1.

Svou žádostí o rozhodnutí o předběžné otázce se Varchoven Administrativen sad (Nejvyšší správní soud, Bulharsko) obrací na Soudní dvůr s řadou otázek, které se v podstatě týkají vztahu mezi ustanoveními o zveřejňování dokumentů společností, která jsou koordinována na úrovni Unie ( 2 ), a nařízením (EU) 2016/679 ( 3 ).

2.

Tato žádost byla podána v rámci sporu mezi agenturou Agencija po vpisvanijata (Agentura pro provádění zápisů do veřejných rejstříků, dále jen „Agentura“) a OL týkajícího se odmítnutí Agentury vymazat určité osobní údaje týkající se OL obsažené v dokumentu zveřejněném v obchodním rejstříku.

3.

Pro účely tohoto stanoviska jsou relevantní zejména články 14 a 16 směrnice (EU) 2017/1132, která nahradila směrnici 2009/101, a články 4 až 6 a 17 GDPR. Pro usnadnění čtení bude v rámci této analýzy odkazováno na znění příslušných ustanovení těchto článků.

4.

Článek 2 Zakon za targovskija registar i registara na juridičeskite lica s nestopanska cel (zákon o obchodním rejstříku a rejstříku neziskových právnických osob ( 4 )), ve znění použitelném pro spor v původním řízení dále jen „zákon o rejstřících“, stanoví:

„(1)   Obchodní rejstřík a rejstřík neziskových právnických osob [dále jen ‚rejstříky‘] jsou společnou elektronickou databází obsahující skutečnosti zapisované podle zákona, jakož i dokumenty zveřejňované podle zákona, které se týkají obchodníků a poboček zahraničních obchodníků, neziskových právnických osob a poboček zahraničních neziskových právnických osob.

(2)   Okolnosti a úkony uvedené v odstavci 1 se zveřejňují bez informací, které představují osobní údaje ve smyslu čl. 4 bodu 1 [GDPR], s výjimkou informací, které musí být zveřejněny ze zákona.“

5.

Podle čl. 6 odst. 1 zákona o rejstřících jsou všichni obchodníci a neziskové právnické osoby povinni požádat o zápis do rejstříků, uvést okolnosti, pro které je zápis požadován, a předložit dokumenty, které mají být zveřejněny.

6.

Článek 11 tohoto zákona zní:

„(1)   [Rejstříky] jsou veřejné. Každý má právo na bezplatný přístup do databáze rejstříku.

(2)   [Agentura] umožní registrovaný přístup do spisu obchodníka nebo neziskové právnické osoby.“

7.

Článek 13 odst. 1, 2, 6 a 9 uvedeného zákona stanoví:

„(1)   Registrace, výmaz a zveřejnění se provádí na základě formuláře žádosti.

(2)   Žádost musí obsahovat:

[…]

[…]

(6)   K žádosti se přiloží dokumenty, případně listiny, které mají být zveřejněny v souladu s požadavky zákona. Tyto dokumenty musí být předloženy v podobě originálu, kopie ověřené žadatelem nebo kopie ověřené notářem. Žadatel rovněž předloží ověřené kopie dokumentů, které mají být zveřejněny v obchodním rejstříku, v nichž byly utajeny jiné osobní údaje než ty, které vyžaduje zákon.

[…]

(9)   Pokud žádost nebo k ní přiložené dokumenty obsahují osobní údaje, které nejsou vyžadovány zákonem, má se za to, že osoby, které tyto údaje poskytly, souhlasí s jejich zpracováním [Agenturou] a s jejich zveřejněním.“

8.

Ustanovení § 101 odst. 3 targovski zakon (obchodní zákoník ( 5 )), ve znění použitelném pro spor v původním řízení (dále jen „obchodní zákoník“), stanoví, že společenská smlouva musí obsahovat „jméno, název společnosti a identifikační číslo společníků“.

9.

Podle čl. 119 odst. 1 tohoto zákona se k zápisu společnosti do obchodního rejstříku vyžaduje mimo jiné předložení společenské smlouvy, která je předmětem zveřejnění. V souladu s odstavcem 4 tohoto článku se „pro účely změny nebo doplnění společenské smlouvy v obchodním rejstříku zveřejňuje kopie uvedené smlouvy včetně všech změn a dodatků, jejíž pravost ověřil orgán zastupující společnost“.

10.

OL je společníkem „OOD“, společnosti s ručením omezeným podle bulharského práva, která byla zapsána do obchodního rejstříku dne 14. ledna 2021. K žádosti o zápis byla přiložena společenská smlouva ze dne 30. prosince 2020, podepsaná společníky (dále jen „společenská smlouva z roku 2020“). Tato smlouva, obsahující jméno a příjmení OL, její identifikační číslo, číslo jejího dokladu totožnosti, datum a místo vydání tohoto dokladu a adresu jejího trvalého bydliště, byla zapsána a zveřejněna v předloženém znění. Dne 8. července 2021 požádala OL Agenturu o výmaz svých osobních údajů uvedených ve společenské smlouvě z roku 2020 s tím, že pokud bylo zpracování jejích údajů založeno na jejím souhlasu, odvolává jej. Vzhledem k tomu, že Agentura neodpověděla, podala OL žalobu k Administrativen sad Dobrič (Správní soud v Dobriči, Bulharsko), který zrušil implicitní odmítnutí Agentury vyhovět žádosti OL a vrátil věc Agentuře k novému rozhodnutí. V souladu s tímto rozhodnutím a s obdobným rozhodnutím týkajícím se druhého společníka, který učinil stejný krok, sdělila Agentura dopisem ze dne 26. ledna 2022, že jí musí být zaslána ověřená kopie společenské smlouvy z roku 2020, která utajuje osobní údaje partnerů, s výjimkou údajů vyžadovaných zákonem, aby mohlo být žádosti o výmaz vyhověno (dále jen „dopis ze dne 26. ledna 2022“). Dne 31. ledna 2022 podala OL znovu žalobu k Administrativen sad Dobrič (Správní soud v Dobriči), kterou se domáhala rozhodnutí o neplatnosti dopisu ze dne 26. ledna 2022 a uložení povinnosti Agentuře nahradit jí nemajetkovou újmu, kterou jí tento dopis, jenž porušil práva přiznaná GDPR, způsobil. Dne 1. února 2022, ještě před obdržením oznámení o této žalobě, vymazala Agentura z vlastního podnětu identifikační číslo OL, údaje z průkazu totožnosti a adresu, nikoli však její příjmení, jméno a podpis. Rozsudkem ze dne 5. května 2022 Administrativen sad Dobrič (Správní soud v Dobriči) rozhodl o neplatnosti dopisu ze dne 26. ledna 2022 a nařídil Agentuře, aby kromě zákonných úroků nahradila OL nemajetkovou újmu ve výši 500 bulharských leva (BGN) (přibližně 255 eur) v souladu s článkem 82 GDPR. Podle tohoto rozsudku měla tato škoda podobu negativních emocí a prožitků v důsledku tohoto dopisu, jímž bylo porušeno její právo na výmaz podle čl. 17 odst. 1 GDPR, jakož i nezákonného zpracování jejích údajů obsažených ve zveřejněné smlouvě. Proti tomuto rozsudku podala Agentura kasační opravný prostředek k předkládajícímu soudu. Tvrdí zejména, že je nejen odpovědná za zpracování, ale je také příjemcem údajů předaných v rámci řízení o zápisu, a ačkoli podala žádost před zápisem společnosti, jejímž společníkem byla OL, neobdržela žádnou kopii smlouvy této společnosti, v níž by byly utajeny údaje, jež neměly být zveřejněny. Zápis obchodní společnosti však nelze odmítnout pouze z tohoto důvodu. Agentura odkazuje na stanovisko vnitrostátního dozorového úřadu Komisija za zaštita na ličnite danni (Komise na ochranu osobních údajů, Bulharsko) z roku 2021, předložené podle čl. 58 odst. 3 písm. b) GDPR (dále jen „stanovisko z roku 2021“) ( 6 ), v němž se uvádí, že Agentura není oprávněna měnit obsah dokumentů, které obdrží k zápisu do rejstříku. OL tvrdí, že Agentura nemůže jakožto správce ukládat jiným subjektům své vlastní povinnosti týkající se výmazu. Odkazuje na vnitrostátní judikaturu, podle níž stanovisko z roku 2021 není v souladu s ustanoveními GDPR.

11.

Za těchto podmínek se Varchoven administraven sad (Nejvyšší správní soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

12.

Účastníci původního řízení, bulharská, německá, irská, italská, polská a finská vláda a Komise předložili písemná vyjádření podle článku 23 statutu Soudního dvora Evropské unie, a to buď ke všem předběžným otázkám, nebo k některým předběžným otázkám. Účastníci původního řízení, bulharská a irská vláda a Komise byli rovněž vyslechnuti na jednání konaném dne 7. března 2024.

13.

Na žádost Soudního dvora se toto stanovisko zaměří na čtvrtou a pátou předběžnou otázku, které navrhuji posuzovat společně. Předtím, než přistoupím k analýze, považuji za nezbytné učinit několik úvodních poznámek k žádosti o rozhodnutí o předběžné otázce jako celku.

14.

Předně je třeba konstatovat – jak to učinili účastníci původního řízení, Komise a většina členských států, které předložily Soudnímu dvoru svá vyjádření – že odůvodnění předkládacího usnesení i znění předběžných otázek – včetně zejména čtvrté otázky – odkazují na ustanovení směrnice 2009/101. Tato směrnice však byla s účinností od 20. července 2017 zrušena a nahrazena směrnicí 2017/1132, která je ratione temporis použitelná na skutkový stav ve věci v původním řízení. V další části své analýzy se proto budu zabývat pouze touto posledně uvedenou směrnicí.

15.

Následně je třeba připomenout, že směrnice 2017/1132, a zejména její články 16 a 161 byly – pokud je to relevantní pro posouzení této předběžné otázky – změněny směrnicí (EU) 2019/1151 ( 7 ), která vstoupila v platnost dne 31. července 2019. Je sice pravda, jak uvádí Komise, že k zápisu společenské smlouvy z roku 2020 obsahující osobní údaje OL do obchodního rejstříku došlo před 1. srpnem 2021, kdy uplynula lhůta pro provedení směrnice 2019/1151 ( 8 ), avšak některé skutečnosti nastaly až po tomto datu, včetně odeslání dopisu ze dne 26. ledna 2022 Agenturou, výmazu některých těchto údajů provedeného Agenturou z vlastního podnětu a jejich opětovného zveřejnění v obchodním rejstříku, na něž se odpůrkyně v původním řízení odvolává ve svých písemných vyjádřeních. Nelze tedy vyloučit, že je to právě znění směrnice 2017/1132, ve znění směrnice 2019/1151, které je použitelné ratione temporis ve věci v původním řízení, což přísluší ověřit předkládajícímu soudu. Proto budu v další části své analýzy odkazovat na toto znění.

16.

Ráda bych však upozornila, že změny zavedené směrnicí 2019/1151 mají jako takové pouze omezený dopad na otázku, podle jakých pravidel má orgán členského státu odpovědný za vedení obchodního rejstříku zajistit ochranu osobních údajů při plnění svých povinností. V obecnější rovině je však důležité zdůraznit, že cílem této směrnice je posílit a upevnit využívání digitálních nástrojů a postupů při shromažďování a řízení informačních toků týkajících se společností, což s sebou nese zvýšený přístup k osobním údajům, které obsahují, a zvyšuje riziko porušení práva na ochranu těchto údajů, jakož i škodlivost těchto porušení ( 9 ). Takový proces digitalizace ( 10 ), spojený se zvýšenou přeshraniční dostupností těchto informací – která je rovněž cílem unijního normotvůrce ( 11 ) – však vyžaduje zvláštní pozornost při vyvažování cílů právní jistoty a ochrany práv třetích osob, které jsou, jak uvidíme, základem pravidel pro zveřejňování informací týkajících se společností na jedné straně a základních práv na soukromí a ochranu osobních údajů na straně druhé ( 12 ).

17.

Úvodem podotýkám, že spor v původním řízení se týká výmazu osobních údajů v obchodním rejstříku členského státu, jejichž zveřejnění nevyžaduje ani směrnice 2017/1132, ani právo dotčeného členského státu, a odpovědnosti vnitrostátního orgánu odpovědného za vedení tohoto rejstříku za nemajetkovou újmu způsobenou odmítnutím přijmout okamžité a bezpodmínečné kroky na základě žádosti o výmaz těchto údajů. Naproti tomu se spor ve věci v původním řízení přímo netýká otázky, jaké povinnosti má takový orgán z titulu ochrany osobních údajů při zápisu zakládacích listin společnosti, které obsahují informace, jež nemusí být zveřejněny, do obchodního rejstříku. Tato otázka nicméně zůstává zásadní, jak je patrné ze skutečnosti, že mnoho členských států, které se do diskuse zapojily, jí věnovalo velkou část svých vyjádření a navrhlo radikální přeformulování prvních čtyř otázek nebo některých z nich. V další části své analýzy se budu zabývat některými aspekty této otázky, přičemž se budu držet v mezích vymezených předmětem původního řízení a předběžnými otázkami, které jsou předmětem tohoto stanoviska.

18.

Svou čtvrtou předběžnou otázkou, jejíž přípustnost zpochybňuje bulharská vláda, se předkládající soud v podstatě snaží zjistit, zda musí být směrnice 2017/1132 vykládána v tom smyslu, že umožňuje podrobit zvláštnímu procesnímu režimu právo fyzické osoby – v projednávané věci společníků společnosti s ručením omezeným, na kterou se vztahuje tato směrnice ( 13 ) – dosáhnout toho, aby byly z obchodního rejstříku vymazány osobní údaje, které se jich týkají, a jež sice nepatří mezi informace podléhající povinnému zveřejnění podle vnitrostátního práva, ale jsou obsaženy v zakladatelském právním dokumentu této společnosti, jenž byl zveřejněn v souvislosti se zápisem společnosti do tohoto rejstříku. Svou pátou předběžnou otázkou naopak předkládající soud žádá Soudní dvůr, aby upřesnil, zda orgán pověřený vedením obchodního rejstříku vystupuje ve vztahu k těmto údajům jako „správce“ ve smyslu čl. 4 bodu 7 GDPR nebo je rovněž „příjemcem“ údajů, které zpracovává, ve smyslu čl. 4 bodu 9 tohoto nařízení, přičemž účel zpracování byl předtím určen třetí stranou.

19.

Jak jsem již zmínila výše, domnívám se, že tyto dvě otázky je třeba řešit společně. Za tímto účelem se budu zabývat jednotlivými spornými body, které tyto otázky vyvolávají, v následujícím pořadí. Po stručném přehledu oblasti působnosti požadavků na zveřejňování údajů pro společnosti stanovené v příloze II směrnice (EU) 2017/1132 se budu nejprve zabývat otázkou, kdo je správcem osobních údajů obsažených v dokumentech, které podléhají povinnému zveřejňování, v souvislosti se zápisem společnosti do obchodního rejstříku členského státu, pokud – jako v projednávané věci – zveřejňování dotčených údajů nevyžaduje ani harmonizované právo Unie, ani právo dotčeného členského státu. Zadruhé se budu zabývat otázkou právního základu pro zpracovávání těchto údajů. Zatřetí se budu zabývat otázkou, zda mají dotčené osoby po zpřístupnění údajů poté, co byl dokument, v němž byly obsaženy, zveřejněn, právo na výmaz v souladu s článkem 17 GDPR. A konečně se budu začtvrté zabývat otázkou, zda takové právo může podléhat procesnímu režimu, jako je ten, který zmínil předkládající soud.

20.

Předtím, než přistoupíme k této analýze, je třeba odpovědět na námitky vznesené bulharskou vládou ohledně přípustnosti čtvrté předběžné otázky. Tato vláda se domnívá, že čtvrtá předběžná otázka se v podstatě týká slučitelnosti vnitrostátní právní úpravy, která dosud nebyla přijata, s čl. 16 odst. 7 směrnice 2017/1132 – ve znění před změnami provedenými směrnicí (EU) 2019/1151. Tato otázka je tedy hypotetické povahy. V tomto ohledu poukazuji na to, že předkládající soud má v posledním stupni rozhodnout o zákonnosti odmítnutí Agentury vymazat některé osobní údaje odpůrkyně obsažené v dokumentu zveřejněném po zápisu odpůrkyně do obchodního rejstříku a o důsledcích tohoto odmítnutí. Za tímto účelem předkládající soud musí zejména – s ohledem na ustanovení směrnice 2017/1132 a GDPR – posoudit, zda lze takové odmítnutí odůvodnit mimo jiné tím, že ověřená kopie tohoto dokumentu, v níž jsou sporné osobní údaje utajeny, nebyla založena do spisu. Předběžná otázka je tedy nezbytná k tomu, aby předkládající soud mohl vydat rozhodnutí ve sporu, který mu byl předložen. Kromě toho, navzdory nejednoznačnému znění čtvrté předběžné otázky, z předkládacího usnesení vyplývá, že tato otázka nesměřuje k vyjádření názoru na slučitelnost dosud nepřijaté vnitrostátní právní úpravy s právem Unie, nýbrž k tomu, aby předkládající soud od Soudního dvora obdržel výkladová vodítka týkající se tohoto práva, která jsou podle něho nezbytná k vyřešení sporu, v němž má předkládající soud rozhodnout. Čtvrtá předběžná otázka je proto podle mého názoru přípustná.

21.

Článek 14 směrnice (EU) 2017/1132 stanoví, že pro druhy společností uvedené v příloze II uvedené směrnice musí členské státy zveřejnit „alespoň“ listiny a údaje, které jsou v něm uvedeny. Mezi listinami podléhajícími povinnému zveřejnění jsou v článku 14 této směrnice v jejích písmenech a) až c) uvedeny „zakladatelské právní jednání a stanovy, pokud jsou obsaženy v samostatném právním jednání“, jakož i jejich změny. V souladu s čl. 4 písm. i) této směrnice zahrnují povinné informace, které mají být uvedeny ve stanovách, zakladatelském právním jednání nebo v samostatném právním jednání, které je zveřejněno, totožnost fyzických nebo právnických osob nebo společností, které podepsaly nebo jejichž jménem byly podepsány návrhy stanov nebo zakladatelského právního jednání. Mezi údaji, které musí být zveřejněny, se v témže článku v písmenu d) uvádí „jmenování, ukončení funkce a totožnost osob, které jako zákonem stanovený orgán společnosti nebo členové tohoto orgánu [,] jsou oprávněny zastupovat společnost vůči třetím osobám a v soudních řízeních“ a/nebo „se účastní správy, dozoru nebo kontroly společnosti“. V souladu s čl. 16 odst. 2 směrnice (EU) 2017/1132, ve znění směrnice 2019/1151, jsou všechny dokumenty a informace, které musí být zveřejněny podle článku 14, vedeny ve spise uvedeném v odstavci 1 uvedeného článku, který je veden v ústředním, obchodním či podnikovém rejstříku, nebo se zapisují přímo do rejstříku ( 14 ). Podle čl. 16 odst. 3 a 4 této směrnice, ve znění směrnice 2019/1151, zajistí členské státy, aby se zveřejňování listin a údajů podle článku 14 této směrnice uskutečňovalo jejich zpřístupněním veřejnosti prostřednictvím rejstříku. Kromě toho mohou členské státy rovněž požadovat, aby byly některé nebo všechny listiny a údaje zveřejněny ve vnitrostátním věstníku určeném pro tento účel nebo jiným, stejně účinným způsobem. Členské státy přijmou veškerá nezbytná opatření, aby zabránily jakémukoli nesouladu mezi obsahem rejstříku a obsahem spisu a mezi tím, co je zveřejněno v rejstříku, a tím, co je zveřejněno ve věstníku.

22.

K výše uvedeným požadavkům směrnice 2017/1132 lze uvést následující poznámky.

23.

Zaprvé směrnice 2017/1132 stanoví povinné zveřejnění a zpřístupnění celého zakladatelského právního dokumentu společnosti a jeho změn prostřednictvím rejstříku ( 15 ).

24.

Zadruhé, pokud jde o společnosti uvedené v příloze II této směrnice, je zveřejnění a zpřístupnění informací prostřednictvím rejstříku vyžadováno pouze u určité kategorie osob, zejména těch, které jsou oprávněny zastupovat společnost nebo se účastní správy, dozoru nebo kontroly společnosti. V souladu s čl. 4 písm. i) uvedené směrnice musí být rovněž zveřejněna totožnost fyzických osob, které podepsaly zakladatelské právní jednání společnosti.

25.

Zatřetí tyto informace, které se týkají identifikovaných nebo identifikovatelných fyzických osob, představují „osobní údaje“ ve smyslu čl. 4 bodu 1 GDPR ( 16 ).

26.

Začtvrté výše uvedená ustanovení směrnice 2017/1132 obsahují pouze minimální požadavky na zveřejňování dokumentů a informací týkajících se společností. Je proto na členských státech, aby zejména určily, které kategorie informací týkajících se totožnosti osob uvedených v čl. 4 písm. i) a čl. 14 písm. d) této směrnice podléhají povinnému zveřejnění. Členské státy mohou tomuto zveřejnění podrobit i další dokumenty nebo jiné údaje, které se případně týkají jiných kategorií osob. Je samozřejmé, že při této činnosti jsou povinny dodržovat všechna ustanovení unijního práva, zejména zásady zakotvené v článku 8 a čl. 52 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) a ustanovení GDPR.

27.

Článek 4 bod 7 nařízení GDPR definuje pojem „správce“ široce jako fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jakýkoli jiný subjekt, který sám nebo společně s jinými „určuje účely a prostředky zpracování“ osobních údajů. V souladu s cílem tohoto nařízení je cílem této široké definice zajistit účinnou ochranu základních práv a svobod fyzických osob a zejména vysokou úroveň ochrany práva každého na ochranu osobních údajů, které se ho týkají ( 17 ). Pojem „zpracování“ je rovněž vymezen široce ( 18 ). Podle čl. 4 bodu 2 GDPR se „zpracováním“ rozumí „jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení“.

28.

Z rozsudku Manni vyplývá, že orgán odpovědný za vedení obchodního rejstříku tím, že v tomto rejstříku zapisuje a uchovává informace o totožnosti osob uvedených v čl. 14 písm. d) směrnice 2017/1132 a že tyto informace sděluje, provádí „zpracování osobních údajů“, pro které je „správcem“ ve smyslu definic uvedených v čl. 4 bodech 2 a 7 GDPR. Totéž samozřejmě platí, pokud se zápis do rejstříku, uchovávání a sdělování týká jiných osobních údajů, než které jsou výslovně uvedeny v této směrnici, pokud zveřejnění takových údajů vyžadují právní předpisy členského státu.

29.

V projednávané věci však jde o to, zda je takový orgán, v daném případě Agentura, odpovědný za zveřejnění osobních údajů, jejichž zveřejnění nevyžaduje ani směrnice 2017/1132, ani právo dotčeného členského státu, v tomto případě bulharské právo, ale které jsou obsaženy v dokumentu, jehož zápis a zveřejnění jsou povinné.

30.

Podle mého názoru je třeba na tuto otázku odpovědět kladně.

31.

Zpřístupnění osobních údajů OL v obchodním rejstříku bylo provedeno v rámci výkonu pravomocí svěřených Agentuře jakožto orgánu odpovědnému za vedení rejstříku. Jak bylo uvedeno výše, bulharské právo stanoví, že k žádosti o zápis společnosti do uvedeného rejstříku musí být přiložen originál nebo ověřená kopie dokumentů, které podléhají zveřejnění, včetně společenské smlouvy, kterou je Agentura povinna zveřejnit. Účely a prostředky zpracování osobních údajů, které Agentura provádí při plnění svých povinností, jsou stanoveny jak bulharským právem, tak unijním právem, které – jak jsme viděli – přistoupilo ke sblížení právních předpisů členských států v oblasti zveřejňování informací o společnostech. Agentura je proto jakožto orgán odpovědný za zpracování osobních údajů obsažených v listinách zapsaných v obchodním rejstříku v souladu s účely a prostředky stanovenými bulharskými právními předpisy a unijními právními předpisy považována za „správce“ ve smyslu čl. 4 bodu 7 GDPR. Připomínám, že Soudní dvůr nedávno dospěl k podobnému závěru, pokud jde o vnitrostátní orgán, který je ze zákona odpovědný za vedení úředního věstníku členského státu, v rozsudku ze dne 11. ledna 2024, État belge (Údaje zpracované v úředním věstníku) ( 19 ).

32.

Tento závěr není zpochybněn skutečností, že v projednávané věci údaje obsažené ve společenské smlouvě z roku 2020 nepatří mezi údaje, které musí být podle bulharského práva zveřejněny. Na jedné straně skutečnost, že taková okolnost nemá vliv na identifikaci správce, uznal Soudní dvůr implicitně v rozsudku État belge. Ve věci, v níž byl vydán tento rozsudek, stejně jako ve věci, v níž byla podána tato žádost o rozhodnutí o předběžné otázce, se totiž spor týkal údajů, jejichž zveřejnění nebylo podle práva dotčeného členského státu požadováno. Na straně druhé čl. 13 odst. 9 zákona o rejstřících výslovně stanoví, že v případě, že žadatel nepředloží ověřenou kopii dokumentu podléhajícího zveřejnění, v němž byly utajeny nevyžadované osobní údaje, přistoupí Agentura k jejich zpracování a zveřejnění na základě implicitního předpokládaného souhlasu. Proto i za těchto okolností bulharské právní předpisy výslovně určují Agenturu jako správce.

33.

Za této situace nemohu souhlasit s názorem, který Agentura uvedla ve svých písemných vyjádřeních, podle něhož pokud žadatel neutají informace, které zákon nevyžaduje a které jsou obsaženy v listinách, jež zasílá k zápisu do rejstříku, stává se sám odpovědným za zpracování, které spočívá v jejich vložení do tohoto rejstříku on‑line. Bez ohledu na to, zda lze souhlas se zveřejněním takových informací platně udělit s odvoláním na domněnku stanovenou v čl. 13 odst. 9 zákona o rejstřících, nemůže mít totiž existence takového souhlasu žádný vliv na to, kdo je správcem, ale pouze na zákonnost takového zpracování.

34.

Stejně tak je irelevantní skutečnost, kterou rovněž zdůraznila Agentura, že dokumenty předložené v rámci žádosti o zápis do obchodního rejstříku nejsou strukturovanými nebo strojově čitelnými údaji, na rozdíl od číselných polí v tomto rejstříku, která vyplňuje úředník provádějící zápis a odpovídají právní definici „rejstříku“ podle bulharského práva. Agentura je podle bulharského práva orgánem odpovědným za vedení obchodního rejstříku, a je proto odpovědná za veškeré zpracování osobních údajů v něm zveřejněných, a to bez ohledu na to, zda jsou tyto údaje obsaženy v dokumentu přiloženém k žádosti nebo zakódovány úředníkem Agentury. I když tedy Agentura sama digitálně nezpracovává dokumenty, které obdrží, je přesto odpovědná za zveřejnění těchto dokumentů a údajů, které obsahují, prostřednictvím rejstříku. Obecněji řečeno Agentura v rámci svého poslání ve veřejném zájmu shromažďuje, eviduje, uchovává, organizuje a uspořádává všechny údaje, akty a dokumenty, které obdrží, ve strukturované databázi, jež je uznávána jako spolehlivý a důvěryhodný zdroj informací.

35.

Konečně kvalifikace Agentury jako „správce“ ve smyslu čl. 4 bodu 7 GDPR není zpochybněna tím, že nekontroluje osobní údaje obsažené v elektronických obrazech nebo papírových originálech dokumentů předaných pro účely zápisu před jejich umístěním na internet, ani tím, že nemůže tyto údaje měnit nebo opravovat. V tomto ohledu připomínám, že Soudní dvůr již měl příležitost zamítnout obdobný argument v rozsudku État belge, který se týkal zveřejnění aktů a dokumentů vyhotovených třetími osobami, které byly následně předloženy soudnímu orgánu a předány orgánu odpovědnému za tento věstník za účelem jejich zveřejnění, v úředním věstníku členského státu. V bodě 38 tohoto rozsudku Soudní dvůr nejprve uvedl, že zveřejnění těchto aktů a dokumentů bez možnosti kontroly či změny jejich obsahu je neoddělitelně spjato s úlohou úředního věstníku, která se omezuje na informování veřejnosti o jejich existenci v souladu s použitelným vnitrostátním právem, aby se staly použitelné vůči třetím osobám. Zadruhé Soudní dvůr uvedl, že by bylo v rozporu s cílem čl. 4 bodu 7 GDPR, kterým je zajistit účinnou a úplnou ochranu fyzických osob v souvislosti se zpracováním jejich osobních údajů, vyloučit z pojmu „správce“ úřední věstník členského státu z důvodu, že tento stát nevykonává kontrolu nad osobními údaji. Obdobné úvahy platí mutatis mutandis pro zveřejňování aktů a dokumentů v obchodních rejstřících členských států. Stejně jako v případě Moniteur belge ve výše uvedeném rozsudku je sice pravda, že Agentura musí zveřejnit dotčený dokument jako takový, avšak je to pouze Agentura, která plní tento úkol a šíří tento dokument ( 20 ).

36.

V této fázi vyvstává otázka, zda má být Agentura považována za výlučně odpovědnou za zpracování sporných údajů, a tedy za zajištění souladu se zásadami stanovenými v čl. 5 odst. 1 GDPR, nebo se o tuto odpovědnost dělí s žadatelem, který jedná jménem společnosti, protože tento žadatel nezaslal agentuře kopii společenské smlouvy z roku 2020 očištěnou o uvedené údaje.

37.

V tomto ohledu bych nejprve zdůraznila, že čl. 26 odst. 1 GDPR stanoví, že dvě nebo více osob mohou převzít společnou odpovědnost za zpracování a jejich příslušné povinnosti mohou být stanoveny dohodou mezi nimi nebo mohou být stanoveny právem Unie nebo členského státu, které se na ně vztahuje ( 21 ). V tomto ohledu Soudní dvůr upřesnil, že kvalifikace „společných správců“ vyplývá ze skutečnosti, že se na určení účelů a prostředků zpracování podílelo více subjektů ( 22 ). Pokud taková spoluúčast neexistuje, je naopak společná odpovědnost za zpracování vyloučena a jednotlivé subjekty je třeba považovat za nezávislé a po sobě jdoucí správce údajů. Jak uvedl Evropský inspektor ochrany údajů, výměna stejných údajů nebo souborů údajů mezi dvěma subjekty, aniž tyto subjekty společně určily účely nebo prostředky zpracování, by měla být považována za sdělování údajů mezi samostatnými správci ( 23 ).

38.

Samotná skutečnost, že Agentura je jak „správcem“ ve smyslu čl. 4 bodu 7 GDPR, tak „příjemcem“ ve smyslu čl. 4 bodu 9 GDPR z toho důvodu, že přijímá sdělení osobních údajů obsažených v listinách a dokumentech přiložených k návrhu na zápis do obchodního rejstříku, tedy neznamená, že nemůže převzít výlučnou odpovědnost za zveřejnění těchto údajů. Zveřejnění těchto údajů, jakož i případné digitální zpracování údajů obsažených v předložených dokumentech, a jejich uchovávání totiž představují zpracování, které je odlišné od předání údajů žadatelem pro účely zápisu společnosti do rejstříku a následuje po něm. Veškeré toto zpracování však Agentura provádí sama, v rámci plnění úkolů v oblasti veřejného pořádku, kterými je pověřena, a v souladu s účely a postupy stanovenými bulharskými právními předpisy ( 24 ).

39.

Na jedné straně je pravda, že Soudní dvůr uvedl v rozsudku État belge ( 25 ), že k tomu, aby byla osoba společně odpovědná za zpracování osobních údajů, stačí, že tato osoba ovlivňuje pro svoje vlastní účely zpracování takovýchto údajů, a v důsledku toho se podílí na určování účelů a prostředků tohoto zpracování ( 26 ). V projednávané věci je však ze spisu předloženého Soudnímu dvoru zřejmé, že účely a prostředky zpracování údajů obsažených v dokumentech, které mají být zveřejněny prostřednictvím obchodního rejstříku, jsou stanoveny výhradně zákonem. Subjekty, které jménem společnosti vkládají dokumenty a informace, jež mají být podle zákona zveřejněny v databázi rejstříku ( 27 ), nemají na toto určení žádný vliv, a nemohou proto – stejně jako společnost samotná – nést odpovědnost za následné zpracování údajů, které agentuře sdělí, včetně zveřejnění těchto údajů prostřednictvím elektronické databáze rejstříku. Kromě toho předáním dokumentů, které mají být zveřejněny, agentuře a zpracováním údajů v nich obsažených sledují subjekty údajů své vlastní účely, a to splnění formalit nezbytných pro zápis společnosti, které se liší od veřejných účelů, jež jsou rejstříku přiřazeny a které Agentura sleduje, když takové dokumenty zveřejňuje ( 28 ).

40.

Na druhou stranu Soudní dvůr v rozsudku État belge uznal, že v rámci řetězce zpracování prováděného různými osobami nebo subjekty a týkajícího se týchž osobních údajů může vnitrostátní právo určit účely a prostředky všech zpracování prováděných postupně těmito různými osobami nebo subjekty tak, aby byly společně považovány za správce ( 29 ). Podle ustanovení čl. 26 odst. 1 ve spojení s čl. 4 bodem 7 GDPR tak může být společná odpovědnost několika subjektů v řetězci zpracování, který se týká týchž osobních údajů, stanovena vnitrostátním právem, pokud jsou jednotlivé operace zpracování spojeny účely a prostředky určenými tímto právem a toto právo přímo, či nepřímo vymezuje příslušné povinnosti každého ze společných správců ( 30 ). Podle mého názoru to však není případ čl. 13 odst. 6 a 9 zákona o rejstřících, který se omezuje na stanovení podmínek, za nichž byl podle bulharského práva platně udělen souhlas subjektu údajů se zveřejněním osobních údajů, které nepodléhají zveřejnění, v obchodním rejstříku. Účelem tohoto ustanovení totiž není stanovit spoluodpovědnost žadatele za následné zpracování těchto údajů, ale spíše upřesnit základ pro zákonnost zpracování prováděného Agenturou. Kromě toho, jak jsem již uvedla, soukromé účely sledované společností se liší od veřejných účelů sledovaných Agenturou, takže podle mého názoru nejsou splněny podmínky požadované v rozsudku État belge k tomu, aby jejich společná odpovědnost jakožto subjektů v „řetězci zpracování, který se týká týchž osobních údajů“, mohla být považována za stanovenou bulharským právem.

41.

Na základě všech výše uvedených úvah se domnívám, že čl. 4 bod 7 a čl. 26 odst. 1 GDPR musí být vykládány v tom smyslu, že orgán odpovědný za vedení obchodního rejstříku členského státu, který podle právních předpisů tohoto státu musí zajistit zveřejnění dokumentů zaslaných v souvislosti s návrhem na zápis společnosti do tohoto rejstříku, je výlučně odpovědný za zveřejnění osobních údajů obsažených v těchto dokumentech, a to i v případě údajů, jejichž zveřejnění není vyžadováno a měly být v souladu s touto právní úpravou před jejich předáním tomuto orgánu od osobních údajů očištěny.

42.

Jakékoli zpracování osobních údajů musí být v souladu se zásadami týkajícími se zpracování údajů stanovenými v čl. 5 odst. 1 GDPR a musí splňovat podmínky stanovené v článku 6 uvedeného nařízení ( 31 ), který obsahuje taxativní a omezující výčet případů, kdy lze takové zpracování považovat za zákonné ( 32 ). Podle článku 6 odst. 1 prvního pododstavce písm. a) GDPR je zpracování osobních údajů zákonné, pokud subjekt údajů udělil souhlas pro jeden či více konkrétních účelů a pouze v odpovídajícím rozsahu. Bez takového souhlasu, nebo pokud tento souhlas nebyl udělen svobodně, konkrétně, informovaným a jednoznačným způsobem, prohlášením či jiným zjevným potvrzením ve smyslu čl. 4 bodu 11 GDPR, je takové zpracování přesto odůvodněné, pokud splňuje jeden z požadavků nezbytnosti uvedených v čl. 6 odst. 1 prvním pododstavci písm. b) až f) tohoto nařízení, které se musí vykládat restriktivně ( 33 ).

43.

V projednávané věci domněnka souhlasu stanovená v čl. 13 odst. 9 zákona o rejstřících zjevně nesplňuje podmínky požadované čl. 6 odst. 1 prvním pododstavcem písm. a) GDPR ve spojení s čl. 4 bodem 11 tohoto nařízení ( 34 ). Je proto třeba ověřit, zda takové zpracování údajů, jako je zpracování dotčené ve věci v původním řízení, splňuje některý z dalších důvodů uvedených v čl. 6 odst. 1 prvním pododstavci tohoto nařízení.

44.

Z rozsudku Manni vyplývá, že zpracování osobních údajů prováděné orgánem pověřeným vedením rejstříku v rámci provádění aktů Unie, které koordinují vnitrostátní předpisy upravující zveřejňování dokumentů společností, splňuje zejména důvody zákonnosti stanovené v článku 6, odst. 1 prvním pododstavci písm. c) a e) GDPR, které se týkají jednak splnění právní povinnosti, jež se na správce vztahuje, a jednak plnění úkolu veřejného zájmu nebo úkolu souvisejícího s výkonem veřejné moci, kterým je správce pověřen. Proto se ve své analýze zaměřím na tyto dva důvody.

45.

Pokud jde zaprvé o důvod uvedený v čl. 6 odst. 1 prvním pododstavci písm. c) GDPR, je třeba nejprve zkoumat, zda zveřejnění osobních údajů dotčených ve věci v původním řízení, které nepatří mezi informace podléhající zveřejnění podle směrnice 2017/1132 nebo podle bulharského práva, v obchodním rejstříku, bylo odůvodněno požadavkem zajistit zveřejnění dokumentů uvedených v článku 14 této směrnice, a bylo tedy nezbytné ke splnění právní povinnosti vyplývající z unijního práva.

46.

V souladu s čl. 16 odst. 3 uvedené směrnice členské státy zajistí, aby tyto dokumenty byly zveřejněny v rejstříku uvedeném v odst. 1 prvním pododstavci tohoto článku. Německá, irská a polská vláda se v podstatě domnívají, že na základě uvedeného článku ve spojení s výše uvedeným článkem 14 musí orgány pověřené vedením rejstříku zveřejnit uvedené dokumenty v podobě, v jaké je obdrží. Jsou proto povinny zpracovávat všechny osobní údaje, které tyto dokumenty obsahují, včetně údajů, které nejsou vyžadovány podle právních předpisů EU nebo platných vnitrostátních právních předpisů.

47.

S tímto výkladem nesouhlasím. Směrnice 2017/1132 stanoví, že některé základní dokumenty společnosti musí být zveřejněny a musí se tak stát prostřednictvím rejstříku, ale nevyžaduje systematické zpracování všech osobních údajů obsažených v těchto dokumentech, a to ani v případech, kdy by takové zpracování bylo v rozporu s ustanoveními GDPR. Naopak, jak jsem již uvedla výše, článek 161 této směrnice, ve znění směrnice 2019/1151, stanoví, že zpracování jakýchkoli osobních údajů prováděné v jejím rámci podléhá uvedenému nařízení. Je proto na členských státech, aby nalezly správnou rovnováhu mezi cíli právní jistoty a ochrany zájmů třetích stran, které jsou základem pravidel pro zveřejňování dokumentů společností, a základním právem na respektování osobních údajů, jak uvidíme níže.

48.

Poté je třeba ověřit, zda zveřejnění údajů dotčených ve věci v původním řízení v obchodním rejstříku bylo nezbytné pro splnění právní povinnosti podle bulharského práva. V této souvislosti bych rád poukázal na to, že čl. 2 odst. 2 zákona o rejstřících stanoví, že dokumenty, které se zapisují do obchodního rejstříku, „se zveřejňují bez informací, které představují osobní údaje ve smyslu čl. 4 bodu 1 [GDPR], s výjimkou informací, které musí být zveřejněny ze zákona“. Zákonnost zpracování údajů dotčeného ve věci v původním řízení se tedy zřejmě nemůže zakládat na „právní povinnosti“ ve smyslu čl. 6 odst. 1 prvního pododstavce písm. c) GDPR, které by Agentura podléhala podle bulharského práva, což navíc zdá se potvrzuje domněnka souhlasu stanovená v čl. 13 odst. 9 zákona o rejstřících. Rozhodnout o tom však přísluší předkládajícímu soudu, který jediný má pravomoc vykládat vnitrostátní právo. Zde se omezím na to, že pouhá skutečnost – na kterou se Agentura odvolává –, že v případě neexistence vyhotovení dokumentu utajujícího osobní údaje, které nejsou vyžadovány zákonem, musí Agentura zveřejnit dokument v podobě, v jaké jí byl zaslán, podle mého názoru nestačí k označení za „právní povinnost“ ve smyslu čl. 6 odst. 1 prvního pododstavce písm. c) GDPR, vzhledem k tomu, že takové zveřejnění je a priori vyloučeno zákonem a Agentura je provádí pouze na základě předpokládaného souhlasu ( 35 ). V tomto ohledu je důležité zdůraznit, že je odpovědností správce zajistit, aby údaje, které zpracovává, byly „zákonné“ ve vztahu k podmínkám stanoveným v čl. 6 odst. 1 prvním pododstavci písm. a) až f) tohoto nařízení ( 36 ).

49.

Pokud jde zadruhé o důvod uvedený v čl. 6 odst. 1 prvním pododstavci písm. e) GDPR, na nějž odkazuje jak předkládající soud, tak většina členských států, které předložily svá vyjádření v tomto řízení, připomínám, že Soudní dvůr již měl příležitost rozhodnout, že činnost orgánu veřejné moci spočívající v uchovávání údajů, které jsou společnosti povinny oznamovat na základě jejich zákonných povinností, v databázi, v umožnění zúčastněným osobám nahlížet do těchto údajů a v poskytování kopií těchto údajů spadá pod výkon výsad veřejné moci ( 37 ) a představuje úkol ve veřejném zájmu ve smyslu tohoto ustanovení ( 38 ). Jak uvedl generální advokát Y. Bot ve svém stanovisku ve věci, v níž byl vydán rozsudek Manni, je cílem zápisu a zveřejňování základních údajů v obchodních či podnikových rejstřících obsahujících informace o společnostech vytvoření spolehlivého zdroje informací a poskytnutí právní jistoty, která je nezbytná pro ochranu zájmů třetích osob, zejména věřitelů, poctivost obchodních transakcí a potažmo správné fungování trhu ( 39 ). Kromě toho – jak zdůraznil Soudní dvůr – ukládání všech relevantních údajů v těchto rejstřících a jejich zpřístupnění třetím stranám pomáhá podporovat obchod mezi členskými státy, a to i s ohledem na rozvoj vnitřního trhu ( 40 ).

50.

V projednávané věci vyvstává otázka, zda se lze dovolávat těchto účelů a důvodu zákonnosti stanoveného v čl. 6 odst. 1 písm. e) GDPR v souvislosti se zveřejněním osobních údajů dotčených ve věci v původním řízení, které nepatří mezi údaje, jež podle práva Unie nebo bulharského práva podléhají povinnému zveřejnění, ze strany Agentury.

51.

V tomto ohledu připomínám, že čl. 6 odst. 3 GDPR ve spojení s bodem 45 odůvodnění ohledně obou těchto případů, kdy je zpracování zákonné, mimo jiné upřesňuje – zejména pokud jde o předpoklad zákonnosti uvedený v odst. 1 prvním pododstavci písm. e) uvedeného článku –, že zpracování musí být založeno na unijním právu nebo na právu členského státu, které se na správce vztahuje a tento právní základ musí splňovat cíl veřejného zájmu a být přiměřený sledovanému legitimnímu cíli ( 41 ). Zdá se však, že žádný z těchto požadavků – které, jak Soudní dvůr upřesnil, jsou vyjádřením požadavků vyplývajících z čl. 52 odst. 1 Listiny ( 42 ) – není splněn za okolností projednávané věci, která se týká zpracování osobních údajů, jež je sice prováděno v rámci plnění úkolu prováděného ve veřejném zájmu ve smyslu čl. 6 odst. 1 prvního pododstavce písm. e) GDPR, ale které není považováno za a priori nezbytné pro plnění tohoto úkolu podle platných vnitrostátních právních předpisů ani pro plnění účelů stanovených pro obchodní rejstřík a je povoleno pouze na základě předpokládaného souhlasu subjektu údajů.

52.

Obecněji je třeba zdůraznit, že zveřejňování osobních údajů, které není vyžadováno právem Unie ani právem dotčeného členského státu, neslouží žádnému z účelů uvedených v bodě 49 tohoto stanoviska ( 43 ), které samy o sobě odůvodňují zásah do práv subjektů údajů na soukromí a ochranu osobních údajů zaručených články 7 a 8 Listiny ( 44 ). Navíc, jak Soudní dvůr zdůraznil ve věci Manni, není takový zásah považován za nepřiměřený zejména proto, že je v zásadě stanoveno zveřejnění pouze omezeného počtu osobních údajů, konkrétně těch, které se týkají totožnosti a příslušných funkcí osob oprávněných zavazovat společnost, a jsou tudíž nezbytné pro účely ochrany zájmů třetích osob ( 45 ).

53.

Bulharská vláda a Agentura v podstatě tvrdí, že zacházení dotčené v původním řízení je podle bulharského práva založeno na požadavku zajistit publicitu zásadních dokumentů společností, zachovat jejich integritu a spolehlivost a nebránit Agentuře v plnění jejího úkolu prováděného ve veřejném zájmu. I kdyby předkládající soud dospěl ke stejnému závěru, musel by ještě zajistit dodržení zásady proporcionality. Podle této zásady musí být omezení základního práva na respektování osobních údajů činěna v mezích toho, co je nezbytně nutné ( 46 ), což není ten případ, pokud by tohoto cíle bylo možné rozumně dosáhnout stejně účinným způsobem jinými prostředky, které méně zasahují do tohoto práva ( 47 ). Je třeba rovněž připomenout, že čl. 5 odst. 1 písm. c) GDPR stanoví, že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelům, pro které jsou zpracovávány, a vyžaduje, aby členské státy dodržovaly zásadu „minimalizace údajů“, která je vyjádřením zásady proporcionality ( 48 ).

54.

Zdá se mi však, že cíle zajistit zveřejnění zásadních dokumentů společností lze rozumně dosáhnout zavedením postupů, které umožní utajit osobní údaje, jejichž zveřejnění není vyžadováno, před jejich zveřejněním. Tyto postupy mohou zahrnovat zejména povinnost Agentury pozastavit zápis společnosti s cílem umožnit změnu dokumentů obsahujících tyto údaje, nebo v případě potřeby z vlastního podnětu přistoupit k výmazu těchto údajů.

55.

Argumenty vznesené řadou členských států, jež předložily svá vyjádření v tomto řízení, podle nichž by zavedení těchto postupů mohlo vést ke zpoždění při vyřizování žádostí o zápis do obchodního rejstříku, což by bylo na újmu zejména zájmům společníků, nebo k nadměrnému zatížení vnitrostátních orgánů, podle mého názoru nemohou uspět. Na jedné straně jsou tyto postupy nezbytné pro sladění zájmů sledovaných zveřejňováním dokumentů společností se základním právem na respektování osobních údajů, zejména pokud – jak jsem zdůraznila v bodě 16 tohoto stanoviska – mají být dotyčné osobní údaje zveřejněny bez omezení v digitalizovaném prostředí. Na straně druhé by v rámci těchto postupů mohly být využívány nástroje pro vyhledávání a identifikaci údajů, které by těmto orgánům usnadnily jejich úlohu, přičemž by mohly být koncipovány tak, aby úkol utajení osobních údajů, které nesmí být zveřejněny, připadl v první řadě žadatelům, tak jak to stanoví i bulharské právo.

56.

Pokud jde o požadavek – rovněž zmíněný bulharskou vládou a Agenturou, jakož i většinou členských států, které předložily svá vyjádření v tomto řízení – na zachování integrity a spolehlivosti dokumentů společností podléhajících povinnému zveřejnění, jež jsou předávány za účelem zápisu do obchodního rejstříku, který by vyžadoval zveřejnění těchto dokumentů v podobě, v jaké byly předány orgánům odpovědným za vedení rejstříku, nemůže mít podle mého názoru systematicky přednost před základním právem na ochranu osobních údajů s rizikem, že se tato ochrana stane čistě iluzorní.

57.

Přikláním se totiž k názoru, že tento požadavek může odůvodnit nanejvýš uchovávání osobních údajů nepodléhajících povinnému zveřejnění, které jsou obsaženy v takových dokumentech, nikoli však zveřejnění těchto údajů v databázi rejstříku, která je přístupná veřejnosti, a to bez jakýchkoli omezení. Konkrétně se domnívám, že zveřejnění vyhovení těchto dokumentů, očištěné od osobních údajů, které nejsou požadovány, a ponechání originálu ve spisu by zajistilo spravedlivou rovnováhu mezi tímto požadavkem a ochranou údajů dotčených osob. Případný přístup k originálu dokumentu a všem údajům, které obsahuje, by pak byl povolen pouze v jednotlivých případech, pokud by byl odůvodněn oprávněným zájmem – včetně ověření pravosti dokumentu – a v souladu s ustanoveními GDPR.

58.

V tomto ohledu se – na rozdíl od toho, co tvrdí zejména irská vláda – domnívám, že skutečnost, že článek 16a směrnice (EU) 2017/1132, ve znění směrnice 2019/1151, stanoví, že „[č]lenské státy zajistí, aby bylo možno na žádost získat z rejstříku kopie všech nebo libovolných částí listin […] podle článku 14“, neznamená, že členské státy jsou povinny poskytnout neomezený přístup ke všem těmto dokumentům. Na druhou stranu, jak jsem již uvedla, článek 161 směrnice (EU) 2017/1132, ve znění směrnice (EU) 2019/1151, vyžaduje, aby členské státy zavedly postupy, které zajistí, že orgány pověřené vedením obchodního rejstříku budou při plnění jim svěřeného úkolu veřejného zájmu dodržovat všechna ustanovení GDPR.

59.

Na základě všech výše uvedených úvah se domnívám, že zpracování údajů dotčené ve věci v původním řízení nelze považovat za založené na souhlasu odpůrkyně v původním řízení ve smyslu čl. 6 odst. 1 prvního pododstavce písm. a) GDPR ve spojení s čl. 4 bodem 11 tohoto nařízení. S výhradou ověření, které musí provést předkládající soud, se zdá, že toto zpracování nesplňuje ani podmínky zákonnosti stanovené v čl. 6 odst. 1 prvním pododstavci písm. c) GDPR, ani podmínky stanovené v písm. e) tohoto článku ve spojení s čl. 6 odst. 3 tohoto nařízení. Pro úplnost dodávám, že uvedené zpracování pravděpodobně nespadá ani do působnosti čl. 6 odst. 1 prvního pododstavce písm. f) GDPR, který se týká zpracování osobních údajů nezbytného pro účely oprávněných zájmů správce. Jak Soudní dvůr upřesnil, ze znění čl. 6 odst. 1 druhého pododstavce GDPR totiž jasně vyplývá, že zpracování osobních údajů prováděné orgánem veřejné moci v rámci plnění svých úkolů nemůže spadat do působnosti čl. 6 odst. 1 prvního pododstavce písm. f) GDPR, takže použití tohoto ustanovení a ustanovení čl. 6 odst. 1 prvního pododstavce písm. e) tohoto nařízení se vzájemně vylučují ( 49 ). V projednávané věci tak zpracování osobních údajů dotčené ve věci v původním řízení provádí Agentura v rámci plnění úkolu veřejného zájmu, který jí byl svěřen, což od samého počátku vylučuje použití čl. 6 odst. 1 prvního pododstavce písm. f) GDPR, bez ohledu na to, zda splňuje podmínky stanovené v čl. 6 odst. 3 GDPR.

60.

Nelze tedy vyloučit, že předkládající soud dospěje k závěru, že zpracování údajů dotčené ve věci v původním řízení bylo protiprávní, neboť nebyl naplněn jeden z důvodů stanovených v čl. 6 odst. 1 GDPR.

61.

Článek 17 GDPR stanoví právo subjektu údajů na výmaz osobních údajů, které se ho týkají, pokud se uplatní některý z důvodů uvedených v odstavci 1 tohoto článku, a zároveň ukládá správci odpovídající povinnost provést takový výmaz bez zbytečného odkladu.

62.

Článek 17 odst. 3 GDPR však upřesňuje, že odstavec 1 tohoto článku se neuplatní, pokud je dotčené zpracování nezbytné z jednoho z důvodů uvedených v tomto odstavci. Mezi tyto důvody patří – jak uvádí čl. 17 odst. 3 písm. b) tohoto nařízení – splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

63.

V míře, v jaké tyto výjimky z práva na výmaz odrážejí důvody pro oprávněnost zpracování uvedené v čl. 6 odst. 1 prvním pododstavci písm. c) a e) GDPR, odkazuji na analýzu provedenou v bodech 45 až 58 tohoto stanoviska ( 50 ), pokud jde o jejich uplatnitelnost za takových okolností, jako jsou okolnosti v původním řízení.

64.

Pokud by tedy předkládající soud dospěl k závěru, že zveřejnění osobních údajů dotčených ve věci v původním řízení v obchodním rejstříku nespadá podle bulharského práva do oblasti působnosti čl. 6 odst. 1 prvního pododstavce písm. c) nebo e) GDPR, ve spojení s čl. 6 odst. 3 tohoto nařízení, a tedy do oblasti působnosti čl. 17 odst. 3 písm. b) GDPR, má odpůrkyně v původním řízení právo na výmaz spočívající v ukončení takového zveřejnění a Agentura jako správce je povinna tomuto požadavku vyhovět. Ustanovení čl. 17 odst. 1 písm. d) GDPR totiž stanoví absolutní právo subjektu údajů na výmaz jeho osobních údajů, pokud byly zpracovány protiprávně ( 51 ).

65.

Pokud by naopak předkládající soud dospěl k závěru, že zpracování údajů dotčené ve věci v původním řízení je v souladu s čl. 6 odst. 1 prvním pododstavcem písm. c) nebo e) GDPR, byl by a priori použitelný čl. 17 odst. 3 písm. b) tohoto nařízení. Je však nutno učinit dvě upřesnění.

66.

Zaprvé pro případ, že by předkládající soud dospěl k závěru, že zveřejnění osobních údajů dotčených ve věci v původním řízení je nezbytné pro splnění úkolu ve veřejném zájmu, který byl svěřen Agentuře, aby nedošlo k prodlení se zápisem společnosti do obchodního rejstříku, tento důvod sám o sobě nemůže podle mého názoru odůvodnit uchovávání těchto údajů v rejstříku po zápisu společnosti, a tudíž vyloučit podle čl. 17 odst. 3 písm. b) GDPR právo odpůrkyně v původním řízení na výmaz. Toto právo by pak bylo zaručeno ustanovením čl. 17 odst. 1 písm. c) tohoto nařízení, které se použije v případě, že subjekt údajů vznese podle čl. 21 odst. 1 tohoto nařízení z důvodů týkajících se jeho konkrétní situace námitku proti zpracování jeho osobních údajů, zejména na základě čl. 6 odst. 1 prvního pododstavce písm. e) téhož nařízení, a neexistují žádné „převažující oprávněné důvody pro zpracování“, což musí prokázat správce ( 52 ). Ze stejných důvodů, které již byly uvedeny v bodě 56 tohoto stanoviska, se však domnívám, že požadavek na zachování integrity a spolehlivosti dokumentů, na nichž je založen zápis společnosti do rejstříku, nemůže představovat takový převažující oprávněný důvod. Jak jsem již uvedla, tento požadavek lze splnit jinými prostředky, které méně zasahují do základního práva na respektování osobních údajů.

67.

Na druhou stranu z rozsudku Manni vyplývá, že omezení přístupu pouze na třetí osoby, které mohou prokázat zvláštní zájem, může být v jednotlivých případech odůvodněno naléhavými a oprávněnými důvody souvisejícími s konkrétní situací subjektů údajů, a to i v případě osobních údajů, které směrnice 2017/1132 podřizuje povinnému zveřejnění, a tedy i v případech, kdy zveřejnění vyplývá z právní povinnosti ve smyslu čl. 6 odst. 1 prvního pododstavce písm. c) GDPR. A fortiori by však takové omezení mělo být uznáno v případě osobních údajů, které nepodléhají zveřejnění ani podle unijního ani podle vnitrostátního práva. V takovém případě by navíc podmínka, které Soudní dvůr podřídil omezení přístupu k informacím týkajícím se totožnosti likvidátora společnosti ve věci Manni, totiž že po zrušení společnosti musí uplynout dostatečně dlouhá doba, nebyla v projednávané věci použitelná, a omezení přístupu k těmto údajům by proto mělo být provedeno bez zbytečného odkladu.

68.

Z předkládacího usnesení vyplývá, že Agentura podmínila žádost OL o výmaz osobních údajů, které se jí týkají a jejichž zveřejnění bulharské právo nevyžaduje, dodržením zvláštního procesního režimu, který vyžaduje předložení vyhotovení dokumentu obsahujícího tyto údaje v podobě, v níž jsou utajeny. Vzhledem k tomu, že takové vyhotovení nebylo předloženo, byla tato žádost zamítnuta nebo odložena na neurčito. Podle vysvětlení poskytnutých Agenturou je dodržování tohoto procesního režimu nezbytné, protože Agentura nemá pravomoc měnit předmětný dokument, neboť taková úprava přísluší výhradně řídícím orgánům společnosti.

69.

Připomínám, že podle čl. 23 odst. 1 GDPR unijní nebo vnitrostátní právo „může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 […], jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit“ některý z cílů uvedených v tomto článku. Pokud vede procesní režim uplatňovaný Agenturou k omezení výkonu práva na výmaz, jakož i výkonu práva vznést námitku podle článku 21 GDPR, nebo dokonce k jejich vyloučení, v případě, že se subjektu údajů nepodaří od společnosti dosáhnout požadovaných úprav dotčeného dokumentu, může se na tento režim vztahovat čl. 23 odst. 1 GDPR ( 53 ). Je proto třeba ověřit, zda jsou podmínky stanovené tímto ustanovením v projednávané věci splněny, a to i když předkládající soud výslovně nepožádal Soudní dvůr, aby se k tomuto bodu vyjádřil.

70.

V této souvislosti nejprve podotýkám, že tento procesní režim se jeví jako součást běžné interní praxe Agentury ( 54 ). S výhradou ověření, které přísluší provést předkládajícímu soudu, se tedy již z tohoto důvodu nezdá, že by byl v souladu s čl. 23 odst. 1 GDPR, který stanoví, že omezení práv uvedených v tomto ustanovení musí být předmětem „legislativního opatření“.

71.

Tento procesní režim dále vyvolává otázky ohledně dodržování zásady proporcionality.

72.

Ačkoli se mi zdá, že požadavek zaručit spolehlivost a pravost dokumentů zapsaných v obchodním rejstříku a v širším smyslu transparentnost a právní jistotu při plnění úkolu, který byl tomuto rejstříku svěřen, může splnit „důležitý cíl obecného veřejného zájmu Unie nebo členského státu“ ve smyslu čl. 23 odst. 1 písm. e) GDPR, neodůvodňuje podle mého názoru omezení nebo dokonce vyloučení práva na výmaz nebo práva vznést námitky za takových okolností, jako jsou okolnosti v původním řízení, neboť lze použít jiné prostředky, které méně zasahují do základního práva na respektování osobních údajů.

73.

V této souvislosti Komise sice považuje za oprávněné vyčkat na to, až společnost upraví předmětný dokument očištěním od údajů, jejichž výmaz je požadován, avšak navrhuje, aby Agentura po uplynutí přiměřené lhůty sama přistoupila k zamaskování těchto údajů, pokud se ukáže, že subjekt údajů není schopen společnost k takové úpravě přimět.

74.

Nejsem přesvědčena, že by takové řešení zajistilo spravedlivou rovnováhu mezi různými právy a dotčenými zájmy, neboť by vedlo k tomu, že by údaje, které neměly být zveřejněny, byly v digitalizovaném prostředí po neomezenou dobu k dispozici veřejnosti. Podle mého názoru by taková rovnováha mohla být na druhé straně zaručena tím, že by Agentura byla oprávněna po obdržení žádosti o výmaz bez zbytečného prodlení sama přistoupit k utajení dotčených údajů ve vyhotovení zveřejněného dokumentu, přičemž originál tohoto dokumentu by zůstal ve spise a společnost by byla vyzvána k předložení upraveného dokumentu, v němž by byly uvedené údaje utajeny, přičemž tato úprava by byla rovněž v rejstříku zveřejněna.

75.

Je pravda, že čl. 16 odst. 4 první a druhý pododstavec směrnice (EU) 2017/1132 stanoví, že členské státy přijmou nezbytná opatření, aby zabránily jakémukoli nesouladu mezi obsahem rejstříku a obsahem spisu a mezi tím, co je zveřejněno v rejstříku, a tím, co je zveřejněno ve vnitrostátním věstníku. Požadavek zachovat soulad mezi jednotlivými částmi rejstříku a s vnitrostátním věstníkem a cíl právní jistoty, na němž je tento požadavek založen, však podle mého názoru nemohou odůvodnit, aby byly v dokumentech zveřejněných v rejstříku nadále bez omezení a časového ohraničení zveřejněny osobní údaje, jejichž zveřejnění není povinné, pokud subjekt údajů požádá o jejich výmaz. Zaprvé by totiž veškeré úpravy v těchto dokumentech, které jsou nezbytné pro utajení těchto údajů, byly identifikovatelné a sledovatelné a byly by provedeny transparentním způsobem. Zadruhé by se tyto úpravy týkaly prvků těchto dokumentů, jejichž zveřejnění není nezbytné pro plnění úkolu veřejného zájmu, který byl rejstříku svěřen. Zatřetí by integritu a pravost těchto dokumentů bylo možné zachovat tím, že by se ve spisu nacházel originál, k němuž by třetí strany, které prokáží oprávněný zájem, měly regulovaný přístup.

76.

Na základě všech výše uvedených skutečností se domnívám, že procesní režim, jaký v projednávané věci uplatňuje Agentura, není v souladu s čl. 23 odst. 1 GDPR.

77.

S ohledem na všechny výše uvedené úvahy navrhuji, aby Soudní dvůr na čtvrtou a pátou předběžnou otázku předloženou Varchoven administrativen sad (Nejvyšší správní soud, Bulharsko) odpověděl takto: