Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 62023CC0200

    Ģenerāladvokātes Medina secinājumi, 2024. gada 30. maijs.


    ECLI identifier: ECLI:EU:C:2024:445

    Pagaidu versija

    ĢENERĀLADVOKĀTES

    LAILAS MEDINAS

    SECINĀJUMI,

    sniegti 2024. gada 30. maijā (1)

    Lieta C200/23

    Agentsia po vpisvaniyata

    pret

    OL,

    piedaloties

    Varhovna administrativna prokuratura

    (Varhoven administrativen sad (Augstākā administratīvā tiesa, Bulgārija) lūgums sniegt prejudiciālu nolēmumu)

    Lūgums sniegt prejudiciālu nolēmumu – Personas datu aizsardzība – Regula (ES) 2016/679 – Tāda sabiedrības dibināšanas līguma publicēšana komercreģistrā, kurā ietverti personas dati – Direktīva (ES) 2017/1132 – Pārzinis – Tiesības uz personas datu dzēšanu






    I.      Ievads

    1.        Ar lūgumu sniegt prejudiciālu nolēmumu Varhoven administrativen sad (Augstākā administratīvā tiesa, Bulgārija) uzdod Tiesai virkni jautājumu, kas pēc būtības attiecas uz mijiedarbību starp tādām normām sabiedrību dokumentu publiskošanas jomā, kuras koordinētas Savienības līmenī (2), un Regulu (ES) 2016/679 (3).

    2.        Šis lūgums iesniegts saistībā ar strīdu starp Agentsia po vpisvaniyata (Reģistrācijas aģentūra, Bulgārija, turpmāk tekstā – “Aģentūra”) un OL par šīs Aģentūras atteikumu izslēgt no reģistra atsevišķus komercreģistrā publiskotajā dokumentā ietvertus personas datus, kas attiecas uz OL.

    II.    Atbilstošās tiesību normas

    A.      Savienības tiesības

    3.        Uz šiem secinājumiem it īpaši attiecas 14. un 16. pants Direktīvā 2017/1132, ar kuru aizstāta Direktīva 2009/101, kā arī VDAR 4.–6. un 17. pants. Labākai uztveramībai šajā analīzē tiks sniegtas atsauces uz šo pantu attiecīgo normu formulējumiem.

    B.      Bulgārijas tiesības

    4.        Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (4) (Likums par komercreģistru un bezpeļņas juridisko personu reģistru), redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “Reģistru likums”), 2. pantā ir noteikts:

    “(1)      Komercreģistrs un Bezpeļņas juridisko personu reģistrs [turpmāk tekstā – “reģistri”] ir vienota elektroniska datubāze, kurā ietverti saskaņā ar likumu reģistrētās ziņas, kā arī atbilstoši likumam publiskotie dokumenti, kas attiecas uz komersantiem un ārvalstu komersantu filiālēm, bezpeļņas juridiskajām personām un ārvalstu bezpeļņas juridisko personu filiālēm.

    (2)      Šī panta 1. punktā minētās ziņas un dokumentus publisko bez informācijas, kura veido personas datus [VDAR] 4. panta 1. punkta izpratnē, izņemot informāciju, kas jāpublisko saskaņā ar likumu.”

    5.        Saskaņā ar Reģistru likuma 6. panta 1. punktu katram komersantam un katrai bezpeļņas juridiskajai personai jāiesniedz pieteikums par reģistrāciju reģistros, norādot ziņas, kas jāreģistrē, un iesniedzot dokumentus, kuri jāpublisko.

    6.        Šī likuma 11. pants ir formulēts šādi:

    “(1)      [Reģistri] ir publiski. Ikvienam ir tiesības brīvi un bez maksas piekļūt datubāzei, kas veido reģistrus.

    (2)      [Aģentūra] nodrošina reģistrētu piekļuvi komersanta vai bezpeļņas juridiskās personas lietai.”

    7.        Minētā likuma 13. panta 1., 2., 6. un 9. punktā ir noteikts:

    “(1)      Reģistrēšana, izslēgšana no reģistra un publiskošana tiek veikta, pamatojoties uz pieteikuma veidlapu.

    (2)      Pieteikumā iekļauj:

    1.      pieteikuma iesniedzēja kontaktinformāciju;

    [..]

    3.      reģistrējamās ziņas, reģistrāciju, kuru tiek prasīts izslēgt no reģistra, vai dokumentu, kas jāpublisko;

    [..]

    (6)      Pieteikumam pievieno dokumentus vai – attiecīgā gadījumā – dokumentu, kas jāpublisko saskaņā ar likuma prasībām. Dokumenti tiek iesniegti to oriģinālformā, kā pieteikuma iesniedzēja apliecināta kopija vai notariāli apliecināta kopija. Pieteikuma iesniedzējs iesniedz arī komercreģistrā publiskojamo dokumentu apliecinātas kopijas, kurās personas dati, izņemot likumā noteiktos personas datus, ir aizklāti.

    [..]

    (9)      Ja pieteikumā vai tam pievienotajos dokumentos ir minēti personas dati, kuri nav prasīti likumā, tiek uzskatīts, ka personas, kas tos sniegušas, ir piekritušas, ka [Aģentūra] datus apstrādā un publisko.”

    8.        Targovski zakon (5) (Komerclikums) 101. panta 3. punktā, redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “Komerclikums”), ir noteikts, ka sabiedrības dibināšanas līgumā jābūt ietvertam “sabiedrības dalībnieku vārdam un uzvārdam, sabiedrības nosaukumam un unikālajam identifikācijas kodam”.

    9.        Saskaņā ar minētā likuma 119. panta 1. punktu sabiedrības reģistrācijai komercreģistrā citastarp jāiesniedz sabiedrības dibināšanas līgums, kas tiek publiskots. Atbilstoši šī panta 4. punktam, “lai grozītu vai papildinātu komercreģistrā [reģistrētu] sabiedrības dibināšanas līgumu, publiskošanai iesniedz sabiedrību pārstāvošās struktūras apliecinātu minētā līguma kopiju, kurā ietverti visi grozījumi un visi papildinājumi”.

    III. Pamatlieta un prejudiciālie jautājumi

    10.      OL ir saskaņā ar Bulgārijas tiesībām dibinātas OOD – sabiedrības ar ierobežotu atbildību, kas komercreģistrā reģistrēta 2021. gada 14. janvārī, – dalībniece. Reģistrācijas pieteikumam bija pievienots sabiedrības dibināšanas līgums, kas datēts ar 2020. gada 30. decembri un ko parakstījuši sabiedrības dalībnieki (turpmāk tekstā – “2020. gada sabiedrības līgums”). Šis līgums, kurā ietverts OL vārds un uzvārds, viņas identifikācijas numurs, personas apliecības numurs, tās izdošanas datums un vieta, kā arī pastāvīgā adrese, tika reģistrēts un publiskots tāds, kāds tas bija iesniegts. 2021. gada 8. jūlijā OL lūdza Aģentūru izslēgt no reģistra viņas personas datus, kas ietverti 2020. gada sabiedrības līgumā, precizēdama, ka tad, ja viņas datu apstrāde bija balstīta uz viņas piekrišanu, viņa šo piekrišanu atsauc. Tā kā atbildes no Aģentūras nebija, OL cēla prasību Administrativen sad Dobrich (Dobričas Administratīvā tiesa, Bulgārija), kura atcēla Aģentūras netiešo atteikumu apmierināt OL pieteikumu un nodeva lietu atpakaļ Aģentūrai jauna lēmuma pieņemšanai. Izpildīdama šo spriedumu un līdzīgu spriedumu attiecībā uz otru sabiedrības dalībnieku, kurš bija rīkojies tāpat, Aģentūra 2022. gada 26. janvāra vēstulē norādīja, ka, lai varētu apmierināt pieteikumu par izslēgšanu no reģistra, ir jānosūta tai 2020. gada sabiedrības līguma apliecināta kopija, kurā aizklāti dalībnieku personas dati, izņemot likumā noteiktos (turpmāk tekstā – “2022. gada 26. janvāra vēstule”). 2022. gada 31. janvārī OL atkārtoti cēla prasību Administrativen sad Dobrich (Dobričas Administratīvā tiesa), lūdzot atcelt 2022. gada 26. janvāra vēstuli un piespriest Aģentūrai atlīdzināt morālo kaitējumu, kādu tai radījusi minētā vēstule, ar kuru tikušas aizskartas ar VDAR piešķirtās tiesības. 2022. gada 1. februārī, pirms tika paziņots par šo prasību, Aģentūra pēc savas ierosmes izslēdza no reģistra OL identifikācijas numuru, personas apliecības datus un adresi, bet ne viņas uzvārdu, vārdu un parakstu. Ar 2022. gada 5. maija spriedumu Administrativen sad Dobrich (Dobričas Administratīvā tiesa) atcēla 2022. gada 26. janvāra vēstuli un piesprieda Aģentūrai samaksāt OL morālā kaitējuma atlīdzību – 500 Bulgārijas levas (BGN) (aptuveni 255 EUR), kā arī likumiskos procentus saskaņā ar VDAR 82. pantu. Atbilstoši šim spriedumam šo kaitējumu veidoja negatīvās emocijas un pārdzīvojumi, kas izrietēja no šīs vēstules, kuras dēļ tika pārkāptas VDAR 17. panta 1. punktā nostiprinātās tiesības uz dzēšanu, kā arī nelikumīgi apstrādāti viņas dati, kas ietverti publiskotajā līgumā. Aģentūra iesniedza kasācijas sūdzību par šo spriedumu iesniedzējtiesā. Aģentūra it īpaši apgalvo, ka tā ir ne tikai saistībā ar reģistrācijas procedūru nosūtīto datu pārzine, bet arī to saņēmēja, un ka, neraugoties uz attiecīgu pieprasījumu pirms sabiedrības, kuras dalībniece bija OL, reģistrācijas, tā neesot saņēmusi nevienu šīs sabiedrības līguma kopiju, kurā būtu aizklāti dati, ko nedrīkstēja publiskot. Tikai šī iemesla dēļ vien komercsabiedrības reģistrāciju nevarot atteikt. Tā atsaucas uz valsts uzraudzības iestādes Komisia za zashtita na lichnite danni (Personas datu aizsardzības komisija, Bulgārija) 2021. gada atzinumu, kas sniegts saskaņā ar VDAR 58. panta 3. punkta b) apakšpunktu (turpmāk tekstā – “2021. gada atzinums”) (6), kurā apliecināts, ka tā nav pilnvarota grozīt to dokumentu saturu, ko tā saņem reģistrācijai reģistrā. Savukārt OL apgalvo, ka Aģentūra kā pārzine savus dzēšanas pienākumus nevar uzlikt citiem. Viņa atsaucas uz valsts judikatūru, saskaņā ar kuru 2021. gada atzinums neatbilst VDAR normām.

    11.      Šādos apstākļos Varhoven administrativen sad (Augstākā administratīvā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

    “1)      Vai Direktīvas [2009/101] 4. panta 2. punkts ir jāinterpretē tādējādi, ka ar to dalībvalstij ir uzlikts pienākums ļaut publiskot sabiedrības dibināšanas līgumu, kas jāreģistrē saskaņā ar [Komerclikuma] 119. pantu, ja šajā līgumā papildus sabiedrības dalībnieku vārdiem un uzvārdiem, kuri obligāti jāpublisko saskaņā ar [Reģistru likuma] 2. panta 2. punktu, ir norādīti arī citi personas dati? Atbildot uz šo jautājumu, būtu jāņem vērā, ka [Aģentūra] ir valsts pārvaldes iestāde un ka, vēršoties pret to, atbilstoši pastāvīgajai judikatūrai var atsaukties uz direktīvas noteikumiem, kuriem ir tieša iedarbība (spriedums, 2006. gada 7. septembris, Vassallo, С‑180/04, EU:C:2006:518, 26. punkts un tajā minētā judikatūra).

    2)      Ja atbilde uz pirmo jautājumu būtu apstiprinoša, vai var uzskatīt, ka apstākļos, kuri izraisījuši pamatlietā izskatāmo strīdu, [Aģentūras] veiktā personas datu apstrāde [VDAR] 6. panta 1. punkta e) apakšpunkta izpratnē ir nepieciešama, lai varētu izpildīt uzdevumu, ko tā veic sabiedrības interesēs vai īstenot pārzinim likumīgi piešķirtās oficiālās pilnvaras?

    3)      Ja atbilde uz pirmajiem diviem jautājumiem būtu apstiprinoša, vai var uzskatīt par pieļaujamu tādu valsts tiesību normu kā [Reģistru likuma] 13. panta 9. punkts – saskaņā ar kuru gadījumā, ja pieteikumā vai tam pievienotajos dokumentos ir norādīti personas dati, kas nav prasīti likumā, ir uzskatāms, ka šos datus sniegušās personas ir piekritušas, ka [Aģentūra] tos apstrādā un padara publiski pieejamus –, kura precizē iespēju arī personas datus “brīvprātīgi nodot atklātībā” Direktīvas [2009/101] 4. panta 2. punkta izpratnē neatkarīgi no [VDAR] 32., 40., 42., 43. un 50. apsvēruma?

    4)      Vai, lai īstenotu Direktīvas [2009/101] 3. panta 7. punktā paredzēto pienākumu, saskaņā ar kuru dalībvalstīm ir jāveic vajadzīgie pasākumi, lai novērstu jebkādas pretrunas starp atklātībā nodotajām ziņām saskaņā ar 5. punktu un reģistrā vai lietā atklātajām ziņām un lai ievērotu trešo personu intereses būt informētām par sabiedrības pamatdokumentiem un citu šīs direktīvas trešajā apsvērumā minēto informāciju, kas attiecas uz sabiedrību, ir pieļaujams valsts tiesiskais regulējums, kurā ir noteikta procesuālā kārtība (pieteikuma veidlapas, dokumentu kopiju ar aizklātiem personas datiem iesniegšana), kādā īstenojamas [VDAR] 17. pantā paredzētās fiziskas personas tiesības pieprasīt pārzinim nekavējoties dzēst viņas personas datus, ja personas dati, kuru izslēgšana no reģistra tiek pieprasīta, ir daļa no oficiāli publicētiem (publiskotiem) dokumentiem, ko līdzīgā procesuālajā kārtībā pārzinim ir sniegusi cita persona, kura ar šo darbību ir noteikusi arī tās iniciētās apstrādes nolūku?

    5)      Vai situācijā, kas izraisījusi pamatlietā izskatāmo strīdu, [Aģentūra] attiecībā uz personas datiem rīkojas tikai kā pārzinis, vai arī tā ir to saņēmējs, ja to apstrādes nolūkus saistībā ar publiskošanai iesniegtajiem dokumentiem ir noteicis cits pārzinis?

    6)      Vai fiziskas personas pašrocīgs paraksts ir informācija, kas attiecas uz identificētu fizisku personu, respektīvi, vai tas ietilpst jēdzienā “personas dati” [VDAR] 4. panta 1. punkta izpratnē?

    7)      Vai [VDAR] 82. panta 1. punktā minētais jēdziens “nemateriāls kaitējums” ir jāinterpretē tādējādi, ka nemateriālo kaitējumu var konstatēt vienīgi tad, ja ir jūtama negatīva ietekme un objektīvi identificējams personisko interešu aizskārums, vai tomēr šajā ziņā ir pietiekami, ka datu subjekts [ir] īslaicīgi zaudējis suverēnās tiesības rīkoties ar saviem datiem, jo personas dati tika publicēti komercreģistrā, bet tas nav radījis nekādu jūtamu vai negatīvu ietekmi uz datu subjektu?

    8)      Vai valsts uzraudzības iestādes [Personas datu aizsardzības komisija] [2021. gada] atzinumu, kurš sniegts, pamatojoties uz [VDAR] 58. panta 3. punkta b) apakšpunktu, un saskaņā ar kuru [Aģentūrai] nav juridisku iespēju vai pilnvaru pēc savas ierosmes vai pēc datu subjekta pieprasījuma ierobežot jau publiskotu datu apstrādi, var uzskatīt par pierādījumu – [VDAR] 82. panta 3. punkta izpratnē – tam, ka [Aģentūra] nekādā ziņā nav atbildīga par apstākli, kas izraisījis kaitējumu fiziskai personai?”

    IV.    Tiesvedība Tiesā

    12.      Lietas dalībnieki pamatlietā, Bulgārijas, Vācijas, Īrijas, Itālijas, Polijas un Somijas valdības un Komisija saskaņā ar Eiropas Savienības Tiesas statūtu 23. pantu iesniedza rakstveida apsvērumus vai nu par visiem prejudiciālajiem jautājumiem, vai par daļu no tiem. 2024. gada 7. marta tiesas sēdē tika uzklausīti arī lietas dalībnieku pamatlietā, Bulgārijas un Īrijas valdību, kā arī Komisijas mutvārdu paskaidrojumi.

    A.      Juridiskā analīze

    13.      Pēc Tiesas lūguma šajos secinājumos uzmanība tiks pievērsta ceturtajam un piektajam prejudiciālajam jautājumam, kurus ierosinu izskatīt kopā. Pirms sākt analīzi, jāsniedz daži ievada apsvērumi attiecībā uz šo lūgumu sniegt prejudiciālu nolēmumu kopumā.

    1.      Ievada apsvērumi

    14.      Vispirms jānorāda – kā to darījuši pamatlietas dalībnieki, Komisija un lielākā daļa dalībvalstu, kas iesniegušas apsvērumus Tiesai –, ka iesniedzējtiesas nolēmuma pamatojumā, kā arī prejudiciālo jautājumu formulējumā, tostarp konkrēti ceturtajā jautājumā, ir atsauces uz Direktīvas 2009/101 normām. Tomēr tā kopš 2017. gada 20. jūlija ir atcelta un aizstāta ar Direktīvu 2017/1132, kas ratione temporis ir piemērojama pamatlietas faktiem. Tādēļ analīzes turpinājumā atsaukšos tikai uz pēdējo minēto direktīvu.

    15.      Turpinājumā jāatgādina, ka Direktīva 2017/1132 un konkrēti tās 16. un 161. pants, ciktāl tie ir būtiski šī lūguma sniegt prejudiciālu nolēmumu izskatīšanai, tika grozīti ar Direktīvu (ES) 2019/1151 (7), kura stājās spēkā 2019. gada 31. jūlijā. Lai gan, kā uzsver Komisija, ir taisnība, ka 2020. gada sabiedrības līguma, kurā iekļauti OL personas dati, ierakstīšana komercreģistrā notika pirms 2021. gada 1. augusta, proti, datuma, kurā beidzās Direktīvas 2019/1151 transponēšanas termiņš (8), daļa no faktiem – tostarp Aģentūras 2022. gada 26. janvāra vēstules nosūtīšana, dažu no šiem datiem dzēšana pēc savas ierosmes, kā arī to jaunā publiskošana reģistrā, uz ko atbildētāja pamatlietā norāda savos rakstveida apsvērumos, – norisinājās pēc šīs dienas. Tādējādi nav izslēgts, ka tieši Direktīvas 2017/1132 redakcija ar grozījumiem, kas izdarīti ar Direktīvu 2019/1151, ratione temporis ir piemērojama pamatlietā – tas ir jāpārbauda iesniedzējtiesai. Tādēļ analīzes turpinājumā atsaukšos uz šo redakciju.

    16.      Tomēr uzreiz vēlos precizēt, ka ar Direktīvu 2019/1151 ieviestajiem grozījumiem pašiem ir tikai ierobežota ietekme uz jautājumu, ar kādiem noteikumiem dalībvalsts iestādei, kas ir atbildīga par uzņēmumu reģistra uzturēšanu, pildot savas funkcijas, jānodrošina personas datu aizsardzība. Savukārt vispārīgāk ir svarīgi uzsvērt, ka šīs direktīvas mērķis ir nostiprināt un konsolidēt digitālo rīku un procesu izmantošanu informācijas par sabiedrībām vākšanā un plūsmu pārvaldībā, – tas ietver plašāku pieeju tajā iekļautajiem personas datiem un palielina tiesību uz šādu datu aizsardzību aizskārumu risku, kā arī šo aizskārumu kaitējuma raksturu (9). Šāds digitalizācijas process (10) savienojumā ar minētās informācijas pārrobežu pieejamības intensifikāciju, ko ir minējis arī Savienības likumdevējs (11), prasa īpašu uzmanību, līdzsvarojot, no vienas puses, tiesiskās drošības un trešo personu tiesību aizsardzības mērķus, kas, kā redzēsim, ir pamatā noteikumiem attiecībā uz sabiedrībām publiskošanas jomā, un, no otras puses, pamattiesības uz privātās dzīves neaizskaramību un uz personas datu aizsardzību (12).

    17.      Tāpat ievadā vēlos norādīt, ka pamatlieta attiecas uz personas datu, kuru publiskošana nav prasīta nedz Direktīvā 2017/1132, nedz attiecīgās dalībvalsts tiesībās, svītrošanu no dalībvalsts komercreģistra, kā arī uz valsts iestādes, kura atbildīga par šī reģistra uzturēšanu, atbildību par morālo kaitējumu, kas radies, atsakoties nekavējoties un bez nosacījumiem izpildīt pieteikumu par šādu datu dzēšanu. Savukārt pamatlieta tieši neattiecas uz jautājumu, kādi pienākumi ir noteikti šādai iestādei saistībā ar personas datu aizsardzību, ierakstot komercreģistrā sabiedrības dibināšanas dokumentus, kuros ir iekļauti dati, kuru publicēšana nav obligāta. Tomēr šis jautājums ir nojaušams un tas izriet no fakta, ka daudzas dalībvalstis, kas iestājušās lietā, tam ir veltījušas lielu daļu savu apsvērumu, ierosinot būtiski pārformulēt pirmos četrus prejudiciālos jautājumus vai dažus no tiem. Analīzes turpinājumā aplūkošu atsevišķus šī jautājuma aspektus, tomēr saglabājot robežas, ko nosaka tiesvedības pamatlietā priekšmets un prejudiciālie jautājumi, uz kuriem attiecas šie secinājumi.

    2.      Par ceturto un piekto prejudiciālo jautājumu

    18.      Ar ceturto prejudiciālo jautājumu, kura pieņemamību apstrīd Bulgārijas valdība, iesniedzējtiesa būtībā vēlas noskaidrot, vai Direktīva 2017/1132 ir jāinterpretē tādējādi, ka tā pieļauj, ka fizisku personu – šajā gadījumā sabiedrības ar ierobežotu atbildību, uz ko attiecas šī direktīva (13), dalībnieku – tiesībām uz to, ka personas dati, kuri uz tām attiecas, tiek dzēsti no komercreģistra, tiek izvirzīti īpaši procesuāli nosacījumi, un šie dati, lai gan neietilpst informācijā, kura obligāti jāpublisko saskaņā ar valsts tiesībām, tomēr ir minēti šīs sabiedrības dibināšanas aktā, kas ir publiskots saistībā ar ierakstīšanu minētajā reģistrā. Savukārt ar piekto prejudiciālo jautājumu iesniedzējtiesa lūdz Tiesu precizēt, vai attiecībā uz šādiem datiem iestāde, kas atbildīga par komercreģistra uzturēšanu, rīkojas “pārziņa” statusā atbilstoši VDAR 4. panta 7. punktam vai arī šī iestāde tāpat ir savu apstrādāto datu “saņēmējs” šīs regulas 4. panta 9. punkta izpratnē, jo apstrādes mērķi iepriekš ir noteikusi trešā persona.

    19.      Kā jau minēju iepriekš, šie divi jautājumi, manuprāt, jāizskata kopā. Šajā nolūkā aplūkošu dažādos jautājumus, kādus tie rada, šādā secībā. Pēc īsa pārskata par Direktīvas 2017/1132 II pielikumā minēto sabiedrību pienākumiem publiskošanas jomā, pirmkārt, pievērsīšos jautājumam, kas ir obligāti publiskojamajos dokumentos ietverto personas datu pārzinis saistībā ar sabiedrības reģistrāciju dalībvalsts komercreģistrā, ja, kā šajā gadījumā, attiecīgo datu izpaušana nav prasīta nedz saskaņotajās Savienības tiesībās, nedz attiecīgās dalībvalsts tiesībās. Otrkārt, aplūkošu jautājumu, kāds šajā gadījumā ir šādu datu apstrādes juridiskais pamats. Treškārt, pievērsīšos jautājumam par to, vai ieinteresētajām personām ir tiesības uz minēto datu dzēšanu atbilstoši VDAR 17. pantam, tiklīdz tie ir izpausti pēc tam, kad dokuments, kurā tie bijuši ietverti, ir publiskots. Visbeidzot, ceturtkārt, aplūkošu jautājumu, vai uz šādām tiesībām var attiekties tāda procesuālā kārtība, kādu minējusi iesniedzējtiesa.

    20.      Pirms sākt šo analīzi, jāatbild uz Bulgārijas valdības izvirzītajiem iebildumiem attiecībā uz ceturtā prejudiciālā jautājuma pieņemamību. Šī valdība uzskata, ka ceturtais prejudiciālais jautājums būtībā attiecas uz valsts tiesību aktu, kuri vēl neesot pieņemti, saderību ar Direktīvas 2017/1132 16. panta 7. punktu, redakcijā pirms grozījumiem, kas izdarīti ar Direktīvu 2019/1151. Tādēļ šis jautājums esot hipotētisks. Šajā ziņā vēlos norādīt, ka iesniedzējtiesai pēdējā instancē ir jālemj par Aģentūras atteikuma dzēst atsevišķus atbildētājas personas datus, kuri ietverti dokumentā, kas publiskots pēc tā iekļaušanas komercreģistrā, likumību, kā arī par šī atteikuma sekām. Šajā nolūkā iesniedzējtiesai, citastarp, ņemot vērā Direktīvas 2017/1132 un VDAR normas, jāizvērtē, vai šāds atteikums tostarp var būt pamatots ar to, ka minētā dokumenta apliecināta kopija, kurā ir aizklāti attiecīgie personas dati, nav pievienota lietai. Tādējādi lūgtais prejudiciālais nolēmums ir nepieciešams, lai iesniedzējtiesa varētu pieņemt spriedumu tai iesniegtajā lietā. Turklāt, neraugoties uz ceturtā prejudiciālā jautājuma pārprotamo formulējumu, no iesniedzējtiesas nolēmuma skaidri izriet, ka šī jautājuma mērķis nav saņemt atzinumu par vēl nepieņemto valsts tiesību aktu saderību ar Savienības tiesībām, bet gan lūgt Tiesai informāciju par šo tiesību interpretāciju, kas tai ir nepieciešama, lai atrisinātu tajā izskatāmo lietu. Tādējādi ceturtais prejudiciālais jautājums, manuprāt, ir pieņemams.

    3.      Īss pārskats par pienākumu dokumentu publiskošanas jomā un norādes par Direktīvas 2017/1132 II pielikumā minētajām sabiedrībām

    21.      Direktīvas 2017/1132 14. pantā ir paredzēts, ka attiecībā uz šīs direktīvas II pielikumā uzskaitītajiem sabiedrību veidiem dalībvalstis obligāti publicē “vismaz” tajā uzskaitītos dokumentus un ziņas. Obligāti publicējamo dokumentu vidū šīs direktīvas 14. panta a)–c) apakšpunktā ir minēti “inkorporēšanas dokumenti un, ja tie ir iekļauti atsevišķā dokumentā – statūti [dibināšanas dokuments un sabiedrības statūti, ja tie ir atsevišķs dokuments]”, kā arī to grozījumi. Saskaņā ar šīs pašas direktīvas 4. panta i) punktu obligāti sniedzamajā informācijā, kura jānorāda statūtos, dibināšanas dokumentā vai atsevišķā dokumentā, kas tiek publiskots, ietilpst to fizisko vai juridisko personu vai sabiedrību identitāte, kuras ir parakstījušas vai kuru vārdā ir parakstīti statūti vai dibināšanas dokuments. Tā paša 14. panta d) punktā to ziņu vidū, kuru publiskošana ir jānodrošina, ir minētas “ziņas par tām personām, to iecelšanu amatā un atbrīvošanu no amata, kuras kā atbilstoši tiesību aktiem izveidota struktūra vai kā jebkuras šādas struktūras locekļi”, “ir pilnvarotas pārstāvēt sabiedrību darījumos ar trešām personām un tiesvedībās” un/vai “piedalās sabiedrības pārvaldē, uzraudzībā vai kontrolē”. Atbilstoši Direktīvas 2017/1132, kas grozīta ar Direktīvu 2019/1151, 16. panta 2. punktam visi dokumenti un informācija, kas jāpublisko saskaņā ar 14. pantu, tiek pievienoti šī panta 1. punktā minētajai lietai, ko izveido centrālajā, komercreģistrā vai uzņēmumu reģistrā, vai tiek tieši ievadīti reģistrā (14). Kā noteikts šīs direktīvas, kas grozīta ar Direktīvu 2019/1151, 16. panta 3. un 4. punktā, dalībvalstis raugās, lai tās 14. pantā minēto dokumentu un informācijas publiskošana tiktu nodrošināta, padarot tos publiski pieejamus reģistrā. Turklāt dalībvalstis var arī pieprasīt, lai visi minētie dokumenti un informācija vai daļa no tiem tiktu publicēti valsts oficiālajā laikrakstā, kas izraudzīts šim nolūkam, vai izmantojot līdzvērtīgi iedarbīgus līdzekļus. Dalībvalstis veic visus nepieciešamos pasākumus, lai novērstu jebkādas pretrunas starp reģistra un lietas saturu, kā arī starp to, kas publicēts reģistrā, un to, kas publicēts oficiālajā laikrakstā.

    22.      Attiecībā uz iepriekš minētajām Direktīvā 2017/1132 izvirzītajām prasībām var paust šādus apsvērumus.

    23.      Pirmkārt, Direktīvā 2017/1132 ir paredzēta obligāta visa sabiedrības dibināšanas dokumenta, kā arī tā grozījumu publiskošana un pieejamība, izmantojot reģistru (15).

    24.      Otrkārt, attiecībā uz šīs direktīvas II pielikumā minētajām sabiedrībām tajā ir noteikta prasība publiskot un, izmantojot reģistru, darīt pieejamu tikai informāciju par atsevišķām personu kategorijām, proti, konkrēti par tām personām, kuras ir pilnvarotas radīt sabiedrībai saistības vai kuras piedalās sabiedrības pārvaldē, uzraudzībā vai kontrolē. Saskaņā ar minētās direktīvas 4. panta i) punktu jāpublisko arī to fizisko personu identitāte, kuras parakstījušas sabiedrības dibināšanas dokumentu.

    25.      Treškārt, šī informācija, kas attiecas uz identificētām vai identificējamām fiziskām personām, ir “personas dati” atbilstoši VDAR 4. panta 1. punktam (16).

    26.      Ceturtkārt, iepriekš minētajās Direktīvas 2017/1132 normās ir ietvertas tikai minimālās prasības dokumentu un informācijas par sabiedrībām publiskošanas jomā. Tādējādi dalībvalstīm konkrēti jānosaka, kādas informācijas kategorijas par šīs direktīvas 4. panta i) punktā un 14. panta d) punktā minēto personu identitāti tiek obligāti publiskotas. Turklāt dalībvalstis var brīvi attiecināt šādu publiskošanu arī uz citiem dokumentiem vai citām ziņām, kuras attiecīgā gadījumā attiecas uz citām personu kategorijām. Pats par sevi saprotams, ka, to īstenojot, tām jāievēro visas Savienības tiesību normas un it īpaši principi, kas iekļauti Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 8. pantā un 52. panta 1. punktā, un VDAR normas.

    4.      Par pārzini

    27.      VDAR 4. panta 7. punktā jēdziens “pārzinis” ir definēts plaši kā fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām “nosaka personas datu apstrādes nolūkus un līdzekļus”. Šīs plašās definīcijas nolūks atbilstoši šīs regulas mērķim ir nodrošināt fizisko personu pamattiesību un brīvību efektīvu aizsardzību, kā arī tostarp ikvienas personas tiesību uz savu personas datu augsta līmeņa aizsardzību (17). Arī jēdziens “apstrāde” tiek definēts plaši (18). Atbilstoši VDAR 4. panta 2. punktam šajā regulā “apstrāde” ir “jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana”.

    28.      No sprieduma Manni izriet, ka, ievadot un saglabājot komercreģistrā informāciju par Direktīvas 2017/1132 14. panta d) punktā minēto personu identitāti un paziņojot šo informāciju, par šī reģistra uzturēšanu atbildīgā iestāde veic “personas datu apstrādi”, attiecībā uz kuru tā ir “pārzinis” VDAR 4. panta 2. un 7. punktā sniegto definīciju izpratnē. Tas pats, protams, attiecas uz gadījumiem, kad ieraksts minētajā reģistrā, glabāšana un paziņošana attiecas uz personas datiem, kas nav skaidri minēti šajā direktīvā, ja šo datu publiskošana ir prasīta dalībvalsts tiesībās.

    29.      Tomēr jautājums, kas rodas šajā lietā, ir par to, vai šāda iestāde – šajā gadījumā Aģentūra – ir atbildīga par tādu personas datu publiskošanu, kurus publiskot nav prasīts nedz Direktīvā 2017/1132, nedz attiecīgās dalībvalsts – šajā gadījumā Bulgārijas – tiesībās, bet kuri ir ietverti dokumentā, kura ierakstīšana un izpaušana ir obligāta.

    30.      Manuprāt, uz šo jautājumu ir jāatbild apstiprinoši.

    31.      Proti, OL personas datu publiskošana komercreģistrā notika, īstenojot Aģentūrai kā iestādei, kas atbildīga par šī reģistra uzturēšanu, piešķirtās pilnvaras. Kā minēts iepriekš, Bulgārijas tiesību aktos ir paredzēts, ka pieteikumam par sabiedrības reģistrāciju minētajā reģistrā pievieno publiskojamo dokumentu, tostarp sabiedrības līguma, oriģinālu vai apliecinātu kopiju, kas Aģentūrai ir jāpublisko. Personas datu apstrādes, ko Aģentūra veic, pildīdama savu uzdevumu, mērķus un līdzekļus nosaka Bulgārijas tiesības, kā arī Savienības tiesības, – ar kurām, kā redzējām, ir tuvināti dalībvalstu tiesību akti publiskošanas jomā attiecībā uz sabiedrībām. Tādējādi Aģentūra kā iestāde, kas atbildīga par komercreģistrā ierakstītajos dokumentos ietverto personas datu apstrādi saskaņā ar Bulgārijas un Savienības tiesību aktos noteiktajiem mērķiem un līdzekļiem, ir uzskatāma par “pārzini” VDAR 4. panta 7. punkta izpratnē. Vēlos norādīt, ka Tiesa nesen, 2024. gada 11. janvāra spriedumā État belge (Oficiālā laikraksta apstrādāti dati) (19), nonāca pie līdzīga secinājuma attiecībā uz valsts iestādi, kura saskaņā ar likumu ir atbildīga par dalībvalsts oficiālā laikraksta uzturēšanu.

    32.      Šaubas par šo secinājumu nerada apstāklis, ka šajā gadījumā 2020. gada sabiedrības līgumā ietvertie dati nav to datu vidū, kas saskaņā ar Bulgārijas tiesībām ir jāpublisko. Pirmkārt, to, ka šāds apstāklis neietekmē pārziņa identifikāciju, Tiesa netieši atzinusi spriedumā État belge. Proti, pamatlietā, kurā tika taisīts minētais spriedums, tāpat kā lietā, kas ir izskatāmā lūguma sniegt prejudiciālu nolēmumu pamatā, strīds bija par datiem, kurus attiecīgās dalībvalsts tiesību aktos nebija prasīts publiskot. Otrkārt, Reģistru likuma 13. panta 9. punktā ir tieši paredzēts, ka gadījumā, ja pieteikuma iesniedzējs neiesniedz publiskojamā dokumenta apliecinātu kopiju, kurā ir aizklāti personas tie dati, kas nav prasīti, Aģentūra šos datus apstrādā un publisko, pamatojoties uz prezumētu netiešu piekrišanu. Tādēļ pat šādos apstākļos Bulgārijas tiesību aktos Aģentūra ir tieši norādīta kā pārzinis.

    33.      Šajos apstākļos nevaru piekrist Aģentūras rakstveida apsvērumos paustajam apgalvojumam, ka tad, ja pieteikuma iesniedzējs neaizklāj likumā neprasītu informāciju, kas ietverta dokumentos, kurus tas nosūta ierakstīšanai reģistrā, pieteikuma iesniedzējs pats kļūst par pārzini attiecībā uz apstrādi, kas ietver šo datu ievietošanu tiešsaistē šajā reģistrā. Proti – neatkarīgi no jautājuma, vai piekrišana šīs informācijas publiskošanai var tikt likumīgi dota, izmantojot Reģistru likuma 13. panta 9. punktā paredzēto prezumpciju, – šādas piekrišanas esamība nekādi nevar ietekmēt to, kā tiek noteikts datu pārzinis, bet gan var ietekmēt tikai datu apstrādes likumību.

    34.      Tāpat nav nozīmes arī Aģentūras uzsvērtajam apstāklim, ka dokumenti, kas iesniegti saistībā ar pieteikumu par reģistrāciju komercreģistrā, nav strukturēti vai mašīnlasāmi dati – atšķirībā no minētā reģistra skaitļu laukiem, kurus aizpilda darbinieks, kas veic reģistrāciju, un kuri atbilst “reģistra” legāldefinīcijai, kas sniegta Bulgārijas tiesībās. Proti, Aģentūra ir iestāde, kas saskaņā ar Bulgārijas tiesību aktiem ir atbildīga par komercreģistra uzturēšanu, un tādēļ tā ir visu tajā publicēto personas datu pārzine neatkarīgi no tā, vai šie dati ir ietverti pieteikumam pievienotajā dokumentā, vai arī tos ievada Aģentūras ierēdnis. Tādējādi pat tad, ja tā pati digitāli nepārveido saņemtos dokumentus, tā tomēr ir atbildīga par šo dokumentu un tajos ietverto datu izpaušanu, izmantojot reģistru. Vispārīgāk, pildīdama savu uzdevumu sabiedrības interesēs, Aģentūra vāc, reģistrē, glabā, organizē un sakārto visus saņemtos datus un dokumentus strukturētā datubāzē, kas ir atzīta par uzticamu un autentisku informācijas avotu.

    35.      Visbeidzot – šaubas par Aģentūras kā “pārziņa” VDAR 4. panta 7. punkta nozīmē statusu nerada nedz fakts, ka Aģentūra pirms ievietošanas tiešsaistē nepārbauda personas datus, kas ietverti reģistrācijas nolūkā nosūtīto dokumentu elektroniskajos attēlos vai papīra formāta oriģinālos, nedz arī fakts, ka tā nevar grozīt vai labot šos datus. Šajā ziņā atgādinu, ka Tiesai jau ir bijusi iespēja noraidīt līdzīga satura argumentus spriedumā État belge attiecībā uz trešo personu sagatavotu dokumentu publicēšanu dalībvalsts oficiālajā laikrakstā, kuri pēc tam iesniegti tiesu iestādē un nosūtīti par šo laikrakstu atbildīgajai iestādei, lai tos publiskotu. Minētā sprieduma 38. punktā Tiesa, pirmkārt, norādīja, ka šo dokumentu publicēšana bez iespējas pārbaudīt vai grozīt to saturu ir nesaraujami saistīta ar oficiālā laikraksta lomu, kura aprobežojas ar sabiedrības informēšanu par to esamību saskaņā ar piemērojamām valsts tiesībām, lai padarītu tos saistošus trešajām personām. Otrkārt, tā precizēja, ka VDAR 4. panta 7. punkta mērķim –nodrošināt efektīvu un visaptverošu fizisko personu aizsardzību attiecībā uz viņu personas datu apstrādi – būtu pretrunā izslēgt dalībvalsts oficiālo laikrakstu no “pārziņa” jēdziena, pamatojoties uz to, ka tas neveic šādu datu pārbaudi. Līdzīgi apsvērumi mutatis mutandis attiecas uz dokumentu publiskošanu dalībvalstu uzņēmumu reģistros. Proti, kā iepriekš minētajā spriedumā bija attiecībā uz Moniteur belge, lai gan Aģentūrai tik tiešām jāpublicē attiecīgais dokuments tāds, kāds tas iesniegts, tomēr tikai Aģentūra pati veic šo uzdevumu un pēc tam izplata attiecīgo dokumentu (20).

    36.      Šajā stadijā rodas jautājums, vai Aģentūra ir uzskatāma par vienīgo attiecīgo datu pārzini un tādējādi par atbildīgo par VDAR 5. panta 1. punktā minēto principu ievērošanas nodrošināšanu, vai arī tā dala šo atbildību ar pieteikuma iesniedzēju, kas rīkojas komercsabiedrības vārdā, tādēļ, ka tas nav nosūtījis Aģentūrai 2020. gada sabiedrības līguma kopiju, kurā minētie dati būtu aizklāti.

    37.      Šajā ziņā vispirms atgādinu, ka VDAR 26. panta 1. punktā ir paredzēts, ka divas vai vairāk personas var uzņemties kopīgu atbildību par šo apstrādi un ka to attiecīgie pienākumi var tikt noteikti, tām savstarpēji vienojoties, vai arī ar Savienības tiesībām vai tās valsts tiesībām, kas piemērojamas pārziņiem (21). Šajā ziņā Tiesa ir precizējusi, ka kvalificēšana par “kopīgiem pārziņiem” izriet no tā, ka apstrādes nolūku un līdzekļu noteikšanā ir piedalījušās vairākas struktūras (22). Savukārt, ja šādas dalības nav, kopīga atbildība par šo apstrādi ir izslēgta, un dažādie tiesību subjekti ir jāuzskata par neatkarīgiem un secīgiem pārziņiem. Kā norādījis EDAU, to pašu datu vai datu kopu apmaiņa starp divām struktūrām, kopīgi nenosakot apstrādes nolūkus vai līdzekļus, būtu jāuzskata par atsevišķu pārziņu savstarpēji veiktu datu paziņošanu (23).

    38.      Tādējādi tas vien, ka Aģentūra vienlaikus ir “pārzinis” VDAR 4. panta 7. punkta izpratnē un “saņēmējs” šī panta 9. punkta izpratnē, jo tai tiek paziņoti personas dati, kas ietverti dokumentos, kuri pievienoti pieteikumam par reģistrāciju komercreģistrā, neļauj izslēgt, ka tā viena pati uzņemas atbildību par šo datu publiskošanu. Proti, šāda publiskošana, kā arī tai iesniegtajos dokumentos ietverto datu digitālā pārveidošana, ja tāda notiek, un to glabāšana ir apstrāde, kas ir nošķirta no datu nosūtīšanas, ko pieteikuma iesniedzējs veic sabiedrības reģistrācijas nolūkā, un kas notiek pēc šīs nosūtīšanas. Tomēr tikai Aģentūra pati veic visu šo apstrādi saistībā ar tai uzticēto uzdevumu sabiedriskās kārtības jomā un saskaņā ar Bulgārijas tiesību aktos noteiktajiem mērķiem un kārtību (24).

    39.      Protams, no vienas puses, Tiesa spriedumā État belge (25) ir precizējusi, ka, lai personu varētu uzskatīt par kopīgu pārzini, pietiek ar to, ka tā sev raksturīgajos nolūkos ietekmē personas datu apstrādi un līdz ar to piedalās šīs apstrādes nolūku un līdzekļu noteikšanā (26). Tomēr šajā gadījumā no Tiesas rīcībā esošajiem lietas materiāliem izriet, ka to datu apstrādes mērķi un līdzekļi, kas ietverti dokumentos, kuri jāpublisko, izmantojot komercreģistru, tiek noteikti tikai ar likumu. Tiesību subjektiem, kuri sabiedrības uzdevumā minētā reģistra datubāzē augšuplādē dokumentus un informāciju, ko likumā ir prasīts publiskot (27), nav nekādas ietekmes uz šo noteikšanu, un tādēļ tie nevar tikt atzīti par atbildīgiem – vairāk nekā pati sabiedrība – par to datu turpmāku apstrādi, kurus tie paziņo Aģentūrai, tostarp par šo datu publiskošanu, izmantojot šī reģistra elektronisko datubāzi. Turklāt, nosūtot Aģentūrai publiskojamos dokumentus un apstrādājot tajos ietvertos datus, šie subjekti cenšas sasniegt savus mērķus, proti, izpildīt formalitātes, kas vajadzīgas sabiedrības reģistrācijai, un šie mērķi atšķiras no publiskajiem mērķiem, kas noteikti reģistram un ko ievēro Aģentūra, kad tā nodrošina šādu dokumentu publiskošanu (28).

    40.      No otras puses, spriedumā État belge Tiesa ir atzinusi, ka apstrādes ķēdē, kurā iesaistītas dažādas personas vai struktūras un kura attiecas uz vieniem un tiem pašiem personas datiem, valsts tiesībās var noteikt visas apstrādes, ko secīgi veic šīs dažādās personas vai struktūras, nolūkus un līdzekļus tādējādi, lai tās varētu uzskatīt par kopīgi atbildīgām par apstrādi (29). Tātad saskaņā ar VDAR 26. panta 1. punktu, lasot to kopsakarā ar 4. panta 7. punktu, vairāku subjektu kopīga atbildība par vienu un to pašu personas datu apstrādi var tikt noteikta valsts tiesībās, ja vien dažādās apstrādes darbības vieno šajās tiesībās noteikti mērķi un līdzekļi un ja valsts tiesībās tieši vai netieši ir paredzēti katra kopīgā pārziņa attiecīgie pienākumi (30). Manuprāt, tā tas nav attiecībā uz Reģistru likuma 13. panta 6. un 9. punktu, kurā noteikts vienīgi tas, ar kādiem nosacījumiem saskaņā ar Bulgārijas tiesību aktiem piekrišanu tādu personas datu publicēšanai komercreģistrā, kuri nav jāpublicē, ir likumīgi devis datu subjekts. Proti, šīs normas mērķis nav noteikt pieteikuma iesniedzēja kopīgu atbildību par šo datu turpmāku apstrādi, bet gan drīzāk precizēt Aģentūras veiktās apstrādes likumības pamatu. Turklāt, kā jau uzsvēru, sabiedrības izvirzītie privātie mērķi atšķiras no Aģentūras izvirzītajiem publiskajiem mērķiem, tādēļ spriedumā État belge paredzētie nosacījumi tam, lai varētu tikt uzskatīts, ka to kopīgā atbildība “par vienu un to pašu personas datu apstrādes ķēdi” ir noteikta Bulgārijas tiesībās, manuprāt, nav izpildīti.

    41.      Pamatojoties uz visiem iepriekš izklāstītajiem apsvērumiem, uzskatu, ka VDAR 4. panta 7. punkts un 26. panta 1. punkts jāinterpretē tādējādi, ka par dalībvalsts komercreģistra uzturēšanu atbildīgā iestāde, kam saskaņā ar šīs valsts tiesību aktiem jānodrošina tai nosūtīto dokumentu publiskošana saistībā ar pieteikumu par sabiedrības reģistrāciju šajā reģistrā, vienīgā ir atbildīga par šajos dokumentos ietverto personas datu publiskošanu, pat ja jautājums ir par datiem, kurus nav prasīts publicēt un kuri atbilstoši šiem tiesību aktiem bija jāaizklāj pirms šo dokumentu nosūtīšanas minētajai iestādei.

    5.      Par apstrādes likumības pamatu

    42.      Ikvienai personas datu apstrādei jāatbilst datu apstrādes principiem, kuri noteikti VDAR 5. panta 1. punktā, un nosacījumiem, kas ietverti šīs regulas 6. pantā (31), kurā paredzēts izsmeļošs un ierobežojošs to gadījumu uzskaitījums, kuros šādu apstrādi var uzskatīt par likumīgu (32). Saskaņā ar VDAR 6. panta 1. punkta pirmās daļas a) apakšpunktu personas datu apstrāde ir likumīga tādā apmērā un tikai tad, ja datu subjekts ir devis tai piekrišanu vienam vai vairākiem konkrētiem nolūkiem. Ja šādas piekrišanas nav vai ja piekrišana nav dota brīvi, konkrēti, apzināti un viennozīmīgi, paziņojuma vai skaidri apstiprinošas darbības veidā VDAR 4. panta 11. punkta izpratnē, tad šāda apstrāde tomēr ir pamatota, ja tā atbilst kādai no minētās regulas 6. panta 1. punkta pirmās daļas b) līdz f) apakšpunktā minētajām nepieciešamības prasībām, kuras jāinterpretē šauri (33).

    43.      Šajā gadījumā Reģistru likuma 13. panta 9. punktā noteiktās piekrišanas prezumēšana acīmredzami neatbilst nosacījumiem, kas izvirzīti VDAR 6. panta 1. punkta pirmās daļas a) apakšpunktā, lasot to kopsakarā ar šīs regulas 4. panta 11. punktu (34). Tādējādi jāpārbauda, vai tāda datu apstrāde, kāda aplūkota tiesvedībā pamatlietā, atbilst kādam citam pamatojumam, kas noteikts minētās regulas 6. panta 1. punkta pirmajā daļā.

    44.      No sprieduma Manni izriet, ka personas datu apstrāde, ko iestāde, kura atbildīga par reģistra uzturēšanu, veic, īstenodama Savienības tiesību aktus, ar ko tiek koordinētas valsts tiesību normas sabiedrību dokumentu publiskošanas jomā, atbilst tostarp VDAR 6. panta 1. punkta pirmās daļas c) un e) apakšpunktā paredzētajiem likumības pamatojumiem, no kuriem pirmais attiecas uz pārzinim uzlikta likumiska pienākuma izpildi, un otrais – uz tāda uzdevuma izpildi, kas tiek veikts plašas sabiedrības interesēs vai īstenojot pārzinim piešķirtās oficiālās pilnvaras. Tādēļ mana analīze būs vērsta uz šiem abiem pamatojumiem.

    45.      Pirmām kārtām, attiecībā uz VDAR 6. panta 1. punkta pirmās daļas c) apakšpunktā paredzēto pamatojumu, vispirms jāpārbauda, vai tiesvedībā pamatlietā aplūkoto tādu personas datu publiskošana komercreģistrā, kuri neietilpst informācijā, kas jāpublicē saskaņā ar Direktīvu 2017/1132 vai Bulgārijas tiesībām, bija pamatota ar prasību nodrošināt šīs direktīvas 14. pantā minēto dokumentu publiskošanu un tādējādi bija nepieciešama, lai izpildītu no Savienības tiesībām izrietošu likumisku pienākumu.

    46.      Atbilstoši minētās direktīvas 16. panta 3. punktam dalībvalstis nodrošina, ka šie dokumenti tiek padarīti publiski pieejami šī panta 1. punkta pirmajā daļā minētajā reģistrā. Vācijas, Īrijas un Polijas valdības būtībā uzskata, ka saskaņā ar šo pantu, lasot to kopsakarā ar iepriekš minēto 14. pantu, iestādēm, kas atbildīgas par reģistra uzturēšanu, minētie dokumenti jāpublicē tādi, kādus šīs iestādes tos ir saņēmušas. Tādējādi tām esot pienākums apstrādāt visus tajos ietvertos personas datus, tostarp datus, kas nav prasīti saskaņā ar Savienības tiesībām vai piemērojamām valsts tiesībām.

    47.      Es šai interpretācijai nepiekrītu. Proti, Direktīvā 2017/1132 ir paredzēts, ka daži sabiedrību pamatdokumenti ir obligāti jāpublicē un ka šī publicēšana tiek veikta, izmantojot reģistru, bet tajā nav prasīts sistemātiski apstrādāt visus minētajos dokumentos ietvertos personas datus – pat tad, ja šāda apstrāde būtu pretrunā VDAR normām. Gluži pretēji, kā jau iepriekš atgādināju, šīs direktīvas, kas grozīta ar Direktīvu 2019/1151, 161. pantā ir paredzēts, ka uz jebkuru personas datu apstrādi, kas tiek veikta saistībā ar šo direktīvu, attiecas minētā regula. Tādējādi dalībvalstīm ir jāatrod pareizais līdzsvars starp tiesiskās drošības un trešo personu interešu aizsardzības mērķiem – kuri, kā tūlīt redzēsim, ir pamatā noteikumiem sabiedrību dokumentu publiskošanas jomā – un pamattiesībām uz personas datu aizsardzību.

    48.      Turpinājumā jāpārbauda, vai tiesvedībā pamatlietā aplūkotā datu publicēšana komercreģistrā bija nepieciešama, lai izpildītu Bulgārijas tiesībās paredzēto pienākumu. Šajā ziņā atgādinu, ka Reģistru likuma 2. panta 2. punktā ir paredzēts, ka komercreģistrā iekļaujamos dokumentus “publisko bez informācijas, kas veido personas datus [VDAR] 4. panta 1. punkta izpratnē, izņemot informāciju, kas ir jāpublisko saskaņā ar likumu”. Tādējādi nešķiet, ka tiesvedībā pamatlietā aplūkotās datu apstrādes likumību varētu pamatot ar “[likumisku] pienākumu” VDAR 6. panta 1. punkta pirmās daļas c) apakšpunkta izpratnē, kurš Aģentūrai esot bijis noteikts saskaņā ar Bulgārijas tiesībām, ko turklāt, šķiet, apstiprina ar Reģistru likuma 13. panta 9. punktu ieviestā piekrišanas prezumpcija. Tomēr par šo jautājumu jālemj iesniedzējtiesai, kas ir vienīgā, kuras kompetencē ir interpretēt valsts tiesības. Šeit vienīgi precizēšu, ka tikai ar to, ka ar Aģentūras minēto faktu, ka tad, ja nav kopijas, kurā ir apslēpti tie personas dati, kuri nav noteikti likumā, tai ir jāpublicē dokuments tāds, kāds tas [šai iestādei] ir nosūtīts, manuprāt, nepietiek, lai raksturotu “juridisku [likumisku] pienākumu” VDAR 6. panta 1. punkta pirmās daļas c) apakšpunkta izpratnē, ņemot vērā to, ka šāda publicēšana a priori ir izslēgta ar likumu un ka Aģentūra to veic, tikai pamatojoties uz prezumētu piekrišanu (35). Šajā ziņā ir svarīgi uzsvērt, ka pārzinim jāpārliecinās, ka tā veiktā datu apstrāde ir “likumīga”, ņemot vērā šīs regulas 6. panta 1. punkta pirmās daļas a) līdz f) apakšpunktā izvirzītos nosacījumus (36).

    49.      Otrām kārtām, attiecībā uz VDAR 6. panta 1. punkta pirmās daļas e) apakšpunktā minēto pamatojumu, uz ko atsaucas gan iesniedzējtiesa, gan lielākā daļa dalībvalstu, kuras iesniegušas apsvērumus šajā tiesvedībā, atgādinu, ka Tiesai jau ir bijusi iespēja atzīt, ka valsts iestādes darbība, kas izpaužas kā tādu datu saglabāšana datubāzē, kuri sabiedrībām jāpaziņo atbilstoši likumiskajiem pienākumiem – kā atļaujas došana ieinteresētajām personām iepazīties ar šiem datiem un kā šo datu kopiju izsniegšana – ir saistīta ar oficiālu pilnvaru īstenošanu (37) un veido uzdevumu sabiedrības interesēs šīs normas izpratnē (38). Kā ģenerāladvokāts Ī. Bots [Y. Bot] apliecinājis secinājumos lietā, kurā pieņemts spriedums Manni, būtiskas informācijas par sabiedrībām reģistrācijas un publiskošanas komercreģistrā un uzņēmumu reģistrā mērķis ir izveidot uzticamu informācijas avotu un tādējādi panākt tiesisko drošību, kas nepieciešama trešo personu, it īpaši kreditoru, interešu aizsardzībai, nodrošināt taisnīgus tirdzniecības darījumus un līdz ar to tirgus pienācīgu darbību (39). Turklāt, kā Tiesa ir uzsvērusi, visu atbilstošo datu uzglabāšana šajos reģistros un šo datu pieejamība trešām personām palīdz veicināt tirdzniecību starp dalībvalstīm, arī iekšējā tirgus attīstības perspektīvā (40).

    50.      Šajā gadījumā rodas jautājums, vai uz šiem mērķiem un VDAR 6. panta 1. punkta pirmās daļas e) apakšpunktā paredzēto likumības pamatojumu var atsaukties saistībā ar to, ka Aģentūra ir publiskojusi tiesvedībā pamatlietā aplūkotos personas datus, kas nav to datu vidū, kuri saskaņā ar Savienības tiesībām vai Bulgārijas tiesībām obligāti jāpublicē.

    51.      Šajā ziņā atgādinu, ka VDAR 6. panta 3. punktā, lasot to kopsakarā ar tās 45. apsvērumu, attiecībā uz šīm abām likumības hipotēzēm it īpaši ir precizēts, ka apstrādei jābūt pamatotai ar Savienības tiesībām vai tās dalībvalsts tiesībām, kas piemērojamas pārzinim, un ka šim juridiskajam pamatam jāatbilst sabiedrības interešu mērķim un jābūt samērīgam ar izvirzīto leģitīmo mērķi (41). Nešķiet, ka kāda no šīm prasībām – par kurām Tiesa ir precizējusi, ka tajās izpaužas no Hartas 52. panta 1. punkta izrietošās prasības (42), – būtu izpildīta šajā lietā, kas attiecas uz personas datu apstrādi, kura, lai gan tiek veikta uzdevuma sabiedrības interesēs izpildes gadījumā VDAR 6. panta 1. punkta pirmās daļas e) apakšpunkta izpratnē, a priori netiek uzskatīta par nepieciešamu tā izpildei nedz saskaņā ar piemērojamiem valsts tiesību aktiem, nedz komercreģistram noteikto mērķu sasniegšanai, un kura ir atļauta tikai pamatojoties uz datu subjekta prezumētu piekrišanu.

    52.      Vispārīgāk jāuzsver, ka tādu personas datu publicēšana, kas nav prasīti Savienības tiesībās vai attiecīgās dalībvalsts tiesībās, nepalīdz sasniegt nevienu no mērķiem, kuri izklāstīti šo secinājumu 49. punktā (43) un kuri vienīgie attaisno iejaukšanos datu subjektu tiesībās uz privātās dzīves neaizskaramību un personas datu aizsardzību, kas garantētas Hartas 7. un 8. pantā (44). Turklāt, kā Tiesa uzsvērusi spriedumā Manni, tieši tādēļ, ka publicēšana principā ir paredzēta tikai attiecībā uz ierobežotu personas datu skaitu – proti, datiem, kas attiecas uz to personu identitāti un attiecīgajiem amatiem, kurām ir pilnvaras radīt saistības attiecīgajai sabiedrībai, un kas tādējādi ir nepieciešami, lai aizsargātu trešo personu intereses –, šāda iejaukšanās netiek uzskatīta par nesamērīgu (45).

    53.      Bulgārijas valdība un Aģentūra būtībā apgalvo, ka tiesvedībā pamatlietā aplūkotā apstrāde Bulgārijas tiesībās ir pamatota ar prasību nodrošināt sabiedrību pamatdokumentu publiskošanu, saglabāt to integritāti un uzticamību un netraucēt Aģentūrai pildīt savu uzdevumu sabiedrības interesēs. Pieņemot, ka iesniedzējtiesa nonāktu pie tāda paša secinājuma, tai vēl būtu jāpārliecinās, ka tiek ievērots samērīguma princips. Saskaņā ar šo principu pamattiesību uz personas datu aizsardzību ierobežojumi jāīsteno, ciktāl tas ir noteikti nepieciešams (46), kā tas nav gadījumā, kad izvirzīto vispārējo interešu mērķi saprātīgi varētu tikpat efektīvi sasniegt ar citiem līdzekļiem, kas mazāk aizskartu šīs tiesības (47). Tāpat ir jāatgādina, ka VDAR 5. panta 1. punkta c) apakšpunktā ir paredzēts, ka personas datiem ir jābūt adekvātiem [un] atbilstīgiem un tie nedrīkst būt pārmērīgi, ņemot vērā to apstrādes nolūkus, un dalībvalstīm ir prasīts ievērot “datu minimizēšanas” principu, kas ir samērīguma principa izpausme (48).

    54.      Man šķiet, ka mērķis nodrošināt sabiedrību pamatdokumentu publiskošanu var saprātīgi tikt sasniegts, ieviešot procedūras, kas ļauj personas datus, kuru publiskošana nav prasīta, pirms publicēšanas aizklāt. Šīs procedūras tostarp var ietvert Aģentūras pienākumu apturēt sabiedrības reģistrāciju, lai varētu grozīt dokumentus, kuros ir iekļauti šādi dati, vai attiecīgā gadījumā pēc savas ierosmes veikt šādu datu dzēšanu.

    55.      Argumentus – kurus izvirzījušas vairākas dalībvalstis, kas iesniegušas apsvērumus šajā tiesvedībā –, saskaņā ar kuriem šādu procedūru ieviešana varētu kavēt pieteikumu par sabiedrības reģistrāciju uzņēmumu reģistrā izskatīšanu, it īpaši kaitējot dalībnieku interesēm, vai pārmērīgi noslogot valsts iestādes, manuprāt, nevar atbalstīt. Proti, no vienas puses, šīs procedūras ir nepieciešamas, lai saskaņotu intereses, kas tiek īstenotas, publicējot sabiedrības dokumentus, ar pamattiesībām uz personas datu aizsardzību, it īpaši tad, ja, kā esmu uzsvērusi šo secinājumu 16. punktā, attiecīgos personas datus ir paredzēts bez ierobežojumiem publiskot digitalizētā vidē. No otras puses, tās varētu balstīties uz datu meklēšanas un identifikācijas rīkiem, kas ļautu atvieglot šo iestāžu uzdevumu, un tās varētu būt izstrādātas tā, lai sākotnēji pieteikuma iesniedzējiem būtu noteikts pienākums aizklāt personas datus, kurus nedrīkst izpaust, kā turklāt ir paredzēts Bulgārijas tiesībās.

    56.      Attiecībā uz prasību saglabāt to obligāti publicējamo sabiedrības dokumentu integritāti un uzticamību, kuri tiek nosūtīti ierakstīšanai uzņēmumu reģistrā – ko minējušas arī Bulgārijas valdība un Aģentūra, kā arī lielākā daļa dalībvalstu, kuras iesniegušas apsvērumus šajā tiesvedībā –, saskaņā ar kuru šie dokumenti esot jāpublicē tādi, kādi tie ir nosūtīti iestādēm, kas atbildīgas par šī reģistra uzturēšanu, manuprāt, šī prasība nevar sistemātiski būt pārāka pār pamattiesībām uz personas datu aizsardzību, jo pretējā gadījumā šī aizsardzība kļūtu tikai iluzora.

    57.      Proti, sliecos domāt, ka šī prasība var pamatot vienīgi to šajos dokumentos ietverto personas datu glabāšanu, kuri nav obligāti jāpublicē, bet ne to publicēšanu bez jebkādiem ierobežojumiem reģistra datubāzē, kas ir pieejama sabiedrībai. Precīzāk, uzskatu, ka šo dokumentu kopijas publiskošana, kurā aizklāti personas dati, kas nav prasīti, un oriģināla glabāšana lietā ļautu izveidot pareizu līdzsvaru starp šo prasību un datu subjektu datu aizsardzību. Tātad iespējamā piekļuve dokumenta oriģinālam un visiem tajā ietvertajiem datiem var būt atļauta tikai atsevišķos gadījumos, ja pastāv leģitīmas intereses, kas to attaisno, – tostarp dokumenta autentiskuma pārbaude – un ievērojot VDAR normas.

    58.      Šajā ziņā pretēji tam, ko it īpaši apgalvo Īrijas valdība, uzskatu, ka Direktīvas 2017/1132, kas grozīta ar Direktīvu 2019/1151, 16.a pants, ciktāl tajā paredzēts, ka “dalībvalstis nodrošina, ka visu 14. pantā minēto dokumentu [..] kopijas vai jebkuras to daļas kopijas var iegūt no reģistra”, nenozīmē, ka dalībvalstīm būtu pienākums atļaut neierobežotu piekļuvi visiem šiem dokumentiem. Savukārt, kā jau norādīju, Direktīvas 2017/1132, kas grozīta ar Direktīvu 2019/1151, 161. pantā dalībvalstīm ir noteikts pienākums ieviest procedūras, kuras ļauj nodrošināt, ka, pildot tām uzticēto uzdevumu sabiedrības interesēs, iestādes, kas atbildīgas par uzņēmumu reģistra uzturēšanu, ievēro visas VDAR normas.

    59.      Pamatojoties uz visiem iepriekš minētajiem apsvērumiem, domāju, ka nevar uzskatīt, ka tiesvedībā pamatlietā aplūkotā datu apstrāde būtu pamatota ar atbildētājas pamatlietā piekrišanu VDAR 6. panta 1. punkta pirmās daļas a) apakšpunkta izpratnē, lasot to kopsakarā ar šīs regulas 4. panta 11. punktu. Neskarot pārbaudes, kas jāveic iesniedzējtiesai, man šķiet, ka šī apstrāde neatbilst nedz VDAR 6. panta 1. punkta pirmās daļas c) apakšpunktā paredzētajiem likumības nosacījumiem, nedz arī nosacījumiem, kuri paredzēti šī panta e) apakšpunktā, lasot to kopsakarā ar šīs regulas 6. panta 3. punktu. Pilnības labad piebildīšu, ka minētā apstrāde, visticamāk, neietilpst arī VDAR 6. panta 1. punkta pirmās daļas f) apakšpunkta piemērošanas jomā, kas attiecas uz personas datu apstrādi, kura nepieciešama pārziņa leģitīmo interešu ievērošanai. Proti, kā Tiesa jau ir precizējusi, no VDAR 6. panta 1. punkta otrās daļas formulējuma skaidri izriet, ka personas datu apstrāde, ko veic publiska iestāde, pildot savus uzdevumus, nevar ietilpt VDAR 6. panta 1. punkta pirmās daļas f) apakšpunkta piemērošanas jomā, jo šīs normas piemērošana un šīs regulas 6. panta 1. punkta pirmās daļas e) apakšpunkta piemērošana izslēdz viena otru (49). Šajā gadījumā tiesvedībā pamatlietā aplūkoto personas datu apstrādi Aģentūra veic tai uzticētā uzdevuma sabiedrības interesēs izpildes gadījumā, kas uzreiz izslēdz VDAR 6. panta 1. punkta pirmās daļas f) apakšpunkta piemērošanu, neatkarīgi no jautājuma, vai tā atbilst VDAR 6. panta 3. punktā paredzētajiem nosacījumiem.

    60.      Tādējādi nav izslēgts, ka iesniedzējtiesa secinās, ka tiesvedībā pamatlietā aplūkotā datu apstrāde ir bijusi nelikumīga, jo nav izpildīts kāds no VDAR 6. panta 1. punktā paredzētajiem pamatojumiem.

    6.      Tiesības uz dzēšanu

    61.      Ar VDAR 17. pantu ir ieviestas datu subjekta tiesības tādu uz personas datu dzēšanu, kuri uz viņu attiecas, ja ir piemērojams kāds no šī panta 1. punktā uzskaitītajiem pamatojumiem, un pārzinim attiecīgi ir noteikts pienākums nekavējoties veikt šādu dzēšanu.

    62.      Tomēr VDAR 17. panta 3. punktā ir precizēts, ka šī panta 1. punkts nav piemērojams, ciktāl aplūkotā apstrāde ir nepieciešama kādam no šajā pirmajā minētajā tiesību normā uzskaitītajiem nolūkiem. Šo nolūku vidū minētās regulas 17. panta 3. punkta b) apakšpunktā ir ietverta tāda likumiska pienākuma izpilde, atbilstoši kuram ir jāveic apstrāde un kurš ir paredzēts Savienības tiesībās vai tās dalībvalsts tiesībās, kas piemērojamas pārzinim, vai tāda uzdevuma izpilde, kuru veic sabiedrības interesēs vai īstenojot pārzinim piešķirtās oficiālās pilnvaras.

    63.      Ciktāl šie izņēmumi no tiesībām uz dzēšanu atspoguļo apstrādes pamatojumus, kas noteikti VDAR 6. panta 1. punkta pirmās daļas c) un e) apakšpunktā, attiecībā uz iespēju uz tiem atsaukties tādos apstākļos, kādi ir tiesvedībā pamatlietā, vēlos norādīt uz šo secinājumu 45.–58. punktā veikto analīzi (50).

    64.      Tādējādi gadījumā, ja iesniedzējtiesa uzskatītu, ka tiesvedībā pamatlietā aplūkotā personas datu publiskošana komercreģistrā saskaņā ar Bulgārijas tiesībām neietilpst VDAR 6. panta 1. punkta pirmās daļas c) vai e) apakšpunkta, lasot tos kopsakarā ar šīs regulas 6. panta 3. punktu, piemērošanas jomā – un tātad VDAR 17. panta 3. punkta b) apakšpunkta piemērošanas jomā, atbildētājai pamatlietā būtu tiesības uz dzēšanu, kas izpaužas kā šādas publiskošanas pārtraukšana, un Aģentūrai kā pārzinim būtu pienākums ievērot šīs tiesības. VDAR 17. panta 1. punkta d) apakšpunktā ir paredzētas datu subjekta absolūtas tiesības uz to, lai viņa personas dati tiktu dzēsti, ja tie ir apstrādāti nelikumīgi (51).

    65.      Savukārt gadījumā, ja iesniedzējtiesa secinātu, ka tiesvedībā pamatlietā aplūkotā datu apstrāde atbilda VDAR 6. panta 1. punkta pirmās daļas c) vai e) apakšpunktam, a priori būtu piemērojams šīs regulas 17. panta 3. punkta b) apakšpunkts. Tomēr ir nepieciešami divi precizējumi.

    66.      No vienas puses, ja iesniedzējtiesa nonāktu pie secinājuma, ka tiesvedībā pamatlietā aplūkotā personas datu publiskošana ir nepieciešama Aģentūrai uzticētā uzdevuma sabiedrības interesēs izpildei, lai nekavētu sabiedrības reģistrāciju komercreģistrā, tad, manuprāt, ar šo iemeslu vien nebūtu pietiekami, lai pamatotu šo datu saglabāšanu reģistrā pēc tam, kad sabiedrība ir reģistrēta, un tādējādi lai saskaņā ar VDAR 17. panta 3. punkta b) apakšpunktu izslēgtu atbildētājas pamatlietā tiesības uz dzēšanu. Tātad šīs tiesības būtu nodrošinātas minētās regulas 17. panta 1. punkta c) apakšpunktā, kas ir piemērojams gadījumā, ja datu subjekts atbilstoši tās pašas regulas 21. panta 1. punktam tādu iemeslu dēļ, kuri saistīti ar viņa īpašo situāciju, iebilst pret savu personas datu apstrādi, pamatodamies konkrēti uz minētās regulas 6. panta 1. punkta pirmās daļas e) apakšpunktu, un ja nepastāv “pārliecinošs leģitīms iemesls apstrādei”; tas ir jāpierāda pārzinim (52). To pašu iemeslu dēļ, kas jau izklāstīti šo secinājumu 56. punktā, uzskatu, ka prasība saglabāt to dokumentu integritāti un uzticamību, uz kuriem balstīta sabiedrības iekļaušana reģistrā, nevar būt šāds pārliecinošs leģitīms iemesls. Proti, kā norādīju, šo prasību var izpildīt, izmantojot citus līdzekļus, kas mazāk aizskar pamattiesības uz personas datu aizsardzību.

    67.      No otras puses, no sprieduma Manni izriet, ka piekļuves ierobežošana tikai tām trešajām personām, kuras pierāda īpašas intereses, katrā atsevišķā gadījumā var būt pamatota ar nepārvaramiem un leģitīmiem iemesliem, kas saistīti ar datu subjektu īpašo situāciju, pat attiecībā uz tādiem personas datiem, kuri saskaņā ar Direktīvu 2017/1132 ir obligāti publiskojami, un tādējādi pat gadījumos, kad publiskošana izriet no likumiska pienākuma VDAR 6. panta 1. punkta pirmās daļas c) apakšpunkta izpratnē. Tomēr šāds ierobežojums a fortiori būtu jāatzīst attiecībā uz personas datiem, kas nav jāpublicē nedz saskaņā ar Savienības tiesībām, nedz ar valsts tiesībām. Turklāt šādā gadījumā nosacījums, kuram spriedumā Manni Tiesa ir noteikusi ierobežojumu piekļuvei informācijai par sabiedrības likvidatora identitāti, – proti, ka pēc sabiedrības likvidācijas ir pagājis pietiekami ilgs laikposms –, nebūtu piemērojams šajā gadījumā, un tādēļ piekļuves ierobežojums šādiem datiem būtu jāīsteno nekavējoties.

    7.      Par īpašas procesuālās kārtības piemērošanu tiesību uz dzēšanu īstenošanai

    68.      No lūguma sniegt prejudiciālu nolēmumu izriet, ka Aģentūra OL pieteikumam par to personas datu dzēšanu, kuri attiecas uz viņu un kuru publicēšana Bulgārijas tiesībās nav prasīta, ir izvirzījusi prasību ievērot īpašu procesuālo kārtību, prasot iesniegt dokumenta, kurā ietverti minētie dati, kopiju, kurā šie dati ir aizklāti. Tā kā šāda kopija netika iesniegta, pieteikums tika noraidīts vai atlikts sine die. Saskaņā ar Aģentūras sniegtajiem paskaidrojumiem šīs procesuālās kārtības ievērošana esot nepieciešama, jo Aģentūrai nav pilnvaru grozīt attiecīgo dokumentu; šādi grozījumi ir vienīgi sabiedrības struktūru kompetencē.

    69.      Atgādinu, ka saskaņā ar VDAR 23. panta 1. punktu Savienības vai valsts tiesībās “ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā [..], – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu” kādu no minētajā pantā uzskaitītajiem mērķiem. Ciktāl to rezultātā tiek ierobežota tiesību uz dzēšanu īstenošana, kā arī VDAR 21. pantā paredzēto tiesību iebilst īstenošana vai pat šo tiesību izslēgšana gadījumā, ja datu subjektam neizdodas panākt, ka sabiedrība izdara vajadzīgos grozījumus attiecīgajā dokumentā, Aģentūras piemērotā procesuālā kārtība var ietilpt VDAR 23. panta 1. punkta piemērošanas jomā (53). Tādēļ jāpārbauda, vai šajā gadījumā ir izpildīti šajā tiesību normā paredzētie nosacījumi, pat ja iesniedzējtiesa nav skaidri lūgusi Tiesai lemt par šo jautājumu.

    70.      Šajā ziņā vispirms vēlos norādīt, ka šī procesuālā kārtība, šķiet, ir daļa no Aģentūras vienkāršas iekšējās prakses (54). Tādēļ, neskarot pārbaudes, kas jāveic iesniedzējtiesai, jau šī iemesla dēļ vien nešķiet, ka tā būtu saderīga ar VDAR 23. panta 1. punktu, kurā paredzēts, ka attiecībā uz šajā normā uzskaitītajiem tiesību ierobežojumiem jāveic “leģislatīvi pasākumi”.

    71.      Šī procesuālā kārtība pēc tam rada jautājumus par samērīguma principa ievērošanu.

    72.      Proti, lai gan prasība garantēt komercreģistrā ierakstīto dokumentu uzticamību un autentiskumu, kā arī – plašākā nozīmē – pārskatāmību un tiesisko drošību tai uzticētā uzdevuma izpildē, man šķiet, var atbilst “svarīgam Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķim” VDAR 23. panta 1. punkta e) apakšpunkta izpratnē, tas, manuprāt, neattaisno tiesību uz dzēšanu vai tiesību iebilst ierobežošanu vai pat izslēgšanu tādos apstākļos, kādi ir tiesvedībā pamatlietā, jo var tikt izmantoti citi līdzekļi, kas mazāk aizskartu pamattiesības uz personas datu aizsardzību.

    73.      Saistībā ar šo Komisija – lai gan tā uzskata, ka ir pamatoti gaidīt, līdz sabiedrība grozīs dokumentu, aizklājot datus, kuru dzēšana ir lūgta, – ierosina, ka Aģentūra pati veic šo datu aizklāšanu pēc saprātīga laikposma, ja izrādās, ka datu subjekts nespēj panākt, lai sabiedrība izdarītu šādu grozījumu.

    74.      Neesmu pārliecināta, ka šāds risinājums nodrošinātu pareizu līdzsvaru starp dažādām iesaistītajām tiesībām un interesēm, jo tā dēļ dati, kurus nav bijis paredzēts izpaust, nenoteiktu laiku tiktu glabāti publiski pieejami digitalizētā vidē. Manā skatījumā šādu līdzsvaru toties varētu garantēt, atzīstot Aģentūrai pilnvaras pašai uzreiz pēc pieteikuma par dzēšanu saņemšanas aizklāt attiecīgos datus publiskotajā dokumenta kopijā, saglabājot lietā minētā dokumenta oriģinālu un pieprasot, lai sabiedrība iesniedz šī dokumenta grozījumus, kurā minētie dati būtu aizklāti; arī šie grozījumi tiktu publicēti reģistrā.

    75.      Protams, Direktīvas 2017/1132 16. panta 4. punkta pirmajā un otrajā daļā ir paredzēts, ka dalībvalstīm ir jāveic pasākumi, kuri vajadzīgi, lai novērstu jebkādas pretrunas starp reģistra un lietas saturu, kā arī starp to, kas publicēts reģistrā, un to, kas publicēts valsts oficiālajā laikrakstā. Tomēr prasība saglabāt saskaņotību starp dažādām reģistra daļām un ar valsts oficiālo laikrakstu, kā arī tiesiskās drošības mērķis, kas ir šādas prasības pamatā, manuprāt, nevar attaisnot to, ka personas dati, kuru izpaušana nav obligāta, bez [citiem] ierobežojumiem un bez laika ierobežojumiem tiek saglabāti publiski pieejami reģistrā publicētajos dokumentos, ja datu subjekts pieprasa šo datu dzēšanu. Proti, pirmkārt, jebkādi šo dokumentu grozījumi, kuri nepieciešami šo datu aizklāšanai, būtu identificējami un izsekojami, un tie tiktu izdarīti pārskatāmā veidā. Otrkārt, šie grozījumi attiektos uz tādu dokumentu elementiem, kuru publicēšana nav nepieciešama reģistram uzticētā uzdevuma plašas sabiedrības interesēs izpildei. Treškārt, minēto dokumentu integritāti un autentiskumu varētu nodrošināt, saglabājot to oriģinālus lietā, kurai trešajām personām, kas pamato leģitīmas intereses, būtu reglamentēta piekļuve.

    76.      Pamatojoties uz visu iepriekš minēto, uzskatu, ka tāda procesuālā kārtība, kādu šajā gadījumā ir piemērojusi Aģentūra, nav saderīga ar VDAR 23. panta 1. punktu.

    V.      Secinājumi

    77.      Ņemot vērā visus iepriekš izklāstītos apsvērumus, ierosinu Tiesai uz ceturto un piekto Varhoven administrativen sad (Augstākā administratīvā tiesa, Bulgārija) uzdoto prejudiciālo jautājumu atbildēt šādi:

    1)      Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 4. panta 7. punkts un 26. panta 1. punkts

    jāinterpretē tādējādi, ka

    par dalībvalsts komercreģistra uzturēšanu atbildīgā iestāde, kam saskaņā ar šīs valsts tiesību aktiem jānodrošina tai nosūtīto dokumentu publiskošana saistībā ar pieteikumu par sabiedrības reģistrāciju šajā reģistrā, vienīgā ir atbildīga par šajos dokumentos ietverto personas datu publiskošanu, pat ja jautājums ir par datiem, kurus nav prasīts publicēt un kuri atbilstoši šiem tiesību aktiem bija jāaizklāj pirms šo dokumentu nosūtīšanas minētajai iestādei.

    2)      Regula 2016/679 un it īpaši tās 17. pants un 23. panta 1. punkts

    jāinterpretē tādējādi, ka

    tā nepieļauj tādus valsts tiesību aktus vai praksi, saskaņā ar kuru fiziskās personas tiesības panākt, ka iestāde, kas atbildīga par dalībvalsts komercreģistra uzturēšanu, dzēš personas datus, kuri attiecas uz šo personu un kuri ir ietverti minētajā reģistrā publiskotajos dokumentos, ir pakļautas procesuālai kārtībai, kas prasa iesniegt attiecīgā dokumenta kopiju, kurā minētie dati ir aizklāti. Šī iestāde kā pārzinis nevar tikt atbrīvota no pienākuma nekavējoties apmierināt šādu pieteikumu par dzēšanu tikai tādēļ vien, ka tai nav tikusi nosūtīta šāda kopija.

    3)      Eiropas Parlamenta un Padomes Direktīva (ES) 2017/1132 (2017. gada 14. jūnijs) attiecībā uz sabiedrību tiesību dažiem aspektiem, ar grozījumiem, kas izdarīti ar Eiropas Parlamenta un Padomes 2019. gada 20. jūnija Direktīvu (ES) 2019/1151, un it īpaši tās 16. panta 2.–4. punkts, lasot tos kopsakarā ar šīs direktīvas 8. apsvērumu,

    nevar tikt interpretēta tādējādi, ka

    ar to būtu atļauts noteikt šādu procesuālo kārtību. Šī direktīva pieļauj, ka iestāde, kas atbildīga par dalībvalsts komercreģistra uzturēšanu, apmierina pieteikumu par tādu personas datu dzēšanu, kuri nav prasīti šīs dalībvalsts tiesību aktos un kuri ir ietverti dokumentā, kas publiskots šajā reģistrā, pati aizklājot minētos datus šajā dokumentā un saglabājot šī dokumenta neaizklātu kopiju lietā, kura minēta direktīvas 16. panta 1. punktā.

    1      Oriģinālvaloda – franču.

    2      Precīzāk, lūgums sniegt prejudiciālu nolēmumu attiecas uz Eiropas Parlamenta un Padomes Direktīvas 2009/101/EK (2009. gada 16. septembris) par to, kā vienādošanas nolūkā koordinēt nodrošinājumus, ko dalībvalstis prasa no sabiedrībām Līguma 48. panta otrās daļas nozīmē, lai aizsargātu sabiedrību dalībnieku un trešo personu intereses (OV 2009, L 258, 11. lpp.), normām. Tomēr, kā redzēsim tālāk, tieši Eiropas Parlamenta un Padomes Direktīva (ES) 2017/1132 (2017. gada 14. jūnijs) attiecībā uz sabiedrību tiesību dažiem aspektiem (OV 2017, L 169, 46. lpp.) ratione temporis ir piemērojama pamatlietas faktiem.

    3      Eiropas Parlamenta un Padomes Regula (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp., turpmāk tekstā – “VDAR”).

    4      DV Nr. 34, 2006. gada 25. aprīlis.

    5      DV Nr. 48, 1991. gada 18. jūnijs.

    6      Atzinums Nr. 01‑116(20)/01.02.2021.

    7      Eiropas Parlamenta un Padomes 2019. gada 20. jūnija direktīva, ar ko groza Direktīvu 2017/1132 (OV 2019, L 186, 80. lpp.).

    8      Skat. Direktīvas 2019/1151 2. panta 1. punktu. Saistībā ar grozījumiem, kas izdarīti ar šīs direktīvas 1. panta 6. punktu, attiecībā uz Direktīvas 2017/1132 16. panta 6. punktu transponēšanas termiņš bija 2023. gada 1. augusts.

    9      Šajā nozīmē skat. manus secinājumus lietā État belge (Oficiālā laikraksta apstrādāti dati) (C‑231/22, EU:C:2023:468, 80. punkts).

    10      Vēlos norādīt, ka 2023. gada 29. martā Komisija pieņēma priekšlikumu Eiropas Parlamenta un Padomes direktīvai, ar ko groza Direktīvas 2009/102/EK un (ES) 2017/1132 attiecībā uz turpmāku digitālo rīku un procesu izmantošanas paplašināšanu un modernizēšanu sabiedrību tiesību jomā (COM/2023/177 final).

    11      Skat. Uzņēmējdarbības reģistru savstarpējās savienojamības sistēmu, kura kopš 2017. gada 8. jūnija ieviesta ar Eiropas Parlamenta un Padomes Direktīvu 2012/17/ES (2012. gada 13. jūnijs), ar ko Padomes Direktīvu 89/666/EEK un Eiropas Parlamenta un Padomes Direktīvas 2005/56/EK un 2009/101/EK groza attiecībā uz centrālo reģistru, komercreģistru un uzņēmumu reģistru savstarpējo savienojamību (OV 2012, L 156, 1. lpp.), un kuru pašlaik reglamentē Direktīva 2017/1132. Šī sistēma savieno valstu uzņēmējdarbības reģistrus ar Eiropas centrālo platformu un nodrošina vienotu piekļuves punktu, izmantojot Eiropas e‑tiesiskuma portālu, kurā iedzīvotāji, uzņēmumi un valsts pārvaldes iestādes var meklēt informāciju par citās dalībvalstīs atvērtiem uzņēmumiem un to filiālēm.

    12      Atzinumā par priekšlikumu grozīt Direktīvu 2017/1132 Eiropas Datu aizsardzības uzraudzītājs (EDAU) vērsa uzmanību uz nepieciešamību “veicināt informētību par riskiem, kas izriet no to personas datu pieejamības, kuri būs plaši pieejami internetā digitālā formā vairākās valodās, izmantojot viegli pieejamu Eiropas platformu/piekļuves punktu” (2018. gada 26. jūlija atzinums, pieejams: https://edps.europa.eu/data-protection/our-work/publications/opinions/digital-tools-and-processed-company-law_fr).

    13      OOD ir minēta Direktīvas 2017/1132 II pielikumā, kā arī Direktīvas 2019/1151 II a pielikumā.

    14      Šajā gadījumā reģistrā ievadīto ierakstu priekšmets tiek glabāts lietā, skat. Direktīvas 2017/1132 16. panta 2. punktu.

    15      Skat. Direktīvas 2017/1132 16. panta 3. punktu, kurā paredzēta iespēja publicēt tās 14. pantā minētos dokumentus daļēji vienīgi attiecīgās dalībvalsts oficiālajā laikrakstā.

    16      Attiecībā uz Padomes Pirmo direktīvu 68/151/EEK (1968. gada 9. marts) par to, kā vienādošanas nolūkā koordinēt nodrošinājumus, ko dalībvalstis prasa no sabiedrībām Līguma 58. panta otrās daļas nozīmē, lai aizsargātu sabiedrību dalībnieku un trešo personu intereses (OV 1968, L 65, 8. lpp.) skat. spriedumu, 2017. gada 9. marts, Manni (C‑398/15, EU:C:2017:197, 34. punkts; turpmāk tekstā – “spriedums Manni”).

    17      Spriedums, 2023. gada 5. decembris, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, 28. un 29. punkts).

    18      Šajā nozīmē skat. spriedumu, 2023. gada 5. oktobris, Ministerstvo zdravotnictví (Covid‑19 mobilā lietotne) (C‑659/22, EU:C:2023:745, 28. punkts).

    19      C‑231/22, turpmāk tekstā – “spriedums État belge”, EU:C:2024:7, 35. punkts. Skat. arī manus secinājumus lietā, kurā taisīts šis spriedums (C‑231/22, EU:C:2023:468, 34.–75. punkts).

    20      Šajā nozīmē skat. spriedumu État belge, 38. punkts.

    21      Šajā nozīmē skat. spriedumu État belge, 46. un 47. punkts.

    22      Šajā nozīmē skat. spriedumu, 2023. gada 5. decembris, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, 44. un 45. punkts).

    23      Šajā nozīmē skat. EDAU Lignes directrices 07/2020 concernant les notions de responsable du traitement et de soustraitant dans le RGPD (“Pamatnostādnes 07/2020 par pārziņa un apstrādātāja jēdzieniem VDAR”), 2.0. versija, pieņemtas 2021. gada 7. jūlijā un franču valodā pieejamas: https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_fr.pdf), 70. un 72. punkts. Skat. arī manus secinājumus lietā, kurā taisīts spriedums État belge (Oficiālā laikraksta apstrādāti dati) (C‑231/22, EU:C:2023:468, 48. punkts un 55. zemsvītras piezīme).

    24      Šajā nozīmē skat. spriedumu État belge, 42. punkts.

    25      Skat. spriedumu État belge, 48. punkts.

    26      Tomēr atgādinu, ka lietā, kurā pieņemts spriedums État belge, jautājums bija par dokumentu publicēšanu dalībvalsts oficiālajā laikrakstā, kas bija apstrādes procesa, kurā bija iesaistītas dažādas valsts iestādes, pēdējais posms. Tātad faktiskā situācija, kas bija pamatā šim spriedumam, atšķīrās no faktiskās situācijas izskatāmajā lietā.

    27      Savos apsvērumos Aģentūra paskaidro, ka tiešsaistē iesniegta pieteikuma gadījumā pieteikuma iesniedzējs komercreģistra sistēmā augšupielādē parakstīto reģistrācijai nepieciešamo papīra dokumentu elektroniskos attēlus.

    28      Šie mērķi ir minēti šo secinājumu 49. punktā.

    29      Skat. spriedumu État belge, 45. punkts.

    30      Skat. spriedumu État belge, 49. un 50. punkts.

    31      Skat. spriedumu, 2023. gada 21. decembris, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, 76. punkts un tajā minētā judikatūra).

    32      Skat. spriedumu, 2023. gada 7. decembris, SCHUFA Holding (Atbrīvošana no atlikušajām parādsaistībām) (C‑26/22 un C‑64/22, EU:C:2023:958, 72. un 73. punkts un tajos minētā judikatūra).

    33      Skat. spriedumu, 2023. gada 4. jūlijs, Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi) (C‑252/21, EU:C:2023:537, 91.–93. punkts).

    34      Atgādinu, ka iesniedzējtiesa pauž šaubas par šādu saderību savā trešajā prejudiciālajā jautājumā.

    35      Kā 29. panta darba grupa norāda Atzinumā 6/2014, VDAR 6. panta 1. punkta pirmās daļas c) apakšpunkta piemērošanas joma ir “stingri ierobežota”. Lai šo normu varētu piemērot, likumiskajam pienākumam jābūt pietiekami skaidram un atbilstošam piemērojamām tiesībām datu aizsardzības jomā. Tā tas, manuprāt, nav gadījumā, kad likums, ar ko, no vienas puses, ir izslēgta attiecīgo datu apstrāde un, no otras puses, ir atļauts vai pat prasīts to veikt, pamatojoties uz prezumētu piekrišanu.

    36      Skat. spriedumu, 2023. gada 4. maijs, Bundesrepublik Deutschland (Tiesu elektroniskā pastkaste) (C‑60/22, EU:C:2023:373, 54. un 55. punkts).

    37      Skat. spriedumu, 2012. gada 12. jūlijs, CompassDatenbank (C‑138/11, EU:C:2012:449, 40. un 41. punkts), un spriedumu Manni, 43. punkts.

    38      Skat. spriedumu Manni, 43. punkts.

    39      C‑398/15, EU:C:2016:652, 54. punkts.

    40      Šajā nozīmē skat. spriedumu, 1974. gada 12. novembris, Haaga (32/74, EU:C:1974:116, 6. punkts), un spriedumu Manni, 50. punkts.

    41      Šajā nozīmē skat. spriedumu, 2023. gada 2. marts, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, 31. punkts).

    42      Šajā nozīmē skat. spriedumu, 2022. gada 1. augusts, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 69. punkts).

    43      It īpaši – sabiedrības pārstāvja vai sabiedrības dalībnieku dzīvesvieta neattiecas uz viņa identitāti, un tās zināšana, kā to secinājumos lietā All in One Star (C‑469/19, EU:C:2020:822, 51. punkts) uzsvēris ģenerāladvokāts M. Špunars [M. Szpunar], nav noderīga trešo personu aizsardzībai.

    44      Skat. spriedumu Manni, 57. punkts.

    45      Skat. spriedumu Manni, 58. punkts.

    46      Skat. spriedumu, 2022. gada 1. augusts, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 70. punkts).

    47      Šajā nozīmē skat. spriedumu, 2022. gada 22. novembris, Luxembourg Business Registers (C‑37/20 un C‑601/20, EU:C:2022:912, 66. punkts).

    48      Pēc analoģijas skat. spriedumu, 2024. gada 30. janvāris, Direktor na Glavna direktsia “Natsionalna politsia” pri MVR Sofia (C‑118/22, EU:C:2024:97, 41. punkts).

    49      Skat. spriedumu, 2022. gada 8. decembris, Inspektor v Inspektorata kam Visshia sadeben savet (Personas datu apstrādes nolūki – Kriminālizmeklēšana) (C‑180/21, EU:C:2022:967, 85. punkts).

    50      Lai gan sprieduma État belge 51. punktā ietvertajā obiter dictum Tiesa ir norādījusi uz iespējamību, ka VDAR 17. panta 3. punkta b) un d) apakšpunktā minētie izņēmumi var tikt piemēroti pieteikumam par personas datu, kuri publicēti attiecīgās dalībvalsts oficiālajā laikrakstā, dzēšanu, Tiesa tomēr nav lēmusi par šo jautājumu, ko iesniedzējtiesa nebija izvirzījusi lietā, kurā tika pieņemts šis spriedums.

    51      Šajā ziņā skat. spriedumu, 2023. gada 7. decembris, SCHUFA Holding (Atbrīvošana no atlikušajām parādsaistībām) (C‑26/22 un C‑64/22, EU:C:2023:958, 108. punkts); skat. arī ģenerāladvokāta P. Pikamēes [P. Pikamäe] secinājumus šajā lietā (C‑26/22 un C‑64/22, EU:C:2023:222, 91. punkts).

    52      Šajā nozīmē skat. spriedumu, 2023. gada 7. decembris, SCHUFA Holding (Atbrīvošana no atlikušajām parādsaistībām) (C‑26/22 un C‑64/22, EU:C:2023:958, 111. un 112. punkts).

    53      Šajā nozīmē skat. spriedumu, 2023. gada 26. oktobris, FT (Medicīnisko dokumentu kopijas) (C‑307/22, EU:C:2023:811, 53.–69. punkts). Skat. arī ģenerāladvokāta N. Emiliu [N. Emiliou] secinājumus šajā lietā (C‑307/22, EU:C:2023:315, 37. punkts).

    54      Ja minētā procedūra atspoguļo Reģistru likuma 13. panta 6. punktā paredzēto procedūru, tad nešķiet, ka pēdējā minētā norma reglamentētu datu subjektu tiesības uz dzēšanu vai tiesības iebilst.

    Top