1.

Az Acta Diurna naponta megjelenő, hivatalos római közlemények voltak, amelyeket kőbe vagy fémbe véstek, és nyilvános helyeken, például a Forum Romanumon helyeztek el. A digitális korszakban a nemzeti hatóságok azzal a kérdéssel szembesülhetnek, hogy az adott ország hivatalos lapja által közzétett adatok – képletesen szólva – szintén kőbe vannak‑e vésve, vagy pedig törölhetők, illetve módosíthatók.

2.

Az alapeljárás egyes adatoknak a belga hivatalos lap, a Moniteur belge által történő közzétételén alapul, amely hivatalos dokumentumokat tesz közzé nyomtatott és elektronikus formában.

3.

Az alapeljárás az État belge (belga állam) és az Autorité de protection des données (adatvédelmi hatóság, Belgium; a továbbiakban: adatvédelmi hatóság) között zajlik. A közjegyző adatvédelmi tisztviselője, miután megállapította, hogy a közjegyző által hitelesített és – a belga jog által megkövetelt adatokon kívül – egy természetes személy személyes adatait is tartalmazó társasági határozat egyik szakaszát tévedésből közzétették, ezen adatok törlését kérte a Moniteur belge‑től. A Moniteur belge irányító hatósága, a Service Public Fédéral Justice (szövetségi igazságügyi hatóság; a továbbiakban: FPS Justice) azonban elutasította e kérelmet.

4.

A fentiekre való tekintettel a cour d’appel de Bruxelles (brüsszeli fellebbviteli bíróság, Belgium) által az előzetes döntéshozatal iránti kérelemben előterjesztett kérdések hatálya meglehetősen szűk. A kérdést előterjesztő bíróság lényegében arra vár választ, hogy a Moniteur belge vagy az FPS Justice az (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet) ( 2 ) 4. cikkének 7. pontja értelmében vett „adatkezelőnek” minősül‑e. Az e kérdésre adandó igenlő válasz esetén a kérdést előterjesztő bíróság arra is keresi a választ, hogy melyek az adatkezelő kötelezettségeinek korlátai, amennyiben az adatkezelést abban egymást követően közreműködő szervezetek végzik.

5.

Az általános adatvédelmi rendelet „Általános rendelkezések” című I. fejezetében található 4. cikke többek között a következő fogalmakat határozza meg: „személyes adat”, „adatkezelés”, „adatkezelő” és „adatfeldolgozó”.

6.

A jelen ügyben az általános adatvédelmi rendelet 5., 6., 17. és 26. cikke is releváns.

7.

A Loi du 7 mai 1999 contenant le Code des sociétés ( 3 ) (a gazdasági társaságokról szóló, 1999. május 7‑i törvénykönyv; a továbbiakban: a társasági törvénykönyv) 67. cikkének (1) és (2) bekezdése előírta:

„(1)   A közokiratok hitelesített másolatát, a magánokiratok másolatát vagy eredeti példányát, valamint az elektronikus vagy nem elektronikus formában készült kivonatokat, amelyek benyújtását vagy közzétételét az alábbi cikkek előírják, annál a cégbíróságnál kell benyújtani, amelynek illetékességi területén a társaság székhelye található.

[…]

(2)   A benyújtott dokumentumokat a cégbíróságnál vezetett, az egyes társaságoknak fenntartott aktákban kell megőrizni, és a szóban forgó társaságokat be kell jegyezni a cégnyilvántartásba, azaz a Banque‑Carrefour des Entreprises [központi cégnyilvántartó szerv] nyilvántartásába.”

8.

E törvénykönyv 71. cikke kimondta:

„A közokiratnak minősülő társasági dokumentumról készült kivonatot a közjegyző írja alá, míg a magánokiratnak minősülő dokumentumról készült kivonatot valamennyi egyetemleges felelősséggel tartozó társasági tag, vagy közülük az, akit a többiek külön megbízással erre felhatalmaztak.”

9.

A törvénykönyv 73. cikke a következőket írta elő:

„A Moniteur belge mellékleteiben való közzétételre a benyújtástól számított 15 napon belül kerül sor, ennek elmulasztása esetén azok a tisztviselők, akiknek a mulasztás vagy késedelem felróható, kártérítési felelősséggel tartoznak.

[…]”

10.

A fenti rendelet 74. cikkének 1. pontja szerint:

„Az előző cikkeknek megfelelően a következőket kell benyújtani és közzétenni:

(1) az olyan rendelkezéseket módosító jogi aktusokat, amelyek közzétételét e törvénykönyv előírja;”

11.

Az Arrêté royal du 30 janvier 2001 portant exécution du code des sociétés ( 4 ) (a társasági törvénykönyv végrehajtásáról szóló, 2001. január 30‑i királyi rendelet) 1. cikke a következőképpen rendelkezett:

„[…] a [cég]bíróságok tisztviselői fogadják az összes benyújtott dokumentumot, dokumentumról készített kivonatot, jegyzőkönyvet, valamint azokat a dokumentumokat, amelyek közzétételét a társasági törvénykönyv előírja […].”

12.

A királyi rendelet 11. cikke kimondja:

„(1)   Azokat a dokumentumokat, dokumentumokról készített kivonatokat, illetve azon dokumentumokat, amelyeknek a közzétételét a Moniteur belge mellékletei előírják, egy másolattal együtt a cégbíróság hivatalánál kell benyújtani. […]

(2)   Minden benyújtott papíralapú dokumentumnak meg kell felelnie a következő feltételeknek:

[…]

[…]

(3)   A Moniteur belge‑nek szánt dokumentumokat, dokumentumokról készített kivonatokat és a társasági törvénykönyv […] 67., 68., 74. cikkében említett dokumentumokat javítás vagy szerkesztés nélkül kell benyújtani. […]

[…]”

13.

A királyi rendelet 14. cikke szerint:

„A hivatalvezető legkésőbb a benyújtás napját követő második munkanapon megküldi a Moniteur belge igazgatóságának a hozzá beérkezett dokumentumok, dokumentumokról készített kivonatok és […] dokumentumok másolatait, amelyeket a Moniteur belge mellékleteiben kell közzétenni.

[…]”

14.

E királyi rendelet 16. cikke kimondta:

„Amennyiben közzététel szükséges, azt a Moniteur belge mellékleteiben kell megtenni a törvényben meghatározott határidőn belül.”

15.

A Loi‑programme du 24 décembre 2002 (2002. december 24‑i programtörvény) ( 5 ) 472. cikke a következőképpen rendelkezik:

„A Moniteur belge a Moniteur belge igazgatósága által kiadott hivatalos kiadvány, amely mindazokat a szövegeket tartalmazza, amelyeknek a Moniteur belge‑ben való közzétételét elrendelik.”

16.

E programtörvény 474. cikke kimondja:

„A Moniteur belge igazgatósága általi, a Moniteur belge‑ben történő közzétételre három nyomtatott példányban kerül sor.

[…]

Egy példányt elektronikusan tárolnak. Az elektronikus tárolás szabályait a Király határozza meg. […]”

17.

Ugyanezen programtörvény 475. cikkének szövege a következőképp rendelkezik:

„Minden egyéb nyilvánosság számára történő hozzáférhetővé tételre a Moniteur belge igazgatóságának honlapján kerül sor.

Az ezen a honlapon hozzáférhetővé tett kiadványok a 474. cikkben előírt nyomtatott példányok elektronikusan megjelenített pontos másolatai.”

18.

A 2002. december 24‑i programtörvény 475a. cikke értelmében:

„Bármely állampolgár a Moniteur belge ingyenes telefonos ügyfélszolgálatán keresztül, önköltségi áron beszerezheti a Moniteur belge‑től a Moniteur belge‑ben közzétett dokumentumok másolatát. E szolgálat feladata továbbá, hogy az állampolgárok számára a dokumentumok keresését segítő szolgáltatást nyújtson.”

19.

Az említett programtörvény 475b. cikke szerint:

„A Moniteur belge‑ben található információk minél szélesebb körű terjesztése és az azokhoz való hozzáférés biztosítása érdekében a Minisztertanácsban megvitatott királyi rendelet útján egyéb kiegészítő intézkedéseket kell elfogadni.”

20.

LM a Bureau LM, egy belga korlátolt felelősségű társaság többségi tulajdonosa.

21.

2019. január 23‑án e társaság taggyűlést tartott, amelynek során úgy határozott, hogy a társasági szerződésének ilyen értelmű módosításával leszállítja a társaság törzstőkéjét.

22.

A közzétételre vonatkozó jogi szabályozásnak megfelelően az eljáró közjegyző elkészítette a határozat kivonatát. 2019. február 12‑én a közjegyző a Moniteur belge‑ben való közzététel céljából benyújtotta a kivonatot a tribunal de l’entreprise néerlandophone de Bruxelles (brüsszeli [holland nyelvű] cégbíróság, Belgium) hivatalához.

23.

2019. február 22‑én a kivonatot közzétették a Moniteur belge mellékleteiben. A közzététel tartalmazta többek között a törzstőke leszállítására vonatkozó határozatot, a törzstőke eredeti összegét, a leszállítás összegét, a törzstőke új összegét és a társasági szerződés új szövegét. A jogszabályi előírás alapján közzétett információkon kívül a kivonat tartalmazta a két társasági tag nevét, a részükre visszatérített összegeket, valamint bankszámlaszámaikat (a továbbiakban: vitatott szakasz), mely utóbbiak közzétételét a törvény nem írta elő.

24.

Miután a közjegyző adatvédelmi tisztviselője megállapította, hogy a közjegyző hibát követett el, amikor a közzétett kivonatba belefoglalta a vitatott szakaszt, az általános adatvédelmi rendelet 17. cikkére hivatkozva azt kérte az FPS Justice‑től, hogy törölje a vitatott szakaszt, és e szakasz nélkül ismét tegye közzé a kivonatot.

25.

2019. április 10‑én az FPS Justice elutasította e kérelmet, ( 6 ) és felajánlotta a kivonatnak a vitatott szakasz nélküli újbóli közzétételét, azonban az eredeti, 2019. február 22‑i közzétételt érintetlenül hagyta.

26.

2020. január 21‑én LM, az érintett társaság két tagjának egyike az általános adatvédelmi rendelet 5. cikkének (különösen az adattakarékosság elve), 6. cikkének (a személyes adatok kezelése) és 17. cikkének (a törléshez való jog) megsértése miatt a Moniteur belge‑zsel (SPF Justice) szemben panaszt nyújtott be az adatvédelmi hatósághoz.

27.

2021. március 23‑i határozatával az adatvédelmi hatóság helyt adott a panasznak, és lényegében elrendelte a vitatott szakasz törlését.

28.

2021. április 22‑én az État Belge (belga állam) keresetet indított e határozattal szemben a kérdést előterjesztő bíróság, a cour d’appel de Bruxelles (brüsszeli fellebbviteli bíróság) előtt, és kérte a határozat hatályon kívül helyezését. LM beavatkozott a jogvitába.

29.

A kérdést előterjesztő bíróság megjegyzi, hogy a felek nem értenek egyet abban, hogy a 4. cikk 7. pontjában szereplő „adatkezelő” fogalmát hogyan kell értelmezni. Megjegyzi, hogy a Moniteur belge, miután megkapta a tribunal de l’entreprise néerlandophone de Bruxelles (brüsszeli [holland nyelvű] cégbíróság) kivonatát, a jogállására és feladataira vonatkozó jogszabályi rendelkezéseknek megfelelően a szöveget a meglévő állapotában tette közzé, vagyis anélkül, hogy felülvizsgálati vagy módosítási jogkörrel rendelkezett volna. A kérdést előterjesztő bíróság különösen arra keresi a választ, hogy az egymást követően potenciálisan közreműködő szervezetek mindegyike, vagy csak egyikük minősül‑e az említett cikk értelmében vett „adatkezelőnek”, és ezért az általános adatvédelmi rendelet 5. cikkének (2) bekezdése értelmében felelős a rendelet 5. cikkének (1) bekezdésében foglalt elvek tiszteletben tartásáért.

30.

E tekintetben a bíróság arra kíván választ kapni, hogy az egymást követően fennálló vagy további felelősség fogalmát e rendelet rögzíti‑e. Amennyiben úgy ítélhető meg, hogy a Moniteur belge az adatoknak az általános adatvédelmi rendelet 4. cikkének 9. pontja értelmében vett címzettje, a bíróság felveti a kérdést, hogy a lap „további” adatkezelőként működött‑e közre. Márpedig úgy tűnik, hogy nem ez a helyzet, mivel az alkalmazandó belga jog értelmében a Moniteur belge nincs abban a helyzetben, hogy meghatározza a 4. cikk 7. pontja értelmében vett saját adatkezelésének eszközeit és céljait.

31.

E körülmények között a cour d’appel de Bruxelles (brüsszeli fellebbviteli bíróság) a következő kérdéseket terjesztette a Bíróság elé:

32.

Az adatvédelmi hatóság, a belga és a magyar kormány, valamint az Európai Bizottság írásbeli észrevételeket nyújtott be.

33.

A 2023. március 23‑án megtartott tárgyaláson az adatvédelmi hatóság, a belga kormány és a Bizottság jelent meg a Bíróság előtt.

34.

Első kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontját úgy kell‑e értelmezni, hogy a tagállam hivatalos lapja adatkezelőnek minősül. Elöljáróban két észrevételt kell tenni e kérdés megfogalmazásával kapcsolatban.

35.

Először is a kérdést előterjesztő bíróság határozatából kitűnik, hogy a társasági törvénykönyv jogi kötelezettséget ír elő a társaságok számára arra vonatkozóan, hogy a Moniteur belge mellékleteiben különböző dokumentumokat és határozatokat tegyenek közzé. A bíróság arra is rámutat, hogy a Moniteur belge az FPS Justice alá tartozik, anélkül, hogy ezt részletesebben kifejtené. Mivel a nemzeti hatóságok hatáskörének egy tagállamon belüli megosztása a nemzeti szabályozásra tartozik, a jelen indítványban kizárólag a Moniteur belge‑re hivatkozom.

36.

Másodszor, meg kell jegyeznem, hogy a kérdést előterjesztő bíróság a kérdésébe olyan szövegrészt illeszt be, amely láthatóan elmagyarázza a belga jogalkotó által a Moniteur belge‑re ruházott hatásköröket.

37.

Következésképpen e kérdést át lehetne fogalmazni oly módon, hogy az lényegében arra vonatkozik, hogy egy olyan tagállami hivatalos lap mint a Moniteur belge – amely az alkalmazandó nemzeti jogszabályok szerint hivatalos dokumentumok közzétételére és archiválására irányuló feladatot lát el – tekinthető‑e az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett adatkezelőnek, amennyiben az említett dokumentumok változatlan formában történő közzétételét olyan más szervezetek rendelkezése alapján végzi, amelyek maguk is kezelték az említett dokumentumokban szereplő személyes adatokat, és a hivatalos lap nem rendelkezik mérlegelési jogkörrel a közzétételre kerülő dokumentumok tartalma vagy a közzététel célja és eszközei tekintetében.

38.

E kérdés megválaszolásához elöljáróban meg kell jegyeznem, hogy az „adatkezelő” fogalmát az általános adatvédelmi rendelet 4. cikkének 7. pontja a következőképpen határozza meg: „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”. E rendelkezésből – az általános adatvédelmi rendelet 5. cikkének (1) bekezdésével együttesen értelmezve, amely a személyes adatok kezelésére vonatkozó elveket határozza meg – világossá válik, hogy az adatkezelés minden egyes szakaszában szükség van egy adatkezelőre. ( 7 ) A személyes adatok kezelése során tehát mindig kell lennie egy adatkezelőnek, aki kulcsszerepet játszik az adatvédelmi jogszabályok végrehajtásában, ( 8 ) ami fontossá teszi az adatkezelő azonosítását az adatkezelés minden szakaszában. ( 9 ) Az „adatkezelő” fogalma magában foglalja mind a természetes és jogi személyeket, mind a közhatalmi szerveket, az ügynökségeket és az egyéb szerveket. Nyilvánvaló ugyanakkor, hogy a szervezet típusának minősítése a jelen esetben nem okoz nehézséget.

39.

Mielőtt rátérnénk a kérdés lényegére, azaz az általános adatvédelmi rendelet 4. cikkének 7. pontja szerinti „adatkezelő” fogalmának meghatározására, fontosnak tartom annak tisztázását, hogy a jelen ügyben szóban forgó műveletek az általános adatvédelmi rendelet 4. cikkének 2., illetve 1. pontja értelmében „személyes adatok”„kezelésének” minősülnek‑e?

40.

Először is emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében „személyes adat” alatt „azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ” értendő, azzal, hogy az ítélkezési gyakorlat szerint ez a meghatározás akkor alkalmazható, ha a kérdéses információ tartalmánál, céljánál vagy hatásánál fogva egy meghatározott személyhez kapcsolódik. ( 10 ) A jelen ügyben a felek nem vitatják, hogy a szóban forgó szakaszban szereplő adatok, például a társaság két tagjának neve és bankszámlaszáma, személyes adatoknak minősülnek. Véleményem szerint a társaság tagjainak visszatérített összegek önmagukban nem feltétlenül minősülnek személyes adatnak. Ha azonban ezeket az összegeket az azokat átvevő személyek nevével összekapcsolják, valóban személyes adatnak tekinthetők.

41.

Másodszor, az általános adatvédelmi rendelet 4. cikkének 2. pontja akként határozza meg az „adatkezelés” fogalmát, hogy az „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége”, így többek között a személyes adatra vonatkozó „betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján”. E meghatározások tükrözik azt a tényt, hogy az uniós jogalkotó e két fogalomnak tág jelentést kívánt adni. ( 11 )

42.

Például a Google Spain ítéletben a Bíróság kimondta, hogy a keresőmotorok útján végzett olyan tevékenységet, amely harmadik fél által az interneten közzétett vagy megosztott információk kereséséből, automatikus indexeléséből, ideiglenes tárolásából, majd végül bizonyos válogatási szempontok alapján az internethasználók számára történő hozzáférhetővé tételéből áll, a 95/46/EK irányelv ( 12 ) 2. cikke b) pontjának értelmében vett „személyes adatok kezelése” fogalmába tartozó tevékenységként kell értelmezni – amely lényegében megfelel az általános adatvédelmi rendelet 4. cikke 2. pontjának –, amennyiben ezek az információk „személyes adatokat” tartalmaznak. ( 13 ) Ezenkívül a Fashion ID ítéletben ( 14 ) a Bíróság megállapította, hogy a személyes adatok kezelése egy vagy több műveletből állhat, amelyek mindegyike különböző, esetlegesen személyesadat‑kezelést tartalmazó szakaszra irányul.

43.

Véleményem szerint a jelen ügyben három egymást követő személyesadat‑kezelésre került sor. Az első adatkezelés a közjegyzőt érinti, aki elkészítette a Moniteur belge‑ben közzéteendő dokumentumot (és ennek során abba tévedésből a szóban forgó személyes adatokat is belefoglalta), és azt benyújtotta a cégbíróság hivatalához. A második adatkezelés erre a hivatalra vonatkozik, amely ezt a dokumentumot a társaság aktájához csatolta, illetve közzététel céljából megküldte a Moniteur belge‑nek. A harmadik adatkezelés a Moniteur belge‑t érintette, amely nemcsak a nyomtatott dokumentumot alakította át elektronikus dokumentummá, hanem azt gyűjtötte, rögzítette, tárolta, közölte és terjesztette is. Véleményem szerint kétségtelen, hogy mindhárom eset, különösen a Moniteur belge által végzett műveletek az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett „adatkezelésnek” minősül.

44.

Mindazonáltal az a tény, hogy e három esetben adatkezelésre került sor, nem jelenti szükségképpen azt, hogy a Moniteur belge adatkezelőként járt el. Az általános adatvédelmi rendelet ugyanis a 4. cikkének 7. és 8. pontjában különbséget tesz egyrészt az adatkezelők, másrészt az adatfeldolgozók között. Míg az adatkezelő határozza meg az adatkezelés célját és eszközeit, ( 15 ) az adatfeldolgozó az adatkezelő nevében kezeli a személyes adatokat. ( 16 ) Ezért, bár egyértelmű, hogy a három eset az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett „adatkezelésnek” minősül, ez a megállapítás nem határozza meg, hogy a Moniteur belge – vagy az e háromlépcsős láncban részt vevő más szervezet – a jelen ügyben adatkezelőnek minősül‑e.

45.

Az a kérdés, hogy a Moniteur belge„adatkezelőként” járt‑e el, véleményem szerint annak vizsgálatát jelenti, hogy a lap „a személyes adatok kezelésének céljait és eszközeit […] meghatározza[‑e]” az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében.

46.

Elöljáróban emlékeztetek arra, hogy a Bíróság vonatkozó ítélkezési gyakorlata szerint az „adatkezelő” fogalmát tágan kell meghatározni. A Bíróság ugyanis korábban úgy ítélte meg, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontja azt a célt szolgálja, hogy az „adatkezelő” fogalmának tág meghatározásával biztosítsa az érintettek hatékony és teljes körű védelmét. ( 17 ) Ezen túlmenően az adatkezelő és az adatfeldolgozó fogalmai funkcionális fogalmak: céljuk, hogy a felelősséget a felek tényleges szerepei szerint osszák meg. ( 18 ) Más szóval „a személyes adatok adatkezelője az a személy, aki eldönti, hogy miért és hogyan kezelik ezeket az adatokat”. ( 19 ) Következésképpen az adatkezelő felelősségének meghatározása „inkább ténybeli, mint formális elemzésen alapul”. ( 20 )

47.

Másodszor, az általános adatvédelmi rendelet 4. cikkének 7. pontja az „önállóan vagy másokkal együtt” kifejezés használatával elismeri, hogy az adatkezelés „céljait és eszközeit” egynél több szervezet is meghatározhatja. Mindazonáltal az, hogy két vagy több szereplő milyen mértékben gyakorolja közösen az ellenőrzést, különböző formákat ölthet, ( 21 ) amelyeket a második kérdés elemzése során fogok tárgyalni.

48.

Harmadszor megjegyzem, hogy a 2020. június 25‑i királyi rendelet elfogadásával a Belga Királyság az FPS Jusitice‑t jelölte ki az általános adatvédelmi rendelet 4. cikkének 7. pontja szerinti adatkezelőnek. ( 22 ) Az alapügyben szereplő események azonban e rendelet hatálybalépése előtt valósultak meg. A rendelet tehát a jelen ügyben időbeli hatályánál fogva nem alkalmazható. Ebből következik, hogy a Bíróságnak meg kell vizsgálnia a hatásköröknek és a felelősségnek a nemzeti szervezetek között az említett rendelet hatálybalépése előtti megosztását.

49.

Ezen előzetes megjegyzések után most megvizsgálom az általános adatvédelmi rendelet 4. cikkének 7. pontjában meghatározott feltételeket, vagyis azt, hogy a szóban forgó szervezetek közül melyik az, amelyik a szóban forgó személyes adatok „kezelésének céljait és eszközeit […] meghatározza”.

50.

Az adatkezelői minőség alapulhat a vonatkozó jogszabályokon, vagy eredhet az ügy tényállási elemeinek vagy körülményeinek elemzéséből. ( 23 ) Az általános adatvédelmi rendelet 4. cikkének 7. pontja kimondja, hogy amennyiben az adatkezelés céljait és eszközeit különösen a tagállami jog határozza meg, az adatkezelőt ki lehet jelölni, vagy az adatkezelő kijelölésére alkalmazandó különös szempontokat az említett jog meghatározhatja. Ebből következik, hogy ha egy szervezetet a jogszabály kifejezetten adatkezelőként határoz meg, akkor ez a kijelölés döntő jelentőségű. ( 24 ) A jelen ügyben azonban nincs olyan konkrét rendelkezés, amely kifejezetten kijelölné az adatkezelőt.

51.

Az is lehetséges, hogy a jogszabály, bár hallgatólagosan, de kijelöl egy szervezetet adatkezelőként. ( 25 ) Például, ha a nemzeti jogszabályok a szóban forgó szervezetet bizonyos adatok megőrzésére vagy átadására kötelezik, akkor az ilyen szervezetet adatkezelőnek kell tekinteni a kötelezettség teljesítéséhez szükséges adatkezelés tekintetében. A nemzeti jogszabály általi ilyen hallgatólagos kijelölésre akkor kerül sor, ha az e hatóságra ruházott szerepből, feladatokból és hatáskörökből az következik, hogy e hatóság határozza meg a szóban forgó adatkezelés céljait és eszközeit. A Manni ítéletben a Bíróság a tények értékelésére támaszkodott, amikor megállapította, hogy a cégnyilvántartást vezető hatóság azzal, hogy „az említett információkat e nyilvántartásba bejegyzi, ott tárolja, és azokat adott esetben kérelemre harmadik felekkel közli”„személyes adatokat kezel”, és ezen adatkezelés tekintetében a 95/46 irányelv 2. cikkének b) és d) pontjában szereplő fogalommeghatározások értelmében ő az „adatkezelő”. ( 26 )

52.

A jelen ügyben, noha a nemzeti szabályozás nem jelölt ki kifejezetten adatkezelőt, arra vonatkozó jogi kötelezettséget ír elő a társaságok számára, hogy bizonyos dokumentumokat közzétegyenek a Moniteur belge‑ben. ( 27 ) Tehát adatkezelésre vonatkozó jogi kötelezettséget teremtett, amelyet az adatkezelőnek kell teljesítenie. A nemzeti jogalkotó olyan rendszert hozott létre, amelynek keretében három szervezet egymást követően kezeli az adatokat; a felek azonban nem értenek egyet abban a kérdésben, hogy e három szervezet közül valójában melyik az adatkezelő. ( 28 ) Ennélfogva az e szervezetekre ruházott konkrét jogköröket annak meghatározása érdekében kell megállapítani, hogy a jogalkotó melyiket jelölte ki hallgatólagosan adatkezelőnek az adatkezelés harmadik szakasza, azaz a Moniteur belge által végzett műveletek tekintetében.

53.

Az általános adatvédelmi rendelet 4. cikkének 7. pontja a „meghatározni” ige használata révén megköveteli, hogy az adatkezelő a döntési jogkörének gyakorlása révén befolyást gyakoroljon az adatkezelésre. ( 29 ) A Facebook‑ügyben ( 30 ) például az volt a kérdés, hogy a Fashion ID online divatruha‑értékesítő vállalkozás, amely honlapján a Facebook közösségi oldal által biztosított „Tetszik” kiegészítő modult helyezte el, a Facebookkal együtt határozta‑e meg a Fashion ID honlapjára látogatók személyes adatainak gyűjtésére és továbbítás útján történő közlésére szolgáló eszközöket. Ebben az ügyben a Bíróság kifejezetten megállapította, hogy a Fashion ID ennek a közösségi modulnak a honlapján történő elhelyezésével döntően az említett modul szolgáltatója, vagyis a Facebook Ireland javára befolyásolja az említett honlap látogatóira vonatkozó személyes adatok gyűjtését és továbbítás általi közlését, amelyekre az említett modul elhelyezése nélkül nem kerülne sor. ( 31 ) Ebből következik, hogy a személyes adatok kezelésére gyakorolt döntő befolyás azzal jár, hogy az e befolyást gyakorló szervezet is adatkezelőnek minősül. Mindazonáltal a döntő befolyás hiánya nem elegendő annak kizárásához, hogy valamely szervezet ne minősüljön adatkezelőnek.

54.

Az információk elektronikus úton történő előállításának és terjesztésének módja miatt az adatok interneten történő terjesztése exponenciálisan növeli a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jog sérelmének kockázatát. ( 32 ) Ennek tudatában a Bíróság az „adatkezelő” fogalmának tág meghatározását fogadta el ( 33 ) annak érdekében, hogy az általános adatvédelmi rendelet az érintettek – illetve nevezetesen magánélet tiszteletben tartásához való joguk – hatékony és teljes védelmét biztosítsa. ( 34 ) E célból a Google Spain ítéletben a Bíróság megállapította, hogy nemcsak a 95/46 irányelv 2. cikke d) pontjának egyértelmű megfogalmazásával lenne ellentétes, amely lényegében megfelel az általános adatvédelmi rendelet 4. cikkének 7. pontjának, hanem annak céljával is, ha a keresőmotor működtetőjét kizárnánk e rendelkezés fogalmi köréből azért, mert nem gyakorol ellenőrzést a harmadik fél weboldalain közzétett személyes adatok fölött. ( 35 ) Azáltal, hogy a Bíróság ilyen tág fogalommeghatározást fogadott el, egyértelmű, hogy e rendelkezés teleologikus értelmezése mellett döntött: az „adatkezelő” fogalmának biztosítania kell az érintettek hatékony és teljes védelmét. Ráadásul rá kell mutatnom, hogy ezt az értelmezést csak megerősítheti az általános adatvédelmi rendelet, amelyet az EUMSZ 16. cikk (1) bekezdése alapján fogadtak el, amely felhatalmazza az uniós jogalkotót arra, hogy biztosítsa az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 8. cikkének (1) bekezdésében foglalt, a személyes adatok védelméhez való alapvető jogot. ( 36 )

55.

A jelen esetben egyértelmű, hogy a nemzeti jogalkotó egy olyan rendszert hozott létre, ahol az adatkezelés három különböző szakaszból áll: egy olyan eseményláncot, amely az érintett dokumentumok közjegyző általi elkészítésével és aláírásával kezdődik, majd a cégbíróság hivatala következik, amely a dokumentumot a társaság aktájához csatolja és tárolja azt, és azzal végződik, hogy a Moniteur belge digitálisan átalakítja és közzéteszi ezeket a dokumentumokat. Igaz ugyan, hogy a Moniteur belge‑nek az érintett dokumentumot változatlan formában kell közzétennie, de ez nem változtat azon, hogy a közzététel céljából nem a közjegyző, és nem a cégbíróság hivatala alakítja azt át elektronikus dokumentummá; egyedül a Moniteur belge vállalja ezt, illetve azt, hogy terjeszti az érintett dokumentumot az interneten.

56.

Külön kiemelném, hogy a 2002. december 24‑i programtörvény 474‑475b. cikkének elfogadásával a nemzeti jogalkotó bizonyos hatásköröket ruházott a Moniteur belge‑re. E rendelkezésekből következik, hogy a Moniteur belge nemcsak az érintett dokumentumok nyomtatott változatát teszi közzé, hanem azokat a honlapján elektronikus formában is hozzáférhetővé teszi, azokat elektronikus úton tárolja, egy telefonos ügyfélszolgálat és a dokumentumok keresését támogató szolgáltatás révén az állampolgárok számára hozzáférhetővé teszi, és végül biztosítja a Moniteur belge‑ben szereplő információk lehető legszélesebb körű terjesztését és az azokhoz való hozzáférést. Véleményem szerint tehát e rendelkezésekből az következik, hogy a nemzeti jogalkotó azzal, hogy a Moniteur belge‑re ruházta a szóban forgó dokumentumok digitális átalakításával, közzétételével, terjesztésével és tárolásával kapcsolatos hatásköröket, e lapra az általános adatvédelmi rendelet 4. cikkének 7. pontja szerinti „adatkezelő” fogalmába tartozó hatásköröket ruházott. ( 37 )

57.

A Moniteur belge a jogalkotó által rábízott fent említett műveletek – nevezetesen a digitális átalakítás, közzététel és terjesztés – elvégzésével exponenciálisan növeli az érintett személy alapvető jogai sérelmének kockázatát (a dokumentum pusztán nyomtatott formában történő közzétételéhez képest). Az említett hivatalos lap adatkezelése az, amely ténylegesen veszélyezteti a szóban forgó érintett személy hatékony és teljes védelmét. Következésképpen nem látok más lehetőséget, mint hogy úgy ítéljem meg, hogy – az érintettek hatékony és teljes védelmének biztosítására irányuló cél, valamint a digitális átalakítás és terjesztés folytán az érintetteknek okozott esetleges kár miatt – a Moniteur belge nem zárható ki az általános adatvédelmi rendelet 4. cikkének 7. pontja szerinti „adatkezelő” fogalmából.

58.

Végül, ami a magán keresőmotorokra vonatkozó ítélkezési gyakorlatnak a Moniteur belge‑hez hasonló állami szervezetekre való alkalmazhatóságát illeti, rá kell mutatni, hogy egy közelmúltbeli ítéletben a Bíróság ezt az ítélkezési gyakorlatot alkalmazta annak megerősítése érdekében, hogy az ügyészséget „adatkezelőnek” kell tekinteni. ( 38 ) Véleményem szerint az ilyen alkalmazás indokoltságát az „adatkezelő” fogalmának az általános adatvédelmi rendelet 4. cikkének 7. pontja szerinti tág értelmezése támasztja alá, az érintettek elsődleges jogban rögzített alapvető jogainak és szabadságainak hatékony és teljes védelmének biztosítása érdekében, ( 39 ) függetlenül attól, hogy az adatkezelő állami vagy magánszervezet. ( 40 ) Az ilyen hatékony és teljes védelem biztosítása érdekében a magán keresőmotorokra előírt adatvédelmi elvek a magán és állami szervezetekre egyaránt érvényesek, e szervezetekre ugyanazok az átfogó adatvédelmi elvek és az általános adatvédelmi rendelet szerinti kötelezettségek vonatkoznak, amelyek az elsődleges jog konkrét kifejeződésének minősülnek.

59.

A tárgyaláson a belga kormány azzal érvelt, hogy a közjegyzőt adatkezelőnek kell tekinteni, mivel ő határozza meg az adatkezelés eszközeit és céljait.

60.

Véleményem szerint, ha a közjegyzőt kellene az egyetlen adatkezelőnek tekinteni, az azt jelentené, hogy a gyakorlatban senki sem lenne felelős az adatkezelés harmadik szakaszáért, azaz a Moniteur belge által végzett műveletekért, mivel a jogalkotó – amint azt a jelen ügy tényállása is mutatja – nem hatalmazta fel a közjegyzőt arra, hogy döntően befolyásolja az adatkezelés e harmadik szakaszát. Ezt figyelembe véve, a szóban forgó három szervezet különböző időpontokban és különböző mértékben vehet részt a személyes adatok kezelésében, aminek következtében mindegyikük adatkezelőnek tekinthető, bár az adatkezelői felelősség terjedelme és mértéke eltérő. ( 41 ) Ezen túlmenően rámutatnék arra, hogy – amint azt a Bizottság a tárgyaláson kifejtette – a törvény elméletileg kijelölhetné a Moniteur belge‑t adatfeldolgozónak, feltéve, hogy a nemzeti jogszabály több szervezetet is kötelezett a szóban forgó dokumentum elkészítésére, tárolására és digitális terjesztésére. Ahhoz azonban, hogy a Moniteur belge adatfeldolgozónak minősüljön, teljesülniük kell az általános adatvédelmi rendelet 28. cikkében meghatározott feltételeknek, ami a Bíróság elé terjesztett körülmények szerint nyilvánvalóan nem áll fenn, mivel minden érintett szervezet az adatkezelés saját részéért felelős. ( 42 ) Ennélfogva a Moniteur belge nem tekinthető az említett rendelkezés értelmében vett „adatfeldolgozónak”.

61.

A belga kormány továbbá azt állította, hogy a nemzeti jogalkotó maga jár el adatkezelőként, vagy meghatároz egy, az adatkezelésért felelős szervet, míg a Moniteur belge csak a rá ruházott hatásköröket gyakorolja. E kormány szerint a magán keresőmotorokra vonatkozó ítélkezési gyakorlat nem alkalmazható az állami szervezetekre, mivel a Moniteur belge a jogalkotó által létrehozott közhatalmi szervként nem határozhatja meg egyedül a megbízatását és feladatait.

62.

Amint arra már rámutattam, ( 43 ) a jelen ügyben a nemzeti jogalkotó hallgatólagosan adatkezelőnek jelölte ki a Moniteur belge‑t azáltal, hogy bizonyos konkrét feladatok ellátására vonatkozó hatáskörrel ruházta fel.

63.

Mindenesetre úgy vélem, hogy ha a Bíróság úgy ítélné meg, hogy a nemzeti jogalkotó adatkezelőnek minősül minden olyan esetben, amikor az adott adatkezelési művelet céljainak és eszközeinek meghatározására vonatkozó hatáskörét gyakorolja, az ilyen megközelítés azzal a következménnyel járna, hogy a természetes személyek többé nem részesülnének hatékony védelemben, és így az adatkezelő fogalmát megfosztanák hatékony érvényesülésétől. Az érintettek hatékony védelme ugyanis nem biztosítható, ha az adatkezelő kötelezettségeit a személyes adatoknak a tagállami szabályozás által előírt minden egyes kezelése tekintetében maga a jogalkotó látja el. Ily módon véleményem szerint, ha valamely közhatalmi szervet személyes adatok kezelésére vonatkozó hatáskörrel ruháztak fel, nem a jogalkotó az adatkezelő, hanem a közfeladatokat ellátó közhatalmi szerv az a szervezet, amely ezen adatkezelés céljait és eszközeit meghatározza. ( 44 ) A jelen esetben a körülményekből egyértelműen kitűnik, hogy a szóban forgó adatkezelésre – amint azt a jelen indítvány 43. pontja kifejti – a nemzeti jogszabályok végrehajtásaként kerül sor, ami kizárja azt a feltevést, hogy a jogszabályok elfogadásakor a jogalkotó maga válik a személyes adatok kezelőjévé.

64.

A jelen ügyben a Bíróság elé terjesztett nemzeti jogszabályokból kitűnik, hogy a Moniteur belge nem rendelkezik döntési jogkörrel azon szövegeket illetően, amelyeket közzé kell tennie. ( 45 ) Ugyanis, amint azt a belga kormány az írásbeli beadványaiban és a tárgyaláson hangsúlyozta, a Moniteur belge‑nek 15 nap állt rendelkezésére ( 46 ) a dokumentum közzétételére, aminek a közjegyző által készített dokumentum pontos másolatának kellett lennie. Mulasztás vagy késedelem esetén fennáll a veszélye annak, hogy a Moniteur belge‑nél dolgozó köztisztviselő ellen kártérítési pert indítanak. ( 47 ) Az ilyen esetek elkerülése érdekében a közhatalmi szerv nem ellenőrzi, hogy az általa közzéteendő információk hiánytalanok, érvényesek vagy pontosak‑e. Ennélfogva, amint arra a belga kormány hivatkozik, úgy tűnik, hogy a Moniteur belge nem rendelkezik hatáskörrel e dokumentumok – köztük az azokban esetlegesen szereplő személyes adatok – tartalmának ellenőrzésére.

65.

Mivel azonban maga a jogalkotó a jogszabályok elfogadásakor nem jár el adatkezelőként, és mivel a szóban forgó adatkezelés céljainak és eszközeinek meghatározására – azaz a szóban forgó dokumentumok digitális átalakítására és digitális terjesztésére – semmilyen más szervezetnek nincs befolyása, a kijelölés hiányának elkerülése érdekében a Moniteur belge‑t kell adatkezelőnek kijelölni. A közjegyzőnek és a cégbíróság hivatalának egyszerűen nincs hatásköre arra, hogy e szakaszban fellépjen. E körülmények között a Moniteur belge mérlegelési jogkörének hiánya nem lehet az érintettek hatékony védelmének akadálya. Ezért meg kell állapítani, hogy a Moniteur belge az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében, bár hallgatólagosan lett kijelölve, adatkezelőnek minősül a személyes adatoknak – a dokumentumok nemzeti jogszabályokban előírtak szerinti közzététele során történő – kezelése tekintetében,

66.

A jelen ügy tényállásából kitűnik, hogy a közjegyző adatvédelmi tisztviselője kérte (a Moniteur belge képviseletében eljáró) FPS Justice‑től a vitatott szakasz törlését – azaz az internetről való eltávolítását –, és a kivonatnak e szakasz nélküli közzétételét. Az FPS Justice elutasította a kérelmet, és új kivonat közzétételét ajánlotta fel. E körülmények között úgy tűnik, hogy az érintett közjegyzőnek nincs hatásköre a vitatott szakasz módosításának vagy visszavonásának elrendelésére. Hangsúlyoznom kell azonban, hogy úgy tűnik, más jogalany sem rendelkezik ezzel a hatáskörrel.

67.

A belga kormány kifejti, hogy a nemzeti jogalkotó szándéka az volt, hogy a Moniteur belge‑ben közzétett dokumentumok archiválási célból időben változatlanok maradjanak, és hogy a kiadványok elektronikus változata továbbra is a nyomtatott változat pontos másolata maradjon, ami kizár minden visszamenőleges módosítást. E kormány hozzáteszi, hogy valamely jogi személy Moniteur belge‑ben közzétett dokumentumának kijavításához a közjegyzőnek módosító dokumentumot kell benyújtania a cégbíróság hivatalához, amely ezt követően felkéri a Moniteur belge igazgatóságát e módosító okirat közzétételére. Másrészt a belga jog szerint nem lehetséges az eredeti jogi aktus teljes törlése, különben sérülne a Moniteur belge megváltoztathatatlanságának elve.

68.

Véleményem szerint az, hogy a közhatalmi szerv megtagadta a szóban forgó személyes adatokat tartalmazó szakasz törlését és a dokumentum e szakasz nélküli közzétételét, azzal a következménnyel jár, hogy az említett adatok a nyilvánosság számára hozzáférhetőek maradnak. Ez véleményem szerint azt jelenti, hogy e közhatalmi szerv a nemzeti jogszabályok alkalmazása során az általános adatvédelmi rendelet 4. cikkének 7. pontjának értelmében vett „adatkezelőként” jár el, mivel a vitatott szakasz visszavonásának megtagadásával és közzétételének fenntartásával meghatározza a személyes adatok kezelésének céljait és eszközeit. Ha a Moniteur belge‑t nem ismernénk el adatkezelőnek, úgy tűnik, hogy egyetlen közhatalmi szerv sem rendelkezne ezzel a minőséggel. ( 48 )

69.

Véleményem szerint az „adatkezelői” minőség nem függhet attól, hogy egy olyan közhatalmi szerv, mint a Moniteur belge a nemzeti jog értelmében nem tud eleget tenni az adatok törlése iránti kérelemnek. Ennélfogva a nemzeti jogban fennálló joghézag esetén a nemzeti hatóságok és ebben a szakaszban a nemzeti bíróság feladata, hogy az általános adatvédelmi rendelet alkalmazásával kijelölje azt a szervezetet, amelynek meg kell felelnie az e rendeletből eredő kötelezettségeknek. A jelen ügyben, mivel az adatokat kezelik, azok a nyilvánosság számára hozzáférhetők maradnak, de a nemzeti jog az adatkezelés e szakasza tekintetében nem jelölt ki adatkezelő hatóságot.

70.

Ebben az esetben, mivel a nemzeti jogalkotó joghézagot hagyott azzal, hogy nem jelölt ki adatkezelőt, a Bíróságnak kellene megállapítania, hogy a kérdést előterjesztő bíróság feladata, hogy a Bíróság előtt ismertetett körülmények alapján a Moniteur belge‑t (vagy e bíróság értékelése szerint az FPS Justice‑t) kijelölje adatkezelőnek. Véleményem szerint csak egy ilyen értelmezés lenne összhangban az általános adatvédelmi rendelet 4. cikke 7. pontjának azon célkitűzésével, hogy – az „adatkezelő” fogalmának tág meghatározásával – biztosítsa az érintettek hatékony és teljes védelmét. ( 49 ) Ez lehetővé tenné a joghézagok elkerülését és megelőzné az általános adatvédelmi rendelet szabályainak esetleges megkerülését.

71.

Ami a Moniteur belge által terjesztett információk megváltoztathatatlanságának elvére alapított gyakorlati érveket illeti, a nemzeti jogalkotó feladata, hogy – többek között az általános adatvédelmi rendelet 5. és 17. cikkéből eredő kötelezettségekkel összhangban – olyan jogszabályi keretet alakítson ki, amely figyelembe veszi az érintettek védelmét, valamint a fenti elvet. Mivel a személyes adatok közzététele exponenciálisan növeli az érintettek sérelmének kockázatát, a nemzeti jogban innovatív megoldásokra van szükség. ( 50 )

72.

Összefoglalva, a jelen ügyben azt javaslom, hogy a Bíróság állapítsa meg, hogy a Moniteur belge az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőként” jár el, amikor úgy dönt, hogy megtagadja a vitatott szakasz nyilvános hozzáférhetőségének visszavonását, vagyis amikor a vitatott szakasz közzétételét fenntartja.

73.

A jelen ügyben a nemzeti jogszabály az adatkezelő kijelölésére vonatkozó kötelezettséget vezetett be az általános adatvédelmi rendeletből eredő kötelezettségek teljesítése érdekében. Először is, ami a szóban forgó adatok digitális átalakítását, közzétételét és terjesztését illeti, a Moniteur belge‑t az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőként” kell azonosítani az érintett személy alapvető jogainak biztosítása érdekében. Másodszor, ami a szóban forgó adatok visszavonásának elmaradását illeti, a nemzeti szabályozásban joghézag áll fenn, mivel az érintett szervezetek egyike sem jogosult ezen adatok visszavonására. Ilyen esetben a nemzeti bíróság feladata, hogy az általános adatvédelmi rendelet alapján az érintettek alapvető jogai védelmének biztosítása érdekében kijelöljön egy adatkezelőt, aki a jelen esetben látszólag a Moniteur belge.

74.

Következésképpen azt javaslom, hogy az első kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontját úgy kell értelmezni, hogy az érintettek hatékony és teljes védelmének biztosítása érdekében egy olyan tagállami hivatalos lap mint a Moniteur belge – amely az alkalmazandó nemzeti jogszabályok szerint hivatalos dokumentumok közzétételére és archiválására irányuló feladatot lát el – az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett adatkezelőnek tekinthető, amennyiben az említett dokumentumok változatlan formában történő közzétételét más szervezetek rendelkezése alapján végzi, mivel a nemzeti jogalkotó e lapot olyan hatáskörrel ruházta fel, hogy az meghatározhatja a szóban forgó dokumentumok digitális átalakításának, közzétételének, terjesztésének és tárolásának eszközeit, illetve széles körű közzétételi és terjesztési célokat tűzött ki számára. Mindazonáltal, ami az adatkezelő kijelölésének az adatok visszavonása vagy törlése tekintetében fennálló hiányát illeti, miután a szóban forgó adatok a nyilvánosság számára továbbra is hozzáférhetők, a nemzeti bíróság feladata kijelölni azt a szervezetet, amelynek teljesítenie kell az általános adatvédelmi rendeletből eredő kötelezettségeket.

75.

Ha a Bíróság elfogadja az első kérdésre adott fenti választ, csak ebben az esetben kell válaszolnia a második kérdésre, vagyis arra, hogy a Moniteur belge‑nek vagy az azt irányító hatóságnak kell‑e egyedül felelnie az általános adatvédelmi rendelet alapján az adatkezelőre háruló kötelezettségek tiszteletben tartásáért.

76.

Második kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi, hogy úgy kell‑e értelmezni az általános adatvédelmi rendelet 5. cikkének (2) bekezdését, hogy e rendelkezés értelmében kizárólag a szóban forgó hivatalos lap felel az adatkezelőre háruló kötelezettségek tiszteletben tartásáért, ami kizárja azon egyéb szervezetek felelősségét, amelyek az általuk közzétenni kért hivatalos dokumentumokban szereplő adatokat korábban kezelték, vagy e kötelezettségek együttesen vonatkoznak minden egyes egymást követően közreműködő adatkezelőre.

77.

Az általános adatvédelmi rendelet 5. cikkének (2) bekezdése értelmében az adatkezelő felelős az említett cikk (1) bekezdésében meghatározott elvek – például az adattakarékosság és a pontosság elve ( 51 ) – tiszteletben tartásáért, és képesnek kell lennie igazolni, hogy ezen elveket tiszteletben tartották. Amennyiben valamely természetes személy azon személyes adatok törlését kívánja elérni, amelyek esetében a nemzeti szabályozás nem teszi szükségessé a közzétételt, a kérdést előterjesztő bíróság kifejti, hogy el kell döntenie, hogy a Moniteur belge vagy az őt irányító hatóság egyedül felelős‑e az adattakarékosság és a pontosság elvének tiszteletben tartásáért, vagy a két másik szervezet szintén felelős ezen elvek tiszteletben tartásáért.

78.

A kérdést előterjesztő bíróság – miközben megjegyzi, hogy az alapeljárás felei nem hivatkoznak arra, hogy az általános adatvédelmi rendelet 26. cikke szerinti közös adatkezelőkről van szó – különösen azt vizsgálja, hogy az egymást követően közreműködő lehetséges adatkezelők mindegyike, vagy csak az egyikük minősül‑e az említett rendelet 4. cikkének 7. pontja szerinti „adatkezelőnek”, és ebből következően a rendelet 5. cikkének (2) bekezdése alapján felelősnek kell‑e tekinteni őket a fent említett elvek tiszteletben tartásáért.

79.

Amint már korábban rámutattam, ( 52 ) a Moniteur belge‑ben közzétett vitatott szakaszban szereplő személyes adatokat több szervezet – nevezetesen a kivonatot készítő közjegyző, a tribunal de l’entreprise néerlandophone de Bruxelles (brüsszeli [holland nyelvű] cégbíróság) hivatala, amely azt a társaság aktájához csatolta, és végül a Moniteur belge, amely azt változatlan formában közzétette – egymást követően kezelte.

80.

Ezen események láncolatát illetően meg kell állapítani, hogy a szóban forgó személyes adatoknak a Moniteur belge‑re bízott kezelése nemcsak a közjegyző és a cégbíróság hivatala által végzett adatkezelést követi, hanem technikailag is különbözik az e két szerv által végzett adatkezeléstől, valamint kiegészíti azt. Hangsúlyozni kell, hogy mivel a Moniteur belge által végzett műveletek különösen a hozzá benyújtott kivonatokban szereplő adatok digitális átalakítását, közzétételét, széles körben történő nyilvánosságra hozatalát és tárolását foglalják magukban, a Moniteur belge‑re jogilag rábízott műveletek – a két másik szervezet által korábban végzett adatkezeléshez képest – jelentős további hatást gyakorolnak, illetve veszélyt jelentenek a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogokra. ( 53 )

81.

Ennélfogva a Moniteur belge‑nek az a feladata, hogy a nemzeti jog által számára előírt adatkezelési műveletek tekintetében teljesítse az általános adatvédelmi rendelet alapján az adatkezelőre háruló valamennyi kötelezettséget.

82.

Az általános adatvédelmi rendelet 4. cikkének 7. pontja elismeri, hogy „az adatkezelés céljait és eszközeit” egynél több szereplő is meghatározhatja. Kimondja, hogy az „adatkezelő” fogalma arra a szervre vonatkozik, amely „önállóan vagy másokkal együtt” meghatározza az adatkezelés céljait és eszközeit. Ezt a helyzetet az általános adatvédelmi rendelet 26. cikke vázolja fel, amely szerint ugyanazon adatkezelés tekintetében több különböző szervezet is eljárhat adatkezelőként, és mindegyikükre vonatkoznak a személyes adatok védelmére vonatkozó rendelkezések. ( 54 )

83.

Emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 26. cikkének (1) bekezdése úgy rendelkezik, hogy ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. Ugyanez a bekezdés hozzáteszi, hogy a közös adatkezelők az általános adatvédelmi rendelet valamennyi követelményének való megfelelés biztosítása érdekében átlátható módon határozzák meg felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben a kötelezettségeik megoszlását többek között az adatkezelőkre alkalmazandó tagállami jog határozza meg. Ennélfogva több adatkezelő együttes felelőssége nem feltétlenül függ a különböző adatkezelők közötti megállapodás meglététől, vagy akár az adatkezelők szándékától, hanem a nemzeti jogból is következhet, amennyiben több adatkezelő kijelölése és az egyes adatkezelőknek az általános adatvédelmi rendelet követelményeire tekintettel fennálló kötelezettségei e jogból levezethetők.

84.

Az a tény azonban, hogy több szereplő vesz részt ugyanabban az adatkezelési láncban, nem jelenti azt, hogy szükségszerűen közös adatkezelőkként járnak el. ( 55 ) Ezenkívül a Bíróság kimondta, hogy egy természetes vagy jogi személy nem tekinthető felelősnek az adatkezelési láncban olyan korábbi vagy későbbi műveletekért, amelyeknek céljait és eszközeit nem ő határozza meg. ( 56 ) Így a jelen ügyben nem tűnik úgy, hogy a nemzeti jog közös adatkezelőket jelölt volna ki, mivel a közjegyző semmilyen ellenőrzést nem gyakorol a Moniteur belge által végzett műveletek felett.

85.

Következésképpen úgy vélem, hogy a jelen ügyben a három szervezet együttes felelősségét a nemzeti jog nem állapítja meg, és az a kérdést előterjesztő bíróság által ismertetett tényállás alapján sem mutatható ki. Az alapügy tényállását illetően különösen arra kell rámutatnom, hogy a láncban szereplő három szervezet nem ugyanazon adatkezelési eszközöket alkalmazza, mivel a Moniteur belge végzi a szóban forgó dokumentumok digitális átalakítását, közzétételét és terjesztését. Ezenkívül az alapügy tényállására tekintettel annak az érintett természetes személynek, aki az általános adatvédelmi rendelet 17. cikkével összhangban élni kíván a törléshez való jogával, minden egyes közös adatkezelővel szemben gyakorolnia kellene az általános adatvédelmi rendelet szerinti jogait. Ebből a szempontból tehát minden egyes szereplő külön‑külön lenne felelős az általános adatvédelmi rendelet 5. cikkének (1) bekezdésében említett elvek tiszteletben tartásáért. ( 57 )

86.

Ebből véleményem szerint az következik, hogy az általános adatvédelmi rendelet 5. cikkének (2) bekezdése alapján nem állapítható meg a különböző adatkezelők „halmozott” felelőssége. Valójában az adatkezelési láncban részt vevő valamennyi szereplő – az általuk az adatkezelés céljainak és eszközeinek megfelelően elvégzett adatkezelési műveletek tekintetében – csak külön‑külön lehet felelős az említett rendelet 5. cikkének (1) bekezdésében említett elveknek való megfelelésért. A jelen ügyben, mivel az adatokat nem a közjegyző, hanem a Moniteur belge tette közzé tévedésből, számomra úgy tűnik, hogy ez utóbbi közhatalmi szerv – bár nem ő foglalta bele az adatokat a vitatott szakaszba – szintén egyénileg felelős az említett 5. cikk (1) bekezdésében foglalt elvek tiszteletben tartásáért.

87.

Végezetül szeretnék rámutatni, hogy a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy a Moniteur belge‑ben közzétett adatoknak a helyesbítését, de nem a törlését lehetővé tevő nemzeti jog összeegyeztethető‑e az általános adatvédelmi rendelettel. Úgy tűnik ugyanis, hogy a nemzeti jogszabályok nem teszik lehetővé a Moniteur belge számára (az akár elektronikus formában) közzétett adatok visszamenőleges hatállyal történő törlését. Ebben az összefüggésben igaz, hogy az általános adatvédelmi rendelet 16., illetve 17. cikkében előírt helyesbítéshez és törléshez való jog – amint azt az általános adatvédelmi rendelet 23. cikke kimondja – a nemzeti jog alapján korlátozható. Az ilyen korlátozást azonban a Charta 52. cikkének (1) bekezdésével összhangban törvényben kell előírni, tiszteletben kell tartani a természetes személyek alapvető jogainak lényeges tartalmát, és tiszteletben kell tartani az arányosság elvét. ( 58 )

88.

A fentiekre tekintettel azt javaslom, hogy a második kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 5. cikkének (2) bekezdését úgy kell értelmezni, hogy e rendelkezés értelmében a szóban forgó hivatalos lap felel az adatkezelőre háruló kötelezettségek tiszteletben tartásáért az általa elvégzett műveletek tekintetében. A szóban forgó adatkezelés nem eredményez közös adatkezelést, és a Moniteur belge kizárólagos felelősséggel tartozik a nemzeti jog által számára előírt adatkezelési műveletekért.

89.

A fenti megfontolásokra tekintettel azt javaslom, hogy a Bíróság a cour d’appel de Bruxelles (brüsszeli fellebbviteli bíróság, Belgium) által előzetes döntéshozatalra előterjesztett kérdésre a következő választ adja:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 4. cikkének 7. pontját

úgy kell értelmezni, hogy az érintettek hatékony és teljes védelmének biztosítása érdekében egy olyan tagállami hivatalos lap mint a Moniteur belge – amely az alkalmazandó nemzeti jogszabályok szerint hivatalos dokumentumok közzétételére és archiválására irányuló feladatot lát el – a 2016/679 rendelet 4. cikkének 7. pontja értelmében vett adatkezelőnek tekinthető, amennyiben az említett okiratok változatlan formában történő közzétételét más szervezetek rendelkezése alapján végzi, mivel a nemzeti jogalkotó e lapot olyan hatáskörrel ruházta fel, hogy az meghatározhatja a szóban forgó dokumentumok digitális átalakításának, közzétételének, terjesztésének és tárolásának eszközeit, illetve széles körű közzétételi és terjesztési célokat tűzött ki számára. Mindazonáltal, ami az adatkezelő kijelölésének az adatok visszavonása vagy törlése tekintetében fennálló hiányát illeti, miután a szóban forgó adatok a nyilvánosság számára továbbra is hozzáférhetők, a nemzeti bíróság feladata kijelölni azt a szervezetet, amelynek teljesítenie kell a 2016/679 rendeletből eredő kötelezettségeket.

A 2016/679 rendelet 5. cikkének (2) bekezdését úgy kell értelmezni, hogy e rendelkezés értelmében a szóban forgó hivatalos lap felel az adatkezelőre háruló kötelezettségek tiszteletben tartásáért az általa elvégzett műveletek tekintetében. A szóban forgó adatkezelés nem eredményez közös adatkezelést, és a Moniteur belge kizárólagos felelősséggel tartozik a nemzeti jog által számára előírt adatkezelési műveletekért.