–

Agentsia po vpisvaniyata ved I.D. Ivanov og D.S. Miteva, bistået af advokat Z.N. Mandazhieva,

–

OL, selvmøder, bistået af advokati I. Stoynev og T. Tsonev,

–

den bulgarske regering, ved T. Mitova og R. Stoyanov, som befuldmægtigede,

–

den tyske regering ved J. Möller og P.-L. Krüger, som befuldmægtigede,

–

Irland ved Chief State Solicitor M. Browne, A. Joyce, M. Lane og M. Tierney, som befuldmægtigede, bistået af I. Boyle Harper, BL,

–

den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocato dello Stato G. Natale,

–

den polske regering ved B. Majczyna, som befuldmægtiget,

–

den finske regering ved A. Laine, som befuldmægtiget,

–

Europa-Kommissionen ved A. Bouchagiar, C. Georgieva, H. Kranenborg og L. Malferrari, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 3 og 4 i Europa-Parlamentets og Rådets direktiv 2009/101/EF af 16. september 2009 om samordning af de garantier, som kræves i medlemsstaterne af de i [...] artikel 48, stk. 2, [EF] nævnte selskaber til beskyttelse af såvel selskabsdeltagernes som tredjemands interesser, med det formål at gøre disse garantier lige byrdefulde (EUT 2009, L 258, s. 11), samt af artikel 4, 6, 17, 58 og 82 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2

Denne anmodning er blevet forelagt i forbindelse med en tvist mellem Agentsia po vpisvaniyata (agenturet for registreringer, Bulgarien) (herefter »agenturet«) og OL vedrørende dette agenturs afslag på at slette visse personoplysninger om OL, som optræder i en selskabsaftale, der er offentliggjort i handelsregistret.

3

Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 af 14. juni 2017 om visse aspekter af selskabsretten (EUT 2017, L 169, s. 46) ophævede og erstattede direktiv 2009/101 med virkning fra datoen for dets ikrafttræden, dvs. den 20. juli 2017.

4

Følgende fremgår af 1., 7., 8. og 12. betragtning til direktiv 2017/1132:

[...]

[...]

5

Artikel 4 i direktiv 2017/1132, der er indeholdt i afdeling 1 med overskriften »Aktieselskabets stiftelse« i dette direktivs afsnit I, kapitel II, og som har overskriften »De obligatoriske oplysninger, som skal fremgå af vedtægterne eller stiftelsesoverenskomsten eller særskilte dokumenter« bestemmer:

»I det mindste følgende oplysninger skal fremgå enten af vedtægterne, af stiftelsesoverenskomsten eller af et særskilt dokument, som offentliggøres efter den fremgangsmåde, der er fastsat i hver medlemsstats lovgivning i overensstemmelse med artikel 16:

[...]

[...]«

6

Afdeling 1 i det nævnte direktivs afsnit I, kapitel III med overskriften »Almindelige bestemmelser« indeholder direktivets artikel 13-28.

7

Samme direktivs artikel 13 med overskriften »Anvendelsesområde« har følgende ordlyd:

»De i denne afdeling foreskrevne samordningsforanstaltninger finder anvendelse på medlemsstaternes administrativt eller ved lov fastsatte bestemmelser vedrørende selskabsformer anført i bilag II.«

8

Artikel 14 i direktiv 2017/1132 med overskriften »Dokumenter og oplysninger, som selskaber skal offentliggøre« bestemmer:

»Medlemsstaterne træffer de nødvendige foranstaltninger for, at den obligatoriske offentlighed vedrørende selskaber i det mindste omfatter følgende dokumenter og oplysninger:

[...]«

9

Dette direktivs artikel 15 med overskriften »Ændringer i dokumenter og oplysninger« bestemmer i stk. 1:

»Medlemsstaterne træffer de nødvendige foranstaltninger for at sikre, at enhver ændring i de dokumenter og oplysninger, der er omhandlet i artikel 14, indføres i det kompetente register, der er omhandlet i artikel 16, stk. 1, første afsnit, og offentliggøres i overensstemmelse med artikel 16, stk. 3 og 5, normalt inden 21 dage efter modtagelsen af den fuldstændige dokumentation vedrørende ændringerne, herunder i givet fald den lovlighedskontrol, der kræves i henhold til national lovgivning for henlæggelse i aktmappen.«

10

Det nævnte direktivs artikel 16 med overskriften »Offentligt tilgængelige registre« har følgende ordlyd:

»1.   I hver medlemsstat oprettes i et centralt register, et handelsregister eller et selskabsregister (»registret«) en aktmappe for hvert selskab, som er registreret dér.

[...]

3.   Alle dokumenter og oplysninger, der i henhold til artikel 14 skal gøres offentligt tilgængelige, skal henlægges i aktmappen eller indføres i registret; grundlaget for indførelsen i registret skal altid fremgå af aktmappen.

Medlemsstaterne sikrer, at selskaberne samt andre personer og organer, som er forpligtede til at foretage anmeldelse eller medvirke hertil, får adgang til elektronisk at indgive alle dokumenter og oplysninger, der skal gøres offentligt tilgængelige i henhold til artikel 14. Endvidere kan medlemsstaterne pålægge alle eller visse kategorier af selskaber, at indgive alle – eller visse typer af – sådanne dokumenter og oplysninger elektronisk.

Alle de i artikel 14 omhandlede dokumenter og oplysninger, der indgives, skal opbevares i aktmappen eller indføres i registret i elektronisk form, uanset om de indgives i papirform eller elektronisk. Til det formål skal medlemsstaterne sikre, at alle sådanne dokumenter og oplysninger, der indgives i papirform, konverteres af registret til elektronisk form.

[...]

4.   En fuldstændig eller delvis genpart af de i artikel 14 omhandlede dokumenter eller oplysninger skal kunne indhentes efter anmodning. Anmodninger kan indgives til registret i papirform eller elektronisk efter ansøgerens eget valg.

[...]

5.   De i stk. 3 omhandlede dokumenter og oplysninger skal bekendtgøres i den dertil af medlemsstaten bestemte nationale offentlige tidende enten i form af en fuldstændig gengivelse eller gengivelse i uddrag eller i form af en henvisning til, at dokumentet er henlagt i aktmappen eller er indført i registret. Den nationale offentlige tidende, som medlemsstaterne har bestemt dertil, kan være elektronisk.

Medlemsstaterne kan vælge at erstatte offentliggørelse i den nationale offentlige tidende med tilsvarende effektive bekendtgørelsesmåder, der i det mindste indebærer, at der anvendes et system, som sikrer, at de offentliggjorte oplysninger er tilgængelige i kronologisk orden gennem en central elektronisk platform.

6.   Dokumenter og oplysninger kan af selskabet først påberåbes over for tredjemand efter den i stk. 5 nævnte offentliggørelse, medmindre selskabet godtgør, at tredjemand kendte dokumentet eller oplysningen.

[...]

7.   Medlemsstaterne træffer de fornødne foranstaltninger for at hindre uoverensstemmelse mellem indholdet af bekendtgørelsen i henhold til stk. 5 og indholdet af registret eller aktmappen.

I tilfælde af uoverensstemmelse kan den tekst, der er offentliggjort i henhold til stk. 5, imidlertid ikke påberåbes over for tredjemand. Denne kan dog påberåbe sig den offentliggjorte tekst, medmindre selskabet godtgør, at tredjemand havde kendskab til det i aktmappen henlagte eller i registret indførte dokument.

[...]«

11

Artikel 21 i direktiv 2017/1132, der har overskriften »Offentliggørelsens sprog og oversættelse af dokumenter og oplysninger til offentliggørelse«, bestemmer:

»1.   Dokumenter og oplysninger, der skal offentliggøres i henhold til artikel 14, skal være affattet og indgivet på et af de sprog, der er tilladt efter de gældende sprogregler i den medlemsstat, hvor den aktmappe, der er omhandlet i artikel 16, stk. 1, er oprettet.

2.   Ud over den obligatoriske offentliggørelse, jf. artikel 16, tillader medlemsstaterne, at oversættelser af dokumenter og oplysninger, der er omhandlet i artikel 14, offentliggøres i overensstemmelse med artikel 16 på alle [Den Europæiske Unions] officielle sprog.

Medlemsstaterne kan foreskrive, at oversættelsen af sådanne dokumenter og oplysninger skal være bekræftet.

Medlemsstaterne træffer de nødvendige foranstaltninger for at lette tredjemands adgang til oversættelser, der frivilligt er offentliggjort.

3.   Ud over den obligatoriske offentliggørelse, jf. artikel 16 og den offentliggørelse, som nærværende artikels stk. 2 giver adgang til, kan medlemsstaterne tillade, at de pågældende dokumenter og oplysninger offentliggøres i overensstemmelse med artikel 16 på ethvert andet sprog.

[...]

4.   I tilfælde af uoverensstemmelse mellem de dokumenter og oplysninger, der er offentliggjort på registrets officielle sprog, og den oversættelse, der frivilligt er offentliggjort, kan oversættelsen ikke påberåbes over for tredjemand. [...]«

12

Dette direktivs artikel 161 med overskriften »Beskyttelse af personoplysninger« har følgende ordlyd:

»Behandlingen af personoplysninger i forbindelse med dette direktiv er underlagt [Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31)].«

13

Det nævnte direktivs artikel 166 med overskriften »Ophævelse« bestemmer følgende:

»Direktiv [2009/101 og 2012/30] ophæves [...]

Henvisninger til de ophævede direktiver gælder som henvisninger til nærværende direktiv og læses efter sammenligningstabellen i bilag IV.«

14

Bilag II til direktiv 2017/1132 opregner de selskabsformer, der er omhandlet i dette direktivs artikel 7, stk. 1, artikel 13, artikel 29, stk. 1, artikel 36, stk. 1, artikel 67, stk. 1, og artikel 119, stk. 1, litra a), hvoriblandt, for Bulgariens vedkommende, indgår OOD.

15

I overensstemmelse med sammenligningstabellen i bilag IV til direktiv 2017/1132 svarer artikel 2, 2a, 3, 4 og 7a i direktiv 2009/101 for det første til henholdsvis artikel 14, 15, 16, 21 og 161 i direktiv 2017/1132. For det andet svarer artikel 3 i direktiv 2012/30 til artikel 4 i direktiv 2017/1132.

16

Direktiv 2017/1132 er blevet ændret bl.a. ved Europa-Parlamentets og Rådets direktiv (EU) 2019/1151 af 20. juni 2019 om ændring af direktiv (EU) 2017/1132 for så vidt angår brugen af digitale værktøjer og processer inden for selskabsret (EUT 2019, L 186, s. 80), som trådte i kraft den 31. juli 2019, og som i artikel 1 med overskriften »Ændring af direktiv [2017/1132]« bestemmer:

»I direktiv [2017/1132] foretages følgende ændringer:

[...]

6) Artikel 16 affattes således:

»Artikel 16

Offentliggørelse i registret

1.   I hver medlemsstat oprettes i et centralt register, et handelsregister eller et selskabsregister (»registret«) en aktmappe for hvert selskab, som er registreret dér.

[...]

2.   Alle dokumenter og oplysninger, som skal offentliggøres i henhold til artikel 14, opbevares i den i nærværende artikels stk. 1 omhandlede aktmappe eller indføres direkte i registret, og genstanden for indførelsen i registret noteres i aktmappen.

Alle de i artikel 14 omhandlede dokumenter og oplysninger opbevares i aktmappen i registret eller indføres direkte i registret i elektronisk form, uanset på hvilken måde de er indberettet. Medlemsstaterne sikrer, at alle sådanne dokumenter og oplysninger, der indberettes i papirform, så hurtigt som muligt konverteres af registret til elektronisk form.

[...]

3.   Medlemsstaterne sikrer, at offentliggørelse af de i artikel 14 omhandlede dokumenter og oplysninger foretages ved at gøre dem offentligt tilgængelige i registret. Derudover kan medlemsstaterne også kræve, at nogle af eller alle disse dokumenter og oplysninger offentliggøres i en national tidende beregnet til formålet eller på en anden tilsvarende effektiv måde. [...]

4.   Medlemsstaterne træffer de fornødne foranstaltninger til at undgå enhver uoverensstemmelse mellem indholdet af registret og indholdet af aktmappen.

Medlemsstater, der kræver offentliggørelse af dokumenter og oplysninger i en national offentlig tidende eller på en central elektronisk platform, træffer de nødvendige foranstaltninger til at undgå enhver uoverensstemmelse mellem, hvad der offentliggøres i henhold til stk. 3, og hvad der offentliggøres i den offentlige tidende eller på platformen.

I tilfælde af uoverensstemmelser i henhold til denne artikel har de dokumenter og oplysninger, der er stillet til rådighed i registret, forrang.

5.   De i artikel 14 omhandlede dokumenter og oplysninger kan af selskabet først påberåbes over for tredjemand efter offentliggørelse i overensstemmelse med nærværende artikels stk. 3, medmindre selskabet godtgør, at tredjemand kendte til dokumentet eller oplysningen.

[...]

6.   Medlemsstaterne sikrer, at alle dokumenter og oplysninger, der er indgivet som en del af oprettelsen af et selskab, registreringen af en filial eller et selskabs eller en filials indberetning opbevares [i] registrene i et maskinlæsbart og søgbart format eller som strukturerede data.«

7)   Følgende artikel indsættes:

»Artikel 16a

Adgang til offentliggjorte oplysninger

1.   Medlemsstaterne sikrer, at genparter af alle eller dele af de i artikel 14 omhandlede dokumenter og oplysninger kan indhentes hos registret efter anmodning [...]

[...]«

19) Artikel 161 affattes således:

»Artikel 161

Databeskyttelse

Behandling af personoplysninger i henhold til dette direktiv foretages i overensstemmelse med [databeskyttelsesforordningen].««

17

Artikel 2 i direktiv 2019/1151 med overskriften »Gennemførelse« har følgende ordlyd:

»1.   Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest den 1. august 2021. [...]

2.   Uanset denne artikels stk. 1 sætter medlemsstaterne de nødvendige love og administrative bestemmelser i kraft for at efterkomme [...] nærværende direktivs artikel 1, nr. 6), for så vidt angår artikel 16, stk. 6, i direktiv [2017/1132], senest den 1. august 2023.

3.   Uanset stk. 1 har medlemsstater, der oplever særlige vanskeligheder med at gennemføre dette direktiv, ret til en forlængelse af den i stk. 1 fastsatte periode på op til et år. [...]

[...]«

18

Følgende fremgår af 26., 32., 40., 42., 43., 50., 85., 143. og 146. betragtning til databeskyttelsesforordningen:

[...]

[...]

[...]

[...]

[...]

[...]

[...]

19

Databeskyttelsesforordningens artikel 4 med overskriften »Definitioner« bestemmer:

»I denne forordning forstås ved:

[...]

[...]

[...]

[...]«

20

Databeskyttelsesforordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsætter:

»1.   Personoplysninger skal:

[...]

[...]

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

21

Databeskyttelsesforordningens artikel 6 med overskriften »Lovlig behandling« har følgende ordlyd:

»1.   Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

[...]

[...]

[...]

3.   Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:

Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i denne forordning, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må videregives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.

[...]«

22

Databeskyttelsesforordningens artikel 17 med overskriften »Ret til sletning (»retten til at blive glemt«)« fastsætter følgende:

»1.   Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

[...]

3.   Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:

[...]

[...]«

23

Databeskyttelsesforordningens artikel 21, stk. 1, har følgende ordlyd:

»Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 6, stk. 1, litra e) eller f), herunder profilering baseret på disse bestemmelser. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.«

24

Databeskyttelsesforordningens artikel 58 bestemmer:

»1.   Hver tilsynsmyndighed har alle af følgende undersøgelsesbeføjelser:

[...]

2.   Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

[...]

3.   Hver tilsynsmyndighed har alle af følgende godkendelses- og rådgivningsbeføjelser:

[...]

[...]

4.   Udøvelse af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, der er fastsat i EU-retten eller medlemsstaternes nationale ret i overensstemmelse med [Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«)].

5.   Hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.

6.   Hver medlemsstat kan ved lov fastsætte, at dens tilsynsmyndighed har yderligere beføjelser end dem, der er omhandlet i stk. 1, 2 og 3. Udøvelsen af disse beføjelser må ikke hindre en effektiv anvendelse af kapitel VII.«

25

Databeskyttelsesforordningens artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« har følgende ordlyd:

»1.   Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

2.   Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. En databehandler hæfter kun for den skade, der er forvoldt af behandling, hvis pågældende ikke har opfyldt forpligtelser i denne forordning, der er rettet specifikt mod databehandlere, eller hvis pågældende har undladt at følge eller handlet i strid med den dataansvarliges lovlige instrukser.

3.   En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

[...]«

26

Databeskyttelsesforordningens artikel 94 fastsætter:

»1.   Direktiv [95/46] ophæves med virkning fra den 25. maj 2018.

2.   Henvisninger til det ophævede direktiv gælder som henvisninger til denne forordning. [...]«

27

Artikel 2 i Zakon za targovskia registar i registara na juridicheskite litsa s nestopanska tsel (lov om handelsregistret og registret over juridiske personer, som ikke arbejder med gevinst for øje) (DV nr. 34 af 25.4.2006) i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »registerloven«), bestemmer:

»(1)   Handelsregistret og registret over juridiske personer, som ikke arbejder med gevinst for øje, er en fælles elektronisk database indeholdende de omstændigheder, der er indført heri i medfør af en lov, og de dokumenter, som det er lovpligtigt at gøre tilgængelige for offentligheden, og som vedrører udenlandske erhvervsdrivende og disses filialer, juridiske personer, som ikke arbejder med gevinst for øje, samt disses filialer.

(2)   De i stk. 1 omhandlede omstændigheder og dokumenter gøres tilgængelige for offentligheden uden den type personoplysninger, der er omhandlet i [databeskyttelsesforordningens] artikel 4, nr. 1), med undtagelse af oplysninger, som det er lovpligtigt at gøre tilgængelige for offentligheden.«

28

Denne lovs artikel 3 fastsætter:

»Handelsregistret og registret over juridiske personer, som ikke arbejder med gevinst for øje, føres af [agenturet], der er tilknyttet Ministar na pravosadieto [(justitsministeren, Bulgarien)].«

29

Den nævnte lovs artikel 6, stk. 1, har følgende ordlyd:

»Enhver erhvervsdrivende og enhver juridisk person, som ikke arbejder med gevinst for øje, har pligt til at anmode om optagelse i henholdsvis handelsregistret og registret over juridiske personer, som ikke arbejder med gevinst for øje, idet de angiver de omstændigheder, der kræves registreret, og indgiver de dokumenter, der skal gøres tilgængelige for offentligheden.«

30

Samme lovs artikel 11 har følgende ordlyd:

»(1)   Handelsregistret og registret over juridiske personer, som ikke arbejder med gevinst for øje, er offentlige. Enhver har fri og gratis adgang til registerdatabasen.

(2)   [Agenturet] sikrer registreret aktindsigt i aktmappen om de erhvervsdrivende eller juridiske personer, som ikke arbejder med gevinst for øje.«

31

Registerlovens artikel 13, stk. 1, 2, 6 og 9, fastsætter:

»(1)   Registrering, slettelse og tilgængeliggørelse for offentligheden sker på grundlag af en anmodningsformular.

(2)   Anmodningen skal indeholde:

1. den anmodendes kontaktoplysninger

[…]

3. den omstændighed, der ønskes registreret, den registrering, der ønskes slettet, eller det dokument, der skal gøres tilgængeligt for offentligheden

[…]

(6)   [A]nmodningen ledsages af de dokumenter eller i givet fald den retsakt, der i overensstemmelse med lovkravene skal gøres tilgængelige for offentligheden. Dokumenterne indgives i form af en original eller en kopi, der er bekræftet af den anmodende eller af en notar. Den anmodende indgiver ligeledes bekræftede genparter af de retsakter, der skal gøres tilgængelige for offentligheden i handelsregistret, hvor andre personoplysninger end de lovpligtige er blevet skjult.

[...]

(9)   Når anmodningen eller de vedlagte dokumenter indeholder personoplysninger, som ikke er lovpligtige, anses de personer, der har indgivet dem, for at have givet samtykke til [agenturets] behandling og tilgængeliggørelse for offentligheden af dem.

[...]«

32

Artikel 101, stk. 3, i Targovski zakon (handelsloven) (DV nr. 48 af 18.6.1991) i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »handelsloven«), bestemmer, at selskabsaftalen skal indeholde »navn, selskabsnavn og unikt identifikationsnummer for hver selskabsdeltager«.

33

Handelslovens artikel 119 har følgende ordlyd:

»(1)   Optagelse af selskabet i handelsregistret kræver:

1. fremlæggelse af selskabsaftalen, som gøres tilgængelig for offentligheden

[…]

(2)   De i punkt 1 nævnte oplysninger [...] optages i registret […].

[...]

(4)   For at ændre eller supplere selskabsaftalen i handelsregistret skal der fremlægges en kopi af den pågældende aftale med samtlige ændringer og tilføjelser, der er bekræftet af selskabets repræsentant, med henblik på tilgængeliggørelse for offentligheden.«

34

Artikel 6 i Naredba Naredba no 1 za vodene, sahranyavane i dostap do targovskia register i do registara na yuridicheskite litsa s nestopanska tsel (bekendtgørelse nr. 1 om føring, opbevaring og adgang til handelsregistret og registret over juridiske personer, som ikke arbejder med gevinst for øje) af 14. februar 2007 (DV nr. 18 af 28.2.2007), der er blevet vedtaget af Ministar na pravosadieto (justitsministeren), bestemmer i den affattelse, der finder anvendelse på tvisten i hovedsagen, følgende:

»Optagelse og slettelse i handelsregistret og i registret over juridiske personer, som ikke arbejder med gevinst for øje, sker på grundlag af en anmodningsformular i overensstemmelse med bilagene [indeholdende særlige formularer]. Dokumenter gøres tilgængelige for offentligheden i handelsregistret og i registret over juridiske personer, som ikke arbejder med gevinst for øje, på grundlag af en anmodningsformular i overensstemmelse med bilagene [indeholdende særlige formularer].«

35

OL er selskabsdeltager i »Praven Shtit Konsulting« OOD, et bulgarsk selskab med begrænset ansvar, som blev optaget i handelsregistret den 14. januar 2021 efter fremlæggelsen af en selskabsaftale dateret den 30. december 2020 og underskrevet af deltagerne i dette selskab (herefter »den omhandlede selskabsaftale«).

36

Denne aftale, som indeholdt OL’s efternavn, fornavn, identifikationsnummer, nummeret på hendes identitetskort, dette korts udstedelsesdato og ‑sted og hendes bopælsadresse samt hendes underskrift, blev gjort tilgængelig for offentligheden af agenturet, således som den var blevet fremlagt.

37

Den 8. juli 2021 anmodede OL agenturet om at få slettet sine personoplysninger fra den nævnte selskabsaftale, idet hun præciserede, at hun, såfremt behandlingen af disse oplysninger beroede på hendes samtykke, trak dette tilbage.

38

Da OL ikke modtog noget svar fra agenturet, anlagde hun sag ved Administrativen sad Dobrich (forvaltningsdomstolen i Dobrich, Bulgarien), som ved en dom af 8. december 2021 ophævede agenturets stiltiende afslag på at slette de nævnte oplysninger og hjemviste sagen til agenturet, således at det kunne træffe en ny afgørelse.

39

Med henblik på opfyldelse af denne dom og en tilsvarende dom, der vedrørte den anden selskabsdeltager, som havde truffet samme forholdsregel, udbad agenturet sig ved en skrivelse af 26. januar 2022 en bekræftet kopi af den omhandlede selskabsaftale, der skjulte selskabsdeltagernes personoplysninger, bortset fra dem, der var lovpligtige, for at det kunne imødekomme anmodningen om sletning af de personoplysninger, som OL havde fremlagt.

40

Den 31. januar 2022 anlagde OL på ny sag ved Administrativen sad Dobrich (forvaltningsdomstolen i Dobrich) med påstand om ophævelse af denne skrivelse og om, at agenturet blev pålagt at betale erstatning for den immaterielle skade, som den nævnte skrivelse, der tilsidesatte hendes rettigheder i henhold til databeskyttelsesforordningen, havde påført hende.

41

Den 1. februar 2022 slettede agenturet, endnu inden det var blevet bekendt med denne sag, af egen drift OL’s identifikationsnummer, oplysningerne om identitetskortet og hendes bopælsadresse, men ikke hendes efternavn, fornavn og underskrift.

42

Ved en dom af 5. maj 2022 ophævede Administrativen sad Dobrich (forvaltningsdomstolen i Dobrich) skrivelsen af 26. januar 2022 og pålagde i medfør af databeskyttelsesforordningens artikel 82 agenturet at betale en erstatning på 500 bulgarske leva (BGN) (ca. 255 EUR) med tillæg af renter til OL for den immaterielle skade. Ifølge denne dom bestod denne skade for det første i OL’s psykiske og følelsesmæssige negative oplevelser, nemlig frygt og bekymring over mulige misbrug samt afmagt og skuffelse, fordi det havde været umuligt at beskytte hendes personoplysninger. For det andet fulgte den nævnte skade af denne skrivelse, som havde medført en tilsidesættelse af retten til sletning, der er fastsat i databeskyttelsesforordningens artikel 17, stk. 1, og en ulovlig behandling af hendes personoplysninger, der var indeholdt i den omhandlede selskabsaftale, som var blevet gjort tilgængelig for offentligheden.

43

Den forelæggende ret, Varhoven administrativen sad (øverste domstol i forvaltningsretlige sager, Bulgarien), skal behandle den kassationsappel, som agenturet har iværksat til prøvelse af den nævnte dom.

44

Ifølge denne ret har agenturet gjort gældende, at det ikke alene er dataansvarligt, men også modtager af de personoplysninger, der er blevet sendt i forbindelse med registreringsproceduren for »Praven Shtit Konsulting«. Desuden modtog agenturet ikke nogen kopi af den omhandlede selskabsaftale, der skjulte de personoplysninger om OL, som ikke skulle gøres tilgængelige for offentligheden, selv om agenturet havde anmodet herom forud for optagelsen af dette selskab i handelsregistret. Den omstændighed, at der ikke forelå en sådan kopi, kan imidlertid ikke i sig selv være til hinder for optagelsen af et erhvervsdrivende selskab i dette register. Dette følger af udtalelse nr. 01-116 (20)/01.02.2021 fra den nationale tilsynsmyndighed, Komisia za zashtita na lichnite danni (kommissionen til beskyttelse af personoplysninger, Bulgarien), afgivet i henhold til databeskyttelsesforordningens artikel 58, stk. 3, litra b), som agenturet har henvist til. Den nævnte ret har bemærket, at agenturet – som den dataansvarlige – ifølge OL ikke kan pålægge andre personer sine forpligtelser til sletning af personoplysninger, eftersom denne udtalelse ifølge national retspraksis ikke er i overensstemmelse med bestemmelserne i databeskyttelsesforordningen.

45

Den forelæggende ret har tilføjet, at det, henset til denne overvejende nationale retspraksis, synes nødvendigt at præcisere de krav, der følger af denne forordning. Denne ret er navnlig i tvivl om den afvejning, der skal foretages mellem på den ene side retten til beskyttelse af personoplysninger og på den anden side den lovgivning, der sikrer offentliggørelse og adgang til visse selskabsdokumenter, og den har bl.a. præciseret, at dom af 9. marts 2017, Manni (C-398/15, EU:C:2017:197), ikke gør det muligt at løse de fortolkningsvanskeligheder, som den i hovedsagen omhandlede situation rejser.

46

På denne baggrund har Varhoven administrativen sad (øverste domstol i forvaltningsretlige sager) besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:

47

Indledningsvis bemærkes, at de forelagte spørgsmål vedrører fortolkningen af såvel databeskyttelsesforordningen som af direktiv 2009/101, der er blevet kodificeret og erstattet af direktiv 2017/1132, som finder tidsmæssig anvendelse på de faktiske omstændigheder i hovedsagen. Anmodningen om præjudiciel afgørelse skal derfor fortolkes således, at den vedrører fortolkningen af direktiv 2017/1132.

48

Som generaladvokaten har anført i punkt 15 i forslaget til afgørelse, tilkommer det desuden den forelæggende ret at efterprøve, om disse faktiske omstændigheder er omfattet af det tidsmæssige anvendelsesområde for direktiv 2017/1132 eller direktiv 2017/1132, som ændret ved direktiv 2019/1151, idet en del af de nævnte omstændigheder ligger efter den 1. august 2021, hvor fristen for gennemførelse af direktiv 2019/1151 udløb, jf. sidstnævnte direktivs artikel 2, stk. 1.

49

Når dette er sagt, skal det bemærkes, at de ændringer af ordlyden af artikel 16 og 161 i direktiv 2017/1132 og tilføjelsen af en artikel 16a til dette direktiv, der følger af direktiv 2019/1151, er uden betydning for den analyse, som Domstolen skal foretage i den foreliggende sag, således at de svar, der gives i denne dom, under alle omstændigheder er relevante.

50

Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 21, stk. 2, i direktiv 2017/1132 skal fortolkes således, at den pålægger en medlemsstat en forpligtelse til at tillade offentliggørelse i handelsregistret af en selskabsaftale, som er underlagt den obligatoriske offentliggørelse, der er fastsat i dette direktiv, og som indeholder andre personoplysninger end det krævede minimum af personoplysninger, hvis offentliggørelse ikke er påkrævet i henhold til denne medlemsstats lovgivning.

51

Den forelæggende ret er navnlig i tvivl om rækkevidden af den frivillige offentliggørelse, der er nævnt i denne bestemmelse, og ønsker oplyst, om den nævnte bestemmelse pålægger medlemsstaterne at tillade offentliggørelse af oplysninger i selskabsdokumenter, såsom personoplysninger, som de ikke har krævet i henhold til den obligatoriske offentliggørelse, der er fastsat i det nævnte direktiv.

52

Ifølge ordlyden af artikel 21, stk. 2, første afsnit, i direktiv 2017/1132 »[tillader medlemsstaterne] [u]d over den obligatoriske offentliggørelse, jf. [dette direktivs] artikel 16, [...], at oversættelser af dokumenter og oplysninger, der er omhandlet i [det nævnte direktivs] artikel 14, offentliggøres i overensstemmelse med [dette direktivs] artikel 16 på alle Unionens officielle sprog«. Artikel 21, stk. 2, andet afsnit, giver medlemsstaterne mulighed for at foreskrive, at »oversættelsen af sådanne dokumenter og oplysninger« skal være bekræftet. Endelig vedrører artikel 21, stk. 2, tredje afsnit, de nødvendige foranstaltninger for at lette tredjemands adgang til »oversættelser«, der frivilligt er offentliggjort.

53

Artikel 14 i direktiv 2017/1132 opregner for sit vedkommende de dokumenter og oplysninger om selskabet, som i det mindste skal offentliggøres af de omhandlede selskaber. Disse dokumenter og oplysninger skal i henhold til dette direktivs artikel 16, stk. 3-5, henlægges i aktmappen eller indføres i registret, være tilgængelige i form af en fuldstændig eller delvis genpart efter anmodning og skal offentliggøres ved offentliggørelse i form af en fuldstændig gengivelse eller gengivelse i uddrag eller i form af en henvisning i den nationale offentlige tidende eller ved tilsvarende effektive bekendtgørelsesmåder.

54

Henset til bl.a. den gentagne anvendelse af udtrykket »oversættelser« i artikel 21, stk. 2, i direktiv 2017/1132 fremgår det af denne bestemmelses ordlyd, at den vedrører frivillig offentliggørelse af oversættelser af de dokumenter og oplysninger, der er omhandlet i dette direktivs artikel 14, på et af Unionens officielle sprog og dermed kun det sprog, hvorpå disse dokumenter og oplysninger er offentliggjort. Den nævnte bestemmelse henviser derimod ikke til indholdet af de nævnte dokumenter og oplysninger.

55

Denne ordlyd tyder følgelig på, at denne artikel 21, stk. 2, ikke kan fortolkes således, at den pålægger medlemsstaterne en forpligtelse til at offentliggøre personoplysninger, hvis de hverken kræves offentliggjort i henhold til andre bestemmelser i EU-retten eller i henhold til den pågældende medlemsstats lovgivning, men som er indeholdt i et dokument, der er omfattet af den obligatoriske offentliggørelse, der er fastsat i dette direktiv.

56

Når betydningen af en bestemmelse i EU-retten er utvetydig i henhold til selve bestemmelsens ordlyd, kan Domstolen ikke fravige denne fortolkning (dom af 25.1.2022, VYSOČINA WIND,C-181/20, EU:C:2022:51, præmis 39).

57

For så vidt angår den sammenhæng, hvori artikel 21, stk. 2, i direktiv 2017/1132 indgår, underbygger overskriften til denne artikel, som henviser til »[o]ffentliggørelsens sprog og oversættelse af dokumenter og oplysninger til offentliggørelse«, ligesom de øvrige stykker i denne artikel den fortolkning, der fremgår af denne doms præmis 55.

58

Artikel 21, stk. 1, i direktiv 2017/1132 bestemmer nemlig, at »dokumenter og oplysninger, der skal offentliggøres i henhold til [dette direktivs] artikel 14, skal være affattet og indgivet på et af de sprog, der er tilladt« efter de gældende nationale sprogregler. Artikel 21, stk. 3, bestemmer, at ud over den obligatoriske offentliggørelse, jf. det nævnte direktivs artikel 16, og den frivillige offentliggørelse, der er fastsat i den nævnte artikel 21, stk. 2, kan medlemsstaterne tillade, at de pågældende dokumenter og oplysninger offentliggøres »på ethvert andet sprog«. Hvad angår artikel 21, stk. 4, henviser denne til den »oversættelse, der frivilligt er offentliggjort«.

59

Den i denne doms præmis 55 nævnte fortolkning bekræftes endelig af 12. betragtning til dette direktiv, hvorefter adgangen til oplysninger om selskaber på tværs af grænserne bør lettes ved ud over den lovpligtige offentliggørelse på et af de anerkendte sprog i selskabets hjemland at tillade frivillig registrering af dokumenter og oplysninger på andre sprog.

60

Henset til det ovenstående skal det første spørgsmål besvares med, at artikel 21, stk. 2, i direktiv 2017/1132 skal fortolkes således, at den ikke pålægger en medlemsstat en forpligtelse til at tillade offentliggørelse i handelsregistret af en selskabsaftale, som er underlagt den obligatoriske offentliggørelse, der er fastsat i dette direktiv, og som indeholder andre personoplysninger end det krævede minimum af personoplysninger, hvis offentliggørelse ikke er påkrævet i henhold til denne medlemsstats lovgivning.

61

Henset til svaret på det første spørgsmål er det ufornødent at besvare det andet og det tredje spørgsmål, som kun er blevet stillet for det tilfælde, at det første spørgsmål besvares bekræftende.

62

Med det femte spørgsmål, som skal behandles før det fjerde spørgsmål, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningen, navnlig dennes artikel 4, nr. 7) og 9), skal fortolkes således, at den myndighed, der har ansvaret for at føre handelsregistret i en medlemsstat, og som i dette register offentliggør personoplysninger, der fremgår af en selskabsaftale, som er underlagt den obligatoriske offentliggørelse, der er fastsat i direktiv 2017/1132, som er blevet sendt til myndigheden i forbindelse med en anmodning om optagelse af det pågældende selskab i det nævnte register, både er »modtager« af disse oplysninger og »dataansvarlig« for de nævnte oplysninger som omhandlet i denne bestemmelse.

63

Det skal indledningsvis bemærkes, at i overensstemmelse med artikel 161 i direktiv 2017/1132 er behandlingen af personoplysninger i forbindelse med dette direktiv underlagt direktiv 95/46 og følgelig databeskyttelsesforordningen, hvis artikel 94, stk. 2, præciserer, at henvisninger til dette sidstnævnte direktiv gælder som henvisninger til denne forordning.

64

I denne henseende skal det indledningsvis bemærkes, at medlemsstaterne i henhold til artikel 14, litra a), b) og d), i direktiv 2017/1132 skal træffe de nødvendige foranstaltninger for, at den obligatoriske offentliggørelse vedrørende selskaber i det mindste omfatter det pågældende selskabs stiftelsesoverenskomst, dennes ændringer, og udnævnelse, udtræden samt identitet for de personer, der i deres egenskab af lovbestemt selskabsorgan eller som medlemmer af et sådant organ er beføjede til at forpligte dette selskab over for tredjemand og til at repræsentere det ved rettergang eller deltager i ledelsen af, i tilsynet med eller i kontrollen med det nævnte selskab. I henhold til dette direktivs artikel 4, litra i), omfatter de obligatoriske oplysninger, som skal fremgå af stiftelsesoverenskomsten, som offentliggøres således, endvidere identiteten af de fysiske eller juridiske personer eller de selskaber, af hvem eller i hvis navn stiftelsesoverenskomsten er underskrevet.

65

I henhold til det nævnte direktivs artikel 16, stk. 3-5, skal disse dokumenter og oplysninger, som anført i denne doms præmis 53, henlægges i aktmappen eller indføres i registret, være tilgængelige i form af en fuldstændig eller delvis genpart efter anmodning og skal bekendtgøres ved offentliggørelse i form af en fuldstændig gengivelse eller gengivelse i uddrag eller i form af en henvisning i den nationale offentlige tidende eller ved tilsvarende effektive bekendtgørelsesmåder.

66

Som generaladvokaten har anført i punkt 26 i forslaget til afgørelse, tilkommer det således medlemsstaterne bl.a. at fastsætte, hvilke kategorier af oplysninger vedrørende identiteten af de personer, der er omhandlet i artikel 4, litra i), og artikel 14, litra d), i direktiv 2017/1132, navnlig hvilke typer personoplysninger der skal være omfattet af obligatorisk offentlighed, under overholdelse af EU-retten.

67

Oplysningerne om identiteten af disse personer udgør i deres egenskab af oplysninger vedrørende identificerede eller identificerbare fysiske personer »personoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1) (jf. i denne retning dom af 9.3.2017, Manni,C-398/15, EU:C:2017:197, præmis 34).

68

Det samme gælder for supplerende oplysninger om identiteten af de nævnte personer eller andre kategorier af personer, som medlemsstaterne beslutter at undergive obligatorisk offentliggørelse, eller som – ligesom i det foreliggende tilfælde – findes i de dokumenter, der er undergivet en sådan offentliggørelse, uden at tilrådighedsstillelsen af disse oplysninger er påkrævet i henhold til direktiv 2017/1132 eller den nationale lovgivning, der gennemfører dette direktiv.

69

Hvad dernæst angår begrebet »modtager« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 9), henviser dette til »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej«, idet denne bestemmelse præciserer, at offentlige myndigheder, der får meddelelse om disse oplysninger som led i en isoleret forespørgsel i overensstemmelse med EU-retten eller lovgivningen i en medlemsstat, er udelukket fra denne definition.

70

Ved i forbindelse med et selskabs anmodning om optagelse i handelsregistret i en medlemsstat at modtage meddelelse om de i artikel 14 i direktiv 2017/1132 omhandlede dokumenter, der er undergivet obligatorisk offentliggørelse, og som indeholder personoplysninger, uanset om de kræves i henhold til dette direktiv eller national lovgivning, er den myndighed, der har ansvaret for at føre dette register, »modtager« af disse oplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 9).

71

Endelig bemærkes, at i henhold til databeskyttelsesforordningens artikel 4, nr. 7), omfatter begrebet »dataansvarlig« fysiske eller juridiske personer, offentlige myndigheder, institutioner eller andre organer, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Denne bestemmelse fastsætter ligeledes, at hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret.

72

Det skal i denne henseende bemærkes, at formålet med den nævnte bestemmelse ifølge Domstolens praksis er – via en bred definition af begrebet »dataansvarlig« – at sikre en effektiv og fuldstændig beskyttelse af de registrerede (dom af 11.1.2024, État belge (Databehandling i en statstidende), C-231/22, EU:C:2024:7, præmis 28 og den deri nævnte retspraksis).

73

Henset til ordlyden af databeskyttelsesforordningens artikel 4, nr. 7), sammenholdt med denne målsætning, fremgår det, at det med henblik på at afgøre, om en person eller en enhed skal kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, skal undersøges, om denne person eller denne enhed alene eller sammen med andre fastlægger formålene med og hjælpemidlerne til behandlingen, eller om disse formål og hjælpemidler er fastlagt i EU-retten eller national ret. Såfremt en sådan fastlæggelse sker i national ret, skal det herefter undersøges, om denne nationale ret udpeger den dataansvarlige eller fastsætter de specifikke kriterier for udpegelsen af denne (jf. i denne retning dom af 11.1.2024, État belge (Databehandling i en statstidende), C-231/22, EU:C:2024:7, præmis 29).

74

Det skal ligeledes præciseres, at henset til den brede definition af begrebet »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), kan fastlæggelsen af formålene med og hjælpemidlerne til behandlingen, og i givet fald udpegelsen af denne ansvarlige i henhold til national ret, ikke blot være eksplicit, men også implicit. I sidstnævnte tilfælde kræves det ikke desto mindre, at denne fastlæggelse følger tilstrækkeligt klart af den rolle, den opgave og de beføjelser, som er tillagt den pågældende person eller enhed (dom af 11.1.2024, État belge (Databehandling i en statstidende), C-231/22, EU:C:2024:7, præmis 30).

75

Desuden foretager den myndighed, der har ansvaret for at føre handelsregistret i en medlemsstat – ved at indføre og opbevare personoplysninger, der er modtaget i forbindelse med en anmodning om optagelse af et selskab i dette register, ved i givet fald efter anmodning at videregive disse til tredjemand og ved at offentliggøre dem i den nationale offentlige tidende eller ved tilsvarende effektive bekendtgørelsesmåder – en behandling af personoplysninger, som den er »dataansvarlig« for som omhandlet i databeskyttelsesforordningens artikel 4, stk. 2 og 7 (jf. i denne retning dom af 9.3.2017, Manni,C-398/15, EU:C:2017:197, præmis 35).

76

Denne behandling af personoplysninger er nemlig forskellig fra og følger efter den meddelelse af personoplysninger, som ansøgeren om denne optagelse har foretaget, og som denne myndighed har modtaget. Desuden foretager sidstnævnte alene de nævnte behandlinger i overensstemmelse med de formål og procedurer, der er fastsat i direktiv 2017/1132 og i den pågældende medlemsstats lovgivning til gennemførelse af dette direktiv.

77

I denne forbindelse skal det præciseres, at det fremgår af syvende og ottende betragtning til det nævnte direktiv, at den offentliggørelse, som direktivet foreskriver, tilsigter bl.a. at beskytte tredjemands interesser i forhold til aktieselskaber og selskaber med begrænset ansvar, eftersom disse kun giver tredjemand selskabsformuen at holde sig til som sikkerhed for fyldestgørelse. I denne henseende skal denne offentlighed gøre det muligt for tredjemand at gøre sig bekendt med de væsentlige dokumenter vedrørende det pågældende selskab samt at få visse oplysninger om dette, navnlig om identiteten af de personer, som har ret til at forpligte selskabet.

78

Formålet med dette direktiv er desuden at skabe retssikkerhed i forholdet mellem selskaber og tredjemand ved en forøgelse af samhandelen mellem medlemsstaterne som følge af det indre markeds oprettelse. På denne baggrund er det vigtigt, at enhver, der ønsker at indgå og opretholde forretningsforbindelser med selskaber, der har sæde i andre medlemsstater, uhindret kan skaffe sig de væsentligste oplysninger om handelsselskabernes sammensætning og om de beføjelser, der tilkommer de på selskabernes vegne optrædende personer, hvilket kræver, at alle relevante oplysninger udtrykkeligt fremgår af registret (jf. i denne retning dom af 9.3.2017, Manni,C-398/15, EU:C:2017:197, præmis 50).

79

Som generaladvokaten har anført i punkt 39 i forslaget til afgørelse, har den, der anmoder om optagelse af et selskab i handelsregistret i en medlemsstat – ved at sende de dokumenter og oplysninger, der er undergivet den obligatoriske offentliggørelse, der er fastsat i direktiv 2017/1132, til den myndighed, der har ansvaret for at føre dette register, og ved således at behandle de personoplysninger, som disse dokumenter indeholder – ingen indflydelse på fastlæggelsen af formålene med og den senere behandling, der foretages af denne myndighed. Denne forfølger desuden andre formål, som er særegne for den, nemlig at opfylde de nødvendige formaliteter for denne optagelse.

80

I det foreliggende tilfælde fremgår det – således som generaladvokaten har anført i punkt 31 og 32 i forslaget til afgørelse – af anmodningen om præjudiciel afgørelse, at tilgængeliggørelsen af OL’s personoplysninger for offentligheden skete under udøvelse af de beføjelser, der er tillagt agenturet som den myndighed, der har ansvaret for at føre handelsregistret, idet formålene med og hjælpemidlerne til behandlingen af disse oplysninger er fastlagt såvel i EU-retten som i den i hovedsagen omhandlede nationale lovgivning, navnlig i registerlovens artikel 13, stk. 9. Den omstændighed, at en bekræftet kopi af den omhandlede selskabsaftale, der skjuler de personoplysninger, som ikke er påkrævet i henhold til denne lovgivning, i strid med de processuelle regler, der er fastsat i den nævnte lovgivning, ikke er blevet sendt, har således ingen betydning for kvalificeringen af agenturet som »ansvarligt for denne behandling«.

81

Denne kvalificering drages heller ikke i tvivl af den omstændighed, at agenturet i henhold til samme lovgivning ikke kontrollerer de personoplysninger, der er indeholdt i de elektroniske billeder eller originalerne af de dokumenter, der er sendt til det med henblik på optagelse af et selskab, inden de gøres tilgængelige online. I denne henseende har Domstolen allerede udtalt, at det ville være i strid med formålet med databeskyttelsesforordningens artikel 4, nr. 7), således som angivet i denne doms præmis 72, at udelukke en medlemsstats statstidende fra begrebet »dataansvarlig« med den begrundelse, at denne enhed ikke har kontrol over de personoplysninger, der er indeholdt i dens offentliggørelser (dom af 11.1.2024, État belge (Databehandling i en statstidende), C-231/22, EU:C:2024:7, præmis 38).

82

Under disse omstændigheder fremgår det, at agenturet i en situation som den i hovedsagen omhandlede er ansvarligt for behandlingen af OL’s personoplysninger, der består i tilrådighedsstillelse online for offentligheden af disse oplysninger for offentligheden, selv om en kopi af den omhandlede selskabsaftale, der skjulte de personoplysninger, som ikke krævedes i henhold til den i hovedsagen omhandlede nationale lovgivning, burde have været sendt til agenturet i medfør af denne lovgivning, hvilket det tilkommer den forelæggende ret at efterprøve. Agenturet er derfor i henhold til databeskyttelsesforordningens artikel 5, stk. 2, ligeledes ansvarligt for at overholde artikel 5, stk. 1.

83

Henset til det ovenstående skal det femte spørgsmål besvares med, at databeskyttelsesforordningen, navnlig dennes artikel 4, nr. 7) og 9), skal fortolkes således, at den myndighed, der har ansvaret for at føre handelsregistret i en medlemsstat, og som i dette register offentliggør personoplysninger, der fremgår af en selskabsaftale, som er underlagt den obligatoriske offentliggørelse, der er fastsat i direktiv 2017/1132, som er blevet sendt til myndigheden i forbindelse med en anmodning om optagelse af det pågældende selskab i det nævnte register, er såvel »modtager« af disse oplysninger som – bl.a. for så vidt som den gør dem tilgængelige for offentligheden – »dataansvarlig« for de nævnte oplysninger som omhandlet i denne bestemmelse, selv når denne aftale indeholder personoplysninger, der ikke er påkrævet i henhold til dette direktiv eller denne medlemsstats lovgivning.

84

Den bulgarske regering har gjort gældende, at det fjerde spørgsmål ikke kan antages til realitetsbehandling, da det rejser et problem af hypotetisk karakter. Ifølge denne regering vedrører dette spørgsmål nemlig foreneligheden med artikel 16 i direktiv 2017/1132 af en national lovgivning om processuelle regler for udøvelsen af den ret, der er omhandlet i databeskyttelsesforordningens artikel 17, som endnu ikke er blevet vedtaget.

85

I henhold til fast retspraksis indfører proceduren for præjudicielle forelæggelser i artikel 267 TEUF et snævert samarbejde mellem de nationale retter og Domstolen, baseret på en indbyrdes fordeling af opgaverne, og udgør et instrument, ved hjælp af hvilket Domstolen forsyner de nationale retter med de fortolkningselementer med hensyn til EU-retten, som er nødvendige for, at de kan afgøre de for dem verserende retssager. Inden for rammerne af dette samarbejde tilkommer det udelukkende de nationale retter, for hvilke tvisten er indbragt, og som har ansvaret for den retsafgørelse, der skal træffes, på grundlag af de konkrete omstændigheder i hver sag at vurdere såvel, om en præjudiciel afgørelse er nødvendig for, at de kan afsige dom, som relevansen af de spørgsmål, de forelægger Domstolen. Når de stillede spørgsmål vedrører fortolkningen af EU-retten, er Domstolen derfor principielt forpligtet til at træffe afgørelse (dom af 23.11.2021, IS (Forelæggelsesafgørelsens ulovlighed), C-564/19, EU:C:2021:949, præmis 59 og 60 og den deri nævnte retspraksis).

86

Heraf følger, at der foreligger en formodning for, at spørgsmål om EU-retten er relevante. Domstolen kan kun afvise at træffe afgørelse om et præjudicielt spørgsmål fremsat af en national ret, hvis det klart fremgår, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt problemet er af hypotetisk karakter, eller såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan give en hensigtsmæssig besvarelse af de forelagte spørgsmål (dom af 24.11.2020, Openbaar Ministerie (Dokumentfalsk), C-510/19, EU:C:2020:953, præmis 26 og den deri nævnte retspraksis).

87

I det foreliggende tilfælde fremgår det af anmodningen om præjudiciel afgørelse, at den forelæggende ret i sidste ende skal tage stilling til lovligheden af agenturets afslag på den i hovedsagen omhandlede anmodning om sletning af personoplysninger med den begrundelse, at en kopi af den omhandlede selskabsaftale, der skjulte de personoplysninger, som ikke er påkrævet i henhold til den bulgarske lovgivning, i strid med de processuelle regler, der er fastsat i denne lovgivning, ikke var blevet indgivet til agenturet. Det følger desuden af denne anmodning, at et sådant afslag er i overensstemmelse med agenturets praksis. Endelig har den forelæggende ret præciseret, at Domstolens besvarelse af det fjerde spørgsmål er nødvendig for løsningen af tvisten i hovedsagen i en sammenhæng, hvor den nationale retspraksis ikke er ensartet.

88

Det følger heraf, at det fjerde spørgsmål i modsætning til, hvad den bulgarske regering har gjort gældende, kan antages til realitetsbehandling.

89

Henset til oplysningerne i anmodningen om præjudiciel afgørelse, således som de er anført i denne doms præmis 87, skal det lægges til grund, at den forelæggende ret med det fjerde spørgsmål nærmere bestemt ønsker oplyst, om direktiv 2017/1132, navnlig dettes artikel 16, og databeskyttelsesforordningens artikel 17 skal fortolkes således, at de er til hinder for en lovgivning eller en praksis i en medlemsstat, som fører til, at den myndighed, der har ansvaret for at føre handelsregistret i denne medlemsstat, afslår enhver anmodning om sletning af personoplysninger, som ikke er påkrævet i henhold til dette direktiv eller den nævnte medlemsstats lovgivning, som fremgår af en selskabsaftale, der er offentliggjort i dette register, når der ikke er blevet indgivet en kopi af denne aftale, hvor disse oplysninger er skjult, til denne myndighed i strid med de processuelle regler, der er fastsat i denne lovgivning.

90

I henhold til databeskyttelsesforordningens artikel 17, stk. 1, har den registrerede ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af de i denne bestemmelse nævnte forhold gør sig gældende.

91

Dette er ifølge artikel 17, stk. 1, litra c), tilfældet, når den registrerede gør indsigelse mod behandlingen i medfør af denne forordnings artikel 21, stk. 1, og når der ikke foreligger »legitime grunde til behandlingen, som går forud for indsigelsen«, eller, i overensstemmelse med artikel 17, stk. 1, litra d), når de pågældende oplysninger »er blevet behandlet ulovligt«.

92

Det følger ligeledes af databeskyttelsesforordningens artikel 17, stk. 3, litra b), at artikel 17, stk. 1, ikke finder anvendelse, i det omfang denne behandling er nødvendig for at overholde en retlig forpligtelse, der kræver behandling i henhold til EU-retten eller medlemsstaternes nationale ret, og som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

93

Med henblik på at afgøre, om den registrerede i en situation som den i hovedsagen omhandlede har ret til sletning i henhold til databeskyttelsesforordningens artikel 17, skal den eller de lovlighedsgrunde, som behandlingen af vedkommendes personoplysninger kan tænkes at være baseret på, derfor i første omgang undersøges.

94

I denne henseende bemærkes, at databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, fastsætter en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig. For at kunne anses for at være lovlig skal behandlingen således være omfattet af et af de tilfælde, som er omhandlet i denne bestemmelse (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 99 og den deri nævnte retspraksis).

95

Når der ikke foreligger et samtykke fra den registrerede til behandlingen af vedkommendes personoplysninger i henhold til artikel 6, stk. 1, første afsnit, litra a), eller når samtykket ikke er blevet givet frivilligt, specifikt, informeret og utvetydigt som omhandlet i databeskyttelsesforordningens artikel 4, nr. 11), kan en sådan behandling alligevel være begrundet, hvis den opfylder et af de krav om nødvendighed, der er omtalt i denne forordnings artikel 6, stk. 1, første afsnit, litra b)-f) (jf. i denne retning dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 92).

96

I denne henseende skal de begrundelser, der er fastsat i sidstnævnte bestemmelse, fortolkes indskrænkende, for så vidt som de giver mulighed for at gøre en behandling af personoplysninger, som foretages uden den registreredes samtykke, lovlig (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 93 og den deri nævnte retspraksis).

97

Det skal ligeledes præciseres, at det følger af databeskyttelsesforordningens artikel 5, at den dataansvarlige skal bevise, at disse oplysninger bl.a. indsamles til de fastlagte udtrykkelige og legitime formål, at de er tilstrækkelige, relevante og begrænsede til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles, og at de behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (jf. i denne retning dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 95).

98

Selv om det tilkommer den forelæggende ret at afgøre, om de forskellige forhold ved en behandling som den i hovedsagen omhandlede er begrundet af en af nødvendighederne i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra a)-f), kan Domstolen dog give denne ret nyttige oplysninger for at sætte den i stand til at afgøre den tvist, der er indbragt for den (jf. i denne retning dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 96).

99

I den foreliggende sag bemærkes indledningsvis, som generaladvokaten har anført i punkt 43 i forslaget til afgørelse, at den samtykkeformodning, der er fastlagt i registerlovens artikel 13, stk. 9, ikke synes at opfylde de betingelser, der kræves i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra a), sammenholdt med denne forordnings artikel 4, nr. 11).

100

Som det fremgår af 32., 42. og 43. betragtning til den nævnte forordning, bør samtykket gives i form af en klar bekræftelse, f.eks. ved en skriftlig erklæring eller en mundtlig erklæring, og det kan ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt frit valg eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende. Samtykke bør i øvrigt ikke udgøre et gyldigt retsgrundlag i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, navnlig hvis sidstnævnte er en offentlig myndighed.

101

En formodning som den, der er fastsat i registerlovens artikel 13, stk. 9, kan derfor ikke anses for at godtgøre et frivilligt, specifikt, informeret og utvetydigt samtykke til den behandling af personoplysninger, der foretages af en offentlig myndighed, såsom agenturet.

102

Dernæst bemærkes, at de lovlighedsgrunde, der er fastsat i artikel 6, stk. 1, første afsnit, litra b) og d), vedrørende en nødvendig behandling af personoplysninger, henholdsvis opfyldelsen af en kontrakt og beskyttelsen af en fysisk persons vitale interesser, ikke synes at være relevante for den i hovedsagen omhandlede behandling af personoplysninger. Det samme gælder den lovlighedsgrund, der er fastsat i artikel 6, stk. 1, første afsnit, litra f), vedrørende en behandling af personoplysninger, der er nødvendig for, at den dataansvarlige kan forfølge en legitim interesse, eftersom det klart fremgår af ordlyden af den nævnte artikel 6, stk. 1, andet afsnit, at en behandling af personoplysninger, der foretages af en offentlig myndighed som led i udførelsen af dens opgaver, ikke kan være omfattet af anvendelsesområdet for sidstnævnte grund (jf. i denne retning dom af 8.12.2022, Inspektor v Inspektorata kam Visshia sadeben savet (Formål med behandling af personoplysninger – strafferetlig efterforskning), C-182/21, EU:C:2022:967, præmis 85).

103

Hvad endelig angår de lovlighedsgrunde, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c) og e), bemærkes, at i henhold til artikel 6, stk. 1, første afsnit, litra c), er en behandling af personoplysninger lovlig, hvis den er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. I henhold til artikel 6, stk. 1, første afsnit, litra e), er behandlingen desuden ligeledes lovlig, hvis den er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

104

Databeskyttelsesforordningens artikel 6, stk. 3, præciserer bl.a. med hensyn til disse to tilfælde, hvor en behandling anses for at være lovlig, at behandlingen skal ske på grundlag af EU-retten eller lovgivningen i den medlemsstat, som den dataansvarlige er underlagt, og at dette retsgrundlag skal opfylde et formål i samfundets interesse, og at det skal stå i rimeligt forhold til det legitime mål, der forfølges.

105

Hvad i første række angår spørgsmålet om, hvorvidt den i hovedsagen omhandlede behandling er nødvendig for at overholde en retlig forpligtelse, der følger af EU-retten eller af lovgivningen i den medlemsstat, som påhviler den dataansvarlige, som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), bemærkes i lighed med det, som generaladvokaten har anført i punkt 45 og 47 i forslaget til afgørelse, at direktiv 2017/1132 ikke foreskriver en systematisk behandling af enhver personoplysning, der er indeholdt i et dokument, som er underlagt den obligatoriske offentliggørelse, der er fastsat i dette direktiv. Det følger derimod af det nævnte direktivs artikel 161, at behandlingen af personoplysninger i forbindelse med direktiv 2017/1132, og navnlig enhver indsamling, opbevaring, tilrådighedsstillelse for tredjemand og offentliggørelse af oplysninger i henhold til dette direktiv, fuldt ud skal opfylde de krav, der følger af databeskyttelsesforordningen.

106

Det påhviler således medlemsstaterne i forbindelse med gennemførelsen af de forpligtelser, der er pålagt ved det nævnte direktiv, at sikre en afvejning mellem på den ene side de mål om retssikkerhed og beskyttelse af tredjemands interesser, der forfølges med samme direktiv, og som er nævnt i denne doms præmis 77, og på den anden side de rettigheder, der er sikret ved databeskyttelsesforordningen og den grundlæggende ret til beskyttelse af personoplysninger, ved at foretage en rimelig afvejning mellem disse mål og disse rettigheder (jf. i denne retning dom af 1.8.2022, Vyriausioji tarnybinės etikos komisija,C-184/20, EU:C:2022:601, præmis 98).

107

Det kan derfor ikke lægges til grund, at den tilrådighedsstillelse online for offentligheden i handelsregistret af personoplysninger, der ikke er påkrævet i henhold til direktiv 2017/1132 eller i henhold til den i hovedsagen omhandlede nationale lovgivning, som er indeholdt i en selskabsaftale, der er underlagt den obligatoriske offentliggørelse, der er fastsat i dette direktiv, og sendt til agenturet, er begrundet i kravet om at sikre offentliggørelse af de dokumenter, der er omhandlet i det nævnte direktivs artikel 14, i overensstemmelse med direktivets artikel 16, og at den derfor følger af en retlig forpligtelse, der er fastsat i EU-retten.

108

Med forbehold af den forelæggende rets efterprøvelse synes lovligheden af den i hovedsagen omhandlede behandling heller ikke at hvile på en retlig forpligtelse, der er fastsat i lovgivningen i den medlemsstat, som påhviler den dataansvarlige som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), i det foreliggende tilfælde bulgarsk lovgivning, for det første, for så vidt som det fremgår af de sagsakter, som Domstolen råder over, at registerlovens artikel 2, stk. 2, fastsætter, at de dokumenter, der skal indføres i handelsregistret, stilles til rådighed for offentligheden uden oplysninger, der udgør personoplysninger, »med undtagelse af oplysninger, som det er lovpligtigt at gøre tilgængelige for offentligheden«, og for det andet for så vidt som denne lovs artikel 13, stk. 9, indfører en formodning for samtykke, der, som det fremgår af denne doms præmis 99, ikke opfylder kravene i databeskyttelsesforordningen.

109

Hvad i anden række angår spørgsmålet, om den i hovedsagen omhandlede behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra e), som både den forelæggende ret, den bulgarske regering og agenturet bl.a. har henvist til, har Domstolen allerede fastslået, at en offentlig myndigheds aktivitet, som består i at lagre oplysninger, som virksomhederne er tvunget til at meddele på grundlag af retlige forpligtelser, i en database og i at give interesserede personer adgang til at foretage søgninger i disse oplysninger og levere genparter deraf, hører under udøvelsen af offentlig myndighed og udgør en opgave i samfundets interesse som omhandlet i denne bestemmelse (jf. i denne retning dom af 9.3.2017, Manni,C-398/15, EU:C:2017:197, præmis 43).

110

Det følger heraf, at den i hovedsagen omhandlede behandling ganske vist synes at være udført i forbindelse med en opgave i samfundets interesse som omhandlet i den nævnte bestemmelse. For at opfylde de betingelser, der er fastsat i denne bestemmelse, er det imidlertid nødvendigt, at denne behandling faktisk opfylder de mål af almen interesse, der forfølges, uden at gå ud over, hvad der er nødvendigt for at nå disse mål (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 109).

111

Dette nødvendighedskrav er ikke opfyldt, når det omhandlede mål af almen interesse med rimelighed kan nås lige så godt på en anden måde, som er mindre indgribende i de registreredes grundlæggende rettigheder, navnlig den ret til respekt for privatlivet og til beskyttelse af personoplysninger, der er sikret ved chartrets artikel 7 og 8, idet undtagelser fra og begrænsninger af princippet om beskyttelse af sådanne oplysninger skal holdes inden for det strengt nødvendige (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 110 og den deri nævnte retspraksis).

112

Som generaladvokaten har anført i punkt 51 i forslaget til afgørelse, kan tilrådighedsstillelse online for offentligheden af personoplysninger, som hverken kræves i henhold til direktiv 2017/1132 eller national ret, ikke i sig selv anses for at være nødvendig for gennemførelsen af de formål, der forfølges med dette direktiv.

113

Hvad navnlig angår spørgsmålet, om der foreligger en måde, som er mindre indgribende i de registreredes grundlæggende rettigheder, skal det bemærkes, at den i hovedsagen omhandlede nationale lovgivning fastsætter, at den, der anmoder om optagelse af et selskab i handelsregistret, er forpligtet til at fremlægge en kopi af dette selskabsdokument, som er renset for de personoplysninger, der ikke er påkrævet, med henblik på offentliggørelse i dette register, og som tredjemand har adgang til, hvilken kopi i det foreliggende tilfælde aldrig er blevet indgivet til agenturet, heller ikke efter en anmodning fra dettes side. Den bulgarske regering og agenturet har imidlertid bekræftet, at denne lovgivning – selv efter udløbet af en rimelig frist, og når den registrerede ikke er i stand til at indhente en sådan kopi fra det pågældende selskab eller dets repræsentanter – ikke fastsætter, at agenturet selv kan udfærdige denne kopi, hvilket dog ville udgøre en lige så effektiv måde at nå målene om at sikre offentliggørelse af selskabsdokumenter, retssikkerheden og beskyttelse af tredjemands interesser på, samtidig med at det ville være mindre indgribende i retten til beskyttelse af personoplysninger.

114

Det skal endvidere bemærkes, således som generaladvokaten har anført i punkt 56 i forslaget til afgørelse, at i modsætning til, hvad flere medlemsstater har gjort gældende i deres indlæg for Domstolen, kan kravet om at bevare integriteten og troværdigheden af de selskabsdokumenter, der er underlagt den obligatoriske offentliggørelse, der er fastsat i direktiv 2017/1132, som kræver offentliggørelse af disse dokumenter, således som de er blevet fremsendt til de myndigheder, der har ansvaret for at føre handelsregistret, ikke systematisk have forrang for denne ret, da beskyttelsen heraf ellers ville blive illusorisk.

115

Dette krav kan navnlig ikke indebære, at personoplysninger, der ikke kræves i henhold til direktiv 2017/1132 eller national lovgivning, skal forblive offentligt tilgængelige online i dette register, når agenturet, således som det fremgår af denne doms præmis 113, selv kunne udfærdige en kopi af det pågældende selskabsdokument, der er fastsat i denne lovgivning, med henblik på denne tilrådighedsstillelse.

116

Det følger heraf, at den i hovedsagen omhandlede behandling af personoplysninger under alle omstændigheder synes at gå ud over, hvad der er nødvendigt for at udføre den opgave i samfundets interesse, som agenturet er pålagt i henhold til den nævnte nationale lovgivning.

117

Som generaladvokaten har anført i punkt 59 i forslaget til afgørelse, synes en sådan behandling med forbehold for de efterprøvelser, som det tilkommer den forelæggende ret at foretage, følgelig heller ikke at opfylde de betingelser for lovlighed, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), og litra e), sammenholdt med artikel 6, stk. 3.

118

Hvad i anden omgang angår anmodningen om sletning i henhold til databeskyttelsesforordningens artikel 17, der er omhandlet i hovedsagen, bemærkes, at det, såfremt den forelæggende ret efter sin vurdering af, om denne behandling er lovlig, konkluderer, at den nævnte behandling ikke er lovlig, påhviler agenturet som dataansvarlig, således som det fremgår af denne doms præmis 82 og 83, i henhold til den klare ordlyd af databeskyttelsesforordningens artikel 17, stk. 1, litra d), at slette de pågældende oplysninger hurtigst muligt (jf. i denne retning dom af 7.12.2023, SCHUFA Holding (Gældssanering), C-26/22 og C-64/22, EU:C:2023:958, præmis 108).

119

Såfremt denne ret derimod konkluderer, at denne behandling faktisk svarer til den lovlighedsgrund, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, litra e), navnlig for så vidt som den tilrådighedsstillelse online for offentligheden i handelsregistret af oplysninger, som ikke er krævet i henhold til direktiv 2017/1132 eller den i hovedsagen omhandlede nationale lovgivning, var nødvendig for at undgå at forsinke registreringen af det pågældende selskab af hensyn til beskyttelsen af tredjemand, skal det bemærkes, at databeskyttelsesforordningens artikel 17, stk. 1, litra c), finder anvendelse.

120

Det følger af denne sidstnævnte bestemmelse, sammenholdt med databeskyttelsesforordningens artikel 21, stk. 1, at den registrerede har en ret til at gøre indsigelse mod behandlingen og en ret til sletning, medmindre der foreligger vægtige legitime grunde, der går forud for den registreredes interesser, rettigheder og frihedsrettigheder som omhandlet i denne artikel 21, stk. 1, hvilket det tilkommer den dataansvarlige at påvise (jf. i denne retning dom af 7.12.2023, SCHUFA Holding (Gældssanering), C-26/22 og C-64/22, EU:C:2023:958, præmis 111).

121

I en situation som den i hovedsagen omhandlede synes der imidlertid ikke at foreligge vægtige legitime grunde som omhandlet i denne bestemmelse, der kan være til hinder for en sådan slettelse.

122

Det fremgår nemlig for det første af forelæggelsesafgørelsen, at det selskab, som OL er selskabsdeltager i, allerede er registreret i handelsregistret.

123

For det andet kan kravet om at bevare integriteten og troværdigheden af de selskabsdokumenter, der er underlagt den obligatoriske offentlighed, som er fastsat i direktiv 2017/1132, således som det er anført i denne doms præmis 115, ikke indebære, at personoplysninger, der ikke kræves i henhold til direktiv 2017/1132 eller national lovgivning, skal forblive offentligt tilgængelige online i dette register.

124

Såfremt den forelæggende ret kommer til den konklusion, at den i hovedsagen omhandlede behandling af personoplysninger faktisk opfylder den i databeskyttelsesforordningens artikel 6, stk. 1, litra b), fastsatte lovlighedsgrund, skal det endelig bemærkes, at databeskyttelsesforordningen, og navnlig dennes artikel 17, stk. 3, litra b), udtrykkeligt fastsætter kravet om en afvejning mellem på den ene side den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger i medfør af chartrets artikel 7 og 8, og på den anden side de formål, der lovligt forfølges med EU-retten eller medlemsstaternes lovgivning, og som ligger til grund for den retlige forpligtelse, som behandlingen er nødvendig for at overholde (jf. analogt dom af 8.12.2022, Google (Fjernelse af links til et angiveligt urigtigt indhold), C-460/20, EU:C:2022:962, præmis 58 og den deri nævnte retspraksis).

125

Som Domstolen allerede har fastslået, kan en begrænsning af den adgang til personoplysninger, som i henhold til EU-retten er underlagt en obligatorisk offentliggørelse, til kun at omfatte tredjemænd, der godtgør en særlig interesse, i hvert enkelt tilfælde begrundes i vægtige legitime grunde, der vedrører de registreredes særlige situation (jf. i denne retning dom af 9.3.2017, Manni,C-398/15, EU:C:2017:197, præmis 60).

126

Som generaladvokaten har anført i punkt 67 i forslaget til afgørelse, må det samme så meget desto mere gælde i et tilfælde som det foreliggende, hvor de pågældende personoplysninger hverken er påkrævet i henhold til direktiv 2017/1132 eller i henhold til national ret.

127

På baggrund heraf skal det fjerde spørgsmål besvares med, at direktiv 2017/1132, navnlig dettes artikel 16, og databeskyttelsesforordningens artikel 17 skal fortolkes således, at de er til hinder for en lovgivning eller en praksis i en medlemsstat, som fører til, at den myndighed, der har ansvaret for at føre handelsregistret i denne medlemsstat, afslår enhver anmodning om sletning af personoplysninger, som ikke er påkrævet i henhold til dette direktiv eller den nævnte medlemsstats lovgivning, som fremgår af en selskabsaftale, der er offentliggjort i dette register, når der ikke er blevet indgivet en kopi af denne aftale, hvor disse oplysninger er skjult, til denne myndighed i strid med de processuelle regler, der er fastsat i denne lovgivning.

128

Med det sjette spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 4, nr. 1), skal fortolkes således, at en fysisk persons egenhændige underskrift er omfattet af begrebet »personoplysninger« som omhandlet i denne bestemmelse.

129

I henhold til denne bestemmelse udgør personoplysninger »enhver form for information om en identificeret eller identificerbar fysisk person«, og den præciserer, at der »ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

130

I denne henseende har Domstolen allerede fastslået, at anvendelsen af udtrykket »enhver form for information« i definitionen af begrebet »personoplysninger«, som fremgår af samme bestemmelse, afspejler EU-lovgivers hensigt om at give begrebet en bred betydning, således at det potentielt omfatter enhver form for information, både objektiv og subjektiv i form af meningstilkendegivelser eller bedømmelser, forudsat at informationen er »om« den pågældende person (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 23).

131

En information vedrører en identificeret eller identificerbar fysisk person, hvis den på grund af sit indhold, formål eller virkning er knyttet til en identificerbar person (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 24).

132

For at afgøre, om en fysisk person er »identificerbar«, fremgår det af 26. betragtning til databeskyttelsesforordningen, at »alle midler [bør] tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende«.

133

Det følger heraf, at den brede definition af begrebet »personoplysninger« ikke kun omfatter de oplysninger, der indsamles og opbevares af den dataansvarlige, men ligeledes alle oplysninger, som hidrører fra en behandling af personoplysninger, der vedrører en identificeret eller identificerbar person (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 26).

134

Det følger ligeledes af Domstolens praksis, at en fysisk persons håndskrift giver oplysninger om denne person (jf. i denne retning dom af 20.12.2017, Nowak,C-434/16, EU:C:2017:994, præmis 37).

135

Endelig skal det bemærkes, at en fysisk persons egenhændige underskrift generelt anvendes til at identificere denne person for at tillægge de dokumenter, hvorpå denne er påført, en bevisværdi med hensyn til deres rigtighed og oprigtighed, eller for at påtage sig ansvaret for dem. Det fremgår i øvrigt, at selskabsdeltagernes underskrift på den omhandlede selskabsaftale ledsager deres navne.

136

Henset til det ovenstående skal det sjette spørgsmål besvares med, at databeskyttelsesforordningens artikel 4, nr. 1), skal fortolkes således, at en fysisk persons egenhændige underskrift er omfattet af begrebet »personoplysninger« som omhandlet i denne bestemmelse.

137

Med det syvende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den registreredes kortvarige tab af kontrol over sine personoplysninger som følge af tilrådighedsstillelse online for offentligheden af disse oplysninger i handelsregistret i en medlemsstat kan være tilstrækkeligt til at forvolde »immateriel skade«, eller om begrebet »immateriel skade« kræver, at det godtgøres, at der foreligger yderligere konkrete negative konsekvenser.

138

Det skal indledningsvis bemærkes, at denne bestemmelse fastsætter, at »[e]nhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af [databeskyttelsesforordningen], har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren«.

139

I denne henseende bemærkes, at eftersom der i databeskyttelsesforordningen ikke henvises til medlemsstaternes ret for så vidt angår betydningen og rækkevidden af udtrykkene i den nævnte bestemmelse, særligt begreberne »materiel eller immateriel skade« og »erstatning for den forvoldte skade«, skal disse udtryk ved anvendelsen af denne forordning anses for at være selvstændige EU-retlige begreber, der skal fortolkes ensartet i alle medlemsstaterne (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 30).

140

Med henblik herpå skal databeskyttelsesforordningens artikel 82, stk. 1, fortolkes således, at den blotte overtrædelse af denne forordning ikke er tilstrækkelig til at give ret til erstatning, eftersom en af betingelserne for ret til erstatning som fastsat i denne artikel 82, stk. 1, er, at der foreligger en materiel eller immateriel »skade«, eller at der er »forvold[t] skade«, ligesom denne forordning skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er kumulative (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 32, og af 11.4.2024, juris,C-741/21, EU:C:2024:288, præmis 34).

141

Den person, der fremsætter et erstatningskrav for skade eller immateriel skade på grundlag af denne bestemmelse, er således forpligtet til ikke alene at godtgøre en overtrædelse af samme forordnings bestemmelser, men ligeledes, at denne overtrædelse har forvoldt vedkommende en sådan skade eller immateriel skade. Der kan derfor ikke blot formodes at foreligge en sådan skade eller en sådan immateriel skade på grund af forekomsten af den nævnte overtrædelse (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 42 og 50, og af 11.4.2024, juris,C-741/21, EU:C:2024:288, præmis 35).

142

Navnlig skal en registreret, der er berørt af en overtrædelse af databeskyttelsesforordningen, som har skabt skadevirkninger for den pågældende, godtgøre, at disse virkninger udgør en immateriel skade som omhandlet i denne forordnings artikel 82, eftersom den blotte overtrædelse af denne forordnings bestemmelser ikke er tilstrækkelig til at give ret til erstatning (dom af 25.1.2024, MediaMarktSaturn,C-687/21, EU:C:2024:72, præmis 60 og den deri nævnte retspraksis).

143

Når en person, der kræver erstatning på grundlag af artikel 82, stk. 1, påberåber sig en frygt for, at der i fremtiden vil ske et misbrug af den pågældendes personoplysninger som følge af en sådan overtrædelse, skal den nationale ret, hvor sagen anlægges, følgelig efterprøve, om denne frygt kan anses for at være velbegrundet under de pågældende specifikke omstændigheder og i forhold til den registrerede (dom af 14.12.2023, Natsionalna agentsia za prihodite,C-340/21, EU:C:2023:986, præmis 85).

144

Når dette er sagt, har Domstolen allerede fastslået, at det ikke alene fremgår af ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, sammenholdt med 85. og 146. betragtning til denne forordning, som opfordrer til at anlægge en bred fortolkning af begrebet »immateriel skade« som omhandlet i denne førstnævnte bestemmelse, men ligeledes af formålet, der består i at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger, som er omhandlet i den nævnte forordning, at den frygt, som en registreret nærer for, at dennes personoplysninger potentielt kan blive misbrugt af tredjemand som følge af en overtrædelse af denne forordning, i sig selv kan udgøre en »immateriel skade« som omhandlet i artikel 82, stk. 1 (dom af 20.6.2024, PS (Forkert adresse), C-590/22, EU:C:2024:536, præmis 32 og den deri nævnte retspraksis).

145

Det fremgår navnlig af den illustrative liste over »skade«, som de registrerede kan lide, der fremgår af første punktum i 85. betragtning til databeskyttelsesforordningen, at EU-lovgiver havde til hensigt, at begrebet »skade«, som registrerede kan lide, bl.a. skulle omfatte det blotte »tab af kontrol« over deres egne personoplysninger som følge af en overtrædelse af denne forordning, selv om et misbrug af de omhandlede oplysninger ikke konkret har fundet sted (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite,C-340/21, EU:C:2023:986, præmis 82).

146

En fortolkning af databeskyttelsesforordningens artikel 82, stk. 1, hvorefter begrebet »immateriel skade« som omhandlet i denne bestemmelse ikke omfatter de situationer, hvor en registreret udelukkende påberåber sig sin frygt for, at den pågældendes personoplysninger i fremtiden vil blive misbrugt af tredjemand, ville desuden ikke være i overensstemmelse med den garanti for et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger inden for Unionen, der er omhandlet i denne forordning (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite,C-340/21, EU:C:2023:986, præmis 83).

147

På samme måde kan dette begreb ikke begrænses til alene at omfatte skader af en vis alvor, navnlig for så vidt angår varigheden af den periode, i hvilken skadevirkningerne af tilsidesættelsen af denne forordning er blevet lidt af de registrerede (jf. i denne retning dom af 14.12.2023, Gemeinde Ummendorf,C-456/22, EU:C:2023:988, præmis 16 og 19 og den deri nævnte retspraksis).

148

Det kan således ikke lægges til grund, at der ud over de tre betingelser, som er anført i denne doms præmis 140, kan tilføjes andre betingelser for at ifalde det erstatningsansvar, der er fastsat i databeskyttelsesforordningens artikel 82, stk. 1, såsom skadens konkrete karakter eller krænkelsens objektive karakter (dom af 14.12.2023, Gemeinde Ummendorf,C-456/22, EU:C:2023:988, præmis 17).

149

Denne bestemmelse kræver heller ikke, at den »immaterielle skade«, som den registrerede hævder at have lidt som følge af en overtrædelse af denne forordnings bestemmelser, skal nå en »bagatelgrænse«, for at denne skade kan erstattes (dom af 14.12.2023, Gemeinde Ummendorf,C-456/22, EU:C:2023:988, præmis 18).

150

Selv om der ikke er noget til hinder for, at offentliggørelse på internettet af personoplysninger og det deraf følgende tab af kontrol over disse inden for et kort tidsrum kan anses for at påføre de registrerede en »immateriel skade« som omhandlet i databeskyttelsesforordningens artikel 82, stk. 1, der giver ret til erstatning, skal disse personer følgelig endvidere godtgøre, at de faktisk har lidt en sådan skade, hvor lille den end måtte være (jf. i denne retning dom af 14.12.2023, Gemeinde Ummendorf,C-456/22, EU:C:2023:988, præmis 22, og af 11.4.2024, juris,C-741/21, EU:C:2024:288, præmis 42).

151

Endelig skal det præciseres, at i forbindelse med fastsættelsen af størrelsen af den erstatning, der skal betales som følge af retten til erstatning for immateriel skade, er en immaterial skade, der er forvoldt af en brud på persondatasikkerheden, ikke efter sin art mindre alvorlig end en personskade (dom af 20.6.2024, Scalable Capital,C-182/22 og C-189/22, EU:C:2024:531, præmis 39).

152

Når en person har påvist, at vedkommende har lidt skade som følge af en overtrædelse af databeskyttelsesforordningen som omhandlet i denne forordnings artikel 82, skal de kriterier, der giver mulighed for at bestemme omfanget af den erstatning, der skal betales inden for rammerne af sager til sikring af beskyttelsen af borgernes rettigheder i henhold til denne artikel, desuden fastsættes i hver enkelt medlemsstats retsorden, forudsat, at der er tale om fuld erstatning (jf. i denne retning dom af 20.6.2024, Scalable Capital,C-182/22 og C-189/22, EU:C:2024:531, præmis 43).

153

I denne henseende opfylder den ret til erstatning, der er fastsat i denne artikel 82, stk. 1, navnlig i tilfælde af immateriel skade, en udelukkende kompenserende funktion, og ikke en afskrækkende eller straffende funktion, da en økonomisk erstatning på grundlag af denne bestemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der konkret er lidt på grund af overtrædelsen af den nævnte forordning (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 57 og 58, og af 11.4.2024, juris,C-741/21, EU:C:2024:288, præmis 61).

154

I øvrigt bemærkes dels, at det er en betingelse for, at den dataansvarlige kan ifalde ansvar i henhold til databeskyttelsesforordningens artikel 82, at denne har pådraget sig skyld, hvilket formodes at være tilfældet, medmindre den dataansvarlige beviser, at den pågældende ikke er skyld i den begivenhed, der medførte skaden, dels at denne artikel 82 ikke kræver, at der tages hensyn til graden af grovheden af denne skyld ved fastsættelsen af størrelsen af den erstatning, der tildeles for en immateriel skade på grundlag af den nævnte artikel (dom af 21.12.2023, Krankenversicherung Nordrhein,C-667/21, EU:C:2023:1022, præmis 103, og af 25.1.2024, MediaMarktSaturn,C-687/21, EU:C:2024:72, præmis 52).

155

I det foreliggende tilfælde har den forelæggende ret, således som det er blevet anført i denne doms præmis 42, præciseret, at Administrativen sad Dobrich (forvaltningsdomstolen i Dobrich) fastslog, at der forelå en immateriel skade, som bestod i OL’s psykiske og følelsesmæssige negative oplevelser, nemlig frygt og bekymring over mulige misbrug samt afmagt og skuffelse, fordi det var umuligt at beskytte hendes personoplysninger. Den fastslog ligeledes, at denne skade skyldtes agenturets skrivelse af 26. januar 2022, som havde medført en tilsidesættelse af retten til sletning i henhold til databeskyttelsesforordningens artikel 17, stk. 1, og en ulovlig behandling af hendes personoplysninger, der var indeholdt i den omhandlede selskabsaftale, som var blevet gjort tilgængelig for offentligheden.

156

Henset til ovenstående betragtninger skal det syvende spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den registreredes kortvarige tab af kontrol over sine personoplysninger som følge af tilrådighedsstillelse online for offentligheden af disse oplysninger i handelsregistret i en medlemsstat kan være tilstrækkeligt til at forvolde en »immateriel skade«, for så vidt som den registrerede godtgør, at vedkommende faktisk har lidt en sådan skade, hvor lille den end måtte være, uden at begrebet »immateriel skade« kræver, at det godtgøres, at der foreligger yderligere konkrete negative konsekvenser.

157

Med det ottende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 3, skal fortolkes således, at en udtalelse fra tilsynsmyndigheden i en medlemsstat, der er afgivet på grundlag af denne forordnings artikel 58, stk. 3, litra b), er tilstrækkelig til at fritage den myndighed, der har ansvaret for at føre handelsregistret i denne medlemsstat, som er »dataansvarlig« som omhandlet i den nævnte forordnings artikel 4, nr. 7), for erstatningsansvar i henhold til samme forordnings artikel 82, stk. 2.

158

For det første bemærkes med hensyn til den ansvarsordning, der er fastsat i databeskyttelsesforordningens artikel 82, at denne artikels stk. 1 bestemmer, at »[e]nhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren«. Som det fremgår af denne doms præmis 140, er denne ret til erstatning betinget af, at tre kumulative betingelser er opfyldt.

159

I overensstemmelse med den nævnte forordnings artikel 82, stk. 2, andet punktum, hæfter enhver dataansvarlig, der har været involveret i behandling, for den skade, der er forvoldt af behandling, der overtræder samme forordning. Denne bestemmelse, som præciserer den ansvarsordning, hvis hovedregel er fastsat i denne artikels stk. 1, gengiver de tre betingelser, der skal være opfyldt for, at der kan opstå ret til erstatning, nemlig at en behandling af personoplysninger overtræder databeskyttelsesforordningens bestemmelser, at den registrerede har lidt skade, og at der er en årsagsforbindelse mellem den ulovlige behandling og skaden (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 36).

160

Databeskyttelsesforordningens artikel 82, stk. 3, fastsætter for sit vedkommende, at en dataansvarlig er fritaget for erstatningsansvar i henhold til dette stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

161

Som Domstolen allerede har fastslået, fremgår det af en samlet analyse af databeskyttelsesforordningens artikel 82, stk. 1-3, af den sammenhæng, hvori denne artikel indgår, og af de formål, som EU-lovgiver forfølger med denne forordning, at den nævnte artikel fastsætter en ordning med culpaansvar, hvori bevisbyrden ikke påhviler den person, der har lidt skade, men den dataansvarlige (jf. i denne retning dom af 21.12.2023, Krankenversicherung Nordrhein,C-667/21, EU:C:2023:1022, præmis 94 og 95).

162

Det ville navnlig ikke være i overensstemmelse med målet om at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger at vælge en fortolkning, hvorefter de registrerede, der har lidt skade som følge af en overtrædelse af databeskyttelsesforordningen, i forbindelse med et erstatningssøgsmål på grundlag af forordningens artikel 82 ikke alene skulle bevise denne overtrædelse og den skade, de har lidt som følge heraf, men også, at den dataansvarlige forsætligt eller uagtsomt har pådraget sig skyld, eller ligefrem skulle bevise graden af skyld, selv om artikel 82 ikke opstiller sådanne krav (jf. i denne retning dom af 21.12.2023, Krankenversicherung Nordrhein,C-667/21, EU:C:2023:1022, præmis 99).

163

I overensstemmelse med den retspraksis, der er nævnt i denne doms præmis 154, er den dataansvarliges ansvar i henhold til den nævnte artikel 82 således betinget af, at der foreligger en fejl begået af denne, hvilket formodes, medmindre sidstnævnte kan bevise, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

164

I denne henseende bemærkes, således som det fremgår af det udtrykkelige adverbium »ikke«, der blev tilføjet under lovgivningsproceduren, at de omstændigheder, hvorunder den dataansvarlige kan gøre krav på at blive fritaget for det civilretlige ansvar, som den pågældende ifalder efter databeskyttelsesforordningens artikel 82, skal være strengt begrænset til omstændigheder, hvor den dataansvarlige kan påvise, at skaden ikke kan tilregnes den pågældende (dom af 14.12.2023, Natsionalna agentsia za prihodite,C-340/21, EU:C:2023:986, præmis 70).

165

Domstolen har ligeledes udtalt, at i tilfælde af et brud på persondatasikkerheden begået af en tredjemand, såsom en cyberkriminel, eller af en person, der handler under den dataansvarliges myndighed, kan sidstnævnte kun fritages for sit erstatningsansvar på grundlag af databeskyttelsesforordningens artikel 82, stk. 3, ved at bevise, at der ikke er nogen årsagsforbindelse mellem den eventuelle tilsidesættelse af vedkommendes forpligtelse til at beskytte oplysningerne efter denne forordning og den skade, som den berørte fysiske person har lidt (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite,C-340/21, EU:C:2023:986, præmis 72, og af 11.4.2024, juris,C-741/21, EU:C:2024:288, præmis 51).

166

For at den dataansvarlige kan fritages for sit erstatningsansvar i henhold til denne artikel 82, stk. 3, er det derfor ikke tilstrækkeligt, at denne godtgør at have givet instrukser til de personer, der udfører arbejde for vedkommende som omhandlet i den nævnte forordning, og at en af disse personer har tilsidesat sin forpligtelse til at følge disse instrukser, således at denne har bidraget til den pågældende skades indtræden (jf. i denne retning dom af 11.4.2024, juris,C-741/21, EU:C:2024:288, præmis 52).

167

Hvad for det andet angår reglerne om bevismidler skal det bemærkes, at databeskyttelsesforordningen ikke fastsætter regler om anerkendelse og bevisværdi af et bevismiddel, som skal anvendes af de nationale retter, der skal behandle et erstatningssøgsmål på grundlag af denne forordnings artikel 82. Når der ikke findes EU-retlige regler på området, tilkommer det følgelig hver enkelt medlemsstat i sin nationale retsorden at fastsætte de nærmere regler for sager til sikring af beskyttelsen af borgernes rettigheder i henhold til denne artikel 82, og navnlig reglerne for bevismidler, idet principperne om ækvivalens og effektivitet skal overholdes (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite,C-340/21, EU:C:2023:986, præmis 60 og den deri nævnte retspraksis).

168

Hvad for det tredje angår en udtalelse afgivet i henhold til databeskyttelsesforordningens artikel 58, stk. 3, litra b), skal der mindes om, at denne artikel fastsætter tilsynsmyndighedernes beføjelser.

169

Databeskyttelsesforordningens artikel 58 tillægger således i stk. 1 disse myndigheder undersøgelsesbeføjelser, i stk. 2 beføjelser til at vedtage korrigerende foranstaltninger, i stk. 3 de godkendelses- og rådgivningsbeføjelser, der er opregnet deri, og i stk. 5 beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede retssager med henblik på at håndhæve bestemmelserne i den nævnte forordning.

170

Blandt de beføjelser, der er opregnet i databeskyttelsesforordningens artikel 58, stk. 3, findes i artikel 58, stk. 3, litra b), beføjelsen til »på eget initiativ eller på anmodning at afgive udtalelser til det nationale parlament, medlemsstatens regering eller i overensstemmelse med medlemsstaternes nationale ret til andre institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger«.

171

Det fremgår klart af sidstnævnte bestemmelses ordlyd, navnlig af udtrykket »udtalelse«, at afgivelsen af en sådan udtalelse henhører under tilsynsmyndighedens rådgivningsbeføjelser og ikke godkendelsesbeføjelser.

172

Anvendelsen af udtrykkene »udtalelse« og »rådgivningsbeføjelser« indikerer ligeledes, at en udtalelse, der afgives på grundlag af databeskyttelsesforordningens artikel 58, stk. 3, litra b), ikke er juridisk bindende i henhold til EU-retten.

173

143. betragtning bekræfter denne fortolkning. Heri er det nemlig anført, at »enhver fysisk eller juridisk person [bør] have adgang til effektive retsmidler ved den kompetente nationale domstol til prøvelse af en tilsynsmyndigheds afgørelse, som har retsvirkninger for denne person. En sådan afgørelse vedrører navnlig tilsynsmyndighedens udøvelse af undersøgelsesbeføjelser, korrigerende beføjelser og godkendelsesbeføjelser eller afslag eller afvisning af klager. Denne ret til adgang til effektive retsmidler omfatter dog ikke foranstaltninger truffet af tilsynsmyndigheder, der ikke er juridisk bindende, som f.eks. udtalelser eller rådgivning fra tilsynsmyndigheden«.

174

Da en udtalelse afgivet til den dataansvarlige ikke er juridisk bindende, kan den ikke i sig selv godtgøre, at den dataansvarlige ikke selv kan gøres ansvarlig for skaden som omhandlet i den retspraksis, der er nævnt i denne doms præmis 164, og dermed heller ikke være tilstrækkelig til at fritage den nævnte dataansvarlige for erstatningsansvar i henhold til databeskyttelsesforordningens artikel 82, stk. 3.

175

En sådan fortolkning af denne artikel 82, stk. 3, er ligeledes i overensstemmelse med de formål, der forfølges med databeskyttelsesforordningen, om at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af deres personoplysninger og at sikre effektiv erstatning for den skade, som de kan lide som følge af behandlinger af disse oplysninger, der er foretaget i strid med denne forordning. Hvis det var tilstrækkeligt for den dataansvarlige at påberåbe sig en ikke juridisk bindende udtalelse for at undgå ethvert ansvar og dermed enhver erstatningspligt, ville sidstnævnte nemlig ikke være tilskyndet til at gøre alt, hvad der stod i dennes magt, for at sikre dette høje beskyttelsesniveau og for at overholde de forpligtelser, der er pålagt ved den nævnte forordning.

176

Henset til det ovenstående skal det ottende spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 3, skal fortolkes således, at en udtalelse fra tilsynsmyndigheden i en medlemsstat, der er afgivet på grundlag af denne forordnings artikel 58, stk. 3, litra b), ikke er tilstrækkelig til at fritage en myndighed, der har ansvaret for at føre handelsregistret i denne medlemsstat, som er »dataansvarlig« som omhandlet i den nævnte forordnings artikel 4, nr. 7), for erstatningsansvar i henhold til samme forordnings artikel 82, stk. 2.

177

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret: