–

za Agencia po vpisvanijata: I. D. Ivanov a D. S. Miteva, ve spolupráci s: Z. N. Mandažieva, аdvokat,

–

za OL: jí samou, ve spolupráci s: I. Stojnev a T. Conev, advokati,

–

za bulharskou vládu: T. Mitova a R. Stojanov, jako zmocněnci,

–

za německou vládu: J. Möller a P.-L. Krüger, jako zmocněnci,

–

za Irsko: M. Browne, Chief State Solicitor, A. Joyce, M. Lane a M. Tierney, jako zmocněnci, ve spolupráci s: I. Boyle Harper, BL,

–

za italskou vládu: G. Palmieri, jako zmocněnkyně, ve spolupráci s: G. Natale, avvocato dello Stato,

–

za polskou vládu: B. Majczyna, jako zmocněnec,

–

za finskou vládu: A. Laine, jako zmocněnkyně,

–

za Evropskou komisi: A. Bouchagiar, C. Georgieva, H. Kranenborg a L. Malferrari, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu článků 3 a 4 směrnice Evropského parlamentu a Rady 2009/101/ES ze dne 16. září 2009 o koordinaci ochranných opatření, která jsou na ochranu zájmů společníků a třetích osob vyžadována v členských státech od společností ve smyslu čl. 48 druhého pododstavce [ES], za účelem dosažení rovnocennosti těchto opatření (Úř. věst. 2009, L 258, s. 11), jakož i článků 4, 6, 17, 58 a 82 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, oprava Úř. věst. 2018, L 127, s. 2, dále jen „GDPR“).

2

Tato žádost byla podána v rámci sporu mezi Agenturou pro provádění zápisů do veřejných rejstříků (Agencia po vpisvanijata, Bulharsko) (dále jen „Agentura“) a OL ve věci odmítnutí ze strany Agentury vymazat určité osobní údaje OL obsažené ve společenské smlouvě zveřejněné v obchodním rejstříku.

3

Směrnice Evropského parlamentu a Rady (EU) 2017/1132 ze dne 14. června 2017 o některých aspektech práva obchodních společností (Úř. věst. 2017, L 169, s. 46) s účinností ode dne vstupu v platnost, a sice dne 20. července 2017, zrušila a nahradila směrnici 2009/101.

4

Body 1, 7, 8 a 12 odůvodnění směrnice 2017/1132 uvádějí:

[…]

[…]

5

Článek 4 této směrnice, nadepsaný „Údaje, které musí být uvedeny ve stanovách nebo v zakladatelském právním jednání nebo v samostatném právním jednání“, který je obsažen v oddíle 1 kapitoly II hlavy I směrnice 2017/1132, nadepsaném „Vznik akciové společnosti“, stanoví:

„Ve stanovách nebo v zakladatelském právním jednání nebo v samostatném právním jednání, které je zveřejněno způsobem stanoveným právními předpisy každého členského státu v souladu s článkem 16, musí být obsaženy alespoň tyto údaje:

[…]

[…]“

6

Oddíl 1 kapitoly III hlavy I uvedené směrnice, nadepsaný „Obecná ustanovení“, obsahuje články 13 až 28.

7

Článek 13 téže směrnice, nadepsaný „Působnost“, stanoví:

„Koordinační opatření stanovená tímto oddílem se použijí na právní a správní předpisy členských států, které se vztahují na formy společností uvedené v příloze II.“

8

Článek 14 směrnice 2017/1132, nadepsaný „Listiny a údaje zveřejňované společnostmi“, stanoví:

„Členské státy přijmou nezbytná opatření k zajištění toho, aby společnosti povinně zveřejnily alespoň následující listiny a údaje:

[…]“

9

Článek 15 odst. 1 této směrnice, nadepsaný „Změny v listinách a údajích“, stanoví:

„Členské státy přijmou nezbytná opatření k zajištění toho, aby veškeré změny v listinách a údajích uvedených v článku 14 byly zapsány do příslušného rejstříku uvedeného v čl. 16 odst. 1 prvním pododstavci a zveřejněny v souladu s čl. 16 odst. 3 a 5 zpravidla do 21 dnů od obdržení úplné dokumentace týkající se těchto změn, včetně případného ověření zákonnosti, je-li vnitrostátním právem pro zápis vyžadováno.“

10

Článek 16 uvedené směrnice, nadepsaný „Zveřejnění v rejstříku“, stanoví:

„1   V každém členském státě je veden spis v ústředním, obchodním či podnikovém rejstříku (dále jen ‚rejstřík‘) pro každou společnost, která je v něm zapsána.

[…]

3.   Všechny listiny a všechny údaje, které musí být zveřejněny podle článku 14, jsou vedeny ve spise nebo zapsány do rejstříku; předmět zápisů do rejstříku je v každém případě uveden ve spisu.

Členské státy zajistí, aby společnosti a další osoby nebo orgány mající oznamovací povinnost nebo povinnost při oznamování spolupracovat mohly ukládat všechny listiny a údaje, které musí být zveřejněny podle článku 14, v elektronické formě. Kromě toho mohou členské státy vyžadovat, aby všechny společnosti nebo některé jejich formy ukládaly všechny tyto listiny a údaje nebo některé jejich druhy v elektronické formě.

Všechny listiny a údaje uvedené v článku 14, které se ukládají v tištěné nebo elektronické formě, musí být vedeny ve spise nebo zapsány do rejstříku v elektronické formě. K tomuto účelu členské státy zabezpečí, aby rejstřík všechny listiny a údaje uložené v tištěné formě převedl do elektronické formy.

[…]

4.   Na žádost musí být možné získat kopii každé listiny nebo každého údaje, které jsou uvedeny v článku 14, nebo jejich části. Žádosti mohou být rejstříku podávány v tištěné nebo elektronické formě podle volby žadatele.

[…]

5.   Listiny a údaje uvedené v odstavci 3 se zveřejní ve vnitrostátním věstníku určeném pro tento účel členským státem buď v plném nebo zkráceném znění, nebo prostřednictvím odkazu oznamujícího uložení dokumentu ve spisu nebo jeho zápis do rejstříku. Vnitrostátní věstník určený pro tento účel může být veden v elektronické formě.

Členské státy se mohou rozhodnout, že nahradí zveřejňování ve vnitrostátním věstníku jiným, stejně účinným způsobem, který bude přinejmenším využívat systému umožňujícího přístup k zveřejněným informacím v chronologickém sledu prostřednictvím centrální elektronické platformy.

6.   Společnost se může dovolávat listin a údajů vůči třetím osobám až po zveřejnění uvedeném v odstavci 5, ledaže prokáže, že tyto třetí osoby tyto listiny nebo údaje znaly.

[…]

7.   Členské státy přijmou opatření nezbytná k tomu, aby zabránily jakémukoli nesouladu mezi obsahem informací zveřejněných podle odstavce 5 a obsahem rejstříku nebo spisu.

V případě nesouladu se však nelze dovolávat textu zveřejněného podle odstavce 5 vůči třetím osobám; třetí osoby se jej však dovolávat mohou, ledaže společnost prokáže, že znaly texty uložené ve spisu nebo zapsané v rejstříku.

[…]“

11

Článek 21 směrnice 2017/1132, nadepsaný „Jazyk zveřejnění a překlad zveřejňovaných listin a údajů“, stanoví:

„1.   Listiny a údaje, které mají být zveřejněny podle článku 14, se vyhotovují a ukládají v jednom z jazyků povolených jazykovými pravidly platnými v členském státě, kde je veden spis uvedený v čl. 16 odst. 1.

2.   Vedle povinného zveřejnění uvedeného v článku 16 umožní členské státy, aby překlady listin a údajů uvedených v článku 14 mohly být dobrovolně zveřejněny v souladu s článkem 16 v kterémkoli úředním jazyce [Evropské u]nie.

Členské státy mohou nařídit, aby překlad takových listin a údajů byl ověřen.

Členské státy přijmou potřebná opatření k usnadnění přístupu třetích osob k dobrovolně zveřejněným překladům.

3.   Vedle povinného zveřejnění, uvedeného v článku 16, a dobrovolného zveřejnění podle odstavce 2 tohoto článku mohou členské státy umožnit, aby dotčené listiny a údaje byly zveřejněny v souladu s článkem 16 v kterémkoli jiném jazyce.

[…]

4.   V případě nesouladu mezi listinami a údaji zveřejněnými v úředních jazycích rejstříku a dobrovolně zveřejněným překladem se nelze dobrovolně zveřejněného překladu dovolávat vůči třetím osobám. […]“

12

Článek 161 této směrnice, nadepsaný „Ochrana údajů“, stanoví:

„Zpracování osobních údajů prováděné v rámci této směrnice se řídí směrnicí [Evropského parlamentu a Rady] 95/46/ES [ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355)].“

13

Článek 166 uvedené směrnice, nadepsaný „Zrušení“, stanoví:

„Směrnice [2009/101 a 2012/30] se zrušují […].

Odkazy na zrušené směrnice se považují za odkazy na tuto směrnici v souladu se srovnávací tabulkou obsaženou v příloze IV.“

14

Příloha II směrnice 2017/1132 obsahuje seznam forem společností podle čl. 7 odst. 1, článku 13, čl. 29 odst. 1, čl. 36 odst. 1, čl. 67 odst. 1 a čl. 119 odst. 1 písm. a) této směrnice, mezi nimiž je v případě Bulharska zahrnuta OOD.

15

Podle srovnávací tabulky uvedené v příloze IV směrnice 2017/1132 odpovídají články 2, 2a, 3, 4 a 7a směrnice 2009/101 článkům 14, 15, 16, 21 a 161 směrnice 2017/1132. Článek 3 směrnice 2012/30 odpovídá článku 4 směrnice 2017/1132.

16

Směrnice 2017/1132 byla změněna mimo jiné směrnicí Evropského parlamentu a Rady (EU) 2019/1151 ze dne 20. června 2019, kterou se mění směrnice (EU) 2017/1132, pokud jde o využívání digitálních nástrojů a postupů v právu obchodních společností (Úř. věst. 2019, L 186, s. 80), která vstoupila v platnost dne 31. července 2019 a která v článku 1, nadepsaném „Změny směrnice [2017/1132]“, stanoví:

„Směrnice [2017/1132] se mění takto:

[…]

6) Článek 16 se nahrazuje tímto:

‚Článek 16

Zveřejnění v rejstříku

1.   V každém členském státě je veden spis v ústředním, obchodním či podnikovém rejstříku (dále jen »rejstřík«) pro každou společnost, která je v něm zapsána.

[…]

2.   Všechny listiny a údaje, které musí být zveřejněny podle článku 14, jsou vedeny ve spise uvedeném v odstavci 1 tohoto článku nebo zapsány přímo do rejstříku a předmět zápisů do rejstříku je zaznamenán ve spisu.

Všechny listiny a údaje podle článku 14, bez ohledu na způsob, jakým jsou ukládány, jsou vedeny ve spise v rejstříku nebo přímo do něj zapsány v elektronické formě. Členské státy zajistí, aby rejstřík všechny listiny a údaje uložené v tištěné formě převedl co nejdříve do elektronické formy.

[…]

3.   Členské státy zajistí, aby se zveřejňování listin a údajů podle článku 14 uskutečňovalo jejich zpřístupněním veřejnosti prostřednictvím rejstříku. Kromě toho mohou členské státy rovněž požadovat, aby byly některé nebo všechny listiny a údaje zveřejněny ve vnitrostátním věstníku určeném pro tento účel nebo jiným, stejně účinným způsobem. […]

4.   Členské státy přijmou nezbytná opatření, aby zabránily jakémukoli nesouladu mezi zápisem v rejstříku a obsahem spisu.

Členské státy, které požadují zveřejňování listin a údajů ve vnitrostátním věstníku nebo na centrální elektronické platformě, přijmou nezbytná opatření k tomu, aby zabránily nesouladu mezi obsahem zveřejněným podle odstavce 3 a obsahem zveřejněným v uvedeném věstníku nebo na uvedené platformě.

V případě nesouladu podle tohoto článku jsou rozhodující listiny a údaje, které jsou k dispozici v rejstříku.

5.   Společnost se může dovolávat listin a údajů uvedených v článku 4 vůči třetím osobám až po zveřejnění uvedeném v odstavci 3 tohoto článku, ledaže prokáže, že třetí osoby tyto listiny nebo údaje znaly.

[…]

6.   Členské státy zajistí, aby všechny listiny a údaje podané při vytvoření společnosti, zápisu pobočky do rejstříku nebo ukládání prováděného společností nebo pobočkou rejstříky uložily ve strojově čitelném formátu umožňujícím vyhledávání nebo jako strukturované údaje.‘

7) Vkládá se nový článek, který zní:

‚Článek 16a

Přístup ke zveřejněným údajům

1.   Členské státy zajistí, aby bylo možno na žádost získat z rejstříku kopie všech nebo libovolných částí listin a údajů podle článku 14 […].

[…]‘

19) Článek 161 se nahrazuje tímto:

‚Článek 161

Ochrana údajů

Zpracování osobních údajů prováděné v rámci této směrnice se řídí nařízením [GDPR].‘ “

17

Článek 2 směrnice 2019/1151, nadepsaný „Provedení“, stanoví:

„1   Členské státy uvedou v účinnost právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí nejpozději do 1. srpna 2021. […]

2.   Bez ohledu na odstavec 1 tohoto článku členské státy uvedou v účinnost právní a správní předpisy nezbytné pro dosažení souladu s […] čl. 1 bod 6) této směrnice, který se týká čl. 16 odst. 6 směrnice [2017/1132], do 1. srpna 2023.

3.   Odchylně od odstavce 1 může být členským státům, které se při provádění této směrnice budou potýkat s velkými obtížemi, prodloužena lhůta pro provedení směrnice stanovená v odstavci 1 až o jeden rok. […]

[…]“

18

V bodech 26, 32, 40, 42, 43, 50, 85, 143 a 146 odůvodnění GDPR se uvádí:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

19

Článek 4 GDPR, nadepsaný „Definice“, stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]

[…]

[…]“

20

Článek 5 GDPR, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1.   Osobní údaje musí být:

[…]

[…]

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

21

Článek 6 GDPR, nadepsaný „Zákonnost zpracování“, stanoví:

„1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]

[…]

[…]

3.   Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:

Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.

[…]“

22

Článek 17 GDPR, nadepsaný „Právo na výmaz (‚právo být zapomenut‘)“, stanoví:

„1.   Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

[…]

3.   Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné:

[…]

[…]“

23

Článek 21 odst. 1 GDPR stanoví:

„Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.“

24

Článek 58 GDPR stanoví:

„1.   Každý dozorový úřad má všechny tyto vyšetřovací pravomoci:

[…]

2.   Každý dozorový úřad má všechny tyto nápravné pravomoci:

[…]

3.   Každý dozorový úřad má všechny tyto povolovací a poradní pravomoci:

[…]

[…]

4.   Výkon pravomocí svěřených tímto článkem dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou [základních práv Evropské unie (dále jen ‚Listina‘)].

5.   Každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení tohoto nařízení.

6.   Každý členský stát může v právních předpisech stanovit, že jeho dozorový úřad má další pravomoci než ty uvedené v odstavcích 1, 2 a 3. Výkon těchto pravomocí nesmí narušit účinné fungování kapitoly VII.“

25

Článek 82 GDPR, nadepsaný „Právo na náhradu újmy a odpovědnost“, stanoví:

„1.   Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

2.   Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.

3.   Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

[…]“

26

Článek 94 GDPR stanoví:

„1.   Směrnice [95/46] se zrušuje s účinkem ode dne 25. května 2018.

2.   Odkazy na zrušenou směrnici se považují za odkazy na toto nařízení. […]“

27

Článek 2 zákona o obchodním rejstříku a rejstříku neziskových právnických osob (Zakon za targovskija registar i registara na juridičeskite lica s nestopanska cel) (DV č. 34 ze dne 25. dubna 2006), ve znění použitelném pro spor v původním řízení (dále jen „zákon o rejstřících“), stanoví:

„(1)   . Obchodní rejstřík a rejstřík neziskových právnických osob tvoří společnou elektronickou databázi obsahující skutečnosti zapisované podle zákona, jakož i listiny zveřejňované podle zákona, které se týkají obchodníků a poboček zahraničních obchodníků, neziskových právnických osob a poboček zahraničních neziskových právnických osob.

(2)   Skutečnosti a listiny uvedené v odstavci 1 se zveřejňují bez informací, které představují osobní údaje ve smyslu čl. 4 bodu 1 [GDPR], kromě informací, které musí být zveřejněny ze zákona.“

28

Článek 3 tohoto zákona stanoví:

„Obchodní rejstřík a rejstřík neziskových právnických osob vede [Agentura], která je podřízena ministrovi spravedlnosti (Ministar na pravosadieto, Bulharsko).“

29

Článek 6 odst. 1 uvedeného zákona stanoví:

„Každý obchodník je povinen požádat o zápis do obchodního rejstříku a každá nezisková právnická osoba do rejstříku neziskových právnických osob tak, že prohlásí skutečnosti, jejichž zápis je vyžadován, a předloží listiny, které mají být zveřejněny.“

30

Článek 11 téhož zákona stanoví:

„(1)   Obchodní rejstřík a rejstřík neziskových právnických osob jsou veřejné. Každý má právo na volný a bezplatný přístup do databáze rejstříku.

(2)   [Agentura] umožní registrovaný přístup do spisu obchodníka nebo neziskové právnické osoby.“

31

Článek 13 odst. 1, 2, 6 a 9 zákona o rejstřících stanoví:

„(1)   Registrace, výmaz a zveřejnění se provádějí na základě formuláře žádosti.

(2)   Žádost musí obsahovat:

1. kontaktní údaje žadatele;

[…]

3. skutečnost podléhající zápisu, zápis, o jehož výmaz se žádá, nebo listinu, která má být zveřejněna;

[…]

(6)   [K] žádosti se přiloží dokumenty, případně listiny, které mají být zveřejněny v souladu s požadavky zákona. Tyto dokumenty musí mít formu originálu, kopie ověřené žadatelem nebo kopie ověřené notářem. Žadatel rovněž předloží ověřené kopie dokumentů, které mají být zveřejněny v obchodním rejstříku, v nichž byly zakryty jiné osobní údaje než ty, které vyžaduje zákon.

[…]

(9)   Pokud žádost nebo k ní přiložené dokumenty obsahují osobní údaje, které nejsou vyžadovány zákonem, má se za to, že osoby, které je poskytly, souhlasí s jejich zpracováním [Agenturou] a s jejich zveřejněním.

[…]“

32

Ustanovení § 101 odst. 3 obchodního zákoníku (targovski zakon) (DV č. 48 ze dne 18. června 1991), ve znění použitelném pro spor v původním řízení (dále jen „obchodní zákoník“), stanoví, že společenská smlouva musí obsahovat „jméno, název společnosti a identifikační číslo společníků“.

33

Článek 119 obchodníku zákoníku stanoví:

„(1)   Zápis společnosti do obchodního rejstříku vyžaduje:

1. předložení společenské smlouvy, která je zveřejňována;

[…]

(2)   Údaje uvedené v bodě 1 […] se zapisují do rejstříku […]

[…]

(4)   Pro účely změny nebo doplnění společenské smlouvy v obchodním rejstříku se zveřejňuje kopie uvedené smlouvy včetně všech změn a dodatků, ověřená orgánem zastupujícím společnost.“

34

Článek 6 vyhlášky č. 1 o vedení, uchovávání a přístupu k obchodnímu rejstříku a k rejstříku neziskových právnických osob (Naredba no 1 za vodene sachranjavane i dostap do targovskia registar i do registara na juridičeskite lica s nestopanska cel), ze dne 14. února 2007 (DV č. 18 ze dne 27. února 2007), přijatá ministrem spravedlnosti (Ministar na pravosadieto), ve znění použitelném na spor v původním řízení, stanoví:

„Zápis do obchodního rejstříku a rejstříku neziskových právnických osob a výmaz z nich se provádějí na základě formuláře žádosti v souladu s přílohami [obsahujícími zvláštní formuláře]. Zveřejnění listin v obchodním rejstříku a rejstříku neziskových právnických osob se provádí na základě formuláře žádosti v souladu s přílohami [obsahujícími zvláštní formuláře].“

35

Paní OL je společníkem „Praven Štit Konsulting“ OOD, společnosti s ručením omezeným založené podle bulharského práva, která byla dne 14. ledna 2021 zapsána do obchodního rejstříku na základě předložení společenské smlouvy ze dne 30. prosince 2020 podepsané společníky této společnosti (dále jen „dotčená společenská smlouva“).

36

Tato smlouva obsahující příjmení, jméno, identifikační číslo, číslo průkazu totožnosti, datum a místo vydání tohoto průkazu, jakož i adresu OL a její podpis, byla Agenturou zveřejněna v podobě, ve které byla předložena.

37

Dne 8. července 2021 požádala OL Agenturu o výmaz svých osobních údajů obsažených v uvedené společenské smlouvě s tím, že pokud bylo zpracování jejích údajů založeno na jejím souhlasu, odvolává jej.

38

Vzhledem k tomu, že Agentura neodpověděla, obrátila se OL na správní soud v Dobriči (Administrativen sad Dobrič, Bulharsko), který rozsudkem ze dne 8. prosince 2021 zrušil implicitní odmítnutí ze strany Agentury vymazat uvedené údaje a vrátil věc Agentuře, aby vydala nové rozhodnutí.

39

V souladu s tímto rozsudkem a s obdobným rozsudkem týkajícím se druhého společníka, který učinil stejný krok, uvedla Agentura v dopise ze dne 26. ledna 2022, že jí musí být zaslána ověřená kopie dotčené společenské smlouvy, kde jsou zakryty osobní údaje společníků, s výjimkou údajů vyžadovaných zákonem, aby mohlo být žádosti OL o výmaz osobních údajů vyhověno.

40

Dne 31. ledna 2022 se OL znovu obrátila k správnímu soudu v Dobriči (Administrativen sad Dobrič s žalobou znějící na neplatnost tohoto dopisu a uložení povinnosti Agentuře nahradit jí nehmotnou újmu, kterou jí tento dopis, jenž porušil práva přiznaná GDPR, způsobil.

41

Dne 1. února 2022, před obdržením oznámení o této žalobě, vymazala Agentura bez dalšího identifikační číslo OL, údaje z průkazu totožnosti a její adresu, nikoli však její příjmení, jméno a podpis.

42

Rozsudkem ze dne 5. května 2022 správní soud v Dobriči (Administrativen sad Dobrič) rozhodl o neplatnosti dopisu ze dne 26. ledna 2022 a nařídil Agentuře, aby OL nahradila nehmotnou újmu částkou ve výši 500 bulharských leva (BGN) (přibližně 255 eur) navýšenou o zákonné úroky v souladu s článkem 82 GDPR. Podle uvedeného rozsudku tato újma spočívala v negativních psychologických a emočních prožitcích OL, konkrétně ve strachu a obavách z možného zneužití a v bezmoci a zklamání z nemožnosti chránit své osobní údaje. Uvedená újma vznikla v důsledku tohoto dopisu, který vedl k porušení práva na výmaz zakotveného v čl. 17 odst. 1 GDPR, jakož i k protiprávnímu zpracování jejích osobních údajů obsažených v dotčené společenské smlouvě, která byla zveřejněna.

43

Agentura podala proti uvedenému rozsudku kasační opravný prostředek k předkládajícímu soudu, Nejvyššímu správnímu soudu (Varchoven administrativen sad, Bulharsko).

44

Podle předkládajícího soudu Agentura tvrdí, že je nejen správcem, ale rovněž příjemcem osobních údajů předaných v rámci řízení o zápisu společnosti „Praven Štit Konsulting“. Agentura podle něj dále tvrdí, že neobdržela od dotčené společnosti žádnou kopii smlouvy se zakrytými osobními údaji OL, které neměly být zveřejněny, ačkoli o ni před zápisem této společnosti do obchodního rejstříku požádala. Agentura má podle předkládajícího soudu za to, že nedodání takové kopie nemůže samo o sobě bránit zápisu obchodní společnosti do tohoto rejstříku. To má podle jejího názoru vyplývat ze stanoviska č. 01–1116(20)/01.02.2021 vnitrostátního dozorového úřadu, Komise na ochranu osobních údajů (Komisia za zaštita na ličnite danni, Bulharsko), které bylo vydáno na základě čl. 58 odst. 3 písm. b) GDPR a na které Agentura odkazuje. Předkládající soud uvádí, že OL tvrdí, že Agentura nemůže jakožto správce ukládat jiným subjektům své povinnosti týkající se výmazu osobních údajů, jelikož podle vnitrostátní judikatury toto stanovisko není v souladu s ustanoveními GDPR.

45

Předkládající soud dodává, že s ohledem na tuto většinovou vnitrostátní judikaturu je podle všeho nezbytné vyjasnění požadavků vyplývajících z tohoto nařízení. Předkládající soud si konkrétně klade otázku ohledně souladu mezi právem na ochranu osobních údajů a právní úpravou zaručující zveřejňování určitých listin společností a přístup k nim, přičemž zejména upřesňuje, že rozsudek ze dne 9. března 2017, Manni (C‑398/15, EU:C:2017:197), neumožňuje vyřešit výkladové obtíže, které vyvolává situace dotčená ve věci v původním řízení.

46

Za těchto podmínek se Nejvyšší správní soud (Varchoven administrativen sad) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

47

Je třeba uvést, že položené otázky se týkají výkladu jak GDPR, tak směrnice 2009/101, která byla kodifikována a nahrazena směrnicí 2017/1132, která je použitelná ratione temporis na skutečnosti sporu v původním řízení. Žádost o rozhodnutí o předběžné otázce je proto třeba vykládat tak, že směřuje k výkladu směrnice 2017/1132.

48

Jak uvedla generální advokátka v bodě 15 svého stanoviska, vzhledem k tomu, že část těchto skutečností nastala po 1. srpnu 2021, kdy uplynula lhůta pro provedení směrnice 2019/1151 uvedená v čl. 2 odst. 1 této posledně uvedené směrnice, je na předkládajícím soudu, aby ověřil, zda uvedené skutečnosti spadají do časové působnosti směrnice 2017/1132 nebo směrnice 2017/1132 ve znění směrnice 2019/1151.

49

Je však třeba uvést, že změny znění článků 16 a 161 směrnice 2017/1132 a doplnění článku 16a do této směrnice vyplývající ze směrnice 2019/1151 nemají vliv na posouzení, které má Soudní dvůr v projednávané věci provést, takže odpovědi, které budou v tomto rozsudku poskytnuty, budou v každém případě relevantní.

50

Podstatou první otázky předkládajícího soudu je, zda čl. 21 odst. 2 směrnice 2017/1132 musí být vykládán v tom smyslu, že ukládá členskému státu povinnost povolit, aby v obchodním rejstříku byla zveřejněna společenská smlouva, která podléhá povinnému zveřejnění podle této směrnice a obsahuje jiné osobní údaje než požadované minimální osobní údaje, jejichž zveřejnění právo tohoto členského státu nevyžaduje.

51

Předkládající soud si zejména klade otázku ohledně rozsahu dobrovolného zveřejnění uvedeného v tomto ustanovení a zabývá se tím, zda uvedené ustanovení ukládá členským státům povinnost povolit zveřejňování údajů uvedených v listinách společností, jako jsou osobní údaje, které nevyžadovaly v rámci povinného zveřejňování stanoveného uvedenou směrnicí.

52

Podle čl. 21 odst. 2 prvního pododstavce směrnice 2017/1132 platí, že „[v]edle povinného zveřejnění uvedeného v článku 16 [této směrnice] umožní členské státy, aby překlady listin a údajů uvedených v článku 14 [uvedené směrnice] mohly být dobrovolně zveřejněny v souladu s článkem 16 [této směrnice] v kterémkoli úředním jazyce Unie“. Druhý pododstavec tohoto čl. 21 odst. 2 umožňuje členským státům nařídit, aby byl „překlad těchto listin a údajů“ úředně ověřen. Třetí pododstavec uvedeného čl. 21 odst. 2 se týká opatření nezbytných k usnadnění přístupu třetích osob k „překladům“, které byly dobrovolně zveřejněny.

53

Článek 14 směrnice 2017/1132 podává minimální výčet listin a údajů, které dotčené společnosti musí povinně zveřejnit. Tyto listiny a údaje musí být v souladu s čl. 16 odst. 3 až 5 této směrnice vedeny ve spise nebo zapsány do rejstříku, na žádost musí být možné získat kopii každé listiny nebo její části a musí být zveřejněny ve vnitrostátním věstníku buď v plném nebo zkráceném znění, nebo prostřednictvím odkazu, nebo jiným stejně účinným způsobem.

54

V tomto ohledu zejména vzhledem k opakovanému použití výrazu „překlad“ v čl. 21 odst. 2 směrnice 2017/1132 ze znění tohoto ustanovení vyplývá, že se týká dobrovolného zveřejnění překladů listin a údajů uvedených v článku 14 této směrnice do úředního jazyka Unie, a tudíž pouze jazyka, ve kterém byly tyto listiny a údaje zveřejněny. Naproti tomu uvedené ustanovení neodkazuje na obsah uvedených listin a údajů.

55

Toto znění tedy spíše naznačuje, že čl. 21 odst. 2 nelze vykládat tak, že ukládá členským státům jakoukoli povinnost zveřejnit osobní údaje, jejichž zveřejnění není vyžadováno jinými ustanoveními unijního práva, ani právem dotyčného členského státu, ale které jsou obsaženy v listině, jenž podléhá povinnému zveřejnění podle uvedené směrnice.

56

Soudní dvůr se přitom v případě, kdy smysl ustanovení unijního práva jednoznačně vyplývá ze samotného znění tohoto ustanovení, nemůže od tohoto výkladu odchýlit (rozsudek ze dne 25. ledna 2022, VYSOČINA WIND, C‑181/20, EU:C:2022:51, bod 39).

57

V každém případě, pokud jde o kontext čl. 21 odst. 2 směrnice 2017/1132, nadpis tohoto článku, který odkazuje na „[j]azyk zveřejnění a překlad zveřejňovaných listin a údajů“, stejně jako další odstavce tohoto článku potvrzuje výklad uvedený v bodě 55 tohoto rozsudku.

58

Článek 21 odst. 1 směrnice 2017/1132 totiž stanoví, že „[l]istiny a údaje, které mají být zveřejněny podle článku 14 [této směrnice], se vyhotovují a ukládají v jednom z jazyků povolených“ příslušnými vnitrostátními předpisy. Tento čl. 21 odst. 3 stanoví, že vedle povinného zveřejnění uvedeného v článku 16 uvedené směrnice a dobrovolného zveřejnění podle čl. 21 odst. 2 mohou členské státy umožnit, aby dotčené listiny a údaje byly zveřejněny „v kterémkoli jiném jazyce“. Pokud jde o tentýž čl. 21 odst. 4, ten odkazuje na „dobrovolně zveřejněn[ý] překlad[…]“

59

Výklad uvedený v bodě 55 tohoto rozsudku je potvrzen i bodem 12 odůvodnění směrnice 2017/1132, podle kterého je třeba zjednodušit přeshraniční přístup k informacím o společnostech tím, že se kromě povinného zveřejnění v jednom z jazyků povolených v členském státě dotyčných společností umožní dobrovolná registrace povinně zveřejňovaných listin a údajů v dalších jazycích.

60

S ohledem na výše uvedené je třeba na první otázku odpovědět tak, že čl. 21 odst. 2 směrnice 2017/1132 musí být vykládán v tom smyslu, že neukládá členskému státu povinnost povolit, aby v obchodním rejstříku byla zveřejněna společenská smlouva, která podléhá povinnému zveřejnění podle této směrnice a obsahuje jiné osobní údaje než požadované minimální osobní údaje, jejichž zveřejnění právo tohoto členského státu nevyžaduje.

61

S ohledem na odpověď na první otázku není důvodné odpovídat na druhou a třetí otázku, které jsou položeny pouze pro případ kladné odpovědi na první otázku.

62

Podstatou páté otázky předkládajícího soudu, kterou je třeba se zabývat před čtvrtou otázkou, je, zda GDPR, zejména jeho čl. 4 body 7 a 9, musí být vykládáno v tom smyslu, že orgán pověřený vedením obchodního rejstříku členského státu, který v tomto rejstříku zveřejňuje osobní údaje obsažené ve společenské smlouvě podléhající povinnému zveřejnění na základě směrnice 2017/1132, která je mu předána v rámci žádosti o zápis dotčené společnosti do uvedeného rejstříku, je jak „příjemcem“ těchto údajů, tak „správcem“ uvedených údajů ve smyslu tohoto ustanovení.

