Sag C-200/23

Agentsia po vpisvaniyata

mod

OL

(anmodning om præjudiciel afgørelse indgivet af Varhoven administrativen sad)

Domstolens dom (Første Afdeling) af 4. oktober 2024

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – offentliggørelse i handelsregistret af en selskabsaftale indeholdende personoplysninger – direktiv (EU) 2017/1132 – ikke obligatoriske personoplysninger – manglende samtykke fra den registrerede – ret til sletning – immateriel skade«

  1. Etableringsfrihed – selskaber – direktiv 2017/1132 – en medlemsstats forpligtelse til at tillade offentliggørelse i handelsregistret af en selskabsaftale indeholdende personoplysninger – offentliggørelse af oplysninger, som ikke kræves i henhold til national lovgivning – ingen forpligtelse

    (Europa-Parlamentets og Rådets direktiv 2017/1132, art. 21, stk. 2)

    (jf. præmis 54, 55 og 60 samt domskonkl. 1)

  2. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – begrebet dataansvarlig – begrebet modtager af oplysninger – myndighed med ansvar for handelsregistret i en medlemsstat, der offentliggør personoplysninger, som fremgår af en selskabsaftale – omfattet – aftale, der indeholder personoplysninger, som hverken er påkrævet i henhold til direktiv 2017/1132 eller national lovgivning – ingen betydning

    [Europa-Parlamentets og Rådets forordning 2016/679, art. 4, nr. 7) og 9); Europa-Parlamentets og Rådets direktiv 2017/1132]

    (jf. præmis 66, 72-76 og 83 samt domskonkl. 2)

  3. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – betingelser for lovligheden af en behandling af personoplysninger – behandling nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige – offentliggørelse af personoplysninger, der fremgår af en selskabsaftale – personoplysninger, der hverken er påkrævet i henhold til direktiv 2017/1132 eller national lovgivning – ikke omfattet – kvalificering af denne offentliggørelse som behandling, der er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse – betingelser – behandlingens nødvendighed

    [Europa-Parlamentets og Rådets forordning 2016/679, art. 6, stk. 1, første afsnit, litra c) og e); Europa-Parlamentets og Rådets direktiv 2017/1132]

    (jf. præmis 94-96, 105-112 og 114-116)

  4. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – ret til sletning – rækkevidde – ulovlig behandling af personoplysninger – omfattet – lovlig behandling af personoplysninger – behandling, der er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse – ikke omfattet – undtagelse – tilstedeværelse af vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder – bevisbyrden påhviler den dataansvarlige

    [Europa-Parlamentets og Rådets forordning 2016/679, art. 6, stk. 1, litra e), art. 17, stk. 1, litra c) og d), og art. 21, stk. 1]

    (jf. præmis 118-120)

  5. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – ret til sletning – forpligtelse for en national myndighed, der er ansvarlig for handelsregistret i en medlemsstat, til at afslå enhver anmodning om sletning af oplysninger, der ikke er blevet skjult – personoplysninger, der hverken er påkrævet i henhold til direktiv 2017/1132 eller national lovgivning – ikke tilladt

    (Europa-Parlamentets og Rådets forordning 2016/679, art. 17; Europa-Parlamentets og Rådets direktiv 2017/1132, art. 16)

    (jf. præmis 127 og domskonkl. 3)

  6. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – begrebet personoplysninger – en fysisk persons egenhændige underskrift – omfattet

    [Europa-Parlamentets og Rådets forordning 2016/679, art. 4, nr. 1)]

    (jf. præmis 131, 133-136 og domskonkl. 4)

  7. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – ret til erstatning og erstatningsansvar – ret til erstatning for den skade, der er lidt – immateriel skade – begreb – tab af kontrol over personoplysninger – omfattet – betingelser – bevisbyrde for immateriel skade, der påhviler den registrerede – pligt til at godtgøre, at der foreligger yderligere konkrete negative konsekvenser – foreligger ikke

    (Europa-Parlamentets og Rådets forordning 2016/679, art. 82, stk. 1)

    (jf. præmis 140-146 og 156 samt domskonkl. 5)

  8. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – ret til erstatning og erstatningsansvar – den dataansvarliges ansvar og forpligtelse til at erstatte den skade, som en registreret har lidt – fritagelse – rækkevidde – en tilsynsmyndigheds afgivelse af en rådgivende udtalelse om databeskyttelsesspørgsmål til den dataansvarlige – ikkeanvendelse af fritagelsen for erstatningsansvar for en national myndighed, der er dataansvarlig

    [Europa-Parlamentets og Rådets forordning 2016/679, art. 4, nr. 7), art. 58, stk. 3, litra b), og art. 82, stk. 1-3]

    (jf. præmis 171, 172, 174 og 176 samt domskonkl. 6)

Sammendrag

Varhoven administrativen sad (øverste domstol i forvaltningsretlige sager, Bulgarien) forelagde Domstolen en anmodning om præjudiciel afgørelse vedrørende en række spørgsmål, der i det væsentlige vedrørte forholdet mellem de EU-retlige bestemmelser om offentliggørelse af selskabsdokumenter ( 1 ) og databeskyttelsesforordningen ( 2 ).

OL er selskabsdeltager i »Praven Shtit Konsulting« OOD, et bulgarsk selskab med begrænset ansvar, som blev optaget i handelsregistret efter fremlæggelsen af en selskabsaftale. Denne aftale, som blev offentliggjort af Agentsia po vpisvaniyata (agenturet for registreringer, Bulgarien) (herefter »agenturet«), således som den var blevet fremlagt, indeholdt flere personoplysninger om selskabsdeltagerne, herunder deres efternavne, fornavne, identitetskortnumre, adresser og underskrifter.

I 2021 anmodede OL agenturet om at slette de personoplysninger om hende, der var indeholdt i denne aftale. Agenturets afslag på at efterkomme dette var genstand for to søgsmål anlagt af OL ved Administrativen sad Dobrich (forvaltningsdomstolen i Dobrich, Bulgarien). Ved en dom af 5. maj 2022 pålagde denne ret agenturet at betale OL en erstatning for immateriel skade i henhold til databeskyttelsesforordningen ( 3 ). Da agenturet ikke var tilfreds med denne dom, iværksatte det kassationsappel ved den forelæggende ret.

Da den forelæggende ret var i tvivl om, hvorledes afvejningen mellem lovgivningen om retten til beskyttelse af personoplysninger og den lovgivning, der sikrer offentliggørelse af og adgang til visse selskabsdokumenter, skulle foretages, forelagde den Domstolen anmodningen om præjudiciel afgørelse.

Domstolens bemærkninger

Hvad for det første angår rækkevidden af den frivillige offentliggørelse af oplysninger, herunder personoplysninger i selskabsdokumenter, bemærkede Domstolen, at bestemmelsen i direktiv 2017/1132, der omhandler frivillig offentliggørelse af dokumenter og oplysninger vedrørende selskabet ( 4 ), kun vedrører oversættelser heraf uden dog at henvise til deres indhold. Den kan følgelig ikke fortolkes således, at den pålægger en forpligtelse til at offentliggøre personoplysninger, hvis de hverken kræves offentliggjort i henhold til andre bestemmelser i EU-retten eller i henhold til den pågældende medlemsstats lovgivning, men som er indeholdt i et dokument, der er omfattet af den obligatoriske offentliggørelse, der er fastsat i dette direktiv ( 5 ). Denne bestemmelse pålægger således ikke en medlemsstat en forpligtelse til at tillade offentliggørelse i handelsregistret af en selskabsaftale, som er underlagt den obligatoriske offentliggørelse, der er fastsat i dette direktiv, og som indeholder andre personoplysninger end det krævede minimum af personoplysninger, hvis offentliggørelse ikke er påkrævet i henhold til denne medlemsstats lovgivning.

For det andet bemærkede Domstolen, at den myndighed, der har ansvaret for at føre handelsregistret i en medlemsstat, og som i dette register offentliggør personoplysninger, der fremgår af en selskabsaftale, som er underlagt den obligatoriske offentliggørelse, der er fastsat i direktiv 2017/1132, og sendt i forbindelse med en anmodning om optagelse af det pågældende selskab i dette register, er såvel »modtager« af disse oplysninger som – bl.a. for så vidt som den gør dem tilgængelige for offentligheden – »dataansvarlig« for de nævnte oplysninger ( 6 ), selv når denne aftale indeholder personoplysninger, der ikke er påkrævet i henhold til dette direktiv eller denne medlemsstats lovgivning.

I denne sammenhæng bemærkede Domstolen, at det i henhold til direktiv 2017/1132 tilkommer medlemsstaterne bl.a. at fastsætte, hvilke kategorier af oplysninger vedrørende identiteten af de personer, der er knyttet til selskaber, og navnlig hvilke typer personoplysninger der skal være omfattet af obligatorisk offentlighed, under overholdelse af EU-retten.

Domstolen bemærkede ligeledes, at den myndighed, der har ansvaret for at føre handelsregistret i en medlemsstat – ved at indføre og opbevare personoplysninger, der er modtaget i forbindelse med en anmodning om optagelse af et selskab i dette register, ved i givet fald efter anmodning at videregive disse til tredjemand og ved at offentliggøre dem i den nationale offentlige tidende eller ved tilsvarende effektive bekendtgørelsesmåder – foretager en behandling af personoplysninger, som den er »dataansvarlig« for. Denne behandling af personoplysninger er nemlig forskellig fra og følger efter den meddelelse af personoplysninger, som ansøgeren om denne optagelse har foretaget, og som denne myndighed har modtaget. Desuden foretager sidstnævnte alene de nævnte behandlinger i overensstemmelse med de formål og procedurer, der er fastsat i direktiv 2017/1132 og i den pågældende medlemsstats lovgivning til gennemførelse af dette direktiv.

Hvad for det tredje angår den registreredes eventuelle ret til sletning ( 7 ) undersøgte Domstolen i første omgang de lovlighedsgrunde, som behandlingen af vedkommendes personoplysninger kan være omfattet af.

Hvad for det første angår spørgsmålet om, hvorvidt denne behandling er nødvendig for at overholde en retlig forpligtelse, der følger af EU-retten eller af lovgivningen i den medlemsstat, som påhviler den dataansvarlige ( 8 ), bemærkede Domstolen, at direktiv 2017/1132 ikke foreskriver en systematisk behandling af enhver personoplysning, der er indeholdt i et dokument, som er underlagt den obligatoriske offentliggørelse, der er fastsat i dette direktiv. Tværtimod skal enhver behandling af personoplysninger inden for rammerne af dette direktiv fuldt ud opfylde de krav, der følger af databeskyttelsesforordningen. Det påhviler således medlemsstaterne at sikre en afvejning mellem de mål om retssikkerhed og beskyttelse af tredjemands interesser, der forfølges med direktiv 2017/1132, og de rettigheder, der er fastsat i databeskyttelsesforordningen.

Det kan derfor ikke lægges til grund, at den tilrådighedsstillelse online for offentligheden i handelsregistret af personoplysninger, der ikke er påkrævet i henhold til direktiv 2017/1132 eller i henhold til den i hovedsagen omhandlede nationale lovgivning, som er indeholdt i en selskabsaftale, der er underlagt den obligatoriske offentliggørelse, der er fastsat i dette direktiv, og sendt til agenturet, er begrundet i kravet om at sikre offentliggørelse af de dokumenter, der er omhandlet i det nævnte direktiv, og at den derfor følger af en retlig forpligtelse, der er fastsat i EU-retten. Med forbehold af den forelæggende rets efterprøvelse synes lovligheden af den pågældende behandling heller ikke at hvile på en retlig forpligtelse, der er fastsat i den nationale lovgivning.

Hvad for det andet angår nødvendigheden af den pågældende behandling med henblik på udførelsen af en opgave i samfundets interesse ( 9 ) bemærkede Domstolen, at denne behandling ganske vist synes at være foretaget i forbindelse med en sådan opgave. Den synes imidlertid at gå ud over, hvad der er nødvendigt for at nå de mål af almen interesse, der forfølges.

I denne henseende bemærkede Domstolen, at kravet om at bevare integriteten og troværdigheden af de selskabsdokumenter, der er underlagt den obligatoriske offentliggørelse, der er fastsat i direktiv 2017/1132, som kræver offentliggørelse af disse dokumenter, således som de er blevet fremsendt til de myndigheder, der har ansvaret for at føre handelsregistret, ikke systematisk kan have forrang for retten til beskyttelse af personoplysninger, da beskyttelsen heraf ellers ville blive illusorisk. Dette krav kan navnlig ikke indebære, at personoplysninger, der ikke kræves i henhold til dette direktiv eller national lovgivning, skal forblive offentligt tilgængelige online i dette register, når agenturet selv med henblik på denne tilrådighedsstillelse kunne udfærdige en kopi renset for de ikke påkrævede oplysninger af det pågældende selskabsdokument, som er fastsat i denne lovgivning.

I anden omgang fremhævede Domstolen, at såfremt den forelæggende ret efter sin vurdering måtte konkludere, at den pågældende behandling er ulovlig, påhviler det agenturet som dataansvarlig at slette de pågældende oplysninger hurtigst muligt.

Hvis den forelæggende ret imidlertid konkluderer, at denne behandling faktisk er nødvendig for at udføre en opgave i samfundets interesse – navnlig for så vidt som tilrådighedsstillelse online for offentligheden i handelsregistret af oplysninger, som ikke er påkrævet i henhold til direktiv 2017/1132 eller den nationale lovgivning, var nødvendig for at undgå at forsinke registreringen af det pågældende selskab af hensyn til beskyttelsen af tredjemand – skal det undersøges, om der foreligger vægtige legitime grunde, som kan have forrang for den registreredes interesser, rettigheder og frihedsrettigheder, og som kan være til hinder for en sådan slettelse ( 10 ).

Domstolen fastslog således, at direktiv 2017/1132 og databeskyttelsesforordningen skal fortolkes således, at de er til hinder for en lovgivning eller en praksis i en medlemsstat, som fører til, at den myndighed, der har ansvaret for at føre handelsregistret i denne medlemsstat, afslår enhver anmodning om sletning af personoplysninger, som ikke er påkrævet i henhold til dette direktiv eller den nævnte medlemsstats lovgivning, som fremgår af en selskabsaftale, der er offentliggjort i dette register, når der ikke er blevet indgivet en kopi af denne aftale, hvor disse oplysninger er skjult, til denne myndighed i strid med de processuelle regler, der er fastsat i denne lovgivning.

Endelig fremhævede Domstolen, idet den udtalte sig om ansvarsordningen i henhold til databeskyttelsesforordningen og mere konkret om indvirkningen i denne forbindelse af en udtalelse fra en medlemsstats tilsynsmyndighed, at afgivelsen af en sådan udtalelse i henhold til databeskyttelsesforordningen ( 11 ) henhører under tilsynsmyndighedens rådgivningsbeføjelser og ikke godkendelsesbeføjelser. Det fremgår endvidere af den anvendte ordlyd, at denne udtalelse ikke er juridisk bindende i henhold til EU-retten. Den pågældende udtalelse kan således ikke i sig selv godtgøre, at den dataansvarlige ikke selv er ansvarlig for skaden, og den er derfor heller ikke tilstrækkelig til at fritage denne for ansvar i henhold til databeskyttelsesforordningen. Følgelig er en sådan udtalelse ikke tilstrækkelig til at fritage den myndighed, der har ansvaret for at føre handelsregistret i en medlemsstat, som er registeransvarlig, for ansvar.

( 1 ) – Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 af 14.6.2017 om visse aspekter af selskabsretten (EUT 2017, L 169, s. 46).

( 2 ) – Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

( 3 ) – I henhold til databeskyttelsesforordningens artikel 82.

( 4 ) – Artikel 21, stk. 2, i direktiv 2017/1132.

( 5 ) – I henhold til artikel 14 i direktiv 2017/1132.

( 6 ) – Henholdsvis som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), og artikel 4, nr. 9).

( 7 ) – I henhold til databeskyttelsesforordningens artikel 17.

( 8 ) – Lovlighedsgrunden i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c).

( 9 ) – Lovlighedsgrunden i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra e).

( 10 ) – I henhold til databeskyttelsesforordningens artikel 17, stk. 1, litra c), sammenholdt med artikel 21, stk. 1.

( 11 ) – Databeskyttelsesforordningens artikel 58, stk. 3, litra b).