FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

L. MEDINA

fremsat den 30. maj 2024 ( 1 )

Sag C-200/23

Agentsia po vpisvanijata

mod

OL,

procesdeltager:

Varhovna administrativna prokuratura

(anmodning om præjudiciel afgørelse indgivet af Varchoven administrativen sad (øverste domstol i forvaltningsretlige sager, Bulgarien))

»Præjudiciel forelæggelse – beskyttelse af personoplysninger – forordning (EU) 2016/679 – offentliggørelse i handelsregistret af en selskabsaftale indeholdende personoplysninger – direktiv (EU) 2017/1132 – dataansvarlig – ret til sletning af personoplysninger«

I. Indledning

1.

Med anmodningen om præjudiciel afgørelse ønsker Varchoven administrativen sad (øverste domstol i forvaltningsretlige sager, Bulgarien) Domstolens svar på en række spørgsmål, der overordnet omhandler forholdet mellem bestemmelserne om selskabsdokumenters offentlighed, som samordnes på EU-plan ( 2 ), og forordning (EU) 2016/679 ( 3 ).

2.

Denne anmodning er blevet forelagt i forbindelse med en tvist mellem Agentsia po vpisvanijata (agenturet for registreringer, Bulgarien, herefter »agenturet«) og OL vedrørende agenturets afslag på at fjerne visse personoplysninger om OL, som optræder i et dokument, der er gjort offentligt tilgængeligt i handelsregistret.

II. Retsforskrifter

A.   EU-retten

3.

Af relevans for dette forslag til afgørelse er navnlig artikel 14 og 16 i direktiv 2017/1132, som erstattede direktiv 2009/101, og databeskyttelsesforordningens artikel 4-6 og 17. Af hensyn til læsbarheden vil jeg henvise til de relevante bestemmelsers ordlyd undervejs i nedenstående bedømmelse.

B.   Bulgarsk ret

4.

Artikel 2 i Zakon za targovskia registar i registara na juridicheskite litsa s nestopanska tsel (lov om handelsregistret og registret over juridiske personer, som ikke arbejder med gevinst for øje ( 4 )) i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »registerloven«), bestemmer:

»1)   Handelsregistret og registret over juridiske personer, som ikke arbejder med gevinst for øje [(herefter »registrene«)], er en fælles elektronisk database indeholdende de omstændigheder, der er indført heri i medfør af en lov, og de dokumenter, som det er lovpligtigt at gøre tilgængelige for offentligheden, og som vedrører udenlandske erhvervsdrivende og disses filialer, juridiske personer, som ikke arbejder med gevinst for øje, samt disses filialer.

2)   De i stk. 1 omhandlede omstændigheder og dokumenter gøres tilgængelige for offentligheden uden den type personoplysninger, der er omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), med undtagelse af oplysninger, som det er lovpligtigt at gøre tilgængelige for offentligheden.«

5.

Ifølge registerlovens artikel 6, stk. 1, har enhver erhvervsdrivende og enhver juridisk person, som ikke arbejder med gevinst for øje, pligt til at anmode om optagelse i registrene, idet de angiver de omstændigheder, der kræves registreret, og indgiver de dokumenter, der skal gøres tilgængelige for offentligheden.

6.

Denne lovs artikel 11 har følgende ordlyd:

»1)   [Registrene] er offentlige. Enhver har fri og gratis adgang til registerdatabasen.

2)   [Agenturet] sikrer registreret aktindsigt i aktmappen om de erhvervsdrivende og juridiske personer, som ikke arbejder med gevinst for øje.«

7.

Den nævnte lovs artikel 13, stk. 1, 2, 6 og 9, fastsætter:

»1)   Indførelse og fjernelse af registreringer samt offentliggørelse sker på grundlag af en anmodningsformular.

2)   Anmodningen skal indeholde:

1.

den anmodendes kontaktoplysninger

[…]

3.

den omstændighed, der ønskes registreret, den registrering, der ønskes fjernet, eller det dokument, der ønskes offentliggjort

[…]

6)   Anmodningen ledsages af de dokumenter, og eventuelt akter, der skal gøres offentligt tilgængelige i overensstemmelse med lovkravene. Dokumenterne indgives i form af en original eller en kopi, der er bekræftet af den anmodende eller af en notar. Den anmodende indgiver ligeledes bekræftede genparter af de dokumenter, der skal offentliggøres i handelsregistret, og hvor andre personoplysninger end de lovpligtige er skjult.

[…]

9)   Når anmodningen eller de vedlagte dokumenter indeholder personoplysninger, som ikke er lovpligtige, anses de personer, der har indgivet dem, for at have givet samtykke til agenturets behandling og offentliggørelse af dem.«

8.

Artikel 101, stk. 3, i Targovski zakon (lov om handel ( 5 )) i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »handelsloven«), bestemmer, at selskabsaftalen skal indeholde »navn, selskabsnavn og unikt identifikationsnummer for hver selskabsdeltager«.

9.

I henhold til handelslovens artikel 119, stk. 1, kræver optagelse af et selskab i handelsregistret bl.a. fremlæggelse af selskabsaftalen, som gøres tilgængeligt for offentligheden. Denne artikels stk. 4 fastsætter, at »med henblik på ændring eller supplering af selskabsaftalen i handelsregistret skal der fremlægges en kopi af den pågældende aftale, der er bekræftet af selskabets repræsentant, med samtlige ændringer og tilføjelser med henblik på offentliggørelse«.

III. Tvisten i hovedsagen og de præjudicielle spørgsmål

10.

OL er selskabsdeltager i et »OOD«, et bulgarsk selskab med begrænset ansvar, som blev optaget i handelsregistret den 14. januar 2021. Anmodningen om registrering var ledsaget af selskabets selskabsaftale af 30. december 2020 underskrevet af selskabsdeltagerne (herefter »2020-selskabsaftalen«). Denne selskabsaftale, som indeholdt OL’s for- og efternavn, hendes identifikationsnummer, nummeret på hendes identitetskort samt dettes udstedelsesdato og ‑sted og hendes bopælsadresse, blev indført i registret og gjort offentligt tilgængeligt i den form, hvori dette var indgivet. Den 8. juli 2021 anmodede OL agenturet om at få fjernet sine personoplysninger fra 2020-selskabsaftalen, idet hun præciserede, at hun, såfremt behandlingen beroede på hendes samtykke, trak dette tilbage. Da OL ikke modtog noget svar fra agenturet, anlagde hun sag ved Administrativen sad Dobrich (forvaltningsdomstolen i Dobrich, Bulgarien), som annullerede agenturets stiltiende afslag på OL’s anmodning og pålagde agenturet at træffe en ny afgørelse. Med henblik på at efterleve denne dom og en analog dom, der vedrørte den anden selskabsdeltager, der havde truffet samme forholdsregel, udbad agenturet sig ved skrivelse af 26. januar 2022 en bekræftet kopi af 2020-selskabsaftalen, hvoraf selskabsdeltagernes personoplysninger var skjult med undtagelse af dem, der var lovpligtige, for at det kunne imødekomme anmodningen om sletning (herefter »skrivelsen af 26. januar 2022«). Den 31. januar 2022 anlagde OL et søgsmål ved Administrativen sad Dobrich (forvaltningsdomstolen i Dobrich) med påstand om annullation af agenturets skrivelse af 26. januar 2022 og om erstatning for den immaterielle skade, som denne skrivelse havde påført hende, idet den tilsidesatte hendes rettigheder i henhold til databeskyttelsesforordningen. Den 1. februar 2022 slettede agenturet, endnu inden det var blevet bekendt med dette søgsmål, af egen drift OL’s identifikationsnummer, oplysningerne om identitetskortet og hendes bopælsadresse, men ikke hendes navn og underskrift. Ved dom af 5. maj 2022 annullerede Administrativen sad Dobrich (forvaltningsdomstolen i Dobrich) skrivelsen af 26. januar 2022 og pålagde agenturet i medfør af databeskyttelsesforordningens artikel 82 at betale en erstatning på 500 bulgarske leva (BGN) (ca. 255 EUR) med tillæg af renter til OL for den immaterielle skade. Ifølge denne dom bestod denne skade af negative følelser og oplevelser som følge af denne skrivelse, hvorved hendes ret til sletning i henhold til databeskyttelsesforordningens artikel 17, stk. 1, var blevet tilsidesat, og som førte til ulovlig behandling af hendes personoplysninger, som var indeholdt i den offentliggjorte selskabsaftale. Agenturet har iværksat kassationsappel til prøvelse af denne dom ved den forelæggende ret. Agenturet har navnlig gjort gældende, at det ganske vist er dataansvarligt, men også er modtager af de oplysninger, som indgives i forbindelse med registreringsproceduren, og at selv om det havde fremsat sin anmodning forud for registreringen af det selskab, som OL var deltager i, havde det ikke modtaget en kopi af selskabsaftalen for dette selskab, hvoraf de personoplysninger, som ikke skulle gøres tilgængelige for offentligheden, var skjult. Der kan imidlertid ikke gives afslag på registrering af et kommercielt selskab alene med denne begrundelse. Agenturet har under henvisning til databeskyttelsesforordningens artikel 58, stk. 3, litra b), påberåbt sig en udtalelse i 2021 fra den nationale tilsynsmyndighed, Komisia za zashtita na lichnite danni (kommissionen for beskyttelse af personoplysninger, Bulgarien) (herefter »2021-udtalelsen«) ( 6 ), hvoraf det fremgår, at agenturet ikke har beføjelse til at ændre indholdet af de dokumenter, som det modtager med henblik på indførelse i registret. OL har for sin del gjort gældende, at agenturet som den dataansvarlige ikke kan pålægge andre at overholde agenturets egne forpligtelser til sletning. Hun har påberåbt sig en national retspraksis, hvorefter 2021-udtalelsen ikke er i overensstemmelse med databeskyttelsesforordningens bestemmelser.

11.

På denne baggrund har Varchoven administrativen sad (øverste domstol i forvaltningsretlige sager) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)

Kan artikel 4, stk. 2, i direktiv [2009/101] fortolkes således, at [denne bestemmelse] forpligter medlemsstaten til at tillade offentliggørelse af en selskabsaftale, som i henhold til [handelslovens] artikel 119 […] er underlagt et krav om registrering, når denne foruden selskabsdeltagernes navne, som i henhold til [registerlovens] artikel 2, stk. 2 […] er underlagt obligatorisk offentliggørelse, også indeholder yderligere personoplysninger? Ved besvarelsen af dette spørgsmål skal det bemærkes, at [agenturet] er en institution i den offentlige sektor, over for hvilken direktivets bestemmelser, som har direkte virkning, ifølge Domstolens faste praksis kan påberåbes (dom af 7.9.2006, Vassallo, С-180/04, EU:C:2006:518, præmis 26 og den deri nævnte retspraksis).

2)

Kan det – såfremt det første spørgsmål besvares bekræftende – lægges til grund, at agenturets behandling af personoplysninger under de omstændigheder, som udløste tvisten i hovedsagen, er nødvendig […] som omhandlet i artikel 6, stk. 1, litra e), i forordning 2016/679 af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt?

3)

Kan – såfremt de to første spørgsmål besvares bekræftende – en national bestemmelse som [registerlovens] artikel 13, stk. 9 […] anses for lovlig, idet det heri bestemmes, at det i tilfælde af, at en [anmodning] eller bilagene til denne [anmodning] indeholder personoplysninger, som ikke er påkrævet ved loven, lægges til grund, at de personer, der har stillet oplysningerne til rådighed, har givet samtykke til agenturets behandling af disse oplysninger og til, at der gives offentlig adgang til dem, uanset 32., 40. 42., 43. og 50. betragtning til [databeskyttelsesforordningen] som præcisering med hensyn til muligheden for en »frivillig offentliggørelse« også af personoplysninger som omhandlet i artikel 4, stk. 2, i direktiv [2009/101]?

4)

Er det med henblik på at gennemføre forpligtelsen i henhold til artikel 3, stk. 7, i direktiv [2009/101], hvorefter medlemsstaterne træffer de fornødne foranstaltninger for at hindre uoverensstemmelse mellem indholdet af bekendtgørelsen i henhold til stk. 5 og indholdet af [registret] eller aktmappen og for at tage hensyn til tredjemands interesse i at gøre sig bekendt med de væsentlige dokumenter vedrørende selskabet samt at få visse oplysninger om dette, som nævnes i tredje betragtning til dette direktiv, lovligt at indføre nationale bestemmelser, som fastsætter en procedure ([anmodningsformularer], indgivelse af kopier af dokumenter, hvori personoplysninger er skjult) for udøvelsen af en fysisk persons ret i henhold til [databeskyttelsesforordningens] artikel 17 […] til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis de personoplysninger, som forlanges slettet, er en del af offentliggjorte ([gjort tilgængelige for offentligheden]) dokumenter, som er blevet stillet til rådighed for den dataansvarlige i henhold til en lignende procedure af en anden person, som med denne handling også fastlagde formålet med den af denne person foranledigede behandling?

5)

Handler [agenturet] i den situation, der ligger til grund for tvisten i hovedsagen, kun som dataansvarlig med hensyn til personoplysningerne, eller er [agenturet] også modtager af disse, hvis formålene med behandlingen af oplysningerne som en del af de dokumenter, der blev forelagt til [offentliggørelse], blev fastlagt af en anden dataansvarlig?

6)

Udgør en fysisk persons egenhændige underskrift en information om en identificeret fysisk person, henholdsvis er den omfattet af begrebet »personoplysninger« som defineret i [databeskyttelsesforordningens] artikel 4, nr. 1) […]?

7)

Skal begrebet »immateriel skade« som omhandlet i [databeskyttelsesforordningens] artikel 82, stk. 1 […] fortolkes således, at der skal foreligge en mærkbar ulempe og en objektivt konstaterbar påvirkning af personlige interesser, for at det kan lægges til grund, at der er tale om en immateriel skade, eller er det tilstrækkeligt, at den registrerede blot har været udsat for et kortvarigt tab af kontrollen over sine oplysninger som følge af offentliggørelsen af personoplysninger i [handelsregistret], idet dette ikke har haft nogen mærkbare eller skadelige konsekvenser for den registrerede?

8)

Kan [2021-udtalelsen] i henhold til [databeskyttelsesforordningens] artikel 58, stk. 3, litra b), […] fra den nationale tilsynsmyndighed, [kommissionen for beskyttelse af personoplysninger], hvorefter [agenturet] ikke har nogen retlige muligheder for eller beføjelser til af egen drift eller efter anmodning fra den registrerede at begrænse behandlingen af allerede offentliggjorte oplysninger, lovligt anses for bevis som omhandlet i [databeskyttelsesforordningens] artikel 82, stk. 3 […] for, at [agenturet] ikke er skyld i den begivenhed, der medførte skaden for den fysiske person?«

IV. Retsforhandlingerne for Domstolen

12.

Parterne i hovedsagen, den bulgarske og den tyske regering, Irland, den italienske, den polske og den finske regering samt Europa-Kommissionen har i henhold til artikel 23 i statutten for Den Europæiske Unions Domstol indgivet skriftlige indlæg vedrørende alle eller en del af de præjudicielle spørgsmål. Parterne i hovedsagen, den bulgarske regering og Irland samt Kommissionen har ligeledes afgivet mundtlige indlæg i retsmødet den 7. marts 2024.

A.   Bedømmelse

13.

Efter Domstolens anmodning vil dette forslag til afgørelse være afgrænset til det fjerde og det femte præjudicielle spørgsmål, som jeg foreslår at behandle samlet. Først finder jeg det dog nødvendigt at fremsætte nogle indledende kommentarer til den præjudicielle forelæggelse som helhed.

1. Indledende betragtninger

14.

Først gør jeg – i lighed med parterne i hovedsagen, Kommissionen og de fleste af de medlemsstater, der har indgivet skriftlige indlæg til Domstolen – opmærksom på, at der i begrundelsen for forelæggelsesafgørelsen såvel som i ordlyden af de præjudicielle spørgsmål, herunder navnlig det fjerde spørgsmål, henvises til bestemmelserne i direktiv 2009/101. Dette direktiv blev imidlertid med virkning fra den 20. juli 2017 ophævet og erstattet af direktiv 2017/1132, som ratione temporis finder anvendelse på de faktiske omstændigheder i hovedsagen. I min bedømmelse vil jeg derfor alene henvise til sidstnævnte direktiv.

15.

Dernæst skal det med henblik på bedømmelsen af den foreliggende præjudicielle forelæggelse påpeges, at direktiv 2017/1132 og navnlig dette direktivs artikel 16 og 161 blev ændret ved direktiv (EU) 2019/1151 ( 7 ), som trådte i kraft den 31. juli 2019. Selv om indførelsen af 2020-selskabsaftalen med OL’s personoplysninger i handelsregistret ganske vist skete før den 1. august 2021, som var udløbsdatoen for gennemførelsen af direktiv 2019/1151 ( 8 ) i national ret, indtraf en del af de faktiske omstændigheder imidlertid efter denne dato, herunder agenturets afsendelse af skrivelsen af 26. januar 2022, agenturets sletning af egen drift af visse af disse oplysninger samt den fornyede offentliggørelse af nævnte oplysninger i registret, hvilket indstævnte i hovedsagen har gjort rede for i sine skriftlige indlæg. Det er således ikke udelukket, at det er den version af direktiv 2017/1132, som ændret ved direktiv 2019/1151, der ratione temporis finder anvendelse på tvisten i hovedsagen, hvilket det tilkommer den forelæggende ret at efterprøve. Jeg vil derfor i det følgende henvise til denne version.

16.

Jeg skal dog straks præcisere, at de ved direktiv 2019/1151 indførte ændringer som sådan kun har begrænset betydning for spørgsmålet om de nærmere bestemmelser, ifølge hvilke en medlemsstats myndighed med ansvar for at føre selskabsregistret anses for at varetage beskyttelsen af personoplysninger under udøvelsen af sit hverv. Det skal derimod fremhæves mere generelt, at formålet med dette direktiv er at styrke og konsolidere brugen af digitale værktøjer og processer i indsamlingen og forvaltningen af strømmen af selskabsoplysninger, hvilket indebærer udvidet adgang til de personoplysninger, som er indeholdt heri, og forøger risikoen for krænkelser af retten til beskyttelse af personoplysninger og omfanget af sådanne krænkelsers skadelige karakter ( 9 ). En sådan digitaliseringsproces ( 10 ) kombineret med en intensivering af den grænseoverskridende adgang til de nævnte oplysninger, som EU-lovgiver ligeledes har lovgivet om ( 11 ), kræver imidlertid særlig omhu ved afvejningen mellem på den ene side målet om retssikkerhed og beskyttelse af tredjeparters rettigheder, der – som det vil fremgå nedenfor – danner grundlag for reglerne om offentlighed vedrørende selskaber, og på den anden side de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger ( 12 ).

17.

Ligeledes indledningsvis skal det anføres, at tvisten i hovedsagen omhandler dels fjernelse fra en medlemsstats handelsregister af personoplysninger, som hverken direktiv 2017/1132 eller den pågældende medlemsstats lovgivning kræver offentliggjort, dels den nationale handelsregisterførende myndigheds ansvar for den immaterielle skade, der blev forårsaget af afslaget på umiddelbart og ubetinget at imødekomme anmodningen om sletning af sådanne oplysninger. Tvisten i hovedsagen vedrører derimod ikke direkte spørgsmålet om, hvilke forpligtelser der påhviler en sådan myndighed med hensyn til beskyttelse af personoplysninger i forbindelse med indførelsen i handelsregistret af stiftelsesoverenskomster med oplysninger, som det ikke er obligatorisk at offentliggøre. Dette spørgsmål består imidlertid indirekte, hvilket fremgår af den omstændighed, at mange af de procesdeltagende medlemsstater har viet en stor del af deres skriftlige indlæg hertil og foreslået en drastisk omformulering af de fire første præjudicielle spørgsmål eller nogle af dem. I min bedømmelse nedenfor vil jeg derfor berøre visse aspekter af dette spørgsmål, idet jeg holder mig inden for den afgrænsning, som er defineret i kraft af hovedsagens genstand og de præjudicielle spørgsmål, som dette forslag til afgørelse er begrænset til.

2. Om det fjerde og det femte præjudicielle spørgsmål

18.

Med det fjerde præjudicielle spørgsmål, som ifølge den bulgarske regering skal afvises fra realitetsbehandling, ønsker den forelæggende ret nærmere bestemt oplyst, om direktiv 2017/1132 skal fortolkes således, at det gør det muligt at fastsætte specifikke proceduremæssige betingelser for udøvelsen af den ret, som fysiske personer, i den foreliggende sag selskabsdeltagerne i et selskab med begrænset ansvar, der er omhandlet i dette direktiv ( 13 ), har til at få slettet deres personoplysninger fra handelsregistret, når disse oplysninger, selv om de ikke er omfattet af offentlighedsforpligtelsen efter national ret, optræder i dette selskabs stiftelsesoverenskomst, som er blevet gjort tilgængeligt for offentligheden i forbindelse med indførelsen heraf i det nævnte register. Med det femte præjudicielle spørgsmål ønsker den forelæggende ret derimod præciseret, om den handelsregisterførende myndighed for så vidt angår sådanne oplysninger handler i egenskab af »dataansvarlig« i henhold til databeskyttelsesforordningens artikel 4, nr. 7), eller om den også er »modtager« af de oplysninger, som den behandler, som omhandlet i denne forordnings artikel 4, nr. 9), idet formålet med behandlingen er blevet fastlagt forinden af tredjemand.

19.

Som nævnt ovenfor er det min opfattelse, at disse to spørgsmål bør behandles samlet. Jeg vil derfor undersøge de forskellige problemstillinger, som de rejser, i nedenstående rækkefølge. Efter en kortfattet oversigt over rækkevidden af offentlighedsforpligtelserne for de selskaber, der er omfattet af bilag II til direktiv 2017/1132, vil jeg i første række undersøge spørgsmålet om, hvem der er ansvarlig for behandling af de personoplysninger, som er indeholdt i dokumenter, der er omfattet af offentlighedsforpligtelsen i forbindelse med indførelse af et selskab i en medlemsstats handelsregister, når hverken den harmoniserede EU-ret eller den berørte medlemsstats lovgivning kræver videregivelse af de pågældende oplysninger. I anden række vil jeg undersøge, hvilket retsgrundlag behandlingen af sådanne oplysninger hviler på i den foreliggende sag. I tredje række vil jeg behandle spørgsmålet om, hvorvidt de registrerede, når de nævnte oplysninger er blevet videregivet efter offentliggørelsen af det dokument, hvori de var indeholdt, har ret til sletning i overensstemmelse med databeskyttelsesforordningens artikel 17. I fjerde og sidste række vil jeg undersøge, om en sådan ret kan være omfattet af proceduremæssige regler som dem, der er nævnt af den forelæggende ret.

20.

Før jeg påbegynder denne bedømmelse, kræver den bulgarske regerings anfægtelser med hensyn til, om det fjerde præjudicielle spørgsmål kan antages til realitetsbehandling, en besvarelse. Denne regering er af den opfattelse, at det fjerde præjudicielle spørgsmål nærmere bestemt omhandler foreneligheden med artikel 16, stk. 7, i direktiv 2017/1132 – i den affattelse, der var gældende før de ændringer, der blev indført ved direktiv 2019/1151 – af en national lovgivning, som endnu ikke var vedtaget. Spørgsmålet har således karakter af hypotese. I så henseende anfører jeg, at den forelæggende ret er blevet anmodet om at tage stilling i sidste instans til lovligheden af agenturets afslag på at slette visse personoplysninger om indstævnte i et dokument, der blev offentliggjort efter indførelsen heraf i handelsregistret, og til konsekvenserne af dette afslag. Den forelæggende ret skal derfor navnlig under hensyntagen til bestemmelserne i direktiv 2017/1132 og i databeskyttelsesforordningen vurdere, om et sådant afslag bl.a. kan begrundes med det forhold, at den bekræftede kopi af dette dokument ikke er blevet tilføjet aktmappen. Den ønskede præjudicielle afgørelse er således nødvendig for den forelæggende rets mulighed for at træffe afgørelse i den tvist, der er indbragt for den. Trods det fjerde præjudicielle spørgsmåls tvetydige ordlyd fremgår det i øvrigt klart af forelæggelsesafgørelsen, at dette spørgsmål ikke har til formål at indhente en udtalelse om foreneligheden med EU-retten af en endnu ikke vedtaget national lovgivning, men at opnå Domstolens hjælp til fortolkning af denne ret for at kunne afgøre den tvist, der er indbragt for den. Det er således min opfattelse, at det fjerde præjudicielle spørgsmål kan antages til realitetsbehandling.

3. Kortfattet oversigt over rækkevidden af offentlighedsforpligtelserne vedrørende dokumenter og oplysninger for de selskaber, der er omfattet af bilag II til direktiv 2017/1132

21.

Artikel 14 i direktiv 2017/1132 fastsætter, at medlemsstaterne for så vidt angår de selskaber, der optræder i bilag II til dette direktiv, sikrer obligatorisk offentliggørelse af »i det mindste« de i denne artikel angivne dokumenter og oplysninger. Blandt de dokumenter, der er omfattet af offentlighedsforpligtelsen, anføres i det nævnte direktivs artikel 14, litra a)-c), »stiftelsesoverenskomsten samt [selskabs]vedtægterne, såfremt disse foreligger som et særskilt dokument« og ændringer hertil. I overensstemmelse med samme direktivs artikel 4, litra i), omfatter de obligatoriske oplysninger, som skal anføres i vedtægterne, stiftelsesoverenskomsten eller et særskilt dokument, der er omfattet af obligatorisk offentlighed, identiteten af de fysiske eller juridiske personer eller de selskaber, af hvem eller i hvis navn vedtægterne eller stiftelsesoverenskomsten er underskrevet. Blandt de oplysninger, hvis offentlighed skal sikres, nævnes i denne artikel 14, litra d), »udnævnelse, udtræden samt identitet for de personer, der i deres egenskab af lovbestemt selskabsorgan eller som medlemmer af et sådant organ – er beføjede til at forpligte selskabet over for tredjemand og til at repræsentere det ved rettergang« og/eller »deltager i ledelsen af, i tilsynet med eller i kontrollen med selskabet«. I overensstemmelse med artikel 16, stk. 2, i direktiv 2017/1132, som ændret ved direktiv 2019/1151, opbevares alle dokumenter og oplysninger, som skal offentliggøres i henhold til artikel 14, i den i denne artikels stk. 1 omhandlede aktmappe, som er oprettet i et centralt handels- eller selskabsregister, eller indføres direkte i registret ( 14 ). I henseende til dette direktivs artikel 16, stk. 3 og 4, som ændret ved direktiv 2019/1151, sikrer medlemsstaterne, at offentliggørelse af de i artikel 14 heri omhandlede dokumenter og oplysninger foretages ved at gøre dem offentligt tilgængelige i registret. Derudover kan medlemsstaterne også kræve, at nogle af eller alle disse dokumenter og oplysninger offentliggøres i en national tidende beregnet til formålet eller på en anden tilsvarende effektiv måde. Medlemsstaterne træffer de fornødne foranstaltninger til at undgå enhver uoverensstemmelse mellem indholdet af registret og indholdet af aktmappen og mellem, hvad der offentliggøres i registret, og hvad der offentliggøres i den offentlige tidende.

22.

Følgende kan anføres vedrørende de ovennævnte forskrifter i direktiv 2017/1132.

23.

For det første fastsætter direktiv 2017/1132 obligatorisk offentlighed og tilgængelighed via registret af selskabets fulde stiftelsesoverenskomst og ændringer hertil ( 15 ).

24.

For det andet foreskriver dette direktiv for så vidt angår de selskaber, der er omfattet af bilag II, kun offentlighed og tilgængelighed via registret af oplysninger om visse persongrupper, nemlig især dem, som er beføjede til at forpligte selskabet, eller som deltager i ledelsen af, i tilsynet med eller i kontrollen med selskabet. I overensstemmelse med det nævnte direktivs artikel 4, litra i), er også identiteten af de fysiske personer, som har underskrevet selskabets stiftelsesoverenskomst, omfattet af obligatorisk offentlighed.

25.

For det tredje udgør sådan information om en identificeret eller identificerbar fysisk person »personoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1) ( 16 ).

26.

For det fjerde indeholder de førnævnte bestemmelser i direktiv 2017/1132 kun minimumsforskrifter vedrørende offentliggørelse af dokumenter og oplysninger om selskaber. Det påhviler derfor medlemsstaterne at fastsætte, navnlig hvilke kategorier af oplysninger om identiteten af de personer der er omhandlet i dette direktivs artikel 4, litra i), og artikel 14, litra d), der skal være omfattet af obligatorisk offentlighed. Det står i øvrigt medlemsstaterne frit for at lade andre dokumenter og oplysninger om eventuelt andre persongrupper være omfattet af obligatorisk offentlighed. Det giver sig selv, at de i denne forbindelse er forpligtede til at overholde alle EU-retlige bestemmelser og i særdeleshed de principper, der er fastlagt i artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) samt databeskyttelsesforordningens bestemmelser.

4. Den dataansvarlige

27.

I databeskyttelsesforordningens artikel 4, nr. 7), defineres begrebet »dataansvarlig« bredt som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre »afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling« af personoplysninger. Formålet med denne brede definition er – i overensstemmelse med denne forordnings formål – at sikre en effektiv beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder samt bl.a. at sikre et højt beskyttelsesniveau for enhver persons ret til beskyttelse af personoplysninger vedrørende vedkommende ( 17 ). Begrebet »behandling« er ligeledes defineret bredt ( 18 ). I henhold til samme forordnings artikel 4, nr. 2), forstås ved »behandling«»enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse«.

28.

Det fremgår af Manni-dommen, at idet den myndighed, der har ansvaret for at føre handelsregistret, i dette register indfører og opbevarer oplysninger om identiteten af de personer, der er omfattet af artikel 14, litra d), i direktiv 2017/1132, og idet den videregiver disse, foretager en »behandling af personoplysninger«, som den er »dataansvarlig« for som omhandlet i definitionerne i databeskyttelsesforordningens artikel 4, nr. 2) og 7). Det samme gør sig naturligvis gældende, når indførelsen i dette register, opbevaringen og videregivelsen omfatter andre personoplysninger end dem, der udtrykkeligt er nævnt i dette direktiv, når en medlemsstats lovgivning foreskriver, at disse oplysninger skal offentliggøres.

29.

Det spørgsmål, der opstår i den foreliggende sag, er imidlertid, hvorvidt en sådan myndighed, i dette tilfælde agenturet, er ansvarlig for offentliggørelsen af personoplysninger, som hverken direktiv 2017/1132 eller den pågældende medlemsstats lovgivning, i det foreliggende tilfælde bulgarsk ret, kræver offentliggjort, men som er indeholdt i et dokument, som det er lovpligtigt at registrere og gøre offentligt tilgængeligt.

30.

Dette spørgsmål skal efter min opfattelse besvares bekræftende.

31.

Offentliggørelsen i handelsregistret af OL’s personoplysninger skete nemlig under agenturets udøvelse af hvervet som myndighed med ansvar for at føre dette register. Som det er nævnt ovenfor, foreskriver bulgarsk ret, at anmodningen om registrering af et selskab i det nævnte register ledsages af de dokumenter, der er pålagt offentlighed, i original eller bekræftet kopi, heriblandt selskabsaftalen, som agenturet har pligt til at offentliggøre. Til hvilke formål og med hvilke hjælpemidler agenturet må foretage behandling i forbindelse med sin opgave, fastsættes ligeledes ved bulgarsk ret samt ved EU-retten, hvor der som nævnt er sket en tilnærmelse af medlemsstaternes lovgivning om offentlighed vedrørende selskaber. Som myndighed med ansvar for i overensstemmelse med de formål og hjælpemidler, der er fastsat herfor ved bulgarsk ret og EU-retten, at behandle de personoplysninger, der er indeholdt i de i handelsregistret indførte dokumenter, skal agenturet derfor anses for »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7). Jeg henviser til, at Domstolen for nylig nåede frem til en lignende konklusion for så vidt angår det nationale organ, der er ansvarlig for en medlemsstats statstidende i dom af 11. januar 2024, État belge (Databehandling i en statstidende) ( 19 ).

32.

Denne konklusion drages ikke i tvivl af den omstændighed, at oplysningerne i 2020-selskabsaftalen i den foreliggende sag ikke er omfattet af et krav om offentliggørelse efter bulgarsk ret. For det første medgav Domstolen i État belge-dommen implicit, at en sådan omstændighed ikke påvirkede identificeringen af den dataansvarlige. I den sag, der gav anledning til den pågældende dom, omhandlede tvisten – ligesom i den sag, der ligger til grund for den foreliggende præjudicielle forelæggelse – nemlig oplysninger, hvis offentliggørelse ikke var påkrævet i henhold til den pågældende medlemsstats lovgivning. For det andet foreskriver artikel 13, stk. 9, i registerloven udtrykkeligt, at såfremt den anmodende ikke fremlægger en bekræftet kopi af det dokument, der er omfattet af offentlighedsforpligtelsen, og hvorfra personoplysninger, som ikke er lovpligtige, er fjernet, behandler agenturet oplysningerne og gør dem offentligt tilgængelige på grundlag af et formodet stiltiende samtykke. Bulgarsk ret udpeger således også under sådanne omstændigheder udtrykkeligt agenturet som den dataansvarlige.

33.

Under disse omstændigheder kan jeg ikke tilslutte mig den fortolkning, som agenturet har fremsat i sine skriftlige indlæg, hvorefter det er den anmodende selv – såfremt vedkommende lader de ikke-lovpligtige oplysninger stå i de med henblik på registrering indgivne dokumenter – der bliver den dataansvarlige for den behandling, der består i at gøre dem offentligt tilgængelige i dette onlineregister. Spørgsmålet om, hvorvidt et sådant samtykke foreligger – uafhængigt af spørgsmålet om, hvorvidt samtykke til offentliggørelse af disse oplysninger kan være gyldigt afgivet i medfør af den formodning, der er fastsat ved registerlovens artikel 13, stk. 9 – kan nemlig ikke få betydning for identificeringen af den dataansvarlige for behandlingen, men alene for denne behandlings lovlighed.

34.

Ligeledes uden betydning er den omstændighed, som agenturet også har fremhævet, at de dokumenter, der er indgivet i forbindelse med en anmodning om optagelse i handelsregistret, ikke er strukturerede eller maskinlæsbare oplysninger i modsætning til de digitale felter i dette register, som udfyldes af den medarbejder, der foretager indførelsen i registret, og svarer til den lovbestemte definition af »registret« efter bulgarsk ret. Agenturet er nemlig den myndighed, der ved bulgarsk lov er pålagt at føre handelsregistret og følgelig er ansvarlig for enhver behandling af personoplysninger, der gøres offentligt tilgængelige heri, uanset om disse oplysninger er indeholdt i et dokument, der ledsager anmodningen, eller indtastes af en af agenturets medarbejdere. Selv når agenturet ikke selv digitaliserer de dokumenter, det modtager, er det således ikke desto mindre ansvarligt for videregivelsen af disse dokumenter og oplysningerne heri via registret. I forbindelse med sin offentlige myndighedsudøvelse er agenturets opgave mere generelt at indsamle, registrere, opbevare, organisere og systematisere samtlige oplysninger og dokumenter, som det modtager, i en struktureret database, som anses for at være en kilde til pålidelige og ægte oplysninger.

35.

Endelig drages kvalificeringen af agenturet som »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), ikke i tvivl af den omstændighed, at agenturet ikke kontrollerer de personoplysninger, der er indeholdt i den indscannede udgave eller papiroriginalen af de dokumenter, der indgives med henblik på registreringen, inden det pågældende dokument lægges online, og heller ikke af det forhold, at agenturet ikke kan ændre eller korrigere disse oplysninger. I denne henseende minder jeg om, at Domstolen allerede har haft lejlighed til at forkaste en lignende argumentation i État belge-dommen vedrørende bekendtgørelsen i en medlemsstats statstidende af dokumenter, der er udarbejdet af tredjemand og dernæst indgivet til en retslig myndighed og fremsendt til det organ, der er ansvarlig for denne statstidende, med henblik på videregivelse. I denne doms præmis 38 bemærkede Domstolen dels, at offentliggørelsen af sådanne retsakter og dokumenter uden mulighed for kontrol eller ændring af deres indhold var uløseligt forbundet med en statstidendes funktion, som er begrænset til at informere offentligheden om dokumenternes eksistens i overensstemmelse med gældende national ret, således at de kan gøres gældende over for tredjemand. Dels præciserede den, at det ville være i strid med formålet med databeskyttelsesforordningens artikel 4, nr. 7), som er at sikre fuld og effektiv beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, at udelukke en medlemsstats statstidende fra begrebet »dataansvarlig« med den begrundelse, at en statstidende ikke kontrollerer sådanne oplysninger. Lignende betragtninger gør sig gældende mutatis mutandis for offentliggørelsen af retsakter og dokumenter i medlemsstaternes selskabsregistre. Ligesom det var tilfældet med Moniteur belge i den førnævnte dom, skal agenturet ganske vist offentliggøre retsakten i den form, hvori den er indgivet, men det er alene agenturet, der varetager denne opgave og derefter udsender dokumentet ( 20 ).

36.

På dette trin opstår spørgsmålet om, hvorvidt agenturet skal anses for at være den eneste dataansvarlige for behandlingen af de omtvistede oplysninger og dermed overholdelsen af de principper, der er fastlagt i databeskyttelsesforordningens artikel 5, stk. 1, eller om det deler dette ansvar med den anmodende, som handler på vegne af selskabet, på grund af den omstændighed, at vedkommende ikke har fremsendt en kopi af 2020-selskabsaftalen til agenturet, hvoraf de nævnte oplysninger var udeladt.

37.

I denne forbindelse minder jeg indledningsvis om, at databeskyttelsesforordningens artikel 26, stk. 1, fastsætter, at to eller flere personer i fællesskab kan påtage sig dataansvaret, og at deres respektive forpligtelser kan fastlægges ved aftale mellem dem eller være fastlagt i EU-retten eller den medlemsstats lovgivning, som de er omfattet af ( 21 ). I denne henseende har Domstolen præciseret, at kvalificeringen som »fælles dataansvarlig« følger af den omstændighed, at flere enheder har deltaget i fastlæggelsen af formålene med og hjælpemidlerne til behandling ( 22 ). I mangel af en sådan deltagelse er det fælles dataansvar derimod udelukket, og de forskellige aktører skal anses for uafhængige og efterfølgende dataansvarlige. Som Den Europæiske Tilsynsførende for Databeskyttelse har anført, skal udveksling af de samme data eller datasæt mellem to enheder, uden at disse i fællesskab har fastlagt formål og hjælpemidler, anses for videregivelse af oplysninger mellem forskellige dataansvarlige ( 23 ).

38.

Det forhold, at agenturet på samme tid er »dataansvarlig« i henhold til databeskyttelsesforordningens artikel 4, nr. 7), og »modtager« som defineret i denne artikels nr. 9) med den begrundelse, at agenturet modtager en videregivelse af personoplysninger indeholdt i de retsakter eller dokumenter, der ledsager anmodningen om optagelse i handelsregistret, gør det således ikke i sig selv muligt at udelukke, at agenturet er eneansvarligt for offentliggørelsen af disse oplysninger. En sådan offentliggørelse udgør nemlig – i lighed med den eventuelle digitalisering af de oplysninger, der optræder i de dokumenter, som fremsendes til agenturet, og opbevaringen heraf – en separat og senere behandling i forhold til den videregivelse af oplysninger, som foretages af den anmodende med henblik på registrering af selskabet. Agenturet foretager imidlertid selv samtlige disse behandlinger i forbindelse med udøvelsen af den opgave i samfundets interesse, som det er pålagt, og i overensstemmelse med de i den bulgarske lovgivning fastsatte formål og nærmere regler ( 24 ).

39.

Domstolen præciserede ganske vist for det første i État belge-dommen ( 25 ), at det er tilstrækkeligt, at en person til eget formål udøver indflydelse på behandlingen af personoplysninger og som følge heraf deltager i fastlæggelsen af formålene med og hjælpemidlerne til denne behandling for at kunne holdes fælles ansvarlig for behandlingen ( 26 ). I det foreliggende tilfælde fremgår det imidlertid af de sagsakter, som Domstolen råder over, at formålene med og hjælpemidlerne til behandlingen af de oplysninger, der optræder i de dokumenter, som skal gøres tilgængelige for offentligheden via handelsregistret, alene fastlægges ved lov. De personer, som på vegne af selskabet uploader de dokumenter og oplysninger, som loven kræver offentliggjort i dette registers database ( 27 ), udøver ikke nogen indflydelse på denne fastlæggelse og kan derfor ikke stilles til ansvar – lige så lidt som selskabet selv – for senere behandlinger af de oplysninger, som de fremsender til agenturet, herunder videregivelsen af disse oplysninger via den elektroniske database i registret. Endvidere forfølger disse personer ved til agenturet at fremsende de offentlighedspligtige dokumenter og behandle de oplysninger, der er indeholdt deri, selskabets egne formål, nemlig at overholde de formaliteter, der er nødvendige for registreringen af selskabet, som adskiller sig fra de offentlige formål, der er tiltænkt med registret, og som agenturet forfølger, når det sikrer offentliggørelsen af sådanne dokumenter ( 28 ).

40.

For det andet anerkendte Domstolen i État belge-dommen, at inden for rammerne af en kæde af behandlinger, der foretages af forskellige personer eller enheder, og som vedrører de samme personoplysninger, kan national ret således fastlægge formålene med og hjælpemidlerne til samtlige de behandlinger, der foretages successivt af disse forskellige personer eller enheder, således at disse i fællesskab kan holdes ansvarlige for behandlingen ( 29 ). I henhold til databeskyttelsesforordningens artikel 26, stk. 1, sammenholdt med denne forordnings artikel 4, nr. 7), kan der således opstilles et fælles ansvar i national ret for flere aktører i en kæde af behandlinger vedrørende de samme personoplysninger, forudsat at de forskellige behandlingsaktiviteter forenes af formål og hjælpemidler, der er fastlagt i denne nationale ret, og forudsat at denne nationale ret, direkte eller indirekte, fastsætter de respektive forpligtelser for hver af de fælles dataansvarlige ( 30 ). Dette er efter min opfattelse imidlertid ikke tilfældet med registerlovens artikel 13, stk. 6 og 9, som blot definerer betingelserne ifølge bulgarsk ret for, hvornår samtykke til offentliggørelse i handelsregistret af personoplysninger, som ikke er omfattet af offentlighedsforpligtelsen, er gyldigt afgivet af den registrerede. Denne bestemmelse har nemlig ikke til formål at fastlægge den anmodendes medansvar for den senere behandling af disse oplysninger, men snarere at præcisere grundlaget for lovligheden af agenturets behandling. Som jeg allerede har fremhævet, adskiller selskabets egne formål sig i øvrigt fra de offentlige formål, som agenturet forfølger, hvorfor de betingelser, der blev opstillet i État belge-dommen for, at deres fælles ansvar som aktører i en »kæde af behandlinger, som vedrører de samme personoplysninger«, skal kunne anses for fastlagt ved bulgarsk lov, efter min opfattelse ikke er opfyldt.

41.

På grundlag af samtlige ovenstående betragtninger er jeg af den opfattelse, at databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, skal fortolkes således, at en medlemsstats handelsregisterførende myndighed, som i medfør af denne stats lovgivning skal sikre offentliggørelsen af de dokumenter, der indgives til den i forbindelse med en anmodning om optagelse af et selskab i dette register, er eneansvarlig for offentliggørelsen af de personoplysninger, der er indeholdt i disse dokumenter, selv når der er tale om oplysninger, som ikke er omfattet af en offentlighedsforpligtelse, og som ifølge denne lovgivning burde være blevet udeladt af disse dokumenter forud for indgivelsen til den nævnte myndighed.

5. Grundlaget for behandlingens lovlighed

42.

Enhver behandling af personoplysninger skal foregå i overensstemmelse med de principper for behandling af oplysninger, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, og opfylde de betingelser for lovlig behandling, som er opstillet i denne forordnings artikel 6 ( 31 ), der indeholder en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig ( 32 ). I medfør af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra a), er behandling af personoplysninger lovlig, såfremt og i det omfang den registrerede har givet samtykke til et eller flere specifikke formål. Når der ikke foreligger et sådant samtykke, eller når samtykket ikke er blevet givet frivilligt, specifikt, informeret og utvetydigt ved erklæring eller klar bekræftelse som omhandlet i databeskyttelsesforordningens artikel 4, nr. 11), er en sådan behandling alligevel begrundet, hvis den opfylder et af de krav om nødvendighed, der er omtalt i denne forordnings artikel 6, stk. 1, første afsnit, litra b)-f), som skal fortolkes indskrænkende ( 33 ).

43.

I den foreliggende sag opfylder den samtykkeformodning, der er fastlagt i registerlovens artikel 13, stk. 9, tydeligvis ikke de betingelser, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra a), sammenholdt med denne forordnings artikel 4, nr. 11) ( 34 ). Det skal derfor efterprøves, om en behandling af oplysninger som den i hovedsagen omhandlede opfylder en af de øvrige begrundelser, der er angivet i den nævnte forordnings artikel 6, stk. 1, første afsnit.

44.

Det fremgår af Manni-dommen, at den behandling af personoplysninger, som foretages af den registerførende myndighed i forbindelse med gennemførelsen af EU-retsakter, hvorved de nationale bestemmelser om selskabsdokumenters offentlighed samordnes, bl.a. opfylder de lovlighedsgrunde, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c) og e), som vedrører henholdsvis overholdelse af en retlig forpligtelse, som den dataansvarlige er underlagt, og udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Det er således på baggrund af disse to forhold, at jeg vil foretage min analyse.

45.

For så vidt angår i første række det forhold, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), skal det først undersøges, om offentliggørelsen i handelsregistret af de i hovedsagen omhandlede personoplysninger, som hverken er omfattet af offentlighedsforpligtelsen efter direktiv 2017/1132 eller bulgarsk ret, var begrundet i kravet om at sikre offentliggørelse af de dokumenter, der er omhandlet i dette direktivs artikel 14, og derfor var nødvendig for at overholde en retlig forpligtelse, som følger af EU-retten.

46.

I overensstemmelse med det nævnte direktivs artikel 16, stk. 3, sikrer medlemsstaterne, at disse dokumenter gøres offentligt tilgængelige i det register, der er nævnt i denne artikels stk. 1, første afsnit. Den tyske regering, Irland og den polske regering er nærmere bestemt af den opfattelse, at de registerførende myndigheder i medfør af den nævnte artikel, sammenholdt med ovennævnte artikel 14, skal gøre de nævnte dokumenter offentligt tilgængelige i den form, hvori de er indgivet. Disse myndigheder har derfor pligt til at behandle alle de personoplysninger, som dokumenterne indeholder, herunder dem, der ikke er påkrævet ved EU-retten eller den gældende nationale lovgivning.

47.

Jeg kan ikke tilslutte mig denne fortolkning. Direktiv 2017/1132 bestemmer nemlig, at visse væsentlige selskabsdokumenter er omfattet af offentlighedsforpligtelsen, og at offentliggørelsen sker via registret, men det pålægger ikke systematisk behandling af enhver personoplysning, der måtte optræde i de nævnte dokumenter, selv hvis denne behandling skulle vise sig at være i strid med databeskyttelsesforordningens bestemmelser. Som jeg har fremhævet ovenfor, fastsættes det derimod i dette direktivs artikel 161, som ændret ved direktiv 2019/1151, at behandling af personoplysninger i henhold til dette direktiv foretages i overensstemmelse med den nævnte forordning. Det påhviler således medlemsstaterne at finde den rette afvejning mellem på den ene side målet om retssikkerhed og formålet om beskyttelse af tredjeparters interesser, der – som det vil fremgå nedenfor – danner grundlag for reglerne om selskabsdokumenters offentlighed, og på den anden side den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger.

48.

Det skal dernæst efterprøves, om offentliggørelsen i handelsregistret af de i hovedsagen omhandlede oplysninger var nødvendig for at overholde en retlig forpligtelse, som følger af bulgarsk ret. I denne henseende gør jeg opmærksom på, at registerlovens artikel 2, stk. 2, fastsætter, at de dokumenter, der skal fremgå af handelsregistret, »gøres tilgængelige for offentligheden uden den type personoplysninger, der er omhandlet i databeskyttelsesforordningens artikel 4, stk. 1, med undtagelse af oplysninger, som det er lovpligtigt at gøre tilgængelige for offentligheden«. Lovligheden af den i hovedsagen omhandlede behandling af oplysninger forekommer således ikke at kunne begrundes i en »retlig forpligtelse« som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), som agenturet var underlagt i medfør af bulgarsk ret, hvilket den samtykkeformodning, der er indført ved registerlovens artikel 13, stk. 9, i øvrigt synes at bekræfte. Det tilkommer imidlertid den forelæggende ret, som har enekompetence til at fortolke den nationale lovgivning, at tage stilling hertil. Jeg vil her blot præcisere, at det forhold – som agenturet har påberåbt sig – at det i mangel af en kopi, hvoraf de personoplysninger, som ikke er lovpligtige, er skjult, skal offentliggøre dokumentet i den form, hvori det er indgivet, efter min opfattelse ikke i sig selv er tilstrækkeligt til at karakterisere en »retlig forpligtelse« som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), idet en sådan offentliggørelse umiddelbart er udelukket ifølge loven og kun foretages af agenturet på grundlag af et formodet samtykke ( 35 ). I denne forbindelse er det vigtigt at påpege, at det påhviler den dataansvarlige at sikre, at vedkommendes behandling af oplysningerne er »lovlig«, henset til de betingelser, der er fastsat i denne forordnings artikel 6, stk. 1, første afsnit, litra a)-f) ( 36 ).

49.

For så vidt angår i anden række det forhold, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra e), hvortil både den forelæggende ret og de fleste af de medlemsstater, som har indgivet skriftlige indlæg i den foreliggende sag, har henvist, påpeger jeg, at Domstolen allerede har haft lejlighed til at fastslå, at en offentlig myndigheds aktivitet, som består i at lagre oplysninger, som virksomhederne er tvunget til at meddele på grundlag af retlige forpligtelser, i en database og i at give interesserede personer adgang til at foretage søgninger i disse oplysninger og levere genparter deraf, hører under udøvelsen af offentlig myndighed ( 37 ) og udgør offentlig myndighedsudøvelse som omhandlet i samme bestemmelse ( 38 ). Således som generaladvokat Bot fastslog i sit forslag til afgørelse i den sag, der gav anledning til Manni-dommen, er formålet med at registrere og offentliggøre vigtige oplysninger om selskaber i handelsregistret og selskabsregistret at skabe en pålidelig informationskilde og at garantere den retssikkerhed, som er nødvendig for at beskytte tredjemands og navnlig kreditorers interesser og for at sikre god handelsskik og dermed et velfungerende marked ( 39 ). I øvrigt bidrager opbevaringen i disse registre af samtlige relevante oplysninger og adgangen hertil for tredjemand, som Domstolen har fremhævet, til at fremme samhandelen mellem medlemsstaterne, også med henblik på udviklingen af det indre marked ( 40 ).

50.

I den foreliggende sag er det spørgsmålet, om disse formål og den lovlighedsbetingelse, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra e), kan påberåbes i henseende til agenturets tilgængeliggørelse for offentligheden af de i hovedsagen omhandlede personoplysninger, som hverken ifølge EU-retten eller bulgarsk ret er omfattet af en offentlighedsforpligtelse.

51.

I denne forbindelse gør jeg opmærksom på, at databeskyttelsesforordningens artikel 6, stk. 3, sammenholdt med 45. betragtning hertil, præciserer for så vidt angår bl.a. den lovlighedsbetingelse, der er fastsat i denne artikels stk. 1, første afsnit, litra e), at behandlingen skal ske på grundlag af EU-retten eller lovgivningen i den medlemsstat, som den dataansvarlige er underlagt, og at dette retsgrundlag skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges ( 41 ). Ingen af disse krav – om hvilke Domstolen har præciseret, at de er et udtryk for de krav, der følger af chartrets artikel 52, stk. 1 ( 42 ) – synes imidlertid at være opfyldt i forbindelse med den foreliggende sag, som vedrører en behandling af personoplysninger, der, om end den er foregået i forbindelse med en myndighedsudøvelse som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra e), ikke anses for umiddelbart nødvendig for denne udøvelse i henhold til gældende national ret og heller for handelsregistrets opfyldelse af sine formål, og som kun er tilladt på grundlag af et formodet samtykke fra den registrerede.

52.

Mere generelt skal det påpeges, at offentliggørelse af personoplysninger, som ikke efter EU-retten eller den pågældende medlemsstats nationale ret er omfattet af en offentlighedsforpligtelse, ikke opfylder nogen af de i punkt 49 i dette forslag til afgørelse ( 43 ) nævnte formål, der som de eneste begrunder indgreb i de berørte personers ret til respekt for privatliv og til beskyttelse af personoplysninger, som er sikret ved chartrets artikel 7 og 8 ( 44 ). Det er i øvrigt, som Domstolen fremhævede i Manni-dommen, bl.a. som følge af den omstændighed, at der principielt kun kræves offentliggørelse af et begrænset antal personoplysninger – nemlig de personoplysninger, der vedrører henholdsvis identiteten på de personer, som har beføjelse til at forpligte selskabet, og de pågældende personers funktioner, og som derfor er nødvendige med henblik på beskyttelsen af tredjeparters interesser – at et sådant indgreb ikke anses for uforholdsmæssigt ( 45 ).

53.

Den bulgarske regering og agenturet har i det væsentlige gjort gældende, at den i hovedsagen omhandlede behandling ifølge bulgarsk ret er baseret på kravet om at sikre væsentlige selskabsdokumenters offentlighed, bevare deres integritet og pålidelighed og ikke hindre agenturets myndighedsudøvelse. Såfremt den forelæggende ret når til samme konklusion, påhviler det den tillige at forvisse sig om overholdelsen af proportionalitetsprincippet. I henhold til dette princip skal begrænsninger af den grundlæggende ret til beskyttelse af personoplysninger holdes inden for det strengt nødvendige ( 46 ), hvilket ikke er tilfældet, når det omhandlede mål af almen interesse med rimelighed kan nås lige så godt på en anden måde, som er mindre indgribende i denne ret ( 47 ). Det skal ligeledes påpeges, at databeskyttelsesforordningens artikel 5, stk. 1, litra c), bestemmer, at personoplysningerne skal være tilstrækkelige, relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de behandles, og kræver, at medlemsstaterne overholder princippet om »dataminimering«, som er udtryk for proportionalitetsprincippet ( 48 ).

54.

Det forekommer mig imidlertid, at målet om at sikre væsentlige selskabsdokumenters offentlighed med rimelighed kan nås ved hjælp af procedurer, der muliggør, at de personoplysninger, som ikke kræves offentliggjort, skjules forud for offentliggørelsen. Disse procedurer kan bl.a. omfatte en pligt for agenturet til at udsætte indførelsen af selskabet i registret med henblik på at tillade ændring af de dokumenter, der indeholder sådanne oplysninger, eller – i givet fald af egen drift – selv at slette disse oplysninger.

55.

De argumenter, som mange af de medlemsstater, der har indgivet skriftlige indlæg i den foreliggende sag, har fremført om, at indførelsen af sådanne procedurer risikerer at forsinke behandlingen af anmodningen om optagelse i selskabsregistret på bekostning af bl.a. selskabsdeltagernes interesser eller at påføre de nationale myndigheder uforholdsmæssigt tunge arbejdsbyrder, kan efter min opfattelse ikke tiltrædes. Disse procedurer er nemlig for det første nødvendige for at forene de mål, der forfølges med selskabsdokumenters offentlighed, med den grundlæggende ret til beskyttelse af personoplysninger, især når de pågældende personoplysninger, som jeg påpegede i punkt 16 i dette forslag til afgørelse, er beregnet til offentliggørelse uden begrænsninger i et digitalt miljø. For det andet kunne disse procedurer suppleres med værktøjer til søgning og identificering af data med henblik på at lette myndighedernes opgave og konstrueres således, at de i første omgang pålægger den anmodende at skjule de personoplysninger, som ikke skal videregives, således som bulgarsk ret i øvrigt foreskriver.

56.

For så vidt angår det krav om at bevare integriteten og pålideligheden af de selskabsdokumenter, der er omfattet af offentlighedsforpligtelsen og indgivet med henblik på indførelse i selskabsregistret – hvortil den bulgarske regering og agenturet samt flertallet af de medlemsstater, der har indgivet skriftlige indlæg i den foreliggende sag, ligeledes har henvist – hvilket krav indebærer offentliggørelse af disse dokumenter i den form, hvori de er indgivet til de registerførende myndigheder, kan dette krav efter min opfattelse ikke systematisk gå forud for den grundlæggende ret til beskyttelse af personoplysninger, idet denne beskyttelse ellers ville blive den rene illusion.

57.

Jeg hælder nemlig til den anskuelse, at dette krav højst kan begrunde opbevaringen af de personoplysninger, der ikke er omfattet af offentlighedsforpligtelsen, og som måtte være indeholdt i sådanne dokumenter, og ikke offentliggørelsen af dem, uden begrænsninger eller restriktioner, i selskabsregistrets offentligt tilgængelige database. Mere præcist er det min opfattelse, at offentliggørelsen af kopien af disse dokumenter, hvoraf de ikke lovpligtige personoplysninger er udeladt, og opbevaringen af originalen i aktmappen, vil gøre det muligt at opretholde en rimelig balance mellem dette krav og beskyttelsen af de pågældende personoplysninger. Den eventuelle aktindsigt i originaldokumentet og samtlige de deri indeholdte oplysninger vil da kun blive tilladt fra sag til sag, forudsat at der foreligger en legitim interesse, der begrunder det – herunder verificering af dokumentets ægthed – og under iagttagelse af databeskyttelsesforordningens bestemmelser.

58.

Jeg er i denne henseende i modsætning til navnlig Irland af den opfattelse, at artikel 16a i direktiv 2017/1132, som ændret ved direktiv 2019/1151, hvorefter »[m]edlemsstaterne sikrer, at genparter af alle eller dele af de i artikel 14 omhandlede dokumenter […] kan indhentes hos registret«, ikke indebærer, at medlemsstaterne har pligt til at give ubegrænset adgang til det fulde indhold af disse dokumenter. Derimod forpligter artikel 161 i direktiv 2017/1132, som ændret ved direktiv 2019/1151, som jeg allerede har gjort opmærksom på, medlemsstaterne til at indføre procedurer, der kan sikre, at de selskabsregisterførende myndigheder under den myndighedsudøvelse, der er tillagt dem, overholder samtlige databeskyttelsesforordningens bestemmelser.

59.

På grundlag af samtlige ovenstående betragtninger er jeg af den opfattelse, at den i hovedsagen omhandlede behandling af oplysninger ikke kan anses for at være baseret på den i hovedsagen indstævntes samtykke som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra a), sammenholdt med denne forordnings artikel 4, nr. 11). Med forbehold af den forelæggende rets efterprøvelse synes denne behandling heller ikke at opfylde de lovlighedsbetingelser, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), eller samme bestemmelses litra e), sammenholdt med denne forordnings artikel 6, stk. 3. For fuldstændighedens skyld tilføjer jeg, at den nævnte behandling heller ikke kan falde ind under anvendelsesområdet for databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), om behandling af personoplysninger, som er nødvendig for de legitime interesser, som den dataansvarlige forfølger. Som Domstolen allerede har præciseret, fremgår det nemlig klart af ordlyden af databeskyttelsesforordningens artikel 6, stk. 1, andet afsnit, at en behandling af personoplysninger, der foretages af en offentlig myndighed i forbindelse med udførelsen af dens opgaver, ikke kan henhøre under anvendelsesområdet for databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), hvorfor anvendelsen af denne bestemmelse og forordningens artikel 6, stk. 1, første afsnit, litra e), gensidigt udelukker hinanden ( 49 ). I den foreliggende sag er behandlingen af de i hovedsagen omhandlede personoplysninger blevet foretaget af agenturet i forbindelse med den myndighedsudøvelse, som det er tillagt, hvilket på forhånd udelukker anvendelsen af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), uafhængigt af spørgsmålet om, hvorvidt denne behandling opfylder de betingelser, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 3.

60.

Det er derfor ikke udelukket, at den forelæggende ret foranlediges til at konkludere, at behandlingen af de i hovedsagen omhandlede oplysninger var ulovlig, idet den ikke opfyldte en af de begrundelser, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1.

6. Ret til sletning

61.

Databeskyttelsesforordningens artikel 17 giver den registrerede ret til at få personoplysninger om sig selv slettet og pålægger dermed den dataansvarlige en pligt til at foretage en sådan sletning uden unødig forsinkelse, hvis et af de forhold, der er anført i denne artikels stk. 1, gør sig gældende.

62.

Databeskyttelsesforordningens artikel 17, stk. 3, præciserer dog, at denne artikels stk. 1 ikke finder anvendelse, for så vidt som den omhandlede behandling er nødvendig af en af de grunde, der opregnes i denne førstnævnte bestemmelse. Blandt disse grunde nævnes i denne forordnings artikel 17, stk. 3, litra b), overholdelsen af en retlig forpligtelse, der kræver behandling i henhold til EU-retten eller den nationale ret, som den dataansvarlige er underlagt, eller udførelsen af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

63.

For så vidt som disse undtagelser fra retten til sletning afspejler de begrundelser for behandling, der er anført i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c) og e), henviser jeg med hensyn til muligheden for at påberåbe sig dem under omstændigheder som de i hovedsagen omhandlede til analysen i punkt 45-58 i dette forslag til afgørelse ( 50 ).

64.

Såfremt den forelæggende ret skulle finde, at tilgængeliggørelsen for offentligheden i handelsregistret af de i hovedsagen omhandlede personoplysninger ifølge bulgarsk ret ikke henhører under anvendelsesområdet for databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c) eller e), sammenholdt med denne forordnings artikel 6, stk. 3, og derfor heller ikke under anvendelsesområdet for databeskyttelsesforordningens artikel 17, stk. 3, litra b), har den indstævnte i hovedsagen således en ret til sletning, der består i, at oplysningernes tilgængelighed for offentligheden bringes til ophør, og at agenturet i egenskab af dataansvarlig har pligt til at efterkomme anmodningen herom. Databeskyttelsesforordningens artikel 17, stk. 1, litra d), fastsætter nemlig den registreredes absolutte ret til, at vedkommendes personoplysninger slettes, når de er blevet behandlet ulovligt ( 51 ).

65.

Skulle den forelæggende ret derimod konkludere, at behandlingen af de i hovedsagen omhandlede oplysninger var i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c) eller e), finder denne forordnings artikel 17, stk. 3, litra b), som udgangspunkt anvendelse. Det er dog nødvendigt at præcisere to forhold.

66.

I tilfælde af for det første, at den forelæggende ret når til den konklusion, at offentliggørelsen af de i hovedsagen omhandlede personoplysninger var nødvendig for den myndighedsudøvelse, der var tillagt agenturet, for ikke at forsinke indførelsen af selskabet i handelsregistret, kan denne grund efter min opfattelse ikke i sig selv fremføres for at begrunde den fortsatte opbevaring af disse oplysninger i registret, når selskabet først er blevet registreret, og dermed udelukke den i hovedsagen indstævntes ret til sletning i henhold til databeskyttelsesforordningens artikel 17, stk. 3, litra b). Denne ret er i så fald sikret ved denne forordnings artikel 17, stk. 1, litra c), som finder anvendelse, hvis den registrerede i henhold til den nævnte forordnings artikel 21, stk. 1, af grunde, der vedrører den pågældendes særlige situation, gør indsigelse mod behandling af sine personoplysninger baseret på navnlig samme forordnings artikel 6, stk. 1, første afsnit, litra e), og der ikke foreligger »legitime grunde til behandlingen, som går forud«, hvilket det tilkommer den dataansvarlige at godtgøre ( 52 ). Det er imidlertid af de samme grunde, som jeg allerede har gjort rede for i punkt 56 i dette forslag til afgørelse, min opfattelse, at kravet om at bevare integriteten og pålideligheden af de dokumenter, hvorpå optagelsen af selskabet i registret er baseret, ikke kan udgøre en sådan vægtig legitim grund. Som jeg har anført, kan dette krav nemlig opfyldes ved anvendelse af andre metoder, som er mindre indgribende i den grundlæggende ret til beskyttelse af personoplysninger.

67.

For det andet fremgår det af Manni-dommen, at en begrænsning af aktindsigten til alene de tredjeparter, der kan godtgøre at have en særlig interesse, på grundlag af en konkret vurdering kan være berettiget af vægtige legitime grunde, der vedrører de registreredes særlige situation, selv for så vidt angår personoplysninger, som efter direktiv 2017/1132 er pålagt en offentlighedsforpligtelse, og dermed selv når offentliggørelsen udspringer af en retlig forpligtelse som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c). En sådan begrænsning bør imidlertid så meget desto mere anerkendes for så vidt angår personoplysninger, som hverken efter EU-retten eller national ret er omfattet af offentlighedsforpligtelsen. I en sådan situation vil den betingelse, som Domstolen fastsatte i Manni-dommen for begrænsning af aktindsigt i oplysningerne om selskabets likvidators identitet, nemlig at en tilstrækkelig lang tidsfrist efter selskabets opløsning var udløbet, i øvrigt ikke kunne finde anvendelse i den foreliggende sag, og begrænsningen af aktindsigten i sådanne oplysninger bør derfor gennemføres uden unødig forsinkelse.

7. Udøvelsen af retten til sletning betinget af opfyldelsen af bestemte proceduremæssige regler

68.

Det fremgår af forelæggelsesafgørelsen, at agenturet gjorde OL’s anmodning om sletning af de personoplysninger om hende, hvis offentliggørelse ikke var påkrævet ifølge bulgarsk ret, betinget af, at hun overholdt bestemte proceduremæssige regler, som kræver fremlæggelse af det dokument, der indeholder de nævnte oplysninger, i form af en kopi, hvoraf disse oplysninger er skjult. Behandlingen af denne anmodning blev som følge af manglende fremlæggelse en sådan kopi afslået eller udsat på ubestemt tid. Ifølge agenturets forklaringer var overholdelsen af disse proceduremæssige regler nødvendig, fordi agenturet ikke havde beføjelse til at ændre det pågældende dokument, idet denne ændring henhørte under selskabets organers enekompetence.

69.

Jeg minder om, at i henhold til databeskyttelsesforordningens artikel 23, stk. 1, kan EU-lovgivning eller national lovgivning »begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 […], når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til« et af de heri opregnede formål. For så vidt som de proceduremæssige regler, som agenturet anvendte, medfører en begrænsning eller endda udelukkelse af udøvelsen af retten til sletning og udøvelsen af retten til indsigelse i henhold til databeskyttelsesforordningens artikel 21, i tilfælde af at den registrerede ikke formår selskabet til at foretage de ønskede ændringer af det pågældende dokument, kan disse regler falde ind under databeskyttelsesforordningens artikel 23, stk. 1 ( 53 ). Det skal derfor efterprøves, om de i denne bestemmelse fastsatte betingelser er opfyldt i den foreliggende sag, også selv om den forelæggende ret ikke udtrykkeligt har anmodet Domstolen om at tage stilling hertil.

70.

I denne henseende gør jeg først opmærksom på, at disse proceduremæssige regler blot synes at følge af agenturets interne praksis ( 54 ). Med forbehold af den efterprøvelse, som det påhviler den forelæggende ret at foretage, er de derfor efter min opfattelse allerede af denne grund ikke i overensstemmelse med databeskyttelsesforordningens artikel 23, stk. 1, hvorefter begrænsningen af de rettigheder, der er opregnet i denne bestemmelse, kræver »lovgivningsmæssige foranstaltninger«.

71.

Dernæst rejser disse proceduremæssige regler spørgsmål om overholdelsen af proportionalitetsprincippet.

72.

Selv om kravet om pålidelighed og ægthed af de dokumenter, der er indført i handelsregistret, og i bredere forstand om åbenhed og retssikkerhed i forbindelse med agenturets udøvelse af den opgave, der er tillagt det, forekommer at kunne opfylde en »vigtig målsætning i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser« som omhandlet i databeskyttelsesforordningens artikel 23, stk. 1, litra e), begrunder det nemlig efter min opfattelse ikke begrænsningen eller endda udelukkelsen af retten til sletning eller retten til indsigelse under omstændigheder som de i hovedsagen omhandlede, idet der kan anvendes andre metoder, som er mindre indgribende i den grundlæggende ret til beskyttelse af personoplysninger.

73.

På denne baggrund har Kommissionen, som har fundet det begrundet at afvente, at selskabet ændrer dokumentet ved at fjerne de oplysninger, der ønskes slettet, foreslået, at agenturet selv skjuler disse oplysninger efter en rimelig tidsfrist, hvis det viser sig, at den registrerede ikke formår selskabet til at foretage en sådan ændring.

74.

Jeg er ikke overbevist om, at en sådan løsning vil sikre den rette afvejning af de forskellige rettigheder og interesser, der er på spil, for så vidt som den medfører, at de oplysninger, der ikke skulle have været videregivet, opbevares og er offentligt tilgængelige på ubestemt tid i et digitaliseret miljø. I mine øjne kunne en sådan afvejning derimod sikres ved at tillægge agenturet beføjelse til uden unødig forsinkelse efter modtagelsen af en anmodning om sletning selv at skjule de pågældende oplysninger fra den kopi af dokumentet, der er offentliggjort, og samtidig bevare originaldokumentet i aktmappen, og ved at kræve, at selskabet forelægger en ændring af dette dokument, hvoraf de nævnte oplysninger er udeladt, som også bliver offentliggjort i registret.

75.

Ganske vist fastsætter artikel 16, stk. 4, første og andet afsnit, i direktiv 2017/1132, at medlemsstaterne træffer de fornødne foranstaltninger til at undgå enhver uoverensstemmelse mellem indholdet af registret og indholdet af aktmappen og mellem, hvad der offentliggøres i registret, og hvad der offentliggøres i den offentlige tidende. Kravet om at opretholde overensstemmelsen mellem de forskellige dele af registret og med den nationale tidende samt det mål om retssikkerhed, som et sådant krav ligger til grund for, kan dog efter min opfattelse ikke begrunde, at de personoplysninger, hvis videregivelse ikke er obligatorisk, uden tidsmæssige eller andre begrænsninger fortsat opbevares i tilgængelig form i de dokumenter, der er offentliggjort i registret, når den registrerede anmoder om sletning heraf. For det første er de ændringer af disse dokumenter, der viser sig at være nødvendige for at skjule disse oplysninger, nemlig identificerbare og sporbare og sker i åbenhed. For det andet vedrører disse ændringer forhold i disse dokumenter, hvis offentlighed ikke er nødvendig for udøvelsen af den opgave i samfundets interesse, som er tillagt registret. For det tredje kan de nævnte dokumenters integritet og ægthed opretholdes ved i aktmappen at opbevare originalerne, hvori tredjeparter, der kan godtgøre en legitim interesse, kan få aktindsigt.

76.

På baggrund af det ovenstående er det min opfattelse, at proceduremæssige regler som dem, der i den foreliggende sag blev anvendt af agenturet, ikke er i overensstemmelse med databeskyttelsesforordningens artikel 23, stk. 1.

V. Forslag til afgørelse

77.

I lyset af samtlige ovenstående betragtninger foreslår jeg, at Domstolen besvarer det fjerde og det femte præjudicielle spørgsmål, som Varchoven administrativen sad (øverste domstol i forvaltningsretlige sager, Bulgarien) har forelagt, således:

»1)

Artikel 4, nr. 7), og artikel 26, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

en medlemsstats handelsregisterførende myndighed, som i medfør af denne stats lovgivning skal sikre offentliggørelsen af de dokumenter, der indgives til den i forbindelse med en anmodning om optagelse af et selskab i dette register, er eneansvarlig for offentliggørelsen af de personoplysninger, der er indeholdt i disse dokumenter, selv når der er tale om oplysninger, som ikke er omfattet af en offentlighedsforpligtelse, og som ifølge denne lovgivning burde være blevet udeladt af disse dokumenter forud for indgivelsen til den nævnte myndighed.

2)

Forordning 2016/679, særlig artikel 17 og artikel 23, stk. 1,

skal fortolkes således, at

den er til hinder for en national lovgivning eller praksis, hvorefter en fysisk persons ret til at opnå, at den myndighed i en medlemsstat, der har ansvaret for at føre handelsregistret, sletter de af vedkommendes personoplysninger, som er indeholdt i dokumenter, der gjort offentligt tilgængelige i dette register, er betinget af proceduremæssige regler, som kræver fremlæggelse af en kopi af det pågældende dokument, hvori disse oplysninger er udeladt. I egenskab af dataansvarlig kan denne myndighed ikke fritages for sin forpligtelse til uden unødig forsinkelse at efterkomme en sådan anmodning om sletning alene med den begrundelse, at den ikke har modtaget en sådan kopi.

3)

Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 af 14. juni 2017 om visse aspekter af selskabsretten, som ændret ved Europa-Parlamentets og Rådets direktiv (EU) 2019/1151 af 20. juni 2019, særlig artikel 16, stk. 2-4, sammenholdt med ottende betragtning til dette direktiv,

kan ikke fortolkes således, at

det muliggør vedtagelse af sådanne proceduremæssige regler. Dette direktiv er ikke til hinder for, at en medlemsstats handelsregisterførende myndighed efterkommer en anmodning om sletning af personoplysninger, som denne medlemsstats lovgivning ikke kræver offentliggjort, og som er indeholdt i et dokument, der er gjort offentligt tilgængeligt i dette register, idet den selv fjerner de nævnte oplysninger fra dette dokument og opbevarer en kopi af den fulde version heraf i den aktmappe, der er omhandlet i det nævnte direktivs artikel 16, stk. 1.«


( 1 ) – Originalsprog: fransk.

( 2 ) – Anmodningen om præjudiciel afgørelse vedrører nærmere bestemt bestemmelserne i Europa-Parlamentets og Rådets direktiv 2009/101/EF af 16.9.2009 om samordning af de garantier, som kræves i medlemsstaterne af de i traktatens artikel 48, stk. 2, nævnte selskaber til beskyttelse af såvel selskabsdeltagernes som tredjemands interesser, med det formål at gøre disse garantier lige byrdefulde (EUT 2009, L 258, s. 11). Som det vil fremgå nedenfor, er det imidlertid Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 af 14.6.2017 om visse aspekter af selskabsretten (EUT 2017, L 169, s. 46), der ratione temporis finder anvendelse på de faktiske omstændigheder i hovedsagen.

( 3 ) – Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2016, L 127, s. 2, herefter »databeskyttelsesforordningen«).

( 4 ) – DV nr. 34 af 25.4.2006.

( 5 ) – DV nr. 48 af 18.6.1991.

( 6 ) – Udtalelse nr. 01-116(20)/01.02.2021.

( 7 ) – Europa-Parlamentets og Rådets direktiv af 20.6.2019 om ændring af direktiv 2017/1132 (EUT 2019, L 186, s. 80).

( 8 ) – Jf. artikel 2, stk. 1, i direktiv 2019/1151. For så vidt angår de ændringer, der ved dette direktivs artikel 1, nr. 6), er indført i artikel 16, stk. 6, i direktiv 2017/1132, var fristen for gennemførelse heraf den 1.8.2023.

( 9 ) – Jf. i denne retning mit forslag til afgørelse État belge (Databehandling i en statstidende) (C-231/22, EU:C:2023:468, punkt 80).

( 10 ) – Jeg anfører, at Kommissionen den 29.3.2023 vedtog et forslag til Europa-Parlamentets og Rådets direktiv om ændring af direktiv 2009/102/EF og (EU) 2017/1132 for så vidt angår yderligere udvidelse og opgradering af anvendelsen af digitale værktøjer og processer inden for selskabsret (COM(2023) 177 final).

( 11 ) – Jf. registersammenkoblingssystemet, der blev indført 8.6.2017 ved Europa-Parlamentets og Rådets direktiv 2012/17/EU af 13.6.2012 om ændring af Rådets direktiv 89/666/EØF og Europa-Parlamentets og Rådets direktiv 2005/56/EF og 2009/101/EF for så vidt angår sammenkobling af centrale registre og handels- og selskabsregistre (EUT 2012, L 156, s. 1), og som i øjeblikket er reguleret ved direktiv 2017/1132. Dette system sammenkobler de nationale erhvervsregistre i en central europæisk platform og danner dermed et fælles adgangspunkt via den europæiske e-justiceportal, hvor borgere, virksomheder og offentlige forvaltninger kan søge oplysninger om virksomheder og disses filialer i andre medlemsstater.

( 12 ) – Den Europæiske Tilsynsførende for Databeskyttelse har i sin udtalelse om forslaget til ændring af direktiv 2017/1132 henledt opmærksomheden på nødvendigheden af at »blive bevidst om de risici, der udspringer af personoplysningers tilgængelighed, når disse i vid udstrækning offentliggøres på internettet i digital form og på mange sprog og let kan tilgås via et europæisk adgangspunkt eller en fælles platform« (udtalelse af 26.7.2018, tilgængelig på følgende webadresse: https://edps.europa.eu/data-protection/our-work/publications/opinions/digital-tools-and-processed-company-law_en).

( 13 ) – OOD er omfattet af bilag II til direktiv 2017/1132 og af bilag IIa til dette direktiv som ændret ved direktiv 2019/1151.

( 14 ) – I så fald noteres genstanden for indførelsen i registret i aktmappen; jf. artikel 16, stk. 2, i direktiv 2017/1132.

( 15 ) – Jf. artikel 16, stk. 3, i direktiv 2017/1132, hvorefter det kun er muligt at offentliggøre uddrag af de dokumenter, der er omhandlet i dette direktivs artikel 14, i den pågældende medlemsstats nationale tidende.

( 16 ) – For så vidt angår Rådets første direktiv 68/151/EØF af 9.3.1968 om samordning af de garantier, som kræves i medlemsstaterne af de i traktatens artikel 58, stk. 2, nævnte selskaber til beskyttelse af såvel selskabsdeltagernes som tredjemands interesser, med det formål at gøre disse garantier lige byrdefulde (EFT 1968 I, s. 41), jf. dom af 9.3.2017, Manni (C-398/15, herefter »dom Manni«, EU:C:2017;197, præmis 34).

( 17 ) – Dom af 5.12.2023, Nacionalinis visuomenės sveikatos centras (C-683/21, EU:C:2023:949, præmis 28 og 29).

( 18 ) – Jf. i denne retning dom af 5.10.2023, Ministerstvo zdravotnictví (Covid-19-mobilapplikation) (C-659/22, EU:C:2023:745, præmis 28).

( 19 ) – C-231/22, herefter dom État belge, EU:C:2024:7, præmis 35. Jf. ligeledes mit forslag til afgørelse i den sag, der gav anledning til denne dom (C-231/22, EU:C:2023:468, punkt 34-75).

( 20 ) – Jf. i denne retning État belge-dommen, præmis 38.

( 21 ) – Jf. i denne retning État belge-dommen, præmis 46 og 47.

( 22 ) – Jf. i denne retning dom af 5.12.2023, Nacionalinis visuomenės sveikatos centras (C-683/21, EU:C:2023:949, præmis 44 og 45).

( 23 ) – Jf. i denne retning retningslinjerne fra Den Europæiske Tilsynsførende for Databeskyttelse, »Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD«, version 2.0 vedtaget den 7.7.2021, tilgængelig på fransk på følgende webadresse: https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_fr.pdf, punkt 70 og 72. Jf. ligeledes mit forslag til afgørelse État belge (Databehandling i en statstidende) (C-231/22, EU:C:2023:468, punkt 48 og fodnote 55).

( 24 ) – Jf. i denne retning État belge-dommen, præmis 42.

( 25 ) – Jf. État belge-dommen, præmis 48.

( 26 ) – Jeg påpeger imidlertid, at der i den sag, der gav anledning til État belge-dommen, var tale om offentliggørelse af dokumenter i en medlemsstats statstidende som sidste fase i en behandlingsprocedure, der omfattede forskellige offentlige myndigheder. Den faktiske situation, der lå til grund for denne dom, adskiller sig således fra den i den foreliggende sag omhandlede.

( 27 ) – I sine skriftlige indlæg har agenturet forklaret, at i tilfælde af en onlineanmodning uploader den anmodende selv den scannede udgave af de signerede papirdokumenter, der skal indgives med henblik på registrering, til handelsregistrets system.

( 28 ) – Disse formål er nævnt i punkt 49 i dette forslag til afgørelse.

( 29 ) – Jf. État belge-dommen, præmis 45.

( 30 ) – Jf. État belge-dommen, præmis 49 og 50.

( 31 ) – Jf. dom af 21.12.2023, Krankenversicherung Nordrhein (C-667/21, EU:C:2023:1022, præmis 76 og den deri nævnte retspraksis).

( 32 ) – Jf. dom af 7.12.2023, SCHUFA Holding (Gældssanering) (C-26/22 og C-64/22, EU:C:2023:958, præmis 72 og 73 og den deri nævnte retspraksis).

( 33 ) – Jf. dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk) (C-252/21, EU:C:2023:537, præmis 91-93).

( 34 ) – Jeg minder om, at den forelæggende ret i det tredje præjudicielle spørgsmål udtrykker tvivl om, hvorvidt der foreligger en sådan forenelighed.

( 35 ) – Således som »Artikel 29-Gruppen« fremhævede i udtalelse nr. 6/2014, er anvendelsesområdet for databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), »strengt begrænset«. For at denne bestemmelse kan finde anvendelse, skal den retlige forpligtelse være tilstrækkeligt klar og i overensstemmelse med den gældende databeskyttelseslovgivning. Dette forekommer mig ikke at være tilfældet med en lov, som på den ene side udelukker den omhandlede behandling af oplysninger og på den anden side tillader eller endda pålægger den på grundlag af et formodet samtykke.

( 36 ) – Jf. dom af 4.5.2023, Bundesrepublik Deutschland (Domstolenes elektroniske postkasse) (C-60/22, EU:C:2023:373, præmis 54 og 55).

( 37 ) – Jf. dom af 12.7.2012, Compass-Datenbank (C-138/11, EU:C:2012:449, præmis 40 og 41), og Manni-dommen, præmis 43.

( 38 ) – Jf. Manni-dommen, præmis 43.

( 39 ) – C-398/15, EU:C:2016:652, punkt 54.

( 40 ) – Jf. i denne retning dom af 12.11.1974, Haaga (32/74, EU:C:1974:116, præmis 6), og Manni-dommen, præmis 50.

( 41 ) – Jf. i denne retning dom af 2.3.2023, Norra Stockholm Bygg (C-268/21, EU:C:2023:145, præmis 31).

( 42 ) – Jf. i denne retning dom af 1.8.2022, Vyriausioji tarnybinės etikos komisija (C-184/20, EU:C:2022:601, præmis 69).

( 43 ) – Navnlig henhører selskabets repræsentants eller selskabsdeltagernes bopæl ikke under den pågældendes identitet, og kendskabet hertil er ikke relevant for beskyttelsen af tredjeparter, som generaladvokat Szpunar fremhævede i sit forslag til afgørelse All in One Star (C-469/19, EU:C:2020:822, punkt 51).

( 44 ) – Jf. Manni-dommen, præmis 57.

( 45 ) – Jf. Manni-dommen, præmis 58.

( 46 ) – Jf. dom af 1.8.2022, Vyriausioji tarnybinės etikos komisija (C-184/20, EU:C:2022:601, præmis 70).

( 47 ) – Jf. i denne retning dom af 22.11.2022, Luxembourg Business Registers (C-37/20 og C-601/20, EU:C:2022:912, præmis 66).

( 48 ) – Jf. analogt dom af 30.1.2024, Direktor na Glavna direktsia »Natsionalna politsia« pri MVR – Sofia (C-118/22, EU:C:2024:97, præmis 41).

( 49 ) – Jf. dom af 8.12.2022, Inspektor v Inspektorata kam Visshia sadeben savet (Formål med behandling af personoplysninger – strafferetlig efterforskning) (C-180/21, EU:C:2022:967, præmis 85).

( 50 ) – Selv om Domstolen i et obiter dictum i État belge-dommens præmis 51 henviste til muligheden for, at undtagelserne i databeskyttelsesforordningens artikel 17, stk. 3, litra b) og d), fandt anvendelse på anmodningen om sletning af personoplysninger, der var offentliggjort i den pågældende medlemsstats nationale tidende, tog den imidlertid ikke stilling til dette spørgsmål, som ikke var blevet rejst af den forelæggende ret i den sag, der gav anledning til denne dom.

( 51 ) – Jf. i denne retning dom af 7.12.2023, SCHUFA Holding (Gældssanering) (C-26/22 og C-64/22, EU:C:2023:958, præmis 108); jf. ligeledes generaladvokat Pikamäes forslag til afgørelse i den pågældende sag (C-26/22 og C-64/22, EU:C:2023:222, punkt 91).

( 52 ) – Jf. i denne retning dom af 7.12.2023, SCHUFA Holding (Gældssanering) (C-26/22 og C-64/22, EU:C:2023:958, præmis 111 og 112).

( 53 ) – Jf. i denne retning dom af 26.10.2023, FT (Kopier af en patientjournal) (C-307/22, EU:C:2023:811, præmis 53-69). Jf. ligeledes generaladvokat Emilious forslag til afgørelse i denne sag (C-307/22, EU:C:2023:315, punkt 37).

( 54 ) – Selv om den nævnte procedure afspejler den procedure, der er fastsat i registerlovens artikel 13, stk. 6, synes sidstnævnte bestemmelse ikke at regulere retten til sletning eller den registreredes ret til at gøre indsigelse.