Věc C‑200/23

Agencia po vpisvanijata

v.

OL

(žádost o rozhodnutí o předběžné otázce, kterou podal Varchoven administrativen sad)

Rozsudek Soudního dvora (prvního senátu) ze dne 4. října 2024

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Zveřejnění společenské smlouvy obsahující osobní údaje v obchodním rejstříku – Směrnice (EU) 2017/1132 – Nepovinné osobní údaje – Neexistence souhlasu subjektu údajů – Právo na výmaz – Nehmotná újma“

1. Svoboda usazování – Společnosti – Směrnice 2017/1132 – Povinnost členského státu povolit zveřejnění společenské smlouvy obsahující osobní údaje v obchodním rejstříku – Zveřejnění údajů nevyžadovaných vnitrostátním právem – Neexistence povinnosti

   (Směrnice Evropského parlamentu a Rady 2017/1132, čl. 21 odst. 2)

   (viz body 54, 55, 60, výrok 1)

2. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Pojem „správce“ – Pojem „příjemce osobních údajů“ – Orgán odpovědný za obchodní rejstřík ve členském státě, který zveřejňuje osobní údaje obsažené ve společenské smlouvě – Zahrnutí – Smlouva obsahující osobní údaje nevyžadované směrnicí 2017/1132 ani vnitrostátním právem – Absence vlivu

   (Nařízení Evropského parlamentu a Rady 2016/679, čl. 4 body 7 a 9; směrnice Evropského parlamentu a Rady 2017/1132)

   (viz body 66, 72–76, 83, výrok 2)

3. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Podmínky zákonnosti zpracování osobních údajů – Zpracování nezbytné pro splnění právní povinnosti, která se vztahuje na správce – Zveřejnění osobních údajů obsažených ve společenské smlouvě – Osobní údaje nevyžadované směrnicí 2017/1132 ani vnitrostátním právem – Vyloučení – Kvalifikace tohoto zveřejnění jako zpracování nezbytného pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci – Podmínky – Nezbytnost zpracování

   [Nařízení Evropského parlamentu a Rady 2016/679, čl. 6 odst. 1 první pododstavec písm. c) a e); směrnice Evropského parlamentu a Rady 2017/1132]

   (viz body 94–96, 105–112, 114–116)

4. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Právo na výmaz – Rozsah – Protiprávní zpracovávání osobních údajů – Zahrnutí – Zákonné zpracovávání osobních údajů – Zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci – Vyloučení – Výjimka – Existence závažných a oprávněných důvodů pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů – Důkazní břemeno nese správce

   [Nařízení Evropského parlamentu a Rady 2016/679, čl. 6 odst. 1 písm. e), čl. 17 odst. 1 písm. c) a d) a čl. 21 odst. 1]

   (viz body 118–120)

5. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Právo na výmaz – Povinnost vnitrostátního orgánu odpovědného za obchodní rejstřík členského státu odmítnout jakoukoliv žádost o výmaz nezakrytých osobních údajů – Osobní údaje nevyžadované směrnicí 2017/1132 ani vnitrostátním právem – Nepřípustnost

   (Nařízení Evropského parlamentu a Rady 2016/679, článek 17; směrnice Evropského parlamentu a Rady 2017/1132, článek 16)

   (viz bod 127, výrok 3)

6. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Pojem „osobní údaje“ – Vlastnoruční podpis fyzické osoby – Zahrnutí

   (Nařízení Evropského parlamentu a Rady 2016/679, čl. 4 bod 1)

   (viz body 131, 133–136, výrok 4)

7. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Právo na náhradu újmy a odpovědnost – Právo na náhradu utrpěné újmy – Nehmotná újma – Pojem – Ztráta kontroly nad osobními údaji – Zahrnutí – Podmínky – Důkazní břemeno ohledně nehmotné újmy nese subjekt údajů – Povinnost prokázat existenci dalších hmatatelných negativních dopadů – Neexistence

   (Nařízení Evropského parlamentu a Rady 2016/679, čl. 82 odst. 1)

   (viz body 140–146, 156, výrok 5)

8. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Právo na náhradu újmy a odpovědnost – Odpovědnost správce a povinnost nahradit újmu způsobenou subjektu údajů – Zproštění – Rozsah – Vydání poradního stanoviska dozorovým úřadem k otázkám ochrany údajů, jež je poskytnuto správci – Neuplatnění zproštění odpovědnosti vnitrostátního orgánu jednajícího jako správce

   [Nařízení Evropského parlamentu a Rady 2016/679, čl. 4 bod 7, čl. 58 odst. 3, písm. b) a čl. 82 odst. 1 až 3]

   (viz body 171, 172, 174, 176, výrok 6)

Shrnutí

Soudní dvůr, kterému Nejvyšší správní soud (Varhoven administrativen sad, Bulharsko) předložil žádost o rozhodnutí o předběžné otázce, se vyjádřil k řadě dotazů, jejichž podstatou je vztah mezi ustanoveními práva Evropské unie o zveřejňování dokumentů společností ( 1 ) a nařízením GDPR ( 2 ).

Paní OL je společníkem „Praven Štit Konsulting“ OOD, společnosti s ručením omezeným založené podle bulharského práva a zapsané do obchodního rejstříku na základě předložení společenské smlouvy. Tato smlouva, zveřejněná v předložené podobě Agenturou pro provádění zápisů do veřejných rejstříků (Agencia po vpisvanijata, Bulharsko) (dále jen „Agentura“), obsahovala několik osobních údajů společníků, včetně jejich příjmení, jmen, čísel průkazů totožnosti, adres a podpisů.

V roce 2021 požádala OL Agenturu o výmaz svých osobních údajů obsažených v této smlouvě. Nevyhovění žádosti ze strany Agentury bylo předmětem dvou žalob podaných OL ke správnímu soudu v Dobriči (Administrativen sad Dobrič, Bulharsko). Rozsudkem ze dne 5. května 2022 tento soud nařídil Agentuře, aby nahradila OL nehmotnou újmu v souladu s nařízením GDPR ( 3 ). Jelikož Agentura nebyla s rozsudkem spokojená, podala kasační opravný prostředek k předkládajícímu soudu.

Předkládající soud se obrátil na Soudní dvůr s žádostí o rozhodnutí o předběžné otázce, jelikož řeší soulad mezi právní úpravou práva na ochranu osobních údajů a právní úpravou zaručující zveřejňování určitých listin společností a přístup k nim.

Závěry Soudního dvora

Zaprvé, co se týče rozsahu dobrovolného zveřejnění údajů, včetně osobních údajů obsažených ve společenských smlouvách, uvedl Soudní dvůr, že ustanovení směrnice 2017/1132, které se týká dobrovolného zveřejnění listin a údajů týkajících se společností ( 4 ), se vztahuje pouze na jejich překlady a neodkazuje na jejich obsah. Směrnici proto nelze vykládat tak, že ukládá jakoukoli povinnost zveřejnit údaje, jejichž zveřejnění není vyžadováno jinými ustanoveními unijního práva, ani právem dotyčného členského státu, ale které jsou obsaženy v listině, jenž podléhá povinnému zveřejnění podle této směrnice ( 5 ). Toto ustanovení totiž neukládá členskému státu povinnost povolit, aby v obchodním rejstříku byla zveřejněna společenská smlouva, která podléhá povinnému zveřejnění podle této směrnice a obsahuje jiné osobní údaje než požadované minimální osobní údaje, jejichž zveřejnění právo tohoto členského státu nevyžaduje.