63

Je třeba připomenout, že podle článku 161 směrnice 2017/1132 se zpracování osobních údajů prováděné v rámci této směrnice řídí směrnicí 95/46, a tudíž GDPR, jehož čl. 94 odst. 2 upřesňuje, že odkazy na posledně uvedenou směrnici se považují za odkazy na toto nařízení.

64

V tomto ohledu je třeba podotknout, že podle čl. 14 písm. a), b) a d) směrnice 2017/1132 musí členské státy přijmout nezbytná opatření k zajištění povinného zveřejňování týkajícího se společností alespoň ohledně zakladatelského právního jednání dotčené společnosti a jeho změn, a jmenování, ukončení funkce a totožnosti osob, které jsou jako statutární orgán společnosti nebo členové takového orgánu oprávněny zastupovat tuto společnost vůči třetím osobám a v soudních řízeních nebo se účastní správy, dozoru nebo kontroly uvedené společnosti. Podle čl. 4 písm. i) této směrnice zahrnují povinné údaje, které musí být uvedeny v zakladatelském právním jednání, které je takto zveřejněno, totožnost fyzických nebo právnických osob nebo společností, které podepsaly tuto listinu nebo jejichž jménem byla podepsána.

65

Na základě čl. 16 odst. 3 až 5 uvedené směrnice, jak je uvedeno v bodě 53 tohoto rozsudku, musí být tyto listiny a údaje vedeny ve spise nebo zapsány do rejstříku, na žádost musí být možné získat kopii každé listiny nebo její části a musí být zveřejněny ve vnitrostátním věstníku buď v plném nebo zkráceném znění, nebo prostřednictvím odkazu, nebo jiným stejně účinným způsobem.

66

Jak uvedla generální advokátka v bodě 26 svého stanoviska, je na členských státech, aby určily zejména, které kategorie informací o totožnosti osob uvedených v čl. 4 písm. i) a čl. 14 písm. d) směrnice 2017/1132 – konkrétně jaké typy osobních údajů – jsou povinně zveřejňovány, přičemž musí dodržet unijní právo.

67

Údaje týkající se totožnosti těchto osob přitom představují jakožto informace týkající se identifikovaných nebo identifikovatelných fyzických osob „osobní údaje“ ve smyslu čl. 4 bodu 1 GDPR (v tomto smyslu viz rozsudek ze dne 9. března 2017, Manni, C‑398/15, EU:C:2017:197, bod 34).

68

Totéž platí pro další údaje týkající se totožnosti uvedených osob nebo jiných kategorií osob, o kterých členské státy rozhodnou, že musí být povinně zveřejňovány, nebo které jsou, jako v projednávané věci, uvedeny v listinách, jež jsou takto zveřejňovány, aniž je zveřejnění těchto údajů vyžadováno směrnicí 2017/1132 nebo vnitrostátním právem provádějícím tuto směrnici.

69

Pokud jde o pojem „příjemce“ ve smyslu čl. 4 bodu 9 GDPR, tím se rozumí „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli“, přičemž toto ustanovení upřesňuje, že z této definice jsou vyloučeny orgány veřejné moci, které tyto údaje získávají v rámci zvláštního šetření v souladu s unijním právem nebo právem členského státu.

70

Orgán pověřený vedením rejstříku členského státu tím, že v rámci žádosti o zápis společnosti do obchodního rejstříku přijímá listiny podléhající povinnému zveřejnění uvedené v článku 14 směrnice 2017/1132, které obsahují osobní údaje, bez ohledu na to, zda jsou vyžadovány touto směrnicí nebo vnitrostátním právem, má postavení „příjemce“ těchto údajů ve smyslu čl. 4 bodu 9 GDPR.

71

Podle čl. 4 bodu 7 GDPR zahrnuje pojem „správce“ fyzické nebo právnické osoby, orgány veřejné moci, agentury nebo jiné subjekty, které samy nebo společně s jinými určují účely a prostředky zpracování osobních údajů. Toto ustanovení rovněž uvádí, že jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.

72

V tomto ohledu je třeba připomenout, že podle judikatury Soudního dvora je cílem uvedeného ustanovení prostřednictvím široké definice pojmu „správce“ zajistit účinnou a úplnou ochranu subjektů údajů [rozsudek ze dne 11. ledna 2024, État belge (Údaje zpracovávané v úředním věstníku), C‑231/22, EU:C:2024:7, bod 28 a citovaná judikatura].

73

Vzhledem ke znění čl. 4 bodu 7 GDPR ve spojení s tímto cílem se jeví, že pro určení toho, zda je třeba osobu nebo subjekt považovat za „správce“ ve smyslu tohoto ustanovení, je třeba přezkoumat, zda tato osoba nebo tento subjekt sám nebo společně s jinými určuje účely a prostředky zpracování, nebo zda jsou tyto účely a prostředky určeny unijním či vnitrostátním právem. Pokud je takovéto určení provedeno vnitrostátním právem, je pak třeba ověřit, zda toto právo určuje správce nebo stanoví zvláštní kritéria pro jeho určení [v tomto smyslu viz rozsudek ze dne 11. ledna 2024, État belge (Údaje zpracovávané v úředním věstníku), C‑231/22, EU:C:2024:7, bod 29].

74

Je rovněž třeba upřesnit, že s ohledem na širokou definici pojmu „správce“ ve smyslu čl. 4 bodu 7 GDPR může být určení účelů a prostředků zpracování a případně určení tohoto správce vnitrostátním právem nejen explicitní, ale i implicitní. V posledně uvedeném případě se nicméně vyžaduje, aby toto určení dostatečně jasně vyplývalo z úlohy, poslání a pravomocí svěřených dotyčné osobě nebo dotyčnému subjektu [rozsudek ze dne 11. ledna 2024, État belge (Údaje zpracovávané v úředním věstníku), C‑231/22, EU:C:2024:7, bod 30].

75

Orgán pověřený vedením obchodního rejstříku členského státu tím, že do něj zapisuje a uchovává v něm osobní údaje obdržené v rámci žádosti o zápis společnosti do tohoto rejstříku, tyto údaje případně sděluje na žádost třetím osobám a zveřejňuje je ve vnitrostátním věstníku, nebo jiným stejně účinným způsobem, zpracovává osobní údaje jako „správce“ ve smyslu čl. 4 bodů 2 a 7 GDPR (v tomto smyslu viz rozsudek ze dne 9. března 2017, Manni, C‑398/15, EU:C:2017:197, bod 35).

76

Toto zpracování osobních údajů je totiž odlišné a navazuje na sdělení osobních údajů učiněné žadatelem o tento zápis, které tento orgán obdržel. Uvedený orgán nadto provádí uvedené zpracování sám v souladu s účely a způsoby stanovenými ve směrnici 2017/1132 a právními předpisy dotčeného členského státu provádějícími tuto směrnici.

77

V tomto ohledu je třeba uvést, že z bodů 7 a 8 odůvodnění směrnice 2017/1132 vyplývá, že zveřejňování upravené touto směrnicí směřuje zejména k ochraně zájmů třetích osob ve vztahu k akciovým společnostem a ke společnostem s ručením omezeným, neboť ty poskytují třetím osobám jako záruku pouze své obchodní jmění. Za tímto účelem by takové zveřejňování mělo třetím osobám umožnit, aby se seznámily se základními listinami dotyčné společnosti a s některými údaji, které se jí týkají, zejména s údaji o osobách, které jsou oprávněny společnost zavazovat.

78

Cílem směrnice 2017/1132 je zajistit právní jistotu ve vztazích mezi společnostmi a třetími osobami v zájmu zintenzivnění obchodních toků mezi členskými státy v návaznosti na vytvoření vnitřního trhu. Z tohoto hlediska je důležité, aby každá osoba, která si přeje navázat hospodářské vztahy se společnostmi se sídlem v jiných členských státech či v nich pokračovat, mohla snadno zjistit zásadní údaje týkající se založení obchodních společností a pravomocí osob, které jsou pověřeny jejich zastupováním, což vyžaduje, aby byly všechny příslušné údaje výslovně uvedeny v rejstříku (v tomto smyslu viz rozsudek ze dne 9. března 2017, Manni, C‑398/15, EU:C:2017:197, bod 50).

79

Jak přitom uvedla generální advokátka v bodě 39 svého stanoviska, žadatel o zápis společnosti do obchodního rejstříku členského státu nemá tím, že předá orgánu pověřenému vedením tohoto rejstříku listiny a údaje podléhající povinnému zveřejnění stanovenému ve směrnici 2017/1132 a zpracovává tak osobní údaje, které tyto listiny obsahují, žádný vliv na určení účelu a následných zpracování tímto orgánem. Kromě toho sleduje jiné vlastní účely, a sice splnit formality nezbytné pro tento zápis.

80

V projednávané věci, jak uvedla generální advokátka v bodech 31 a 32 tohoto stanoviska, z žádosti o rozhodnutí o předběžné otázce vyplývá, že ke zveřejnění osobních údajů OL došlo při výkonu pravomocí svěřených Agentuře jakožto orgánu pověřenému vedením obchodního rejstříku, přičemž účely a prostředky zpracování těchto údajů jsou určeny jak unijním právem, tak vnitrostátními právními předpisy dotčenými ve věci v původním řízení, zejména článkem 13 odst. 9 zákona o rejstřících. Skutečnost, že ověřená kopie dotčené společenské smlouvy zakrývající osobní údaje, které nejsou vyžadovány těmito právními předpisy, nebyla v rozporu s procesními podmínkami stanovenými uvedenými právními předpisy předána, nemá vliv na kvalifikaci Agentury jako správce v souvislosti s tímto zpracováním.

81

Tuto kvalifikaci nezpochybňuje ani skutečnost, že podle téže právní úpravy Agentura nekontroluje před jejich zveřejněním na internetu osobní údaje obsažené v elektronických snímcích nebo originálech listin, které jsou jí předány pro účely zápisu společnosti. V tomto ohledu již Soudní dvůr rozhodl, že by bylo v rozporu s cílem čl. 4 bodu 7 GDPR uvedeným v bodě 72 tohoto rozsudku vyloučit z pojmu „správce“ úřední věstník členského státu z důvodu, že tento stát nevykonává kontrolu nad osobními údaji uvedenými v jeho publikacích [rozsudek ze dne 11. ledna 2024, État belge (Údaje zpracovávané v úředním věstníku), C‑231/22, EU:C:2024:7, bod 38].

82

Za těchto okolností v takové situaci, jako je situace dotčená ve věci v původním řízení, je Agentura podle všeho správcem osobních údajů OL, jejichž zpracování spočívá v on-line zveřejnění těchto údajů, i když jí podle vnitrostátních právních předpisů dotčených ve věci v původním řízení měla být předána kopie dotčené společenské smlouvy zakrývající osobní údaje, jež nejsou vyžadovány těmito předpisy, což přísluší ověřit předkládajícímu soudu. Agentura tudíž podle čl. 5 odst. 2 GDPR rovněž odpovídá za dodržení odstavce 1 tohoto článku.

83

S ohledem na výše uvedené je třeba na pátou otázku odpovědět tak, že GDPR, zejména jeho čl. 4 body 7 a 9, musí být vykládáno v tom smyslu, že orgán pověřený vedením obchodního rejstříku členského státu, který v tomto rejstříku zveřejňuje osobní údaje obsažené ve společenské smlouvě podléhající povinnému zveřejnění podle směrnice 2017/1132, jež mu byla předána v rámci žádosti o zápis dotčené společnosti do uvedeného rejstříku, je jak „příjemcem“ těchto údajů, tak, zejména tím, že je zveřejňuje, „správcem“ uvedených údajů ve smyslu tohoto ustanovení, i když tato smlouva obsahuje osobní údaje nepožadované touto směrnicí nebo právem tohoto členského státu.

84

Bulharská vláda tvrdí, že čtvrtá otázka je nepřípustná, jelikož vznáší hypotetický problém. Podle uvedené vlády se totiž tato otázka týká slučitelnosti vnitrostátní právní úpravy procesních podmínek pro výkon práva uvedeného v článku 17 GDPR, která dosud nebyla přijata, s článkem 16 směrnice 2017/1132.

85

V souladu s ustálenou judikaturou platí, že řízení o předběžné otázce upravené v článku 267 SFEU zavádí úzkou spolupráci mezi vnitrostátními soudy a Soudním dvorem, založenou na rozdělení úloh mezi nimi a představuje nástroj, jehož prostřednictvím Soudní dvůr poskytuje vnitrostátním soudům výklad unijního práva, který je pro ně nezbytný k vyřešení sporů, jež mají rozhodnout. V rámci této spolupráce je věcí pouze vnitrostátního soudu, kterému byl spor předložen a jenž musí nést odpovědnost za soudní rozhodnutí, které bude vydáno, aby s ohledem na konkrétní okolnosti věci posoudil jak nezbytnost rozhodnutí o předběžné otázce pro vydání rozsudku, tak relevanci otázek, které pokládá Soudnímu dvoru. Týkají-li se tedy položené otázky výkladu unijního práva, je Soudní dvůr v zásadě povinen rozhodnout [rozsudek ze dne 23. listopadu 2021, IS (Protiprávnost předkládacího rozhodnutí), C‑564/19, EU:C:2021:949, body 59 a 60 a citovaná judikatura].

86

Z toho vyplývá, že k otázkám týkajícím se unijního práva se váže domněnka relevance. Odmítnutí rozhodnout o předběžné otázce položené vnitrostátním soudem ze strany Soudního dvora je možné pouze tehdy, je-li zjevné, že žádaný výklad unijního práva nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, jestliže se jedná o hypotetický problém, nebo také jestliže Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na otázky, které jsou mu položeny [rozsudek ze dne 24. listopadu 2020, Openbaar Ministerie (Padělání dokumentů), C‑510/19, EU:C:2020:953, bod 26 a citovaná judikatura].

87

V projednávané věci ze žádosti o rozhodnutí o předběžné otázce vyplývá, že předkládající soud má v posledním stupni rozhodnout o legalitě odmítnutí ze strany Agentury, pokud jde o žádost o výmaz osobních údajů dotčenou ve věci v původním řízení, z důvodu, že Agentuře nebyla v rozporu s procesními podmínkami stanovenými vnitrostátními právními předpisy poskytnuta kopie dotčené společenské smlouvy zakrývající osobní údaje, které tyto bulharské předpisy nevyžadují. Z žádosti dále vyplývá, že takové odmítnutí je praxí Agentury. Předkládající soud upřesnil, že odpověď Soudního dvora na čtvrtou otázku je nezbytná pro vyřešení sporu v původním řízení v kontextu, kdy vnitrostátní judikatura není jednotná.

88

Z toho plyne, že na rozdíl od toho, co tvrdí bulharská vláda, je čtvrtá otázka přípustná.

89

S ohledem na údaje obsažené v žádosti o rozhodnutí o předběžné otázce, které jsou uvedeny v bodě 87 tohoto rozsudku, je třeba mít za to, že podstatou čtvrté otázky předkládajícího soudu je, zda směrnice 2017/1132, zejména její článek 16, jakož i článek 17 GDPR musí být vykládány v tom smyslu, že brání právní úpravě nebo praxi členského státu, která vede orgán pověřený vedením obchodního rejstříku tohoto členského státu k odmítnutí jakékoli žádosti o výmaz osobních údajů, které nejsou vyžadovány touto směrnicí nebo právem uvedeného členského státu, obsažených ve společenské smlouvě zveřejněné v tomto rejstříku, pokud tomuto orgánu nebyla v rozporu s procesními podmínkami stanovenými touto právní úpravou poskytnuta kopie této smlouvy, v níž jsou uvedené údaje zakryty.

90

Podle čl. 17 odst. 1 GDPR má subjekt údajů právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se jej týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z důvodů uvedených v tomto ustanovení.

91

Tak je tomu podle čl. 17 odst. 1 písm. c) GDPR, pokud subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 tohoto nařízení a neexistují žádné „převažující oprávněné důvody pro zpracování“ nebo podle čl. 17 odst. 1 písm. d), pokud byly dotčené osobní údaje „zpracovány protiprávně“.

92

Z článku 17 odst. 3 písm. b) GDPR rovněž vyplývá, že tento čl. 17 odst. 1 se neuplatní, pokud je toto zpracování nezbytné pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

93

Za účelem určení, zda v takové situaci, jako je situace dotčená ve věci v původním řízení, má subjekt údajů právo na výmaz podle článku 17 GDPR, je tedy třeba nejprve posoudit důvod nebo důvody zákonnosti, na nichž může být založeno zpracování jeho osobních údajů.

94

V tomto ohledu je třeba připomenout, že čl. 6 odst. 1 první pododstavec GDPR stanoví taxativní a vyčerpávající výčet případů, v nichž lze zpracování osobních údajů považovat za zákonné. Aby mohlo být zpracování považováno za oprávněné, musí spadat pod jeden z případů stanovených v tomto ustanovení [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 99 a citovaná judikatura].

95

Bez souhlasu subjektu údajů se zpracováním jeho osobních údajů podle čl. 6 odst. 1 prvního pododstavce písm. a), nebo pokud tento souhlas nebyl udělen svobodně, konkrétně, informovaným a jednoznačným způsobem ve smyslu čl. 4 bodu 11 GDPR, může být takové zpracování nicméně odůvodněno, pokud splňuje jeden z požadavků nezbytnosti uvedených ve zmíněném čl. 6 odst. 1 prvním pododstavci písm. b) až f) tohoto nařízení [v tomto smyslu viz rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, bod 92].

96

V této souvislosti musí být odůvodnění stanovená v posledně uvedeném ustanovení – jelikož mohou vést k tomu, že zpracování osobních údajů bude zákonné i bez souhlasu subjektu údajů – vykládána restriktivně [rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, bod 93 a citovaná judikatura].

97

Je třeba rovněž upřesnit, že v souladu s článkem 5 GDPR je na správci, aby prokázal, že tyto údaje jsou shromažďovány zejména pro určité, výslovně vyjádřené a legitimní účely, že jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelům, pro které jsou zpracovávány, a že jsou ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem [v tomto smyslu viz rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, bod 95].

98

I když je na předkládajícím soudu, aby určil, zda jsou jednotlivé prvky zpracování, o které se jedná ve věci v původním řízení, odůvodněny tou či onou potřebou uvedenou v čl. 6 odst. 1 prvním pododstavci písm. a) až f) GDPR, Soudní dvůr mu nicméně může poskytnout užitečná vodítka, jež mu umožní rozhodnout spor, který mu byl předložen [v tomto smyslu viz rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, bod 96].

99

Jak uvedla generální advokátka v bodě 43 svého stanoviska, v projednávané věci domněnka souhlasu stanovená v čl. 13 odst. 9 zákona o rejstřících podle všeho nesplňuje podmínky vyžadované v čl. 6 odst. 1 prvním pododstavci písm. a) GDPR ve spojení s čl. 4 bodem 11 tohoto nařízení.

100

Jak totiž vyplývá z bodů 32, 42 a 43 odůvodnění uvedeného nařízení, souhlas by měl být dán jednoznačným potvrzením, například v podobě písemného prohlášení nebo ústního prohlášení, přičemž není považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen. Souhlas by rovněž neměl představovat platný právní základ ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, zejména pokud je správcem orgán veřejné moci.

101

Nelze tedy mít za to, že taková domněnka, jako je domněnka upravená v čl. 13 odst. 9 zákona o rejstřících, prokazuje souhlas, který byl dán svobodným, konkrétním, informovaným a jednoznačným způsobem, se zpracováním osobních údajů prováděným takovým veřejným orgánem, jako je Agentura.

102

Důvody zákonnosti stanovené v čl. 6 odst. 1 prvním pododstavci písm. b) a d) GDPR týkající se zpracování osobních údajů nezbytného pro plnění smlouvy a ochranu životně důležitých zájmů fyzické osoby nejsou podle všeho relevantní pro zpracování osobních údajů dotčené ve věci v původním řízení. Totéž platí pro důvod zákonnosti stanovený v tomto čl. 6 odst. 1 prvním pododstavci písm. f), který se týká zpracování osobních údajů nezbytného pro účely oprávněných zájmů správce, jelikož ze znění uvedeného čl. 6 odst. 1 druhého pododstavce jasně vyplývá, že zpracování osobních údajů prováděné orgánem veřejné moci v rámci plnění jeho úkolů nemůže spadat do působnosti posledně uvedeného důvodu [v tomto smyslu viz rozsudek ze dne 8. prosince 2022, Inspektor v. Inspektorata kam Visšia sadeben savet (Účel zpracování osobních údajů – Trestní vyšetřování), C‑180/21, EU:C:2022:967, bod 85].

103

Pokud jde o důvody zákonnosti uvedené v čl. 6 odst. 1 prvním pododstavci písm. c) a e) GDPR, je třeba připomenout, že podle tohoto čl. 6 odst. 1 prvního pododstavce písm. c) je zpracování osobních údajů zákonné, pokud je nezbytné pro splnění právní povinnosti, která se na správce vztahuje. Kromě toho je podle uvedeného čl. 6 odst. 1 prvního pododstavce písm. e) zákonné také zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.

104

Článek 6 odst. 3 GDPR ohledně obou těchto dvou případů zákonnosti mimo jiné upřesňuje, že základ pro zpracování se musí opírat o unijní právo nebo právo členského státu, které se na správce vztahuje, a že tento právní základ musí splňovat cíl veřejného zájmu a být přiměřený sledovanému legitimnímu cíli.

105

Pokud jde na prvním místě o otázku, zda je zpracování dotčené ve věci v původním řízení nezbytné – pro splnění právní povinnosti vyplývající z unijního práva nebo práva členského státu, která se na správce vztahuje – ve smyslu čl. 6 odst. 1 prvního pododstavce písm. c) GDPR, je třeba uvést, podobně jak učinila generální advokátka v bodech 45 a 47 svého stanoviska, že směrnice 2017/1132 neukládá systematické zpracování všech osobních údajů obsažených v listině, která je povinně zveřejňována podle této směrnice. Naopak z článku 161 uvedené směrnice vyplývá, že zpracování osobních údajů prováděné v rámci směrnice 2017/1132, a zejména jakékoli shromažďování, uchovávání, zpřístupňování třetím stranám a zveřejňování informací podle této směrnice musí v plném rozsahu splňovat požadavky vyplývající z GDPR.

106

Je tedy na členských státech, aby v rámci plnění povinností uložených uvedenou směrnicí uvedly do souladu cíle právní jistoty a ochrany zájmů třetích osob, které tatáž směrnice sleduje a které jsou připomenuty v bodě 77 tohoto rozsudku, s právy zakotvenými GDPR a základním právem na ochranu osobních údajů, a to vyváženým poměřením těchto cílů s těmito právy (v tomto smyslu viz rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 98).

107

Nelze tedy mít za to, že on-line zveřejnění v obchodním rejstříku osobních údajů nevyžadovaných směrnicí 2017/1132 nebo vnitrostátními právními předpisy dotčenými ve věci v původním řízení, které jsou obsaženy ve společenské smlouvě podléhající povinnému zveřejnění stanovenému touto směrnicí, předané Agentuře, je odůvodněno požadavkem zajistit zveřejnění listin uvedených v článku 14 této směrnice v souladu s jejím článkem 16, a že tudíž vyplývá z právní povinnosti stanovené unijním právem.

108

Zákonnost zpracování dotčeného ve věci v původním řízení se podle všeho neopírá – s výhradou ověření předkládajícím soudem – ani o zákonnou povinnost stanovenou právem členského státu, které se vztahuje na správce ve smyslu čl. 6 odst. 1 prvního pododstavce písm. c) GDPR, v projednávané věci bulharským právem, jelikož zaprvé ze spisu, který má Soudní dvůr k dispozici, vyplývá, že čl. 2 odst. 2 zákona o rejstřících stanoví, že listiny, které mají být zapsány v obchodním rejstříku se zveřejňují bez informací, které představují osobní údaje, „kromě informací, které musí být zveřejněny ze zákona“, a zadruhé čl. 13 odst. 9 tohoto zákona zavádí domněnku souhlasu, která, jak vyplývá z bodu 99 tohoto rozsudku, nesplňuje požadavky GDPR.

109

Pokud jde na druhém místě o otázku, zda je zpracování dotčené ve věci v původním řízení nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, ve smyslu čl. 6 odst. 1 prvního pododstavce písm. e) GDPR, na který odkazují zejména předkládající soud i bulharská vláda a Agentura, Soudní dvůr již rozhodl, že činnost orgánu veřejné moci spočívající v uchovávání údajů – v databázi –, které jsou společnosti povinny oznamovat na základě zákonných povinností, v umožnění zúčastněným osobám nahlížet do těchto údajů a v poskytování kopií těchto údajů spadá pod výkon výsad veřejné moci a představuje úkol ve veřejném zájmu ve smyslu tohoto ustanovení (v tomto smyslu viz rozsudek ze dne 9. března 2017, Manni, C‑398/15, EU:C:2017:197, bod 43).

110

Z toho vyplývá, že ke zpracování dotčenému ve věci v původním řízení podle všeho dochází při plnění úkolu prováděného ve veřejném zájmu ve smyslu čl. 6 odst. 1 prvního pododstavce písm. e) GDPR. Mají-li však být splněny podmínky stanovené v témže ustanovení, je nezbytné, aby toto zpracování skutečně odpovídalo sledovaným cílům obecného zájmu, aniž by překračovalo meze toho, co je k dosažení těchto cílů nezbytné [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body)C‑439/19, EU:C:2021:504, bod 109].

111

Tento požadavek nezbytnosti není splněn, pokud lze sledovaného cíle obecného zájmu přiměřeně dosáhnout stejně účinným způsobem jinými prostředky, které by méně zasahovaly do základních práv subjektů údajů, zejména do práva na respektování soukromého života a na ochranu osobních údajů, která jsou zaručena v článcích 7 a 8 Listiny, přičemž výjimky ze zásady ochrany takových údajů a její omezení musí být činěny v mezích toho, co je naprosto nezbytné [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body)C‑439/19, EU:C:2021:504, bod 110 a citovaná judikatura].

112

Jak přitom uvedla generální advokátka v bodě 51 svého stanoviska, on-line zveřejnění osobních údajů, které nejsou vyžadovány ani směrnicí 2017/1132, ani vnitrostátním právem, nelze samo o sobě považovat za nezbytné k dosažení cílů sledovaných touto směrnicí.

113

Pokud jde konkrétně o existenci prostředků, které by méně zasahovaly do základních práv subjektů údajů, je třeba poukázat na to, že vnitrostátní právní úprava dotčená ve věci v původním řízení stanoví, že žadatel o zápis společnosti do obchodního rejstříku je povinen poskytnout kopii listiny této společnosti bez nevyžadovaných osobních údajů, jež má být zveřejněna v tomto rejstříku a přístupná třetím osobám, přičemž tato kopie nebyla v projednávané věci Agentuře nikdy poskytnuta, a to ani poté, co o ni požádala. Bulharská vláda a Agentura však potvrdily, že ani po uplynutí přiměřené lhůty a v případě, že subjekt údajů není schopen získat takovou kopii od dotčené společnosti nebo jejích zástupců, tato právní úprava nestanoví, že by Agentura mohla sama vypracovat takovou kopii, což by přitom představovalo prostředek umožňující stejně účinným způsobem dosáhnout cílů, jimiž je zajistit zveřejňování listin společností, právní jistotu a ochranu zájmů třetích osob, který by současně méně zasahoval do práva na ochranu osobních údajů.

114

Je třeba ještě uvést, podobně jako to učinila generální advokátka v bodě 56 svého stanoviska, že na rozdíl od toho, co tvrdilo několik členských států ve vyjádřeních před Soudním dvorem, požadavek na zachování integrity a důvěryhodnosti listin společností podléhajících povinnému zveřejnění podle směrnice 2017/1132, která vyžaduje zveřejnění těchto listin v takové podobě, v jaké byly předány orgánům pověřeným vedením obchodního rejstříku, nemůže mít před tímto právem systematicky přednost, neboť jinak by byla jeho ochrana iluzorní.

115

Tento požadavek zejména nemůže ukládat, aby v tomto rejstříku byly on-line zpřístupňovány osobní údaje, které nejsou vyžadovány směrnicí 2017/1132 nebo vnitrostátním právem, když jak vyplývá z bodu 113 tohoto rozsudku, Agentura by mohla sama vypracovat kopii listiny dotčené společnosti stanovenou tímto zákonem za účelem jejího zpřístupnění.

116

Z toho vyplývá, že zpracování osobních údajů dotčené ve věci v původním řízení podle všeho v každém případě překračuje meze toho, co je nezbytné ke splnění úkolu prováděného ve veřejném zájmu, kterým je Agentura pověřena na základě uvedených vnitrostátních právních předpisů.

117

Z toho důvodu, jak uvedla generální advokátka v bodě 59 svého stanoviska, s výhradou ověření, která přísluší provést předkládajícímu soudu, takové zpracování podle všeho nesplňuje ani podmínky zákonnosti stanovené v čl. 6 odst. 1 prvním pododstavci písm. c) a e) ve spojení s čl. 6 odst. 3 GDPR.

118

Pokud jde o žádost o výmaz podle článku 17 GDPR dotčenou ve věci v původním řízení, je třeba uvést, že v případě, že by předkládající soud měl po posouzení zákonnosti tohoto zpracování dospět k závěru, že uvedené zpracování není zákonné, bylo by na Agentuře jakožto správci, jak vyplývá z bodů 82 a 83 tohoto rozsudku, aby podle jasného znění čl. 17 odst. 1 písm. d) GDPR bez zbytečného odkladu vymazala dotčené údaje [v tomto smyslu viz rozsudek ze dne 7. prosince 2023, SCHUFA Holding (Oddlužení), C‑26/22 a C‑64/22, EU:C:2023:958, bod 108)].

119

Pokud by předkládající soud naproti tomu dospěl k závěru, že toto zpracování skutečně odpovídá důvodu zákonnosti stanovenému v čl. 6 odst. 1 písm. e) GDPR, zejména jelikož on-line zveřejnění údajů, které nejsou vyžadovány směrnicí 2017/1132 nebo vnitrostátní právní úpravou dotčenou ve věci v původním řízení, v obchodním rejstříku bylo nezbytné, aby se v zájmu ochrany třetích osob zabránilo zdržení zápisu dotyčné společnosti, je třeba uvést, že se použije čl. 17 odst. 1 písm. c) GDPR.

120

Z posledně uvedeného ustanovení ve spojení s čl. 21 odst. 1 GDPR vyplývá, že subjekt údajů má právo vznést námitku proti zpracování a má právo na výmaz, ledaže existují závažné oprávněné důvody, které převažují nad jeho zájmy a právy a svobodami ve smyslu uvedeného čl. 21 odst. 1, což musí prokázat správce [v tomto smyslu viz rozsudek ze dne 7. prosince 2023, SCHUFA Holding (Oddlužení), C‑26/22 a C‑64/22, EU:C:2023:958, bod 111].

121

V takové situaci, jako je situace dotčená ve věci v původním řízení, přitom podle všeho neexistuje převažující oprávněný důvod ve smyslu tohoto ustanovení, který by mohl bránit takové žádosti o výmaz.

122

Z předkládacího rozhodnutí totiž vyplývá, že společnost, ve které je paní OL společníkem, je již zapsána v obchodním rejstříku.

123

Kromě toho, jak bylo uvedeno v bodě 115 tohoto rozsudku, požadavek na zachování integrity a důvěryhodnosti listin společností podléhajících povinnému zveřejnění upravenému ve směrnici 2017/1132 nemůže ukládat, aby v tomto rejstříku byly on-line zpřístupňovány osobní údaje, které nejsou vyžadovány směrnicí 2017/1132 nebo vnitrostátním právem.

124

Za předpokladu, že předkládající soud dospěje k závěru, že zpracování osobních údajů dotčené ve věci v původním řízení skutečně odpovídá důvodu zákonnosti stanovenému v čl. 6 odst. 1 písm. c) GDPR, je třeba uvést, že GDPR, a zejména jeho čl. 17 odst. 3 písm. b), výslovně zakotvuje požadavek vyvážit základní práva na respektování soukromého života a na ochranu osobních údajů zakotvená v článcích 7 a 8 Listiny s legitimními cíli sledovanými unijním právem nebo právem členských států, které jsou základem právní povinnosti, k jejímuž dodržování je zpracování nezbytné [obdobně viz rozsudek ze dne 8. prosince 2022, Google (Odstranění odkazu na údajně nepravdivý obsah), C‑460/20, EU:C:2022:962, bod 58 a citovaná judikatura].

125

Jak již Soudní dvůr rozhodl, omezení přístupu k osobním údajům povinně zveřejňovaným podle unijního práva pouze na třetí osoby, které prokáží zvláštní zájem, může být v jednotlivém případě odůvodněno vážnými a legitimními důvody souvisejícími s konkrétní situací subjektů údajů (v tomto smyslu viz rozsudek ze dne 9. března 2017, Manni, C‑398/15, EU:C:2017:197, bod 60).

126

Jak uvedla generální advokátka v bodě 67 svého stanoviska, musí tomu tak být tím spíše v případě, kdy jako v projednávané věci nejsou dotčené osobní údaje vyžadovány ani směrnicí 2017/1132, ani vnitrostátním právem.

127

S ohledem na tyto skutečnosti je třeba na čtvrtou otázku odpovědět tak, že směrnice 2017/1132, zejména její článek 16, jakož i článek 17 GDPR musí být vykládány v tom smyslu, že brání právní úpravě nebo praxi členského státu, která vede orgán pověřený vedením obchodního rejstříku tohoto členského státu k odmítnutí jakékoli žádosti o výmaz osobních údajů, které nejsou vyžadovány touto směrnicí nebo právem uvedeného členského státu a jsou obsaženy ve společenské smlouvě zveřejněné v tomto rejstříku, pokud v rozporu s procesními podmínkami stanovenými uvedenou právní úpravou nebyla orgánu poskytnuta kopie uvedené smlouvy zakrývající tyto údaje.

128

Podstatou šesté otázky předkládajícího soudu je, zda čl. 4 bod 1 GDPR musí být vykládán v tom smyslu, že vlastnoruční podpis fyzické osoby spadá pod pojem „osobní údaj“ ve smyslu tohoto ustanovení.

129

Uvedené ustanovení stanoví, že osobními údaji jsou „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“ a upřesňuje, že „identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“.

130

V tomto ohledu již Soudní dvůr rozhodl, že použití výrazu „veškeré informace“ v definici pojmu „osobní údaje“ uvedené v témže ustanovení odráží cíl unijního normotvůrce přiznat tomuto pojmu široký význam, který potenciálně zahrnuje všechny druhy informací, a to jak objektivní, tak subjektivní, ve formě názoru nebo hodnocení pod podmínkou, že jsou „o“ dotčené osobě (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 23).

131

Informace je o identifikované nebo identifikovatelné fyzické osobě, pokud vzhledem ke svému obsahu, účelu nebo účinku souvisí s identifikovatelnou osobou (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 24).

132

Pokud jde o „identifikovatelnost“ určité fyzické osoby, bod 26 odůvodnění GDPR upřesňuje, že je třeba přihlédnout „ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby“.

133

Z toho vyplývá, že široká definice pojmu „osobní údaje“ nezahrnuje pouze údaje shromážděné a uchovávané správcem, ale zahrnuje rovněž veškeré informace vyplývající ze zpracování osobních údajů, které se týkají identifikované nebo identifikovatelné osoby (v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 26).

134

Z judikatury Soudního dvora rovněž vyplývá, že rukopis fyzické osoby poskytuje informaci o této osobě (v tomto smyslu viz rozsudek ze dne 20. prosince 2017, Nowak, C‑434/16, EU:C:2017:994 bod 37).

135

Je třeba uvést, že vlastnoruční podpis fyzické osoby je obecně používán k identifikaci této osoby za účelem přiznání důkazní hodnoty dokumentům – pokud jde o jejich správnost a pravost – na kterých je tento podpis umístěn, nebo k tomu, aby za ně převzala odpovědnost. Na dotčené společenské smlouvě jsou mimoto podpisy společníků podle všeho připojeny k jejich jménům.

136

S ohledem na výše uvedené je třeba na šestou otázku odpovědět tak, že čl. 4 bod 1 GDPR musí být vykládán v tom smyslu, že vlastnoruční podpis fyzické osoby spadá pod pojem „osobní údaje“ ve smyslu tohoto ustanovení.

137

Podstatou sedmé otázky předkládajícího soudu je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že ztráta kontroly subjektu údajů nad jeho osobními údaji po omezenou dobu z důvodu on-line zveřejnění těchto údajů v obchodním rejstříku členského státu může stačit k tomu, aby způsobila „nehmotnou újmu“, nebo zda tento pojem „nehmotná újma“ vyžaduje prokázání existence dalších hmatatelných negativních dopadů.

138

Je třeba připomenout, že toto ustanovení stanoví, že „[k]dokoli, kdo v důsledku porušení [GDPR] utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy“.

139

Vzhledem k tomu, že GDPR neodkazuje na právo členských států, pokud jde o smysl a rozsah výrazů uvedených v tomto ustanovení, zejména pokud jde o pojmy „hmotná či nehmotná újma“ a „náhrada utrpěné újmy“, musí být v tomto ohledu tyto výrazy pro účely použití tohoto nařízení považovány za autonomní pojmy unijního práva, které musí být vykládány jednotně ve všech členských státech [v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 30].

140

Článek 82 odst. 1 GDPR musí být vykládán v tom smyslu, že pouhé porušení tohoto nařízení nestačí k přiznání práva na náhradu újmy, jelikož existence „utrpěné“ hmotné či nehmotné „újmy“ je jednou z podmínek práva na náhradu újmy stanoveného v tomto čl. 82 odst. 1 stejně jako existence porušení tohoto nařízení a příčinná souvislost mezi touto újmou a tímto porušením, přičemž tyto tři podmínky jsou kumulativní [rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 32, a ze dne 11. dubna 2024, juris, C‑741/21, EU:C:2024:288, bod 34].

141

Osoba, která se domáhá náhrady nehmotné újmy podle tohoto ustanovení, je povinna prokázat nejen porušení ustanovení téhož nařízení, ale rovněž že jí toto porušení způsobilo takovou újmu. Takovou újmu tedy nelze předpokládat pouze z důvodu, že došlo k uvedenému porušení [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 42 a 50, jakož i ze dne 11. dubna 2024, juris, C‑741/21, EU:C:2024:288, bod 35].

142

Subjekt údajů dotčený porušením GDPR, které na něj mělo nepříznivé dopady, je konkrétně povinen prokázat, že tyto dopady představují nehmotnou újmu ve smyslu článku 82 tohoto nařízení, neboť pouhé porušení ustanovení tohoto nařízení nepostačuje k přiznání práva na náhradu újmy (rozsudek ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 60 a citovaná judikatura).

143

Pokud subjekt údajů domáhající se na základě tohoto čl. 82 odst. 1 GDPR náhrady újmy argumentuje obavou, že v budoucnu dojde ke zneužití jeho osobních údajů v důsledku takového porušení, musí vnitrostátní soud, jemuž byla věc předložena, ověřit, že tato obava může být za konkrétních okolností věci a ve vztahu k subjektu údajů považována za opodstatněnou (rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 85).

144

Soudní dvůr již rozhodl, že nejen ze znění uvedeného čl. 82 odst. 1 GDPR ve spojení s body 85 a 146 odůvodnění tohoto nařízení, které vybízejí k širokému pojetí pojmu „nehmotná újma“ ve smyslu prvně uvedeného ustanovení, ale rovněž z cíle, jenž spočívá v zajištění vysoké úrovně ochrany fyzických osob v souvislosti se zpracováním osobních údajů a sleduje uvedené nařízení, vyplývá, že obava z možného zneužití osobních údajů třetími stranami, kterou pociťuje subjekt údajů v důsledku porušení tohoto nařízení, může sama o sobě představovat „nehmotnou újmu“ ve smyslu téhož čl. 82 odst. 1 [rozsudek ze dne 20. června 2024, PS (Nesprávná adresa), C‑590/22, EU:C:2024:536, bod 32 a citovaná judikatura].

145

Z demonstrativního výčtu „újem“, které mohou vzniknout subjektům údajů a jsou zahrnuty v bodě 85 první větě odůvodnění GDPR, konkrétně vyplývá, že unijní normotvůrce měl v úmyslu zahrnout pod pojem „újma“, která může být subjektům údajů způsobena, zejména prostou „ztrátu kontroly“ nad jejich vlastními osobními údaji v důsledku porušení tohoto nařízení, a to i v případě, že nedošlo ke skutečnému zneužití dotčených údajů (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 82).

146

Výklad čl. 82 odst. 1 GDPR, podle kterého by pojem „nehmotná újma“ ve smyslu tohoto ustanovení nezahrnoval situace, kdy subjekt údajů argumentuje pouze obavou, že jeho osobní údaje budou v budoucnu zneužity třetími stranami, by přitom nebyl v souladu se zárukou vysoké úrovně ochrany fyzických osob v souvislosti se zpracováním osobních údajů v rámci Unie, kterou má toto nařízení za cíl (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 83).

147

Stejně tak tento pojem nelze omezit pouze na újmu určité závažnosti, zejména pokud jde o dobu, po kterou subjekty údajů trpěly negativními důsledky porušení uvedeného nařízení (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, body 16 a 19, jakož i citovaná judikatura).

148

Nelze tedy mít za to, že ke třem podmínkám uvedeným v bodě 140 tohoto rozsudku lze přidat další podmínky vzniku odpovědnosti stanovené v čl. 82 odst. 1 GDPR, jako je hmatatelná povaha újmy či objektivní povaha zásahu (rozsudek ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 17).

149

Toto ustanovení ani nevyžaduje, aby v důsledku prokázaného porušení ustanovení tohoto nařízení musela „nemajetková újma“ tvrzená dotčenou osobou dosáhnout „prahu de minimis“, aby tato újma mohla být nahrazena (rozsudek ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 18).

150

I když tedy nic nebrání tomu, aby zveřejnění osobních údajů na internetu a následná krátkodobá ztráta kontroly nad nimi mohly způsobit subjektům údajů „nehmotnou újmu“ ve smyslu čl. 82 odst. 1 GDPR, která zakládá právo na náhradu újmy, je ještě třeba, aby tyto osoby prokázaly, že takovou újmu, byť jen minimální, skutečně utrpěly (v tomto smyslu viz rozsudky ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 22, a ze dne 11. dubna 2024, juris, C‑741/21, EU:C:2024:288, bod 42).

151

Je třeba upřesnit, že v rámci stanovení výše náhrady újmy, která má být zaplacena na základě práva na náhradu nehmotné újmy, je třeba mít za to, že taková újma způsobená porušením zabezpečení osobních údajů není ze své povahy méně závažná než újma na zdraví (rozsudek ze dne 20. června 2024, Scalable Capital, C‑182/22 a C‑189/22, EU:C:2024:531, bod 39).

152

Pokud osoba prokáže, že v důsledku porušení GDPR utrpěla újmu ve smyslu článku 82 tohoto nařízení, kritéria pro hodnocení dlužné náhrady újmy v rámci žalob určených k zajištění práv, jež jsou jednotlivcům přiznána na základě tohoto článku, musí být stanovena v rámci právního řádu každého členského státu tak, aby byla taková náhrada újmy plná a účinná (v tomto smyslu viz rozsudek ze dne 20. června 2024, Scalable Capital, C‑182/22 a C‑189/22, EU:C:2024:531, bod 43).

153

V tomto ohledu právo na náhradu újmy stanovené v čl. 82 odst. 1 plní, zejména v případě nehmotné újmy, výlučně kompenzační funkci v tom smyslu, že peněžitá náhrada na základě tohoto ustanovení musí umožnit plnou náhradu újmy, která skutečně vznikla v důsledku porušení uvedeného nařízení, a nikoli odrazující či sankční funkci [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 57 a 58, a ze dne 11. dubna 2024, juris, C‑741/21, EU:C:2024:288, bod 61].

154

Vznik odpovědnosti správce na základě článku 82 GDPR je kromě toho podmíněn existencí jeho zavinění, které se předpokládá, pokud tento správce neprokáže, že skutečnost, která způsobila újmu, mu není nijak přičitatelná, a článek 82 nevyžaduje, aby byl při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě uvedeného článku zohledněn stupeň závažnosti tohoto zavinění (rozsudky ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 103, a ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 52).

155

V projednávané věci, jak bylo uvedeno v bodě 42 tohoto rozsudku, předkládající soud upřesnil, že správní soud v Dobriči (Administrativen sad Dobrič) konstatoval existenci nemajetkové újmy spočívající v negativních psychologických a emočních prožitcích OL, konkrétně ve strachu a obavách z možného zneužití a v bezmoci a zklamání z nemožnosti chránit své osobní údaje. Předkládající soud rovněž rozhodl, že tato újma vyplývá z dopisu Agentury ze dne 26. ledna 2022, který vedl k porušení práva na výmaz zakotveného v čl. 17 odst. 1 GDPR, jakož i k protiprávnímu zpracování osobních údajů obsažených v dotčené společenské smlouvě, která byla zveřejněna.

156

S ohledem na výše uvedené úvahy je třeba na sedmou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že ztráta kontroly subjektu údajů nad jeho osobními údaji po omezenou dobu z důvodu on-line zveřejnění těchto údajů v obchodním rejstříku členského státu může stačit k tomu, aby způsobila „nehmotnou újmu“, za předpokladu, že tento subjekt prokáže, že takovou újmu, byť jen minimální, skutečně utrpěl, aniž tento pojem „nehmotná újma“ vyžaduje prokázání dalších hmatatelných negativních dopadů.

157

Podstatou osmé otázky předkládajícího soudu je, zda čl. 82 odst. 3 GDPR musí být vykládán v tom smyslu, že stanovisko dozorového úřadu členského státu vydané na základě čl. 58 odst. 3 písm. b) tohoto nařízení postačuje k tomu, aby byl orgán pověřený vedením obchodního rejstříku tohoto členského státu, který je „správcem“ ve smyslu čl. 4 bodu 7 téhož nařízení, zproštěn odpovědnosti podle čl. 82 odst. 2 uvedeného nařízení.

158

Na prvním místě, pokud jde o režim odpovědnosti stanovený v článku 82 GDPR, je třeba připomenout, že odstavec 1 tohoto článku stanoví, že kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. Jak vyplývá z bodu 140 tohoto rozsudku, toto právo na náhradu újmy podléhá splnění tří kumulativních podmínek.

159

Podle čl. 82 odst. 2 první věty uvedeného nařízení je správce zapojený do zpracování odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Toto ustanovení, které upřesňuje režim odpovědnosti, jehož princip je stanoven v odstavci 1 tohoto článku, totiž přebírá tři podmínky nezbytné pro vznik práva na náhradu újmy, a sice zpracování osobních údajů, jež porušuje ustanovení GDPR, újmu, kterou subjekt údajů utrpěl, a příčinnou souvislost mezi tímto protiprávním zpracováním a touto újmou [rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 36].

160

Článek 82 odst. 3 GDPR stanoví, že správce je odpovědnosti podle tohoto odstavce 2 zproštěn, pokud prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

161

Jak již Soudní dvůr rozhodl, ze společné analýzy odstavců 1 až 3 článku 82 GDPR, kontextu tohoto článku a cílů sledovaných unijním normotvůrcem prostřednictvím tohoto nařízení vyplývá, že tento článek stanoví režim odpovědnosti za zavinění, v jehož rámci nese důkazní břemeno nikoli osoba, které vznikla škoda, nýbrž správce (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 94 a 95).

162

Zejména by nebylo v souladu s cílem zajistit vysokou úroveň ochrany osobních údajů v souvislosti se zpracováním osobních údajů zvolit výklad, podle kterého by subjekty údajů, které utrpěly újmu z důvodu porušení GDPR, měly v rámci žaloby na náhradu újmy podle jeho článku 82 nést nejen důkazní břemeno ohledně existence tohoto porušení a újmy, která jim vznikla, ale také ohledně existence zavinění správce, k němuž došlo úmyslně nebo z nedbalosti, či dokonce ohledně stupně závažnosti tohoto zavinění, i když článek 82 takové požadavky nestanoví (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 99).

163

V souladu s judikaturou citovanou v bodě 154 tohoto rozsudku je tedy vznik odpovědnosti správce podle článku 82 GDPR podmíněn existencí jeho zavinění, které se předpokládá, ledaže tento správce prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

164

V tomto ohledu, jak vyplývá z výslovného příslovečného určení „žádným způsobem“, které bylo doplněno v průběhu legislativního procesu, okolnosti, za kterých se správce může domáhat zproštění občanskoprávní odpovědnosti, kterou má na základě článku 82 GDPR, musí být striktně omezeny na okolnosti, kdy je tento správce schopen prokázat, že mu nelze přičíst odpovědnost za újmu (rozsudek ze dne 14. prosince 2023, Nacionalna Agencia za prichodite, C‑340/21, EU:C:2023:986, bod 70).

165

Soudní dvůr rovněž rozhodl, že v případě porušení zabezpečení osobních údajů třetí stranou, jako například kyberzločincem či osobou jednající na odpovědnost správce, se správce může zprostit odpovědnosti na základě čl. 82 odst. 3 GDPR pouze tím, že prokáže, že neexistuje žádná příčinná souvislost mezi jeho případným porušením povinnosti ochrany údajů, kterou má na základě tohoto nařízení, a újmou způsobenou dotčené fyzické osobě (v tomto smyslu viz rozsudky ze dne 14. prosince 2023, Nacionalna Agencia za prichodite, C‑340/21, EU:C:2023:986, bod 72, a ze dne 11. dubna 2024, juris, C‑741/21, EU:C:2024:288, bod 51).

166

Proto k tomu, aby mohl být správce zproštěn odpovědnosti podle čl. 82 odst. 3 GDPR, nemůže stačit, že prokáže, že dal pokyny osobám, které jednají z jeho pověření ve smyslu uvedeného nařízení, a že jedna z těchto osob nesplnila povinnost řídit se těmito pokyny, takže přispěla ke vzniku dotčené újmy (v tomto smyslu viz rozsudek ze dne 11. dubna 2024, juris, C‑741/21, EU:C:2024:288, bod 52).

167

Na druhém místě, pokud jde o pravidla týkající se důkazních prostředků, je třeba připomenout, že GDPR nestanoví pravidla týkající se přípustnosti a důkazní hodnoty důkazního prostředku, která musí být uplatňována vnitrostátními soudy, jež rozhodují o žalobě na náhradu újmy na základě článku 82 tohoto nařízení. Při neexistenci pravidel unijního práva v dané oblasti je tudíž na vnitrostátním právním řádu každého členského státu, aby stanovil podmínky žalob určených k zajištění ochrany práv, která jednotlivcům vyplývají z tohoto článku 82, a zejména pravidla týkající se důkazních prostředků, s výhradou dodržení zásad rovnocennosti a efektivity (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna Agencia za prichodite, C‑340/21, EU:C:2023:986, bod 60 a citovaná judikatura).

168

Na třetím místě, pokud jde o stanovisko vydané na základě čl. 58 odst. 3 písm. b) GDPR, je třeba připomenout, že tento článek stanoví pravomoci dozorových úřadů.

169

Článek 58 GDPR v odstavci 1 přiznává těmto úřadům vyšetřovací pravomoci, v odstavci 2 nápravné pravomoci, v odstavci 3 povolovací a poradní pravomoci, které jsou v něm vyjmenovány, a v odstavci 5 pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení ustanovení tohoto nařízení.

170

Mezi pravomocemi vyjmenovanými v čl. 58 odst. 3 GDPR je přitom v čl. 58 odst. 3 písm. b) uvedena pravomoc „z vlastního podnětu nebo na požádání vydávat stanoviska určená vnitrostátnímu parlamentu, vládě členského státu nebo v souladu s právem členského státu dalším institucím a subjektům, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů“.

171

Ze znění posledně uvedeného ustanovení, zejména z výrazu „stanovisko“, jasně vyplývá, že vydání takového stanoviska spadá do poradních pravomocí, a nikoli do povolovacích pravomocí dozorového úřadu.

172

Použití výrazů „stanovisko“ a „poradní pravomoci“ rovněž naznačuje, že stanovisko vydané na základě čl. 58 odst. 3 písm. b) GDPR není podle unijního práva právně závazné.

173

Bod 143 odůvodnění GDPR tento výklad potvrzuje. Tento bod uvádí, že „[k]aždá fyzická nebo právnická osoba [by měla mít] právo na účinnou soudní ochranu u příslušného vnitrostátního soudu proti rozhodnutím dozorového úřadu, která vůči ní zakládají právní účinky. Taková rozhodnutí se týkají zejména výkonu vyšetřovacích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností. Právo na účinnou soudní ochranu se však nevztahuje na další opatření dozorových úřadů, která nejsou právně závazná, jako jsou stanoviska vydávaná dozorovým úřadem nebo poradenství jím poskytované“.

174

Vzhledem k tomu, že stanovisko poskytnuté správci není právně závazné, nemůže samo o sobě prokázat, že tomuto správci nelze přičítat odpovědnost za újmu ve smyslu judikatury citované v bodě 164 tohoto rozsudku, a tudíž ani stačit k tomu, aby byl uvedený správce zproštěn odpovědnosti podle čl. 82 odst. 3 GDPR.

175

Takový výklad tohoto čl. 82 odst. 3 je rovněž v souladu s cíli sledovanými GDPR zajistit vysokou úroveň ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a zaručit účinnou náhradu újem, které mohou utrpět v důsledku zpracování těchto údajů provedeného v rozporu s tímto nařízením. Pokud by se totiž správce údajů mohl jednoduše odvolat na právně nezávazné stanovisko, aby se zprostil jakékoli odpovědnosti a současně jakékoli povinnosti nahradit újmu, nic by ho nepřimělo k tomu učinit vše, co je v jeho moci, aby zajistil tuto vysokou úroveň ochrany a dodržoval povinnosti uložené uvedeným nařízením.

176

S ohledem na výše uvedené je třeba na osmou otázku odpovědět tak, že čl. 82 odst. 3 GDPR musí být vykládán v tom smyslu, že stanovisko dozorového úřadu členského státu vydané na základě čl. 58 odst. 3 písm. b) tohoto nařízení nepostačuje k tomu, aby byl orgán pověřený vedením obchodního rejstříku tohoto členského státu, který je „správcem“ ve smyslu čl. 4 bodu 7 téhož nařízení, zproštěn odpovědnosti podle čl. 82 odst. 2 uvedeného nařízení.

177

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (první senát) rozhodl takto: