Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 62023CC0200

    Kohtujurist Medina, 30.5.2024 ettepanek.


    ECLI identifier: ECLI:EU:C:2024:445

    Date of document:
    30/05/2024
    Form:
    Kohtujuristi ettepanek
    Advocate General:
    Medina

    Esialgne tõlge

    KOHTUJURISTI ETTEPANEK

    LAILA MEDINA

    esitatud 30. mail 2024(1)

    Kohtuasi C200/23

    Agentsia po vpisvaniyata

    versus

    OL,

    menetluses osales:

    Varhovna administrativna prokuratura

    (eelotsusetaotlus, mille on esitanud Varhoven administrativen sad (Bulgaaria kõrgeim halduskohus))

    Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Äriühingu põhikirja avaldamine äriregistris, kui see põhikiri sisaldab isikuandmeid – Direktiiv (EL) 2017/1132 – Vastutav töötleja – Õigus isikuandmete kustutamisele






    I.      Sissejuhatus

    1.        Varhoven administrativen sad (Bulgaaria kõrgeim halduskohus) esitab oma eelotsusetaotlusega Euroopa Kohtule mitu küsimust sisuliselt selle kohta, kuidas mõjutavad üksteist vastastikku liidu tasandil koordineeritavad sätted äriühingute dokumentide avalikustamise kohta(2) ja määrus (EL) 2016/679(3).

    2.        Taotlus on esitatud Agentsia po vpisvaniyata (Bulgaaria registrite amet, edaspidi „registrite amet“) ja OLi vahelises kohtuvaidluses selle üle, et registrite amet keeldus kustutamast teatavaid OLi isikuandmeid, mis sisalduvad dokumendis, mis on äriregistris üldsusele kättesaadavaks tehtud.

    II.    Õiguslik raamistik

    A.      Liidu õigus

    3.        Käesolevas ettepanekus tuleb arvesse võtta eeskätt direktiivi 2009/101 asendanud direktiivi 2017/1132 artikleid 14 ja 16 ning isikuandmete kaitse üldmääruse artikleid 4–6 ja 17. Kergema jälgitavuse huvides viidatakse käesolevas analüüsis nende artiklite asjakohaste sätete sõnastusele.

    B.      Bulgaaria õigus

    4.        Äriregistri ja mittetulunduslike juriidiliste isikute registri seaduse (Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel)(4) redaktsioonis, mis kohaldub põhikohtuasja suhtes (edaspidi „registrite seadus“), on artiklis 2 sätestatud:

    „(1)      Äriregister ja mittetulunduslike juriidiliste isikute register [edaspidi „registrid“] on ühine elektrooniline andmebaas, mis sisaldab sinna seaduse alusel kantud asjaolusid ja seaduse alusel avalikustatud dokumente, mis puudutavad ettevõtjaid ja välismaa ettevõtjate filiaale, mittetulunduslikke juriidilisi isikuid ja välismaa mittetulunduslike juriidiliste isikute filiaale.

    (2)      Lõikes 1 osutatud asjaolud ja dokumendid avalikustatakse ilma teabeta, mis kujutab endast [isikuandmete kaitse üldmääruse] artikli 4 punkti 1 tähenduses isikuandmeid, välja arvatud teabe puhul, mille avalikustamist nõuab seadus.

    5.        Registrite seaduse artikli 6 lõike 1 kohaselt peab iga ettevõtja ja mittetulunduslik juriidiline isik taotlema enda kandmist registritesse, andes teada sinna kandmisele kuuluvatest asjaoludest ja esitades avalikustamisele kuuluvad dokumendid.

    6.        Selle seaduse artikkel 11 on sõnastatud järgmiselt:

    „(1)      [Registrid] on avalikud. Igaühel on õigus registreid moodustava andmebaasiga vabalt ja tasuta tutvuda.

    (2)      [Registrite amet] tagab registreeritud kasutajale võimaluse tutvuda ettevõtja või mittetulundusliku juriidilise isiku toimikuga.

    7.        Nimetatud seaduse artikli 13 lõigetes 1, 2, 6 ja 9 on sätestatud:

    „(1)      Kanne tehakse, kustutatakse ja avalikustatakse vastaval vormil esitatud avalduse alusel.

    (2)      Avaldus sisaldab:

    1.      avaldaja andmeid;

    […]

    3.      asjaolu, mille kohta tuleb kanne teha, kannet, mida palutakse kustutada, või avalikustamisele kuuluvat dokumenti;

    […]

    (6)      [A]valdusele lisatakse dokumendid või vajaduse korral akt, mis kuulub seaduse alusel avalikustamisele. Dokumendid esitatakse originaalis, avaldaja kinnitatud ärakirjana või notariaalselt kinnitatud ärakirjana. Avaldaja esitab ka äriregistris avalikustamisele kuuluvate dokumentide kinnitatud ärakirjad, millest on muud kui seadusega nõutavad isikuandmed eemaldatud.

    […]

    (9)      Kui avalduses või sellele lisatud dokumentides on isikuandmeid, mida seadus ei nõua, eeldatakse, et nende esitajad on andnud nõusoleku, et [registrite amet] neid andmeid töötleks ja et need tehtaks üldsusele kättesaadavaks.“

    8.        Äriseaduse (Targovski zakon)(5) põhikohtuasjas kohaldatavas redaktsioonis (edaspidi „äriseadus“) on artikli 101 punktis 3 sätestatud, et äriühingu põhikiri peab sisaldama „osanike nime, ärinime ja kordumatut tunnust“.

    9.        Äriseaduse artikli 119 lõike 1 kohaselt tuleb äriühingu äriregistrisse kandmiseks esitada muu hulgas põhikiri, mis avalikustatakse. Selle artikli lõikes 4 on ette nähtud, et „põhikirja muutmiseks või täiendamiseks esitatakse äriregistrile avalikustamise eesmärgil põhikirja kõiki muudatusi ja täiendusi sisaldav ärakiri, mille on kinnitanud äriühingut esindav organ“.

    III. Põhikohtuasi ja eelotsuse küsimused

    10.      OL on ühe Bulgaaria õiguse alusel asutatud osaühingu (OOD) osanik; see äriühing kanti 14. jaanuaril 2021 äriregistrisse. Kandeavaldusele oli lisatud äriühingu 30. detsembri 2020. aasta põhikiri, millele osanikud olid alla kirjutanud (edaspidi „2020. aasta põhikiri“). See põhikiri, mis sisaldas OLi perekonna- ja eesnime, isikukoodi, isikutunnistuse numbrit, selle väljastamise kuupäeva ja kohta ning OLi alalist aadressi, kanti registrisse ja tehti esitatud kujul üldsusele kättesaadavaks. 8. juulil 2021 palus OL registrite ametil kustutada 2020. aasta põhikirjast tema isikuandmed, täpsustades, et kui tema andmete töötlemine põhines tema nõusolekul, võtab ta selle tagasi. Registrite ametilt vastust saamata pöördus OL Administrativen sad Dobrichi (Dobrichi halduskohus, Bulgaaria) poole, kes tühistas registrite ameti vaikimisi keeldumise OLi avalduse rahuldamisest ja saatis asja sellele ametile uue otsuse tegemiseks tagasi. Täites seda kohtuotsust ja samasuguse menetluse läbinud teise osaniku kohta tehtud analoogset kohtuotsust, teatas registrite amet 26. jaanuari 2022. aasta kirjas, et selleks, et ta saaks kustutamisavalduse rahuldada, tuleb talle edastada 2020. aasta põhikirja kinnitatud ärakiri, millest on muud kui seadusega nõutavad osanike isikuandmed eemaldatud (edaspidi „26. jaanuari 2022. aasta kiri“). 31. jaanuaril 2022 pöördus OL uuesti Administrativen sad Dobrichi (Dobrichi halduskohus) poole, paludes tunnistada 26. jaanuari 2022. aasta kirja tühiseks ja mõista registrite ametilt tema kasuks välja hüvitise mittevaralise kahju eest, mida on talle tekitatud selle kirjaga, mis rikub isikuandmete kaitse üldmäärusega antud õigusi. Registrite amet kustutas 1. veebruaril 2022 veel enne, kui see kaebus talle teatavaks tehti, omal algatusel OLi isikukoodi, isikutunnistuse andmed ja aadressi, kuid mitte tema nime, eesnime ega allkirja. 5. mai 2022. aasta kohtuotsusega tühistas Administrativen sad Dobrich (Dobrichi halduskohus) 26. jaanuari 2022. aasta kirja ja mõistis registrite ametilt isikuandmete kaitse üldmääruse artikli 82 alusel OLi kasuks mittevaralise kahju eest välja 500 Bulgaaria leevi (ligikaudu 255 euro) suuruse hüvitise, mille lisandus seadusjärgne viivis. Selle kohtuotsuse kohaselt seisnes kahju negatiivsetes emotsioonides ja üleelamistes, mille põhjustas kiri, millega rikuti tema isikuandmete kaitse üldmääruse artikli 17 lõike 1 kohast õigust andmete kustutamisele ja mis tõi kaasa tema isikuandmete ebaseadusliku töötlemise, mis sisaldusid üldsusele kättesaadavaks tehtud põhikirjas. Registrite amet esitas selle kohtuotsuse peale eelotsusetaotluse esitanud kohtule kassatsioonkaebuse. Muu hulgas väidab ta, et ta on küll vastutav töötleja, kuid ühtlasi ka registreerimismenetluses edastatud andmete vastuvõtja ning et kuigi ta oli enne selle äriühingu registreerimist, mille osanik OL oli, palunud äriühingu põhikirjast sellist ärakirja, millest oleks eemaldatud andmed, mida ei tule üldsusele kättesaadavaks teha, ta sellist ärakirja ei saanud. Äriühingu registrisse kandmisest ei saa aga pelgalt sellisel alusel keelduda. Ta viitab riikliku järelevalveasutuse ehk Komisia za zashtita na lichnite danni (isikuandmete kaitse komisjon, Bulgaaria) 2021. aasta arvamusele (edaspidi „2021. aasta arvamus“),(6) mis esitati isikuandmete kaitse üldmääruse artikli 58 lõike 3 punkti b alusel ning mille kohaselt ei ole registrite ametil õigust muuta talle registrisse kandmiseks esitatud dokumentide sisu. OL väidab omalt poolt, et registrite amet ei saa vastutava töötlejana omaenda kustutamiskohustust teistele isikutele panna. Ta viitab Bulgaaria kohtupraktikale, mille kohaselt ei ole 2021. aasta arvamus isikuandmete kaitse üldmäärusega kooskõlas.

    11.      Neil asjaoludel otsustas Varhoven administrativen sad (kõrgeim halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

    „1.      Kas direktiivi [2009/101] artikli 4 lõiget 2 tuleb tõlgendada nii, et viidatud säte kohustab liikmesriiki lubama avalikustada äriühingu põhikirja, mille registreerimine on [äriseaduse] artikli 119 kohaselt kohustuslik, kui lisaks osanike nimedele, mis kuuluvad kohustuslikus korras avalikustamisele [registrite seaduse] artikli 2 lõike 2 alusel, sisaldab põhikiri ka nende muid isikuandmeid? Sellele küsimusele vastamisel tuleb silmas pidada, et [registrite amet] on avaliku sektori asutus, mille vastu võib Euroopa Kohtu väljakujunenud praktika kohaselt tugineda direktiivi vahetult kohaldatavatele sätetele (7. septembri 2006. aasta kohtuotsus Vassallo, С‑180/04, EU:C:2006:518, punkt 26 ja seal viidatud kohtupraktika).

    2.      Kas juhul, kui esimesele küsimusele vastatakse jaatavalt, võib eeldada, et põhikohtuasja aluseks olevatel asjaoludel on isikuandmete töötlemine [registrite ameti] poolt vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks [isikuandmete kaitse üldmääruse] artikli 6 lõike 1 punkti e tähenduses?

    3.      Kas juhul, kui kahele esimesele küsimusele vastatakse jaatavalt, tuleb pidada lubatavaks sellist riigisisest õigusnormi nagu [registrite seaduse] artikli 13 lõige 9 – mille kohaselt tuleb juhul, kui taotluses või sellega seotud dokumentides esitatakse isikuandmeid, mida seadus ei nõua, eeldada, et isikud, kes need andmed esitasid, on andnud ametile nõusoleku andmete töötlemiseks ja üldsusele kättesaadavaks tegemiseks –, millega on olenemata [isikuandmete kaitse üldmääruse] põhjendustest 32, 40, 42, 43 ja 50 täpsustatud direktiivi [2009/101] artikli 4 lõike 2 kohast võimalust „avaldada vabatahtlikult“ ka isikuandmeid?

    4.      Kas selleks, et liikmesriigid saaksid täita direktiivi [2009/101] artikli 3 lõikes 7 sätestatud kohustust võtta vajalikke meetmeid, et vältida lahknevusi lõike 5 kohaselt avaldatu ja registris või toimikus sisalduva vahel ning võtta arvesse kolmandate isikute huve tutvuda äriühingu põhidokumentide ja äriühingut puudutava muu teabega, mida on nimetatud direktiivi põhjenduses 3, on lubatavad riigisisesed õigusnormid, mis näevad ette menetluskorra (taotlusvormid, koopiate esitamine dokumentidest, millest on isikuandmed eemaldatud), mille kohaselt kasutab füüsiline isik talle [isikuandmete kaitse üldmääruse] artiklist 17 tulenevat õigust nõuda vastutavalt töötlejalt oma isikuandmete viivitamatut kustutamist, kui isikuandmed, mille kustutamist nõutakse, on osa üldsusele avaldatud (avalikustatud) dokumentidest, mille on vastutavale töötlejale sarnase menetluskorra alusel esitanud teine isik, kes on selle toiminguga kindlaks määranud ka tema algatatud töötlemise eesmärgi?

    5.      Kas põhikohtuasja aluseks olevas olukorras tegutseb [registrite amet] seoses isikuandmetega ainult vastutava töötlejana või on ta ka nende andmete vastuvõtja, kui avalikustamiseks esitatud dokumentide osaks olevate andmete töötlemise eesmärgid on kindlaks määranud teine vastutav töötleja?

    6.      Kas füüsilise isiku omakäeline allkiri kujutab endast teavet tuvastatud füüsilise isiku kohta ja/või on hõlmatud mõistega „isikuandmed“ [isikuandmete kaitse üldmääruse] artikli 4 lõike 1 tähenduses?

    7.      Kas [isikuandmete kaitse üldmääruse] artikli 82 lõikes 1 sisalduvat mõistet „mittevaraline kahju“ tuleb tõlgendada nii, et mittevaralise kahju olemasolu eeldab tuntavalt ebasoodsamasse olukorda sattumist ja isiklike huvide objektiivselt tajutavat kahjustamist, või on selleks piisav, et tulenevalt isikuandmete avaldamisest äriregistris kaotab andmesubjekt vaid lühiajaliselt ainuõiguse oma isikuandmete kasutamise üle, mis ei tekita andmesubjektile mingeid tuntavaid ega kahjulikke tagajärgi?

    8.      Kas riiklikuks järelevalveasutuseks oleva isikuandmete kaitse komisjoni […] poolt [isikuandmete kaitse üldmääruse] artikli 58 lõike 3 punkti b alusel esitatud [2021. aasta arvamust], mille kohaselt ei ole [registrite ametil] õiguslikku võimalust ega õigust omal algatusel või andmesubjekti taotluse alusel piirata juba avalikustatud andmete töötlemist, võib õiguspäraselt lugeda tõendiks [isikuandmete kaitse üldmääruse] artikli 82 lõike 3 tähenduses selle kohta, et [registrite amet] ei ole mingil viisil vastutav füüsilisele isikule kahju tekitanud olukorra eest?“

    IV.    Menetlus Euroopa Kohtus

    12.      Põhikohtuasja pooled, Bulgaaria, Saksamaa, Iiri, Itaalia, Poola ja Soome valitsus ning komisjon esitasid Euroopa Liidu Kohtu põhikirja artikli 23 alusel kirjalikke seisukohti kõigi või osa eelotsuse küsimuste kohta. Põhikohtuasja poolte, Bulgaaria ja Iiri valitsuse ning komisjoni suulised seisukohad kuulati 7. märtsi 2024. aasta kohtuistungil samuti ära.

    A.      Analüüs

    13.      Euroopa Kohtu palvel keskendub käesolev ettepanek neljandale ja viiendale eelotsuse küsimusele, mida ma soovitan käsitleda koos. Enne analüüsima asumist pean vajalikuks teha mõne sissejuhatava märkuse eelotsusetaotluse kui terviku kohta.

    1.      Sissejuhatavad märkused

    14.      Kõigepealt tuleb märkida – nagu seda tegid ka põhikohtuasja pooled, komisjon ja enamik Euroopa Kohtule seisukohti esitanud liikmesriike –, et eelotsusetaotluse põhjendustes ja eelotsuse küsimuste sõnastuses – sealhulgas praegu vaadeldavas neljandas küsimuses – on viidatud direktiivile 2009/101. See on aga kehtetuks tunnistatud ja asendatud alates 20. juulist 2017 direktiiviga 2017/1132, mis on põhikohtuasja asjaoludele ajaliselt kohaldatav. Seepärast viitan edaspidi oma analüüsis ainult sellele viimasele direktiivile.

    15.      Järgmiseks tuleb meelde tuletada, et direktiivi 2017/1132 ning eriti selle artikleid 16 ja 161 on käesoleva eelotsusetaotluse analüüsimiseks olulises osas 31. juulil 2019 jõustunud direktiiviga (EL) 2019/1151(7) muudetud. Kuigi on tõsi, et nagu rõhutab komisjon, kanti 2020. aasta põhikiri, mis sisaldas OLi isikuandmeid, äriregistrisse enne 1. augustit 2021 ehk enne direktiivi 2019/1151 ülevõtmistähtaja lõppu,(8) siis nagu märgib põhikohtuasja vastustaja oma kirjalikes seisukohtades, on osa asjaoludest – sealhulgas need, et registrite amet saatis 26. jaanuari 2022. aasta kirja, kustutas teatud andmed omal algatusel ja tegi need uuesti registris üldsusele kättesaadavaks – aset leidnud hiljem. Seega ei ole välistatud, et põhikohtuasjas on ajaliselt kohaldatav direktiivi 2017/1132 redaktsioon, mis sisaldab direktiiviga 2019/1151 tehtud muudatusi, seda tuleb aga kontrollida eelotsusetaotluse esitanud kohtul. Seetõttu viitan oma analüüsis edaspidi sellele redaktsioonile.

    16.      Täpsustan siiski kohe, et direktiiviga 2019/1151 tehtud muudatustel on küsimusele, kuidas peab äriregistri pidamise eest vastutav liikmesriigi asutus tagama oma ülesannete täitmisel isikuandmete kaitse, iseenesest üksnes piiratud mõju. Üldisemas plaanis on see-eest vaja rõhutada, et selle direktiivi eesmärk on suurendada ja toetada digitaalsete vahendite ja menetluste kasutamist äriühinguid puudutavate andmevoogude kogumisel ja haldamisel, mis toob kaasa neis sisalduvate isikuandmete laiema kättesaadavuse ja suurendab nii ohtu, et õigust selliste andmete kaitsele rikutakse, kui ka nende rikkumiste kahjulikkust.(9) Selline digiteerimisprotsess,(10) millega kaasneb selliste andmete piiriülese kättesaadavuse suurenemine, mis on samuti liidu seadusandja siht,(11) nõuab aga erilist tähelepanelikkust, kui õiguskindluse ja kolmandate isikute õiguste kaitse eesmärke, millest äriühingute andmete avalikustamisnormid lähtuvad, nagu allpool näeme, tasakaalustatakse selliste põhiõigustega nagu õigus eraelu puutumatusele ja isikuandmete kaitsele(12).

    17.      Ikka veel sissejuhatuseks märgin ka, et põhikohtuasjas on kõne all isikuandmete kustutamine liikmesriigi äriregistrist olukorras, kus nende andmete üldsusele kättesaadavaks tegemist ei nõua ei direktiiv 2017/1132 ega asjaomase liikmesriigi õigus, ning küsimus, kas selle registri pidamise ülesandega riigisisene asutus vastutab mittevaralise kahju eest, mida tekitatakse sellega, kui nende andmete kustutamise avaldust ei rahuldata kohe ja tingimusteta. Küsimust, millised isikuandmete kaitse kohustused on sellisel asutusel siis, kui ta alles kannab äriregistrisse äriühingu asutamisdokumente, mis sisaldavad selliseid andmeid, mille avaldamine ei ole kohustuslik, põhikohtuasi seevastu otse ei puuduta. See küsimus on siiski taustal tuntav, nagu on näha sellest, et mitu menetlusse astunud liikmesriiki käsitles seda oma seisukohtades suures mahus, soovitades neli esimest eelotsuse küsimust või osa neist põhjalikult ümber sõnastada. Järgnevas analüüsis käsitlen selle küsimuse teatud aspekte, jäädes siiski piiresse, mis on ette antud põhikohtuasja eseme ja eelotsuse küsimustega, millele käesolev ettepanek keskendub.

    2.      Neljas ja viies eelotsuse küsimus

    18.      Oma neljanda eelotsuse küsimusega, mille vastuvõetavusele Bulgaaria valitsus vastu vaidleb, soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas direktiivi 2017/1132 tuleb tõlgendada nii, et see lubab kehtestada konkreetsed menetlustingimused, mis peavad olema täidetud, et füüsilisel isikul, praegusel juhul selles direktiivis mainitud osaühingu(13) osanikel oleks õigus oma isikuandmete kustutamisele äriregistrist, kui need andmed ei kuulu küll liikmesriigi õiguse kohaselt avalikustamiskohustuse alla, kuid sisalduvad äriühingu asutamisdokumendis, mis tehti üldsusele kättesaadavaks äriühingu kandmisel sinna registrisse. Oma viienda eelotsuse küsimusega palub eelotsusetaotluse esitanud kohus Euroopa Kohtul aga täpsustada, kas selliste andmete puhul tegutseb äriregistri pidamise ülesandega asutus isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses „vastutava töötlejana“ või on ta lisaks selle määruse artikli 4 punkti 9 tähenduses oma töödeldavate andmete „vastuvõtja“, sest nende töötlemise eesmärgi on kolmas isik ette kindlaks määranud.

    19.      Nagu ma eespool märkisin, tuleb neid kaht küsimust minu arvates analüüsida koos. Selleks käsitlen neis tõstatatud eri küsimusi allkirjeldatud järjekorras. Pärast direktiivi 2017/1132 II lisas loetletud äriühingute avalikustamiskohustuste ulatuse lühikest ülevaadet analüüsin esiteks küsimust, kes on äriühingu kandmisel liikmesriigi äriregistrisse nende isikuandmete vastutav töötleja, mis sisalduvad avalikustamiskohustuse alla kuuluvates dokumentides, olukorras, kus nende andmete avalikustamist ei nõua ei ühtlustatud liidu õigusnormid ega asjaomase liikmesriigi õigus, nagu käesoleval juhul. Teiseks käsitlen küsimust, milline on konkreetsel juhul selliste andmete töötlemise õiguslik alus. Kolmandaks keskendun küsimusele, kas pärast seda, kui need andmed on neid sisaldava dokumendi üldsusele kättesaadavaks tegemise tagajärjel avalikustatud, on andmesubjektidel isikuandmete kaitse üldmääruse artikli 17 alusel õigus andmete kustutamisele. Lõpuks käsitlen neljandaks küsimust, kas selline õigus võib sõltuda niisuguste menetlustingimuste täitmisest, nagu on kirjeldanud eelotsusetaotluse esitanud kohus.

    20.      Enne selle analüüsi juurde asumist tuleb vastata vastuväidetele, mille esitas Bulgaaria valitsus neljanda eelotsuse küsimuse vastuvõetavuse kohta. Selle valitsuse arvates puudutab neljas eelotsuse küsimus sisuliselt seda, kas teatavad liikmesriigi õigusnormid on direktiivi 2017/1132 – direktiiviga 2019/1151 tehtud muudatuste eelses redaktsioonis – artikli 16 lõikega 7 kooskõlas, kuigi need liikmesriigi normid ei ole veel vastu võetud. Seega on küsimus hüpoteetiline. Selle kohta märgin, et eelotsusetaotluse esitanud kohtul tuleb viimase astme kohtuna otsustada, kas registrite ameti keeldumine kustutamast teatavaid vastustaja isikuandmeid, mis sisalduvad äriregistrisse kandmise tagajärjel üldsusele kättesaadavaks tehtud dokumendis, on õiguspärane ning millised on selle keeldumise tagajärjed. Sealjuures peab eelotsusetaotluse esitanud kohus direktiivi 2017/1132 ja isikuandmete kaitse üldmääruse sätteid arvestades hindama, kas sellist keeldumist saab muu hulgas põhjendada asjaoluga, et selle dokumendi kinnitatud ärakirja, millest kõnealused isikuandmed oleks kõrvaldatud, ei ole toimikusse lisatud. Järelikult on taotletud eelotsust vaja, et eelotsusetaotluse esitanud kohus saaks oma menetluses olevas kohtuasja lahendada. Lisaks on eelotsusetaotlusest neljanda eelotsuse küsimuse ebamäärasele sõnastusele vaatamata selgelt näha, et selle küsimuse eesmärk ei ole saada arvamust veel vastu võtmata riigisiseste õigusnormide kooskõla kohta liidu õigusega, vaid küsida Euroopa Kohtult liidu õiguse tõlgendamisjuhiseid, mida tal on oma menetluses oleva vaidluse lahendamiseks vaja. Seega pean ma neljandat eelotsuse küsimust vastuvõetavaks.

    3.      Lühike ülevaade direktiivi 2017/1132 II lisas loetletud äriühingutega seotud dokumentide ja andmete avalikustamiskohustuse ulatusest

    21.      Direktiivi 2017/1132 artiklis 14 on ette nähtud, et selle direktiivi II lisas loetletud liiki äriühingute kohta avaldavad liikmesriigid „vähemalt“ seal artiklis loetletud dokumendid ja andmed. Kohustuslikus korras avaldatavate dokumentide hulgas on artikli 14 punktides a–c nimetatud „asutamisdokument ja [äriühingu] põhikiri, kui see on eraldi dokumendis“, ning nende muudatused. Sama direktiivi artikli 4 punkti i kohaselt sisaldab põhikirjas või asutamislepingus või eraldi dokumendis esitatav kohustuslik informatsioon andmeid füüsiliste või juriidiliste isikute või äriühingute kohta, kes on põhikirjale või asutamisdokumendile alla kirjutanud või kelle nimel on sellele alla kirjutatud. Andmete hulgas, mille avaldamine tuleb tagada, on artikli 14 punktis d ära nimetatud „selliste isikute määramine, ametist vabastamine ja andmed nende isikute kohta, kellel on seadusjärgse organina või sellise organi liikmena õigus: […] esindada äriühingut tehingutes kolmandate isikutega või kohtus“ ja/või „võtta osa äriühingu juhtimisest, järelevalvest või kontrollimisest“. Vastavalt direktiivi 2017/1132 – direktiiviga 2019/1151 muudetud redaktsioonis – artikli 16 lõikele 2 säilitatakse kõiki artikli 14 kohaselt avalikustamisele kuuluvaid dokumente ja andmeid selle artikli lõikes 1 osutatud toimikus, mis on avatud äriregistris või äriühingute keskregistris, või kantakse otse registrisse.(14) Selle direktiivi – direktiiviga 2019/1151 muudetud redaktsioonis – artikli 16 lõigete 3 ja 4 kohaselt tagavad liikmesriigid, et artiklis 14 osutatud dokumendid ja andmed avalikustatakse, tehes need registris avalikult kättesaadavaks. Lisaks sellele võivad liikmesriigid ka nõuda, et mõned või kõik dokumendid ja andmed avaldataks selleks otstarbeks ette nähtud ametlikus väljaandes või samaväärselt tõhusate vahenditega. Liikmesriigid võtavad kõik vajalikud meetmed, et vältida erinevusi selle vahel, mis on registris ja mis on toimikus, ning selle vahel, mis on avaldatud registris ning mis on avaldatud ametlikus väljaandes.

    22.      Direktiivi 2017/1132 eelviidatud nõuete kohta võib märkida järgmist.

    23.      Esiteks on direktiivis 2017/1132 ette nähtud, et kogu äriühingu asutamisdokumendi ja selle muudatuste avalikustamine ja kättesaadavus registris on kohustuslik.(15)

    24.      Teiseks, II lisas nimetatud äriühingute puhul nõuab see direktiiv andmete avaldamist ja kättesaadavust registri kaudu ainult teatud isikute kategooriate kohta, sealhulgas isikute kohta, kellel on õigus äriühingut esindada või kes võtavad osa selle juhtimisest, järelevalvest või kontrollimisest. Kõnealuse direktiivi artikli 4 punkti i kohaselt tuleb avaldada ka see, kes on äriühingu asutamisdokumendile alla kirjutanud füüsilised isikud.

    25.      Kolmandaks on need andmed tuvastatud või tuvastatavate füüsiliste isikute kohta isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses „isikuandmed“.(16)

    26.      Neljandaks sisaldavad direktiivi 2017/1132 eespool viidatud sätted üksnes äriühingutega seotud dokumentide ja teabe avalikustamise miinimumnõudeid. Selle kindlaksmääramine, mis kategooria teabe avaldamine selle direktiivi artikli 4 punktis i ja artikli 14 punktis d nimetatud isikute kohta on kohustuslik, on seega liikmesriikide pädevuses. Lisaks on liikmesriikidel vabadus kehtestada selline avalikustamiskohustus ka muudele dokumentidele või andmetele, ning see võib sellisel juhul kehtida ka muude kategooriate isikute kohta. On enesestmõistetav, et seda tehes peavad nad järgima kõiki liidu õigusnorme, eriti Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artiklis 8 ja artikli 52 lõikes 1 sätestatud põhimõtteid ning isikuandmete kaitse üldmäärust.

    4.      Vastutav töötleja

    27.      Isikuandmete kaitse üldmääruse artikli 4 punktis 7 on mõiste „vastutav töötleja“ määratletud laialt kui füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega „määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid“. Selle laia määratluse eesmärk on – kooskõlas selle määruse enda eesmärgiga – tagada füüsiliste isikute põhiõiguste ja -vabaduste tõhus kaitse, mis hõlmab tagamist, et igaühe õigus tema isikuandmete kaitsele oleks kõrgel tasemel kaitstud.(17) Ka mõiste „töötlemine“ on laialt määratletud.(18) Isikuandmete kaitse üldmääruse artikli 4 punktis 2 on määruses kasutatav mõiste „isikuandmete töötlemine“ määratletud kui „isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine“.

    28.      Kohtuotsuse Manni kohaselt on see, mida registrit pidav ametiasutus teeb, kui ta kannab direktiivi 2017/1132 artikli 14 punktis d nimetatud isikute andmed registrisse, neid seal säilitab ja vastavalt olukorrale teistele üle annab, „isikuandmete töötlemine“, mille raames ta on nende „vastutav töötleja“ isikuandmete kaitse üldmääruse artikli 4 punktides 2 ja 7 esitatud määratluste tähenduses. Ilmselgelt on nii ka siis, kui registrisse kantakse, seal säilitatakse ja antakse sealt üle muid kui direktiivis otsesõnu nimetatud isikuandmeid, kui nende andmete avalikustamine on liikmesriigi õigusega ette nähtud.

    29.      Käesolevas kohtuasjas tekib siiski küsimus, kas selline asutus, käesoleval juhul registrite amet, vastutab selliste isikuandmete üldsusele kättesaadavaks tegemise eest, mille avalikustamist ei nõua ei direktiiv 2017/1132 ega asjaomase liikmesriigi õigus, praegusel juhul Bulgaaria õigus, kuid mis sisalduvad dokumendis, mille registrisse kandmine ja avalikustamine on kohustuslik.

    30.      Sellele küsimusele tuleb minu hinnangul vastata jaatavalt.

    31.      OLi isikuandmed tehti äriregistris üldsusele kättesaadavaks nimelt nende ülesannete täitmise raames, mis on antud registrite ametile kui selle registri pidamise kohustusega asutusele. Nagu eespool mainitud, on Bulgaaria õiguses ette nähtud, et äriühingu registrisse kandmise avaldusele lisatakse avalikustamisele kuuluvate dokumentide, sealhulgas äriühingu põhikirja originaal või kinnitatud ärakiri, mille registrite amet on kohustatud üldsusele kättesaadavaks tegema. Eesmärgid, mille jaoks registrite amet oma ülesannete täitmisel isikuandmeid töötleb, ning selle töötlemise vahendid on samuti kindlaks määratud nii Bulgaaria õiguses kui ka liidu õiguses, millega ühtlustati liikmesriikide õigusnormid äriühingute andmete avalikustamise valdkonnas, nagu nägime. Registrite ametit kui asutust, kelle ülesanne on töödelda äriregistrisse kantud dokumentides leiduvaid isikuandmeid kooskõlas Bulgaaria ja liidu õiguses sätestatud eesmärkide ja vahenditega, tuleb seega pidada isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses „vastutavaks töötlejaks“. Märgin, et hiljuti jõudis Euroopa Kohus 11. jaanuari 2024. aasta kohtuotsuses État belge (ametliku väljaande töödeldavad andmed)(19), kus kõne all oli liikmesriigi ametliku väljaande eest seaduse kohaselt vastutav riigisisene organ, samale järeldusele.

    32.      Seda järeldust ei kõiguta asjaolu, et praegusel juhul ei kuulu 2020. aasta põhikirja andmed nende hulka, mis tuleb Bulgaaria õiguse kohaselt üldsusele kättesaadavaks teha. Esiteks möönis Euroopa Kohus kohtuotsuses État belge kaudselt, et selline asjaolu ei mõjuta vastutava töötleja tuvastamist. Nii kohtuasjas, milles tehti see kohtuotsus, kui ka käesoleva eelotsusemenetluse põhikohtuasjas puudutas vaidlus andmeid, mille üldsusele kättesaadavaks tegemine ei olnud asjaomase liikmesriigi õiguse kohaselt nõutav. Teiseks on registrite seaduse artikli 13 lõikes 9 sõnaselgelt sätestatud, et kui avalduse tegija ei esita avalikustamisele kuuluva dokumendi kinnitatud ärakirja, millest on mittekohustuslikud andmed kõrvaldatud, töötleb amet neid andmeid ja teeb need üldsusele kättesaadavaks eeldatava vaikiva nõusoleku alusel. Seega on Bulgaaria õiguses registrite amet isegi sellises olukorras sõnaselgelt vastutavaks töötlejaks määratud.

    33.      Neil asjaoludel ei saa ma nõustuda registrite ameti kirjalikes seisukohtades esitatud argumendiga, et kui avaldaja ei eemalda dokumentidest, mille ta registrisse kandmiseks edastab, neis sisalduvat teavet, mis ei ole seadusega nõutav, muutub ta ise vastutavaks andmetöötluse eest, mis seisneb selle teabe üleslaadimises sellesse registrisse. Sõltumata küsimusest, kas registrite seaduse artikli 13 lõikes 9 ette nähtud eeldust võib käsitada kehtiva nõusoleku andmisena nende andmete avaldamiseks, ei saa sellise nõusoleku olemasolu nimelt mõjutada vastutava töötleja tuvastamist, vaid üksnes töötlemise seaduslikkust.

    34.      Samuti ei oma tähtsust asjaolu, millele registrite amet samuti tähelepanu juhtis, nimelt et äriregistrisse kandmise avalduse raames esitatud dokumendid ei ole struktureeritud ega masinloetavad andmed, erinevalt selle registri digitaalsetest väljadest, mille täidab registrikannet tegev ametnik ja mis vastavad Bulgaaria õiguses „registri“ legaaldefinitsioonile. Registrite amet on nimelt asutus, kellele on Bulgaaria õigusega usaldatud äriregistri pidamise ülesanne ning kes vastutab seega registris avaldatud isikuandmete mis tahes töötlemise eest, sõltumata sellest, kas need andmed on avaldusele lisatud dokumendis või on need kodeerinud registrite ameti ametnik. Nõnda vastutab ta isegi siis, kui ta saadud dokumente ise ei digiteeri, ikkagi nende dokumentide ja neis olevate andmete avalikustamise eest registri kaudu. Üldisemalt kogub, dokumenteerib, säilitab, korrastab ja korraldab see asutus avalikes huvides oleva ülesande täitmise raames kõik oma saadud andmed, aktid ja dokumendid struktureeritud andmebaasis, mida peetakse usaldusväärseks ja autentseks teabeallikaks.

    35.      Viimaks olgu öeldud, et registrite ameti kvalifitseerimist isikuandmete kaitse üldmääruse artikli 4 lõike 7 tähenduses vastutavaks töötlejaks ei sea kahtluse alla asjaolu, et ta ei kontrolli registrisse kandmiseks esitatud dokumentide elektroonilistes kujutistes või paberoriginaalis olevaid isikuandmeid enne nende üleslaadimist, ega ka asjaolu, et ta ei saa neid andmeid muuta ega parandada. Viitan sellega seoses, et Euroopa Kohus on sarnase sisuga argumendid korra juba tagasi lükanud kohtuotsuses État belge, kus oli kõne all kolmandate isikute koostatud ning seejärel kohtule esitatud ja liikmesriigi ametliku väljaande eest vastutavale organile avalikustamiseks üle antud aktide ja dokumentide avaldamine selles väljaandes. Selle kohtuotsuse punktis 38 märkis Euroopa Kohus esiteks, et selliste aktide ja dokumentide avaldamine ilma nende sisu kontrollimise või muutmise võimaluseta on lahutamatult seotud ametliku väljaande rolliga, mis piirdub üldsuse teavitamisega nende olemasolust vastavalt kohaldatavale riigisisesele õigusele, selleks et neile saaks kolmandate isikute vastu tugineda. Teiseks täpsustas ta, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 eesmärgiga tagada füüsilistele isikutele tõhus ja täielik kaitse nende andmete töötlemisel oleks vastuolus, kui liikmesriigi ametlik väljaanne jäetaks mõiste „vastutav töötleja“ kohaldamisalast välja põhjusel, et tal puudub nende andmete üle kontroll. Analoogseid kaalutlusi saab mutatis mutandis kohaldada aktide ja dokumentide avaldamisele liikmesriikide äriühingute registrites. Just nagu Moniteur belge’i puhul eespool viidatud kohtuotsuses, täidab registrite amet seda ülesannet nimelt üksi, hoolimata sellest, et ta peab asjaomase akti muutmata kujul avaldama.(20)

    36.      Siinkohal tekib küsimus, kas registrite ametit tuleb pidada vaidlusaluste andmete ainsaks vastutavaks töötlejaks ja seega isikuandmete kaitse üldmääruse artikli 5 lõikes 1 sätestatud põhimõtete järgimise eest ainuvastutavaks, või jagab ta seda vastutust äriühingu nimel avalduse esitanud isikuga, kuna viimati nimetatu ei saatnud registrite ametile 2020. aasta põhikirjast ärakirja, millest need andmed oleks olnud kõrvaldatud.

    37.      Selles küsimuses meenutan kõigepealt, et isikuandmete kaitse üldmääruse artikli 26 lõike 1 kohaselt võivad kaks või enam isikut olla töötlemise eest kaasvastutavad ning et iga töötleja vastutusvaldkonna võib kindlaks määrata nendevahelise kokkuleppega või nende suhtes kohaldatavas liidu või riigi õiguses.(21) Selle kohta on Euroopa Kohus täpsustanud, et „kaasvastutavaks“ kvalifitseerimine tuleneb asjaolust, et isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramisel on osalenud mitu üksust.(22) Kui sellist osalemist pole toimunud, on kaasvastutus töötlemise eest seevastu välistatud ja eri osalisi tuleb käsitada järjestikuste sõltumatute vastutavate töötlejatena. Nagu Euroopa andmekaitseinspektor märkis, tuleks samade andmete või andmekogumite vahetamist kahe üksuse vahel ilma, et nad töötlemise eesmärgid või vahendid ühiselt kindlaks määraksid, pidada andmete edastamiseks eraldi vastutavate töötlejate vahel.(23)

    38.      Nõnda ei saa pelgalt asjaoluga, et registrite amet on korraga nii isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses „vastutav töötleja“ kui ka selle artikli punkti 9 tähenduses „vastuvõtja“, sest talle edastatakse äriregistrisse kandmise avaldusele lisatud aktides ja dokumentides sisalduvad isikuandmed, välistada, et nende andmete üldsusele kättesaadavaks tegemise eest vastutab tema üksi. Nimelt kujutavad talle üle antud dokumentides sisalduvate andmete üldsusele kättesaadavaks tegemine, nagu ka nende andmete digiteerimine, kui seda peaks tehtama, ning nende säilitamine endast andmetöötlust, mis on avalduse esitaja poolsest andmete edastamisest äriühingu registreerimiseks eraldi ja hilisem toiming. Registrite amet teeb aga kõik neid töötlemistoimingud talle usaldatud avaliku ülesande raames üksi ning kooskõlas Bulgaaria õiguses kindlaks määratud eesmärkide ja korraga.(24)

    39.      Tõsi, Euroopa Kohus täpsustas kohtuotsuses État belge(25) esiteks, et selleks, et pidada isikut kaasvastutavaks töötlejaks, piisab sellest, kui ta mõjutab temale omastel eesmärkidel isikuandmete töötlemist ja osaleb seeläbi töötlemise eesmärkide ja vahendite kindlaksmääramisel.(26) Käesoleval juhul nähtub Euroopa Kohtu käsutuses olevast toimikust siiski, et äriregistri kaudu üldsusele kättesaadavaks teha tulevates dokumentides olevate andmete töötlemise eesmärgid ja vahendid on kindlaks määratud üksnes seadusega. Isikutel, kes laadivad äriühingu nimel need dokumendid ja andmed, mille avalikustamine on seaduse kohaselt nõutav, selle registri andmebaasi,(27) ei ole sellele kindlaksmääramisele mingit mõju ning neid – nagu ka äriühingut ennast – ei saa seega pidada vastutavaks nende poolt registrite ametile edastatud andmete hilisema töötlemise eest, sealhulgas nende andmete avalikustamise eest registri elektroonilises andmebaasis. Pealegi on neil isikutel registrite ametile avalikustada tulevaid dokumente edastades ja neis sisalduvaid andmeid töödeldes omaenda eesmärgid, nimelt täita äriühingu registreerimiseks vajalikud formaalsused, mis erinevad registrile määratud avalikest eesmärkidest, mida registrite amet nende aktide üldsusele kättesaadavaks tegemisel järgib.(28)

    40.      Teiseks möönis Euroopa Kohus kohtuotsuses État belge, et eri isikute või üksuste poolsete töötlemiste ahelas, mis puudutavad samu isikuandmeid, võidakse liikmesriigi õiguses nende eri isikute või üksuste järjestikuste töötlemistoimingute eesmärgid ja vahendid kindlaks määrata nii, et neid peetakse kaasvastutavateks töötlejateks.(29) Seega tuleneb isikuandmete kaitse üldmääruse artikli 26 lõikest 1 koostoimes artikli 4 punktiga 7, et samade isikuandmete töötlemise ahela mitme osalise kaasvastutuse võib riigisiseses õiguses ette näha, tingimusel et neid eri töötlemistoiminguid ühendavad selles õiguses kindlaks määratud eesmärgid ja vahendid ning selles õiguses on iga kaasvastutava töötleja kohustused otse või kaudselt kindlaks määratud.(30) Minu hinnangul ei ole aga nii registrite seaduse artikli 13 lõigete 6 ja 9 puhul, milles on kõigest kindlaks määratud see, mis tingimustel on andmesubjekt Bulgaaria õiguse kohaselt andnud kehtiva nõusoleku avaldada äriregistris isikuandmeid, mida ei pea avalikustama. Nimelt ei ole selle sätte eesmärk mitte panna avalduse esitajale kaasvastutust nende andmete edasise töötlemise eest, vaid pigem täpsustada registrite ameti poolse töötlemise seaduslikkuse alust. Nagu ma juba rõhutasin, on äriühingu eraviisilised eesmärgid pealegi teistsugused kui registrite ameti avalikud eesmärgid, mistõttu ei ole tingimused, mis on kohtuotsuse État belge kohaselt nõutavad selle järeldamiseks, et nende kui „samade isikuandmete töötlemise ahela“ osaliste kaasvastutus on Bulgaaria õigusega kehtestatud, minu hinnangul täidetud.

    41.      Kõigist eeltoodud kaalutlustest lähtudes leian, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 ja artikli 26 lõiget 1 tuleb tõlgendada nii, et liikmesriigi äriregistri pidamise eest vastutav asutus, kes peab selle riigi õigusnormide kohaselt tagama, et dokumendid, mis edastatakse talle äriühingu registrisse kandmise avalduse raames, saaksid avalikuks, on neis dokumentides olevate isikuandmete üldsusele kättesaadavaks tegemise eest ainuvastutav, isegi kui tegemist on andmetega, mille avaldamine ei ole nõutav ja mis oleks nende õigusnormide kohaselt tulnud enne sellele asutusele edastamist neist dokumentidest kõrvaldada.

    5.      Töötlemise seaduslikkuse alus

    42.      Igasugune isikuandmete töötlemine peab olema kooskõlas isikuandmete töötlemise põhimõtetega, mis on sätestatud isikuandmete kaitse üldmääruse artikli 5 lõikes 1, ja vastama tingimustele, mis on loetletud selle määruse artiklis 6,(31) milles on antud ammendav ja piiratud loetelu juhtudest, mil isikuandmete töötlemist saab pidada seaduslikuks.(32) Isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti a kohaselt on isikuandmete töötlemine seaduslik siis ja sellisel määral, mil andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil. Kui sellist nõusolekut ei ole antud või kui nõusolekut ei ole antud vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt kas avalduse vormis või selge nõusolekut väljendava tegevusega, nagu on ette nähtud isikuandmete kaitse üldmääruse artikli 4 punktis 11, on selline töötlemine siiski põhjendatud, kui see vastab mõnele selle määruse artikli 6 lõike 1 esimese lõigu punktides b–f nimetatud vajadusele, mida tuleb tõlgendada kitsalt.(33)

    43.      Käesoleval juhul on ilmne, et registrite seaduse artikli 13 lõikes 9 ette nähtud nõusolekueeldus ei vasta tingimustele, mis on ette nähtud isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis a koostoimes selle määruse artikli 4 punktiga 11.(34) Seega tuleb kontrollida, kas selline andmetöötlus, nagu on kõne all põhikohtuasjas, vastab mõnele muule selle määruse artikli 6 lõike 1 esimeses lõigus nimetatud alusele.

    44.      Kohtuotsusest Manni nähtub, et kui registrit pidav ametiasutus töötleb isikuandmeid selliste liidu õigusaktide rakendamisel, millega kooskõlastatakse liikmesriikide õigusnorme äriühingute dokumentide avalikustamise kohta, vastab see töötlemine muu hulgas isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktides c ja e ette nähtud seaduslikkuse alustele, millest esimene seisneb vastutava töötleja seadusjärgse kohustuse täitmises ja teine avalikes huvides oleva ülesande täitmises või vastutava töötleja avaliku võimu teostamises. Seega lähtun oma analüüsis neist kahest alusest.

    45.      Seoses esimese alusega, mis on ette nähtud isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis c, tuleb kõigepealt analüüsida, kas põhikohtuasjas kõne all olevate isikuandmete – mis ei kuulu direktiivi 2017/1132 ega Bulgaaria õiguse alusel avalikustamisele kuuluva teabe hulka – üldsusele kättesaadavaks tegemine äriregistris oli põhjendatud vajadusega tagada selle direktiivi artiklis 14 osutatud dokumentide avalikustamine ning seega vajalik liidu õigusest tuleneva õigusliku kohustuse täitmiseks.

    46.      Selle direktiivi artikli 16 lõike 3 kohaselt tagavad liikmesriigid, et need dokumendid tehakse üldsusele kättesaadavaks sama artikli lõike 1 esimeses lõigus osutatud registris. Saksamaa, Iiri ja Poola valitsus on sisuliselt seisukohal, et vastavalt sellele artiklile koostoimes eelviidatud artikliga 14 peavad registri pidamise eest vastutavad asutused avaldama need dokumendid sellisena, nagu nad on need saanud. Seega on nad kohustatud töötlema kõiki neis sisalduvaid isikuandmeid, sealhulgas andmeid, mida liidu õigus ega kohaldatav riigisisene õigus ei nõua.

    47.      Sellise tõlgendusega ma ei nõustu. Direktiivis 2017/1132 on nimelt ette nähtud, et teatavad äriühingute põhidokumendid kuuluvad kohustuslikus korras avalikustamisele ja et seda tehakse registris, kuid direktiiv ei nõua, et kõiki neis dokumentides sisalduvaid isikuandmeid töödeldaks süstemaatiliselt isegi siis, kui selline töötlemine peaks minema isikuandmete kaitse üldmäärusega vastuollu. Vastupidi, nagu ma eespool meenutasin, on selle direktiivi – direktiiviga 2019/1151 muudetud redaktsioonis – artiklis 161 ette nähtud, et selle õigusakti raames peab isikuandmete töötlemine toimuma vastavalt sellele määrusele. Seega tuleb liikmesriikidel leida õiglane tasakaal, kus ühel vaekausil on õiguskindluse ja kolmandate isikute huvide kaitse eesmärgid, millest – nagu peagi näeme – lähtuvad äriühingute dokumentide avalikustamisnormid, ja teisel põhiõigus isikuandmete kaitsele.

    48.      Järgmiseks tuleb kontrollida, kas põhikohtuasjas kõne all olevate andmete avaldamine äriregistris oli Bulgaaria õiguses ette nähtud seadusjärgse kohustuse täitmiseks vajalik. Märgin selle kohta, et registrite seaduse artikli 2 lõikes 2 on ette nähtud, et äriregistrisse kanda tulevad dokumendid „avalikustatakse ilma teabeta, mis kujutab endast [isikuandmete kaitse üldmääruse] artikli 4 punkti 1 tähenduses isikuandmeid, välja arvatud teabe puhul, mille avalikustamist nõuab seadus“. Seega ei saa põhikohtuasjas kõne all oleva andmetöötluse seaduslikkus nähtavasti põhineda isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti c tähenduses „juriidilisel kohustusel“, mida registrite ametil tuleks Bulgaaria õiguse kohaselt täita; seda paistab muide kinnitavat registrite seaduse artikli 13 lõikes 9 kehtestatud nõusolekueeldus. Selle küsimuse peab siiski lahendama eelotsusetaotluse esitanud kohus, kes on ainsana pädev riigisisest õigust tõlgendama. Piirdun siinkohal täpsustamisega, et asjaolu, millele registrite amet tugineb – et ilma ärakirjata, millest oleks eemaldatud isikuandmed, mis ei ole seadusega nõutud, peab ta dokumendi avaldama sellisena, nagu see talle edastati – ei ole minu hinnangul üksi piisav, et olla isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti c tähenduses „juriidiline kohustus“, arvestades, et a priori on selline avaldamine seadusega välistatud ja registrite amet teeb seda üksnes eeldatava nõusoleku alusel.(35) Sellega seoses on oluline rõhutada, et vastutav töötleja peab veenduma, et andmete töötlemine, mida ta teeb, on selle määruse artikli 6 lõike 1 esimese lõigu punktides a–f sätestatud tingimusi arvestades „seaduslik“.(36)

    49.      Mis puutub teise, nimelt isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis e sätestatud alusesse, millele viitab nii eelotsusetaotluse esitanud kohus kui ka enamik käesolevas menetluses seisukohti esitanud liikmesriike, on Euroopa Kohus selle kohta mäletatavasti juba otsustanud, et kui avaliku võimu kandja säilitab andmebaasis andmeid, mille äriühingud peavad seadusest tuleneva kohustuse alusel esitama, võimaldab huvitatud isikutel selliste andmetega tutvuda ja teeb neile andmetest väljavõtteid, kuulub see tegevus avaliku võimu teostamise alla(37) ning kujutab endast selle sätte tähenduses avalikes huvides olevat ülesannet.(38) Nagu nentis kohtujurist Bot ettepanekus, mille ta esitas kohtuasjas, milles tehti kohtuotsus Manni, on äriühingute registrites ja äriregistrites äriühingute kohta olulise teabe registreerimise ja avaldamise eesmärk luua usaldusväärne teabeallikas ja seega tagada õiguskindlus, mis on vajalik kolmandate isikute ja eelkõige võlausaldajate huvide kaitsmiseks, kaubandustehingute aususeks ja järelikult turu nõuetekohaseks toimimiseks.(39) Lisaks, nagu Euroopa Kohus on rõhutanud, aitab kõigi asjakohaste andmete säilitamine neis registrites ja nende kättesaadavus kolmandatele isikutele soodustada liikmesriikidevahelist kaubandust ka siseturu arengu aspektist.(40)

    50.      Käesoleval juhul tekib küsimus, kas neile eesmärkidele ja isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis e ette nähtud seaduslikkuse alusele saab tugineda olukorras, kus registrite amet teeb üldsusele kättesaadavaks põhikohtuasjas kõne all olevad isikuandmed, mis ei kuulu nende hulka, mille avalikustamine on liidu või Bulgaaria õiguse kohaselt kohustuslik.

    51.      Märgin selle kohta, et isikuandmete kaitse üldmääruse artikli 6 lõikes 3, kui tõlgendada seda koostoimes üldmääruse põhjendusega 45, on sama artikli lõike 1 esimese lõigu punktis e nimetatud seaduslikkuse aluse kohta täpsustatud, et töötlemine peab põhinema liidu õigusel või vastutava töötleja suhtes kohaldataval liikmesriigi õigusel ning et see õiguslik alus peab vastama avalikust huvist lähtuvale eesmärgile ja olema taotletava õiguspärase eesmärgiga proportsionaalne.(41) Ent käesolevas kohtuasjas – mis puudutab isikuandmete töötlemist, mis on küll toimunud isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti e kohaselt avalikes huvides oleva ülesande täitmise käigus, kuid mida ei peeta kohaldatavate riigisiseste õigusnormide kohaselt a priori ei selle ülesande täitmiseks ega äriregistrile määratud eesmärkide saavutamiseks vajalikuks, ning mis on lubatud üksnes tänu andmesubjekti eeldatavale nõusolekule – ei paista ükski neist nõuetest, mille kohta Euroopa Kohus on täpsustanud, et need väljendavad harta artikli 52 lõikest 1 tulenevaid nõudeid,(42) täidetud olevat.

    52.      Üldisemalt tuleb rõhutada, et selliste isikuandmete avaldamine, mida liidu õigus või asjaomase liikmesriigi õigus ei nõua, ei teeni ühtegi käesoleva ettepaneku punktis 49 nimetatud eesmärki,(43) mis saaks ainsana õigustada seda, et riivatakse andmesubjektide õigust eraelu puutumatusele ja isikuandmete kaitsele, mis on tagatud harta artiklitega 7 ja 8.(44) Pealegi, nagu Euroopa Kohus rõhutas kohtuotsuses Manni, ei peeta sellist riivet ebaproportsionaalseks muu hulgas seetõttu, et põhimõtteliselt on avalikustamiskohustus kehtestatud üksnes piiratud arvu isikuandmete suhtes, nimelt nende, mida on vaja äriühingu esindamise õigusega isikute tuvastamiseks ja mis puudutavad nende volitusi, seega andmete suhtes, mida on vaja kolmandate isikute huvide kaitseks.(45)

    53.      Bulgaaria valitsus ja registrite amet väidavad sisuliselt, et Bulgaaria õiguse kohaselt on põhikohtuasjas kõne all oleva andmetöötluse aluseks vajadus tagada äriühingute oluliste dokumentide avalikustamine, hoida need tervikliku ja usaldusväärsena ning mitte takistada registrite ametil oma avalikes huvides olevat ülesannet täita. Kui eelotsusetaotluse esitanud kohus peaks samale järeldusele jõudma, tuleb tal veel kindlaks teha, kas proportsionaalsuse põhimõtet on järgitud. Selle põhimõtte kohaselt tohib põhiõigust isikuandmete kaitsele riivata üksnes tingimata vajalikes piires,(46) millega pole tegemist siis, kui üldistes huvides olevat eesmärki on võimalik mõistlikult ja sama tõhusalt saavutada muude vahenditega, mis riivaksid seda õigust vähem.(47) Tuleb ka meenutada, et isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti c kohaselt peavad isikuandmed olema asjakohased, olulised ja piirduma sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt, ning selles sättes nõutakse, et liikmesriigid järgiksid „võimalikult väheste andmete kogumise“ põhimõtet, milles väljendub proportsionaalsuse põhimõte.(48)

    54.      Minu hinnangul saab äriühingu põhidokumentide avalikkuse tagamise eesmärki mõistlikult saavutada aga nii, et kehtestatakse menetlused, mis võimaldavad enne dokumentide avaldamist eemaldada isikuandmed, mille üldsusele kättesaadavaks tegemine ei ole nõutav. Need menetlused võivad muu hulgas hõlmata registrite ameti kohustust peatada äriühingu registreerimine, et selliste andmetega dokumente saaks muuta, või vajaduse korral need andmed omal algatusel kustutada.

    55.      Minu arvates ei saa nõustuda argumentidega, mille on esitanud hulk käesolevas menetluses seisukohti esitanud liikmesriike ja mille kohaselt kaasneb selliste menetluste kehtestamisega oht, et äriühingute registrisse kandmise avalduste menetlemine pidurdub, mis kahjustab iseäranis osanike huve, või et liikmesriikide asutustele langevad ülemäära rasked ülesanded. Esiteks on neid menetlusi vaja, et äriühingute dokumentide avalikustamisega kaitstavaid huve saaks ühitada põhiõigusega isikuandmete kaitsele, eriti kui kõnealused isikuandmed tehtaks digitaalses keskkonnas üldsusele piiranguteta kättesaadavaks, nagu ma käesoleva ettepaneku punktis 16 rõhutasin. Teiseks saab neis menetlustes kasutada andmete otsingu- ja tuvastamisvahendeid, mis aitavad asutuste ülesannet hõlbustada, ning neid saab üles ehitada nii, et ülesanne eemaldada isikuandmed, mis ei kuulu Bulgaaria õiguse kohaselt üldse avalikustamisele, langeks esimeses järjekorras avalduse esitajatele.

    56.      Mis puutub vajadusse, et avalikustamiskohustuse alla kuuluvad ja äriühingute registrisse kandmiseks edastatavad äriühingute dokumendid talletataks tervikliku ja usaldusväärsena – mida Bulgaaria valitsus ja registrite amet ning enamik käesolevas menetluses seisukohti esitanud liikmesriike samuti mainivad ja mis nõudvat nende dokumentide avaldamist sellisel kujul, nagu need registri pidamise eest vastutavatele asutustele esitati, ei saa see minu hinnangul olla süsteemselt olulisem kui põhiõigus isikuandmete kaitsele, sest muidu muutuks see kaitse puhtillusoorseks.

    57.      Kaldun nimelt arvama, et see vajadus saab äärmisel juhul õigustada seda, et neis dokumentides sisalduvaid isikuandmeid, mis kohustuslikus korras avaldamisele ei kuulu, säilitatakse, kuid mitte seda, et need avaldatakse üldsusele avatud registri andmebaasis ilma igasuguste piiranguteta või kitsendusteta. Täpsemalt on mu seisukoht selline, et kui teha üldsusele kättesaadavaks nende dokumentide ärakirjad, millest on mittenõutavad isikuandmed kõrvaldatud, ja säilitada toimikus originaal, oleks võimalik saavutada paras tasakaal selle vajaduse ja andmesubjektide andmete kaitse vahel. Dokumendi originaalile ja kõigile selles sisalduvatele andmetele oleks vajaduse korral seega võimalik ligi pääseda vaid konkreetsel juhul, kui on olemas seda põhjendav õigustatud huvi – sealhulgas dokumendi ehtsuse kontrollimine – ja järgides isikuandmete kaitse üldmäärust.

    58.      Mis sellesse puutub, siis vastupidi sellele, mida väidab teiste hulgas Iiri valitsus, olen seisukohal, et direktiivi 2017/1132 artikkel 16a, mille kohaselt „[l]iikmesriigid tagavad, et registrist on […] võimalik saada artiklis 14 osutatud dokumentide […] koopia või väljavõte“, ei tähenda, et liikmesriigid oleks kohustatud laskma kõigi nende dokumentidega piiramatult tutvuda. Seevastu kohustab direktiivi 2017/1132 (direktiiviga 2019/1151 muudetud redaktsioonis) artikkel 161 liikmesriike kehtestama menetlused, millega saab tagada, et äriregistri pidamise eest vastutavad asutused järgiksid neile usaldatud avalikes huvides oleva ülesande täitmisel kõiki isikuandmete kaitse üldmääruse sätteid, nagu ma juba märkisin.

    59.      Kõigist eeltoodud kaalutlustest lähtudes leian, et põhikohtuasjas kõne all olevat andmetöötlust ei saa pidada põhikohtuasja vastustaja nõusolekul toimuvaks isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti a tähenduses, kui tõlgendada seda koostoimes sama määruse artikli 4 punktiga 11. Kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidi, ei paista see töötlemine vastavat ei neile seaduslikkuse tingimustele, mis on ette nähtud isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis c, ega neile, mis on sätestatud selle artikli punktis e, kui tõlgendada neid koostoimes artikli 6 lõikega 3. Ammendavuse huvides lisan, et see töötlemine ei saa kuuluda ka isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f kohaldamisalasse, mis puudutab isikuandmete töötlemist, mida on vaja vastutava töötleja õigustatud huvi korral. Nagu Euroopa Kohus on täpsustanud, on isikuandmete kaitse üldmääruse artikli 6 lõike 1 teise lõigu sõnastuses nimelt selgelt väljendatud, et kui avaliku sektori asutus töötleb isikuandmeid oma ülesannete täitmisel, ei saa see töötlemine kuuluda isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f kohaldamisalasse, mistõttu välistavad selle sätte ja sama määruse artikli 6 lõike 1 esimese lõigu punkti e kohaldamine teineteist vastastikku.(49) Põhikohtuasjas kõne all olevas olukorras töötleb registrite amet isikuandmeid aga talle usaldatud avalikes huvides oleva ülesande täitmise raames, mis välistab algusest peale isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f kohaldamise, olenemata sellest, kas see vastab isikuandmete kaitse üldmääruse artikli 6 lõikes 3 ette nähtud tingimustele.

    60.      Seega pole välistatud, et eelotsusetaotluse esitanud kohus jõuab järeldusele, et põhikohtuasjas kõne all olev andmetöötlus oli ebaseaduslik, kuna see ei vastanud ühelegi isikuandmete kaitse üldmääruse artikli 6 lõikes 1 ette nähtud põhjendusele.

    6.      Õigus andmete kustutamisele

    61.      Isikuandmete kaitse üldmääruse artiklis 17 on sätestatud andmesubjekti õigus teda puudutavate isikuandmete kustutamisele, kui esineb mõni selle artikli lõikes 1 loetletud asjaoludest, ja seoses sellega paneb see artikkel vastutavale töötlejale kohustuse need andmed põhjendamatu viivituseta kustutada.

    62.      Isikuandmete kaitse üldmääruse artikli 17 lõikes 3 on siiski täpsustatud, et selle artikli lõiget 1 ei kohaldata, kui kõnealune töötlemine on vajalik mõnel lõikes 3 loetletud põhjusel. Nende põhjuste hulgas on selle määruse artikli 17 lõike 3 punktis b nimetatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud juriidilise kohustuse täitmine, mis näeb ette isikuandmete töötlemise, või avalikes huvides oleva ülesande või vastutava töötleja avalikku võimu täitmine.

    63.      Kuna need erandid õigusest kustutamisele kordavad isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktides c ja e sätestatud töötlemisaluseid, viitan selles suhtes, mis puudutab võimalust tugineda neile sellistel asjaoludel nagu põhikohtuasjas, käesoleva ettepaneku punktides 45–58 tehtud analüüsile.(50)

    64.      Juhul, kui eelotsusetaotluse esitanud kohus peaks leidma, et põhikohtuasjas kõne all olevate isikuandmete üldsusele kättesaadavaks tegemine äriregistris ei kuulu Bulgaaria õiguse kohaselt isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktide c või e kohaldamisalasse, kui tõlgendada neid koostoimes selle määruse artikli 6 lõikega 3, ja järelikult ka mitte artikli 17 lõike 3 punkti b kohaldamisalasse, on põhikohtuasja vastustajal isikuandmete kaitse üldmäärusest tulenevalt seega õigus andmete kustutamisele, mis tähendab, et neid ei jäeta enam üldsusele kättesaadavaks, ning registrite amet kui vastutav töötleja on kohustatud tema kustutamisavalduse rahuldama. Isikuandmete kaitse üldmääruse artikli 17 lõike 1 punktis d on nimelt ette nähtud andmesubjekti absoluutne õigus sellele, et tema isikuandmed kustutataks, kui neid on töödeldud ebaseaduslikult.(51)

    65.      Kui eelotsusetaotluse esitanud kohus peaks aga jõudma hoopis järeldusele, et põhikohtuasjas kõne all olev andmetöötlus oli isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktiga c või e kooskõlas, tuleb a priori kohaldada selle määruse artikli 17 lõike 3 punkti b. Siiski on vaja teha kaks täpsustust.

    66.      Esiteks, kui eelotsusetaotluse esitanud kohus peaks jõudma järeldusele, et põhikohtuasjas kõne all olevad isikuandmed oli vaja üldsusele kättesaadavaks teha registrite ametile usaldatud avalikes huvides oleva ülesande täitmiseks, et äriühingu kandmine äriregistrisse ei pidurduks, siis minu hinnangul ei saa pelgalt sellele alusele tuginedes põhjendada nende andmete säilitamist registris, kui äriühing on juba registreeritud, ja järelikult ei saa sellele tuginedes ka isikuandmete kaitse üldmääruse artikli 17 lõike 3 punkti b alusel välistada põhikohtuasja vastustaja õigust tema andmete kustutamisele. See õigus oleks sellisel juhul tagatud selle määruse artikli 17 lõike 1 punktiga c, mis on kohaldatav juhul, kui andmesubjekt on sama määruse artikli 21 lõike 1 alusel esitanud oma konkreetsest olukorrast lähtudes vastuväiteid muu hulgas sellisele isikuandmete töötlemisele, mida tehakse määruse artikli 6 lõike 1 esimese lõigu punkti e alusel, ja kui „töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid“, mille olemasolu peab tõendama vastutav töötleja.(52) Samadel põhjustel, mille ma esitasin juba käesoleva ettepaneku punktis 56, olen seisukohal, et vajadus säilitada äriühingu registrisse kandmise aluseks olevate dokumentide terviklikkus ja usaldusväärsus ei saa endast sellist ülekaalukat õiguspärast põhjust kujutada. Nagu ma märkisin, võib selle vajaduse täita muude vahenditega, mis riivavad põhiõigust isikuandmete kaitsele vähem.

    67.      Teiseks leiti kohtuotsuses Manni, et konkreetsetel üksikjuhtudel võib õigustatud ja veenvatel põhjustel, mis on seotud andmesubjektide konkreetse olukorraga, piirata juurdepääsu nii, et andmetega saaksid tutvuda üksnes tõendatud erihuviga kolmandad isikud, isegi kui tegemist on isikuandmetega, mille avalikustamine on direktiivi 2017/1132 kohaselt kohustuslik, ja seega isegi juhul, kui üldsusele kättesaadavaks tegemine tuleneb isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti c tähenduses juriidilisest kohustusest. Seda enam tuleb sellise piiramise õigust möönda isikuandmete puhul, mille avalikustamist ei nõua ei liidu ega liikmesriigi õigus. Sellisel juhul ei oleks ka tingimus, mille Euroopa Kohus seadis kohtuotsuses Manni äriühingu likvideerija isikut puudutavate andmetega tutvumise piiramisele, nimelt et äriühingu lõpetamisest oleks möödunud piisavalt pikk aeg, käesolevas asjas kohaldatav ning selliste andmetega tutvumist tuleb seega piirata võimalikult ruttu.

    7.      Kustutamisõiguse kasutamiseks konkreetsete menetlustingimuste kehtestamine

    68.      Eelotsusetaotluse andmetel nõudis registrite amet selle avalduse rahuldamiseks, milles OL palus kustutada oma isikuandmed, mille avalikustamine ei ole Bulgaaria õiguse kohaselt nõutav, konkreetsete menetlustingimuste täitmist, sealhulgas neid andmeid sisaldanud dokumendi ärakirja, millest need andmed oleks eemaldatud. Selle ärakirja puudumisel on see avaldus rahuldamata jäetud või sine die edasi lükatud. Registrite ameti selgituste kohaselt on nende menetlustingimuste täitmine vajalik, sest tal ei ole õigust kõnealuse dokumendi muutmiseks, mis kuulub üksnes äriühingu organite pädevusse.

    69.      Märgin, et isikuandmete kaitse üldmääruse artikli 23 lõike 1 kohaselt võib liidu või liikmesriigi õiguses „seadusandliku meetmega piirata artiklites 12–22 […] sätestatud kohustuste ja õiguste ulatust, […] kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada“ mõni selles sättes loetletud eesmärkidest. Kuna registrite ameti kohaldatavad menetlustingimused piiravad kokkuvõttes võimalust kasutada õigust andmete kustutamisele ning isikuandmete kaitse üldmääruse artiklis 21 ette nähtud õigust esitada vastuväiteid või lausa välistavad nende õiguste kasutamise juhul, kui andmesubjektil ei õnnestu panna äriühingut asjaomasesse dokumenti soovitud muudatusi tegema, võivad need menetlustingimused isikuandmete kaitse üldmääruse artikli 23 lõike 1 kohaldamisalasse kuuluda.(53) Seega tuleb kontrollida, kas selles sättes ette nähtud tingimused on praegusel juhul täidetud, isegi kui eelotsusetaotluse esitanud kohus ei ole Euroopa Kohtul otsesõnu palunud selles küsimuses seisukohta võtta.

    70.      Märgin selle kohta kõigepealt, et nende menetlustingimuste näol on nähtavasti tegemist lihtsalt registrite ameti siseste tavadega.(54) Seega tundub, et kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidi, ei ole need juba sel põhjusel kooskõlas isikuandmete kaitse üldmääruse artikli 23 lõikega 1, mis näeb ette, et selles sättes loetletud õiguste piiramist tuleb reguleerida „seadusandliku meetmega“.

    71.      Järgmiseks tekitavad need menetlustingimused küsimusi proportsionaalsuse põhimõtte järgimise aspektist.

    72.      Kuigi vajadus tagada äriregistrisse kantud dokumentide usaldusväärsus ja ehtsus ning laiemalt läbipaistvus ja õiguskindlus registrile usaldatud ülesande täitmisel võivad minu arvates olla isikuandmete kaitse üldmääruse artikli 23 lõike 1 punkti e tähenduses olulised eesmärgid, mis on liidu või liikmesriigi üldistes avalikes huvides, siis seda, et niisugustel asjaoludel nagu põhikohtuasjas piiratakse õigust andmete kustutamisele või vastuväite esitamisele või lausa välistatakse need õigused, see minu hinnangul ei õigusta, sest kasutada saab muid vahendeid, mis riivaksid põhiõigust isikuandmete kaitsele vähem.

    73.      Kuigi komisjon peab ootust, et äriühing muudab dokumenti ja kõrvaldab sealt kustutada soovitavad andmed, küll põhjendatuks, on ta selles kontekstis teinud ettepaneku, et registrite amet eemaldaks need andmed pärast mõistliku aja möödumist ise, kui selgub, et andmesubjektil ei õnnestu panna äriühingut sellist muudatust tegema.

    74.      Ma ei ole veendunud, et selline lahendus tagaks paraja tasakaalu mängus olevate eri õiguste ja huvide vahel, kuna selle tulemusel oleks andmed, mis ei kuulu avalikustamisele, digitaalses keskkonnas määramata ajani üldsusele kättesaadavad. See-eest saaks sellise tasakaalu minu hinnangul tagada, kui anda registrite ametile õigus pärast kustutamisavalduse saamist kõnealused andmed dokumendi üldsusele kättesaadavast ärakirjast võimalikult kiiresti ise eemaldada, säilitades siiski toimikus selle dokumendi originaali ja nõudes äriühingult, et see esitaks dokumendist muudetud redaktsiooni, millest need andmed oleks kõrvaldatud ja mis avaldataks samuti registris.

    75.      Tõsi küll, direktiivi 2017/1132 artikli 16 lõike 4 esimeses ja teises lõigus on ette nähtud, et liikmesriigid võtavad vajalikud meetmed, et vältida erinevusi selle vahel, mis on registris ja mis on toimikus, ning selle vahel, mis on avaldatud registris ning mis on avaldatud ametlikus väljaandes. Ent nõue säilitada kooskõla registri eri osade vahel ja ametliku väljaandega ning õiguskindluse eesmärk, millel see nõue põhineb, ei saa minu hinnangul siiski õigustada seda, et isikuandmed, mille avalikustamine ei ole kohustuslik, jääksid registris avaldatud dokumentides üldsusele piiranguteta ja ajaliste piirideta kättesaadavaks, kui andmesubjekt palub need kustutada. Esiteks on nende dokumentide muudatused, mis osutuvad nende andmete eemaldamiseks vajalikuks, tuvastatavad ja jälgitavad ning neid tehakse läbipaistvalt. Teiseks puudutavad need muudatused nende dokumentide osi, mille avalikustamine ei ole registrile usaldatud avalikes huvides oleva ülesande täitmiseks vajalik. Kolmandaks saab nende dokumentide terviklikkust ja ehtsust alal hoida, jättes toimikusse nende originaalid, millele tõendatud õigustatud huviga kolmandatel isikutel oleks reguleeritud juurdepääs.

    76.      Kõigest eelnevast lähtudes leian, et sellised menetlustingimused, nagu registrite amet käesoleval juhul kohaldas, ei ole isikuandmete kaitse üldmääruse artikli 23 lõikega 1 kooskõlas.

    V.      Ettepanek

    77.      Esitatud põhjendustest lähtudes teen Euroopa Kohtule ettepaneku vastata Varhoven administrativen sadi (Bulgaaria kõrgeim halduskohus) neljandale ja viiendale eelotsuse küsimusele järgmiselt:

    1.      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 4 punkti 7 ning artikli 26 lõiget 1

    tuleb tõlgendada nii, et

    liikmesriigi äriregistri pidamise eest vastutav asutus, kes peab selle riigi õigusnormide kohaselt tagama, et dokumendid, mis edastatakse talle äriühingu registrisse kandmise avalduse raames, saaksid avalikuks, on neis dokumentides olevate isikuandmete üldsusele kättesaadavaks tegemise eest ainuvastutav, isegi kui tegemist on andmetega, mille avaldamine ei ole nõutav ja mis oleks nende õigusnormide kohaselt tulnud enne sellele asutusele edastamist neist dokumentidest kõrvaldada.

    2.      Määrust 2016/679, eriti selle artiklit 17 ja artikli 23 lõiget 1

    tuleb tõlgendada nii, et

    liikmesriigi õigusnormid või tava, mille kohaselt sõltub füüsilise isiku õigus sellele, et liikmesriigi äriregistri pidamise eest vastutav asutus kustutaks tema isikuandmed, mis sisalduvad selles registris üldsusele kättesaadavaks tehtud dokumentides, selliste menetlustingimuste täitmisest, mille kohaselt tuleb kõnealusest dokumendist esitada ärakiri, millest need andmed oleks kõrvaldatud, on nende määruse sätetega vastuolus. Vastutava töötlejana ei saa see asutus kustutamisavalduse põhjendamatu viivituseta rahuldamise kohustusest vabaneda lihtsalt põhjendusel, et ta ei ole sellist ärakirja saanud.

    3.      Euroopa Parlamendi ja nõukogu 14. juuni 2017. aasta direktiivi (EL) 2017/1132 äriühinguõiguse teatavate aspektide kohta – Euroopa Parlamendi ja nõukogu 20. juuni 2019. aasta direktiiviga (EL) 2019/1151 muudetud redaktsioonis –, eriti selle artikli 16 lõikeid 2–4 koostoimes selle direktiivi põhjendusega 8

    ei saa tõlgendada nii, et

    see lubaks selliseid menetlustingimusi kehtestada. Selle direktiiviga ei ole vastuolus, kui liikmesriigi äriregistri pidamise eest vastutav asutus rahuldab avalduse kustutada selles registris üldsusele kättesaadavaks tehtud dokumendis sisalduvad isikuandmed, mida selle liikmesriigi õigusnormid ei nõua, ning kõrvaldab need andmed sellest dokumendist ise, hoides selle dokumendi kõrvaldamata andmetega redaktsiooni kõnealuse direktiivi artikli 16 lõikes 1 nimetatud toimikus.

    1      Algkeel: prantsuse.

    2      Täpsemalt puudutab eelotsusetaotlus Euroopa Parlamendi ja nõukogu 16. septembri 2009. aasta direktiivi 2009/101/EÜ tagatiste kooskõlastamise kohta, mida liikmesriigid äriühingu liikmete ja kolmandate isikute huvide kaitseks asutamislepingu artikli 48 teises lõigus osutatud äriühingutelt nõuavad, et muuta sellised tagatised võrdväärseteks (ELT 2009, L 258, lk 11). Ent nagu allpool näeme, on põhikohtuasja asjaoludele ajaliselt kohaldatav Euroopa Parlamendi ja nõukogu 14. juuni 2017. aasta direktiiv (EL) 2017/1132 äriühinguõiguse teatavate aspektide kohta (ELT 2017, L 169, lk 46).

    3      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“).

    4      DV nr 34, 25.4.2006.

    5      DV nr 48, 18.6.1991.

    6      See on arvamus nr 01-116(20)/01.02.2021.

    7      Euroopa Parlamendi ja nõukogu 20. juuni 2019. aasta direktiiv, millega muudetakse direktiivi 2017/1132 (ELT 2019, L 186, lk 80).

    8      Vt direktiivi 2019/1151 artikli 2 lõige 1. Selle direktiivi artikli 1 punktiga 6 direktiivi 2017/1132 artikli 16 lõikesse 6 tehtud muudatuste ülevõtmise tähtaeg lõppes 1. augustil 2023.

    9      Vt selle kohta minu ettepanek kohtuasjas État belge (ametliku väljaande töödeldavad andmed) (C‑231/22, EU:C:2023:468, punkt 80).

    10      Märgin, et komisjon võttis 29. märtsil 2023 vastu ettepaneku võtta vastu Euroopa Parlamendi ja nõukogu direktiiv, millega muudetakse direktiive 2009/102/EÜ ja (EL) 2017/1132 seoses digitaalsete vahendite ja menetluste kasutamise laiendamise ja ajakohastamisega äriühinguõiguses (COM/2023/177 final).

    11      Vt kutseregistrite sidestamise süsteemi, mis loodi 8. juunil 2017 Euroopa Parlamendi ja nõukogu 13. juuni 2012. aasta direktiiviga 2012/17/EL, millega muudetakse nõukogu direktiivi 89/666/EMÜ ning Euroopa Parlamendi ja nõukogu direktiive 2005/56/EÜ ja 2009/101/EÜ keskregistrite, äriregistrite ja äriühingute registrite sidestamise osas (ELT 2012, L 156, lk 1), ning mida nüüd reguleerib direktiiv 2017/1132. See süsteem ühendab riiklikud kutseregistrid Euroopa keskse platvormiga ja pakub Euroopa e-õiguskeskkonna portaali näol ühtset juurdepääsupunkti, mille kaudu kodanikud, ettevõtjad ja haldusasutused saavad otsida teavet ettevõtjate ja nende teistes liikmesriikides asutatud filiaalide kohta.

    12      Oma arvamuses direktiivi 2017/1132 muutmise ettepaneku kohta juhtis Euroopa Andmekaitseinspektor tähelepanu vajadusele „teadvustada riske, mis tulenevad nende isikuandmete juurdepääsetavusest, mis tehakse internetis digitaalsena ja mitmes keeles laialdaselt kättesaadavaks kergesti kasutatava Euroopa platvormi/juurdepääsupunkti kaudu“ (26. juuli 2018. aasta arvamus, mis on kättesaadav aadressil https://edps.europa.eu/data-protection/our-work/publications/opinions/digital-tools-and-processed-company-law_fr).

    13      OOD on ära toodud direktiivi 2017/1132 II lisas ja direktiivi 2017/1132, mida on muudetud direktiiviga 2019/1151, IIA lisas.

    14      Sel juhul näidatakse kõigi registri kannete teemad toimikus; vt direktiivi 2017/1132 artikli 16 lõige 2.

    15      Vt direktiivi 2017/1132 artikli 16 lõige 3, mille kohaselt võib artiklis 14 osutatud dokumendid väljavõttena avaldada üksnes asjaomase liikmesriigi ametlikus väljaandes.

    16      Vt seoses nõukogu 9. märtsi 1968. aasta esimese direktiiviga 68/151/EMÜ tagatiste kooskõlastamise kohta, mida liikmesriigid äriühingu liikmete ja kolmandate isikute huvide kaitseks EMÜ asutamislepingu artikli 58 teises lõigus tähendatud äriühingutelt nõuavad, et muuta sellised tagatised ühenduse kõigis osades võrdväärseteks (EÜT 1968, L 65, lk 8; ELT eriväljaanne 17/01, lk 3), 9. märtsi 2017. aasta kohtuotsus Manni (C‑398/15, edaspidi „kohtuotsus Manni“, EU:C:2017:197, punkt 34).

    17      5. detsembri 2023. aasta kohtuotsus Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punktid 28 ja 29).

    18      Vt selle kohta 5. oktoobri 2023. aasta kohtuotsus Ministerstvo zdravotnictví (mobiilirakendus COVID-19) (C‑659/22, EU:C:2023:745, punkt 28).

    19      C‑231/22, edaspidi „kohtuotsus État belge“, EU:C:2024:7, punkt 35. Vt ka minu ettepanek kohtuasjas, milles see kohtuotsus tehti (C‑231/22, EU:C:2023:468, punktid 34–75).

    20      Vt selle kohta kohtuotsus État belge, punkt 38.

    21      Vt selle kohta kohtuotsus État belge, punktid 46 ja 47.

    22      Vt selle kohta 5. detsembri 2023. aasta kohtuotsus Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punktid 44 ja 45).

    23      Vt selle kohta andmekaitsenõukogu suunised 07/2020 vastutava töötleja ja volitatud töötleja mõistete kohta isikuandmete kaitse üldmääruses (7. juulil 2021 vastu võetud versioonis 2.0, mis on kättesaadav prantsuse keeles veebiaadressil https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_fr.pdf), punktid 70 ja 72. Vt ka minu ettepanek kohtuasjas État belge (ametliku väljaande töödeldavad andmed) (C‑231/22, EU:C:2023:468, punkt 48 ning 55. joonealune märkus).

    24      Vt selle kohta kohtuotsus État belge, punkt 42.

    25      Vt kohtuotsus État belge, punkt 48.

    26      Kohtuasjas, milles tehti kohtuotsus État belge, oli mäletatavasti siiski juttu dokumentide avaldamisest liikmesriigi ametlikus väljaandes, mis oli mitut eri ametiasutust hõlmava töötlemisprotsessi viimane etapp. Seega oli faktiline olukord, mille kohta tehti see kohtuotsus, teistsugune kui käesolevas kohtuasjas.

    27      Oma seisukohtades selgitab registrite amet, et veebitaotluse korral laadib avaldaja registreerimiseks vajalike paberkandjal allkirjastatud dokumentide elektroonilised kujutised äriregistrisse üles.

    28      Neid eesmärke on nimetatud käesoleva ettepaneku punktis 49.

    29      Vt kohtuotsus État belge, punkt 45.

    30      Vt kohtuotsus État belge, punktid 49 ja 50.

    31      Vt 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, punkt 76 ja seal viidatud kohtupraktika).

    32      Vt 7. detsembri 2023. aasta kohtuotsus SCHUFA Holding (täitmata jäänud võlakohustusest vabastamine) (C‑26/22 ja C‑64/22, EU:C:2023:958, punktid 72 ja 73 ning seal viidatud kohtupraktika).

    33      Vt 4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused) (C‑252/21, EU:C:2023:537, punktid 91–93).

    34      Tuletan meelde, et eelotsusetaotluse esitanud kohtu kolmas eelotsuse küsimus on selle vastavuse kohta.

    35      Nagu rõhutab artikli 29 töörühm oma arvamuses 6/2014, on isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti c kohaldamisala „rangelt piiritletud“. Et seda sätet saaks kohaldada, peab juriidiline kohustus olema piisavalt selge ja kooskõlas kohaldatava andmekaitseõigusega. Minu hinnangul pole see nii seaduse puhul, mis ühest küljest välistab kõnealuse andmetöötluse ja teisest küljest lubab või lausa nõuab seda eeldatava nõusoleku alusel.

    36      Vt 4. mai 2023. aasta kohtuotsus Bundesrepublik Deutschland (kohtu elektrooniline postkast) (C‑60/22, EU:C:2023:373, punktid 54 ja 55).

    37      Vt 12. juuli 2012. aasta kohtuotsus Compass-Datenbank (C‑138/11, EU:C:2012:449, punktid 40 ja 41) ja kohtuotsus Manni, punkt 43.

    38      Vt kohtuotsus Manni, punkt 43.

    39      C‑398/15, EU:C:2016:652, punkt 54.

    40      Vt selle kohta 12. novembri 1974. aasta kohtuotsus Haaga (32/74, EU:C:1974:116, punkt 6) ja kohtuotsus Manni, punkt 50.

    41      Vt selle kohta 2. märtsi 2023. aasta kohtuotsus Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, punkt 31).

    42      Vt selle kohta 1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkt 69).

    43      Täpsemalt, äriühingu või osanike esindaja elukoht ei puutu tema isiku tuvastamisse ning selle teadmine ei ole põhimõtteliselt kolmandate isikute kaitseks tarvilik, nagu rõhutas kohtujurist Szpunar oma ettepanekus kohtuasjas All in One Star (C‑469/19, EU:C:2020:822, punkt 51).

    44      Vt kohtuotsus Manni, punkt 57.

    45      Vt kohtuotsus Manni, punkt 58.

    46      Vt 1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkt 70).

    47      Vt selle kohta 22. novembri 2022. aasta kohtuotsus Luxembourg Business Registers (C‑37/20 ja C‑601/20, EU:C:2022:912, punkt 66).

    48      Vt analoogia alusel 30. jaanuari 2024. aasta kohtuotsus Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR – Sofia (C‑118/22, EU:C:2024:97, punkt 41).

    49      Vt 8. detsembri 2022. aasta kohtuotsus Inspektor v Inspektorata kam Visshia sadeben savet (isikuandmete töötlemise eesmärgid – kriminaalmenetlus) (C‑180/21, EU:C:2022:967, punkt 85).

    50      Kuigi Euroopa Kohus mainis kohtuotsuse État belge punktis 51 obiter dictum võimalust, et isikuandmete kaitse üldmääruse artikli 17 lõike 3 punktides b ja d ette nähtud erandid on asjaomase liikmesriigi ametlikus väljaandes avaldatud isikuandmete kustutamise avaldusele kohaldatavad, ei käsitlenud ta siiski seda küsimust, mida eelotsusetaotluse esitanud kohus ei olnud selle kohtuotsusega päädinud kohtuasjas tõstatanud.

    51      Vt selle kohta 7. detsembri 2023. aasta kohtuotsus SCHUFA Holding (täitmata jäänud võlakohustusest vabastamine) (C‑26/22 ja C‑64/22, EU:C:2023:958, punkt 108); vt ka kohtujurist Pikamäe ettepanek selles kohtuasjas (C‑26/22 ja C‑64/22, EU:C:2023:222, punkt 91).

    52      Vt selle kohta 7. detsembri 2023. aasta kohtuotsus SCHUFA Holding (täitmata jäänud võlakohustusest vabastamine) (C‑26/22 ja C‑64/22, EU:C:2023:958, punktid 111 ja 112).

    53      Vt selle kohta 26. oktoobri 2023. aasta kohtuotsus FT (tervisetoimiku koopiad) (C‑307/22, EU:C:2023:811, punktid 53–69). Vt ka kohtujurist Emiliou ettepanek selles kohtuasjas (C‑307/22, EU:C:2023:315, punkt 37).

    54      Kuigi see kord meenutab registrite seaduse artikli 13 lõikes 6 ette nähtud menetlust, ei reguleeri viimati nimetatud säte andmesubjektide õigust andmete kustutamisele või õigust esitada vastuväiteid.

    Top