C‑200/23. sz. ügy

Agentsia po vpisvaniyata

kontra

OL

(a Varhoven administrativen sad [Bulgária] által benyújtott
előzetes döntéshozatal iránti kérelem)

A Bíróság ítélete (első tanács), 2024. október 4.

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – Személyes adatokat tartalmazó társasági szerződés cégnyilvántartásban való közzététele – (EU) 2017/1132 irányelv – Nem kötelező személyes adatok – Az érintett hozzájárulásának hiánya – A törléshez való jog – Nem vagyoni kár”

1. Letelepedés szabadsága – Társaságok – 2017/1132 irányelv – A tagállam azon kötelezettsége, hogy a személyes adatokat tartalmazó társasági szerződés cégnyilvántartásban való közzétételét engedélyezze – A nemzeti jog által elő nem írt adatok közzététele – Kötelezettség hiánya

   (2017/1132 európai parlamenti és tanácsi irányelv, 21. cikk, (2) bekezdés)

   (lásd: 54., 55., 60. pont és a rendelkező rész 1. pontja)

2. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Az adatkezelő fogalma – Az adatok címzettjének fogalma – A tagállami cégnyilvántartásért felelős hatóság, amely a társasági szerződésben szereplő személyes adatokat tesz közzé – Bennfoglaltság – Sem a 2017/1132 irányelv, sem pedig a nemzeti jog által elő nem írt személyes adatokat tartalmazó szerződés – Hatás hiánya

   (2016/679 európai parlamenti és tanácsi rendelet, 4. cikk, 7. és 9. pont; 2017/1132 európai parlamenti és tanácsi irányelv)

   (lásd: 66., 72–76. pont és a rendelkező rész 2. pontja)

3. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – A személyesadat‑kezelés jogszerűségének feltételei – Az adatkezelőre háruló jogi kötelezettség teljesítéséhez szükséges adatkezelés – Társasági szerződésben szereplő személyes adatok közzététele – Sem a 2017/1132 irányelv, sem pedig a nemzeti jog által elő nem írt személyes adatok – Kizártság – E közzététel közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelésnek való minősítése – Feltételek – Az adatkezelés szükségessége

   (2016/679 európai parlamenti és tanácsi rendelet, 6. cikk, (1) bekezdés, első albekezdés, c) és e) pont; 2017/1132 európai parlamenti és tanácsi irányelv)

   (lásd: 94–96., 105–112., 114–116. pont)

4. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – A törléshez való jog – Terjedelem – A személyes adatok jogellenes kezelése – Bennfoglaltság – A személyes adatok jogszerű kezelése – Közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés – Kizártság – Kivétel – Az adatkezelést indokoló olyan kényszerítő erejű jogos okok, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben – Az adatkezelőre háruló bizonyítási teher

   (2016/679 európai parlamenti és tanácsi rendelet, 6. cikk, (1) bekezdés, e) pont, 17. cikk, (1) bekezdés, c) és d) pont, és 21. cikk, (1) bekezdés)

   (lásd: 118–120. pont)

5. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – A törléshez való jog – A tagállami cégnyilvántartásért felelős nemzeti hatóság azon kötelezettsége, hogy elutasítson minden, a ki nem takart adatok törlése iránti kérelmet – Sem a 2017/1132 irányelv, sem pedig a nemzeti jog által elő nem írt személyes adatok – Megengedhetetlenség

   (2016/679 európai parlamenti és tanácsi rendelet, 17. cikk; 2017/1132 európai parlamenti és tanácsi irányelv, 16. cikk)

   (lásd: 127. pont és a rendelkező rész 3. pontja)

6. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – A személyes adatok fogalma – Természetes személy saját kezű aláírása – Bennfoglaltság

   (2016/679 európai parlamenti és tanácsi rendelet, 4. cikk, 1. pont)

   (lásd: 131., 133–136. pont és a rendelkező rész 4. pontja)

7. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Kártérítéshez való jog és felelősség – Az elszenvedett kár megtérítéséhez való jog – Nem vagyoni kár – Fogalom – A személyes adatok feletti rendelkezés elvesztése – Bennfoglaltság – Feltételek – Az érintettet a nem vagyoni kárral kapcsolatosan terhelő bizonyítási teher – A további érzékelhető negatív következmények fennállásának bizonyítására irányuló kötelezettség – Hiány

   (2016/679 európai parlamenti és tanácsi rendelet, 82. cikk, (1) bekezdés)

   (lásd: 140–146., 156. pont és a rendelkező rész 5. pontja)

8. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Kártérítéshez való jog és felelősség – Az adatkezelő felelőssége és az érintettet ért kár megtérítésének kötelezettsége – Mentesség – Terjedelem – Adatvédelmi kérdésekkel kapcsolatos tanácsadó vélemény felügyeleti hatóság általi kibocsátása az adatkezelő számára – Adatkezelőnek minősülő nemzeti hatóság felelősség alóli mentesülése alkalmazásának mellőzése

   (2016/679 európai parlamenti és tanácsi rendelet, 4. cikk,7. pont, 58. cikk, (3) bekezdés, b) pont, és 82. cikk, (1)–(3) bekezdés)

   (lásd: 171., 172., 174., 176. pont és rendelkező rész 6. pontja)

Összefoglalás

A Varhoven administrativen sad (legfelsőbb közigazgatási bíróság, Bulgária) előzetes döntéshozatal iránti kérelme alapján a Bíróság számos olyan kérdésről határoz, amelyek lényegében a társasági okiratok közzétételére vonatkozó uniós jogi rendelkezések ( 1 ) és a GDPR ( 2 ) közötti kapcsolatra vonatkoznak.

OL a bolgár jog szerinti „Praven Shtit Konsulting” OOD korlátolt felelősségű társaság egyik tagja, amely társaságot a társasági szerződés benyújtását követően bejegyeztek a cégnyilvántartásba. E szerződés, amelyet az Agentsia po vpisvaniyata (nyilvántartó hivatal, Bulgária; a továbbiakban: hivatal) a benyújtott formában közzétett, a tagok több személyes adatát tartalmazza, beleértve a vezetéknevüket, utónevüket, személyiigazolvány‑számukat, címüket és aláírásukat.

2021‑ben OL kérte a hivatalt, hogy törölje az e szerződésben szereplő, rá vonatkozó személyes adatokat. OL két keresetet indított az Administrativen sad Dobrich (dobrichi közigazgatási bíróság, Bulgária) előtt, mivel e hivatal az említett kérelemnek nem adott helyt. 2022. május 5‑i ítéletével e bíróság kötelezte a hivatalt, hogy a GDPR alapján ( 3 ) nem vagyoni kár címén fizessen kártérítést OL‑nek. Mivel a hivatal nem értett egyet az ítélettel, felülvizsgálati kérelmet nyújtott be a kérdést előterjesztő bírósághoz.

Az előterjesztő bíróság a személyes adatok védelméhez való jogra vonatkozó szabályozás, valamint a bizonyos társasági okiratok nyilvánosságát és az azokhoz való hozzáférést biztosító szabályozás egymással való összeegyeztetésére vonatkozó kérdéssel fordult a Bírósághoz.

A Bíróság álláspontja

Először is, ami az adatok önkéntes közzétételének terjedelmét illeti, ideértve a társasági okiratokban szereplő személyes adatokat is, a Bíróság megállapítja, hogy a 2017/1132 irányelvnek a társasági okiratok és adatok önkéntes közzétételére vonatkozó rendelkezése ( 4 ) csak azok fordításaira vonatkozik, tartalmukra azonban nem utal. Ezért azt nem lehet úgy értelmezni, hogy bármilyen kötelezettséget írna elő az olyan adatok közzétételére vonatkozóan, amelyek közzétételét sem az uniós jog, sem az érintett tagállam joga nem írja elő, azonban azok szerepelnek az ezen irányelv értelmében kötelezően közlendő okiratban. ( 5 ) Így e rendelkezés nem teszi kötelezővé a tagállam számára, hogy engedélyezze az ezen irányelv értelmében kötelezően közlendő olyan társasági szerződés cégnyilvántartásban való közzétételét, amely a megkövetelt minimális személyes adatoktól eltérő olyan személyes adatokat is tartalmaz, amelyek közzétételét e tagállam joga nem írja elő.

Másodsorban a Bíróság kifejti, hogy a valamely tagállam cégnyilvántartásának vezetésével megbízott hatóság, amely e nyilvántartásban a 2017/1132 irányelv értelmében kötelezően közlendő és a társaságnak az említett nyilvántartásba való bejegyzése iránti kérelem keretében e hatóság részére megküldött társasági szerződésben szereplő személyes adatokat tesz közzé, ezen adatok „címzettje” és – amennyiben ezen adatokat nyilvánosan elérhetővé teszi – az említett adatok „adatkezelője” is ( 6 ) egyben, még akkor is, ha e szerződés olyan személyes adatokat tartalmaz, amelyek közlését ezen irányelv és e tagállam joga sem írja elő.

Ebben az összefüggésben a Bíróság megjegyzi, hogy a 2017/1132 irányelv alapján a tagállamok feladata többek között annak meghatározása, hogy a társáságokkal kapcsolatban álló személyek azonosítására vonatkozó információk mely kategóriáit, különösen pedig a személyes adatok mely típusait kell az uniós jog tiszteletben tartása mellett kötelezően közzétenni.

A Bíróság arra is rámutat, hogy a társaság tagállami cégnyilvántartásba való bejegyzése iránti kérelem keretében kapott személyes adatok rögzítésével és tárolásával, azok – adott esetben harmadik személyekkel kérelemre való – közlésével és a nemzeti hivatalos lapban történő közzétételével, vagy azzal azonos hatású intézkedéssel az e nyilvántartás vezetésével megbízott hatóság olyan személyesadat‑kezelést végez, amelynek tekintetében „adatkezelő” E személyesadat‑kezelés ugyanis elkülönül a személyes adatoknak a bejegyzés kérelmezője általi közlésétől és a hatósághoz való beérkezésüktől, és megelőzi azokat. Ráadásul e hatóság egyedül végzi az adatkezelést, a 2017/1132 irányelvben és az ezen irányelvet végrehajtó tagállam jogszabályaiban meghatározott céloknak és eljárásoknak megfelelően.

Harmadsorban, ami az érintettet esetlegesen megillető, törléshez való jogot ( 7 ) illeti, a Bíróság először is megvizsgálja azokat a jogszerűségre vonatkozó indokokat, amelyek a személyes adatainak kezelésére vonatkozhatnak.

Egyrészt, ami azt a kérdést illeti, hogy az adatkezelés szükséges‑e az uniós jogból vagy az adatkezelőre alkalmazandó nemzeti jogból eredő jogi kötelezettség teljesítéséhez, ( 8 ) a Bíróság rámutat arra, hogy a 2017/1132 irányelv nem írja elő az ezen irányelv értelmében kötelezően közlendő okiratokban foglalt valamennyi személyes adat automatikus kezelését. Éppen ellenkezőleg, a személyes adatok ezen irányelv keretében történő kezelésének teljes mértékben meg kell felelnie a GDPR‑ból eredő követelményeknek. Így a tagállamok feladata, hogy biztosítsák a jogbiztonságnak és a harmadik személyek érdekeinek védelmére irányuló, a 2017/1132 irányelv által követett célkitűzéseknek a GDPR‑ban szereplő jogokkal való összeegyeztetését.

Ezért nem állapítható meg, hogy a 2017/1132 irányelv értelmében kötelezően közlendő és a hivatalnak megküldött társasági szerződésben szereplő, az ezen irányelv vagy az alapügyben szóban forgó nemzeti jogszabály által elő nem írt személyes adatoknak a cégnyilvántartásban való online nyilvánosan elérhetővé tételét igazolja az a követelmény, hogy biztosítani kell az irányelvben említett okiratok nyilvánosságát, és e közzététel ezért az az uniós jog által előírt jogi kötelezettségből ered. Ráadásul az érintett adatkezelés jogszerűsége – a kérdést előterjesztő bíróság által elvégzendő vizsgálat fenntartása mellett – nem alapul a nemzeti jog által előírt jogi kötelezettségen sem.

Másrészt az érintett adatkezelés közérdekű feladat végrehajtásához való szükségességét ( 9 ) illetően a Bíróság megjegyzi, hogy kétségtelen, hogy ezen adatkezelésre ilyen feladat kapcsán került sor. Úgy tűnik azonban, hogy az meghaladja az elérni kívánt közérdekű célok megvalósításához szükséges mértéket.

E tekintetben a Bíróság rámutat arra, hogy a 2017/1132 irányelv értelmében kötelezően közlendő társasági okiratok sértetlenségének és megbízhatóságának megőrzésére vonatkozó követelmény, amely megköveteli ezen okiratok olyan formában történő közzétételét, ahogyan azokat a cégnyilvántartást vezető hatóságoknak benyújtották, nem élvezhet automatikus elsőbbséget az adatok védelméhez való joggal szemben, mert így ez a védelem csak látszólagos lesz. E követelmény különösen nem írhatja elő ezen irányelv vagy a nemzeti jog által meg nem követelt személyes adatok e nyilvántartásban való online elérhetővé tételét, miközben a hivatal e közzététel céljából maga is elkészíthetné az érintett társasági okirat e jog által előírt, olyan másolatát, amelyből kitakarták az elő nem írt személyes adatokat.

Másodsorban a Bíróság hangsúlyozza, hogy abban az esetben, ha a kérdést előterjesztő bíróság az értékelése végén arra a következtetésre jut, hogy az érintett adatkezelés jogellenes, a hivatalra mint adatkezelőre hárul az a feladat, hogy az érintett adatokat a lehető leghamarabb törölje.

Ha azonban e bíróság arra a következtetésre jut, hogy ez az adatkezelés ténylegesen szükséges valamely közérdekű feladat végrehajtásához, különösen mivel a 2017/1132 irányelvben vagy a nemzeti jogszabályokban elő nem írt adatoknak a cégnyilvántartásban való online hozzáférhetővé tétele azért volt szükséges, hogy a harmadik személyek védelme érdekében el lehessen kerülni az érintett társaság bejegyzésének késedelmét, meg kell vizsgálni, hogy fennállnak‑e az adatkezelést indokoló olyan kényszerítő erejű jogos okok, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben. ( 10 )

Így a Bíróság megállapítja, hogy a 2017/1132 irányelvet és a GDPR‑t úgy kell értelmezni, hogy azokkal ellentétes az olyan tagállami szabályozás vagy gyakorlat, amelynek következtében az e tagállam cégnyilvántartásának vezetésével megbízott hatóság elutasít minden olyan személyes adat törlése iránti kérelmet, amely az e nyilvántartásban közzétett társasági szerződésben szerepel, de amelyet ezen irányelv vagy az említett tagállam nemzeti joga nem ír elő, ha e szerződésnek az ezen adatokat kitakaró másolatát az e szabályozásban előírt eljárási szabályok ellenére nem küldték meg e hatóságnak.

Végül, a GDPR szerinti felelősségi rendszerről, konkrétabban pedig a tagállami felügyeleti hatóság által kiadott vélemény joghatásairól határozva a Bíróság hangsúlyozza, hogy a GDPR értelmében ( 11 ) az ilyen vélemény kibocsátása a felügyeleti hatóság tanácsadási, nem pedig az engedélyezési hatáskörébe tartozik. Ráadásul az alkalmazott kifejezések arra utalnak, hogy e vélemény az uniós jog értelmében jogilag nem kötelező. Így az érintett vélemény önmagában nem bizonyíthatja, hogy a kár nem tudható be az adatkezelőnek, és ennélfogva nem is elegendő ahhoz, hogy a GDPR alapján mentesüljön a felelősség alól. Következésképpen az ilyen vélemény nem elegendő ahhoz, hogy mentesítse a felelősség alól valamely tagállam cégnyilvántartás vezetésével megbízott olyan hatóságát, amely adatkezelőnek minősül.

( 1 ) A társasági jog egyes vonatkozásairól szóló, 2017. június 14‑i (EU) 2017/1132 európai parlamenti és tanácsi irányelv (HL 2017. L 169., 46. o.).

( 2 ) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 rendelet (általános adatvédelmi rendelet) (HL 2016. L 119, 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR).

( 3 ) A GDPR 82. cikke alapján.

( 4 ) A 2017/1132 irányelv 21. cikkének (2) bekezdése.

( 5 ) A 2017/1132 irányelv 14. cikke értelmében.

( 6 ) A GDPR 4. cikkének 7. pontja, illetve 4. cikkének 9. pontja értelmében.

( 7 ) A GDPR 17. cikke alapján.

( 8 ) A GDPR 6. cikke (1) bekezdése első albekezdésének c) pontjában szereplő jogszerűségi ok.

( 9 ) A GDPR 6. cikke (1) bekezdése első albekezdésének e) pontjában szereplő jogszerűségi ok.

( 10 ) A GDPR 21. cikkének (1) bekezdésével összefüggésben értelmezett 17. cikke (1) bekezdésének c) pontja alapján.

( 11 ) A GDPR 58. cikke (3) bekezdésének b) pontja.