Zadruhé Soudní dvůr uvedl, že orgán pověřený vedením obchodního rejstříku členského státu, který v něm zveřejňuje osobní údaje obsažené ve společenské smlouvě podléhající povinnému zveřejnění podle směrnice 2017/1132 a předané v rámci žádosti o zápis dotčené společnosti do tohoto rejstříku, je jak „příjemcem“ těchto údajů, tak zejména tím, že je zveřejňuje, „správcem“ uvedených údajů ( 6 ), i když tato smlouva obsahuje údaje nepožadované touto směrnicí nebo právem tohoto členského státu.

V této souvislosti Soudní dvůr poznamenal, že v souladu se směrnicí 2017/1132 je na členských státech, aby určily zejména, které kategorie informací o totožnosti osob spojených se společností – konkrétně jaké typy osobních údajů – jsou povinně zveřejňovány, přičemž musí dodržet unijní právo.

Soudní dvůr rovněž uvedl, že orgán pověřený vedením obchodního rejstříku členského státu tím, že do něj zapisuje a uchovává v něm osobní údaje obdržené v rámci žádosti o zápis společnosti do tohoto rejstříku, tyto údaje případně sděluje na žádost třetím osobám a zveřejňuje je ve vnitrostátním věstníku, nebo jiným stejně účinným způsobem, zpracovává osobní údaje jako „správce“. Tato zpracování osobních údajů jsou totiž odlišná a navazují na sdělení osobních údajů učiněné žadatelem o tento zápis, které tento orgán obdržel. Uvedený orgán nadto provádí zpracování sám v souladu s účely a způsoby stanovenými ve směrnici 2017/1132 a právními předpisy členského státu provádějícími tuto směrnici.

Zatřetí, co se týče případného práva na výmaz, kterým disponuje subjekt údajů ( 7 ), přistoupil Soudní dvůr nejprve k posouzení důvodů zákonnosti, na nichž může být založeno zpracování jeho osobních údajů.

Pokud jde o otázku, zda je toto zpracování nezbytné pro splnění právní povinnosti vyplývající z unijního práva nebo práva členského státu, která se na správce vztahuje ( 8 ), uvedl Soudní dvůr, že směrnice 2017/1132 neukládá systematické zpracování všech osobních údajů obsažených v listině, která je povinně zveřejňována podle této směrnice. Naopak veškeré zpracování osobních údajů prováděné v rámci této směrnice musí v plném rozsahu splňovat požadavky vyplývající z GDPR. Je tedy na členských státech, aby uvedly do souladu cíle právní jistoty a ochrany zájmů třetích osob, které směrnice 2017/1132 sleduje, s právy zakotvenými v GDPR.

Nelze tedy mít za to, že on-line zveřejnění v obchodním rejstříku osobních údajů nevyžadovaných směrnicí 2017/1132 nebo vnitrostátními právními předpisy dotčenými ve věci v původním řízení, které jsou obsaženy ve společenské smlouvě podléhající povinnému zveřejnění stanovenému touto směrnicí, předané Agentuře, je odůvodněno požadavkem zajistit zveřejnění listin uvedených v této směrnici, a tudíž vyplývá z právní povinnosti stanovené unijním právem. Navíc zákonnost příslušného zpracování se podle všeho neopírá – s výhradou ověření předkládajícím soudem – ani o zákonnou povinnost stanovenou vnitrostátním právem.

Co se týče nezbytnosti příslušného zpracování za účelem splnění úkolu prováděného ve veřejném zájmu ( 9 ), podotkl Soudní dvůr, že k tomuto zpracování podle všeho dochází při plnění takového úkolu. Zdá se však, že překračuje meze toho, co je nezbytné k dosažení sledovaných cílů obecného zájmu.

V této souvislosti Soudní dvůr poznamenal, že požadavek na zachování integrity a důvěryhodnosti listin společností podléhajících povinnému zveřejnění podle směrnice 2017/1132, která vyžaduje zveřejnění těchto listin v takové podobě, v jaké byly předány orgánům pověřeným vedením obchodního rejstříku, nemůže mít systematicky přednost před právem na ochranu osobních údajů, neboť jinak by byla jeho ochrana iluzorní. Tento požadavek zejména nemůže ukládat, aby v tomto rejstříku byly on-line zpřístupňovány osobní údaje, které nejsou vyžadovány směrnicí nebo vnitrostátním právem, když by Agentura mohla sama vypracovat kopii listiny dotčené společnosti bez nevyžadovaných osobních údajů stanovenou tímto zákonem za účelem jejího zpřístupnění.

Poté Soudní dvůr zdůraznil, že v případě, že by předkládající soud měl po posouzení zákonnosti tohoto zpracování dospět k závěru, že dotčené zpracování je nezákonné, bylo by na Agentuře jakožto správci, aby bez zbytečného odkladu vymazala dotčené údaje.

Pokud by však předkládající soud dospěl k závěru, že zpracování je skutečně nezbytné pro splnění úkolu prováděného ve veřejném zájmu, zejména v rozsahu, v němž je on-line zveřejnění údajů, které nejsou vyžadovány směrnicí 2017/1132 nebo vnitrostátní právní úpravou v obchodním rejstříku nezbytné k tomu, aby se v zájmu ochrany třetích osob zabránilo zdržení zápisu dotyčné společnosti, je třeba posoudit existenci legitimních důvodů, které by mohly převážit nad zájmy, právy a svobodami subjektu údajů a bránit žádosti o výmaz ( 10 ).

Soudní dvůr tedy konstatoval, že směrnice 2017/1132 a GDPR musí být vykládány v tom smyslu, že brání právní úpravě nebo praxi členského státu, která vede orgán pověřený vedením obchodního rejstříku tohoto členského státu k odmítnutí jakékoli žádosti o výmaz osobních údajů, které nejsou vyžadovány touto směrnicí nebo právem uvedeného členského státu a jsou obsaženy ve společenské smlouvě zveřejněné v tomto rejstříku, pokud v rozporu s procesními podmínkami stanovenými uvedenou právní úpravou nebyla orgánu poskytnuta kopie uvedené smlouvy zakrývající tyto údaje.

Konečně, co se týče režimu odpovědnosti podle GDPR, a zejména v této souvislosti vlivu stanoviska vydaného dozorovým úřadem členského státu, vyzdvihl Soudní dvůr, že podle GDPR ( 11 ) spadá vydání takového stanoviska do poradních pravomocí, a nikoli do povolovacích pravomocí dozorového úřadu. Navíc použité výrazy naznačují, že toto stanovisko není podle unijního práva právně závazné. Dotčené stanovisko tedy nemůže samo o sobě prokázat, že správci nelze přičítat odpovědnost za újmu, a tudíž ani stačit k jeho zproštění odpovědnosti podle GDPR. Proto takové stanovisko nestačí ke zproštění odpovědnosti orgánu pověřeného vedením obchodního rejstříku členského státu, který je správcem.

( 1 ) – Směrnice Evropského parlamentu a Rady (EU) 2017/1132 ze dne 14. června 2017 o některých aspektech práva obchodních společností (Úř. věst. 2017, L 169, s. 46).

( 2 ) – Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“).

( 3 ) – V souladu s článkem 82 GDPR.

( 4 ) – Článek 21 odst. 2 směrnice 2017/1132.

( 5 ) – V souladu s článkem 14 směrnice 2017/1132.

( 6 ) – Ve smyslu čl. 4 bod 7 a čl. 4 bod 9 GDPR, v uvedeném pořadí.

( 7 ) – V souladu s článkem 17 GDPR.

( 8 ) – Důvod zákonnosti uvedený v čl. 6 odst. 1 prvním pododstavci písm. c) GDPR.

( 9 ) – Důvod zákonnosti uvedený v čl. 6 odst. 1 prvním pododstavci písm. e) GDPR.

( 10 ) – V souladu s čl. 17 odst. 1 písm. c) ve spojení s čl. 21 odst. 1 GDPR.

( 11 ) – Článek 58 odst. 3 písm. b) GDPR.