z możliwości przedłużenia terminu określonego w ust. 1 o maksymalnie rok. […]
[…]”.
RODO
18 Motywy 26, 32, 40, 42, 43, 50, 85, 143 i 146 RODO mają następujące brzmienie:
„(26) Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. […] Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. […]
[…]
(32) Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. […] Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. […]
[…]
(40) Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
[…]
(42) Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. […] Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
(43) Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne […]
[…]
(50) Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. W takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych. […]
[…]
(85) Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. […]
[…]
(143) […] każda osoba fizyczna lub prawna powinna mieć prawo do skutecznego środka ochrony prawnej przed właściwym sądem krajowym wobec decyzji organu nadzorczego wywołującej skutki prawne wobec tej osoby. Taka decyzja może dotyczyć w szczególności wykonywania przez organ nadzorczy uprawnień do prowadzenia postępowań wyjaśniających, uprawnień naprawczych i do wydawania zezwoleń lub oddalania lub odrzucania skarg. Prawo do skutecznego środka ochrony prawnej przed sądem nie dotyczy jednak niewiążących prawnie środków przyjętych przez organy nadzorcze, takich jak wydawane przez nie opinie czy zalecenia. […]
[…]
(146) […] Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. […] Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody. […]”.
19 Artykuł 4 RODO, zatytułowany „Definicje”, stanowi:
„Na użytek niniejszego rozporządzenia:
1) »dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
[…]
7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
[…]
9) »odbiorca« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
[…]
11) »zgoda« osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
[…]”.
20 Artykuł 5 RODO, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:
„1. Dane osobowe muszą być:
[…]
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami […] (»ograniczenie celu«);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);
[…]
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.
21 Zgodnie z art. 6 RODO, zatytułowanym „Zgodność przetwarzania z prawem”:
„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
[…]
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
[…]
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
[…]
3. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:
a) w prawie Unii; lub
b) w prawie państwa członkowskiego, któremu podlega administrator.
Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.
[…]”.
22 Artykuł 17 RODO, zatytułowany „Prawo do usunięcia danych (»prawo do bycia zapomnianym«)”, stanowi:
„1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
[…]
3. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
[…]
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
[…]”.
23 Artykuł 21 ust. 1 RODO ma następujące brzmienie:
„Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń”.
24 Artykuł 58 RODO stanowi:
„1. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:
[…]
2. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
[…]
3. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie wydawania zezwoleń i uprawnienia doradcze:
[…]
b) wydawanie, z własnej inicjatywy lub na wniosek, opinii przeznaczonych dla parlamentu narodowego, rządu państwa członkowskiego lub – zgodnie z prawem państwa członkowskiego – innych instytucji i organów oraz ogółu społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych;
[…]
4. Wykonywanie uprawnień powierzonych organowi nadzorczemu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom – w tym prawu do skutecznego środka ochrony prawnej przed sądem i rzetelnego procesu, określonym w prawie Unii i prawie państwa członkowskiego zgodnie z Kartą praw podstawowych [Unii Europejskiej (zwaną dalej „Kartą”)].
5. Każde państwo członkowskie przewiduje w swoich przepisach, że jego organ nadzorczy jest uprawniony do wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia niniejszego rozporządzenia oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów niniejszego rozporządzenia.
6. Każde państwo członkowskie może przewidzieć w swoich przepisach, że jego organowi nadzorczemu przysługują poza uprawnieniami określonymi w ust. 1, 2 i 3 także inne uprawnienia. Wykonywanie tych uprawnień nie może utrudniać skutecznego stosowania przepisów rozdziału VII”.
25 Zgodnie z art. 82 RODO, zatytułowanym „Prawo do odszkodowania i odpowiedzialność”:
„1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
[…]”.
26 Artykuł 94 RODO stanowi:
„1. Dyrektywa [95/46] zostaje uchylona ze skutkiem od dnia 25 maja 2018 r.
2. Odesłania do uchylonej dyrektywy należy traktować jako odesłania do niniejszego rozporządzenia. […]”.
Prawo bułgarskie
Ustawa o rejestrach
27 Artykuł 2 Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (ustawy o rejestrze handlowym i rejestrze osób prawnych niemających celu zarobkowego) (DV nr 34 z dnia 25 kwietnia 2006 r.), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanej dalej „ustawą o rejestrach”), stanowi:
„(1) Rejestr handlowy i rejestr osób prawnych niemających celu zarobkowego stanowią wspólną elektroniczną bazę danych zawierającą okoliczności wpisane na podstawie prawa oraz dokumenty publicznie udostępnione na podstawie prawa dotyczące przedsiębiorców i oddziałów przedsiębiorców zagranicznych, osób prawnych niemających celu zarobkowego oraz oddziałów osób prawnych niemających celu zarobkowego.
(2) Okoliczności i dokumenty, o których mowa w ust. 1, są publicznie udostępniane, z pominięciem informacji stanowiących dane osobowe w rozumieniu art. 4 pkt 1 [RODO], z wyjątkiem informacji, które należy publicznie udostępnić na podstawie ustawy”.
28 Artykuł 3 tej ustawy stanowi:
„Rejestr handlowy i rejestr osób prawnych niemających celu zarobkowego są prowadzone przez [agencję], związaną z Ministar na pravosadieto [ministrem sprawiedliwości, Bułgaria]”.
29 Zgodnie z art. 6 ust. 1 wspomnianej ustawy:
„Każdy przedsiębiorca i każda osoba prawna niemająca celu zarobkowego są zobowiązani do złożenia wniosku o wpis, odpowiednio, do rejestru handlowego i do rejestru osób prawnych niemających celu zarobkowego poprzez zgłoszenie okoliczności, których wpis jest wymagany, i przedstawienie dokumentów, które należy udostępnić publicznie”.
30 Artykuł 11 tej ustawy ma następujące brzmienie:
„(1) Rejestr handlowy i rejestr osób prawnych niemających celu zarobkowego są publicznie dostępne. Każdy ma prawo do swobodnego i nieodpłatnego dostępu do bazy danych stanowiącej rejestry.
(2) [Agencja] zapewnia rejestrowany dostęp do akt przedsiębiorcy lub osoby prawnej niemającej celu zarobkowego”.
31 Artykuł 13 ust. 1, 2, 6 i 9 ustawy o rejestrach stanowi:
„(1) Wpisu, wykreślenia i publicznego udostępnienia dokonuje się na podstawie formularza wniosku.
(2) Wniosek zawiera:
1. dane dotyczące wnioskodawcy;
[…]
3. wskazanie okoliczności podlegającej wpisowi, wpis, którego wykreślenia dotyczy wniosek, lub dokument, który ma zostać publicznie udostępniony;
[…]
(6) [D]o wniosku należy załączyć dokumenty lub, w stosownym przypadku, akt, które mają zostać publicznie udostępnione zgodnie z wymogami prawa. Dokumenty przedkłada się w oryginale, odpisie uwierzytelnionym przez wnioskodawcę lub odpisie uwierzytelnionym przez notariusza. Wnioskodawca przedkłada również uwierzytelnione odpisy dokumentów, które mają zostać publicznie udostępnione w rejestrze handlowym, w których dane osobowe inne niż te wymagane przez prawo zostały utajnione.
[…]
(9) W przypadku podania we wniosku lub w załączonych do niego dokumentach danych osobowych niewymaganych przez prawo uznaje się, że osoby, które je podały, wyraziły zgodę na ich przetwarzanie przez [agencję] i na ich publiczne udostępnienie.
[…]”.
Kodeks handlowy
32 Artykuł 101 pkt 3 Targovski zakon (kodeksu handlowego) (DV nr 48 z dnia 18 czerwca 1991 r.), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanego dalej „kodeksem handlowym”), stanowi, że umowa spółki musi wskazywać „nazwisko, nazwę firmy oraz unikalny numer identyfikacyjny wspólników”.
33 Zgodnie z art. 119 kodeksu handlowego:
„(1) Wpis spółki do rejestru handlowego wymaga:
1. przedstawienia umowy spółki, która jest podawana do publicznej wiadomości;
[…]
(2) Dane, o których mowa w pkt 1 […], są wpisywane do rejestru […]
[…]
(4) W celu zmiany lub uzupełnienia umowy spółki w rejestrze handlowym należy przedłożyć, celem publicznego udostępnienia, odpis tej umowy zawierający wszystkie zmiany i uzupełnienia, uwierzytelniony przez organ uprawniony do reprezentowania spółki”.
Rozporządzenie nr 1 w sprawie prowadzenia, przechowywania i dostępu do rejestru handlowego i rejestru osób prawnych niemających celu zarobkowego
34 Artykuł 6 Naredba no 1 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel (rozporządzenia nr 1 w sprawie prowadzenia, przechowywania i dostępu do rejestru handlowego i rejestru osób prawnych niemających celu zarobkowego) z dnia 14 lutego 2007 r. (DV nr 18 z dnia 27 lutego 2007 r.), przyjętego przez Ministar na pravosadieto (ministra sprawiedliwości), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym, stanowi:
„Wpis i wykreślenie z rejestru handlowego i rejestru osób prawnych niemających celu zarobkowego odbywa się na podstawie formularza wniosku zgodnie z załącznikami [zawierającymi formularze szczególne]. Publiczne udostępnianie dokumentów w rejestrze handlowym i w rejestrze osób prawnych niemających celu zarobkowego odbywa się na podstawie formularza wniosku zgodnie z załącznikami [zawierającymi formularze szczególne]”.
Postępowanie główne i pytania prejudycjalne
35 OL jest wspólniczką „Praven Shtit Konsulting” OOD, spółki z ograniczoną odpowiedzialnością prawa bułgarskiego, która w dniu 14 stycznia 2021 r. została wpisana do rejestru handlowego w następstwie przedstawienia umowy spółki z dnia 30 grudnia 2020 r., podpisanej przez wspólników tej spółki (zwanej dalej „rozpatrywaną umową spółki”).
36 Umowa ta, zawierająca nazwisko, imię, numer identyfikacyjny, numer dowodu tożsamości, datę i miejsce wydania tego dowodu, a także adres OL i jej podpis, została podana do publicznej wiadomości przez agencję w przedstawionej formie.
37 W dniu 8 lipca 2021 r. OL złożyła do agencji wniosek o usunięcie jej danych osobowych ze wspomnianej umowy spółki, uściślając, że jeśli przetwarzanie tych danych odbywało się na podstawie jej zgody, to wycofuje ją.
38 Wobec braku odpowiedzi agencji OL wystąpiła do Administrativen sad Dobrich (sądu administracyjnego w mieście Dobricz, Bułgaria), który w wyroku z dnia 8 grudnia 2021 r. stwierdził nieważność milczącej odmowy usunięcia przez agencję wspomnianych danych i przekazał sprawę tej agencji do ponownego rozpatrzenia.
39 Wykonując ten wyrok, a także analogiczny wyrok dotyczący drugiego wspólnika, który podjął takie same działania, pismem z dnia 26 stycznia 2022 r. agencja wskazała, że aby wniosek OL o usunięcie danych osobowych został uwzględniony, należy przedłożyć agencji uwierzytelniony odpis rozpatrywanej umowy spółki, w której należy utajnić dane osobowe wspólników, z wyjątkiem danych osobowych wymaganych prawem.
40 W dniu 31 stycznia 2022 r. OL wystąpiła ponownie do Administrativen sad Dobrich (sądu administracyjnego w mieście Dobricz), żądając stwierdzenia nieważności tego pisma oraz zasądzenia od agencji odszkodowania za szkodę niemajątkową wyrządzoną jej tym pismem, naruszającym jej prawa wynikające z RODO.
41 W dniu 1 lutego 2022 r., przed otrzymaniem zawiadomienia o tej skardze, agencja dokonała z urzędu wykreślenia numeru identyfikacyjnego, danych dotyczących dowodu osobistego oraz adresu OL, lecz nie wykreśliła jej nazwiska, imienia i podpisu.
42 Wyrokiem z dnia 5 maja 2022 r. Administrativen sad Dobrich (sąd administracyjny w mieście Dobricz) stwierdził nieważność pisma z dnia 26 stycznia 2022 r., a także zasądził na podstawie art. 82 RODO od agencji, z tytułu poniesienia przez OL szkody niemajątkowej, odszkodowanie na rzecz OL w wysokości 500 lewów bułgarskich (BGN) (około 255 EUR), wraz z ustawowymi odsetkami. Zgodnie z tym wyrokiem, po pierwsze, szkoda ta polegała na negatywnych doświadczeniach psychicznych i emocjonalnych OL, a mianowicie strachu i niepokoju wobec ewentualnych nadużyć, a także braku możliwości działania i rozczarowaniu w odniesieniu do niemożności ochrony jej danych osobowych. Po drugie, wspomniana szkoda ma wynikać z tego pisma, które spowodowało naruszenie prawa do usunięcia danych ustanowionego w art. 17 ust. 1 RODO, a także niezgodne z prawem przetwarzanie jej danych osobowych zawartych w rozpatrywanej umowie spółki podanej do publicznej wiadomości.
43 Agencja wniosła skargę kasacyjną na ten wyrok do sądu odsyłającego – Varhoven administrativen sad (najwyższego sądu administracyjnego, Bułgaria).
44 Zdaniem tego sądu agencja podnosi, że jest nie tylko administratorem danych, lecz również odbiorcą danych osobowych przekazanych w ramach procedury wpisu spółki „Praven Shtit Konsulting”. Ponadto agencja nie otrzymała żadnego odpisu rozpatrywanej umowy spółki, w którym utajniono by dane osobowe OL, które nie miały być podawane do publicznej wiadomości, mimo że zwróciła się o to przed wpisem tej spółki do rejestru handlowego. Tymczasem brak takiego odpisu nie może sam w sobie stanowić przeszkody dla wpisania spółki handlowej do tego rejestru. Wynika to z opinii nr 01-116(20)/01.02.2021 r. krajowego organu nadzorczego, Komisia za zashtita na lichnite danni (komisji ds. ochrony danych osobowych, Bułgaria), przedłożonej na podstawie art. 58 ust. 3 lit. b) RODO, do której odnosi się agencja. Wspomniany sąd zauważa, że zdaniem OL agencja, jako administrator danych, nie może nałożyć na inne osoby obowiązku usunięcia danych osobowych z rejestru, ponieważ zgodnie z orzecznictwem krajowym opinia ta nie jest zgodna z przepisami RODO.
45 Sąd odsyłający dodaje, że w świetle tego większościowego orzecznictwa krajowego konieczne wydaje się wyjaśnienie wymogów tego rozporządzenia. W szczególności sąd ten zastanawia się nad tym, jak należy pogodzić z jednej strony prawo do ochrony danych osobowych a z drugiej strony przepisy gwarantujące jawność i dostęp do niektórych aktów spółek, uściślając w szczególności, że wyrok z dnia 9 marca 2017 r., Manni (C-398/15, EU:C:2017:197), nie umożliwia rozwiązania trudności interpretacyjnych powstałych w sytuacji rozpatrywanej w postępowaniu głównym.
46 W tych okolicznościach Varhoven administrativen sad (najwyższy sąd administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy można uznać, że art. 4 ust. 2 dyrektywy [2009/101] nakłada na państwo członkowskie obowiązek zezwolenia na ujawnienie umowy spółki podlegającej rejestracji na podstawie art. 119 [kodeksu handlowego], która – oprócz nazwisk wspólników obowiązkowo podlegających ujawnieniu na podstawie art. 2 ust. 2 [ustawy o rejestrach] – zawiera również ich inne dane osobowe? Przy udzielaniu odpowiedzi na to pytanie istotne jest uwzględnienie, że [agencja] jest instytucją publiczną, przeciwko której, zgodnie z utrwalonym orzecznictwem Trybunału Sprawiedliwości, można powoływać się na przepisy dyrektywy mające bezpośredni skutek (wyrok z dnia 7 września 2006 r., Vassallo, C-180/04, EU:C:2006:518, pkt 26 i przytoczone tam orzecznictwo).
2) Na wypadek udzielenia odpowiedzi twierdzącej na poprzednie pytanie: czy możliwe jest stwierdzenie, że w sytuacji stanowiącej przedmiot sporu w postępowaniu głównym przetwarzanie danych osobowych dokonywane przez [agencję] jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi danych w rozumieniu art. 6 [ust.] 1 lit. e) [RODO]?
3) Na wypadek udzielenia odpowiedzi twierdzącej na powyższe pytania: czy można uznać za dopuszczalne uregulowanie krajowe takie jak art. 13 ust. 9 [ustawy o rejestrach] – który stanowi, że w przypadku podania we wniosku lub w załączonych do niego dokumentach danych osobowych niewymaganych przez prawo uznaje się, że osoby, które je podały, wyraziły zgodę na ich przetwarzanie przez [agencję] i na ich publiczne udostępnienie – jako wyjaśniające możliwość »dobrowolnego ujawnienia« w rozumieniu art. 4 ust. 2 dyrektywy [2009/101] również danych osobowych, niezależnie od motywów 32, 40, 42, 43 i 50 [RODO]?
4) Czy w wykonaniu obowiązku określonego w art. 3 ust. 7 dyrektywy [2009/101] państwa członkowskie mogą podjąć niezbędne środki – aby uniknąć wszelkich niezgodności między tym, co ujawniono zgodnie z ust. 5, a treścią rejestru lub akt, a także aby uwzględnić interesy osób trzecich w zakresie dostępu do podstawowych aktów spółki i innych związanych z nią danych, o których mowa w motywie 3 tej dyrektywy – poprzez przyjęcie ustawodawstwa krajowego przewidującego uregulowania proceduralne (formularze wniosku, przedłożenie odpisu dokumentów, z których usunięto dane osobowe), na podstawie którego osoba fizyczna mogłaby wykonać prawo, o którym mowa w art 17 [RODO], do żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, gdy dane osobowe, o których usunięcie się zwrócono, stanowią część publicznie ujawnionych (opublikowanych) dokumentów, udostępnionych administratorowi w podobnym trybie proceduralnym przez inną osobę, która poprzez tę czynność określiła również cel zainicjowanego przez nią przetwarzania danych?
5) Czy w sytuacji stanowiącej podstawę sporu w postępowaniu głównym [agencja] działa wyłącznie jako administrator danych osobowych, czy też jest również odbiorcą tych danych, gdy cel ich przetwarzania jako część przedłożonych do ujawnienia dokumentów jest określony przez innego administratora?
6) Czy odręczny podpis osoby fizycznej stanowi informację dotyczącą zidentyfikowanej osoby fizycznej i, w konsekwencji, mieści się w pojęciu »danych osobowych« w rozumieniu art. 4 ust. 1 [RODO]?
7) Czy pojęcie »szkody niemajątkowej« określone w art. 82 ust. 1 [RODO] należy interpretować w ten sposób, że aby przyjąć, że wystąpiła szkoda niemajątkowa, muszą wystąpić dostrzegalne negatywne skutki i obiektywnie rozpoznawalne naruszenie osobistych interesów, czy też wystarczy w tym celu jedynie krótkotrwała utrata suwerennego prawa osoby, której dane dotyczą, do dysponowania jej danymi osobowymi ze względu na publikację tych danych w rejestrze handlowym – przy czym nie miało to dostrzegalnych lub niekorzystnych skutków dla osoby, której dane dotyczą?
8) Czy opinię nr 01-116(20)/01.02.2021 r. krajowego organu nadzorczego – [komisji ochrony danych osobowych] – wydaną na podstawie art. 58 ust. 3 lit. b) [RODO], zgodnie z którą [agencja] nie ma prawnej możliwości ani uprawnienia, by z urzędu lub na wniosek osoby, której dane dotyczą, ograniczyć przetwarzanie już ujawnionych danych, można uznać za dowód w rozumieniu art. 82 ust. 3 [RODO] na to, że [agencja] nie jest w żaden sposób odpowiedzialna za zdarzenie, co do którego podniesiono, że skutkowało ono wyrządzeniem szkód, jakie miała ponieść osoba fizyczna?”.
W przedmiocie pytań prejudycjalnych
Rozważania wstępne
47 Na wstępie należy zauważyć, że przedstawione pytania dotyczą wykładni zarówno RODO, jak i dyrektywy 2009/101, która została skodyfikowana i zastąpiona dyrektywą 2017/1132, która ma zastosowanie ratione temporis do okoliczności faktycznych rozpatrywanych w postępowaniu głównym. W konsekwencji wniosek o wydanie orzeczenia w trybie prejudycjalnym należy interpretować w ten sposób, że dotyczy on wykładni dyrektywy 2017/1132.
48 Ponadto, jak zauważyła rzecznik generalna w pkt 15 opinii, ponieważ część tych okoliczności faktycznych miała miejsce po dniu 1 sierpnia 2021 r., dacie upływu terminu transpozycji dyrektywy 2019/1151, o którym mowa w art. 2 ust. 1 tej ostatniej dyrektywy, do sądu odsyłającego należy zbadanie, czy wspomniane okoliczności faktyczne są objęte zakresem stosowania ratione temporis dyrektywy 2017/1132 lub dyrektywy 2017/1132, zmienionej dyrektywą 2019/1151.
49 W tym kontekście należy zauważyć, że zmiany brzmienia art. 16 i 161 dyrektywy 2017/1132 i dodanie art. 16a do tej dyrektywy, wynikające z dyrektywy 2019/1151, nie mają wpływu na analizę, którą Trybunał ma przeprowadzić w niniejszej sprawie, w związku z czym odpowiedzi, które zostaną udzielone w niniejszym wyroku, będą w każdym razie istotne.
W przedmiocie pytania pierwszego
50 Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 21 ust. 2 dyrektywy 2017/1132 należy interpretować w ten sposób, że nakłada on na państwo członkowskie obowiązek zezwolenia na ujawnienie w rejestrze handlowym umowy spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w tej dyrektywie i zawierającej – inne niż minimalnie wymagane dane osobowe – dane osobowe, których publikacja nie jest wymagana przez prawo tego państwa członkowskiego.
51 W szczególności sąd ten zastanawia się nad zakresem dobrowolnej jawności, o której mowa w tym przepisie, i dąży do ustalenia, czy wspomniany przepis nakłada na państwa członkowskie obowiązek zezwolenia na ujawnianie informacji zawartych w dokumentach spółek, takich jak dane osobowe, których nie wymagały z tytułu przewidzianego w tej dyrektywie obowiązkowego ujawnienia.
52 Zgodnie z art. 21 ust. 2 akapit pierwszy dyrektywy 2017/1132 „[o]prócz obowiązkowego ujawnienia, o którym mowa w art. 16 [tej dyrektywy], państwa członkowskie dopuszczają dobrowolne ujawnianie zgodnie z art. 16 [tej dyrektywy] tłumaczeń dokumentów i informacji, o których mowa w art. 14 [wspomnianej dyrektywy], w dowolnym języku lub językach urzędowych Unii”. Akapit drugi tego art. 21 ust. 2 upoważnia państwa członkowskie do wymagania, aby „tłumaczenia takich dokumentów i informacji” były poświadczone. Wreszcie art. 21 ust. 2 akapit trzeci dotyczy środków niezbędnych do ułatwienia osobom trzecim dostępu do „tłumaczeń”, które były przedmiotem dobrowolnego ujawnienia.
53 W art. 14 dyrektywy 2017/1132 wymieniono natomiast dokumenty i informacje, które dane spółki powinny, co najmniej, obowiązkowo opublikować. Te dokumenty i informacje powinny, zgodnie z art. 16 ust. 3–5 tej dyrektywy, zostać włączone do akt sprawy lub wpisane do rejestru, być dostępne poprzez uzyskanie na żądanie pełnej lub częściowej kopii oraz powinny być ogłaszane poprzez publikację albo w całości lub w części, albo w formie wzmianki w biuletynie krajowym lub za pomocą środka o skutku równoważnym.
54 W tym względzie, biorąc pod uwagę w szczególności wielokrotne użycie terminu „tłumaczenia” w art. 21 ust. 2 dyrektywy 2017/1132, z brzmienia tego przepisu wynika, że dotyczy on dobrowolnego ujawnienia tłumaczeń dokumentów i informacji, o których mowa w art. 14 tej dyrektywy, na jeden z języków urzędowych Unii, a tym samym – jedynie języka publikacji tych dokumentów i informacji. Rzeczony przepis nie odnosi się natomiast do treści wspomnianych dokumentów i informacji.
55 W związku z tym brzmienie to wskazuje, że ten art. 21 ust. 2 nie może być interpretowany jako nakładający na państwa członkowskie jakikolwiek obowiązek dotyczący ujawnienia danych osobowych, których ujawnienie nie jest wymagane ani przez inne przepisy prawa Unii, ani przez prawo danego państwa członkowskiego, lecz zawartych w dokumencie podlegającym obowiązkowemu ujawnieniu przewidzianemu w tej dyrektywie.
56 W związku z tym, ponieważ znaczenie przepisu prawa Unii wynika jednoznacznie z samego jego brzmienia, Trybunał nie może odejść od tej wykładni (wyrok z dnia 25 stycznia 2022 r., VYSOČINA WIND, C-181/20, EU:C:2022:51, pkt 39).
57 W każdym razie, co się tyczy kontekstu art. 21 ust. 2 dyrektywy 2017/1132, tytuł tego artykułu, który odnosi się do „[j]ęzyka ujawnienia oraz tłumaczenia ujawnianych dokumentów i informacji”, podobnie jak inne ustępy tego artykułu, potwierdzają wykładnię przyjętą w pkt 55 niniejszego wyroku.
58 Artykuł 21 ust. 1 dyrektywy 2017/1132 stanowi bowiem, że „[d]okumenty i informacje, które mają zostać ujawnione na podstawie art. 14 [tej dyrektywy], zostają sporządzone i złożone do dokumentacji w jednym z języków dopuszczonych” przez zasady językowe stosowane w państwie członkowskim. Ów art. 21 ust. 3 przewiduje, że oprócz obowiązkowego ujawnienia określonego w art. 16 tej dyrektywy i dobrowolnego ujawnienia przewidzianego we wspomnianym art. 21 ust. 2 państwa członkowskie mogą dopuścić ujawnienie danych dokumentów i informacji „w dowolnym innym języku”. Jeśli chodzi o art. 21 ust. 4, odnosi się on do „dobrowolnie ujawnionego tłumaczenia”.
59 Wreszcie wykładnia przyjęta w pkt 55 niniejszego wyroku znajduje potwierdzenie w motywie 12 tej samej dyrektywy, zgodnie z którym należy ułatwić transgraniczny dostęp do informacji o spółkach, umożliwiając, poza obowiązkowym ujawnieniem w jednym z dozwolonych języków państw członkowskich danych spółek, dobrowolną rejestrację w innych językach obowiązkowych dokumentów i informacji.
60 W świetle powyższych rozważań na pytanie pierwsze należy udzielić odpowiedzi, że art. 21 ust. 2 dyrektywy 2017/1132 należy interpretować w ten sposób, że nie nakłada on na państwo członkowskie obowiązku zezwolenia na ujawnienie w rejestrze handlowym umowy spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w tej dyrektywie i zawierającej – inne niż minimalnie wymagane dane osobowe – dane osobowe, których publikacja nie jest wymagana przez prawo tego państwa członkowskiego.
W przedmiocie pytań drugiego i trzeciego
61 W świetle odpowiedzi udzielonej na pytanie pierwsze nie ma potrzeby udzielania odpowiedzi na pytania drugie i trzecie, które zostały zadane jedynie na wypadek udzielenia odpowiedzi twierdzącej na to pytanie pierwsze.
W przedmiocie pytania piątego
62 Poprzez pytanie piąte, które należy rozpatrzyć przed pytaniem czwartym, sąd odsyłający dąży w istocie do ustalenia, czy RODO, w szczególności jego art. 4 pkt 7 i 9, należy interpretować w ten sposób, że organ odpowiedzialny za prowadzenie rejestru handlowego państwa członkowskiego, który publikuje w tym rejestrze dane osobowe zawarte w umowie spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w dyrektywie 2017/1132, która została mu przekazana w ramach wniosku o wpis tej spółki do wspomnianego rejestru, jest zarówno „odbiorcą” tych danych, jak i „administratorem” wspomnianych danych w rozumieniu tego przepisu.
63 Na wstępie należy przypomnieć, że zgodnie z art. 161 dyrektywy 2017/1132 przetwarzanie danych osobowych dokonywane w ramach tej dyrektywy podlega dyrektywie 95/46, a tym samym RODO, którego art. 94 ust. 2 uściśla, że odesłania do tej ostatniej dyrektywy traktuje się jako odesłania do tego rozporządzenia.
64 W tym względzie należy przede wszystkim zaznaczyć, że zgodnie z art. 14 lit. a), b) i d) dyrektywy 2017/1132 państwa członkowskie powinny podjąć niezbędne środki w celu zapewnienia, by obowiązkowe ujawnienie w odniesieniu do spółek dotyczyło co najmniej aktu założycielskiego danej spółki, jego zmiany, a także powołania, zakończenia sprawowania funkcji, jak też tożsamości osób, które, jako organ przewidziany w prawie lub członkowie takiego organu, są upoważnione do reprezentowania spółki wobec osób trzecich oraz do reprezentowania jej w postępowaniu sądowym lub uczestniczą w zarządzaniu spółką, jej nadzorowaniu lub kontrolowaniu. Ponadto zgodnie z art. 4 lit. i) tej dyrektywy obowiązkowe informacje, które należy podać w akcie założycielskim, który jest przedmiotem takiego ujawnienia, obejmują tożsamość osób fizycznych lub prawnych lub spółek, które podpisały ten akt lub w których imieniu został on podpisany.
65 Zgodnie z art. 16 ust. 3–5 wspomnianej dyrektywy, jak wskazano w pkt 53 niniejszego wyroku, te dokumenty i informacje powinny być włączone do akt sprawy lub wpisywane do rejestru, być dostępne poprzez uzyskanie na żądanie pełnej lub częściowej kopii i być ogłaszane poprzez publikację albo w całości lub w części, albo w postaci wzmianki w biuletynie krajowym lub za pomocą środka o skutku równoważnym.
66 Jak zauważyła rzecznik generalna w pkt 26 opinii, do państw członkowskich należy zatem ustalenie w szczególności, jakie kategorie informacji dotyczących tożsamości osób, o których mowa w art. 4 lit. i) i art. 14 lit. d) dyrektywy 2017/1132, a w szczególności jakie rodzaje danych osobowych, są obowiązkowo ujawniane, z poszanowaniem prawa Unii.
67 Tymczasem informacje dotyczące tożsamości tych osób stanowią, jako informacje dotyczące zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych, „dane osobowe” w rozumieniu art. 4 pkt 1 RODO (zob. podobnie wyrok z dnia 9 marca 2017 r., Manni, C-398/15, EU:C:2017:197, pkt 34).
68 To samo dotyczy dodatkowych informacji dotyczących tożsamości wspomnianych osób lub innych kategorii osób, które państwa członkowskie postanawiają objąć obowiązkowym ujawnieniem, lub które, tak jak w niniejszej sprawie, są zawarte w dokumentach podlegających takiemu ujawnieniu, przy czym udostępnienie tych danych nie jest wymagane przez dyrektywę 2017/1132 lub prawo krajowe wykonujące tę dyrektywę.
69 Następnie, co się tyczy pojęcia „odbiorcy” w rozumieniu art. 4 pkt 9 RODO, oznacza ono „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią”, przy czym przepis ten uściśla, że z definicji tej wyłączone są organy publiczne otrzymujące te dane w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego.
70 Tymczasem otrzymując w ramach wniosku o wpis spółki do rejestru handlowego państwa członkowskiego dokumenty podlegające obowiązkowemu ujawnieniu, o których mowa w art. 14 dyrektywy 2017/1132, zawierające dane osobowe, niezależnie od tego, czy są one wymagane przez tę dyrektywę lub prawo krajowe, organ odpowiedzialny za prowadzenie tego rejestru ma status „odbiorcy” tych danych w rozumieniu art. 4 pkt 9 RODO.
71 Wreszcie zgodnie z art. 4 pkt 7 RODO pojęcie „administratora” obejmuje osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. W przepisie tym wskazano również, że jeżeli cele i sposoby tego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
72 W tym względzie należy przypomnieć, że zgodnie z orzecznictwem Trybunału wspomniany przepis ma na celu zapewnienie, poprzez szeroką definicję pojęcia „administratora”, skutecznej i pełnej ochrony osób, których dane dotyczą [wyrok z dnia 11 stycznia 2024 r., État belge (Dane przetwarzane przez dziennik urzędowy), C-231/22, EU:C:2024:7, pkt 28 i przytoczone tam orzecznictwo].
73 Biorąc pod uwagę brzmienie art. 4 pkt 7 RODO, interpretowanego w świetle tego celu, okazuje się, że aby ustalić, czy daną osobę lub podmiot należy uznać za „administratora” w rozumieniu tego przepisu, należy zbadać, czy ta osoba lub ten podmiot samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania, czy też są one określone w prawie Unii lub w prawie krajowym. Jeżeli takiego określenia dokonuje prawo krajowe, należy wówczas zbadać, czy prawo to wskazuje administratora czy też przewiduje konkretne kryteria jego wyznaczania [zob. podobnie wyrok z dnia 11 stycznia 2024 r., État belge (Dane przetwarzane przez dziennik urzędowy), C-231/22, EU:C:2024:7, pkt 29].
74 Należy także uściślić, że w świetle szerokiej definicji pojęcia „administratora” w rozumieniu art. 4 pkt 7 RODO określenie celów i sposobów przetwarzania oraz, w stosownym przypadku, wyznaczenie tego administratora w prawie krajowym może być nie tylko wyraźne, lecz również dorozumiane. W tym ostatnim przypadku wymagane jest jednak, aby określenie to wynikało w sposób wystarczająco pewny z roli, misji i uprawnień przyznanych danej osobie lub danemu podmiotowi [wyrok z dnia 11 stycznia 2024 r., État belge (Dane przetwarzane przez dziennik urzędowy), C-231/22, EU:C:2024:7, pkt 30].
75 Ponadto organ odpowiedzialny za prowadzenie tego rejestru, rejestrując i przechowując dane osobowe otrzymane w związku z wnioskiem o wpis spółki do rejestru handlowego danego państwa członkowskiego, ujawniając je w razie potrzeby osobom trzecim na ich żądanie i publikując je w biuletynie krajowym lub w drodze środka o skutku równoważnym, przetwarza dane osobowe, w odniesieniu do których jest on „administratorem” w rozumieniu art. 4 pkt 2 i 7 RODO (zob. podobnie wyrok z dnia 9 marca 2017 r., Manni, C-398/15, EU:C:2017:197, pkt 35).
76 Takie przetwarzanie danych osobowych jest bowiem odrębne i późniejsze od przekazania danych osobowych przez osobę ubiegającą się o ten wpis i otrzymanych przez ten organ. Co więcej, organ ten samodzielnie dokonuje wspomnianego przetwarzania, zgodnie z celami i zasadami określonymi w dyrektywie 2017/1132 i w ustawodawstwie danego państwa członkowskiego wdrażającym tę dyrektywę.
77 W tym względzie należy uściślić, że z motywów 7 i 8 rzeczonej dyrektywy wynika, iż przewidziane w niej ujawnienie ma na celu w szczególności ochronę interesów osób trzecich w stosunkach ze spółkami akcyjnymi i spółkami z ograniczoną odpowiedzialnością, gdyż jedyną gwarancją, jaką podmioty te oferują osobom trzecim, jest majątek spółki. Dlatego podstawowe dokumenty spółki powinny być jawne, aby umożliwić osobom trzecim zapoznanie się z ich treścią oraz innymi informacjami dotyczącymi danej spółki, w szczególności z danymi osób, które są uprawnione do nabywania praw i zaciągania zobowiązań w jej imieniu.
78 Ponadto celem tej dyrektywy jest zapewnienie pewności prawa w stosunkach między spółkami a osobami trzecimi w celu wzmocnienia wymiany handlowej między państwami członkowskimi w następstwie utworzenia rynku wewnętrznego. W tym kontekście ważne jest, aby każda osoba pragnąca nawiązać i kontynuować stosunki handlowe ze spółkami mającymi siedzibę w innych państwach członkowskich miała możliwość łatwego zapoznania się z istotnymi danymi dotyczącymi tworzenia spółek handlowych i uprawnień osób odpowiedzialnych za ich reprezentowanie, co wymaga, aby wszystkie istotne dane były wyraźnie zawarte w rejestrze (zob. podobnie wyrok z dnia 9 marca 2017 r., Manni, C-398/15, EU:C:2017:197, pkt 50).
79 Tymczasem, jak zauważyła rzecznik generalna w pkt 39 opinii, przekazując organowi prowadzącemu rejestr handlowy danego państwa członkowskiego dokumenty i informacje podlegające obowiązkowemu ujawnieniu przewidzianemu w dyrektywie 2017/1132 i przetwarzając tym samym zawarte w tych dokumentach dane osobowe, wnioskujący o wpis spółki do tego rejestru nie ma żadnego wpływu na określenie celów i dalszego przetwarzania przez ten organ. Ponadto realizuje on różne i właściwe mu cele, a mianowicie dopełnienie formalności niezbędnych do tego wpisu.
80 W niniejszej sprawie, jak zauważyła rzecznik generalna w pkt 31 i 32 tej opinii, z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że publiczne udostępnienie danych osobowych OL nastąpiło w ramach wykonywania uprawnień powierzonych agencji jako organowi odpowiedzialnemu za prowadzenie rejestru handlowego, ponieważ cele i sposoby przetwarzania tych danych są określone zarówno w prawie Unii, jak i w przepisach krajowych rozpatrywanych w postępowaniu głównym, w szczególności w art. 13 ust. 9 ustawy o rejestrach. Tak więc okoliczność, że uwierzytelniony odpis umowy spółki utajniający dane osobowe niewymagane przez te przepisy nie został przekazany, wbrew zasadom proceduralnym przewidzianym we wspomnianych przepisach, nie ma wpływu na kwalifikację agencji jako „administratora tego przetwarzania”.
81 Kwalifikacji tej nie podważa również okoliczność, że agencja nie kontroluje, na podstawie tych przepisów, przed ich umieszczeniem online, danych osobowych zawartych w zdjęciach elektronicznych lub oryginałach dokumentów przekazanych w celu rejestracji spółki. W tym względzie Trybunał orzekł już, że sprzeczne z celem art. 4 pkt 7 RODO, o którym mowa w pkt 72 niniejszego wyroku, byłoby wykluczenie pojęcia „administratora” dziennika urzędowego państwa członkowskiego ze względu na to, że ten ostatni nie sprawuje kontroli nad danymi osobowymi zawartymi w jego publikacjach [wyrok z dnia 11 stycznia 2024 r., État belge (Dane przetwarzane przez dziennik urzędowy), C-231/22, EU:C:2024:7, pkt 38].
82 W tych okolicznościach wydaje się, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym agencja jest administratorem przetwarzającym dane osobowe OL, które to przetwarzanie polega na publicznym udostępnieniu online tych danych, nawet jeśli na mocy tych przepisów należało jej przekazać odpis umowy spółki utajniający dane osobowe, których nie wymaga ustawodawstwo krajowe rozpatrywane w postępowaniu głównym, czego weryfikacja należy do sądu odsyłającego. W związku z tym agencja jest również odpowiedzialna, na podstawie art. 5 ust. 2 RODO, za przestrzeganie ust. 1 tego artykułu.
83 W świetle powyższych rozważań na pytanie piąte należy odpowiedzieć, że RODO, w szczególności jego art. 4 pkt 7 i 9, należy interpretować w ten sposób, że organ odpowiedzialny za prowadzenie rejestru handlowego państwa członkowskiego, który publikuje w tym rejestrze dane osobowe zawarte w umowie spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w dyrektywie 2017/1132, która została mu przekazana w ramach wniosku o wpis tej spółki do wspomnianego rejestru, jest zarówno „odbiorcą” tych danych – w szczególności w zakresie, w jakim udostępnia je publicznie – jak i „administratorem” wspomnianych danych w rozumieniu tego przepisu, nawet jeśli umowa ta zawiera dane osobowe niewymagane przez tę dyrektywę lub prawo tego państwa członkowskiego.
W przedmiocie pytania czwartego
W przedmiocie dopuszczalności
84 Rząd bułgarski twierdzi, że pytanie czwarte jest niedopuszczalne, ponieważ dotyczy problemu o charakterze hipotetycznym. Zdaniem tego rządu pytanie to dotyczy bowiem zgodności z art. 16 dyrektywy 2017/1132 przepisów krajowych dotyczących zasad proceduralnych wykonywania prawa, o którym mowa w art. 17 RODO, które nie zostały jeszcze przyjęte.
85 Zgodnie z utrwalonym orzecznictwem przewidziana w art. 267 TFUE procedura odesłania prejudycjalnego ustanawia ścisłą współpracę między sądami krajowymi a Trybunałem, opartą na podziale zadań między nimi, i stanowi instrument, za pomocą którego Trybunał przedstawia sądom krajowym niezbędną dla rozstrzygnięcia zawisłych przed nimi sporów wykładnię prawa Unii. W ramach tej współpracy wyłącznie do sądu krajowego, przed którym toczy się spór i który musi przyjąć odpowiedzialność za mające zapaść orzeczenie sądowe, należy, przy uwzględnieniu okoliczności konkretnej sprawy, zarówno ocena, czy do wydania wyroku jest mu niezbędne uzyskanie orzeczenia w trybie prejudycjalnym, jak i ocena istotności przedstawionych Trybunałowi pytań. W związku z tym, jeśli postawione pytania dotyczą wykładni prawa Unii, Trybunał jest w zasadzie zobowiązany do wydania orzeczenia [wyrok z dnia 23 listopada 2021 r., IS (Niezgodność z prawem postanowienia odsyłającego), C-564/19, EU:C:2021:949, pkt 59, 60 i przytoczone tam orzecznictwo].
86 Oznacza to, że pytania dotyczące prawa Unii korzystają z domniemania posiadania znaczenia dla sprawy. Odmowa rozstrzygnięcia przez Trybunał w przedmiocie postawionego przez sąd krajowy pytania prejudycjalnego jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą się zwrócono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym, gdy problem jest natury hipotetycznej, bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego, które są niezbędne do udzielenia użytecznej odpowiedzi na przedstawione mu pytania [wyrok z dnia 24 listopada 2020 r., Openbaar Ministerie (Podrabianie dokumentów), C-510/19, EU:C:2020:953, pkt 26 i przytoczone tam orzecznictwo].
87 W niniejszej sprawie z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że sąd odsyłający ma orzec w ostatniej instancji w przedmiocie zgodności z prawem odmowy ze strony agencji uwzględnienia wniosku o usunięcie danych osobowych rozpatrywanego w postępowaniu głównym ze względu na to, że odpis umowy spółki, w którym utajniono by dane osobowe niewymagane przez przepisy bułgarskie, nie został dostarczony agencji, wbrew zasadom proceduralnym przewidzianym w tych przepisach. Ponadto z wniosku tego wynika, że taka odmowa odpowiada praktyce agencji. Wreszcie sąd ten wyjaśnił, że odpowiedź Trybunału na pytanie czwarte jest niezbędna do rozstrzygnięcia sporu w postępowaniu głównym w kontekście, w którym orzecznictwo krajowe nie jest jednolite.
88 Wynika z tego, że wbrew temu, co twierdzi rząd bułgarski, pytanie czwarte jest dopuszczalne.
Co do istoty
89 Biorąc pod uwagę informacje zawarte we wniosku o wydanie orzeczenia w trybie prejudycjalnym, przedstawione w pkt 87 niniejszego wyroku, należy uznać, że poprzez pytanie czwarte sąd odsyłający dąży w istocie do ustalenia, czy dyrektywę 2017/1132, w szczególności jej art. 16, a także art. 17 RODO należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu lub praktyce państwa członkowskiego, które prowadzą do odmowy przez organ odpowiedzialny za prowadzenie rejestru handlowego tego państwa członkowskiego uwzględnienia każdego wniosku o usunięcie danych osobowych, których nie wymaga ta dyrektywa lub prawo wspomnianego państwa członkowskiego, zawartych w umowie spółki opublikowanej w tym rejestrze, jeżeli odpis tej umowy, utajniający te dane, nie został przekazany temu organowi, wbrew zasadom proceduralnym przewidzianym w tym uregulowaniu.
90 Zgodnie z art. 17 ust. 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z okoliczności wskazanych w tym przepisie.
91 Taka sytuacja ma miejsce, zgodnie z tym art. 17 ust. 1 lit. c), gdy osoba, której dane dotyczą, sprzeciwia się przetwarzaniu na podstawie art. 21 ust. 1 tego rozporządzenia i nie istnieją „nadrzędne prawnie uzasadnione podstawy przetwarzania” lub, zgodnie ze wspomnianym art. 17 ust. 1 lit. d), gdy rozpatrywane dane były „przetwarzane niezgodnie z prawem”.
92 Z art. 17 ust. 3 lit. b) RODO wynika również, że ten art. 17 ust. 1 nie ma zastosowania w zakresie, w jakim przetwarzanie to jest niezbędne do wypełnienia obowiązku prawnego wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
93 W związku z tym w celu ustalenia, czy w sytuacji takiej jak rozpatrywana w postępowaniu głównym osobie, której dane dotyczą, przysługuje prawo do usunięcia danych na podstawie art. 17 RODO, należy w pierwszej kolejności zbadać podstawę lub podstawy zgodności z prawem, którym może podlegać przetwarzanie danych osobowych tej osoby.
94 W tym względzie należy przypomnieć, że w art. 6 ust. 1 akapit pierwszy RODO zawarto wyczerpujący i zamknięty wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za zgodne z prawem. Tym samym, aby przetwarzanie można było uznać za zgodne z prawem, musi ono wchodzić w zakres jednego z przypadków przewidzianych w tym przepisie [zob. podobnie wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C-439/19 , EU:C:2021:504, pkt 99 i przytoczone tam orzecznictwo].
95 W braku zgody osoby, której dane dotyczą, na przetwarzanie jej danych osobowych na podstawie tego art. 6 ust. 1 akapit pierwszy lit. a), lub gdy zgoda ta nie została udzielona dobrowolnie, konkretnie, świadomie i jednoznacznie w rozumieniu art. 4 pkt 11 RODO, takie przetwarzanie może jednak być uzasadnione, jeżeli spełnia jeden z wymogów konieczności, o których mowa we wspomnianym art. 6 ust. 1 akapit pierwszy lit. b)–f) tego rozporządzenia [zob. podobnie wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C-252/21, EU:C:2023:537, pkt 92].
96 W tym kontekście uzasadnienia przewidziane w tym ostatnim przepisie, w zakresie, w jakim pozwalają na legitymizację przetwarzania danych osobowych dokonywanego bez zgody osoby, której dane dotyczą, należy interpretować zawężająco [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C-252/21, EU:C:2023:537, pkt 93 i przytoczone tam orzecznictwo].
97 Należy również uściślić, że zgodnie z art. 5 RODO na administratorze spoczywa ciężar udowodnienia, że dane te są w szczególności zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, że są adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane, oraz że są one przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą [zob. podobnie wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C-252/21, EU:C:2023:537, pkt 95].
98 Choć to do sądu odsyłającego będzie należało ustalenie, czy poszczególne elementy przetwarzania rozpatrywanego w postępowaniu głównym są uzasadnione na gruncie jednej z konieczności, o których mowa w art. 6 ust. 1 akapit pierwszy lit. a)–f) RODO, Trybunał może jednak udzielić mu użytecznych wskazówek umożliwiających mu rozstrzygnięcie zawisłego przed nim sporu [zob. podobnie wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C-252/21, EU:C:2023:537, pkt 96].
99 W niniejszej sprawie przede wszystkim, jak zauważyła rzecznik generalna w pkt 43 opinii, domniemanie zgody ustanowione w art. 13 ust. 9 ustawy o rejestrach nie wydaje się spełniać warunków wymaganych przez art. 6 ust. 1 akapit pierwszy lit. a) RODO w związku z art. 4 pkt 11 tego rozporządzenia.
100 Jak wynika bowiem z motywów 32, 42 i 43 wspomnianego rozporządzenia, zgoda powinna zostać udzielona w drodze wyraźnego działania potwierdzającego, na przykład w formie oświadczenia pisemnego lub ustnego, bez uznania jej za dobrowolnie udzieloną, jeżeli osoba, której dane dotyczą, nie ma rzeczywistej swobody wyboru lub nie jest w stanie odmówić lub wycofać zgody bez poniesienia szkody. Ponadto zgoda nie powinna stanowić ważnej podstawy prawnej w konkretnym przypadku, gdy istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, zwłaszcza gdy administrator jest organem publicznym.
101 W związku z tym nie można uznać, że domniemanie takie jak przewidziane w art. 13 ust. 9 ustawy o rejestrach ustanawia udzielenie dobrowolnie, konkretnie, świadomie i jednoznacznie zgody na przetwarzanie danych osobowych przez organ publiczny taki jak agencja.
102 Następnie podstawy zgodności z prawem przewidziane w art. 6 ust. 1 akapit pierwszy lit. b) i d), dotyczące przetwarzania danych osobowych niezbędnego, odpowiednio, do wykonania umowy i do ochrony żywotnych interesów osoby fizycznej, nie wydają się mieć znaczenia dla rozpatrywanego w postępowaniu głównym przetwarzania danych osobowych. To samo dotyczy podstawy zgodności z prawem przewidzianej w tym art. 6 ust. 1 akapit pierwszy lit. f), dotyczącej przetwarzania danych osobowych niezbędnego do realizacji uzasadnionych interesów realizowanych przez administratora danych, ponieważ z brzmienia art. 6 ust. 1 akapit drugi RODO jasno wynika, że przetwarzanie danych osobowych dokonywane przez organ publiczny w ramach wykonywania jego zadań nie może być objęte zakresem stosowania tej ostatniej podstawy [zob. podobnie wyrok z dnia 8 grudnia 2022 r., Inspektor v Inspektorata kam Visshia sadeben savet (Cele przetwarzania danych osobowych – Postępowanie karne), C-180/21, EU:C:2022:967, pkt 85].
103 Wreszcie, co się tyczy podstaw zgodności z prawem zawartych w art. 6 ust. 1 akapit pierwszy lit. c) i e) RODO, należy przypomnieć, że zgodnie z tym art. 6 ust. 1 akapit pierwszy lit. c) przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wypełnienia ciążącego na administratorze danych obowiązku prawnego. Ponadto, zgodnie ze wspomnianym art. 6 ust. 1 akapit pierwszy lit. e), przetwarzanie jest zgodne z prawem również wówczas, gdy jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania powierzonej temu administratorowi władzy publicznej.
104 W art. 6 ust. 3 RODO, w odniesieniu do tych dwóch przypadków zgodności przetwarzania z prawem, uściślono w szczególności, że podstawa przetwarzania musi być określona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator danych, oraz że ta podstawa prawna powinna służyć realizacji celu leżącego w interesie publicznym i być proporcjonalna do zamierzonego prawnie uzasadnionego celu.
105 Co się tyczy w pierwszej kolejności kwestii, czy rozpatrywane w postępowaniu głównym przetwarzanie jest konieczne do spełnienia obowiązku prawnego wynikającego z prawa Unii lub z prawa krajowego, któremu podlega administrator, w rozumieniu art. 6 ust. 1 akapit pierwszy lit. c) RODO, należy zauważyć, podobnie jak uczyniła to rzecznik generalna w pkt 45 i 47 opinii, że dyrektywa 2017/1132 nie wymaga systematycznego przetwarzania wszelkich danych osobowych zawartych w dokumencie podlegającym obowiązkowemu ujawnieniu przewidzianemu w tej dyrektywie. Przeciwnie, z art. 161 wspomnianej dyrektywy wynika, że przetwarzanie danych osobowych dokonywane w ramach dyrektywy 2017/1132, a w szczególności każde gromadzenie, przechowywanie, udostępnianie osobom trzecim i publikowanie informacji na podstawie tej dyrektywy, powinno w pełni spełniać wymogi wynikające z RODO.
106 Do państw członkowskich należy zatem, w ramach wykonywania obowiązków nałożonych przez tę dyrektywę, czuwanie nad pogodzeniem z jednej strony celów pewności prawa i ochrony interesów osób trzecich realizowanych przez wspomnianą dyrektywę, przypomnianych w pkt 77 niniejszego wyroku, a z drugiej strony – praw ustanowionych w RODO i prawa podstawowego do ochrony danych osobowych, i to poprzez zrównoważone wyważenie tych celów i praw (zob. podobnie wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija, C-184/20, 77EU:C:2022:601, pkt 98).
107 W związku z tym nie można uznać, że publiczne udostępnienie online w rejestrze handlowym danych osobowych niewymaganych przez dyrektywę 2017/1132 lub rozpatrywane w postępowaniu głównym przepisy krajowe, zawartych w umowie spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w tej dyrektywie i przekazanej agencji, jest uzasadnione wymogiem zapewnienia ujawnienia dokumentów, o których mowa w art. 14 wspomnianej dyrektywy, zgodnie z jej art. 16, i że, w konsekwencji, wynika ono z obowiązku prawnego przewidzianego w prawie Unii.
108 Nie wydaje się również, by zgodność z prawem przetwarzania rozpatrywanego w postępowaniu głównym opierała się, z zastrzeżeniem weryfikacji przez sąd odsyłający, na obowiązku prawnym przewidzianym w prawie państwa członkowskiego, któremu podlega administrator, w rozumieniu art. 6 ust. 1 akapit pierwszy lit. c) RODO, w niniejszym wypadku w prawie bułgarskim, ponieważ, po pierwsze, z akt sprawy, którymi dysponuje Trybunał, wynika, że art. 2 ust. 2 ustawy o rejestrach przewiduje, iż dokumenty, które należy wpisać do rejestru handlowego, są publicznie dostępne bez informacji stanowiących dane osobowe, „z wyjątkiem informacji, które należy publicznie udostępnić na podstawie ustawy”, i po drugie, art. 13 ust. 9 tej ustawy ustanawia domniemanie zgody, które – jak wynika z pkt 99 niniejszego wyroku – nie wydaje się spełniać wymogów RODO.
109 Co się tyczy w drugiej kolejności kwestii, czy przetwarzanie rozpatrywane w postępowaniu głównym jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi w rozumieniu art. 6 ust. 1 akapit pierwszy lit. e) RODO, do którego odnoszą się w szczególności zarówno sąd odsyłający, jak i rząd bułgarski i agencja, Trybunał orzekł już, że działalność organu publicznego polegająca na ochronie danych – w bazie danych – które spółki są zobowiązane przekazywać na podstawie ustawowych obowiązków, umożliwieniu zainteresowanym osobom zapoznania się z tymi danymi i dostarczenia im ich kopii, wchodzi w zakres wykonywania prerogatyw władzy publicznej i stanowi zadania wykonywane w interesie publicznym w rozumieniu tego przepisu (zob. podobnie wyrok z dnia 9 marca 2017 r., Manni, C-398/15, EU:C:2017:197, pkt 43).
110 Wynika z tego, że przetwarzanie rozpatrywane w postępowaniu głównym wydaje się oczywiście być dokonywane w związku z zadaniem wykonywanym w interesie publicznym w rozumieniu wspomnianego przepisu. Jednakże, aby spełnić przesłanki ustanowione w tym przepisie, przetwarzanie to musi faktycznie odpowiadać zamierzonym celom interesu ogólnego, nie wykraczając poza to, co jest konieczne do osiągnięcia tych celów [zob. podobnie wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C-439/19, EU:C:2021:504, pkt 109].
111 Ten konieczny wymóg nie jest spełniony, jeżeli zamierzony cel interesu ogólnego można racjonalnie osiągnąć w sposób równie skuteczny za pomocą innych środków, w mniejszym stopniu naruszających prawa podstawowe osób, których dane dotyczą, w szczególności prawa do poszanowania życia prywatnego i do ochrony danych osobowych zagwarantowane w art. 7 i 8 Karty, ponieważ odstępstwa i ograniczenia zasady ochrony takich danych powinny być stosowane w granicach tego, co jest ściśle konieczne [zob. podobnie wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C-439/19, EU:C:2021:504, pkt 110 i przytoczone tam orzecznictwo].
112 Tymczasem, jak zauważyła rzecznik generalna w pkt 51 opinii, podanie do publicznej wiadomości online danych osobowych, które nie są wymagane ani przez dyrektywę 2017/1132, ani przez prawo krajowe, nie może samo w sobie zostać uznane za konieczne do realizacji celów tej dyrektywy.
113 W szczególności, co się tyczy istnienia środków w mniejszym stopniu naruszających te prawa podstawowe osób, których dane dotyczą, należy zauważyć, że przepisy krajowe rozpatrywane w postępowaniu głównym przewidują, iż wnioskujący o wpisanie spółki do rejestru handlowego jest zobowiązany dostarczyć odpis aktu tej spółki, z którego usunięto niewymagane dane osobowe i który ma zostać opublikowany w tym rejestrze i udostępniony osobom trzecim, a który, w niniejszym przypadku, nigdy nie został przekazany agencji, nawet po zgłoszeniu przez nią takiego wniosku. Jednakże rząd bułgarski i agencja potwierdziły, że nawet po upływie rozsądnego terminu i gdy osoba, której dane dotyczą, nie jest w stanie uzyskać takiego odpisu od rozpatrywanej spółki lub jej przedstawicieli, przepisy te nie przewidują możliwości samodzielnego sporządzenia tego odpisu przez agencję, co stanowiłoby jednak środek umożliwiający równie skuteczne osiągnięcie celów związanych z zapewnieniem ujawnienia dokumentów spółek, pewności prawa i ochrony interesów osób trzecich, jednocześnie naruszając w mniejszym stopniu prawo do ochrony danych osobowych.
114 Należy jeszcze zauważyć, podobnie jak uczyniła to rzecznik generalna w pkt 56 opinii, że wbrew temu, co podnosi kilka państw członkowskich w swoich uwagach przed Trybunałem, wymóg zachowania integralności i wiarygodności dokumentów spółek podlegających obowiązkowemu ujawnieniu przewidzianemu w dyrektywie 2017/1132, która wymaga publikacji tych dokumentów w postaci, w jakiej zostały one przekazane organom odpowiedzialnym za prowadzenie rejestru handlowego, nie może systematycznie przeważać nad tym prawem, gdyż w przeciwnym razie wynikająca z niego ochrona stałaby się iluzoryczna.
115 W szczególności wymóg ten nie może nakładać obowiązku udostępnienia publicznie online w tym rejestrze danych osobowych, które nie są wymagane przez dyrektywę 2017/1132 lub prawo krajowe, podczas gdy – jak wynika z pkt 113 niniejszego wyroku – agencja mogłaby sama sporządzić odpis aktu rozpatrywanej spółki, przewidziany w tym prawie, w celu tego udostępnienia.
116 Wynika z tego, że rozpatrywane w postępowaniu głównym przetwarzanie danych osobowych wydaje się, w każdym razie, wykraczać poza to, co jest konieczne do wykonania zadania realizowanego w interesie publicznym, które zostało powierzone agencji na mocy wspomnianych przepisów krajowych.
117 W konsekwencji, jak zauważyła rzecznik generalna w pkt 59 opinii, z zastrzeżeniem weryfikacji, których powinien dokonać sąd odsyłający, takie przetwarzanie nie wydaje się również spełniać warunków zgodności z prawem przewidzianych w art. 6 ust. 1 akapit pierwszy lit. c) i e) w związku z art. 6 ust. 3 RODO.
118 W drugiej kolejności, co się tyczy rozpatrywanego w postępowaniu głównym wniosku o usunięcie na podstawie art. 17 RODO, należy zauważyć, że w przypadku gdyby sąd odsyłający stwierdził, po przeprowadzeniu oceny zgodności z prawem tego przetwarzania, że przetwarzanie to nie jest zgodne z prawem, do agencji, jako administratora danych, należy, jak wynika z pkt 82 i 83 niniejszego wyroku, zgodnie z jasnym brzmieniem art. 17 ust. 1 lit. d) RODO, usunięcie odnośnych danych w najkrótszym możliwym terminie [zob. podobnie wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu), C-26/22 i C-64/22, EU:C:2023:958, pkt 108].
119 Gdyby sąd ten stwierdził natomiast, że to przetwarzanie faktycznie odpowiada podstawie zgodności z prawem przewidzianej w art. 6 ust. 1 lit. e) RODO, w szczególności w zakresie, w jakim podanie do publicznej wiadomości online w rejestrze handlowym danych, których nie wymaga dyrektywa 2017/1132 lub przepisy krajowe rozpatrywane w postępowaniu głównym, było konieczne w celu uniknięcia opóźnienia wpisu rozpatrywanej spółki w interesie ochrony osób trzecich, należy zauważyć, że art. 17 ust. 1 lit. c) RODO miałby zastosowanie.
120 Z tego ostatniego przepisu, rozpatrywanego w związku z art. 21 ust. 1 RODO, wynika, że osobie, której dane dotyczą, przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania oraz prawo do usunięcia danych, chyba że występują nadrzędne prawnie uzasadnione podstawy, które mają pierwszeństwo przed interesami oraz prawami i wolnościami tej osoby w rozumieniu art. 21 ust. 1 RODO, czego wykazanie należy do administratora [zob. podobnie wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu), C-26/22 i C-64/22, EU:C:2023:958, pkt 111].
121 Otóż w sytuacji takiej jak rozpatrywana w postępowaniu głównym nie wydaje się, aby istniała nadrzędna prawnie uzasadniona podstawa w rozumieniu tego przepisu, która mogłaby stać na przeszkodzie takiemu wnioskowi o usunięcie.
122 Po pierwsze, z postanowienia odsyłającego wynika bowiem, że spółka, w której OL jest wspólniczką, jest już wpisana do rejestru handlowego.
123 Po drugie, jak wskazano w pkt 115 niniejszego wyroku, wymóg zachowania integralności i wiarygodności dokumentów spółek podlegających obowiązkowemu ujawnieniu przewidzianemu w dyrektywie 2017/1132 nie może wymagać udostępnienia publicznie online, w tym rejestrze, danych osobowych, które nie są wymagane przez dyrektywę 2017/1132 lub prawo krajowe.
124 Wreszcie, przy założeniu, że sąd odsyłający dojdzie do wniosku, iż rozpatrywane w postępowaniu głównym przetwarzanie danych osobowych faktycznie odpowiada podstawie zgodności z prawem przewidzianej w art. 6 ust. 1 lit. c) RODO, należy zauważyć, że w RODO, a w szczególności w jego art. 17 ust. 3 lit. b), wyraźnie ustanowiono wymóg wyważenia z jednej strony praw podstawowych do poszanowania życia prywatnego i ochrony danych osobowych, ustanowionych w art. 7 i 8 Karty, a z drugiej strony – zgodnych z prawem celów realizowanych przez prawo Unii lub prawo państw członkowskich będące podstawą prawnego obowiązku, do którego przestrzegania przetwarzanie jest konieczne [zob. analogicznie wyrok z dnia 8 grudnia 2022 r., Google (Usunięcie linków do treści, która może okazać się nieprawdziwa), C-460/20, EU:C:2022:962, pkt 58 i przytoczone tam orzecznictwo].
125 Jak orzekł już Trybunał, ograniczenie dostępu do danych osobowych, które prawo Unii obejmuje obowiązkową publikacją, jedynie do osób trzecich wykazujących szczególny interes, może w każdym konkretnym przypadku być uzasadnione z nadrzędnych i uzasadnionych względów związanych ze szczególną sytuacją osób, których dane dotyczą (zob. podobnie wyrok z dnia 9 marca 2017 r., Manni, C-398/15, EU:C:2017:197, pkt 60).
126 Jak zauważyła rzecznik generalna w pkt 67 opinii, a fortiori podobnie powinno być w przypadku, gdy – tak jak w niniejszej sprawie – rozpatrywane dane osobowe nie są wymagane ani przez dyrektywę 2017/1132, ani przez prawo krajowe.
127 W świetle powyższych rozważań na pytanie czwarte należy udzielić odpowiedzi, że dyrektywę 2017/1132, w szczególności jej art. 16, a także art. 17 RODO należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu lub praktyce państwa członkowskiego, które prowadzą do odmowy przez organ odpowiedzialny za prowadzenie rejestru handlowego tego państwa członkowskiego uwzględnienia każdego wniosku o usunięcie danych osobowych, których nie wymaga ta dyrektywa lub prawo wspomnianego państwa członkowskiego, zawartych w umowie spółki opublikowanej w tym rejestrze, jeżeli odpis tej umowy, utajniający te dane, nie został przekazany temu organowi, wbrew zasadom proceduralnym przewidzianym w tym uregulowaniu.
W przedmiocie pytania szóstego
128 Poprzez pytanie szóste sąd odsyłający dąży w istocie do ustalenia, czy art. 4 pkt 1 RODO należy interpretować w ten sposób, że odręczny podpis osoby fizycznej wchodzi w zakres pojęcia „danych osobowych” w rozumieniu tego przepisu.
129 Wspomniany przepis stanowi, że dane osobowe oznaczają „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, a także wskazuje, że „możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
130 W tym względzie Trybunał orzekł już, że użycie w definicji „danych osobowych” wyrażenia „[wszelkie] informacje” odzwierciedla przyświecający unijnemu prawodawcy zamiar przypisania temu pojęciu szerokiego zakresu, rozszerzając go potencjalnie o informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, jaki muszą one spełniać, jest to, aby „dotyczyły” danej osoby (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C-487/21, EU:C:2023:369, pkt 23).
131 Informacja dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli ze względu na jej treść, cel lub skutek jest ona powiązana z możliwą do zidentyfikowania osobą (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C-487/21, EU:C:2023:369, pkt 24).
132 Co się tyczy „możliwych do zidentyfikowania” właściwości osoby fizycznej, motyw 26 RODO precyzuje, że należy wziąć pod uwagę „wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”.
133 Wynika z tego, że szeroka definicja pojęcia „danych osobowych” obejmuje nie tylko dane gromadzone i przechowywane przez administratora danych, lecz również wszelkie informacje wynikające z przetwarzania danych osobowych, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C-487/21, EU:C:2023:369, pkt 26).
134 Z orzecznictwa Trybunału wynika również, że odręczny zapis osoby fizycznej zawiera informację dotyczącą tej osoby (zob. podobnie wyrok z dnia 20 grudnia 2017 r., Nowak, C-434/16, EU:C:2017:994, pkt 37).
135 Wreszcie należy zauważyć, że odręczny podpis osoby fizycznej jest, ogólnie rzecz biorąc, wykorzystywany do zidentyfikowania tej osoby, nadania mocy dowodowej dokumentom – dotyczącej ich dokładności i prawdziwości – na których został on umieszczony, lub przyjęcia za nie odpowiedzialności. Ponadto wydaje się, że na rozpatrywanej umowie spółki podpis wspólników towarzyszy ich nazwiskom.
136 W świetle powyższych rozważań na pytanie szóste należy udzielić odpowiedzi, że art. 4 pkt 1 RODO należy interpretować w ten sposób, że odręczny podpis osoby fizycznej wchodzi w zakres pojęcia „danych osobowych” w rozumieniu tego przepisu.
W przedmiocie pytania siódmego
137 Poprzez pytanie siódme sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że ograniczona w czasie utrata przez osobę, której dane dotyczą, kontroli nad jej danymi osobowymi z powodu publicznego udostępnienia tych danych online w rejestrze handlowym państwa członkowskiego może wystarczyć do spowodowania „szkody niemajątkowej”, czy też to pojęcie „szkody niemajątkowej” wymaga wykazania istnienia dodatkowych wymiernych negatywnych konsekwencji.
138 Na wstępie należy przypomnieć, że przepis ten stanowi, iż „[k]ażda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia [RODO], ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.
139 W tym względzie, ponieważ RODO nie zawiera odesłania do prawa państw członkowskich w odniesieniu do znaczenia i zakresu pojęć zawartych w tym przepisie, w szczególności w odniesieniu do pojęć „szkody majątkowej lub niemajątkowej” i „odszkodowania za poniesioną szkodę”, do celów stosowania tego rozporządzenia wyrażenia te należy uznać za autonomiczne pojęcia prawa Unii, które należy interpretować w sposób jednolity we wszystkich państwach członkowskich [zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C-300/21, EU:C:2023:370, pkt 30].
140 W tym celu art. 82 ust. 1 RODO należy interpretować w ten sposób, że samo naruszenie tego rozporządzenia nie wystarcza do przyznania prawa do odszkodowania, ponieważ istnienie „szkody”, majątkowej lub niemajątkowej, lub „poniesionej szkody”, stanowi jedną z przesłanek prawa do odszkodowania przewidzianego w tym art. 82 ust. 1, podobnie jak istnienie naruszenia wspomnianego rozporządzenia i związku przyczynowego między tą szkodą a tym naruszeniem, przy czym te trzy przesłanki są kumulatywne [wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C-300/21, EU:C:2023:370, pkt 32; z dnia 11 kwietnia 2024 r., juris, C-741/21, EU:C:2024:288, pkt 34].
141 Tym samym osoba domagająca się naprawienia szkody majątkowej lub niemajątkowej na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, lecz również okoliczność, że to naruszenie wyrządziło jej taką szkodę majątkową lub niemajątkową. Takiej szkody majątkowej lub niemajątkowej nie można zatem jedynie domniemywać ze względu na zaistnienie wspomnianego naruszenia [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C-300/21, EU:C:2023:370, pkt 42 i 50; a także z dnia 11 kwietnia 2024 r., juris, C-741/21, EU:C:2024:288, pkt 35].
142 W szczególności osoba, której dotyczy naruszenie RODO, które wywołało wobec niej negatywne konsekwencje, jest zobowiązana wykazać, że konsekwencje te stanowią szkodę niemajątkową w rozumieniu art. 82 tego rozporządzenia, ponieważ samo naruszenie jego przepisów nie wystarcza do przyznania prawa do odszkodowania (wyrok z dnia 25 stycznia 2024 r., MediaMarktSaturn, C-687/21, EU:C:2024:72, pkt 60 i przytoczone tam orzecznictwo).
143 A zatem, jeżeli osoba domagająca się odszkodowania na podstawie tego art. 82 ust. 1 powołuje się na obawę, że w przyszłości dojdzie do wykorzystania w sposób stanowiący nadużycie jej danych osobowych ze względu na istnienie takiego naruszenia, sąd krajowy rozpatrujący sprawę powinien zbadać, czy obawę tę należy uznać za uzasadnioną w rozpatrywanych szczególnych okolicznościach i w odniesieniu do osoby, której dane dotyczą (wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, pkt 85).
144 W tym kontekście Trybunał orzekł już, że nie tylko z brzmienia wspomnianego art. 82 ust. 1 RODO w związku z motywami 85 i 146 tego rozporządzenia, które skłaniają do przyjęcia szerokiego rozumienia pojęcia „szkody niemajątkowej” w rozumieniu tego pierwszego przepisu, lecz również z celu, do którego zmierza to rozporządzenie, polegającego na zapewnieniu wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych, wynika, że obawa przed potencjalnym nadużywaniem jej danych osobowych przez strony trzecie, jaką osoba, której dane dotyczą, odczuwa w następstwie naruszenia tego rozporządzenia, może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu owego art. 82 ust. 1 [wyrok z dnia 20 czerwca 2024 r., PS (Nieprawidłowy adres), C-590/22, EU:C:2024:536, pkt 32 i przytoczone tam orzecznictwo].
145 W szczególności z tej przykładowej listy „szkód” lub „uszczerbków”, jakie mogą ponieść osoby, których dane dotyczą, zawartej w motywie 85 zdanie pierwsze RODO, wynika, że prawodawca Unii zamierzał włączyć do tych pojęć „szkód” lub „uszczerbków”, jakie mogą ponieść osoby, których dane dotyczą, w szczególności zwykłą „utratę kontroli” nad ich danymi osobowymi w następstwie naruszenia tego rozporządzenia, nawet jeśli wykorzystanie rozpatrywanych danych w sposób stanowiący nadużycie nie nastąpiło konkretnie (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, pkt 82).
146 Ponadto wykładnia art. 82 ust. 1 RODO, zgodnie z którą pojęcie „szkody niemajątkowej” w rozumieniu tego przepisu nie obejmuje sytuacji, w których osoba, której dane dotyczą, powołuje się wyłącznie na swoją obawę, że jej dane osobowe mogłyby zostać w przyszłości wykorzystane przez osoby trzecie w sposób stanowiący nadużycie, nie byłaby zgodna z przewidzianym w tym rozporządzeniu zapewnieniem wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych w Unii (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, pkt 83).
147 Podobnie pojęcie to nie może być ograniczone wyłącznie do szkód lub uszczerbków o określonej wadze, w szczególności w odniesieniu do długości okresu, w którym zainteresowane osoby poniosły negatywne skutki naruszenia wspomnianego rozporządzenia (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C-456/22, EU:C:2023:988, pkt 16, 19 i przytoczone tam orzecznictwo).
148 Tym samym nie można przyjąć, że do trzech przesłanek wymienionych w pkt 140 niniejszego wyroku można byłoby dodać inne przesłanki powstania odpowiedzialności przewidzianej w art. 82 ust. 1 RODO, takie jak wymierny charakter szkody lub obiektywny charakter naruszenia (wyrok z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C-456/22, EU:C:2023:988, pkt 17).
149 Przepis ten nie wymaga również, aby w następstwie dowiedzionego naruszenia przepisów tego rozporządzenia „szkoda niemajątkowa” podnoszona przez osobę, której dane dotyczą, musiała osiągnąć „próg de minimis” dla celów odszkodowania (wyrok z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C-456/22, EU:C:2023:988, pkt 18).
150 W konsekwencji o ile nic nie stoi na przeszkodzie temu, aby publikacja w Internecie danych osobowych i wynikająca z tego utrata kontroli nad nimi przez krótki okres mogły spowodować po stronie osób, których dane dotyczą, „szkodę niemajątkową” w rozumieniu art. 82 ust. 1 RODO, rodzącą prawo do odszkodowania, o tyle konieczne jest jeszcze, aby osoby te wykazały, że faktycznie poniosły taką szkodę, chociażby była ona znikoma (zob. podobnie wyroki: z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C-456/22, EU:C:2023:988, pkt 22, a także z dnia 11 kwietnia 2024 r., juris, C-741/21, EU:C:2024:288, pkt 42).
151 Wreszcie należy uściślić, że przy ustalaniu kwoty odszkodowania należnego z tytułu prawa do odszkodowania za szkodę niemajątkową szkoda niemajątkowa spowodowana naruszeniem danych osobowych nie jest ze swej natury mniej istotna niż uszczerbek na zdrowiu (wyrok z dnia 20 czerwca 2024 r., Scalable Capital, C-182/22 i C-189/22, EU:C:2024:531, pkt 39).
152 Ponadto jeżeli osoba zdoła wykazać, że naruszenie RODO wyrządziło jej szkodę w rozumieniu art. 82 tego rozporządzenia, kryteria oceny należnego odszkodowania w ramach powództw mających na celu zachowanie praw, jakie podmioty prawa wywodzą z tego artykułu, powinny być określone w ramach porządku prawnego poszczególnych państw członkowskich, pod warunkiem że takie odszkodowanie jest pełne i skuteczne (zob. podobnie wyrok z dnia 20 czerwca 2024 r., Scalable Capital, C-182/22 i C-189/22, EU:C:2024:531, pkt 43).
153 W tym względzie prawo do odszkodowania przewidziane w tym art. 82 ust. 1, w szczególności w przypadku szkody niemajątkowej, pełni funkcję wyłącznie kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełne naprawienie szkody poniesionej konkretnie w wyniku naruszenia wspomnianego rozporządzenia, nie zaś funkcję odstraszającą lub represyjną [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C-300/21, EU:C:2023:370, pkt 57 i 58; a także z dnia 11 kwietnia 2024 r., juris, C-741/21, EU:C:2024:288, pkt 61].
154 Ponadto, po pierwsze, powstanie odpowiedzialności administratora danych na podstawie art. 82 RODO jest uzależnione od istnienia jego winy, której istnienie domniemywa się, chyba że wykaże on, iż w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody, i, po drugie, ten art. 82 nie wymaga wzięcia pod uwagę stopnia tej winy przy określaniu kwoty odszkodowania przyznawanego za szkodę niemajątkową na podstawie wspomnianego przepisu (wyroki: z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, pkt 103, a także z dnia 25 stycznia 2024 r., MediaMarktSaturn, C-687/21, EU:C:2024:72, pkt 52).
155 W niniejszej sprawie, jak wskazano w pkt 42 niniejszego wyroku, sąd odsyłający wyjaśnił, że Administrativen sad Dobrich (sąd administracyjny w mieście Dobricz) stwierdził istnienie szkody niemajątkowej polegającej na negatywnym doświadczeniu psychicznym i emocjonalnym OL, a mianowicie strachu i niepokoju wobec ewentualnych nadużyć, a także braku możliwości działania i rozczarowaniu co do niemożności ochrony danych osobowych tej osoby. Orzeczono również, że ta szkoda niemajątkowa wynika z pisma agencji z dnia 26 stycznia 2022 r., które spowodowało naruszenie prawa do usunięcia danych ustanowionego w art. 17 ust. 1 RODO, a także niezgodne z prawem przetwarzanie jej danych osobowych zawartych w rozpatrywanej umowie spółki podanej do publicznej wiadomości.
156 W świetle powyższych rozważań na pytanie siódme należy odpowiedzieć, iż art. 82 ust. 1 RODO należy interpretować w ten sposób, że ograniczona w czasie utrata przez osobę, której dane dotyczą, kontroli nad jej danymi osobowymi z powodu publicznego udostępnienia tych danych online w rejestrze handlowym państwa członkowskiego może wystarczyć do spowodowania „szkody niemajątkowej”, pod warunkiem że osoba ta wykaże, iż faktycznie poniosła taką szkodę, nawet jeśli jest ona nieznaczna, przy czym to pojęcie „szkody niemajątkowej” nie wymaga wykazania istnienia dodatkowych wymiernych negatywnych konsekwencji.
W przedmiocie pytania ósmego
157 Poprzez pytanie ósme sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 3 RODO należy interpretować w ten sposób, że opinia organu nadzorczego państwa członkowskiego wydana na podstawie art. 58 ust. 3 lit. b) tego rozporządzenia wystarcza do zwolnienia z odpowiedzialności, na podstawie art. 82 ust. 2 wspomnianego rozporządzenia, organu odpowiedzialnego za prowadzenie rejestru handlowego tego państwa członkowskiego mającego status „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia.
158 W pierwszej kolejności, co się tyczy systemu odpowiedzialności przewidzianego w art. 82 RODO, należy przypomnieć, że artykuł ten stanowi w ust. 1, iż każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia tego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Jak wynika z pkt 140 niniejszego wyroku, to prawo do odszkodowania jest uzależnione od łącznego spełnienia trzech przesłanek.
159 Zgodnie z art. 82 ust. 2 zdanie pierwsze wspomnianego rozporządzenia każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy tego rozporządzenia. W przepisie tym, w którym sprecyzowano system odpowiedzialności, którego zasada została ustanowiona w ust. 1 tego artykułu, powtórzono bowiem trzy przesłanki konieczne do powstania prawa do odszkodowania, a mianowicie przetwarzanie danych osobowych z naruszeniem przepisów RODO, szkodę poniesioną przez osobę, której dane dotyczą, oraz związek przyczynowy między tym niezgodnym z prawem przetwarzaniem a tą szkodą [wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C-300/21, EU:C:2023:370, pkt 36].
160 W art. 82 ust. 3 RODO uściślono natomiast, że administrator danych jest zwolniony z odpowiedzialności, na podstawie art. 82 ust. 2, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.
161 Jak orzekł już Trybunał, z łącznej analizy art. 82 ust. 1–3 RODO, kontekstu, w jaki wpisuje się ten artykuł, oraz celów realizowanych przez prawodawcę Unii poprzez to rozporządzenie wynika, że wspomniany artykuł przewiduje system odpowiedzialności na zasadzie winy, w którym ciężar dowodu spoczywa nie na osobie, która poniosła szkodę, lecz na administratorze (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, pkt 94 i 95).
162 W szczególności nie byłoby zgodne z celem polegającym na zapewnieniu wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych przyjęcie wykładni, zgodnie z którą osoby, których dane dotyczą i które poniosły szkodę z powodu naruszenia przepisów RODO, powinny, w ramach powództwa odszkodowawczego opartego na art. 82 tego rozporządzenia, ponosić ciężar wykazania nie tylko istnienia tego naruszenia i wynikającej stąd szkody dla nich, lecz także istnienia winy umyślnej lub niedbalstwa ze strony administratora danych, a nawet stopnia tej winy – podczas gdy we wspomnianym art. 82 nie sformułowano takich wymogów (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, pkt 99).
163 Zgodnie z orzecznictwem przytoczonym w pkt 154 niniejszego wyroku powstanie odpowiedzialności administratora danych na podstawie wspomnianego art. 82 RODO jest zatem uzależnione od istnienia jego winy, której istnienie domniemywa się, chyba że administrator ten udowodni, iż nie można mu w żaden sposób przypisać okoliczności, która spowodowała szkodę.
164 W tym względzie, jak wynika z wyraźnego dodania określenia „w żadnym razie” w toku procedury ustawodawczej, okoliczności, w których administrator może ubiegać się o zwolnienie z odpowiedzialności cywilnej, jaką ponosi na podstawie art. 82 RODO, powinny być ściśle ograniczone do okoliczności, w których administrator ten jest w stanie wykazać, że nie ponosi winy za szkodę (wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 70).
165 Trybunał orzekł również, że w przypadku naruszenia danych osobowych przez osobę trzecią, taką jak cyberprzestępca, lub przez osobę, za którą ponosi odpowiedzialność, administrator może uwolnić się od odpowiedzialności na podstawie art. 82 ust. 3 RODO wyłącznie poprzez wykazanie, że nie istnieje żaden związek przyczynowy między ewentualnym naruszeniem ciążącego na nim na mocy tego rozporządzenia obowiązku ochrony danych a szkodą poniesioną przez osobę, której dane dotyczą (zob. podobnie wyroki: z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, pkt 72, a także z dnia 11 kwietnia 2024 r., juris, C-741/21, EU:C:2024:288, pkt 51).
166 W związku z tym, aby ten administrator danych mógł zostać zwolniony z odpowiedzialności na podstawie art. 82 ust. 3, nie wystarczy, by wykazał on, że wydał polecenia osobom działającym z jego upoważnienia w rozumieniu wspomnianego rozporządzenia i że jedna ze wspomnianych osób uchybiła ciążącemu na niej obowiązkowi stosowania się do tych poleceń, w związku z czym przyczyniła się ona do powstania rozpatrywanej szkody (zob. podobnie wyrok z dnia 11 kwietnia 2024 r., juris, C-741/21, EU:C:2024:288, pkt 52).
167 W drugiej kolejności, co się tyczy przepisów dotyczących środków dowodowych, należy przypomnieć, że RODO nie zawiera przepisów dotyczących dopuszczania i mocy dowodowej środka dowodowego, które powinny być stosowane przez sądy krajowe rozpatrujące powództwo odszkodowawcze oparte na art. 82 tego rozporządzenia. W związku z tym, w braku norm prawa Unii w tej dziedzinie, do wewnętrznego porządku prawnego każdego państwa członkowskiego należy określenie zasad dotyczących działań mających na celu zapewnienie ochrony uprawnień podmiotów prawa wynikających z tego art. 82, a w szczególności zasad dotyczących środków dowodowych, z zastrzeżeniem poszanowania zasad równoważności i skuteczności (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, pkt 60 i przytoczone tam orzecznictwo).
168 W trzeciej kolejności, co się tyczy opinii wydanej na podstawie art. 58 ust. 3 lit. b) RODO, należy przypomnieć, że artykuł ten określa uprawnienia organów nadzorczych.
169 W związku z tym art. 58 RODO przyznaje tym organom w ust. 1 uprawnienia dochodzeniowe, w ust. 2 – uprawnienie do podejmowania środków naprawczych, w ust. 3 – uprawnienia w zakresie wydawania zezwoleń i uprawnienia doradcze, a w ust. 5 – uprawnienie do zgłaszania organom sądowym wszelkich naruszeń tego rozporządzenia, a w razie potrzeby prawo do wszczęcia postępowania sądowego w celu wyegzekwowania stosowania przepisów wspomnianego rozporządzenia.
170 Tymczasem wśród uprawnień wymienionych w art. 58 ust. 3 RODO, w lit. b) tego przepisu, znajduje się prawo do „wydawania, z własnej inicjatywy lub na wniosek, opinii przeznaczonych dla parlamentu narodowego, rządu państwa członkowskiego lub – zgodnie z prawem państwa członkowskiego – innych instytucji i organów oraz ogółu społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych”.
171 Z brzmienia tego przepisu, a w szczególności z terminu „opinia”, jasno wynika, że wydawanie takiej opinii wchodzi w zakres uprawnień doradczych, a nie uprawnień w zakresie wydawania zezwoleń przez organ nadzorczy.
172 Użycie terminów „opinia” i „uprawnienia doradcze” wskazuje również na to, że opinia wydana na podstawie art. 58 ust. 3 lit. b) RODO nie jest prawnie wiążąca na mocy prawa Unii.
173 Motyw 143 RODO potwierdza tę wykładnię. Stanowi on bowiem, że „każda osoba fizyczna lub prawna powinna mieć prawo do skutecznego środka ochrony prawnej przed właściwym sądem krajowym wobec decyzji organu nadzorczego wywołującej skutki prawne wobec tej osoby. Taka decyzja może dotyczyć w szczególności wykonywania przez organ nadzorczy uprawnień do prowadzenia postępowań wyjaśniających, uprawnień naprawczych i do wydawania zezwoleń lub oddalania lub odrzucania skarg. Prawo do skutecznego środka ochrony prawnej przed sądem nie dotyczy jednak niewiążących prawnie środków przyjętych przez organy nadzorcze, takich jak wydawane przez nie opinie czy zalecenia”.
174 Tymczasem, ponieważ opinia wydana administratorowi danych nie jest prawnie wiążąca, nie może ona sama w sobie wykazać braku możliwości przypisania szkody temu administratorowi w rozumieniu orzecznictwa przytoczonego w pkt 164 niniejszego wyroku, ani tym samym nie może wystarczyć do zwolnienia wspomnianego administratora z odpowiedzialności na podstawie art. 82 ust. 3 RODO.
175 Taka wykładnia tego art. 82 ust. 3 jest również zgodna z realizowanymi przez RODO celami polegającymi na zapewnieniu wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych oraz zapewnieniu skutecznego naprawienia szkód, jakie mogą ponieść w wyniku przetwarzania tych danych dokonywanego z naruszeniem tego rozporządzenia. Gdyby bowiem administrator danych mógł powołać się na niewiążącą prawnie opinię, aby uniknąć wszelkiej odpowiedzialności, a w związku z tym wszelkiego obowiązku naprawienia szkody, administrator ten nie byłby skłonny do uczynienia wszystkiego, co jest w jego mocy, aby zapewnić ten wysoki poziom ochrony i przestrzegać obowiązków nałożonych przez wspomniane rozporządzenie.
176 W świetle powyższych rozważań na pytanie ósme należy odpowiedzieć, iż art. 82 ust. 3 RODO należy interpretować w ten sposób, że opinia organu nadzorczego państwa członkowskiego wydana na podstawie art. 58 ust. 3 lit. b) tego rozporządzenia nie wystarcza do zwolnienia z odpowiedzialności, na podstawie art. 82 ust. 2 wspomnianego rozporządzenia, organu odpowiedzialnego za prowadzenie rejestru handlowego tego państwa członkowskiego mającego status „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia.
W przedmiocie kosztów
177 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje:
1) Artykuł 21 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2017/1132 z dnia 14 czerwca 2017 r. w sprawie niektórych aspektów prawa spółek
2) należy interpretować w ten sposób, że:
3) nie nakłada on na państwo członkowskie obowiązku zezwolenia na ujawnienie w rejestrze handlowym umowy spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w tej dyrektywie i zawierającej – inne niż minimalnie wymagane dane osobowe – dane osobowe, których publikacja nie jest wymagana przez prawo tego państwa członkowskiego.
2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w szczególności jego art. 4 pkt 7 i 9,
należy interpretować w ten sposób, że:
organ odpowiedzialny za prowadzenie rejestru handlowego państwa członkowskiego, który publikuje w tym rejestrze dane osobowe zawarte w umowie spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w dyrektywie 2017/1132, która została mu przekazana w ramach wniosku o wpis tej spółki do wspomnianego rejestru, jest zarówno „odbiorcą” tych danych – w szczególności w zakresie, w jakim udostępnia je publicznie – jak i „administratorem” wspomnianych danych w rozumieniu tego przepisu, nawet jeśli umowa ta zawiera dane osobowe niewymagane przez tę dyrektywę lub prawo tego państwa członkowskiego.
3) Dyrektywę 2017/1132, w szczególności jej art. 16, a także art. 17 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
stoją one na przeszkodzie uregulowaniu lub praktyce państwa członkowskiego, które prowadzą do odmowy przez organ odpowiedzialny za prowadzenie rejestru handlowego tego państwa członkowskiego uwzględnienia każdego wniosku o usunięcie danych osobowych, których nie wymaga ta dyrektywa lub prawo wspomnianego państwa członkowskiego, zawartych w umowie spółki opublikowanej w tym rejestrze, jeżeli odpis tej umowy, utajniający te dane, nie został przekazany temu organowi, wbrew zasadom proceduralnym przewidzianym w tym uregulowaniu.
4) Artykuł 4 pkt 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
odręczny podpis osoby fizycznej wchodzi w zakres pojęcia „danych osobowych” w rozumieniu tego przepisu.
5) Artykuł 82 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
ograniczona w czasie utrata przez osobę, której dane dotyczą, kontroli nad jej danymi osobowymi z powodu publicznego udostępnienia tych danych online w rejestrze handlowym państwa członkowskiego może wystarczyć do spowodowania „szkody niemajątkowej”, pod warunkiem że osoba ta wykaże, iż faktycznie poniosła taką szkodę, nawet jeśli jest ona nieznaczna, przy czym to pojęcie „szkody niemajątkowej” nie wymaga wykazania istnienia dodatkowych wymiernych negatywnych konsekwencji.
6) Artykuł 82 ust. 3 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
opinia organu nadzorczego państwa członkowskiego wydana na podstawie art. 58 ust. 3 lit. b) tego rozporządzenia nie wystarcza do zwolnienia z odpowiedzialności, na podstawie art. 82 ust. 2 wspomnianego rozporządzenia, organu odpowiedzialnego za prowadzenie rejestru handlowego tego państwa członkowskiego mającego status „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia.