–

Agentsia po vpisvaniyata, atstovaujamos I. D. Ivanov ir D. S. Miteva, padedamų advokat Z. N. Mandazhieva,

–

OL, atstovaujamos sau pačiai, padedamos advokati I. Stoynev ir T. Tsonev,

–

Bulgarijos vyriausybės, atstovaujamos T. Mitova ir R. Stoyanov,

–

Vokietijos vyriausybės, atstovaujamos J. Möller ir P.-L. Krüger,

–

Airijos vyriausybės, atstovaujamos Chief State Solicitor M. Browne, M. Lane, A. Joyce ir M. Tierney, padedamų BL I. Boyle Harper,

–

Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocato dello Stato G. Natale,

–

Lenkijos vyriausybės, atstovaujamos B. Majczyna,

–

Suomijos vyriausybės, atstovaujamos A. Laine,

–

Europos Komisijos, atstovaujamos A. Bouchagiar, C. Georgieva, H. Kranenborg ir L. Malferrari,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2009 m. rugsėjo 16 d. Europos Parlamento ir Tarybos direktyvos 2009/101/EB dėl apsaugos priemonių, kurių valstybės narės reikalauja iš [EB] 48 straipsnio antroje pastraipoje apibrėžtų bendrovių siekiant apsaugoti narių ir trečiųjų asmenų interesus, koordinavimo, siekiant suvienodinti tokias apsaugos priemones (OL L 258, 2009, p. 11), 3 ir 4 straipsnių ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016; p. 1, toliau – BDAR) 4, 6 17, 58 ir 82 straipsnių išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant Agentsia po vpisvaniyata (registrų įrašus tvarkanti agentūra, Bulgarija, toliau – agentūra) ir OL ginčą dėl agentūros atsisakymo išbraukti tam tikrus OL asmens duomenis, nurodytus įmonių registre paskelbtoje bendrovės steigimo sutartyje.

3

2017 m. birželio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2017/1132 dėl tam tikrų bendrovių teisės aspektų (OL L 169, 2017, p. 46) nuo įsigaliojimo momento, t. y. 2017 m. liepos 20 d., panaikino ir pakeitė Direktyvą 2009/101.

4

Direktyvos 2017/1132 1, 7, 8 ir 12 konstatuojamosiose dalyse nurodyta:

<…>

<…>

5

Direktyvos 2017/1132 I antraštinės dalies II skyriaus 1 skirsnyje „Akcinės bendrovės įsteigimas“ esančiame 4 straipsnyje „Įstatuose ar steigimo dokumentuose arba atskiruose dokumentuose pateikiama privaloma informacija“ nurodyta:

„Įstatuose, steigimo dokumente arba atskirame dokumente, paskelbtame taip, kaip nustatyta kiekvienos valstybės narės teisės aktuose pagal 16 straipsnį, pateikiama bent tokia informacija:

<…>

<…>“

6

Minėtos direktyvos I antraštinės dalies III skyriaus 1 skirsnis „Bendrosios nuostatos“ apima 13–28 straipsnius.

7

To direktyvos 13 straipsnyje „Taikymo sritis“ numatyta:

„Šiame skirsnyje nurodytos koordinavimo priemonės taikomos valstybių narių įstatymams ir kitiems teisės aktams dėl II priede išvardytų bendrovių tipų.“

8

Direktyvos 2017/1132 14 straipsnyje „Bendrovių atskleidžiami dokumentai ir duomenys“ nurodyta:

„Valstybės narės imasi priemonių, būtinų užtikrinti, kad bendrovės būtinai atskleistų bent šiuos dokumentus ir duomenis:

<…>“

9

Šios direktyvos 15 straipsnio „Dokumentų ir duomenų pakeitimai“ 1 dalyje numatyta:

„Valstybės narės imasi priemonių, reikalingų siekiant užtikrinti, kad visi 14 straipsnyje nurodytų dokumentų ir duomenų pakeitimai būtų įtraukti į 16 straipsnio 1 dalies pirmoje pastraipoje nurodytą kompetentingą registrą ir atskleisti pagal 16 straipsnio 3 ir 5 dalis, paprastai per 21 dieną nuo visų su tais pakeitimais susijusių dokumentų gavimo dienos, įskaitant, kai taikoma, teisėtumo patikrinimą įtraukiant į bylą, kaip to reikalaujama pagal nacionalinę teisę.“

10

Minėtos direktyvos 16 straipsnyje „Paskelbimas registre“ nustatyta:

„1.   Kiekvienos valstybės narės centriniame, komerciniame ar bendrovių registre (toliau – registras) yra užvedama kiekvienos joje registruotos bendrovės byla.

<…>

3.   Visi dokumentai ir duomenys, kuriuos reikalaujama atskleisti pagal 14 straipsnį, turi būti saugomi byloje ar įtraukti į registrą; tai, kas įtraukiama į registrą, kiekvienu atveju turi būti ir byloje.

Valstybės narės užtikrina, kad bendrovės ir kiti asmenys bei institucijos, iš kurių reikalaujama pateikti arba dalyvauti pateikiant dokumentus ir duomenis, visus dokumentus ir duomenis, kuriuos reikalaujama atskleisti pagal 14 straipsnį, galėtų pateikti elektroninėmis priemonėmis. Be to, valstybės narės gali reikalauti, kad visos ar tam tikrų rūšių bendrovės pateiktų visus dokumentus ir duomenis ar jų dalį elektroninėmis priemonėmis.

Visi 14 straipsnyje nurodyti dokumentai ir duomenys, kurie pateikiami popierine forma ar elektroninėmis priemonėmis, turi būti saugomi byloje arba įtraukti į registrą elektronine forma. Tuo tikslu valstybės narės užtikrina, kad visi tokie dokumentai ir duomenys, kurie pateikti popierine forma, registre būtų pervesti į elektroninę formą.

<…>

4.   Turi būti galimybė gauti visų 14 straipsnyje nurodytų dokumentų ar duomenų ar bet kurios jų dalies kopiją pateikus prašymą. Registrui prašymai gali būti pateikiami popierine forma arba elektroninėmis priemonėmis, pareiškėjo pasirinkimu.

<…>

5.   3 dalyje nurodyti dokumentai ir duomenys atskleidžiami paskelbiant tam tikslui valstybės narės skirtame nacionaliniame leidinyje visą tekstą ar jo dalį arba darant nuorodą į dokumentą, kuris buvo įtrauktas į bylą ar registrą. Tam tikslui valstybės narės skirtas nacionalinis leidinys gali būti laikomas elektronine forma.

Valstybės narės gali nuspręsti paskelbimą nacionaliniame leidinyje pakeisti kita lygiaverčio veiksmingumo priemone, kuri sąlygotų bent naudojimąsi tokia sistema, kuri leistų chronologine tvarka naudotis atskleista informacija per centrinę elektroninę bazę.

6.   Bendrovė gali remtis dokumentais ir duomenimis prieš trečiuosius asmenis tiktai po to, kai jie buvo atskleisti taip, kaip nurodyta 5 dalyje, išskyrus atvejus, kai bendrovė įrodo, kad tretieji asmenys žinojo apie juos.

<…>

7.   Valstybės narės imasi būtinų priemonių, kad būtų išvengta bet kokio neatitikimo tarp to, kas atskleista pagal 5 dalį, ir to, kas nurodyta registre ar byloje.

Tačiau neatitikimo atveju laikantis 5 dalies atskleistu tekstu negali būti remiamasi prieš trečiuosius asmenis; tačiau šie asmenys gali juo remtis, išskyrus atvejus, kai bendrovė įrodo, kad jiems buvo žinomi į bylą arba registrą įtraukti tekstai.

<…>“

11

Direktyvos 2017/1132 21 straipsnyje „Dokumentų ir duomenų atskleidimo kalba ir vertimas“ numatyta:

„1.   Dokumentai ir duomenys, kurie turi būti atskleisti remiantis 14 straipsniu, rengiami ir pateikiami viena iš kalbų, kurią leidžia valstybėje narėje, kurioje užvedama 16 straipsnio 1 dalyje nurodyta byla, taikomos kalbos taisyklės.

2.   Be 16 straipsnyje nurodyto privalomo atskleidimo, valstybės narės leidžia, kad 14 straipsnyje nurodytų dokumentų ir duomenų vertimai būtų atskleidžiami savanoriškai, laikantis 16 straipsnio, bet kuria (-iomis) oficialia (-iomis) [Europos] Sąjungos kalba (-omis).

Valstybės narės gali nustatyti, kad tokių dokumentų ir duomenų vertimai būtų tvirtinami.

Valstybės narės imasi būtinų priemonių, kad palengvintų trečiųjų asmenų prieinamumą [prieigą] prie savanoriškai atskleistų vertimų.

3.   Be 16 straipsnyje nurodyto privalomo atskleidimo ir šio straipsnio 2 dalyje numatyto savanoriško atskleidimo, valstybės narės gali leisti, kad, laikantis 16 straipsnio, atitinkami dokumentai ir duomenys būtų atskleidžiami bet kuria (-iomis) kita (-omis) kalba (-omis).

<…>

4.   Tačiau, jei oficialiomis registro kalbomis atskleisti dokumentai ir duomenys neatitinka savanoriškai atskleistų vertimų, pastaraisiais negali būti remiamasi prieš trečiuosius asmenis. <…>“

12

Šios direktyvos 161 straipsnyje „Duomenų apsauga“ numatyta:

„Įgyvendinant šią direktyvą vykdomas asmens duomenų tvarkymas atliekamas vadovaujantis [1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k. 13 sk., 15 t., p. 355)].“

13

Minėtos direktyvos 166 straipsnyje „Panaikinimas“ nustatyta:

„Direktyvos [2009/101 ir 2012/30] panaikinamos <…>.

Nuorodos į panaikintas direktyvas laikomos nuorodomis į šią direktyvą ir skaitomos pagal IV priede pateiktą atitikties lentelę.“

14

Direktyvos 2017/1132 II priede išvardyti jos 7 straipsnio 1 dalyje ir 13 straipsnyje, 29 straipsnio 1 dalyje, 36 straipsnio 1 dalyje ir 67 straipsnio 1 dalyje bei 119 straipsnio 1 punkto a papunktyje nurodytų bendrovių tipai, tarp kurių Bulgarijos atveju minimas OOD.

15

Vadovaujantis Direktyvos 2017/1132 IV priede pateikta atitikties lentele, Direktyvos 2009/101 2, 2a, 3, 4 ir 7 straipsniai atitinka Direktyvos 2017/1132 14, 15, 16, 21 ir 161 straipsnius. Be to, Direktyvos 2012/30 3 straipsnis atitinka Direktyvos 2017/1132 4 straipsnį.

16

Direktyva 2017/1132 buvo iš dalies pakeista 2019 m. birželio 20 d. Europos Parlamento ir Tarybos direktyva (ES) 2019/1151, kuria iš dalies keičiamos Direktyvos (ES) 2017/1132 nuostatos dėl skaitmeninių priemonių ir procesų, naudojamų taikant bendrovių teisės aktus (OL L 186, 2019, p. 80); šios 2019 m. liepos 31 d. įsigaliojusios direktyvos 1 straipsnyje „Direktyvos [2017/1132] daliniai pakeitimai“ numatyta:

„[Direktyva2017/1132] iš dalies keičiama taip:

<…>

6) 16 straipsnis pakeičiamas taip:

„16 straipsnis

Paskelbimas registre

1.   Kiekvienos valstybės narės centriniame, komerciniame ar bendrovių registre (toliau – registras) yra užvedama kiekvienos joje registruotos bendrovės byla.

<…>

2.   Visi dokumentai ir informacija, kuriuos reikalaujama atskleisti pagal 14 straipsnį, saugomi šio straipsnio 1 dalyje nurodytoje byloje arba įtraukiami tiesiogiai į registrą; tai, kas įtraukiama į registrą, užregistruojama byloje.

Nepriklausomai nuo to, kaip buvo pateikti, visi 14 straipsnyje nurodyti dokumentai ir informacija saugomi registro byloje arba įtraukiami tiesiogiai į registrą elektronine forma. Valstybės narės užtikrina, kad visų popierine forma pateiktų dokumentų ir informacijos forma registre būtų kuo greičiau pakeista į elektroninę.

<…>

3.   Valstybės narės užtikrina, kad 14 straipsnyje nurodyti dokumentai ir informacija būtų atskleidžiami registre padarant juos viešai prieinamais. Be to, valstybės narės taip pat gali reikalauti, kad kai kurie arba visi dokumentai ir informacija būtų skelbiami tam tikslui skirtame nacionaliniame leidinyje arba ne mažiau veiksmingais būdais. <…>

4.   Valstybės narės imasi būtinų priemonių, kad būtų išvengta bet kokio registre laikomų duomenų bei bylos duomenų neatitikimo.

Valstybės narės, reikalaujančios dokumentų ir informacijos paskelbimo nacionaliniame leidinyje arba centrinėje elektroninėje platformoje, imasi būtinų priemonių, kad būtų išvengta bet kokio duomenų, atskleistų remiantis 3 dalimi, ir leidinyje ar platformoje paskelbtų duomenų neatitikimo.

Susidūrus su šiame straipsnyje minimais neatitikimais, pirmenybė teikiama registre prieinamiems dokumentams ir informacijai.

5.   Bendrovė gali remtis 14 straipsnyje nurodytais dokumentais ir informacija prieš trečiuosius asmenis tik po to, kai jie buvo atskleisti šio straipsnio 3 dalyje nurodyta tvarka, nebent bendrovė įrodytų, kad jie tretiesiems asmenims buvo žinomi.

<…>

6.   Valstybės narės užtikrina, kad visi steigiant bendrovę, registruojant filialą arba teikiant jų duomenis pateikti bendrovės ar filialo dokumentai ir informacija būtų saugomi registruose kompiuterio skaitomu, paiešką atlikti leidžiančiu arba struktūrinių duomenų formatu.

7) įterpiamas šis straipsnis:

„16a straipsnis

Prieiga prie atskleistos informacijos

1.   Valstybės narės užtikrina, kad pateikus prašymą iš registro būtų galima gauti visų 14 straipsnyje nurodytų dokumentų ir informacijos ar bet kurios jų dalies kopijas <…>.

<…>“

19) 161 straipsnis pakeičiamas taip:

„161 straipsnis

Duomenų apsauga

Visi su šia direktyva susiję asmens duomenys tvarkomi laikantis [BDAR].“

17

Direktyvos 2019/1151 2 straipsnyje „Perkėlimas į nacionalinę teisę“ nurodyta:

„1.   Valstybės narės užtikrina, kad įsigaliotų įstatymai ir kiti teisės aktai, būtini, kad šios direktyvos būtų laikomasi ne vėliau kaip nuo 2021 m. rugpjūčio 1 d. <…>

2.   Nepažeidžiant šio straipsnio 1 dalies, valstybės narės užtikrina, kad įsigaliotų įstatymai ir kiti teisės aktai, būtini, kad būtų laikomasi šios direktyvos <…> 1 straipsnio 6 punkto, susijusio su [Direktyvos 2017/1132] 16 straipsnio 6 dalimi, ne vėliau kaip 2023 m. rugpjūčio 1 d.

3.   Nukrypstant nuo 1 dalies, valstybės narės, kurios susiduria su ypač dideliais sunkumais perkeldamos šią direktyvą į nacionalinę teisę, turi turėti teisę pasinaudoti galimybe pratęsti 1 dalyje numatytą laikotarpį iki vienų metų. <…>

<…>“

18

BDAR 26, 32, 40, 42, 43, 50, 85, 143 ir 146 konstatuojamosiose dalyse nurodyta:

<…>

<…>

<…>

<…>

<…>

<…>

<…>

19

BDAR 4 straipsnyje „Apibrėžtys“ numatyta:

„Šiame reglamente:

<…>

<…>

<…>

<…>“

20

BDAR 5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ nustatyta:

„1.   Asmens duomenys turi būti:

<…>

<…>

2.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

21

BDAR 6 straipsnyje „Tvarkymo teisėtumas“ nurodyta:

„1.   Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

<…>

<…>

<…>

3.   1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomų taisyklių pritaikymui, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas, kaip antai tas, kurios skirtos kitiems specialiems IX skyriuje numatytiems duomenų tvarkymo atvejams. Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

<…>“

22

BDAR 17 straipsnyje „Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)“ numatyta:

„1.   Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

<…>

3.   1 ir 2 dalys netaikomos, jeigu duomenų tvarkymas yra būtinas:

<…>

<…>“

23

BDAR 21 straipsnio 1 dalis suformuluota taip:

„Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.“

24

BDAR 58 straipsnyje nurodyta:

„1.   Kiekviena priežiūros institucija turi visus šiuos tyrimo įgaliojamus:

<…>

2.   Kiekviena priežiūros institucija turi visus šiuos įgaliojimus imtis taisomųjų veiksmų:

<…>

3.   Kiekviena priežiūros institucija turi visus šiuos leidimo išdavimo ir patariamuosius įgaliojimus:

<…>

<…>

4.   Naudojimuisi pagal šį straipsnį priežiūros institucijai suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingą apskundimą teismine tvarka ir tinkamą procesą, kaip nustatyta Sąjungos ir valstybės narės teisėje, laikantis [Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija)].

5.   Kiekviena valstybė narė teisės aktais nustato, kad jos priežiūros institucija turi įgaliojimus atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą arba kitaip dalyvauti teismo procese siekiant užtikrinti šio reglamento nuostatų vykdymą.

6.   Kiekviena valstybė narė teisės aktais gali nustatyti, kad jos priežiūros institucija be 1, 2 ir 3 dalyse nurodytų įgaliojimų turi papildomų įgaliojimų. Naudojimasis tais įgaliojimais neturi pakenkti veiksmingam VII skyriaus veikimui.“

25

BDAR 82 straipsnyje „Teisė į kompensaciją ir atsakomybė“ numatyta:

„1.   Bet kuris asmuo, patyręs materialinę ar nematerialinę [turtinę ar neturtinę] žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.

2.   Tvarkant duomenis dalyvaujantis duomenų valdytojas atsako už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant šį reglamentą. Duomenų tvarkytojas už dėl duomenų tvarkymo sukeltą žalą atsako tik tuo atveju, jei jis nesilaikė šiame reglamente konkrečiai duomenų tvarkytojams nustatytų prievolių arba jei jis veikė nepaisydamas teisėtų duomenų valdytojo nurodymų arba juos pažeisdamas.

3.   Duomenų valdytojas arba duomenų tvarkytojas atleidžiami nuo atsakomybės pagal 2 dalį, jeigu jis įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.

<…>“

26

BDAR 94 straipsnyje numatyta:

„1.   [Direktyva 95/46] panaikinama nuo 2018 m. gegužės 25 d.

2.   Nuorodos į panaikintą direktyvą laikomos nuorodomis į šį reglamentą. <…>“

27

Pagrindinėje byloje taikytinos redakcijos Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (Įmonių registro ir pelno nesiekiančių juridinių asmenų registro įstatymas) (DV Nr. 34, 2006 m. balandžio 25 d.) (toliau – Registrų įstatymas) 2 straipsnyje nustatyta:

„(1)   Įmonių registras ir pelno nesiekiančių juridinių asmenų registras yra bendra elektroninė duomenų bazė, kurioje nurodomos pagal įstatymą nustatytos aplinkybės ir pagal įstatymą viešai paskelbti dokumentai, susiję su verslo įmonėmis ir užsienio verslo įmonių filialais, pelno nesiekiančiais užsienio juridiniais asmenimis ir pelno nesiekiančių užsienio juridinių asmenų filialais.

(2)   1 dalyje nurodytos aplinkybės ir dokumentai viešai skelbiami be informacijos, sudarančios asmens duomenis, kaip jie suprantami pagal [BDAR] 4 straipsnio 1 punktą, išskyrus informaciją, kuri pagal įstatymą turi būti viešai paskelbta.“

28

Šio įstatymo 3 straipsnyje numatyta:

„Įmonių registrą ir pelno nesiekiančių juridinių asmenų registrą tvarko [agentūra], pavaldi Ministar na pravosadieto [teisingumo ministras, Bulgarija].“

29

Šio įstatymo 6 straipsnio 1 dalyje nurodyta:

„Kiekviena verslo įmonė ir kiekvienas ne pelno siekiantis juridinis asmuo turi pateikti prašymą įregistruoti juos atitinkamai įmonių registre ir pelno nesiekiančių juridinių asmenų registre, deklaruodami aplinkybes, kurias reikalaujama įregistruoti, ir pateikdami dokumentus, kurie turi būti viešai paskelbti.“

30

Minėto įstatymo 11 straipsnis suformuluotas taip:

„(1)   Įmonių registras ir pelno nesiekiančių juridinių asmenų registras yra vieši. Bet kuris asmuo turi teisę laisvai ir nemokamai naudotis registrus sudarančia duomenų baze.

(2)   [Agentūra] užtikrina registruotą prieigą prie verslo įmonės ar pelno nesiekiančio juridinio asmens bylos.“

31

Registrų įstatymo 13 straipsnio 1, 2, 6 ir 9 dalyse nustatyta:

„(1)   Įrašas įtraukiamas, išbraukiamas ir viešai paskelbiamas remiantis prašymo forma.

(2)   Prašyme turi būti pateikti šie duomenys:

1. prašymo pateikėjo kontaktiniai duomenys;

<…>

3. aplinkybė, kurią reikia įregistruoti, įrašas, kurį prašoma išbraukti, arba dokumentas, kuris turi būti viešai paskelbtas;

<…>

(6)   [K]artu su prašymu pateikiami dokumentai arba, atsižvelgiant į konkretų atvejį, dokumentas, kuris turi būti viešai paskelbtas pagal įstatymo reikalavimus. Pateikiamas dokumento originalas, prašymo pateikėjo patvirtinta kopija arba notaro patvirtinta kopija. Prašymo pateikėjas taip pat pateikia dokumentų, kurie turi būti viešai paskelbti įmonių registre, patvirtintas kopijas, kuriose pašalinti kiti nei įstatyme reikalaujami asmens duomenys.

<…>

(9)   Jeigu prašyme ar prie jo pridėtuose dokumentuose nurodomi asmens duomenys, kurių nereikalaujama pagal įstatymą, juos pateikę asmenys laikomi davusiais sutikimą, kad [agentūra] juos tvarkytų ir jie būtų viešai paskelbti.

<…>“

32

Pagrindinėje byloje taikytinos redakcijos Targovski zakon (Prekybos įstatymas) (DV Nr. 48, 1991 m. birželio 18 d.) 101 straipsnio 3 punkte nustatyta, kad bendrovės steigimo sutartyje turi būti nurodyta „bendrovės narių vardas ir pavardė, komercinis pavadinimas ir unikalusis identifikavimo kodas“.

33

Prekybos įstatymo 119 straipsnyje nurodyta:

„(1)   Registruojant bendrovę įmonių registre reikia:

1. pateikti bendrovės steigimo sutartį, kuri paskelbiama viešai.

<…>

(2)   <…> 1 punkte nurodyti duomenys įrašomi į registrą <…>

<…>

(4)   Siekiant įmonių registre pakeisti ar papildyti bendrovės steigimo sutartį, pateikiama šios sutarties kopija su visais pakeitimais ir papildymais, patvirtinta bendrovei atstovaujančio organo, kad būtų paskelbta viešai.“

34

Pagrindinėje byloje taikytinos redakcijos 2007 m. vasario 14 d.Naredba no 1 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel (Nutarimas Nr. 1 dėl įmonių registro ir pelno nesiekiančių juridinių asmenų registro tvarkymo, saugojimo ir prieigos prie jų) (DV Nr. 18, 2007 m. vasario 27 d.), kurį priėmė Ministar na pravosadieto (teisingumo ministras), 6 straipsnyje numatyta:

„Įrašai įmonių registre ir pelno nesiekiančių juridinių asmenų registre įtraukiami ir išbraukiami pagal prašymo formą, kaip nurodyta prieduose [kuriuose pateiktos konkrečios formos]. Vieša prieiga prie įmonių registro ir pelno nesiekiančių juridinių asmenų registro dokumentų teikiama pagal prašymo formą, kaip nurodyta prieduose [kuriuose pateiktos konkrečios formos].“

35

OL yra pagal Bulgarijos teisę įsteigtos ribotos atsakomybės bendrovės „Praven Shtit Konsulting“ OOD narė; ši bendrovė 2021 m. sausio 14 d. buvo įregistruota įmonių registre pateikus 2020 m. gruodžio 30 d. sudarytą ir bendrovės narių pasirašytą bendrovės steigimo sutartį (toliau – atitinkama bendrovė).

36

Šią sutartį, kurioje buvo nurodytas OL vardas ir pavardė, asmens kodas, asmens tapatybės kortelės numeris, kortelės išdavimo data ir vieta, gyvenamosios vietos adresas ir parašas, agentūra paskelbė viešai tokią, kokia buvo pateikta.

37

2021 m. liepos 8 d. OL paprašė agentūros išbraukti jos asmens duomenis, nurodytus minėtoje bendrovės steigimo sutartyje, ir nurodė, kad jeigu šie duomenys tvarkomi remiantis jos sutikimu, ji šį sutikimą atšaukia.

38

Negavusi iš agentūros atsakymo, OL kreipėsi į Administrativen sad Dobrich (Dobričiaus administracinis teismas, Bulgarija), šis 2021 m. gruodžio 8 d. sprendimu panaikino numanomą agentūros atsisakymą ištrinti minėtus duomenis ir grąžino agentūrai bylą nagrinėti iš naujo.

39

Vykdydama šį teismo sprendimą ir analogišką teismo sprendimą dėl kito bendrovės dalyvio, kuris ėmėsi tokių pat veiksmų, agentūra 2022 m. sausio 26 d. rašte nurodė, jog tam, kad būtų patenkintas OL prašymas ištrinti asmens duomenis, jai turi būti pateikta patvirtinta atitinkamos bendrovės steigimo sutarties kopija, kurioje būtų pašalinti narių asmens duomenys, išskyrus tuos, kurių reikalaujama pagal įstatymą.

40

2022 m. sausio 31 d. OL vėl kreipėsi į Administrativen sad Dobrich (Dobričiaus administracinis teismas), prašydama panaikinti šį raštą ir įpareigoti agentūrą atlyginti neturtinę žalą, kurią patyrė dėl minėto rašto, pažeidžiančio jai pagal BDAR suteikiamas teises.

41

2022 m. vasario 1 d. agentūra, prieš gaudama pranešimą dėl šio skundo, savo iniciatyva išbraukė OL asmens kodą, asmens tapatybės kortelės duomenis ir adresą, bet paliko jos pavardę, vardą ir parašą.

42

2022 m. gegužės 5 d. sprendimu Administrativen sad Dobrich (Dobričiaus administracinis teismas) panaikino 2022 m. sausio 26 d. raštą ir nurodė agentūrai sumokėti OL 500 Bulgarijos levų (BGN) (apie 255 EUR) kompensaciją kartu su teisės aktuose nustatytomis palūkanomis kaip neturtinės žalos atlyginimą pagal BDAR 82 straipsnį. Tame teismo sprendime nurodyta, kad žalą sudarė neigiami OL psichologiniai ir emociniai išgyvenimai, t. y. baimė ir nerimas dėl galimo piktnaudžiavimo, bejėgiškumas ir nusivylimas dėl negalėjimo apsaugoti savo asmens duomenų. Be to, žala kilo dėl minėto rašto, lėmusio BDAR 17 straipsnio 1 dalyje įtvirtintos teisės reikalauti ištrinti duomenis pažeidimą ir viešai paskelbtoje atitinkamos bendrovės steigimo sutartyje esančių OL duomenų neteisėtą tvarkymą.

43

Agentūra kasacine tvarka apskundė tą sprendimą Varhoven administrativen sad (Aukščiausiasis administracinis teismas, Bulgarija), t. y. prašymą priimti prejudicinį sprendimą pateikusiam teismui.

44

Anot šio teismo, agentūra teigia, kad yra ne tik duomenų valdytoja, bet ir asmens duomenų, pateiktų per „Praven Shtit Konsulting“ registravimo procedūrą, gavėja. Be to, ji nėra gavusi jokios atitinkamos bendrovės steigimo sutarties kopijos, kurioje būtų pašalinti OL asmens duomenys, neturėję būti viešai paskelbti, nors jos paprašė prieš šios bendrovės registravimą įmonių registre. Vis dėlto tai, kad nėra kopijos, savaime negali būti komercinės bendrovės registravimo tame registre kliūtis. Tai matyti iš nacionalinės priežiūros institucijos – Komisia za zashtita na lichnite danni (Asmens duomenų apsaugos komisija, Bulgarija) – Nuomonės Nr. 01-116(20)/01.02.2021, pateiktos pagal BAR 58 straipsnio 3 dalies b punktą, kuria remiasi agentūra. Minėtas teismas pažymi, kad, OL teigimu, agentūra, kaip duomenų valdytoja, negali nustatyti kitiems asmenims jai tenkančių pareigų ištrinti asmens duomenis, nes, remiantis nacionaline jurisprudencija, ši nuomonė neatitinka BDAR nuostatų.

45

Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat priduria, kad, atsižvelgiant į šią vyraujančią nacionalinę jurisprudenciją, reikėtų išaiškinti iš šio reglamento kylančius reikalavimus. Visų pirma, šis teismas kelia klausimą dėl būtinybės suderinti, viena vertus, teisę į asmens duomenų apsaugą ir, kita vertus, viešumą užtikrinančią reglamentavimo tvarką bei prieigą prie tam tikrų bendrovės dokumentų ir, be kita ko, patikslina, kad 2017 m. kovo 9 d. Sprendimas Manni (C‑398/15, EU:C:2017:197) nepadeda pašalinti aiškinimo sunkumų, kylančių pagrindinėje byloje susiklosčiusioje situacijoje.

46

Šiomis aplinkybėmis Varhoven administrativen sad (Aukščiausiasis administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

47

Pirmiausia pažymėtina, kad klausimai pateikti tiek dėl BDAR, tiek dėl Direktyvos 2009/101, kuri buvo kodifikuota ir pakeista Direktyva 2017/1132, ratione temporis taikytina pagrindinės bylos faktinėms aplinkybėms, išaiškinimo. Todėl prašymą priimti prejudicinį sprendimą reikia suprasti taip, kad juo prašoma išaiškinti Direktyvą 2017/1132.

48

Be to, kaip generalinė advokatė pažymėjo išvados 15 punkte, atsižvelgiant į tai, kad dalis šių faktinių aplinkybių susiklostė po 2021 m. rugpjūčio 1 d., t. y. pasibaigus pastarosios direktyvos 2 straipsnio 1 pirmoje dalyje nustatytam Direktyvos 2019/1151 perkėlimo į nacionalinę teisę terminui, prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar minėtos faktinės aplinkybės patenka į Direktyvos 2017/1132 arba Direktyvos 2017/1132, iš dalies pakeistos Direktyva 2019/1151, taikymo sritį ratione temporis.

49

Tačiau pažymėtina, kad Direktyvos 2017/1132 16 ir 161 straipsnių teksto pakeitimai ir iš Direktyvos 2019/1151 išplaukiantis 16a straipsnio įtraukimas į šią direktyvą neturi įtakos analizei, kurią Teisingumo Teismas turi atlikti šioje byloje, todėl atsakymai, kurie bus pateikti šiame sprendime, bet kuriuo atveju bus reikšmingi.

50

Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyvos 2017/1132 21 straipsnio 2 dalis turi būti aiškinama kaip įpareigojanti valstybę narę leisti įmonių registre atskleisti bendrovės steigimo sutartį, kurią privaloma atskleisti, kaip numatyta šioje direktyvoje, ir kurioje yra kitų asmens duomenų, nei minimalūs reikalaujami asmens duomenys, kurių skelbti nereikalaujama pagal šios valstybės narės teisę.

51

Konkrečiai kalbant, šis teismas klausia dėl šioje nuostatoje minimo savanoriško atskleidimo apimties ir siekia nustatyti, ar ta nuostata įpareigoja valstybes nares leisti atskleisti bendrovių dokumentuose esančią informaciją, kaip antai asmens duomenis, kurių jos nereikalavo pagal šioje direktyvoje numatyto privalomo atskleidimo tvarką.

52

Vadovaujantis Direktyvos 2017/1132 21 straipsnio 2 dalies pirma pastraipa, „[b]e [šios direktyvos] 16 straipsnyje nurodyto privalomo atskleidimo, valstybės narės leidžia, kad [minėtos direktyvos] 14 straipsnyje nurodytų dokumentų ir duomenų vertimai būtų atskleidžiami savanoriškai, laikantis [jos] 16 straipsnio, bet kuria (-iomis) oficialia (-iomis) Sąjungos kalba (-omis)“. Minėto 21 straipsnio 2 dalies antroje pastraipoje valstybėms narėms leidžiama nustatyti, kad „tokių dokumentų ir duomenų vertimai“ būtų tvirtinami. Galiausiai, 21 straipsnio 2 dalies trečioje pastraipoje nurodytos būtinos priemonės, palengvinančios trečiųjų asmenų prieigą prie savanoriškai atskleistų „vertimų“.

53

Pačiame Direktyvos 2017/1132 14 straipsnyje išvardyti dokumentai ir duomenys, kuriuos atitinkamos bendrovės turi būtinai atskleisti. Pagal minėtos direktyvos 16 straipsnio 3–5 dalis šie dokumentai ir duomenys turi būti nurodyti byloje arba įtraukti į registrą, taip pat prieinami pagal prašymą gavus viso dokumento ar jo dalies kopiją ir darant nuorodą atskleidžiami visiškai ar ištraukomis nacionaliniame leidinyje arba ne mažiau veiksmingais būdais.

54

Atsižvelgiant, be kita ko, į tai, kad Direktyvos 2017/1132 21 straipsnio 2 dalyje ne kartą vartojamas žodis „vertimai“, iš šios nuostatos formuluotės matyti, kad joje kalbama apie savanorišką šios direktyvos 14 straipsnyje nurodytų dokumentų ir informacijos vertimų į oficialiąją Sąjungos kalbą atskleidimą, taigi tik apie šių dokumentų ir informacijos atskleidimo kalbą. Tačiau minėtoje nuostatoje nekalbama apie minėtų dokumentų ir informacijos turinį.

55

Taigi iš Direktyvos 21/1132 21 straipsnio 2 dalies formuluotės matyti, kad ši nuostata negali būti aiškinama kaip nustatanti valstybėms narėms kokią nors pareigą atskleisti asmens duomenis, kurių atskleisti nereikalaujama nei pagal kitas Sąjungos teisės nuostatas, nei pagal atitinkamos valstybės narės teisę, bet kurie nurodyti dokumente, kurį privaloma atskleisti, kaip numatyta minėtoje direktyvoje.

56

Kadangi Sąjungos teisės nuostatos prasmė aiškiai matyti iš pačio jos teksto, Teisingumo Teismas negali nukrypti nuo šio aiškinimo (2022 m. sausio 25 d. Sprendimo VYSOČINA WIND, C‑181/20, EU:C:2022:51, 39 punktas).

57

Bet kuriuo atveju, kalbant apie Direktyvos (ES) 2017/1132 21 straipsnio 2 dalies kontekstą, šio straipsnio antraštė „Dokumentų ir duomenų atskleidimo kalba ir vertimas“ ir kitos šio straipsnio dalys patvirtina šio sprendimo 55 punkte nurodytą aiškinimą.

58

Direktyvos 2017/1132 21 straipsnio 1 dalyje nustatyta, kad „dokumentai ir duomenys, kurie turi būti atskleisti remiantis [šios direktyvos] 14 straipsniu, rengiami ir pateikiami viena iš kalbų, kurią leidžia“ valstybėje narėje taikomos kalbos taisyklės. Šios direktyvos 21 straipsnio 3 dalyje numatyta, kad, be jos 16 straipsnyje nurodyto privalomo atskleidimo ir 21 straipsnio 2 dalyje numatyto savanoriško atskleidimo, valstybės narės gali leisti atskleisti šiuos dokumentus ir informaciją „bet kuria (-iomis) kita (-omis) kalba (-omis)“. O 21 straipsnio 4 dalyje kalbama apie „savanoriškai atskleistus vertimus“.

59

Galiausiai, šio sprendimo 55 punkte nurodytą aiškinimą patvirtina minėtos direktyvos 12 konstatuojamoji dalis, pagal kurią turėtų būti palengvintas bendrovių informacijos prieinamumas, peržengiantis valstybės sienas, ir, be privalomo atskleidimo viena iš atitinkamos bendrovės valstybėje narėje leidžiamų kalbų, leidžiama savanoriškai registruoti reikalaujamus dokumentus ir duomenis papildomai kitomis kalbomis.

60

Atsižvelgiant į tai, kas išdėstyta, į pirmąjį klausimą atsakytina: Direktyvos 2017/1132 21 straipsnio 2 dalis turi būti aiškinama kaip neįpareigojanti valstybės narės leisti įmonių registre atskleisti bendrovės steigimo sutartį, kurią privaloma atskleisti, kaip numatyta šioje direktyvoje, ir kurioje yra kitų asmens duomenų, nei minimalūs reikalaujami asmens duomenys, kurių skelbti nereikalaujama pagal šios valstybės narės teisę.

61

Atsižvelgiant į atsakymą į pirmąjį klausimą, į antrąjį ir trečiąjį klausimus, kurie pateikti tik tuo atveju, jei į pirmąjį klausimą būtų atsakyta teigiamai, atsakyti nereikia.

62

Penktuoju klausimu, kurį reikia nagrinėti prieš ketvirtąjį klausimą, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR, visų pirma jo 4 straipsnio 7 ir 9 punktai, turi būti aiškinamas taip, kad už valstybės narės įmonių registro tvarkymą atsakinga institucija, kuri šiame registre skelbia bendrovės steigimo sutartyje, privalomoje atskleisti, kaip numatyta Direktyvoje 2017/1132, ir jai pateiktoje prašant įregistruoti atitinkamą bendrovę minėtame registre, esančius asmens duomenis, yra ir tų duomenų „gavėja“, ir „duomenų valdytoja“, kaip tai suprantama pagal šią nuostatą.

63

Pirmiausia primintina, kad pagal Direktyvos 2017/1132 161 straipsnį su šia direktyva susiję asmens duomenys tvarkomi laikantis Direktyvos 95/46, taigi ir BDAR, kurio 94 straipsnio 2 dalyje patikslinta, kad nuorodos į pastarąją direktyvą laikomos nuorodomis į šį reglamentą.

64

Šiuo klausimu pirmiausia pasakytina, kad pagal Direktyvos 2017/1132 14 straipsnio a, b ir d punktus valstybės narės turi imtis priemonių, būtinų užtikrinti, kad bendrovės privalomai skelbtų bent atitinkamos bendrovės steigimo dokumentą, jo pakeitimus, duomenis apie asmenų paskyrimą ir nustojimą eiti pareigas, taip pat duomenis apie asmenų, kurie, kaip teisės aktuose numatytas organas arba tokio organo nariai, yra įgalioti atstovauti bendrovei jos santykiuose su trečiaisiais asmenimis ir teisminiuose procesuose arba dalyvauja atliekant bendrovės administravimą, priežiūrą ar kontrolę, tapatybę. Be to, pagal šios direktyvos 4 straipsnio i punktą privaloma informacija, kuri turi būti pateikta atskleistiname steigimo dokumente, apima fizinių ar juridinių asmenų arba bendrovių, kurie pasirašė šį dokumentą arba kurių vardu tas dokumentas buvo pasirašytas, tapatybę.

65

Pagal minėtos direktyvos 16 straipsnio 3–5 dalis, kaip nurodyta šio sprendimo 53 punkte, šie dokumentai ir informacija turi būti nurodyti byloje ar įtraukti į registrą, taip pat prieinami pagal prašymą gavus viso dokumento ar jo dalies kopiją ir darant nuorodą atskleidžiami visiškai ar ištraukomis nacionaliniame leidinyje arba ne mažiau veiksmingais būdais.

66

Kaip generalinė advokatė pažymėjo išvados 26 punkte, valstybės narės, laikydamosi Sąjungos teisės, turi, be kita ko, nustatyti, kokių kategorijų informacija apie Direktyvos 2017/1132 4 straipsnio i punkte ir 14 straipsnio d punkte nurodytų asmenų tapatybę, visų pirma kokių rūšių asmens duomenys, turi būti privalomai skelbiami.

67

Su šių asmenų tapatybe susiję duomenys, kaip duomenys apie asmenį, kurio tapatybė yra nustatyta arba gali būti nustatyta, sudaro „asmens duomenis“, kaip jie suprantami pagal BDAR 4 straipsnio 1 punktą (šiuo klausimu žr. 2017 m. kovo 9 d. Sprendimo Manni, C‑398/15, EU:C:2017:197, 34 punktą).

68

Tas pats pasakytina ir apie papildomą informaciją, susijusią su minėtų asmenų ar kitų kategorijų asmenų tapatybe, kurią valstybės narės nusprendžia atskleisti privaloma tvarka arba kuri, kaip nagrinėjamu atveju, yra viešai skelbiamuose dokumentuose, turint omenyje, kad skelbti šiuos duomenis nereikalaujama nei pagal Direktyvą 2017/1132, nei pagal šią direktyvą įgyvendinančią nacionalinę teisę.

69

Be to, kalbant apie sąvoką „duomenų gavėjas“, kaip ji suprantama pagal BDAR 4 straipsnio 9 punktą, pažymėtina, kad ji apibrėžiama kaip „fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne“, ir šioje nuostatoje patikslinama, kad ši apibrėžtis neapima valdžios institucijų, kurios pagal Sąjungos arba valstybės narės teisę gauna šiuos duomenis vykdydamos konkretų tyrimą.

70

Už įmonių registro tvarkymą atsakinga institucija, pagal prašymą įregistruoti bendrovę šiame registre gaunanti Direktyvos 2017/1132 14 straipsnyje nurodytus privalomai atskleistinus dokumentus, kuriuose yra asmens duomenų, neatsižvelgiant į tai, ar jų reikalaujama pagal tą direktyvą arba pagal nacionalinę teisę, turi šių duomenų „gavėjo“ statusą, kaip tai suprantama pagal BDAR 4 straipsnio 9 punktą.

71

Galiausiai, remiantis BDAR 4 straipsnio 7 punktu, sąvoka „duomenų valdytojas“ apima fizinius arba juridinius asmenis, valdžios institucijas, agentūras ar kitas įstaigas, kurie vieni ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones. Šioje nuostatoje taip pat nurodyta, kad tais atvejais, kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisėje, duomenų valdytojas gali būti paskirtas arba konkretūs jo skyrimo kriterijai gali būti nustatyti pagal Sąjungos arba valstybės narės teisę.

72

Šiuo klausimu primintina, kad, remiantis Teisingumo Teismo jurisprudencija, minėtoje nuostatoje nustačius plačią sąvokos „duomenų valdytojas“ apibrėžtį, siekiama užtikrinti veiksmingą ir visapusišką duomenų subjektų apsaugą (2024 m. sausio 11 d. Sprendimo État belge (Oficialiojo leidinio tvarkomi duomenys), C‑231/22, EU:C:2024:7, 28 punktas ir jame nurodyta jurisprudencija).

73

Atsižvelgiant į remiantis tuo tikslu aiškinamą BDAR 4 straipsnio 7 punkto formuluotę, paaiškėja, kad siekiant nustatyti, ar asmuo arba subjektas turi būti kvalifikuojamas kaip „duomenų valdytojas“, kaip tai suprantama pagal tą nuostatą, reikia išsiaiškinti, ar tas asmuo arba subjektas vienas ar drauge su kitais nustato tvarkymo tikslus ir priemones, o gal jie nustatyti Sąjungos arba nacionalinėje teisėje. Jei tikslai ir priemonės nustatyti nacionalinėje teisėje, reikia išsiaiškinti, ar remiantis ta teise skiriamas duomenų valdytojas ir ar joje numatyti konkretūs jo paskyrimui taikytini kriterijai (šiuo klausimu žr. 2024 m. sausio 11 d. Sprendimo État belge (Oficialiojo leidinio tvarkomi duomenys), C‑231/22, EU:C:2024:7, 29 punktą).

74

Šiuo aspektu taip pat pažymėtina, kad, atsižvelgiant į plačią sąvokos „duomenų valdytojas“ apibrėžtį, kaip ji suprantama pagal BDAR 4 straipsnio 7 punktą, tvarkymo tikslų ir priemonių nustatymas ir, jei taikoma, duomenų valdytojo skyrimas pagal nacionalinę teisę gali būti ne tik eksplicitinis, bet ir implicitinis. Pastaruoju atveju vis dėlto reikalaujama, kad tas nustatymas pakankamai aiškiai būtų kildinamas iš asmeniui ar atitinkamam subjektui priskirto vaidmens, užduočių ir įgaliojimų (2024 m. sausio 11 d. Sprendimo État belge (Oficialiojo leidinio tvarkomi duomenys), C‑231/22, EU:C:2024:7, 30 punktas).

75

Be to, įtraukdama į registrą ir saugodama asmens duomenis, gautus pateikus prašymą įregistruoti bendrovę valstybės narės įmonių registre, prireikus pagal prašymą juos pateikdama tretiesiems asmenims ir paskelbdama nacionaliniame leidinyje arba ne mažiau veiksmingais būdais, už šio registro tvarkymą atsakinga institucija tvarko asmens duomenis ir yra šių duomenų „valdytoja“, kaip tai suprantama pagal BDAR 4 straipsnio 2 ir 7 punktus (šiuo klausimu žr. 2017 m. kovo 9 d. Sprendimo Manni, C‑398/15, EU:C:2017:197, 35 punktą).

76

Tokios asmens duomenų tvarkymo operacijos yra atskiros ir atliekamos po to, kai įregistruoti bendrovę prašantis asmuo pateikia asmens duomenis, o minėta institucija juos gauna. Be to, tik ji viena atlieka minėtas duomenų tvarkymo operacijas, laikydamasi Direktyvoje 2017/1132 ir šią direktyvą įgyvendinančios valstybės narės teisės aktuose nustatytų tikslų ir tvarkos.

77

Šiuo klausimu reikia patikslinti, kad iš minėtos direktyvos 7 ir 8 konstatuojamųjų dalių išplaukia, jog joje numatytu paskelbimu siekiama, be kita ko, apsaugoti trečiųjų asmenų interesus, palyginti su akcinių bendrovių ar ribotos atsakomybės bendrovių interesais, nes vienintelė garantija, kurią tokios bendrovės siūlo tretiesiems asmenims, yra bendrovės turtas. Todėl atskleidimas tretiesiems asmenims turėtų suteikti galimybę susipažinti su pagrindiniais bendrovės dokumentais ir sužinoti su ja susijusią informaciją, ypač asmenų, įgaliotų bendrovės vardu įgyti teises ir pareigas, tapatybę.

78

Be to, šios direktyvos tikslas – užtikrinti teisinį saugumą bendrovei palaikant santykius su trečiaisiais asmenimis, siekiant aktyvinti valstybių narių tarpusavio prekybą po vidaus rinkos sukūrimo. Todėl svarbu, kad kiekvienas asmuo, norintis užmegzti ir puoselėti prekybinius santykius su kitose valstybėse narėse esančiomis bendrovėmis, turėtų galimybę nesunkiai susipažinti su esminiais duomenimis, susijusiais su komercinių bendrovių steigimu ir su joms atstovauti įgaliotų asmenų įgaliojimais, o tai lemia, kad visi reikšmingi duomenys turi būti aiškiai pateikti registre (šiuo klausimu žr. 2017 m. kovo 9 d. Sprendimo Manni, C‑398/15, EU:C:2017:197, 50 punktą).

79

Kaip generalinė advokatė pažymėjo išvados 39 punkte, pateikdamas už įmonių registrą atsakingai valstybės narės institucijai dokumentus ir informaciją, kuriuos privaloma atskleisti, kaip numatyta Direktyvoje 2017/1132, taigi ir tvarkydamas tuose dokumentuose esančius asmens duomenis, asmuo, prašantis įregistruoti registre bendrovę, neturi jokios įtakos tikslų nustatymui ir paskesniam šios institucijos atliekamam duomenų tvarkymui. Be to, jis siekia skirtingų ir savų tikslų, t. y. įvykdyti registracijai būtinus formalumus.

80

Nagrinėjamu atveju, kaip generalinė advokatė pažymėjo išvados 31 ir 32 punktuose, iš prašymo priimti prejudicinį sprendimą matyti, kad OL asmens duomenys buvo viešai paskelbti agentūrai, kaip už įmonių registro tvarkymą atsakingai institucijai, vykdant suteiktus įgaliojimus, o šių duomenų tvarkymo tikslai ir priemonės nustatyti tiek Sąjungos teisėje, tiek pagrindinėje byloje nagrinėjamuose nacionalinės teisės aktuose, be kita ko, Registrų įstatymo 13 straipsnio 9 dalyje. Taigi tai, kad, pažeidžiant teisės aktuose nustatytą procedūrinę tvarką, nebuvo pateikta patvirtinta atitinkamos bendrovės steigimo sutarties kopija su pašalintais asmens duomenimis, kurių nereikalaujama pagal šiuos teisės aktus, neturi įtakos agentūros kvalifikavimui kaip „duomenų valdytojos“.

81

Šio kvalifikavimo nepaneigia ir tai, kad pagal tuos pačius teisės aktus agentūra netikrina asmens duomenų, esančių elektroniniuose paveikslėliuose ar dokumentų originaluose, jai pateiktuose siekiant įregistruoti bendrovę, prieš įkeldama juos į internetą. Šiuo klausimu Teisingumo Teismas jau yra nusprendęs: jeigu valstybės narės oficialiojo leidinio neapimtų „duomenų valdytojo“ sąvoka dėl to, kad jis netikrina jo skelbiamuose dokumentuose pateiktų asmens duomenų, tai prieštarautų šio sprendimo 72 punkte nustatytam BDAR 4 straipsnio 7 punkto tikslui (2024 m. sausio 11 d. Sprendimo État belge (Oficialiojo leidinio tvarkomi duomenys), C‑231/22, EU:C:2024:7, 38 punktas).

82

Šiomis aplinkybėmis, esant tokiai situacijai, kokia susiklostė pagrindinėje byloje, pagal nagrinėjamus nacionalinės teisės aktus agentūra yra atsakinga už OL asmens duomenų tvarkymą, apimantį šių duomenų viešą paskelbimą internete, net jeigu turėjo būti pateikta atitinkamos bendrovės steigimo sutarties kopija su pašalintais asmens duomenimis, kurių nereikalaujama pagal minėtus teisės aktus, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas. Taigi pagal BDAR 5 straipsnio 2 dalį agentūra taip pat yra atsakinga už šio straipsnio 1 dalies laikymąsi.

83

Atsižvelgiant į tai, kas išdėstyta, į penktąjį klausimą atsakytina: BDAR, visų pirma jo 4 straipsnio 7 ir 9 punktai, turi būti aiškinamas taip, kad už valstybės narės įmonių registro tvarkymą atsakinga institucija, kuri šiame registre skelbia bendrovės steigimo sutartyje, privalomoje atskleisti, kaip numatyta Direktyvoje 2017/1132, ir jai pateiktoje prašant įregistruoti atitinkamą bendrovę minėtame registre, esančius asmens duomenis, yra ir tų duomenų „gavėja“, ir – visų pirma tiek, kiek juos viešai skelbia – „duomenų valdytoja“, kaip tai suprantama pagal šią nuostatą, net jeigu toje sutartyje yra asmens duomenų, kurių nereikalaujama nei pagal šią direktyvą, nei pagal valstybės narės teisę.

84

Bulgarijos vyriausybė teigia, kad ketvirtasis klausimas yra nepriimtinas, nes jame keliama hipotetinė problema. Vyriausybės teigimu, šis klausimas pateiktas dėl nacionalinės teisės akto, susijusio su BDAR (kuris dar nebuvo priimtas) 17 straipsnyje nurodytos teisės įgyvendinimo procedūrine tvarka, suderinamumo su Direktyvos 2017/1132 16 straipsniu.

85

Remiantis suformuota jurisprudencija, SESV 267 straipsnyje numatyta kreipimosi dėl prejudicinio sprendimo procedūra yra Teisingumo Teismo ir nacionalinių teismų glaudaus bendradarbiavimo priemonė, pagrįsta jų funkcijų padalijimu, leidžianti Teisingumo Teismui pateikti nacionaliniams teismams Sąjungos teisės išaiškinimą, kuris reikalingas sprendimui jų nagrinėjamose bylose priimti. Vykstant tokiam bendradarbiavimui, tik bylą nagrinėjantis nacionalinis teismas, atsakingas už sprendimo priėmimą, atsižvelgdamas į bylos aplinkybes turi įvertinti, ar jo sprendimui priimti būtinas prejudicinis sprendimas, ir Teisingumo Teismui pateikiamų klausimų svarbą. Todėl iš principo Teisingumo Teismas turi priimti sprendimą tuo atveju, jeigu pateikiami klausimai susiję su Sąjungos teisės išaiškinimu (2021 m. lapkričio 23 d. Sprendimo IS (Nutarties dėl prašymo priimti prejudicinį sprendimą neteisėtumas), C‑564/19, EU:C:2021:949, 59 ir 60 punktai ir juose nurodyta jurisprudencija).

86

Tuo remiantis darytina išvada, kad klausimams dėl Sąjungos teisės taikoma svarbos prezumpcija. Teisingumo Teismas gali atsisakyti priimti sprendimą dėl nacionalinio teismo pateikto prašymo tik jeigu akivaizdu, kad prašomas Sąjungos teisės išaiškinimas visiškai nesusijęs su pagrindinėje byloje nagrinėjamo ginčo aplinkybėmis ar dalyku, jeigu problema hipotetinė arba jeigu Teisingumo Teismas neturi informacijos apie faktines ir teisines aplinkybes, būtinos tam, kad naudingai atsakytų į jam pateiktus klausimus (2020 m. lapkričio 24 d. Sprendimo Openbaar Ministerie (Dokumentų klastojimas), C‑510/19, EU:C:2020:953, 26 punktas ir jame nurodyta jurisprudencija).

87

Nagrinėjamu atveju iš prašymo priimti prejudicinį sprendimą matyti, kad nacionalinio teismo prašoma galutinėje instancijoje nuspręsti, ar buvo teisėtas agentūros atsisakymas patenkinti pagrindinėje byloje nagrinėjamą prašymą ištrinti asmens duomenis, motyvuojant tuo, kad, pažeidžiant teisės aktuose nustatytą procedūrinę tvarką, jai nebuvo pateikta atitinkamos bendrovės steigimo sutarties kopija su pašalintais asmens duomenimis, kurių nereikalaujama pagal Bulgarijos teisės aktus. Be to, iš šio prašymo matyti, kad toks atsisakymas atitinka agentūros praktiką. Galiausiai nacionalinis teismas patikslino, kad Teisingumo Teismo atsakymas į ketvirtąjį klausimą būtinas ginčui pagrindinėje byloje išspręsti, nes nacionalinė jurisprudencija nėra vienoda.

88

Darytina išvada, kad, priešingai, nei teigia Bulgarijos vyriausybė, ketvirtasis klausimas yra priimtinas.

89

Atsižvelgiant į prašyme priimti prejudicinį sprendimą pateiktą informaciją, išdėstytą šio sprendimo 87 punkte, laikytina, kad ketvirtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyva 2017/1132, visų pirma jos 16 straipsnis, ir BDAR 17 straipsnis turi būti aiškinami kaip draudžiantys valstybės narės teisės aktus ar praktiką, pagal kuriuos už šios valstybės narės įmonių registro tvarkymą atsakinga institucija turi atmesti bet kokį prašymą ištrinti asmens duomenis, kurių nereikalaujama pagal šią direktyvą arba pagal minėtos valstybės narės teisę, esančius šiame registre paskelbtoje bendrovės steigimo sutartyje, jeigu, pažeidžiant šiuose teisės aktuose numatytą procedūrinę tvarką, jai nebuvo pateikta šios sutarties kopija su pašalintais duomenimis.

90

Remiantis BDAR 17 straipsnio 1 dalimi, duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jeigu tai galima pagrįsti viena iš šioje nuostatoje nurodytų priežasčių.

91

Pagal 17 straipsnio 1 dalies c punktą taip yra tuo atveju, kai duomenų subjektas nesutinka, kad duomenys būtų tvarkomi pagal šio reglamento 21 straipsnio 1 dalį, ir nėra „viršesnių teisėtų priežasčių tvarkyti duomenis“, arba pagal 17 straipsnio 1 dalies d punktą, kai atitinkami duomenys buvo „tvarkomi neteisėtai“.

92

Iš BDAR 17 straipsnio 3 dalies b punkto taip pat išplaukia, kad 17 straipsnio 1 dalis netaikoma, jeigu toks tvarkymas būtinas siekiant laikytis Sąjungos arba valstybės narės teisėje, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės, pagal kurią reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.

93

Taigi, siekiant nustatyti, ar tokioje situacijoje, kaip nagrinėjama pagrindinėje byloje, duomenų subjektas turi teisę reikalauti ištrinti duomenis pagal BDAR 17 straipsnį, pirmiausia reikia išnagrinėti teisėtumo pagrindą ar pagrindus, kuriais gali būti grindžiamas jo asmens duomenų tvarkymas.

94

Šiuo klausimu primintina, kad BDAR 6 straipsnio 1 dalies pirmoje pastraipoje numatytas išsamus ir baigtinis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas. Taigi tam, kad tvarkymas galėtų būti laikomas teisėtu, jis turi būti priskirtas vienam iš šioje nuostatoje numatytų atvejų (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 99 punktą ir jame nurodytą jurisprudenciją).

95

Nesant duomenų subjekto sutikimo dėl jo asmens duomenų tvarkymo pagal 6 straipsnio 1 dalies pirmos pastraipos a punktą arba kai šis sutikimas nebuvo duotas laisva valia, konkrečiai, turint tinkamą informaciją ir nedviprasmiškai, kaip tai suprantama pagal BDAR 4 straipsnio 11 punktą, toks duomenų tvarkymas vis dėlto gali būti pateisinamas, jeigu atitinka vieną iš šio reglamento 6 straipsnio 1 dalies pirmos pastraipos b–f punktuose nurodytų būtinumo reikalavimų (šiuo klausimu žr. 2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21,EU:C:2023:537, 92 punktą).

96

Tokiomis aplinkybėmis pastarojoje nuostatoje numatyti pagrindai, kiek jie leidžia teisėtai tvarkyti asmens duomenis, nesant duomenų subjekto sutikimo, turi būti aiškinami siaurai (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 93 punktas ir jame nurodyta jurisprudencija).

97

Taip pat reikėtų patikslinti, kad pagal BDAR 5 straipsnį duomenų valdytojui tenka pareiga įrodyti, kad šie duomenys, be kita ko, renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais, yra adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi, ir duomenų subjekto atžvilgiu tvarkomi teisėtai, sąžiningai ir skaidriai (šiuo klausimu žr. 2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 95 punktą).

98

Nors prašymą priimti prejudicinį sprendimą pateikęs teismas turės nustatyti, ar skirtingi pagrindinėje byloje nagrinėjami duomenų tvarkymo elementai yra pateisinami vienu arba kitu BDAR 6 straipsnio 1 dalies pirmos pastraipos b–f punktuose nurodytu pagrindu, Teisingumo Teismas vis dėlto gali pateikti naudingas gaires, kurios leistų tam teismui išspręsti nagrinėjamą ginčą (šiuo klausimu žr. 2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 96 punktą).

99

Nagrinėjamu atveju visų pirma paminėtina, kaip generalinė advokatė pažymėjo išvados 43 punkte, kad Registrų įstatymo 13 straipsnio 9 dalyje įtvirtinta sutikimo prezumpcija neatitinka BDAR 6 straipsnio 1 dalies pirmos pastraipos a punkte, siejamame su jo 4 straipsnio 11 punktu, reikalaujamų sąlygų.

100

Kaip matyti iš minėto reglamento 32, 42 ir 43 konstatuojamųjų dalių, sutikimas turėtų būti duodamas aiškiu veiksmu, pavyzdžiui, rašytiniu arba žodiniu pareiškimu, tačiau nelaikoma, kad jis buvo duotas laisva valia, jeigu duomenų subjektas faktiškai neturi pasirinkimo laisvės arba negali atsisakyti duoti sutikimo arba jį atšaukti nepatirdamas žalos. Be to, sutikimas neturėtų būti tinkamas teisinis pagrindas tokiu konkrečiu atveju, kai yra akivaizdus duomenų subjekto ir duomenų valdytojo padėties disbalansas, ypač kai duomenų valdytojas yra valdžios institucija.

101

Todėl tokia prezumcija, kokia numatyta Registrų įstatymo 13 straipsnio 9 dalyje, negali būti laikoma rodančia, kad sutikimas tvarkyti asmens duomenis valdžios institucijai, pavyzdžiui, agentūrai, buvo duotas laisva valia, konkrečiai, turint tinkamą informaciją ir nedviprasmiškai.

102

Be to, 6 straipsnio 1 dalies pirmos pastraipos b ir d punktuose numatyti teisėtumo pagrindai, atitinkamai susiję su būtinybe vykdyti sutartį ir su fizinio asmens gyvybinių interesų apsauga, nėra reikšmingi pagrindinėje byloje nagrinėjamam asmens duomenų tvarkymui. Tas pats pasakytina apie šio 6 straipsnio 1 dalies pirmos pastraipos f punkte numatytą teisėtumo pagrindą, susijusį su duomenų tvarkymu, būtinu siekiant teisėtų duomenų valdytojo interesų, nes iš BDAR 6 straipsnio 1 dalies antros pastraipos formuluotės aiškiai matyti, kad asmens duomenų tvarkymas, kurį valdžios institucija atlieka vykdydama savo užduotis, negali patekti į šio pagrindo taikymo sritį (šiuo klausimu žr. 2022 m. gruodžio 8 d. Sprendimo Inspektor v Inspektorata kam Visshia sadeben savet (Asmens duomenų tvarkymo tikslai – Ikiteisminis tyrimas), C‑180/21, EU:C:2022:967, 85 punktas).

103

Galiausiai, dėl BDAR 6 straipsnio 1 dalies pirmos pastraipos c ir e punktuose nurodytų teisėtumo pagrindų primintina, kad pagal 6 straipsnio 1 dalies pirmos pastraipos c punktą asmens duomenų tvarkymas yra teisėtas, jeigu tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė. Be to, pagal minėto 6 straipsnio 1 dalies pirmos pastraipos e punktą duomenų tvarkymas taip pat yra teisėtas, jeigu tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba atliekant duomenų valdytojui pavestas viešosios valdžios funkcijas.

104

BDAR 6 straipsnio 3 dalyje dėl šių dviejų teisėtumo atvejų nurodyta, kad duomenų tvarkymas turi būti grindžiamas Sąjungos teise arba duomenų valdytojui taikoma valstybės narės teise ir kad šis teisinis pagrindas turi atitikti viešojo intereso tikslą ir būti proporcingas siekiamam teisėtam tikslui.

105

Pirma, dėl klausimo, ar pagrindinėje byloje nagrinėjamas duomenų tvarkymas yra būtinas siekiant įvykdyti iš Sąjungos teisės ar duomenų valdytojui taikomos nacionalinės teisės kylančią teisinę prievolę, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos c punktą, pažymėtina, kad, kaip generalinė advokatė nurodė išvados 45 ir 47 punktuose, pagal Direktyvą 2017/1132 nereikalaujama sistemingai tvarkyti visų asmens duomenų, esančių dokumente, kurį privaloma atskleisti, kaip numatyta šioje direktyvoje. Priešingai, iš minėtos direktyvos 161 straipsnio matyti, kad asmens duomenų tvarkymas pagal Direktyvą 2017/1132, visų pirma bet koks informacijos rinkimas, saugojimas, pateikimas tretiesiems asmenims ir skelbimas pagal šią direktyvą, turi visiškai atitikti BDAR kylančius reikalavimus.

106

Taigi vykdydamos šioje direktyvoje nustatytas pareigas valstybės narės turi užtikrinti, kad būtų derinami teisinio saugumo ir trečiųjų asmenų interesų apsaugos tikslai, kurių siekiama ta direktyva ir kurie priminti šio sprendimo 77 punkte, su BDAR įtvirtintomis teisėmis ir pagrindine teise į asmens duomenų apsaugą, nustatant pusiausvyrą tarp tų tikslų ir teisių (šiuo klausimu žr. 2022 m. rugpjūčio 1 d. Sprendimo Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 98 punktą).

107

Taigi nelaikytina, kad asmens duomenų, kurių nereikalaujama pagal Direktyvą 2017/1132 arba pagal pagrindinėje byloje nagrinėjamus nacionalinės teisės aktus, esančių bendrovės steigimo sutartyje, kurią privaloma atskleisti, kaip numatyta šioje direktyvoje, paskelbimą internete įmonių registre pateisina reikalavimas užtikrinti šios direktyvos 14 straipsnyje nurodytų dokumentų atskleidimą pagal jos 16 straipsnį ir kad tai kyla iš Sąjungos teisėje numatytos teisinės prievolės.

108

Pagrindinėje byloje nagrinėjamo duomenų tvarkymo teisėtumas taip pat negrindžiamas (tačiau tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas) duomenų valdytojui taikoma valstybės narės (nagrinėjamu atveju – Bulgarijos) teisėje numatyta teisine prievole, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos c punktą, nes, pirma, iš Teisingumo Teismo turimos bylos medžiagos matyti, kad Registrų įstatymo 2 straipsnio 2 dalyje numatyta, kad dokumentai, kurie turi būti nurodyti įmonių registre, viešai skelbiami be informacijos, sudarančios asmens duomenis, „išskyrus informaciją, kuri pagal įstatymą turi būti viešai paskelbta“, ir, antra, šio įstatymo 13 straipsnio 9 dalyje yra įtvirtinta sutikimo prezumpcija, kuri, kaip matyti iš šio sprendimo 99 punkto, neatitinka BDAR reikalavimų.

109

Antra, dėl klausimo, ar pagrindinėje byloje nagrinėjamas duomenų tvarkymas yra būtinas siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos e punktą, kurį, beje, nurodo tiek prašymą priimti prejudicinį sprendimą pateikęs teismas, tiek Bulgarijos vyriausybė ir agentūra, Teisingumo Teismas jau yra nusprendęs, kad valdžios institucijos vykdoma veikla, t. y. duomenų, kuriuos įmonės privalo skelbti vykdydamos teisines prievoles, saugojimas duomenų bazėje, leidimas suinteresuotiesiems asmenims susipažinti su šiais duomenimis ir jų kopijų pateikimas tokiems asmenims, priskirtina viešosios valdžios funkcijų įgyvendinimui ir yra viešojo intereso labui atliekama užduotis (šiuo klausimu žr. 2017 m. kovo 9 d. Sprendimo Manni, C‑398/15, EU:C:2017:197, 43 punktą).

110

Tai reiškia, kad pagrindinėje byloje nagrinėjami duomenys tikrai tvarkomi atliekant užduotį, vykdomą viešojo intereso labui. Vis dėlto tam, kad būtų įvykdytos toje nuostatoje įtvirtintos sąlygos, būtina, kad toks tvarkymas faktiškai atitiktų siekiamus bendrojo intereso tikslus ir neviršytų to, kas būtina jiems pasiekti (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai),C‑439/19, EU:C:2021:504, 109 punktą).

111

Šis būtinumo reikalavimas nėra įvykdytas, jeigu nurodytas bendrojo intereso tikslas gali būti tinkamai ir taip pat veiksmingai pasiektas kitomis priemonėmis, kurios mažiau ribotų duomenų subjektų pagrindines teises, ypač teises į privatų gyvenimą ir asmens duomenų apsaugą, garantuojamas Chartijos 7 ir 8 straipsniuose, o nukrypti nuo tokių duomenų apsaugos principo leidžiančios nuostatos ir šio principo apribojimai negali viršyti to, kas yra griežtai būtina (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai),C‑439/19, EU:C:2021:504, 110 punktą ir jame nurodytą jurisprudenciją).

112

Kaip generalinė advokatė pažymėjo išvados 51 punkte, asmens duomenų, kurių nereikalaujama nei pagal Direktyvą 2017/1132, nei pagal nacionalinę teisę, viešas paskelbimas internete savaime negali būti laikomas būtinu šia direktyva siekiamiems tikslams įgyvendinti.

113

Konkrečiai kalbant apie duomenų subjektų pagrindines teises mažiau ribojančių priemonių egzistavimą pažymėtina, kad pagrindinėje byloje nagrinėjamuose nacionalinės teisės aktuose numatyta, jog asmuo, prašantis įmonių registre įregistruoti bendrovę, privalo pateikti šios bendrovės steigimo dokumento kopiją, iš kurios pašalinti nereikalaujami asmens duomenys ir kuri turi būti paskelbta šiame registre ir prieinama tretiesiems asmenims; ji nagrinėjamu atveju nebuvo pateikta agentūrai net paprašius. Vis dėlto Bulgarijos vyriausybė ir agentūra patvirtino, kad, net praėjus protingam terminui ir kai duomenų subjektas negali iš atitinkamos bendrovės ar jos atstovų gauti tokios kopijos, šiuose teisės aktuose nenumatyta, kad agentūra gali pati parengti tokią kopiją, o tai vis dėlto būtų priemonė, leidžianti taip pat veiksmingai pasiekti bendrovių dokumentų viešumo, teisinio saugumo ir trečiųjų asmenų interesų apsaugos tikslus, kartu mažiau varžanti teisę į asmens duomenų apsaugą.

114

Dar pažymėtina, kaip generalinė advokatė nurodė išvados 56 punkte, kad, priešingai, nei Teisingumo Teismui pateiktose pastabose nurodė kelios valstybės narės, reikalavimas išsaugoti bendrovių dokumentų, kuriuos privaloma atskleisti, kaip numatyta Direktyvoje 2017/1132, reikalaujančioje skelbti tuos dokumentus tokius, kokie jie buvo pateikti už įmonių registro tvarkymą atsakingoms institucijoms, vientisumą ir patikimumą negali būti visada viršesnis už šią teisę, nes priešingu atveju jos apsauga taptų iliuzinė.

115

Konkrečiai kalbant, šiuo reikalavimu negali būti įpareigojama registre saugoti internete viešai paskelbtus asmens duomenis, kurių nereikalaujama pagal Direktyvą 2017/1132 arba nacionalinę teisę, o, kaip matyti iš šio sprendimo 113 punkto, agentūra galėtų pati parengti šioje teisėje numatytą atitinkamos bendrovės steigimo dokumento kopiją, siekdama pateikti jį susipažinti.

116

Darytina išvada, kad bet kuriuo atveju pagrindinėje byloje nagrinėjamas asmens duomenų tvarkymas, atrodo, viršija tai, kas būtina siekiant atlikti viešojo intereso užduotį, kuri agentūrai pavesta pagal minėtus nacionalinės teisės aktus.

117

Taigi, kaip generalinė advokatė pažymėjo išvados 59 punkte, toks duomenų tvarkymas, rodos, neatitinka ir teisėtumo sąlygų, numatytų BDAR 6 straipsnio 1 dalies pirmos pastraipos c ir e punktuose, siejamuose su BDAR 6 straipsnio 3 dalimi, tačiau tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

118

Toliau, kalbant apie pagrindinėje byloje nagrinėjamą prašymą ištrinti duomenis pagal BDAR 17 straipsnį, pažymėtina, kad tuo atveju, jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas, įvertinęs duomenų tvarkymo teisėtumą, turėtų prieiti prie išvados, kad duomenų tvarkymas neteisėtas, agentūra, kaip duomenų valdytoja, kaip matyti iš šio sprendimo 82 ir 83 punktų, vadovaudamasi aiškia BDAR 17 straipsnio 1 dalies d punkto formuluote, turėtų kuo greičiau ištrinti atitinkamus duomenis (šiuo klausimu žr. 2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo likusių skolų), C‑26/22 ir C‑64/22, EU:C:2023:958, 108 punktas).

119

Vis dėlto, jeigu tas teismas nuspręstų, kad toks tvarkymas faktiškai atitinka BDAR 6 straipsnio 1 dalies e punkte numatytą teisėtumo pagrindą, be kita ko, dėl to, kad viešai paskelbti internete įmonių registre duomenis, kurių nereikalaujama pagal Direktyvą 2017/1132 arba pagal pagrindinėje byloje nagrinėjamus nacionalinės teisės aktus, buvo būtina siekiant trečiųjų asmenų apsaugos tikslais nevėluoti įregistruoti atitinkamą bendrovę, pažymėtina, kad turėtų būti taikomas BDAR 17 straipsnio 1 dalies c punktas.

120

Iš pastarosios nuostatos, siejamos su BDAR 21 straipsnio 1 dalimi, matyti, kad duomenų subjektas turi teisę nesutikti su duomenų tvarkymu ir teisę reikalauti ištrinti duomenis, nebent yra teisėtų priežasčių, kurios yra viršesnės už šio subjekto interesus ir teises bei laisves, kaip tai suprantama pagal BDAR 21 straipsnio 1 dalį, o tai turi įrodyti duomenų valdytojas (šiuo klausimu žr. 2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo likusių skolų), C‑26/22 ir C‑64/22, EU:C:2023:958, 111 punktą).

121

Vis dėlto tokiu atveju, kaip nagrinėjamas pagrindinėje byloje, nėra viršesnių teisėtų priežasčių, kaip tai suprantama pagal šią nuostatą, dėl kurių būtų galima atmesti tokį prašymą ištrinti duomenis.

122

Viena vertus, iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad bendrovė, kurios dalininkė yra OL, jau yra įregistruota įmonių registre.

123

Antra vertus, kaip pažymėta šio sprendimo 115 punkte, reikalavimu išsaugoti bendrovių dokumentų, kuriuos privaloma atskleisti, kaip numatyta pagal Direktyvą 2017/1132, vientisumą ir patikimumą negali būti įpareigojama registre saugoti internete viešai paskelbtus asmens duomenis, kurių nereikalaujama pagal Direktyvą 2017/1132 arba nacionalinę teisę.

124

Galiausiai, darant prielaidą, kad prašymą priimti prejudicinį sprendimą pateikęs teismas prieitų prie išvados, jog pagrindinėje byloje nagrinėjamas asmens duomenų tvarkymas faktiškai atitinka BDAR 6 straipsnio 1 dalies c punkte numatytą teisėtumo pagrindą, pažymėtina, kad BDAR, visų pirma jo 17 straipsnio 3 dalies b punkte, aiškiai įtvirtintas reikalavimas derinti, viena vertus, Chartijos 7 ir 8 straipsniuose įtvirtintas pagrindines teises į privataus gyvenimo gerbimą ir į asmens duomenų apsaugą ir, kita vertus, tikslus, kurių siekia Sąjungos ar valstybių narių teisė, pagrindžianti teisinę pareigą, kuriai įgyvendinti būtina tvarkyti duomenis (pagal analogiją žr. 2022 m. gruodžio 8 d. Sprendimo Google (Tariamai netikslaus turinio pašalinimas), C‑460/20, EU:C:2022:962, 58 punktą ir jame nurodytą jurisprudenciją).

125

Teisingumo Teismas jau yra nusprendęs, kad prieigos prie asmens duomenų, kuriuos privaloma atskleisti pagal Sąjungos teisę, apribojimas ją suteikiant tik tretiesiems asmenims, įrodžiusiems konkretų interesą, kiekvienu konkrečiu atveju gali būti pateisinamas svariomis ir teisėtomis priežastimis, susijusiomis su konkrečia duomenų subjektų padėtimi (šiuo klausimu žr. 2017 m. kovo 9 d. Sprendimo Manni, C‑398/15, EU:C:2017:197, 60 punktą).

126

Kaip generalinė advokatė pažymėjo išvados 67 punkte, tai a fortiori taikytina ir tuo atveju, kai, kaip nagrinėjamoje byloje, atitinkamų asmens duomenų nereikalaujama nei pagal Direktyvą 2017/1132, nei pagal nacionalinę teisę.

127

Atsižvelgiant į tai, kas išdėstyta, į ketvirtąjį klausimą atsakytina: Direktyva 2017/1132, visų pirma jos 16 straipsnis, ir BDAR 17 straipsnis turi būti aiškinami kaip draudžiantys valstybės narės teisės aktus ar praktiką, pagal kuriuos už šios valstybės narės įmonių registro tvarkymą atsakinga institucija turi atmesti bet kokį prašymą ištrinti asmens duomenis, kurių nereikalaujama pagal šią direktyvą arba pagal nacionalinę teisę, esančius šiame registre paskelbtoje bendrovės steigimo sutartyje, jeigu, pažeidžiant šiuose teisės aktuose numatytą procedūrinę tvarką, jai nebuvo pateikta šios sutarties kopija su pašalintas duomenimis.

128

Šeštuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 1 punktas turi būti aiškinamas taip, kad sąvoka „asmens duomenys“, kaip ji suprantama pagal šią nuostatą, apima fizinio asmens parašą ranka.

129

Minėtoje nuostatoje numatyta, kad asmens duomenys – tai „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“, ir patikslinta, kad „fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis jo fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius“.

130

Šiuo klausimu Teisingumo Teismas jau yra nusprendęs, kad šioje nuostatoje esančių žodžių „bet kokia informacija“ vartojimas apibrėžiant sąvoką „asmens duomenys“ atspindi Sąjungos teisės aktų leidėjo tikslą šiai sąvokai suteikti plačią reikšmę; ji potencialiai apima bet kokios rūšies informaciją, tiek objektyvią, tiek subjektyvią, nuomonių ar vertinimų pavidalo, jeigu ji yra „apie“ atitinkamą asmenį (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 23 punktas).

131

Informacija yra apie fizinį asmenį, kurio tapatybė yra nustatyta arba gali būti nustatyta, jeigu dėl savo turinio, tikslo ar poveikio ji yra susijusi su asmeniu, kurio tapatybė gali būti nustatyta (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 24 punktas).

132

Dėl to, ar galima „nustatyti fizinio asmens tapatybę“, BDAR 26 konstatuojamojoje dalyje nurodyta, kad reikia atsižvelgti „į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo“.

133

Tai reiškia, kad plati sąvokos „asmens duomenys“ apibrėžtis apima ne tik duomenų valdytojo surinktus ir saugomus duomenis, bet ir visą tvarkant asmens duomenis gautą informaciją, susijusią su asmeniu, kurio tapatybė yra arba gali būti nustatyta (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 26 punktą).

134

Iš Teisingumo Teismo jurisprudencijos taip pat matyti, kad fizinio asmens rašysena suteikia informacijos apie tą asmenį (šiuo klausimu žr. 2017 m. gruodžio 20 d. Sprendimo Nowak, C‑434/16, EU:C:2017:994, 37 punktą).

135

Galiausiai pažymėtina, kad fizinio asmens parašas ranka paprastai naudojamas siekiant identifikuoti šį asmenį, suteikti dokumentams, kuriuose jis padėtas, įrodomąją galią, kiek tai susiję su jų tikslumu ir teisingumu, arba prisiimti už juos atsakomybę. Be to, nagrinėjamoje bendrovės steigimo sutartyje šalia dalyvių parašų nurodyti jų vardai ir pavardės.

136

Atsižvelgiant į tai, kas išdėstyta, į šeštąjį klausimą atsakytina: BDAR 4 straipsnio 1 punktas turi būti aiškinamas taip, kad sąvoka „asmens duomenys“, kaip ji suprantama pagal šią nuostatą, apima fizinio asmens parašą ranka.

137

Septintuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad „neturtinei žalai“ atsirasti“ gali pakakti to, kad duomenų subjektas ribotam laikui praranda savo asmens duomenų kontrolę, šiuos duomenis viešai paskelbus internete valstybės narės įmonių registre, ar vis dėlto „neturtinės žalos“ sąvoka reikalauja įrodyti papildomų apčiuopiamų neigiamų pasekmių atsiradimą.

138

Pirmiausia primintina, kad šioje nuostatoje numatyta jog „[b]et kuris asmuo, patyręs materialinę ar nematerialinę [turtinę ar neturtinę] žalą dėl [BDAR] pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą“.

139

Kadangi BDAR nėra nuorodos į valstybių narių teisę, kiek tai susiję su minėtoje nuostatoje vartojamų terminų prasme ir apimtimi, visų pirma kalbant apie sąvokas „turtinė ar neturtinė žala“ ir „kompensacija už patirtą žalą“, taikant šį reglamentą šie terminai turi būti laikomi savarankiškomis Sąjungos teisės sąvokomis, kurios visose valstybėse narėse turi būti aiškinamos vienodai (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 30 punktą).

140

BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad vien šio reglamento pažeidimo nepakanka, kad atsirastų teisė į kompensaciją, nes, be kita ko, turtinės ar neturtinės „žalos“ ar „patirtos žalos“ buvimas yra viena iš 82 straipsnio 1 dalyje numatytos teisės į kompensaciją sąlygų, kaip ir sąlygos, kad turi būti šio reglamento pažeidimas ir priežastinis ryšys tarp patirtos žalos ir šio pažeidimo, turint omenyje, kad šios trys sąlygos yra kumuliacinės (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 32 punktas ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 34 punktas).

141

Taigi asmuo, prašantis atlyginti neturtinę žalą pagal šią nuostatą, turi įrodyti ne tik šio reglamento nuostatų pažeidimą, bet ir tai, kad dėl šio pažeidimo patyrė tokią žalą. Todėl žala negali būti preziumuojama vien dėl to, kad buvo padarytas minėtas pažeidimas (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 42 ir 50 punktus ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288 35 punktą).

142

Visų pirma, asmuo, kurio atžvilgiu padarytas BDAR pažeidimas ir kuris patyrė neigiamų pasekmių, turi įrodyti, jog šios pasekmės sudaro neturtinę žalą, kaip ji suprantama pagal šio reglamento 82 straipsnį, nes vien šio reglamento nuostatų pažeidimo nepakanka, kad atsirastų teisė į kompensaciją (2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 60 punktas ir jame nurodyta jurisprudencija).

143

Todėl, kai asmuo, prašantis atlyginti žalą pagal 82 straipsnio 1 dalį, nurodo nuogąstaujantis, kad dėl tokio pažeidimo ateityje gali būti piktnaudžiaujama jo asmens duomenimis, nacionalinis teismas, į kurį kreiptasi, turi patikrinti, ar toks nuogąstavimas konkrečiomis nagrinėjamomis aplinkybėmis ir atsižvelgiant į duomenų subjektą gali būti laikomas pagrįstu (2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 85 punktas).

144

Atitinkamai Teisingumo Teismas yra nusprendęs, kad ne tik iš BDAR 82 straipsnio 1 dalies, siejamos su šio reglamento 85 ir 146 konstatuojamosiomis dalimis, kuriose siūloma sąvoką „neturtinė žala“, kaip ji suprantama pagal šią pirmąją nuostatą, aiškinti plačiai, formuluotės, bet ir iš minėtu reglamentu siekiamo tikslo užtikrinti aukštą fizinių asmenų apsaugos tvarkant asmens duomenis lygį matyti, jog jau vien duomenų subjekto nuogąstavimai, kad pažeidus šį reglamentą tretieji asmenys gali piktnaudžiauti jo asmens duomenimis, gali būti laikomi „neturtine žala“, kaip tai suprantama pagal šio 82 straipsnio 1 dalį (2024 m. birželio 20 d. Sprendimo PS (Klaidingas adresas), C‑590/22, EU:C:2024:536, 32 punktą ir jame nurodytą jurisprudenciją).

145

Konkrečiai kalbant, iš BDAR 85 konstatuojamosios dalies pirmame sakinyje pateikto pavyzdinio „žalos“, kurią gali patirti duomenų subjektai, sąrašo matyti, kad Sąjungos teisės aktų leidėjas ketino į „žalos“, kurią gali patirti duomenų subjektai, sąvoką įtraukti, be kita ko, paprastą jų pačių duomenų „kontrolės praradimą“ dėl šio reglamento pažeidimo, net jeigu aptariamais duomenimis nebuvo konkrečiai piktnaudžiaujama (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 82 punktą).

146

Be to, BDAR 82 straipsnio 1 dalies aiškinimas, pagal kurį sąvoka „neturtinė žala“, kaip ji suprantama pagal šią nuostatą, neapimtų situacijų, kai duomenų subjektas nurodo tik nuogąstaujantis, kad ateityje tretieji asmenys gali piktnaudžiauti jo duomenimis, neatitiktų šiame teisės akte numatytos aukšto lygio fizinių asmenų apsaugos tvarkant asmens duomenis Sąjungoje garantijos (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 83 punktą).

147

Ši sąvoka taip pat negali būti apribota tam tikro dydžio žala, ypač kiek tai susiję su laikotarpiu, per kurį duomenų subjektai patyrė neigiamų šio reglamento pažeidimo pasekmių (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 16 ir 19 punktus).

148

Taigi negalima teigti, kad, be šio sprendimo 140 punkte nurodytų trijų sąlygų, galima įtraukti ir kitas BDAR 82 straipsnio 1 dalyje numatytas atsakomybės atsiradimo sąlygas, kaip antai konkrečią žalą ar pažeidimo objektyvų pobūdį (2023 m. gruodžio 14 d. Sprendimo Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 17 punktas).

149

Šioje nuostatoje taip pat nereikalaujama, kad, nustačius šio reglamento nuostatų pažeidimą, duomenų subjekto nurodyta „neturtinė žala“ pasiektų „de minimis ribą“, kad galėtų būti atlyginta (2023 m. gruodžio 14 d. Sprendimo Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 18 punktas).

150

Taigi, nors niekas neužkerta kelio tam, kad asmens duomenų paskelbimas internete ir vėlesnis jų kontrolės praradimas trumpą laikotarpį galėtų lemti duomenų subjektams „neturtinę žalą“ pagal BDAR 82 straipsnio 1 dalį, dėl kurios atsiranda teisė į kompensaciją, šie asmenys dar turi įrodyti, jog iš tikrųjų patyrė tokią žalą, nors ir minimalią (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimą Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 22 punktą ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 42 punktą).

151

Galiausiai pažymėtina, kad nustatant žalos, mokėtinos siekiant užtikrinti teisę į neturtinės žalos atlyginimą, dydį tokia dėl asmens duomenų pažeidimo padaryta žala savo pobūdžiu nėra mažesnė nei žala sveikatai (2024 m. birželio 20 d. Sprendimo Scalable Capital, C‑182/22 ir C‑189/22, EU:C:2024:531, 39 punktas).

152

Be to, kai asmeniui pavyksta įrodyti, kad dėl BDAR pažeidimo jam buvo padaryta žala pagal šio reglamento 82 straipsnį, mokėtinos kompensacijos vertinimo kriterijai, taikomi nagrinėjant ieškinius, kuriais siekiama užtikrinti teisių, kurias teisės subjektai kildina iš šio straipsnio, apsaugą, turi būti nustatyti kiekvienos valstybės narės teisės sistemoje, o tokia kompensacija turi būti visiška ir veiksminga (šiuo klausimu žr. 2024 m. birželio 20 d. Sprendimo Scalable Capital, C‑182/22 ir C‑189/22, EU:C:2024:531, 43 punktą).

153

82 straipsnio 1 dalyje numatyta teisė į kompensaciją, visų pirma, neturtinės žalos atveju, atlieka išimtinai kompensacinę, o ne atgrasomąją ar baudinę funkciją, nes šia nuostata grindžiama piniginė kompensacija turi leisti visapusiškai kompensuoti dėl šio reglamento pažeidimo konkrečiai patirtą žalą (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 57 ir 58 punktus ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288 61 punktą).

154

Be to, pažymėtina, pirma, kad duomenų valdytojo atsakomybė pagal BDAR 82 straipsnį kyla, jeigu yra jo kaltė, kuri preziumuojama, nebent duomenų valdytojas įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio atsirado žala, ir, antra, kad 82 straipsnyje nereikalaujama pagal minėtą straipsnį nustatant kompensacijos už neturtinę žalą dydį atsižvelgti į kaltės sunkumo laipsnį (2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 103 punktas ir 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 52 punktas).

155

Nagrinėjamu atveju, kaip pažymėta šio sprendimo 42 punkte, prašymą priimti prejudicinį sprendimą pateikęs teismas patikslino, kad Administrativen sad Dobrich (Dobričiaus administracinis teismas) pripažino neturtinę žalą, kurią sudarė neigiami OL psichologiniai ir emociniai išgyvenimai, t. y. baimė ir nerimas dėl galimo piktnaudžiavimo, bejėgiškumas ir nusivylimas dėl negalėjimo apsaugoti savo asmens duomenų. Jis taip pat nusprendė, kad ši žala kilo dėl 2022 m. sausio 26 d. agentūros rašto, lėmusio BDAR 17 straipsnio 1 dalyje įtvirtintos teisės reikalauti ištrinti duomenis pažeidimą ir viešai paskelbtoje atitinkamos bendrovės steigimo sutartyje esančių jos duomenų neteisėtą tvarkymą.

156

Atsižvelgiant į tai, kas išdėstyta, į septintąjį klausimą atsakytina: BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad „neturtinei žalai“ atsirasti gali pakakti to, kad duomenų subjektas ribotam laikui praranda savo asmens duomenų kontrolę, šiuos duomenis viešai paskelbus internete valstybės narės įmonių registre, jeigu tas asmuo įrodo, kad tikrai patyrė žalą, nors ir minimalią, o „neturtinės žalos“ sąvoka nereikalauja įrodyti papildomų apčiuopiamų neigiamų pasekmių atsiradimo.

157

Aštuntuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 3 dalis turi būti aiškinama taip, kad valstybės narės priežiūros institucijos nuomonės, pateiktos remiantis šio reglamento 58 straipsnio 3 dalies b punktu, pakanka, kad pagal minėto reglamento 82 straipsnio 2 dalį nuo atsakomybės būtų atleista už įmonių registro tvarkymą atsakinga valstybės narės institucija, turinti „duomenų valdytojo“, kaip tai suprantama pagal to paties reglamento 4 straipsnio 7 punktą, statusą.

158

Pirma, kalbant apie BDAR 82 straipsnyje numatytą atsakomybės sistemą primintina, kad šio straipsnio 1 dalyje nurodyta, jog bet kuris asmuo, patyręs turtinę ar neturtinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą. Kaip matyti iš šio sprendimo 140 punkto, teisė į žalos atlyginimą siejama su trijų kumuliacinių sąlygų įvykdymu.

159

Pagal minėto reglamento 82 straipsnio 2 dalies pirmą sakinį duomenų valdytojas, dalyvaujantis tvarkant duomenis, atsako už žalą, padarytą dėl duomenų tvarkymo pažeidžiant šį reglamentą. Šioje nuostatoje, patikslinančioje atsakomybės sistemą, kurios principas įtvirtintas šio straipsnio 1 dalyje, pakartotos trys sąlygos, būtinos teisei į kompensaciją atsirasti, t. y. asmens duomenys turi būti tvarkomi pažeidžiant BDAR nuostatas, duomenų subjektui turi būti padaryta žala ir tarp tokio neteisėto tvarkymo ir šios žalos turi būti priežastinis ryšys (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 36 punktas).

160

Paties BDAR 82 straipsnio 3 dalyje nurodyta, kad duomenų valdytojas atleidžiamas nuo atsakomybės pagal 2 dalį, jeigu įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.

161

Teisingumo Teismas jau yra konstatavęs, kad iš bendros BDAR 82 straipsnio 1–3 dalių analizės, šio straipsnio konteksto ir tikslų, kurių Sąjungos teisės aktų leidėjas siekė šiuo reglamentu, matyti, kad šiame straipsnyje yra numatyta kalte grindžiamos atsakomybės sistema, pagal kurią įrodinėjimo pareiga tenka ne žalą patyrusiam asmeniui, o duomenų valdytojui (šiuo klausimu žr. 2023 m. gruodžio 21 d. SprendimoKrankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 94 ir 95 punktus).

162

Visų pirma, tikslo užtikrinti aukštą fizinių asmenų apsaugą tvarkant jų asmens duomenis neatitiktų aiškinimas, pagal kurį duomenų subjektams, patyrusiems žalą dėl BDAR pažeidimo, turėtų tekti pareiga, nagrinėjant 82 straipsniu grindžiamą ieškinį dėl kompensacijos, įrodyti ne tik šį pažeidimą ir dėl jo atsiradusią žalą, bet ir duomenų valdytojo kaltę, t. y. tyčia ar dėl neatsargumo padarytą pažeidimą, arba net šios kaltės sunkumo laipsnį, nors minėtame 82 straipsnyje tokie reikalavimai neįtvirtinti (šiuo klausimu žr. 2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 99 punktą).

163

Tad, remiantis šio sprendimo 154 punkte nurodyta jurisprudencija, duomenų valdytojo atsakomybės atsiradimas pagal BDAR 82 straipsnį siejamas su duomenų valdytojo kalte, kuri preziumuojama, nebent duomenų valdytojas įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio atsirado žala.

164

Tai, kad per teisėkūros procedūrą buvo specialiai pridėtas žodžių junginys „jokiu būdu“, rodo, kad aplinkybės, kuriomis duomenų valdytojas gali reikalauti atleidimo nuo jam tenkančios civilinės atsakomybės pagal BDAR 82 straipsnį, turi būti griežtai apribotos tokiomis aplinkybėmis, kai duomenų valdytojas gali įrodyti, kad jam negali būti priskirta atsakomybė už žalą (2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 70 punktas).

165

Teisingumo Teismas taip pat yra nusprendęs, kad tuo atveju, kai asmens duomenis pažeidžia trečiasis asmuo, pavyzdžiui, kibernetinis nusikaltėlis, arba duomenų valdytojui pavaldus asmuo, duomenų valdytojas gali būti atleistas nuo atsakomybės pagal BDAR 82 straipsnio 3 dalį tik įrodžius, kad nėra jokio priežastinio ryšio tarp galimo jam pagal šį reglamentą tenkančios duomenų apsaugos pareigos pažeidimo ir atitinkamo fizinio asmens patirtos žalos (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 72 punktą ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 51 punktą).

166

Taigi tam, kad duomenų valdytojas galėtų būti atleistas nuo atsakomybės pagal BDAR 82 straipsnio 3 dalį, jam nepakanka įrodyti, jog davė nurodymus pavaldiems asmenims, kaip tai suprantama pagal minėtą reglamentą, ir kad vienas iš šių asmenų neįvykdė savo pareigos vykdyti šiuos nurodymus ir taip prisidėjo prie nagrinėjamos žalos atsiradimo (šiuo klausimu žr. 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 52 punktą).

167

Antra, kalbant apie taisykles dėl įrodinėjimo priemonių primintina, kad BDAR nėra taisyklių dėl įrodinėjimo priemonių priimtinumo ir įrodomosios galios, kurias turi taikyti nacionaliniai teismai, nagrinėjantys šio reglamento 82 straipsniu grindžiamą ieškinį dėl žalos atlyginimo. Todėl, nesant Sąjungos teisės normų šioje srityje, kiekviena valstybė narė savo nacionalinės teisės sistemoje turi nustatyti ieškinių, skirtų iš šio 82 straipsnio kylančių asmenų teisių apsaugai užtikrinti, pareiškimo tvarką, ypač taisykles dėl įrodinėjimo priemonių, su sąlyga, kad laikomasi lygiavertiškumo ir veiksmingumo principų (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 60 punktą ir jame nurodytą jurisprudenciją).

168

Trečia, dėl nuomonės, pateiktos pagal BDAR 58 straipsnio 3 dalies b punktą, primintina, kad šiame straipsnyje nustatyti priežiūros institucijų įgaliojimai.

169

BDAR 58 straipsnio 1 dalyje šioms institucijoms suteikiami tyrimo įgaliojimai, 2 dalyje – įgaliojimai imtis taisomųjų priemonių, 3 dalyje išvardyti leidimo išdavimo ir patariamieji įgaliojimai, o 5 dalyje – įgaliojimai atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą siekiant užtikrinti šio reglamento nuostatų vykdymą.

170

Vienas iš BDAR 58 straipsnio 3 dalyje išvardytų įgaliojimų yra jo 58 straipsnio 3 dalies b punkte nurodytas įgaliojimas „savo iniciatyva arba gavus prašymą teikti nuomones nacionaliniam parlamentui, valstybės narės vyriausybei arba, vadovaujantis valstybės narės teise, kitoms institucijoms ir įstaigoms, taip pat visuomenei, visais su asmens duomenų apsauga susijusiais klausimais“.

171

Iš pastarosios nuostatos formuluotės, visų pirma iš termino „nuomonė“, aiškiai matyti, kad tokios nuomonės teikimas priskiriamas prie patariamųjų įgaliojimų, o ne prie priežiūros institucijos įgaliojimų išduoti leidimą.

172

Tai, kad vartojami terminai „nuomonė“ ir „patariamieji įgaliojimai“, taip pat rodo, kad pagal Sąjungos teisę nuomonė, pateikta remiantis 58 straipsnio 3 dalies b punktu, yra teisiškai neprivaloma.

173

Šį aiškinimą patvirtina BDAR 143 konstatuojamoji dalis. Joje nurodyta, kad „kiekvienas fizinis ar juridinis asmuo turėtų turėti galimybę kompetentingame nacionaliniame teisme imtis veiksmingų teisminių teisių gynimo priemonių priežiūros institucijos sprendimo, turinčio tam asmeniui teisinių padarinių, atžvilgiu. Toks sprendimas yra susijęs visų pirma su priežiūros institucijos naudojimusi tyrimo įgaliojimais, įgaliojimais imtis taisomųjų veiksmų ir leidimų išdavimo įgaliojimais arba skundų nepriėmimu ar atmetimu. Tačiau ši teisė imtis veiksmingų teisminių teisių gynimo priemonių neapima kitų priežiūros institucijų priemonių, kurios nėra teisiškai privalomos, pavyzdžiui, priežiūros institucijos pateiktų nuomonių ar patarimų.“

174

Kadangi duomenų valdytojui pateikta nuomonė nėra teisiškai privaloma, ji savaime negali įrodyti, kad žala nepriskirtina pačiam duomenų valdytojui, kaip tai suprantama pagal šio sprendimo 164 punkte nurodytą jurisprudenciją, todėl jos nepakanka, kad duomenų valdytojas būtų atleistas nuo atsakomybės pagal BDAR 82 straipsnio 3 dalį.

175

Toks šio 82 straipsnio 3 dalies aiškinimas taip pat atitinka BDAR siekiamus tikslus – užtikrinti aukštą fizinių asmenų apsaugos tvarkant jų asmens duomenis lygį ir užtikrinti veiksmingą žalos, kurią jie gali patirti dėl duomenų tvarkymo pažeidžiant šį reglamentą, atlyginimą. Jeigu duomenų valdytojui pakaktų remtis teisiškai neprivaloma nuomone, kad išvengtų bet kokios atsakomybės ir atitinkamai bet kokios pareigos atlyginti žalą, jis nebūtų skatinamas daryti visko, kas įmanoma, kad užtikrintų šį aukštą apsaugos lygį ir laikytųsi minėtame reglamente nustatytų pareigų.

176

Atsižvelgiant į tai, kas išdėstyta, į aštuntąjį klausimą atsakytina: BDAR 82 straipsnio 3 dalis turi būti aiškinama taip, kad valstybės narės priežiūros institucijos nuomonės, pateiktos remiantis šio reglamento 58 straipsnio 3 dalies b punktu, nepakanka, kad pagal minėto reglamento 82 straipsnio 2 dalį nuo atsakomybės būtų atleista už įmonių registro tvarkymą atsakinga valstybės narės institucija, turinti „duomenų valdytojo“, kaip tai suprantama pagal to paties reglamento 4 straipsnio 7 punktą, statusą.

177

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (pirmoji kolegija) nusprendžia: