–

за Агенцията по вписванията, от И. Иванов и Д. Митева, подпомагани от Ж. Мандажиева, адвокат,

–

за OL, лично от нея, подпомагана от И. Стойнев и Т. Цонев, адвокати,

–

за българското правителство, от Цв. Митова и Р. Стоянов, в качеството на представители,

–

за германското правителство, от J. Möller и P.‑L. Krüger, в качеството на представители,

–

за Ирландия, от M. Browne, Chief State Solicitor, A. Joyce, M. Lane и M. Tierney, в качеството на представители, подпомагани от I. Boyle Harper, BL,

–

за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от G. Natale, avvocato dello Stato,

–

за полското правителство, от B. Majczyna, в качеството на представител,

–

за финландското правителство, от A. Laine, в качеството на представител,

–

за Европейската комисия, от A. Bouchagiar, Цв. Георгиева, H. Kranenborg и L. Malferrari, в качеството на представители,

1

Преюдициалното запитване се отнася до тълкуването на членове 3 и 4 от Директива 2009/101/ЕО на Европейския парламент и на Съвета от 16 септември 2009 година за координиране на гаранциите, които държавите членки изискват от дружествата по смисъла на член 48, втора алинея от Договора, за защита на интересите на членовете и на трети лица с цел тези гаранции да станат равностойни (ОВ L 258, 2009 г., стр. 11), както и на членове 4, 6, 17, 58 и 82 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2

Запитването е отправено в рамките на спор между Агенцията по вписванията (България) (наричана по-нататък „агенцията“) и OL по повод на отказа на агенцията да заличи някои лични данни на OL, съдържащи се в дружествен договор, публикуван в търговския регистър.

3

Директива (ЕС) 2017/1132 на Европейския парламент и на Съвета от 14 юни 2017 година относно някои аспекти на дружественото право (ОВ L 169, 2017 г., стр. 46) отменя и заменя Директива 2009/101, считано от датата на влизането си в сила, а именно 20 юли 2017 г.

4

Съображения 1, 7, 8 и 12 от Директива 2017/1132 гласят:

[…]

[…]

5

Дял I, глава II от Директива 2017/1132 включва раздел 1, озаглавен „Учредяване на акционерно дружество“, а съдържащият се в него член 4, „Задължителна информация, която се предоставя в устава или учредителния акт или в отделни документи“, гласи:

„В устава или в учредителния акт, или в отделен документ, публикуван съгласно законодателството на всяка държава членка в съответствие с член 16 следва да се съдържа поне следната информация:

[…]

[…]“.

6

Дял I, глава III от Директивата включва раздел 1, озаглавен „Общи разпоредби“, а той обхваща членове 13—28.

7

Член 13 от посочената директива е озаглавен „Обхват“ и гласи:

„Мерките за координиране, предвидени в настоящия раздел, се прилагат относно законовите, подзаконовите и административните разпоредби на държавите членки, свързани с видовете дружества, посочени в приложение II“.

8

Член 14 от Директива 2017/1132 е озаглавен „Актове и данни за оповестяване от дружествата“ и гласи:

„Държавите членки предприемат необходимите мерки, за да гарантират задължителното оповестяване от дружествата най-малко на следните актове и данни:

[…]“.

9

Член 15 от Директивата е озаглавен „Промени в актовете и данните“ и параграф 1 от него предвижда:

„Държавите членки вземат необходимите мерки, за да гарантират, че всички промени в актовете и данните по член 14 се вписват в съответния регистър, посочен в член 16, параграф 1, първа алинея и се оповестяват в съответствие с член 16, параграфи 3 и 5, обикновено в срок от 21 дни от получаването на пълната документация относно тези промени, включително, доколкото е приложимо, проверката на законосъобразност, която се изисква съгласно националното право за вписвания по делото“.

10

Съгласно член 16 от посочената директива, озаглавен „Оповестяване в регистъра“:

„1.   Във всяка държава членка се образува дело в централен, търговски или дружествен регистър („регистърът“) за всяко дружество, регистрирано там.

[…]

3.   Всички актове и данни, които подлежат на оповестяване в съответствие с член 14, се включват в делото или се вписват в регистъра; предметът на вписванията в регистъра във всички случаи се съдържа в делото.

Държавите членки осигуряват възможност за представяне по електронен път на всички подлежащи на оповестяване актове и данни, посочени в член 14, от страна на дружествата или от други лица или органи, от които се изисква да ги представят или да участват при представянето им. Освен това държавите членки може да задължат всички дружества или някои категории дружества да представят всички или част от въпросните актове и данни по електронен път.

Всички актове и данни, посочени в член 14, независимо от това дали са представени на хартиен носител или по електронен път, се прилагат към делото или се вписват в регистъра в електронна форма. За тази цел държавите членки следят регистърът да конвертира в електронна форма всички актове и данни, които са представени на хартиен носител.

[…]

4.   При подаване на молба следва да може да бъде получен пълен или частичен препис от всеки акт или всякакви данни, посочени в член 14. Молбата може да се подаде до регистъра на хартиен носител или по електронен път, по избор на заявителя.

[…]

5.   Оповестяването на актовете и данните, посочени в параграф 3, се извършва чрез публикуване в държавния вестник, определен за тази цел от държавата членка, на пълния текст или извлечение от него, или чрез бележка относно представянето на акта по делото или вписването му в регистъра. Държавният вестник, определен за тази цел от държавата членка, може да се издава в електронна форма.

Държавите членки могат да решат да заменят публикуването в държавния вестник с друго равностойно средство, което включва най-малко използването на система за справка с публикуваната информация, подредена в хронологичен ред, чрез централна електронна платформа.

6.   Дружеството може да противопостави актовете и данните на трети лица само след оповестяването им по реда на параграф 5, освен ако докаже, че те са били известни на третите лица.

[…]

7.   Държавите членки предприемат необходимите мерки, за да избягнат всякакви различия между оповестеното в съответствие с параграф 5 и съдържанието на регистъра или на делото.

Въпреки това в случай на различия текстът, оповестен в съответствие с параграф 5, не може да се противопостави на трети лица; последните обаче могат да се позовават на него, освен ако дружеството докаже, че те са били запознати с текста, представен по делото или вписан в регистъра.

[…]“.

11

Член 21 от Директива 2017/1132 е озаглавен „Език на оповестяване и превод на оповестените документи и данни“ и предвижда:

„1.   Актовете и данните, подлежащи на оповестяване съгласно член 14, се изготвят и представят на един от езиците, разрешени съгласно езиковите правила, приложими в държавата членка, където се образува съответното дело, посочено в член 16, параграф 1.

2.   Освен задължителното оповестяване, посочено в член 16, държавите членки са длъжни да допуснат и доброволното оповестяване в съответствие с разпоредбите на член 16, на посочените в член 14 преводи на актове и данни на всеки от официалните езици на [Европейския съюз].

Държавите членки могат да предвидят преводите на тези актове и данни да бъдат заверени.

Държавите членки предприемат необходимите мерки за улесняване на достъпа на трети лица до доброволно оповестените преводи.

3.   Освен задължителното оповестяване, посочено в член 16, и доброволното оповестяване, предвидено в параграф 2 от настоящия член, държавите членки могат да допуснат и оповестяването в съответствие с разпоредбите на член 16 на съответните актове и данни на всякакъв друг език.

[…]

4.   В случай на различия между актовете и данните, оповестени на официалните езици в регистъра, и доброволно оповестения превод, последният не може да се противопостави на трети лица […]“.

12

Член 161 от посочената директива е озаглавен „Защита на лични данни“ и гласи:

„Обработката на лични данни в рамките на настоящата директива се извършва в съответствие с Директива 95/46/ЕО [на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10)]“.

13

Член 166 от Директивата е озаглавен „Отмяна“ и гласи:

„Директиви [2009/101 и 2012/30] се отменят […].

Позоваванията на отменените директиви се считат за позовавания на настоящата директива и се четат съгласно таблицата на съответствието в приложение IV“.

14

Приложение II към Директива 2017/1132 изброява видовете дружества, посочени в член 7, параграф 1, член 13, член 29, параграф 1, член 36, параграф 1, член 67, параграф 1 и член 119, параграф 1, буква а) от Директивата, сред които за България е посочено ООД.

15

Съгласно таблицата на съответствието в приложение IV към Директива 2017/1132, от една страна, членове 2, 2а, 3, 4 и 7а от Директива 2009/101 съответстват на членове 14, 15, 16, 21 и 161 от Директива 2017/1132. От друга страна, член 3 от Директива 2012/30 съответства на член 4 от Директива 2017/1132.

16

Директива 2017/1132 е изменена в частност с Директива (ЕС) 2019/1151 на Европейския парламент и на Съвета от 20 юни 2019 година за изменение на Директива (ЕС) 2017/1132 във връзка с използването на цифрови инструменти и процеси в областта на дружественото право (ОВ L 186, 2019 г., стр. 80), която влиза в сила на 31 юли 2019 г. и включва член 1, „Изменения на Директива [2017/1132]“, който гласи:

„Директива [2017/1132] се изменя, както следва:

[…]

6) Член 16 се заменя със следното:

„Член 16

Оповестяване в регистъра

1.   Във всяка държава членка се образува дело в централен, търговски или дружествен регистър („регистърът“) за всяко дружество, регистрирано там.

[…]

2.   Всички документи и информация, които подлежат на оповестяване в съответствие с член 14, се съхраняват в делото, посочено в параграф 1 от настоящия член, или се вписват директно в регистъра, а предметът на вписванията в регистъра се отбелязва в делото.

Всички документи и информация, посочени в член 14, независимо от носителя, на който са подадени, се съхраняват в делото в регистъра или се въвеждат директно в него в електронна форма. Държавите членки гарантират, че регистърът във възможно най-кратки срокове преобразува в електронна форма всички документи и информация, които са подадени на хартиен носител.

[…]

3.   Държавите членки гарантират, че оповестяването на документите и информацията, посочени в член 14, се извършва чрез осигуряване на публичен достъп до тях в регистъра. Наред с това, държавите членки могат да изискват някои или всички документи и информация да се публикуват в определен за тази цел официален вестник или чрез също толкова ефективни средства. […]

4.   Държавите членки предприемат необходимите мерки, за да се избегнат несъответствия между съдържанието на регистъра и на делото.

Държавите членки, които изискват публикуване на документи и информация в официален вестник или на централна електронна платформа, предприемат необходимите мерки, за да избегнат несъответствия между оповестеното в съответствие с параграф 3 и публикуваното в официалния вестник или на платформата.

В случай на несъответствия по настоящия член документите и информацията, достъпни в регистъра, имат предимство.

5.   Дружеството може да противопостави документите и информацията, посочени в член 14, на трети лица само след оповестяването им по реда на параграф 3 от настоящия член, освен ако не успее да докаже, че те са били известни на третите лица.

[…]

6.   Държавите членки гарантират, че всички документи и информация, подадени в рамките на учредяването на дружество, регистрацията на клон или подаването на документи или информация от дружество или клон, се съхраняват от регистрите в машинночетим и позволяващ търсене формат или под формата на структурирани данни.“

7) Вмъква се следният член:

„Член 16а

Достъп до оповестена информация

1.   Държавите членки гарантират, че въз основа на подадено до регистъра искане могат да бъдат получени копия от всички или част от документите и информацията, посочени в член 14 […].

[…]“.

19) Член 161 се заменя със следното:

„Член 161

Защита на данните

„Обработването на всички лични данни в контекста на настоящата директива се извършва в съответствие с [ОРЗД]“.

17

Съгласно член 2 от Директива 2019/1151, озаглавен „Транспониране“:

„1.   Държавите членки въвеждат в сила законовите, подзаконовите и административните разпоредби, необходими, за да се съобразят с настоящата директива, до 1 август 2021 г. […]

2.   Независимо от параграф 1 от настоящия член, държавите членки въвеждат в сила законовите, подзаконовите и административните разпоредби, необходими, за да се съобразят с […] член 1, точка 6 от настоящата директива, по отношение на член 16, параграф 6 от Директива [2017/1132], до 1 август 2023 г.

3.   Чрез дерогация от параграф 1, държавите членки, които срещат особени трудности при транспонирането на настоящата директива, имат право на удължаване до една година на предвидения в параграф 1 срок. […]

[…]“.

18

Съображения 26, 32, 40, 42, 43, 50, 85, 143 и 146 от ОРЗД гласят:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

19

Член 4 от ОРЗД е озаглавен „Определения“ и гласи:

„За целите на настоящия регламент:

[…]

[…]

[…]

[…]“.

20

Член 5 от ОРЗД, озаглавен „Принципи, свързани с обработването на лични данни“, гласи:

„1.   Личните данни са:

[…]

[…]

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

21

Съгласно член 6 от ОРЗД, озаглавен „Законосъобразност на обработването“:

„1.   Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

[…]

[…]

[…]

3.   Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:

Целта на обработването се определя в това правно основание или доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Това правно основание може да включва конкретни разпоредби за адаптиране на прилагането на разпоредбите на настоящия регламент, inter alia общите условия, които определят законосъобразността на обработването от администратора, видовете данни, които подлежат на обработване, съответните субекти на данни; образуванията, пред които могат да бъдат разкривани лични данни, и целите, за които се разкриват; ограниченията по отношение на целите на разкриването; периодът на съхранение и операциите и процедурите за обработване, включително мерки за гарантиране на законосъобразното и добросъвестно обработване, като тези за други конкретни случаи на обработване съгласно предвиденото в глава IX. Правото на Съюза или правото на държавата членка се съобразява с обществения интерес и е пропорционално на преследваната легитимна цел.

[…]“.

22

Член 17 от ОРЗД е озаглавен „Право на изтриване (право „да бъдеш забравен“)“ и предвижда:

„1.   Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

[…]

3.   Параграфи 1 и 2 не се прилагат, доколкото обработването е необходимо:

[…]

[…]“.

23

Член 21, параграф 1 от ОРЗД има следния текст:

„Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции“.

24

Член 58 от ОРЗД гласи:

„1.   Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

[…]

2.   Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

[…]

3.   Всеки надзорен орган има всички от посочените по-долу правомощия да дава разрешения и становища:

[…]

[…]

4.   Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни съдебни средства за правна защита и справедлив съдебен процес, определени в правото на Съюза и правото на държава членка в съответствие с Хартата [на основните права на Европейския съюз (наричана по-нататък „Хартата“)].

5.   Всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент.

6.   Всяка държава членка може да урежда със закон нейният надзорен орган да има допълнителни правомощия освен посочените в параграфи 1, 2 и 3. Упражняването на тези правомощия не нарушава ефективното действие на глава VII“.

25

Съгласно член 82 от ОРЗД, озаглавен „Право на обезщетение и отговорност за причинени вреди“:

„1.   Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2.   Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях.

3.   Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

[…]“.

26

Член 94 от ОРЗД гласи:

„1.   Директива [95/46] се отменя, считано от 25 май 2018 г.

2.   Позоваванията на отменената директива се тълкуват като позовавания на настоящия регламент […]“.

27

Член 2 от Закона за търговския регистър и регистъра на юридическите лица с нестопанска цел (ДВ, бр. 34 от 25 април 2006 г.), в приложимата му в главното производство редакция (наричан по-нататък „ЗТРРЮЛНЦ“), гласи:

„(1)   Търговският регистър и регистърът на юридическите лица с нестопанска цел е обща електронна база данни, съдържаща обстоятелствата, вписани по силата на закон, и актовете, обявени по силата на закон, за търговците и клоновете на чуждестранни търговци, юридическите лица с нестопанска цел и клоновете на чуждестранни юридически лица с нестопанска цел.

(2)   Обстоятелствата и актовете по ал. 1 се обявяват без информацията, представляваща лични данни по смисъла на чл. 4, т. 1 от [ОРЗД], с изключение на информацията, за която със закон се изисква да бъде обявена“.

28

Член 3 от този закон предвижда:

„Търговският регистър и регистърът на юридическите лица с нестопанска цел се водят от [агенцията] към министъра на правосъдието“.

29

Съгласно член 6, алинея 1 от посочения закон:

„Всеки търговец и всяко юридическо лице с нестопанска цел са длъжни да поискат да бъдат вписани в търговския регистър, съответно в регистъра на юридическите лица с нестопанска цел, като заявят подлежащите на вписване обстоятелства и представят подлежащите на обявяване актове“.

30

Член 11 от същия закон гласи следното:

„(1)   Търговският регистър и регистърът на юридическите лица с нестопанска цел са публични. Всеки има право на свободен и безплатен достъп до базата данни, съставляваща регистрите.

(2)   [Агенцията] осигурява регистриран достъп до делото на търговеца или на юридическото лице с нестопанска цел“.

31

Член 13, алинеи 1, 2, 6 и 9 от ЗТРРЮЛНЦ гласи:

„(1)   Вписване, заличаване и обявяване се извършват въз основа на заявление по образец.

(2)   Заявлението съдържа:

1. данни за заявителя;

[…]

3. подлежащото на вписване обстоятелство, вписването, чието заличаване се иска, или подлежащия на обявяване акт;

[…]

(6)   Към заявлението се прилагат документите, съответно подлежащият на обявяване акт, съгласно изискванията на закона. Документите се представят в оригинал, заверен от заявителя препис или нотариално заверен препис. Заявителят представя и заверени преписи от актовете, подлежащи на обявяване в търговския регистър, в които личните данни, освен тези, които се изискват по закон, са заличени.

[…]

(9)   Когато в заявлението или в приложените към него документи са посочени лични данни, които не се изискват по закон, се смята, че предоставилите ги лица са дали съгласието си за тяхното обработване от агенцията и за предоставянето на публичен достъп до тях.

[…]“.

32

Член 101, точка 3 от Търговския закон (ДВ, бр. 48 от 18 юни 1991 г.), в приложимата му в главното производство редакция (наричан по-нататък „ТЗ“), предвижда, че дружественият договор трябва да съдържа „името, съответно фирмата и единния идентификационен код на съдружниците“.

33

Съгласно член 119 от ТЗ:

„(1)   За вписване на дружеството в търговския регистър е необходимо:

1. да се представи дружественият договор, който се обявява;

[…]

(2) В регистъра се вписват данните по точки 1 […].

[…]

(4)   При изменение или допълнение на дружествения договор в търговския регистър се представя за обявяване препис от него, който съдържа всички изменения и допълнения, заверен от органа, представляващ дружеството“.

34

Член 6 от Наредба № 1 от 14 февруари 2007 г. за водене, съхраняване и достъп до търговския регистър и до регистъра на юридическите лица с нестопанска цел (ДВ, бр. 18 от 27 февруари 2007 г.), издадена от министъра на правосъдието, в приложимата ѝ в главното производство редакция, предвижда:

„Вписване и заличаване в търговския регистър и регистъра на юридическите лица с нестопанска цел се извършва въз основа на заявление по образец съгласно приложения [съдържащи конкретни образци]. Обявяване на актове в търговския регистър и регистъра на юридическите лица с нестопанска цел се извършва въз основа на заявление по образец съгласно приложения [съдържащи конкретни образци]“.

35

OL е съдружничка в „Правен Щит Консултинг“ ООД, дружество с ограничена отговорност съгласно българското право, което е вписано в търговския регистър на 14 януари 2021 г., след като е представен подписан от съдружниците дружествен договор от 30 декември 2020 г. (наричан по-нататък „разглежданият дружествен договор“).

36

Този договор, съдържащ имената на OL, нейния ЕГН, номер на лична карта, дата и място на издаване на картата и постоянен адрес, а също и подписа ѝ, е обявен от агенцията във вида, в който е представен.

37

На 8 юли 2021 г. OL поисква от агенцията да бъдат заличени личните ѝ данни в дружествения договор, като уточнява, че ако обработването на тези данни е въз основа на нейно съгласие, да се счита, че го оттегля.

38

Поради липсата на произнасяне на агенцията OL се обръща към Административен съд Добрич (България), който с решение от 8 декември 2021 г. отменя мълчаливия отказ на агенцията за заличаване на данните и връща преписката на агенцията за ново произнасяне.

39

В изпълнение на това съдебно решение и на аналогично решение, отнасящо се до другия съдружник, който предприема същите действия, с писмо от 26 януари 2022 г. агенцията посочва, че за да бъде уважено искането на OL за заличаване на личните данни, трябва да ѝ се представи заверен препис на разглеждания дружествен договор, в който личните данни на съдружниците, освен тези, които се изискват по закон, да бъдат заличени.

40

На 31 януари 2022 г. OL отново сезира Административен съд Добрич — с жалба срещу посоченото писмо и с искане агенцията да бъде осъдена да заплати обезщетение за причинените неимуществени вреди вследствие на това писмо, с което са нарушени правата ѝ по ОРЗД.

41

На 1 февруари 2022 г., преди да ѝ бъде връчена жалбата, агенцията заличава служебно ЕГН, данните за личната карта и адреса на OL, но не и имената и подписа ѝ.

42

С решение от 5 май 2022 г. Административен съд Добрич прогласява нищожността на писмото от 26 януари 2022 г. и осъжда агенцията да заплати на OL обезщетение за неимуществени вреди по член 82 от ОРЗД в размер на 500 български лева (BGN) (около 255 евро), ведно със законната лихва. Съгласно това съдебно решение, от една страна, вредата се изразява в негативните психически и емоционални преживявания на OL, а именно страх и безпокойство от евентуални злоупотреби и безсилие и разочарование от невъзможността да защити личните си данни. От друга страна, вредата е следствие от посоченото писмо, с което са извършени нарушение на правото на изтриване по член 17, параграф 1 от ОРЗД и незаконосъобразно обработване на нейните лични данни, съдържащи се в публикувания дружествен договор.

43

Запитващата юрисдикция — Върховен административен съд (България), разглежда касационната жалба на агенцията против това съдебно решение.

44

Според посочената юрисдикция агенцията изтъква, че освен администратор е и получател на личните данни, предоставени в производството по вписване на „Правен Щит Консултинг“. Освен това агенцията твърди, че не е получила препис от разглеждания дружествен договор, в който да са заличени личните данни на OL, които не е задължително да бъдат обявявани, въпреки че е поискала това, преди да впише дружеството в търговския регистър. Липсата на такъв препис обаче сама по себе си не била основание да се откаже вписване на търговско дружество в регистъра. Това следвало от изтъкнатото от агенцията Становище № 01‑116(20)/01.02.2021 г. на националния надзорен орган, Комисията за защита на личните данни (България), издадено на основание член 58, параграф 3, буква б) от ОРЗД. Запитващата юрисдикция посочва, че според OL е недопустимо агенцията като администратор на данните да възлага на други лица собствените си задължения за заличаване на личните данни, при положение че има практика на националните съдилища, съгласно която посоченото становище не е в съответствие с разпоредбите на ОРЗД.

45

Посочената юрисдикция добавя, че с оглед на тази практика на по-голямата част от националните съдилища е необходимо да се изяснят изискванията, които произтичат от посочения регламент. По-конкретно, тази юрисдикция иска да установи как трябва да се съвместяват правото на защита на личните данни, от една страна, и правната уредба, гарантираща публичността и достъпността на определени актове на дружествата, от друга, като уточнява, че решение от 9 март 2017 г., Manni (C‑398/15, EU:C:2017:197), не дава отговор на тълкувателните въпроси, които повдига разглежданият в главното производство случай.

46

При тези обстоятелства Върховният административен съд решава да спре производството и да постави на Съда следните преюдициални въпроси:

47

В самото начало следва да се отбележи, че отправените въпроси се отнасят до тълкуването както на ОРЗД, така и на Директива 2009/101, която е кодифицирана и заменена с Директива 2017/1132, като последната е приложима ratione temporis към фактите по случая в главното производство. Ето защо преюдициалното запитване следва да се разбира като отнасящо се до тълкуването на Директива 2017/1132.

48

Освен това, както отбелязва генералният адвокат в точка 15 от заключението си, понеже част от тези факти настъпват след 1 август 2021 г., когато изтича срокът за транспонирането на Директива 2019/1151 съгласно член 2, параграф 1 от нея, запитващата юрисдикция следва да провери дали тези факти попадат ratione temporis под действието на Директива 2017/1132, или под действието на Директива 2017/1132 в изменената ѝ с Директива 2019/1151 редакция.

49

При все това следва да се отбележи, че произтичащите от Директива 2019/1151 изменения на текста на членове 16 и 161 от Директива 2017/1132 и добавянето на нов член 16а са без значение за анализа, който Съдът следва да направи по настоящото дело, така че отговорите му в настоящото решение ще са релевантни във всички случаи.

50

С първия си въпрос запитващата юрисдикция иска по същество да установи дали член 21, параграф 2 от Директива 2017/1132 трябва да се тълкува в смисъл, че създава задължение за държавата членка да допусне оповестяване в търговския регистър на дружествен договор, който подлежи на задължителното оповестяване по тази директива и който освен минимално изискваните лични данни съдържа и други лични данни, чието публикуване не се изисква от правото на тази държава членка.

51

По-конкретно, тази юрисдикция иска да установи какъв е обхватът на споменатото в тази разпоредба доброволно оповестяване и да определи дали посочената разпоредба задължава държавите членки да допускат оповестяването на съдържащи се в дружествените актове данни, например лични данни, които те не са изискали като част от задължителното оповестяване по Директивата.

52

Съгласно член 21, параграф 2, първа алинея от Директива 2017/1132 „[о]свен задължителното оповестяване, посочено в член 16, държавите членки са длъжни да допуснат и доброволното оповестяване в съответствие с разпоредбите на член 16, на посочените в член 14 преводи на актове и данни на всеки от официалните езици на Съюза“. Член 21, параграф 2, втора алинея разрешава на държавите членки да предвидят „преводите на тези актове и данни“ да бъдат заверени. Накрая, член 21, параграф 2, трета алинея се отнася до необходимите мерки за улесняване на достъпа на трети лица до доброволно оповестените „преводи“.

53

Член 14 от Директива 2017/1132 пък изброява минимума актове и данни, за които трябва да се предвиди задължение да бъдат публикувани от съответните дружества. Съгласно член 16, параграфи 3—5 тези актове и данни трябва да се прилагат към делото в регистъра или да се вписват в него, трябва да може да бъде получен достъп до тях чрез получаване на пълен или частичен препис от тях при поискване и трябва да се оповестяват чрез публикуване на пълния текст или извлечение от него или на съответна бележка в държавния вестник или чрез друго равностойно средство.

54

В това отношение, особено като се има предвид повтарящата се употреба на термина „преводи“ в член 21, параграф 2 от Директива 2017/1132, от текста на тази разпоредба следва, че тя се отнася до доброволното оповестяване на преводите на актовете и данните по член 14 от Директивата на някой от официалните езици на Съюза и следователно само до езика на публикуване на тези актове и данни. Обратно, разпоредбата не се отнася до съдържанието на посочените актове и данни.

55

Следователно текстът на разпоредбата сочи, че член 21, параграф 2 не може да се тълкува като създаващ някакво задължение за държавите членки във връзка с оповестяването на лични данни, чието оповестяване не се изисква нито от други разпоредби на правото на Съюза, нито от правото на съответната държава членка, но които се съдържат в акт, който подлежи на задължителното оповестяване по тази директива.

56

След като смисълът на съответната разпоредба от правото на Съюза следва недвусмислено от самия ѝ текст, Съдът не може да се отклонява от това тълкуване (решение от 25 януари 2022 г., VYSOČINA WIND,C‑181/20, EU:C:2022:51, т. 39).

57

При всички положения, що се отнася до контекста на член 21, параграф 2 от Директива 2017/1132, изложеното в точка 55 от настоящото решение тълкуване намира подкрепа в заглавието на този член — „Език на оповестяване и превод на оповестените документи и данни“, а също и в останалите параграфи от него.

58

Всъщност член 21, параграф 1 от Директива 2017/1132 гласи, че „[а]ктовете и данните, подлежащи на оповестяване съгласно член 14, се изготвят и представят на един от езиците, разрешени“ съгласно приложимите за целта национални правила. Член 21, параграф 3 предвижда, че освен задължителното оповестяване по член 16 от Директивата и доброволното оповестяване по член 21, параграф 2 държавите членки могат да допуснат и оповестяване на съответните актове и данни „на всякакъв друг език“. Член 21, параграф 4 пък се отнася до „доброволно оповестения превод“.

59

Накрая, изложеното в точка 55 от настоящото решение тълкуване намира потвърждение в съображение 12 от Директивата, което гласи, че следва да бъде улеснен трансграничният достъп до информация относно дружествата, като наред със задължителното оповестяване на един от езиците, разрешени в държавата членка на съответните дружества, се позволи и доброволната регистрация на изискваните документи и данни и на други езици.

60

По изложените съображения на първия въпрос следва да се отговори, че член 21, параграф 2 от Директива 2017/1132 трябва да се тълкува в смисъл, че не създава задължение за държавата членка да допусне оповестяване в търговския регистър на дружествен договор, който подлежи на задължителното оповестяване по тази директива и който освен минимално изискваните лични данни съдържа и други лични данни, чието публикуване не се изисква от правото на тази държава членка.

61

Предвид отговора на първия въпрос не е необходимо да се отговаря на втория и третия, които са поставени само в случай че отговорът на първия въпрос е положителен.

62

С петия въпрос, който следва да се разгледа преди четвъртия, запитващата юрисдикция иска по същество да установи дали ОРЗД, и в частност член 4, точки 7 и 9 от него, трябва да се тълкува в смисъл, че органът, на който е възложено воденето на търговския регистър на държава членка и който публикува в този регистър личните данни, съдържащи се в дружествен договор, който подлежи на задължителното оповестяване по Директива 2017/1132 и му е предоставен във връзка със заявление за вписване на съответното дружество в регистъра, е както „получател“ на тези данни, така и техен „администратор“ по смисъла на тази разпоредба.

63

В началото следва да се припомни, че съгласно член 161 от Директива 2017/1132 обработката на лични данни в рамките на тази директива се извършва в съответствие с Директива 95/46, а следователно и с ОРЗД, в който член 94, параграф 2 уточнява, че позоваванията на последно посочената директива се тълкуват като позовавания на този регламент.

64

В това отношение следва най-напред да отбележи, че по силата на член 14, букви а), б) и г) от Директива 2017/1132 държавите членки трябва да предприемат необходимите мерки, за да гарантират задължителното оповестяване от дружествата най-малко на учредителния акт на дружеството и измененията му, както и на назначаването, прекратяването на правомощията и данните за лицата, които в качеството си на орган, предвиден от закона, или като членове на такъв орган са упълномощени да представляват дружеството по отношение на трети лица и в съдебни производства или да участват в управлението, надзора или контрола на дружеството. Освен това съгласно член 4, буква и) от тази директива задължителните данни, които се предоставят в подлежащия на оповестяване учредителен акт, включват самоличността на физическите или юридическите лица, дружества или предприятия, от които или от името на които е подписан този акт.

65

Както беше посочено в точка 53 от настоящото решение, съгласно член 16, параграфи 3—5 от Директивата тези актове и данни трябва да се прилагат към делото в регистъра или да се вписват в него, трябва да може да бъде получен достъп до тях чрез получаване на пълен или частичен препис от тях при поискване и трябва да се оповестяват чрез публикуване на пълния текст или извлечение от него или на съответна бележка в държавния вестник или чрез друго равностойно средство.

66

Както отбелязва генералният адвокат в точка 26 от заключението си, във връзка с това е от компетентността на държавите членки в частност да определят — при спазване на правото на Съюза — кои категории информация за самоличността на лицата по член 4, буква и) и член 14, буква г) от Директива 2017/1132, и по-конкретно кои видове лични данни, подлежат на задължително оповестяване.

67

Данните за самоличността на посочените лица обаче са информация, свързана с физическо лице, което е идентифицирано или може да бъде идентифицирано, и като такава информация представляват „лични данни“ по смисъла на член 4, точка 1 от ОРЗД (вж. в този смисъл решение от 9 март 2017 г., Manni,C‑398/15, EU:C:2017:197, т. 34).

68

Същото се отнася и до допълнителните данни за самоличността на тези лица или на други категории лица, за които държавите членки решат да предвидят задължително оповестяване или които, както в случая, се съдържат в подлежащите на оповестяване актове, без обявяването им да се изисква от Директива 2017/1132 или от националното право, с което се прилага тази директива.

69

По-нататък, що се отнася до понятието „получател“ по смисъла на член 4, точка 9 от ОРЗД, то обозначава „физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не“, като в разпоредбата се уточнява, че от тази дефиниция са изключени публичните органи, които получават данните в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка.

70

Когато във връзка със заявление за вписване на дружество в търговския регистър на държава членка обаче получава подлежащите на задължително оповестяване актове по член 14 от Директива 2017/1132, които съдържат лични данни, независимо дали същите се изискват, или не се изискват от Директивата или националното право, органът, на който е възложено воденето на посочения регистър, има качеството „получател“ на данните по смисъла на член 4, точка 9 от ОРЗД.

71

Накрая, съгласно член 4, точка 7 от ОРЗД понятието „администратор“ обхваща физически или юридически лица, публични органи, агенции или други структури, които сами или съвместно с други определят целите и средствата на обработването. В тази разпоредба също така се посочва, че когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държавата членка.

72

В това отношение следва да се припомни, че съгласно практиката на Съда целта на посочената разпоредба е да се осигури ефективна и пълна защита на субектите на данни посредством широко определение на понятието „администратор“ (решение от 11 януари 2024 г., État belge (Данни, обработени от държавен вестник), C‑231/22, EU:C:2024:7, т. 28 и цитираната съдебна практика).

73

С оглед на текста на член 4, точка 7 от ОРЗД, разглеждан в светлината на тази цел, е видно, че за да се определи дали дадено лице или субект трябва да се квалифицира като „администратор“ по смисъла на тази разпоредба, следва да се провери дали това лице или субект, самостоятелно или съвместно с други, определя целите и средствата на обработването, или същите са определени от правото на Съюза или националното право. Когато те са определени от националното право, следва да се провери дали това право определя администратора или специалните критерии за неговото определяне (вж. в този смисъл решение от 11 януари 2024 г., État belge (Данни, обработени от държавен вестник), C‑231/22, EU:C:2024:7, т. 29).

74

Важно е също така да се уточни, че предвид широкото определение на понятието „администратор“ по член 4, точка 7 от ОРЗД е възможно националното право да определя целите и средствата на обработването и евентуално администратора не само изрично, но и имплицитно. В последния случай обаче е необходимо определянето да произтича по достатъчно сигурен начин от ролята, задачите и правомощията, предоставени на съответното лице или съответния субект (решение от 11 януари 2024 г., État belge (Данни, обработени от държавен вестник), C‑231/22, EU:C:2024:7, т. 30).

75

Освен това, когато вписва и съхранява лични данни, получени във връзка със заявление за вписване на дружество в търговския регистър на държава членка, когато в съответните случаи съобщава тези данни на трети лица при поискване и когато ги публикува в държавния вестник или чрез друго равностойно средство, органът, на който е възложено воденето на този регистър, извършва действия по обработване на лични данни, във връзка с които се явява „администратор“ по смисъла на член 4, точки 2 и 7 от ОРЗД (вж. в този смисъл решение от 9 март 2017 г., Manni,C‑398/15, EU:C:2017:197, т. 35).

76

Всъщност тези действия по обработване на лични данни са различни и последващи спрямо съобщаването на личните данни от заявителя на вписването и получаването им от органа. Също така органът извършва сам посочените действия по обработване, в съответствие с целите и правилата, определени от Директива 2017/1132 и от законодателството на съответната държава членка, с което се прилага тази директива.

77

В това отношение следва да се поясни, че от съображения 7 и 8 от Директивата следва, че предвиденото от нея оповестяване има за цел да защити по-специално интересите на третите лица спрямо акционерните дружества и другите видове капиталови дружества, тъй като единствените гаранции, които те предлагат на третите лица, са техните активи. За тази цел оповестяването на основните документи на съответното дружество трябва да позволи на третите лица да се запознаят с тяхното съдържание и с други свързани с дружеството данни, по-специално относно самоличността на лицата, упълномощени да поемат задължения от името на дружеството.

78

Освен това целта на Директивата е да гарантира правната сигурност на отношенията между дружествата и третите лица с оглед на засилване на търговията между държавите членки след създаването на вътрешния пазар. С оглед на това е от значение всяко лице, което желае да установи и поддържа търговски отношения с дружества, намиращи се в други държави членки, да може лесно да се запознае с основните данни относно учредяването на търговските дружества и правомощията на лицата, на които е възложено да ги представляват, което изисква всички релевантни данни изрично да се съдържат в регистъра (вж. в този смисъл решение от 9 март 2017 г., Manni,C‑398/15, EU:C:2017:197, т. 50).

79

Както обаче отбелязва генералният адвокат в точка 39 от заключението си, като предоставя подлежащите на задължителното оповестяване по Директива 2017/1132 актове и данни на органа, на който е възложено воденето на търговския регистър на държавата членка, и като по този начин обработва съдържащите се в тези актове лични данни, заявителят, поискал вписването на дружество в регистъра, не упражнява никакво влияние върху определянето на целите и по-нататъшните действия по обработване, извършвани от този орган. Освен това той се ръководи от свои собствени, различни цели, а именно да изпълни необходимите за вписването формалности.

80

В конкретния случай, както посочва генералният адвокат в точки 31 и 32 от заключението си, от преюдициалното запитване следва, че обявяването на личните данни на OL е извършено при упражняването на правомощията, предоставени на агенцията в качеството ѝ на орган, на който е възложено воденето на търговския регистър, а целите и средствата за обработването на тези данни са определени както от правото на Съюза, така и от приложимото в главното производство национално законодателство, и в частност от член 13, алинея 9 от ЗТРРЮЛНЦ. Затова за квалифицирането на агенцията като „администратор“ във връзка с това обработване няма значение обстоятелството, че в противоречие с предвидените във въпросното законодателство процесуални правила не е предоставен заверен препис от разглеждания дружествен договор със заличаване на личните данни, които не се изискват от това законодателство.

81

За квалифицирането на агенцията по този начин не е пречка и обстоятелството, че съгласно същото законодателство тя не проверява личните данни, съдържащи се в електронните образи или в хартиените оригинали на предоставените ѝ във връзка с вписването на дружеството документи, преди публикуването им онлайн. В това отношение Съдът вече е постановил, че би било в противоречие с целта на член 4, точка 7 от ОРЗД, посочена в точка 72 от настоящото решение, държавният вестник на държава членка да се изключи от обхвата на понятието „администратор“, тъй като не упражнява контрол върху личните данни, съдържащи се в публикациите му (решение от 11 януари 2024 г., État belge (Данни, обработени от държавен вестник), C‑231/22, EU:C:2024:7, т. 38).

82

При тези обстоятелства изглежда, че в случай като обсъждания в главното производство агенцията се явява администратор във връзка с обработването на личните данни на OL, изразяващо се в обявяването им онлайн, въпреки че съгласно приложимото в главното производство национално законодателство е трябвало да ѝ бъде предоставен препис от разглеждания дружествен договор със заличаване на личните данни, които не се изискват от това законодателство, като е от компетентността на запитващата юрисдикция да провери дали е така. Следователно съгласно член 5, параграф 2 от ОРЗД агенцията също така носи отговорност за спазването на параграф 1 от този член.

83

По изложените съображения на петия въпрос следва да се отговори, че ОРЗД, и в частност член 4, точки 7 и 9 от него, трябва да се тълкува в смисъл, че органът, на който е възложено воденето на търговския регистър на държава членка и който публикува в този регистър личните данни, съдържащи се в дружествен договор, който подлежи на задължителното оповестяване по Директива 2017/1132 и му е предоставен във връзка със заявление за вписване на съответното дружество в регистъра, е както „получател“ на тези данни, така и — в частност доколкото ги обявява — техен „администратор“ по смисъла на тази разпоредба, включително когато договорът съдържа лични данни, които не се изискват от Директивата или от правото на тази държава членка.

84

Българското правителство поддържа, че четвъртият въпрос е недопустим, тъй като повдига хипотетичен проблем. Всъщност според това правителство въпросът се отнася до съответствието с член 16 от Директива 2017/1132 на евентуално, все още неприето национално законодателство, определящо реда за упражняване на правото по член 17 от ОРЗД.

85

Съгласно постоянната съдебна практика предвиденото в член 267 ДФЕС преюдициално производство създава тясно сътрудничество между националните юрисдикции и Съда, основано на разпределение на функциите помежду им, и съставлява способ, посредством който Съдът предоставя на националните юрисдикции насоките за тълкуване на правото на Съюза, които са им необходими за решаването на споровете, с които са сезирани. В рамките на това сътрудничество само националният съд, който е сезиран със спора и трябва да поеме отговорността за последващото му съдебно решаване, е компетентен да прецени — предвид особеностите на делото — както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда. Следователно, щом като поставените въпроси се отнасят до тълкуването на правото на Съюза, Съдът по принцип е длъжен да се произнесе (решение от 23 ноември 2021 г., IS (Незаконосъобразност на определението за преюдициално запитване),C‑564/19, EU:C:2021:949, т. 59 и 60 и цитираната съдебна практика).

86

От това следва, че въпросите, които се отнасят до правото на Съюза, се ползват с презумпция за релевантност. Съдът може да откаже да се произнесе по отправеното от национална юрисдикция преюдициално запитване само когато е очевидно, че исканото тълкуване на правото на Съюза няма никаква връзка с действителността или с предмета на спора в главното производство, когато проблемът е от хипотетично естество или когато Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на поставените му въпроси (решение от 24 ноември 2020 г., Openbaar Ministerie (Съставяне на подправени документи),C‑510/19, EU:C:2020:953, т. 26 и цитираната съдебна практика).

87

В конкретния случай от преюдициалното запитване следва, че запитващата юрисдикция е сезирана да се произнесе като последна инстанция по законосъобразността на отказа на агенцията да уважи обсъжданото в главното производство искане за изтриване на лични данни, защото в противоречие с предвидените в българското законодателство процесуални правила не ѝ е предоставен препис от разглеждания дружествен договор със заличаване на личните данни, които не се изискват от това законодателство. Освен това от запитването личи, че отказът е издаден в съответствие с практиката на агенцията. Накрая, тази юрисдикция уточнява, че отговорът на Съда по четвъртия въпрос е необходим за решаването на спора в главното производство в контекста на нееднаквост на националната съдебна практика.

88

Оттук следва, че противно на поддържаното от българското правителство, четвъртият въпрос е допустим.

89

Предвид сведенията в преюдициалното запитване, изложени в точка 87 от настоящото решение, следва да се приеме, че с четвъртия си въпрос запитващата юрисдикция иска по същество да установи дали Директива 2017/1132, и по-конкретно член 16 от нея, както и член 17 от ОРЗД трябва да се тълкуват в смисъл, че не допускат правна уредба или практика на държава членка, която предполага органът, на който е възложено воденето на търговския регистър на тази държава членка, да отхвърля всяко искане за изтриване на неизискваните от Директивата или правото на държавата членка лични данни, съдържащи се в публикуван в регистъра дружествен договор, когато в противоречие с предвидените в тази уредба процесуални правила не му е предоставен препис от договора със заличаване на тези данни.

90

Съгласно член 17, параграф 1 от ОРЗД субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените в тази разпоредба основания.

91

Съгласно член 17, параграф 1, буква в) такова основание е налице, когато субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от Регламента и няма „законни основания за обработването, които да имат преимущество“, а съгласно член 17, параграф 1, буква г) — когато личните данни са били „обработвани незаконосъобразно“.

92

От член 17, параграф 3, буква б) от ОРЗД също така личи, че член 17, параграф 1 не се прилага, доколкото обработването е необходимо за спазване на правно задължение, което изисква обработване, предвидено в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора, или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.

93

Ето защо, за да се определи дали в случай като разглеждания в главното производство субектът на данните разполага с право на изтриване по член 17 от ОРЗД, на първо време, следва да се провери на кое или кои от основанията за законосъобразност би могло да отговаря обработването на личните му данни.

94

В това отношение следва да се припомни, че член 6, параграф 1, първа алинея от ОРЗД изброява изчерпателно и ограничително случаите, в които обработването на лични данни може да се счита за законосъобразно. Съответно, за да може да се счита за законно, обработването трябва да попада в някой от случаите, предвидени в тази разпоредба (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения),C‑439/19, EU:C:2021:504, т. 99 и цитираната съдебна практика).

95

Когато субектът на данните не е дал съгласие за обработването на личните му данни в съответствие с член 6, параграф 1, първа алинея, буква а) или когато съгласието не е свободно изразено, конкретно, информирано и недвусмислено по смисъла на член 4, точка 11 от ОРЗД, обработването на данните му все пак може да е обосновано, ако отговаря на някое от изискванията за необходимост, упоменати в член 6, параграф 1, първа алинея, букви б)—е) от този регламент (вж. в този смисъл решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 92).

96

Във връзка с това, доколкото при наличието им става законосъобразно обработването на лични данни, извършено без съгласието на субекта на данните, предвидените в последната разпоредба основания трябва да се тълкуват стеснително (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 93 и цитираната съдебна практика).

97

Следва също така да се уточни, че съгласно член 5 от ОРЗД администраторът носи тежестта да докаже, че тези данни се събират по-специално за конкретни, изрично указани и легитимни цели, които са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват, и че те се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните (вж. в този смисъл решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 95).

98

Действително, запитващата юрисдикция е тази, която трябва да прецени дали различните елементи на обработване като обсъжданото в главното производство са обосновани от някоя от хипотезите на необходимост, упоменати в член 6, параграф 1, първа алинея, букви а)—е) от ОРЗД, но Съдът може да ѝ даде полезни насоки за решаването на спора, поставен за разглеждане пред нея (вж. в този смисъл решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 96).

99

Най-напред, в конкретния случай презумпцията за съгласие, установена с член 13, алинея 9 от ЗТРРЮЛНЦ, видимо не отговаря на условията по член 6, параграф 1, първа алинея, буква а) от ОРЗД във връзка с член 4, точка 11 от този регламент, както отбелязва генералният адвокат в точка 43 от заключението си.

100

Всъщност, както следва от съображения 32, 42 и 43 от този регламент, съгласието следва да се дава чрез ясно утвърдителен акт, например чрез писмена или устна декларация, и не се разглежда като свободно дадено, ако субектът на данни няма истински и свободен избор или не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него. Освен това съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган.

101

Ето защо презумпция като предвидената в член 13, алинея 9 от ЗТРРЮЛНЦ не би могла да се разглежда като установяваща свободно изразено, конкретно, информирано и недвусмислено съгласие за обработването на лични данни от публичен орган като агенцията.

102

По-нататък, по отношение на обсъжданото в главното производство обработване на лични данни не изглеждат приложими основанията за законосъобразност по член 6, параграф 1, първа алинея, букви б) и г), които се отнасят до обработването на лични данни, необходимо съответно за изпълнението на договор или за да бъдат защитени жизненоважните интереси на дадено физическо лице. Същото се отнася за основанието за законосъобразност по член 6, параграф 1, първа алинея, буква е), което се отнася до обработването на лични данни, необходимо за целите на легитимните интереси на администратора, тъй като от текста на член 6, параграф 1, втора алинея ясно следва, че това основание не може да се прилага за обработване на лични данни, което се извършва от публичен орган при изпълнението на неговите задачи (вж. в този смисъл решение от 8 декември 2022 г., Инспектор в Инспектората към Висшия съдебен съвет (Цели на обработването на лични данни — Разследване на престъпление), C‑180/21, EU:C:2022:967, т. 85).

103

Накрая, що се отнася до основанията за законосъобразност по член 6, параграф 1, първа алинея, букви в) и д) от ОРЗД, следва да се припомни, че съгласно член 6, параграф 1, първа алинея, буква в) обработването на лични данни е законосъобразно, ако е необходимо за спазването на законово задължение, което се прилага спрямо администратора. Съгласно член 6, параграф 1, първа алинея, буква д) е законосъобразно и обработването, което е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.

104

За тези две хипотези на законосъобразност член 6, параграф 3 от ОРЗД уточнява, че обработването трябва да се основава на правото на Съюза или на правото на държавата членка, което се прилага спрямо администратора, и че това правно основание трябва да е съобразено с цел от обществен интерес и да е пропорционално на преследваната легитимна цел.

105

На първо място, що се отнася до въпроса дали обсъжданото в главното производство обработване е необходимо за спазването на приложимо спрямо администратора законово задължение, произтичащо от правото на Съюза или правото на държавата членка, което се прилага спрямо администратора по смисъла на член 6, параграф 1, първа алинея, буква в) от ОРЗД, следва да се отбележи, както посочва генералният адвокат в точки 45 и 47 от заключението си, че Директива 2017/1132 не изисква систематично обработване на всички лични данни, съдържащи се в актовете, които подлежат на задължителното оповестяване по тази директива. Напротив, от член 161 от Директивата следва, че обработването на лични данни в рамките на Директива 2017/1132, и по-конкретно всяко събиране, съхранение, предоставяне на трети лица и публикуване на информация съгласно тази директива, трябва изцяло да отговаря на изискванията на ОРЗД.

106

Съответно държавите членки имат задачата при въвеждането на предвидените в тази директива задължения да следят да съвместяват припомнените в точка 77 от настоящото решение цели на Директивата за гарантиране на правна сигурност и защита на интересите на третите лица, от една страна, и правата по ОРЗД и основното право на защита на личните данни, от друга, като извършат балансирано претегляне между тези цели и права (вж. в този смисъл решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija,C‑184/20, EU:C:2022:601, т. 98).

107

Ето защо не може да се приеме, че обявяването онлайн в търговския регистър на лични данни, които не се изискват от Директива 2017/1132 или от приложимото в главното производство национално законодателство и се съдържат в предоставен на агенцията дружествен договор, подлежащ на задължителното оповестяване по тази директива, е обосновано от изискването да се гарантира оповестяването на актовете по член 14 от Директивата в съответствие с член 16 от нея, и че затова произтича от законово задължение, предвидено от правото на Съюза.

108

Освен ако проверката на запитващата юрисдикция не покаже друго, също така не изглежда обсъжданото в главното производство обработване да е законосъобразно поради наличието на законово задължение, предвидено от правото на държавата членка, което се прилага спрямо администратора по смисъла на член 6, параграф 1, първа алинея, буква в) от ОРЗД, в случая — от българското право, доколкото, от една страна, от преписката, с която разполага Съдът, следва, че член 2, алинея 2 от ЗТРРЮЛНЦ предвижда, че актовете, които трябва да се намират в търговския регистър, се обявяват без информацията, представляваща лични данни, „с изключение на информацията, за която със закон се изисква да бъде обявена“, а от друга страна, член 13, алинея 9 от този закон установява презумпция за съгласие, която не отговаря на изискванията на ОРЗД, както следва от точка 99 от настоящото решение.

109

На второ място, що се отнася до въпроса дали обсъжданото в главното производство обработване е необходимо за изпълнението на задача от обществен интерес или упражняването на официални правомощия, които са предоставени на администратора по смисъла на член 6, параграф 1, първа алинея, буква д) от ОРЗД, на който се позовават както запитващата юрисдикция, така и в частност българското правителство и агенцията, Съдът вече е постановил, че дейността на орган на публична власт, изразяваща се в съхраняване в база данни на данните, които дружествата трябва да съобщават въз основа на законовите си задължения, в предоставяне на достъп до тях на заинтересованите лица и в изготвяне на копия от тях за последните, е свързана с упражняването на властнически правомощия и представлява задача от обществен интерес по смисъла на тази разпоредба (вж. в този смисъл решение от 9 март 2017 г., Manni, C‑398/15, EU:C:2017:197, т. 43).

110

Оттук следва, че обсъжданото в главното производство обработване определено изглежда да се осъществява по повод на задача от обществен интерес по смисъла на посочената разпоредба. За да удовлетворява изискванията по тази разпоредба обаче, обработването трябва действително да отговаря на преследваните цели от общ интерес, без да надхвърля необходимото за постигането им (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 109).

111

Това изискване за необходимост не е изпълнено, когато преследваната цел от общ интерес може разумно да се постигне по също толкова ефикасен начин с други средства, които засягат в по-малка степен основните права на съответните лица, и по-специално правата на зачитане на личния живот и на защита на личните данни, гарантирани с членове 7 и 8 от Хартата, тъй като изключенията и ограниченията на принципа за защита на тези данни трябва да се въвеждат в границите на строго необходимото (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 110 и цитираната съдебна практика).

112

Както обаче отбелязва генералният адвокат в точка 51 от заключението си, обявяването онлайн на лични данни, които не се изискват нито от Директива 2017/1132, нито от националното право, не може собствено да се смята за необходимо за осъществяването на целите на тази директива.

113

По-конкретно, що се отнася до това дали има средства, които да засягат в по-малка степен основните права на субектите на данни, следва да се отбележи, че приложимото в главното производство национално законодателство предвижда, че заявителят, който иска вписването на дружество в търговския регистър, е длъжен да предостави препис от дружествения акт, в който да са заличени неизискваните лични данни и който да бъде публикуван в регистъра и да е достъпен за третите лица, какъвто препис в случая изобщо не е бил предоставен на агенцията, дори и след поискване от нейна страна. Българското правителство и агенцията обаче потвърждават, че дори след като изтече разумен срок и когато субектът на данните не е в състояние да издейства такъв препис от съответното дружество или неговите представители, посоченото законодателство не предвижда възможност агенцията да изготви сама преписа, а това всъщност би представлявало средство, което позволява да се постигнат също толкова ефикасно целите да се гарантират оповестяването на дружествените актове, правната сигурност и защитата на интересите на третите лица, а същевременно засяга в по-малка степен правото на защита на личните данни.

114

Следва още да се отбележи, както посочва генералният адвокат в точка 56 от заключението си, че противно на поддържаното от редица държави членки в становищата им пред Съда, изискването за опазване на целостта и надеждността на дружествените актове, подлежащи на задължителното оповестяване по Директива 2017/1132 — изискване, което налагало тези актове да се публикуват във вида, в който са предоставени на органите, на които е възложено воденето на търговския регистър — не би могло систематично да има предимство пред посоченото право, тъй като в противен случай защитата на същото би станала чисто илюзорна.

115

По-конкретно, това изискване не може да налага да остават обявени онлайн в регистъра лични данни, които не се изискват от Директива 2017/1132 или от националното право, при положение че за целите на обявяването им агенцията би могла сама да изготви предвидения от националното право препис на акта на съответното дружество, както следва от точка 113 от настоящото решение.

116

Оттук следва, че обсъжданото в главното производство обработване на лични данни като че ли при всички положения надхвърля необходимото за изпълнението на задачата от обществен интерес, възложена на агенцията съгласно посоченото национално законодателство.

117

Следователно, както отбелязва генералният адвокат в точка 59 от заключението си, освен ако не покажат друго проверките, които следва да извърши запитващата юрисдикция, подобно обработване видимо не отговаря и на условията за законосъобразност по член 6, параграф 1, първа алинея, букви в) и д) във връзка с член 6, параграф 3 от ОРЗД.

118

На второ време, що се отнася до обсъжданото в главното производство искане за изтриване по член 17 от ОРЗД, следва да се отбележи, че ако въз основа на преценката си относно законосъобразността на обработването запитващата юрисдикция стигне до извода, че то не е законосъобразно, ще е налице задължение за агенцията — в качеството ѝ на администратор, както следва от точки 82 и 83 от настоящото решение — да изтрие съответните данни без ненужно забавяне, съгласно ясния текст на член 17, параграф 1, буква г) от ОРЗД (вж. в този смисъл решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:958, т. 108).

119

Обратно, ако тази юрисдикция стигне до извода, че обработването действително отговаря на основанието за законосъобразност по член 6, параграф 1, буква д) от ОРЗД, например доколкото обявяването онлайн в търговския регистър на данни, които не се изискват от Директива 2017/1132 или от приложимото в главното производство национално законодателство, е било необходимо, за да се избегне забавяне на вписването на съответното дружество, в интерес на защитата на третите лица, следва да се отбележи, че ще е приложим член 17, параграф 1, буква в) от ОРЗД.

120

От последно посочената разпоредба във връзка с член 21, параграф 1 от ОРЗД следва, че субектът на данни има право да възрази срещу обработването и разполага с право на изтриване, освен ако са налице убедителни законни основания, които имат предимство пред интересите, както и пред правата и свободите на субекта на данните по смисъла на член 21, параграф 1 от ОРЗД, което администраторът трябва да докаже (вж. в този смисъл решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:958, т. 111).

121

В случай като разглеждания в главното производство обаче не изглежда да има убедително законно основание по смисъла на тази разпоредба, което да може да се противопостави на искането за изтриване.

122

Всъщност, от една страна, от акта за преюдициално запитване следва, че дружеството, в което е съдружник OL, вече е вписано в търговския регистър.

123

От друга страна, както беше отбелязано в точка 115 от настоящото решение, изискването за опазване на целостта и надеждността на дружествените актове, подлежащи на задължителното оповестяване по Директива 2017/1132, не би могло да налага да остават обявени онлайн в регистъра лични данни, които не се изискват от Директива 2017/1132 или от националното право.

124

Накрая, ако запитващата юрисдикция евентуално стигне до извода, че обсъжданото в главното производство обработване на лични данни действително отговаря на основанието за законосъобразност по член 6, параграф 1, буква в) от ОРЗД, следва да се отбележи, че ОРЗД, и в частност член 17, параграф 3, буква б), изрично закрепва изискването за претегляне на основните права на зачитане на личния живот и защита на личните данни, закрепени в членове 7 и 8 от Хартата, от една страна, и от друга, легитимните цели на правото на Съюза или правото на държавите членки, което съставлява основанието за законовото задължение, за чието спазване е необходимо обработването (вж. по аналогия решение от 8 декември 2022 г., Google (Премахване от резултатите при търсене, на съдържание, за което се твърди, че е неистинно), C‑460/20, EU:C:2022:962, т. 58 и цитираната съдебна практика).

125

Както вече е постановил Съдът, евентуално ограничаване на достъпа до личните данни, които подлежат на задължително оповестяване съгласно правото на Съюза, така че те да са достъпни само за третите лица с доказан особен интерес, може в отделни случаи да е обосновано — при наличие на по-важни законни основания, свързани с конкретното положение на съответните лица (вж. в този смисъл решение от 9 март 2017 г., Manni,C‑398/15, EU:C:2017:197, т. 60).

126

Както отбелязва генералният адвокат в точка 67 от заключението си, на още по-голямо основание трябва да е така и когато съответните лични данни не се изискват нито от Директива 2017/1132, нито от националното право, както е в настоящия случай.

127

По тези съображения на четвъртия въпрос следва да се отговори, че Директива 2017/1132, и по-конкретно член 16 от нея, както и член 17 от ОРЗД трябва да се тълкуват в смисъл, че не допускат правна уредба или практика на държава членка, която предполага органът, на който е възложено воденето на търговския регистър на тази държава членка, да отхвърля всяко искане за изтриване на неизисквани от Директивата или правото на държавата членка лични данни, съдържащи се в публикуван в регистъра дружествен договор, когато в противоречие с предвидените в тази уредба процесуални правила не му е предоставен препис от договора със заличаване на тези данни.

128

С шестия си въпрос запитващата юрисдикция иска по същество да установи дали член 4, точка 1 от ОРЗД трябва да се тълкува в смисъл, че саморъчният подпис на физическото лице попада в обхвата на понятието „лични данни“ по смисъла на тази разпоредба.

129

Посочената разпоредба предвижда, че лични данни е „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“, и уточнява, че „физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“.

130

В това отношение Съдът вече е постановил, че употребата на израза „всяка информация“ в определението на понятието „лични данни“ в тази разпоредба отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че тя „засяга“ съответното лице (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 23).

131

Дадена информация засяга физическо лице, което е идентифицирано или може да бъде идентифицирано, ако поради своето съдържание, крайна цел или последици тя е свързана с лице, което може да бъде идентифицирано (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 24).

132

Що се отнася до възможността за „идентифициране“ на дадено физическо лице, в съображение 26 от ОРЗД се уточнява, че следва да се вземат предвид „всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице“.

133

Оттук следва, че широкото определение на понятието „лични данни“ обхваща не само данните, събрани и съхранявани от администратора, но и всяка информация, резултат от обработване на лични данни, които засягат лице, което е идентифицирано или може да бъде идентифицирано (вж. в този смисъл решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 26).

134

От практиката на Съда също така следва, че саморъчният почерк на физическото лице дава информация за него (вж. в този смисъл решение от 20 декември 2017 г., Nowak,C‑434/16, EU:C:2017:994, т. 37).

135

Накрая следва да се отбележи, че саморъчният подпис на физическото лице въобще се използва, за да се идентифицира това лице, за да се придаде доказателствена сила на документите, върху които е положен, относно верността и правдивостта им или за да се заяви отговорност във връзка с тях. Освен това в разглеждания дружествен договор подписът на съдружниците видимо фигурира наред с имената им.

136

По изложените съображения на шестия въпрос следва да се отговори, че член 4, точка 1 от ОРЗД трябва да се тълкува в смисъл, че саморъчният подпис на физическото лице попада в обхвата на понятието „лични данни“ по смисъла на тази разпоредба.

137

Със седмия си въпрос запитващата юрисдикция иска по същество да установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че ограничената по продължителност загуба на контрол от субекта на данните върху личните му данни поради обявяването им онлайн в търговския регистър на държавата членка може да е достатъчна, за да причини „нематериални вреди“, или това понятие „нематериални вреди“ изисква да се докаже наличието на допълнителни осезаеми отрицателни последици.

138

В самото начало следва да се припомни, че съгласно текста на тази разпоредба „[в]сяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на [ОРЗД], има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

139

В това отношение, след като ОРЗД не препраща към правото на държавите членки по въпроса за смисъла и обхвата на термините, съдържащи се в тази разпоредба, по-специално що се отнася до понятията „материални или нематериални вреди“ и „обезщетение […] за нанесените вреди“, то за целите на прилагането на посочения регламент тези термини трябва да се разглеждат като самостоятелни понятия на правото на Съюза, които трябва да се тълкуват еднакво във всички държави членки (вж. в този смисъл решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 30).

140

За тази цел член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че самото нарушение на този регламент не е достатъчно, за да възникне право на обезщетение, защото наличието на материални или нематериални „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в член 82, параграф 1, също както наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни (решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 32, и от 11 април 2024 г., juris,C‑741/21, EU:C:2024:288, т. 34).

141

Ето защо лицето, което иска обезщетение за материални или нематериални вреди на основание на тази разпоредба, е длъжно да докаже не само нарушението на разпоредби на този регламент, но и че това нарушение му е причинило съответни материални или нематериални вреди. Тези материални или нематериални вреди не може само да се презумират поради наличието на посоченото нарушение (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 42 и 50, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 35).

142

По-конкретно, лицето, засегнато от нарушение на ОРЗД, което е имало отрицателни последици за него, е длъжно да докаже, че тези последици представляват нематериални вреди по смисъла на член 82 от този регламент, тъй като самото нарушение на разпоредбите на последния не е достатъчно, за да възникне право на обезщетение (решение от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 60 и цитираната съдебна практика).

143

Затова, когато лице, което иска обезщетение на основание член 82, параграф 1, се позовава на опасенията, че в бъдеще с неговите лични данни ще бъде злоупотребено поради наличието на такова нарушение, сезираната национална юрисдикция трябва да провери дали тези опасения може да се считат за основателни с оглед на обстоятелствата в конкретния случай и на субекта на данните (решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 85).

144

При все това Съдът вече е постановил, че не само от текста на член 82, параграф 1 от ОРЗД, разглеждан в светлината на съображения 85 и 146 от този регламент, които изискват широко разбиране на понятието „нематериални вреди“ по смисъла на първата посочена разпоредба, но и от целта на Регламента да се гарантира високо ниво на защита на физическите лица във връзка с обработването на лични данни, следва, че опасенията, които субект на данни изпитва вследствие на нарушение на същия регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериални вреди“ по смисъла на член 82, параграф 1 (решение от 20 юни 2024 г., PS (Грешен адрес), C‑590/22, EU:C:2024:536, т. 32 и цитираната съдебна практика).

145

По-конкретно, от съдържащия се в съображение 85, първо изречение от ОРЗД примерен списък на „вреди“ или „щети“, които могат да бъдат нанесени на субектите на данни, следва, че законодателят на Съюза е възнамерявал да включи в понятието „вреди“, които могат да бъдат нанесени на субектите на данни, в частност самата „загуба на контрол“ върху личните им данни вследствие на нарушение на този регламент, въпреки че с разглежданите данни не е конкретно извършена злоупотреба (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите,C‑340/21, EU:C:2023:986, т. 82).

146

Освен това евентуално тълкуване на член 82, параграф 1 от ОРЗД, според което понятието „нематериални вреди“ по смисъла на тази разпоредба не би включвало положенията, в които даден субект на данни се позовава само на опасенията си, че в бъдеще с личните му данни ще бъде злоупотребено от трети лица, не би било в съответствие с гарантирането на високо ниво на защита на физическите лица във връзка с обработването на лични данни в рамките на Съюза, което се цели с този регламент (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 83).

147

Също така това понятие не би могло да се ограничава само до вредите с определена значимост, по-конкретно от гледна точка на продължителността на периода, през който субектите на данни са понасяли отрицателните последици от нарушението на Регламента (вж. в този смисъл решение от 14 декември 2023 г., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, т. 16 и 19 и цитираната съдебна практика).

148

Ето защо не може да се приеме, че освен трите условия, посочени в точка 140 от настоящото решение, могат да се добавят и други условия за ангажиране на предвидената в член 82, параграф 1 от ОРЗД отговорност, като например наличието на осезаема вреда или обективният характер на увреждането (решение от 14 декември 2023 г., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, т. 17).

149

Тази разпоредба не изисква и при установено нарушение на разпоредбите на този регламент твърдяната от субекта на данни „нематериална вреда“ да достига определен „праг de minimis“, за да подлежи на поправяне (решение от 14 декември 2023 г., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, т. 18).

150

Следователно, макар да няма пречка публикуването в интернет на лични данни и последвалата загуба на контрол върху тях за кратък период от време да причинят на субектите на данни „нематериални вреди“ по смисъла на член 82, параграф 1 от ОРЗД, пораждащи право на обезщетение, трябва освен това тези субекти и да докажат, че действително са претърпели такава вреда, дори и минимална (вж. в този смисъл решения от 14 декември 2023 г., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, т. 22, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 42).

151

Накрая следва да се поясни, че при определянето на размера на обезщетението, което се дължи на основание на правото на обезщетение за нематериални вреди, нематериалните вреди, причинени от нарушение на сигурността на личните данни, не са поначало по-малко сериозни от физическите вреди (решение от 20 юни 2024 г., Scalable Capital, C‑182/22 и C‑189/22, EU:C:2024:531, т. 39).

152

Освен това, ако дадено лице успее да докаже, че нарушението на ОРЗД му е причинило вреди по смисъла на член 82 от този регламент, критериите за изчисляване на дължимото обезщетение в рамките на съдебните искове, предназначени да гарантират защитата на правата, които субектите на правото черпят от този член, трябва да се определят във вътрешния правен ред на всяка държава членка, с условието това обезщетение да е пълно и действително (вж. в този смисъл решение от 20 юни 2024 г., Scalable Capital, C‑182/22 и C‑189/22, EU:C:2024:531, т. 43).

153

В това отношение предвиденото в член 82, параграф 1 право на обезщетение, по-специално в случай на нематериални вреди, има изключително компенсаторна функция, доколкото паричното обезщетение на основание на посочената разпоредба трябва да позволява да се обезщети изцяло вредата, конкретно претърпяна поради факта на нарушението на този регламент, а не изпълнява възпираща или наказателна функция (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 57 и 58, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 61).

154

Наред с това, от една страна, ангажирането на отговорността на администратора по член 82 от ОРЗД е обусловено от неговата вина, която се презумира, освен ако последният докаже, че по никакъв начин не е отговорен за събитието, причинило вредите, а от друга страна, посоченият член 82 не изисква при определянето на размера на обезщетението за нематериални вреди на основание на този член да се взема предвид степента на вината (решения от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 103, и от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 52).

155

В конкретния случай, както беше посочено в точка 42 от настоящото решение, запитващата юрисдикция посочва, че Административен съд Добрич е констатирал наличието на нематериални вреди, изразяващи се в негативните психически и емоционални преживявания на OL, а именно страх и безпокойство от евентуални злоупотреби и безсилие и разочарование от невъзможността да защити личните си данни. Той също така е постановил, че вредата е следствие от писмото на агенцията от 26 януари 2022 г., с което са извършени нарушение на правото на изтриване по член 17, параграф 1 от ОРЗД и незаконосъобразно обработване на нейните лични данни, съдържащи се в публикувания дружествен договор.

156

По изложените съображения на седмия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че ограничената по продължителност загуба на контрол от субекта на данните върху личните му данни поради обявяването им онлайн в търговския регистър на държавата членка може да е достатъчна, за да причини „нематериални вреди“, стига субектът на данните да докаже, че действително е претърпял такива вреди, дори и минимални, но без понятието „нематериални вреди“ да изисква да се докаже наличието на допълнителни осезаеми отрицателни последици.

157

С осмия си въпрос запитващата юрисдикция иска по същество да установи дали член 82, параграф 3 от ОРЗД трябва да се тълкува в смисъл, че становището на надзорния орган на държавата членка, издадено на основание член 58, параграф 3, буква б) от този регламент, е достатъчно, за да освободи от отговорност по член 82, параграф 2 органа, на който е възложено воденето на търговския регистър на тази държава членка и който има качеството „администратор“ по смисъла на член 4, точка 7 от Регламента.

158

На първо място, що се отнася до режима на отговорността по член 82 от ОРЗД, следва да се припомни, че параграф 1 от този член гласи, че всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на този регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. Както следва от точка 140 от настоящото решение, това право на обезщетение зависи от наличието на три кумулативни условия.

159

Съгласно член 82, параграф 2, първо изречение от Регламента всеки администратор, който участва в обработването на лични данни, носи отговорност за вредите, произтичащи от извършеното обработване, което нарушава този регламент. Тази разпоредба, която уточнява режима на отговорност, чийто принцип е установен в параграф 1 от този член, възпроизвежда трите необходими условия, за да възникне право на обезщетение, а именно обработване на лични данни в нарушение на разпоредбите на ОРЗД, вреди, нанесени на субекта на данните, и причинно-следствена връзка между това незаконосъобразно обработване и вредите (решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 36).

160

Член 82, параграф 3 от ОРЗД пък гласи, че администраторът се освобождава от отговорност по параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

161

Както вече е постановил Съдът, видно от анализа на параграфи 1—3 от член 82 в тяхната взаимовръзка, от контекста на този член и от целите, които иска да постигне законодателят на Съюза чрез ОРЗД, посоченият член предвижда режим на виновна отговорност, при който тежестта на доказване се носи не от лицето, което е понесло вреди, а от администратора (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 94 и 95).

162

По-конкретно, не би било в съответствие с целта да се гарантира високо ниво на защита на физическите лица във връзка с обработването на лични данни, ако се приеме тълкуване, според което в рамките на иск за обезщетение по член 82 от ОРЗД субектите на данни, понесли вреди в резултат на нарушение на ОРЗД, следва да понесат тежестта на доказване не само на самото нарушение и на произтичащите от него вреди за тях, но и на наличието на вина у администратора под формата на умисъл или небрежност и дори на степента на тази вина, при положение че посоченият член 82 не формулира такива изисквания (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 99).

163

В съответствие със съдебната практика, цитирана в точка 154 от настоящото решение, ангажирането на отговорността на администратора по член 82 е обусловено от неговата вина, която се презумира, освен ако последният докаже, че по никакъв начин не е отговорен за събитието, причинило вредите.

164

В това отношение, както показва изричното добавяне в хода на законодателната процедура на обстоятелственото пояснение „по никакъв начин“, обстоятелствата, при които администраторът на лични данни може да претендира да бъде освободен от гражданската отговорност, която носи на основание член 82 от ОРЗД, трябва да бъдат стриктно ограничени до тези, при които този администратор е в състояние да докаже липса на възможност вредите да бъдат вменени в отговорност лично на него (решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 70).

165

Съдът също така е постановил, че при нарушение на сигурността на лични данни, извършено от трето лице, например киберпрестъпник, или от лице, действащо под ръководството на администратора, последният може да се освободи от отговорност на основание член 82, параграф 3 от ОРЗД единствено като докаже, че не е налице никаква причинно-следствена връзка между евентуалното нарушение на задължението за защита на личните данни, което той носи съгласно Регламента, и претърпените от физическото лице вреди (вж. в този смисъл решения от 14 декември 2023 г., Национална агенция за приходите, C‑340/22, EU:C:2023:986, т. 72, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 51).

166

Следователно, за да може да се освободи администраторът от отговорност съгласно член 82, параграф 3 от ОРЗД, няма как да е достатъчно той да докаже, че е дал указания на лицата, действащи под негово ръководство по смисъла на този регламент, и че някое от тези лица не е изпълнило задължението си да следва тези указания и така е допринесло за настъпването на съответните вреди (вж. в този смисъл решение от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 52).

167

На второ място, що се отнася до правилата за доказателствените средства, следва да се припомни, че ОРЗД не съдържа правила за допускането и доказателствената сила на доказателствените средства, които трябва да се прилагат от националните съдилища, сезирани с иск за обезщетение на основание член 82 от този регламент. Ето защо, след като в правото на Съюза няма правила в тази област, във вътрешния правен ред на всяка държава членка трябва да се определят правилата за съдебните искове, предназначени да гарантират защитата на правата, които субектите на правото черпят от посочения член 82, и по-специално правилата за доказателствените средства, с условието да се спазват принципите на равностойност и ефективност (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 60 и цитираната съдебна практика).

168

На трето място, що се отнася до становищата, издавани съгласно член 58, параграф 3, буква б) от ОРЗД, следва да се припомни, че този член установява правомощията на надзорните органи.

169

Така член 58, параграф 1 от ОРЗД предоставя на надзорните органи правомощия за разследване, параграф 2 — корективни правомощия, параграф 3 — изброените там правомощия за даване на разрешения и становища, а параграф 5 — правомощието да довеждат нарушенията на този регламент до знанието на съдебните органи и по целесъобразност да инициират съдебни производства с цел осигуряване на изпълнението на този регламент.

170

Сред правомощията, изброени в член 58, параграф 3 от ОРЗД обаче, е и правомощието по буква б) — „да издава по собствена инициатива или при поискване становища до националния парламент, правителството на държавата членка или, в съответствие с правото на държавата членка — до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на лични данни“.

171

От текста на последно посочената разпоредба, и по-конкретно от термина „становища“, ясно следва, че издаването на такива становища е част от правомощията на надзорния орган за даване на становище, а не от правомощията му за даване на разрешение.

172

Употребата на термините „становища“ и „правомощия да дава становища“ също така сочи, че становищата, издавани на основание член 58, параграф 3, буква б) от ОРЗД, не са правно задължителни по силата на правото на Съюза.

173

Съображение 143 от ОРЗД потвърждава това тълкуване. Всъщност то гласи, че „всяко физическо или юридическо лице има право на ефективни правни средства за защита пред компетентен национален съд срещу решение на надзорен орган, което има правни последици за това лице. Подобно решение се отнася по-специално за упражняването на правомощията за разследване, даване на разрешение и корективните правомощия на надзорния орган или оставянето без разглеждане или отхвърлянето на жалби. Същевременно правото на ефективни правни средства на защита не обхваща мерки, взети от надзорните органи, които не са с правно задължителен характер, като становища или консултации, предоставени от надзорния орган“.

174

Щом обаче даденото на администратора становище не е правно задължително, не би могло то само по себе си да доказва липса на възможност вредите да бъдат вменени в отговорност лично на администратора по смисъла на съдебната практика, цитирана в точка 164 от настоящото решение, нито съответно да е достатъчно, за да се освободи администраторът от отговорност съгласно член 82, параграф 3 от ОРЗД.

175

Това тълкуване на член 82, параграф 3 е в съответствие и с целите на ОРЗД за гарантиране на високо ниво на защита на физическите лица във връзка с обработването на личните им данни и за осигуряване на действително обезщетение за вредите, които те може да понесат поради обработването на данните им в нарушение на този регламент. Всъщност, ако се приеме за достатъчно администраторът да се позове на подобно правно незадължително становище, за да се освободи от всякаква отговорност, а като следствие от това — и от всякакво задължение за поправяне на вредите, то администраторът не би имал стимул да направи всичко, което е във властта му, за да гарантира това високо ниво на защита и да изпълни предвидените от този регламент задължения.

176

По изложените съображения на осмия въпрос следва да се отговори, че член 82, параграф 3 от ОРЗД трябва да се тълкува в смисъл, че становището на надзорния орган на държавата членка, издадено на основание член 58, параграф 3, буква б) от този регламент, не е достатъчно, за да освободи от отговорност по член 82, параграф 2 органа, на който е възложено воденето на търговския регистър на тази държава членка и който има качеството „администратор“ по смисъла на член 4, точка 7 от Регламента.

177

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (първи състав) реши: