Cás C-200/23

Agentsia po vpisvaniyata

v

OL

(iarraidh ar réamhrialú ón Varhoven administrativen sad)

Breithiúnas na Cúirte (an Chéad Dlísheomra) an 4 Deireadh Fómhair 2024

(Tarchur chun réamhrialú – Daoine aonair a chosaint i dtaca le próiseáil sonraí pearsanta – Rialachán (AE) 2016/679 – Foilsiú bunreachta cuideachta ina bhfuil sonraí pearsanta i gclár tráchtála – Treoir (AE) 2017/1132 – Sonraí pearsanta nach bhfuil éigeantach – Easpa thoiliú an ábhair sonraí – An ceart go ndéanfaí léirscriosadh – Damáiste neamhábhartha)

1. Saoirse bunaíochta – Cuideachtaí – Treoir 2017/1132 – Oibleagáid ar Bhallstáit údarú a thabhairt chun bunreacht cuideachta ina bhfuil sonraí pearsanta a nochtadh i gclár tráchtála – Nochtadh sonraí nach bhfuil éigeantach faoin dlí náisiúnta – Níl oibleagáid ann

   (Treoir 2017/1132 ó Pharlaimint na hEorpa agus ón gComhairle, Airteagal 21(2))

   (féach míreanna 54, 55, 60 agus an chuid oibríochtúil 1)

2. Daoine nádúrtha a chosaint i ndáil le próiseáil sonraí pearsanta – Rialachán 2016/679 – An coincheap ‘rialaitheoir’ – An coincheap ‘faighteoir sonraí’ – Údarás atá freagrach as clár tráchtála Ballstáit a nochtann sonraí pearsanta atá i gconradh cuideachta – Cuimsiú – Bunreacht ina bhfuil sonraí pearsanta nach bhfuil éigeantach faoi Threoir 2017/1132 ná faoin dlí náisiúnta – Neamhábhartha

   (Rialachán 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle, Airteagal 4(7) agus (9); Treoir 2017/1132 ó Pharlaimint na hEorpa agus ón gComhairle)

   (féach míreanna 66, 72-76, 83 agus an chuid oibríochtúil 2)

3. Daoine nádúrtha a chosaint i dtaca le próiseáil sonraí pearsanta – Rialachán 2016/679 – Coinníollacha maidir le dleathacht próiseála sonraí pearsanta – Próiseáil a bhfuil gá léi chun oibleagáid dhlíthiúil atá ar an rialaitheoir a chomhlíonadh – Nochtadh sonraí pearsanta atá i mbunreacht cuideachta – Sonraí pearsanta nach bhfuil éigeantach faoi Threoir 2017/1132 ná faoin dlí náisiúnta – Eisiamh – An nochtadh sin a bheith ina phróiseáil a bhfuil gá léi chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil – Coinníollacha – An bhfuil gá leis an bpróiseáil

   (Rialachán 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle, Airteagal 6(1)(1)(c) agus (e); Treoir 2017/1132 ó Pharlaimint na hEorpa agus ón gComhairle)

   (féach míreanna 94, 96, 105-112, 114-116)

4. Daoine aonair a chosaint i ndáil le próiseáil sonraí pearsanta – Rialachán 2016/679 – An ceart go ndéanfaí léirscriosadh – Raon feidhme – Próiseáil neamhdhleathach sonraí pearsanta – Cuimsiú – Próiseáil dhleathach sonraí pearsanta – Próiseáil a bhfuil gá léi chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil – Eisiamh – Eisceacht – Forais dhlisteanacha thathanacha le próiseáil sonraí a bhfuil tosaíocht acu ar chearta agus saoirsí an ábhair sonraí – An t-ualach fianaise atá ar an rialaitheoir

   (Rialachán 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle, Airteagail 6(1)(e), 17(1)(c) agus (d) agus Airteagal 21(1))

   (féach míreanna 118 - 120)

5. Daoine aonair a chosaint i dtaca le próiseáil sonraí pearsanta – Rialachán 2016/679 – An ceart go ndéanfaí léirscriosadh – Oibleagáid údaráis náisiúnta atá freagrach as clár tráchtála Ballstáit aon iarratas ar léirscriosadh sonraí neamhfholaithe a dhiúltú – Sonraí pearsanta nach bhfuil éigeantach faoi Threoir 2017/1132 ná faoin dlí náisiúnta – Neamhcheadaithe

   (Rialachán ó Pharlaimint na hEorpa agus ón gComhairle 2016/679, Airteagal 17; Treoir ó Pharlaimint na hEorpa agus ón gComhairle 2017/1132, Airteagal 16)

   (féach mír 127 agus an chuid oibríochtúil 3)

6. Daoine aonair a chosaint i dtaca le próiseáil sonraí pearsanta – Rialachán 2016/679 – An coincheap ‘sonraí pearsanta’ – Síniú lámhscríofa duine nádúrtha – Cuimsiú

   (Rialachán 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle, Airteagal 4(1))

   (féach míreanna 131, 133, 136 agus an chuid oibríochtúil 4)

7. Daoine aonair a chosaint i dtaca le próiseáil sonraí pearsanta – Rialachán 2016/679 – An ceart chun cúiteamh a fháil agus dliteanas – An ceart chun cúiteamh a fháil as damáiste – Damáiste neamhábhartha – Coincheap – Smacht a chailleadh ar shonraí pearsanta – Cuimsiú – Coinníollacha – Ualach fianaise an damáiste neamhábhartha atá ar an ábhar sonraí – Oibleagáid a léiriú go bhfuil iarmhairtí diúltacha nithiúla breise ann – Níl ann

   (Rialachán 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle, Airteagal 82(1))

   (féach míreanna 140, 146, 156 agus an chuid oibríochtúil 5)

8. Daoine aonair a chosaint i dtaca le próiseáil sonraí pearsanta – Rialachán 2016/679 – An ceart chun cúiteamh a fháil agus dliteanas – Dliteanas an rialaitheora agus oibleagáid damáiste a bhain d’ábhar sonraí a shlánú – Díolúine – Raon feidhme – Tuairim chomhairleach arna heisiúint ag údarás maoirseachta maidir le ceisteanna a bhaineann le cosaint sonraí pearsanta, arna gcur ar fáil don rialaitheoir – Neamh-infheidhmeacht na díolúine ó dhliteanas maidir le húdarás náisiúnta ar rialaitheoir é

   (Rialachán 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle, Airteagail 4(7), 58(3)(b) agus 82(1) go (3))

   (féach míreanna 171, 172, 174, 176 agus an chuid oibríochtúil 6)

Résumé

I dtaca le hiarraidh ar réamhrialú arna tarchur ag an Varhoven administrativen sad (Cúirt Uachtarach Riaracháin, an Bhulgáir), tugann an Chúirt breith ar shraith ceisteanna a bhaineann, go bunúsach leis an ngaol idir forálacha dhlí an Aontais a bhaineann le doiciméid cuideachtaí a nochtadh ( 1 ) agus RGCS ( 2 ).

Tá OL ina chomhpháirtí in ‘Praven Shtit Konsulting’, cuideachta faoi dhliteanas teoranta faoi dhlí na Bulgáire a cláraíodh sa chlár tráchtála i ndiaidh bunreacht na cuideachta a thíolacadh. Tá roinnt sonraí pearsanta sa bhunreacht sin, a rinne an Agentsia po vpisvaniyata (gníomhaireacht atá freagrach as clárú i gcláir, an Bhulgáir) (‘an ghníomhaireacht’) a nochtadh, mar a tíolacadh é, a bhaineann leis na comhpháirtithe, lena n-áirítear céadainmneacha agus sloinnte, uimhreacha cárta aitheantais, seoltaí agus sínithe.

In 2021, d’iarr OL ar an ngníomhaireacht sonraí pearsanta a bhaineann léi a bhí sa chonradh sin a scriosadh. Thionscain OL dhá chaingean os comhair Administrativen sad Dobrich (Cúirt Riaracháin Dobrich, an Bhulgáir), mar gheall ar dhiúltú na gníomhaireachta sin na sonraí pearsanta a scriosadh. Le breithiúnas an 5 Bealtaine 2022, d’ordaigh an chúirt dheireanach sin don ghníomhaireacht cúiteamh a íoc le OL as damáiste de bhun RGCS ( 3 ). Agus í míshásta leis an mbreithiúnas sin, thug an ghníomhaireacht achomharc deiridh os comhair na cúirte a rinne an tarchur.

Maidir leis an réiteach atá le déanamh idir an reachtaíocht a bhaineann leis an ceart chun sonraí pearsanta a chosaint agus an ceart chun nochtadh agus rochtana ar dhoiciméid áirithe de chuideachtaí, chuir an chúirt náisiúnta tarchur chun réamhrialú chun na Cúirte Breithiúnais.

Measúnú na Cúirte Breithiúnais

Sa chéad áit, maidir le raon feidhme nochtadh saorálach na faisnéise, lena n-áirítear na sonraí pearsanta atá i ndoiciméid na gcuideachtaí, tugann an Chúirt dá haire nach mbaineann an fhoráil de Threoir 2017/1132 a bhaineann le nochtadh saorálach doiciméad agus faisnéis a bhaineann leis an gcuideachta ( 4 ) ach lena n-aistriúcháin gan tagairt a dhéanamh dá n-inneachar. Dá réir sin, ní féidir léiriú a dhéanamh air sa chaoi go bhforchuirtear aon oibleagáid maidir le foilsiú sonraí pearsanta nach n-éilítear le forálacha eile de dhlí an Aontais Eorpaigh ná le dlí an Bhallstáit lena mbaineann, , ach atá i ndoiciméad atá faoi réir foilsiú éigeantach dá bhforáiltear leis an Treoir sin ( 5 ). Dá réir sin, ní leagtar oibleagáid leis an bhforáil sin ar Bhallstát nochtadh bunreachta cuideachta sa chlár tráchtála a údarú, ar bunreacht é atá faoi réir an nochta éigeantaigh dá bhforáiltear leis an Treoir sin agus ina bhfuil sonraí pearsanta seachas na sonraí pearsanta íosta atá éigeantach, nach bhfuil a bhfoilsiú éigeantach faoi dhlí an Bhallstáit sin.

Sa dara háit, tugann an Chúirt dá haire go bhfuil an t-údarás atá freagrach as clár tráchtála Ballstáit a choimeád, a fhoilsíonn, sa chlár sin, sonraí pearsanta atá i mbunreacht cuideachta, atá faoi réir an nochta éigeantaigh dá bhforáiltear i dTreoir 2017/1132, a cuireadh ar fáil dó i gcomhthéacs iarratas ar chlárú na cuideachta sa chlár sin, ina ‘fhaighteoir’ de na sonraí sin, agus ina ‘rialaitheoir’ ar na sonraí sin, ( 6 )inter alia a mhéid a chuireann sé na sonraí sin ar fáil go poiblí, fiú i gcás ina bhfuil sonraí pearsanta sa bhunreacht sin nach bhfuil éigeantach faoin Treoir sin nó faoi dhlí an Bhallstáit sin.

Sa chomhthéacs sin, tugann an Chúirt dá haire, de bhun Threoir 2017/1132, gur faoi na Ballstáit atá sé a chinneadh go háirithe, cad iad na catagóirí faisnéise a bhaineann le céannacht na ndaoine a bhfuil gaol acu le cuideachtaí agus go sonrach, cad iad na cineálacha sonraí pearsanta atá faoi réir nochtadh éigeantach, i gcomhréir le dlí an Aontais.

Luann an Chúirt freisin, trí na sonraí pearsanta sin a fuarthas i gcomhthéacs iarratas ar chlárú cuideachta sa chlár tráchtála de chuid Ballstáit a thrascríobh agus a choinneáil, trína gcur in iúl, i gcás inarb iomchuí, ar iarratas ó thríú páirtithe agus trína bhfoilsiú san iris náisiúnta, nó trí bheart comhéifeachta, déanann an t-údarás sin próiseáil ar na sonraí pearsanta dá bhfuil sé ina ‘rialaitheoir’. Maidir leis an bpróiseáil sin ar na sonraí pearsanta, déantar í ar leithligh ón bpróiseáil a dhéantar nuair a chuireann an t-iarratasóir ar chlárú sa chlár tráchtála iad in iúl agus nuair a fhaigheann an t-údarás sin na sonraí sin, agus déantar í i ndiaidh na próiseála sin. Thairis sin, déanann an t-údarás atá freagrach as an gclár a choimeád an phróiseáil sin ina aonar, i gcomhréir leis na críocha agus na modhanna a leagtar síos i dTreoir 2017/1132 agus le reachtaíocht an Bhallstáit lena gcuirtear an Treoir sin chun feidhme.

Sa tríú háit, maidir le haon ceart go ndéanfaí léirscriosadh a bheadh ag an ábhar sonraí, déanann an Chúirt ( 7 ), ar dtús, scrúdú ar na forais faoina bhféadfadh próiseáil na sonraí pearsanta a bheith dleathach.

Ar an gcéad dul síos, maidir leis an gceist an bhfuil gá leis an bpróiseáil atá i gceist sna príomhimeachtaí chun oibleagáid dhlíthiúil faoi dhlí an Aontais nó faoin dlí náisiúnta atá ar an rialaitheoir a chomhlíonadh ( 8 ), tugann an Chúirt dá haire nach gceanglaítear le Treoir 2017/1132 go ndéanfar próiseáil go córasach ar na sonraí pearsanta go léir atá i ndoiciméad atá faoi réir an nochta éigeantaigh dá bhforáiltear leis an Treoir sin. Seachas sin, ní mór don phróiseáil ar shonraí pearsanta arna déanamh i gcomhthéacs Threoir 2017/1132 na ceanglais a eascraíonn ó RGCS a chomhlíonadh. Dá réir sin, is faoi na Ballstáit atá sé, féachaint chuige go ndéantar na cuspóirí maidir le deimhneacht dhlíthiúil agus cosaint leasanna tríú páirtithe, arna saothrú ag Treoir 2017/1132 agus na cearta a chumhdaítear le RGCS a réiteach.

Dá réir sin, ní fhéadfaí a mheas go bhfuil údar le nochtadh poiblí sonraí pearsanta nach bhfuil éigeantach faoi Threoir 2017/1132 ná faoin reachtaíocht náisiúnta atá i gceist sna príomhimeachtaí, ar sonraí pearsanta iad atá i mbunreacht cuideachta, bunreacht atá faoi réir nochtadh éigeantach agus a sheoltar chuig an ngníomhaireacht, mar gheall ar an gceanglas maidir le nochtadh poiblí na ndoiciméad sin dá bhforáiltear sa Treoir sin agus, dá réir sin, go n-eascraíonn sé ó oibleagáid dhlíthiúil dá bhforáiltear le dlí an Aontais. Ina theannta sin, ní dhealraíonn sé go bhfuil dleathacht na próiseála atá i gceist sna príomhimeachtaí léirithe, faoi réir fíorú ag an gcúirt a rinne an tarchur, ar oibleagáid dhlíthiúil dá bhforáiltear leis an dlí náisiúnta.

Ar an dara dul síos, maidir leis an ngá leis an bpróiseáil atá i gceist chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail ( 9 ), tugann an Chúirt dá haire go ndealraíonn sé go bhfuil an phróiseáil atá i gceist sna príomhimeachtaí, á déanamh i bhfeidhmiú cúram den sórt sin. Mar sin féin, dealraíonn sé go dtéann an phróiseáil níos faide ná mar is gá chun na cuspóirí leasa ginearálta arna saothrú a chur i gcrích.

I ndáil leis sin, tugann an Chúirt dá haire nach bhféadfadh tús áite a bheith ag an gceanglas maidir le hiomláine agus iontaofacht na ndoiciméad cuideachta sin atá faoi réir nochtadh éigeantach de réir Threoir 2017/1132, lena gceanglaítear, dar leo, go bhfoilseofar na doiciméid sin faoi mar a cuireadh iad ar fáil do na húdaráis atá freagrach as an gclár tráchtála a choimeád, ar an gceart sin, nó d’fhágfaí an chosaint gan éifeacht. Go sonrach, ní fhéadfaí a cheangal go gcoimeádfar sonraí pearsanta nach bhfuil éigeantach faoin Treoir sin ná faoin dlí naisiúnta ar fáil don phobal ar líne sa chlár sin, cé go bhféadfadh an ghníomhaireacht sin féin an chóip de dhoiciméad na cuideachta sin atá i gceist gan na sonraí sin ann a ullmhú, dá bhforáiltear leis an dlí sin, d’fhonn é a chur ar fáil.

Ansin, cuireann an Chúirt sin in iúl, sa chás go dtiocfadh an chúirt a rinne an tarchur ar an gconclúid, i ndiaidh a measúnaithe, nach bhfuil an phróiseáil sin dleathach, is faoin ngníomhaireacht a bheadh sé, mar rialaitheoir, na sonraí lena mbaineann a léirscriosadh gan moill mhíchuí.

Dá dtiocfadh an chúirt sin ar an gconclúid, áfach, go bhfuil gá leis an bpróiseáil sin chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail de bhrí go raibh gá le sonraí nach bhfuil éigeantach faoi Threoir 2011/1132 ná faoin reachtaíocht náisiúnta atá faoi thrácht sna príomhimeachtaí a chur ar fáil go poiblí, ar líne, sa chlár tráchtála, ionas nach gcuirfí moill ar chlárú na cuideachta sin, ar mhaithe le tríú páirtithe a chosaint, bheadh scrúdú le déanamh ansin an bhfuil forais dhlisteanacha sháraitheacha a mbeidh sáraíocht acu ar chearta agus saoirsí an ábhair sonraí ann i gcoinne iarratas ar léirscriosadh ( 10 ).

Dá réir sin, cinneann an Chúirt nach mór Treoir 2017/1132 agus RGCS a léiriú sa chaoi go gcuirtear cosc leo ar reachtaíocht nó cleachtas Ballstáit faoina ndiúltaíonn an t-údarás atá freagrach as an gclár tráchtála sa Bhallstát sin a choimeád d’aon iarratas ar shonraí pearsanta a léirscriosadh, ar sonraí iad nach bhfuil éigeantach faoin Treoir sin ná faoin dlí náisiúnta, atá i mbunreacht cuideachta a fhoilsítear sa chlár sin, i gcás nár cuireadh cóip den bhunreacht sin ina bhfolaítear na sonraí sin ar fáil don údarás sin, rud atá ar neamhréir leis na rialacha nós imeachta dá bhforáiltear sa reachtaíocht sin.

Ar deireadh, maidir leis na rialacha dliteanais de bhun RGCS agus, go sonrach, an tionchar, sa chomhthéacs sin atá ag tuairim arna heisiúint ag údarás maoirseachta de chuid Ballstáit, cuireann an Chúirt in iúl, de bhun RGCS, ( 11 ) go dtagann eisiúint tuairime den sórt sin faoi na cumhachtaí comhairleacha agus ní faoi na cumhachtaí imscrúdaithe atá ag an údarás maoirseachta. Ina theannta sin, léiríonn na téarmaí a úsáidtear nach bhfuil an tuairim sin ina ceangal dlí de bhun dhlí an Aontais. Dá réir sin, ní fhéadfadh tuairim a léiriú, inti féin, nach bhfuil an damáiste inchurtha i leith an rialaitheora ná, dá réir sin, a bheith leordhóthanach chun an rialaitheoir sin a dhíolmhú ó dhliteanas de bhun RGCS. Dá thoradh sin, ní leor tuairim den sórt sin chun údarás atá freagrach as clár tráchtála Ballstáit a choimeád, ar rialaitheoir é an t-údarás sin, a dhíolmhú ó dhliteanas.

( 1 ) Treoir (AE) 2017/1132 ó Pharlaimint na hEorpa agus ón gComhairle an 14 Meitheamh 2017 maidir le gnéithe áirithe de dhlí na gcuideachtaí (IO 2017 L 169, lch. 46).

( 2 ) Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle an 27 Aibreán 2016 maidir le daoine nádúrtha a chosaint i ndáil le sonraí pearsanta a phróiseáil agus maidir le saorghluaiseacht sonraí den sórt sin, agus lena n-aisghairtear Treoir 95/46/CE (Rialachán Ginearálta maidir le Cosaint Sonraí) (IO 2016 L 119, lch. 1, ‘RGCS’).

( 3 ) De bhun Airteagal 82 de RGCS.

( 4 ) Airteagal 21(2) de Threoir 2017/1132.

( 5 ) De bhun Airteagal 14 de Threoir 2017/1132;

( 6 ) Faoi seach, de réir bhrí Airteagal 4(7) agus Airteagal 4(9) de RGCS.

( 7 ) De bhun Airteagal 17 de RGCS.

( 8 ) Foras dleathachta sa chéad fhomhír d’Airteagal 6(1)(c) de RGCS.

( 9 ) Foras dleathachta dá bhforáiltear sa chéad fhomhír d’Airteagal 6(1)(e) de RGCS.

( 10 ) De bhun Airteagal 17(1)(c), arna léamh i gcomhar le hAirteagal 21(1) de RGCS

( 11 ) Airteagal 58(3)(b) de RGCS.