Voorlopige editie

CONCLUSIE VAN ADVOCAAT-GENERAAL

L. MEDINA

van 30 mei 2024 (1)

Zaak C‑200/23

Agentsia po vpisvaniyata

tegen

OL,

in tegenwoordigheid van:

Varhovna administrativna prokuratura

[verzoek van de Varhoven administrativen sad (hoogste bestuursrechter, Bulgarije) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Openbaarmaking in het handelsregister van een vennootschapsovereenkomst die persoonsgegevens bevat – Richtlijn (EU) 2017/1132 – Verwerkingsverantwoordelijke – Recht op wissing van persoonsgegevens”

I.      Inleiding

1.        Met zijn verzoek om een prejudiciële beslissing legt de Varhoven administrativen sad (hoogste bestuursrechter, Bulgarije) het Hof een reeks vragen voor die in wezen betrekking hebben op de wijze waarop de bepalingen inzake de openbaarmaking van vennootschapsakten, die op Unieniveau(2) worden gecoördineerd, zich verhouden tot verordening (EU) 2016/679(3).

2.        Dit verzoek is ingediend in het kader van een geding tussen de Agentsia po vpisvaniyata (Bulgaars agentschap voor registraties; hierna: „agentschap”) en OL betreffende de weigering van het agentschap tot schrapping van bepaalde persoonsgegevens betreffende OL in een akte die in het handelsregister voor het publiek toegankelijk was gemaakt.

II.    Toepasselijke bepalingen

A.      Unierecht

3.        Relevant voor deze conclusie zijn met name de artikelen 14 en 16 van richtlijn 2017/1132, die richtlijn 2009/101 heeft vervangen, en de artikelen 4 tot en met 6 en 17 AVG. Voor een betere leesbaarheid wordt in deze analyse verwezen naar de bewoordingen van de relevante bepalingen van deze artikelen.

B.      Bulgaars recht

4.        Artikel 2 van de Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (Bulgaarse wet inzake het handelsregister en het register van rechtspersonen zonder winstoogmerk)(4), in de versie die van toepassing is op het hoofdgeding (hierna: „wet inzake de registers”), bepaalt:

„1)      Het handelsregister en het register van rechtspersonen zonder winstoogmerk [(hierna: ‚de registers’)] zijn een gemeenschappelijke elektronische databank die krachtens een wet geregistreerde omstandigheden en krachtens een wet voor het publiek toegankelijk gemaakte akten bevat met betrekking tot handelaren en bijkantoren van buitenlandse handelaren, rechtspersonen zonder winstoogmerk en bijkantoren van buitenlandse rechtspersonen zonder winstoogmerk.

2)      De in lid 1 bedoelde omstandigheden en akten worden voor het publiek toegankelijk gemaakt met uitzondering van informatie die wordt beschouwd als persoonsgegevens in de zin van artikel 4, punt 1, [AVG], tenzij deze informatie bij wet voor het publiek toegankelijk moet worden gemaakt.”

5.        Krachtens artikel 6, lid 1, van de wet inzake de registers moet elke handelaar of rechtspersoon zonder winstoogmerk een aanvraag indienen om te worden ingeschreven in de registers, waarbij hij de omstandigheden meedeelt die moeten worden geregistreerd en de akten overlegt die voor het publiek toegankelijk moeten worden gemaakt.

6.        Artikel 11 van deze wet luidt als volgt:

„1)      [De registers] zijn openbaar. Iedereen heeft recht op gratis vrije toegang tot de databank bestaande in die registers.  

2)      Het [agentschap] zorgt voor geregistreerde toegang tot het dossier van de handelaar of de rechtspersoon zonder winstoogmerk.”

7.        Artikel 13, leden 1, 2, 6 en 9, van genoemde wet luidt:

„1)      De inschrijving, schrapping en terbeschikkingstelling aan het publiek worden verricht op basis van een aanvraagformulier.

2)      De aanvraag moet het volgende bevatten:

1.      de gegevens van de aanvrager;

[...]

3.      de in te schrijven omstandigheid, de inschrijving waarvan schrapping wordt gevraagd of de akte die ter beschikking van het publiek moet worden gesteld;

[...]

6)      [D]e aanvraag gaat vergezeld van de documenten of, in voorkomend geval, de akte die overeenkomstig de eisen van de wet ter beschikking van het publiek moeten worden gesteld. De documenten worden ingediend in de vorm van een origineel, een door de aanvrager voor eensluidend gewaarmerkt afschrift of een via notariële weg gewaarmerkt afschrift. De aanvrager dient ook voor eensluidend gewaarmerkte afschriften in van de akten die in het handelsregister openbaar moeten worden gemaakt en waarin andere persoonsgegevens dan de wettelijk vereiste onleesbaar zijn gemaakt.

[...]

9)      Wanneer in de aanvraag of de daarbij gevoegde documenten persoonsgegevens worden vermeld die niet bij wet zijn vereist, worden de personen die deze gegevens hebben verstrekt, geacht ermee te hebben ingestemd dat deze gegevens door het [agentschap] worden verwerkt en ter beschikking van het publiek worden gesteld.”

8.        Artikel 101, punt 3, van de Targovski zakon (Bulgaars wetboek van koophandel)(5), in de versie die van toepassing is op het hoofdgeding (hierna: „wetboek van koophandel”), bepaalt dat de vennootschapsovereenkomst „de naam, de vennootschapsnaam en de unieke identificatiecode van de vennoten” moet bevatten.

9.        Krachtens artikel 119, lid 1, van dit wetboek is voor de inschrijving van een vennootschap in het handelsregister onder meer overlegging van de vennootschapsovereenkomst vereist, die vervolgens openbaar wordt gemaakt. Krachtens lid 4 van dit artikel moet „met het oog op wijziging of aanvulling van de in het handelsregister ingeschreven vennootschapsovereenkomst, [...] een door het vertegenwoordigende orgaan van de vennootschap voor eensluidend gewaarmerkt afschrift van deze overeenkomst met alle wijzigingen en aanvullingen worden overgelegd met het oog op de openbaarmaking ervan”.

III. Hoofdgeding en prejudiciële vragen

10.      OL is vennoot in een „OOD”, een vennootschap met beperkte aansprakelijkheid naar Bulgaars recht, die op 14 januari 2021 in het handelsregister is ingeschreven. Bij de aanvraag tot inschrijving was een door de vennoten ondertekende vennootschapsovereenkomst van 30 december 2020 gevoegd (hierna: „vennootschapsovereenkomst van 2020”). Deze overeenkomst, die OL’s naam en voornaam, haar identificatienummer, het nummer en de datum en plaats van afgifte van haar identiteitskaart en haar vaste adres bevat, is ingeschreven en ter beschikking van het publiek gesteld zoals zij is overgelegd. Op 8 juli 2021 heeft OL het agentschap verzocht om haar persoonsgegevens in de vennootschapsovereenkomst van 2020 te schrappen, waarbij zij heeft aangegeven dat, indien de verwerking van haar gegevens op haar toestemming berustte, zij deze toestemming introk. Bij gebreke van een antwoord van het agentschap heeft OL beroep ingesteld bij de Administrativen sad Dobrich (bestuursrechter in eerste aanleg Dobrich, Bulgarije), die de stilzwijgende weigering van het agentschap om OL’s verzoek in te willigen heeft nietig verklaard en de zaak voor een nieuwe beslissing naar het agentschap heeft terugverwezen. In uitvoering van dit vonnis en een soortgelijk vonnis ten aanzien van de andere vennoot die dezelfde actie had ondernomen, heeft het agentschap bij brief van 26 januari 2022 aangegeven dat een voor eensluidend gewaarmerkt afschrift van de vennootschapsovereenkomst van 2020 waarin de persoonsgegevens van de vennoten, met uitzondering van de wettelijk verplichte gegevens, onleesbaar waren gemaakt, aan het agentschap moest worden overgelegd zodat het verzoek tot schrapping van de gegevens kon worden ingewilligd (hierna: „brief van 26 januari 2022”). Op 31 januari 2022 heeft OL opnieuw beroep ingesteld bij de Administrativen sad Dobrich, met het oog op de nietigverklaring van de brief van 26 januari 2022 en de veroordeling van het agentschap tot vergoeding van de immateriële schade die deze brief, die inbreuk maakte op de door de AVG verleende rechten, haar had berokkend. Op 1 februari 2022, vóór ontvangst van de kennisgeving van dit beroep, heeft het agentschap ambtshalve OL’s identificatienummer, de gegevens inzake haar identiteitskaart en haar adres geschrapt, maar niet haar naam, voornaam en handtekening. Bij vonnis van 5 mei 2022 heeft de Administrativen sad Dobrich de brief van 26 januari 2022 nietig verklaard en het agentschap op grond van artikel 82 AVG veroordeeld om OL een schadevergoeding van 500 Bulgaarse lev (BGN) (ongeveer 255 EUR), vermeerderd met de wettelijke rente, te betalen wegens de immateriële schade. Volgens dit vonnis bestond deze schade uit negatieve emoties en ervaringen als gevolg van deze brief, die heeft geleid tot een schending van het in artikel 17, lid 1, AVG neergelegde recht op gegevenswissing en tot de onrechtmatige verwerking van haar gegevens in de openbaar gemaakte overeenkomst. Het agentschap heeft tegen dit vonnis cassatieberoep ingesteld bij de verwijzende rechter. Het voert met name aan dat het niet alleen verwerkingsverantwoordelijke maar ook ontvanger is van de gegevens die in het kader van de registratieprocedure worden overgelegd en dat het, hoewel het hierom heeft verzocht vóór de registratie van de vennootschap waarvan OL vennoot was, geen afschrift heeft ontvangen van de betreffende vennootschapsovereenkomst waarin de gegevens die niet ter beschikking van het publiek mochten worden gesteld, onleesbaar waren gemaakt. De inschrijving van een handelsvennootschap kan echter niet louter op deze grond worden geweigerd. Het agentschap verwijst naar een advies dat de nationale toezichthoudende autoriteit, de Komisia za zashtita na lichnite danni (Bulgaarse commissie ter bescherming van persoonsgegevens), in 2021 heeft verstrekt krachtens artikel 58, lid 3, onder b), AVG (hierna: „advies van 2021”)(6), en waarin wordt gesteld dat het agentschap niet bevoegd is om de inhoud te wijzigen van de akten die het ontvangt voor inschrijving in het register. OL stelt dat het agentschap als verwerkingsverantwoordelijke zijn eigen verplichtingen inzake schrapping niet aan anderen kan opleggen. Zij beroept zich op nationale rechtspraak volgens welke het advies van 2021 niet in overeenstemming is met de AVG.

11.      In deze omstandigheden heeft de Varhoven administrativen sad de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)      Kan artikel 4, lid 2, van richtlijn [2009/101] aldus worden uitgelegd dat een lidstaat verplicht is om de openbaarmaking van een vennootschapsovereenkomst, die krachtens artikel 119 van [het wetboek van koophandel] moet worden geregistreerd, toe te staan wanneer deze behalve de namen van de vennoten, die krachtens artikel 2, lid 2, van de [wet inzake de registers] vallen onder de verplichte bekendmaking, ook verdere persoonsgegevens bevat? Bij de beantwoording van deze vraag moet in aanmerking worden genomen dat het [agentschap] een instelling van de publieke sector is, waartegen volgens vaste rechtspraak van het Hof de bepalingen van een richtlijn die rechtstreekse werking hebben, kunnen worden ingeroepen (arrest van 7 september 2006, Vassallo, С-180/04, EU:C:2006:518, punt 26 en aldaar aangehaalde rechtspraak).

2)      Kan – indien de eerste vraag bevestigend wordt beantwoord – ervan worden uitgegaan dat in de omstandigheden die hebben geleid tot het geschil in het hoofdgeding, de verwerking van persoonsgegevens door het [agentschap] in de zin van artikel 6, lid 1, onder e), [AVG] noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen?

3)      Indien de eerste twee vragen bevestigend worden beantwoord, kan dan als rechtmatig worden beschouwd een nationale regeling als die in artikel 13, lid 9, van de [wet inzake de registers], volgens welke ervan moet worden uitgegaan dat, indien in een aanvraag of in de daarbij gevoegde documenten niet wettelijk verplichte persoonsgegevens zijn vermeld, de personen die deze ter beschikking hebben gesteld hebben ingestemd met de verwerking van deze gegevens door het agentschap en met de openbare beschikbaarstelling daarvan, ongeacht de overwegingen 32, 40, 42, 43 en 50 [AVG], als verduidelijking van de mogelijkheid van ‚vrijwillige openbaarmaking’ in de zin van artikel 4, lid 2, van richtlijn [2009/101] van gegevens, zelfs van persoonsgegevens?

4)      Zijn ter omzetting van de verplichting van de lidstaten krachtens artikel 3, lid 7, van richtlijn [2009/101] om de nodige maatregelen te nemen om elke tegenstrijdigheid te vermijden tussen de inhoud van de overeenkomstig lid 5 openbaar gemaakte tekst en die van het register of van het dossier en van de verplichting om rekening te houden met de belangen van derden om kennis te nemen van de voornaamste akten van de vennootschap en van bepaalde gegevens die haar betreffen, zoals vermeld in overweging 3 van deze richtlijn, nationale bepalingen toegestaan die voorzien in een procedureregeling (aanvraagformulieren, indienen van een afschrift van documenten waarin persoonsgegevens onleesbaar zijn gemaakt) voor de uitoefening van het recht van een natuurlijke persoon om overeenkomstig artikel 17 [AVG] van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van de hem betreffende persoonsgegevens te verkrijgen, wanneer de persoonsgegevens waarvan wissing wordt gevraagd deel uitmaken van officieel openbaar gemaakte (voor het publiek beschikbaar gestelde) documenten die aan de verwerkingsverantwoordelijke volgens een soortgelijke procedureregeling zijn overgelegd door een andere persoon, die met deze handeling ook het doel van de door hem geïnitieerde verwerking heeft vastgesteld?

5)      Handelt het [agentschap] in de aan het hoofdgeding ten grondslag liggende situatie alleen als verwerkingsverantwoordelijke met betrekking tot de persoonsgegevens of is het ook ontvanger daarvan, wanneer het doel van de verwerking, als deel van de documenten die ter openbaarmaking worden voorgelegd, door een andere verwerkingsverantwoordelijke werd vastgesteld?

6)      Vormt de handgeschreven handtekening van een natuurlijke persoon informatie die betrekking heeft op een geïdentificeerde natuurlijk persoon en valt deze meer bepaald onder het begrip ‚persoonsgegevens’ in de zin van artikel 4, punt 1, [AVG]?

7)      Moet het begrip ‚immateriële schade’ in artikel 82, lid 1, [AVG] aldus worden uitgelegd dat immateriële schade een tastbaar nadeel en een objectief aantoonbare inbreuk op persoonlijke belangen vereist of volstaat het dat de betrokkene kortstondig de beschikkingsbevoegdheid over zijn persoonsgegevens verliest wegens de openbaarmaking ervan in het handelsregister, zonder enige tastbare of nadelige gevolgen voor de betrokkene?

8)      Kan het overeenkomstig artikel 58, lid 3, onder b), [AVG] vastgestelde advies [van 2021] van de [Bulgaarse commissie ter bescherming van persoonsgegevens], volgens hetwelk het [agentschap] geen wettelijke mogelijkheid of bevoegdheid heeft om ambtshalve of op verzoek van de betrokkene de verwerking van reeds openbaar gemaakte gegevens te beperken, worden beschouwd als bewijs in de zin van artikel 82, lid 3, [AVG] dat het [agentschap] op geen enkele wijze verantwoordelijk is voor het feit dat de schade bij de natuurlijke persoon zou hebben veroorzaakt?”

IV.    Procedure bij het Hof

12.      Partijen in het hoofdgeding, de Bulgaarse, de Duitse, de Ierse, de Italiaanse, de Poolse en de Finse regering alsmede de Commissie hebben krachtens artikel 23 van het Statuut van het Hof van Justitie van de Europese Unie schriftelijke opmerkingen ingediend over alle of sommige prejudiciële vragen. Partijen in het hoofdgeding, de Bulgaarse en de Ierse regering alsmede de Commissie zijn tevens gehoord ter terechtzitting van 7 maart 2024.

A.      Analyse

13.      Op verzoek van het Hof zal deze conclusie zich toespitsen op de vierde en de vijfde prejudiciële vraag, die ik voorstel tezamen te behandelen. Alvorens over te gaan tot mijn analyse, acht ik het noodzakelijk enkele inleidende opmerkingen te maken over de prejudiciële verwijzing in haar geheel.

1.      Opmerkingen vooraf

14.      Om te beginnen moet worden opgemerkt – zoals partijen in het hoofdgeding, de Commissie en de meeste lidstaten die opmerkingen bij het Hof hebben ingediend, hebben gedaan – dat de motivering van de verwijzingsbeslissing en de bewoordingen van de prejudiciële vragen, waaronder met name de vierde vraag, verwijzen naar de bepalingen van richtlijn 2009/101. Deze richtlijn is echter met ingang van 20 juli 2017 ingetrokken en vervangen door richtlijn 2017/1132, die ratione temporis van toepassing is op de feiten van het hoofdgeding. In het vervolg van mijn analyse zal ik daarom alleen naar laatstgenoemde richtlijn verwijzen.

15.      Vervolgens moet eraan worden herinnerd dat richtlijn 2017/1132 en met name de artikelen 16 en 161 daarvan, voor zover zij relevant zijn voor het onderzoek van de onderhavige prejudiciële verwijzing, zijn gewijzigd bij richtlijn (EU) 2019/1151(7), die op 31 juli 2019 in werking is getreden. Het is weliswaar juist dat, zoals de Commissie opmerkt, de vennootschapsovereenkomst van 2020 met OL’s persoonsgegevens in het handelsregister is ingeschreven vóór 1 augustus 2021, de datum waarop de termijn voor omzetting van richtlijn 2019/1151 afliep(8), maar een deel van de feiten heeft na deze datum plaatsgevonden, waaronder de verzending door het agentschap van de brief van 26 januari 2022, de ambtshalve schrapping door het agentschap van bepaalde van die gegevens en de nieuwe openbaarmaking van de gegevens in het register, zoals verweerster in het hoofdgeding in haar schriftelijke opmerkingen heeft aangegeven. Derhalve kan niet worden uitgesloten dat de bij richtlijn 2019/1151 gewijzigde versie van richtlijn 2017/1132 ratione temporis van toepassing is in het hoofdgeding, hetgeen de verwijzende rechter dient na te gaan. Ik zal daarom in het vervolg van mijn analyse naar deze versie verwijzen.

16.      Ik wijs er echter van meet af aan op dat de bij richtlijn 2019/1151 ingevoerde wijzigingen als zodanig slechts een beperkte invloed hebben op de vraag hoe de autoriteit van een lidstaat die belast is met het bijhouden van het vennootschapsregister, geacht wordt bij de uitoefening van haar taken de bescherming van persoonsgegevens te waarborgen. Daarentegen moet, meer in het algemeen, worden benadrukt dat deze richtlijn strekt tot het versterken en consolideren van het gebruik van digitale instrumenten en processen bij het verzamelen en beheren van informatiestromen met betrekking tot vennootschappen, wat een grotere toegang tot de daarin vervatte persoonsgegevens met zich meebrengt en het risico op inbreuken op het recht op bescherming van dergelijke gegevens alsmede de schadelijkheid van dergelijke inbreuken doet toenemen.(9) Een dergelijk digitaliseringsproces(10), gekoppeld aan een grotere grensoverschrijdende toegankelijkheid van dergelijke informatie, die door de Uniewetgever eveneens wordt beoogd(11), vereist bijzondere aandacht bij het vinden van een evenwicht tussen enerzijds de doelstellingen van rechtszekerheid en bescherming van de rechten van derden, die – zoals we zullen zien – ten grondslag liggen aan de regels voor openbaarmaking met betrekking tot vennootschappen, en anderzijds de grondrechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens(12).

17.      Nog steeds ter inleiding merk ik op dat het hoofdgeding betrekking heeft op de schrapping, in het handelsregister van een lidstaat, van persoonsgegevens waarvan de terbeschikkingstelling aan het publiek noch door richtlijn 2017/1132 noch door het recht van de betrokken lidstaat wordt voorgeschreven, en op de aansprakelijkheid van de met het bijhouden van dit register belaste nationale autoriteit voor immateriële schade als gevolg van de weigering om onmiddellijk en onvoorwaardelijk gevolg te geven aan het verzoek om wissing van deze gegevens. Het hoofdgeding heeft daarentegen niet rechtstreeks betrekking op de vraag welke verplichtingen een dergelijke autoriteit uit hoofde van de bescherming van persoonsgegevens heeft wanneer zij in het handelsregister de oprichtingsakten van een vennootschap inschrijft die gegevens bevatten waarvan de openbaarmaking niet verplicht is. Deze kwestie speelt echter een rol, zoals blijkt uit het feit dat heel wat interveniërende lidstaten een groot deel van hun opmerkingen hieraan hebben gewijd, waarbij zij een radicale herformulering van de eerste vier prejudiciële vragen, of van sommige daarvan, hebben voorgesteld. In het vervolg van mijn analyse zal ik ingaan op bepaalde aspecten van deze kwestie, waarbij ik wel binnen de grenzen zal blijven van het voorwerp van het hoofdgeding en van de prejudiciële vragen waarop deze conclusie betrekking heeft.

2.      Vierde en vijfde prejudiciële vraag

18.      Met zijn vierde prejudiciële vraag, waarvan de ontvankelijkheid door de Bulgaarse regering wordt betwist, wenst de verwijzende rechter in wezen te vernemen of richtlijn 2017/1132 aldus moet worden uitgelegd dat zij het mogelijk maakt specifieke procedurele voorwaarden te stellen aan het recht van natuurlijke personen, in casu de vennoten van een onder deze richtlijn vallende vennootschap met beperkte aansprakelijkheid(13), om de schrapping in het handelsregister te verkrijgen van hen betreffende persoonsgegevens die weliswaar niet behoren tot de informatie die krachtens het nationale recht verplicht openbaar moet worden gemaakt, maar die zijn opgenomen in de oprichtingsakte van deze vennootschap die in het kader van de inschrijving van laatstgenoemde in dit register voor het publiek toegankelijk is gemaakt. Met zijn vijfde prejudiciële vraag verzoekt de verwijzende rechter het Hof om te verduidelijken of de autoriteit die verantwoordelijk is voor het bijhouden van het handelsregister, met betrekking tot deze gegevens optreedt als „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, AVG, dan wel of zij ook „ontvanger” van de door haar verwerkte gegevens is in de zin van artikel 4, punt 9, van deze verordening, waarbij het doel van de verwerking vooraf door een derde is bepaald.

19.      Zoals ik hierboven reeds heb aangegeven, moeten deze twee prejudiciële vragen naar mijn mening samen worden behandeld. Daartoe zal ik de verschillende problemen die zij aan de orde stellen, in de onderstaande volgorde behandelen. Na een kort overzicht van de omvang van de verplichtingen tot openbaarmaking met betrekking tot de in bijlage II bij richtlijn 2017/1132 vermelde vennootschapsvormen, zal ik in de eerste plaats de vraag onderzoeken wie de verwerkingsverantwoordelijke is voor de persoonsgegevens die zijn opgenomen in akten die verplicht openbaar moeten worden gemaakt in het kader van de inschrijving van een vennootschap in het handelsregister van een lidstaat, wanneer, zoals in het onderhavige geval, de openbaarmaking van de betrokken gegevens noch krachtens het geharmoniseerde recht van de Unie noch krachtens het recht van de betrokken lidstaat verplicht is. In de tweede plaats zal ik ingaan op de vraag wat in het onderhavige geval de rechtsgrondslag is voor de verwerking van dergelijke gegevens. In de derde plaats zal ik me buigen over de vraag of de betrokkenen, nadat deze gegevens openbaar zijn gemaakt als gevolg van de beschikbaarstelling aan het publiek van de akte waarin zij zijn vervat, beschikken over een recht op gegevenswissing overeenkomstig artikel 17 AVG. Ten slotte zal ik, in de vierde plaats, ingaan op de vraag of een dergelijk recht kan worden onderworpen aan een procedureregeling zoals die welke door de verwijzende rechter wordt genoemd.

20.      Alvorens deze analyse aan te vatten, moet worden geantwoord op de door de Bulgaarse regering opgeworpen bezwaren tegen de ontvankelijkheid van de vierde prejudiciële vraag. Deze regering is van mening dat de vierde prejudiciële vraag in wezen betrekking heeft op de verenigbaarheid met artikel 16, lid 7, van richtlijn 2017/1132, in de versie vóór de bij richtlijn 2019/1151 aangebrachte wijzigingen, van een nationale wettelijke regeling die nog niet is vastgesteld. Deze vraag zou dus hypothetisch van aard zijn. In dit verband merk ik op dat de verwijzende rechter zich in laatste aanleg dient uit te spreken over de rechtmatigheid van de weigering van het agentschap om over te gaan tot wissing van bepaalde persoonsgegevens van verweerster die zijn opgenomen in een akte die ter beschikking van het publiek is gesteld ten gevolge van de inschrijving ervan in het handelsregister, en over de gevolgen van deze weigering. Daartoe dient de verwijzende rechter met name in het licht van de bepalingen van richtlijn 2017/1132 en de AVG te beoordelen of een dergelijke weigering onder meer kan worden gerechtvaardigd door het feit dat geen gewaarmerkt afschrift van deze akte waaruit de betrokken persoonsgegevens zijn verwijderd, bij het dossier is gevoegd. De gevraagde prejudiciële beslissing is derhalve noodzakelijk om de verwijzende rechter in staat te stellen uitspraak te doen in het bij hem aanhangige geding. Bovendien blijkt duidelijk uit de verwijzingsbeslissing, ondanks de dubbelzinnige formulering van de vierde prejudiciële vraag, dat deze rechter met die vraag het Hof niet verzoekt om een beoordeling van de verenigbaarheid van een nog niet vastgestelde nationale wettelijke regeling met het Unierecht, maar wel om de uitleggingsgegevens betreffende dit recht te verstrekken die hij nodig heeft voor de beslechting van dit geding. Derhalve is de vierde prejudiciële vraag volgens mij ontvankelijk.

3.      Kort overzicht van de omvang van de verplichtingen tot openbaarmaking van akten en gegevens met betrekking tot de in bijlage II bij richtlijn 2017/1132 vermelde vennootschapsvormen

21.      Artikel 14 van richtlijn 2017/1132 bepaalt dat de lidstaten voor de in bijlage II bij deze richtlijn vermelde vennootschapsvormen „ten minste” de daarin genoemde akten en gegevens verplicht openbaar moeten maken. Onder de akten die verplicht openbaar moeten worden gemaakt, noemt dit artikel 14, onder a) tot en met c), „de oprichtingsakte alsmede de statuten [van de vennootschap] indien die in een afzonderlijke akte zijn opgenomen”, en de wijzigingen daarvan. Overeenkomstig artikel 4, onder i), van deze richtlijn omvat de verplichte informatie die in de statuten, de oprichtingsakte of een afzonderlijk, openbaar te maken document moet worden vermeld, de identiteit van de natuurlijke of rechtspersonen of vennootschappen door wie of namens wie de statuten of de oprichtingsakte zijn ondertekend. Onder de openbaar te maken gegevens noemt artikel 14, onder d), van diezelfde richtlijn „de benoeming, het aftreden, alsmede de identiteit van de personen die, als orgaan waarin de wet voorziet of als leden van een dergelijk orgaan[,] de bevoegdheid hebben de vennootschap ten opzichte van derden te verbinden en haar in rechte te vertegenwoordigen” en/of „deelnemen aan het bestuur van, het toezicht op of de controle op de vennootschap”. Overeenkomstig artikel 16, lid 2, van richtlijn 2017/1132, zoals gewijzigd bij richtlijn 2019/1151, worden alle documenten en informatie die krachtens artikel 14 van eerstgenoemde richtlijn openbaar gemaakt dienen te worden, bewaard in het in lid 1 van dit artikel 16 bedoelde dossier, dat wordt aangelegd bij een centraal handels- of vennootschapsregister, of worden zij rechtstreeks in het register opgenomen(14). Krachtens artikel 16, leden 3 en 4, van richtlijn 2017/1132, zoals gewijzigd bij richtlijn 2019/1151, zorgen de lidstaten ervoor dat de in artikel 14 van eerstgenoemde richtlijn bedoelde documenten en informatie openbaar worden gemaakt door deze voor het publiek beschikbaar te stellen in het register. Bovendien kunnen de lidstaten verlangen dat alle of bepaalde van die documenten en informatie worden bekendgemaakt in een daartoe bestemd nationaal publicatieblad of een even doeltreffend instrument. De lidstaten nemen alle nodige maatregelen om discrepanties te vermijden tussen de inhoud van het register en die van het dossier, en tussen hetgeen in het register openbaar wordt gemaakt en hetgeen in het publicatieblad wordt gepubliceerd.

22.      Met betrekking tot voornoemde voorschriften van richtlijn 2017/1132 kunnen de volgende opmerkingen worden gemaakt.

23.      Ten eerste voorziet deze richtlijn in de verplichte openbaarmaking en de toegankelijkheid via het register van de volledige oprichtingsakte van de vennootschap, alsook van de wijzigingen daarvan.(15)

24.      Ten tweede vereist deze richtlijn, met betrekking tot de in bijlage II erbij vermelde vennootschappen, de openbaarmaking en toegankelijkheid via het register van gegevens alleen voor bepaalde categorieën personen, met name zij die bevoegd zijn om de vennootschap te binden of die deelnemen aan het bestuur van de vennootschap of het toezicht of de controle erop. Krachtens artikel 4, onder i), van diezelfde richtlijn moet ook de identiteit worden bekendgemaakt van de natuurlijke personen die de oprichtingsakte van de vennootschap hebben ondertekend.

25.      Ten derde vormen deze gegevens, die betrekking hebben op geïdentificeerde of identificeerbare natuurlijke personen, „persoonsgegevens” in de zin van artikel 4, punt 1, AVG.(16)

26.      Ten vierde bevatten voornoemde bepalingen van richtlijn 2017/1132 slechts minimumvereisten inzake de openbaarmaking van akten en gegevens met betrekking tot vennootschappen. Het is derhalve aan de lidstaten om met name te bepalen voor welke categorieën van informatie betreffende de identiteit van de in artikel 4, onder i), en artikel 14, onder d), van deze richtlijn bedoelde personen een verplichting tot openbaarmaking geldt. Het staat de lidstaten overigens vrij om andere akten of andere gegevens, eventueel met betrekking tot andere categorieën personen, aan een dergelijke openbaarmaking te onderwerpen. Het spreekt vanzelf dat zij daarbij alle bepalingen van het Unierecht in acht moeten nemen, met name de beginselen die zijn neergelegd in artikel 8 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”) en de bepalingen van de AVG.

4.      Verwerkingsverantwoordelijke

27.      In artikel 4, punt 7, AVG wordt het begrip „verwerkingsverantwoordelijke” ruim gedefinieerd als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, „het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. Het doel van deze ruime definitie, in overeenstemming met het doel van deze verordening, bestaat in het waarborgen van een doeltreffende bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, en met name van een hoog niveau van bescherming van eenieders recht op de bescherming van zijn persoonsgegevens.(17) Ook het begrip „verwerking” is ruim gedefinieerd.(18) Volgens artikel 4, punt 2, AVG moet „verwerking” worden begrepen als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.

28.      Uit het arrest Manni volgt dat wanneer de autoriteit die verantwoordelijk is voor het bijhouden van het handelsregister de gegevens over de identiteit van de in artikel 14, onder d), van richtlijn 2017/1132 bedoelde personen in dat register inschrijft en opslaat en die gegevens meedeelt, een „verwerking van persoonsgegevens” verricht waarvoor zij de „verantwoordelijke” is in de zin van de definities van artikel 4, punten 2 en 7, AVG. Hetzelfde geldt uiteraard wanneer de inschrijving in dit register, de opslag en de mededeling betrekking hebben op andere persoonsgegevens dan die welke uitdrukkelijk in deze richtlijn worden genoemd, indien openbaarmaking van deze gegevens wordt voorgeschreven door het recht van een lidstaat.

29.      In het onderhavige geval rijst echter de vraag of een dergelijke autoriteit, in casu het agentschap, verantwoordelijk is voor de terbeschikkingstelling aan het publiek van persoonsgegevens waarvan de openbaarmaking noch door richtlijn 2017/1132 noch door het recht van de betrokken lidstaat, in casu het Bulgaarse recht, wordt voorgeschreven, maar die zijn opgenomen in een akte waarvan de inschrijving en openbaarmaking verplicht zijn.

30.      Deze vraag moet volgens mij bevestigend worden beantwoord.

31.      De terbeschikkingstelling aan het publiek van OL’s persoonsgegevens in het handelsregister is immers gebeurd in het kader van de uitoefening van de bevoegdheden die zijn verleend aan het agentschap als autoriteit die belast is met het bijhouden van dit register. Zoals hierboven vermeld, bepaalt de Bulgaarse wetgeving dat de aanvraag tot inschrijving van een vennootschap in dit register vergezeld moet gaan van het origineel of een voor eensluidend gewaarmerkt afschrift van de akten die openbaar moeten worden gemaakt, waaronder de vennootschapsovereenkomst, die het agentschap ter beschikking van het publiek dient te stellen. De doeleinden en de middelen van de door het agentschap bij de uitoefening van zijn taken verrichte verwerking van persoonsgegevens worden ook door het Bulgaarse recht bepaald, alsmede door het Unierecht dat, zoals we hebben gezien, de wetgevingen van de lidstaten op het gebied van de openbaarmaking betreffende vennootschappen op elkaar heeft afgestemd. Als autoriteit die ermee belast is de persoonsgegevens in de in het handelsregister ingeschreven akten te verwerken overeenkomstig de door de Bulgaarse en de Uniewetgeving bepaalde doeleinden en middelen, moet het agentschap derhalve worden beschouwd als „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, AVG. Ik wijs erop dat het Hof onlangs in het arrest van 11 januari 2024, Belgische Staat (Gegevens verwerkt door een publicatieblad)(19), tot een soortgelijke slotsom is gekomen met betrekking tot het nationale orgaan dat bij wet belast is met het bijhouden van het publicatieblad van een lidstaat.

32.      Aan deze conclusie wordt niet afgedaan door het feit dat in de onderhavige zaak de gegevens in de vennootschapsovereenkomst van 2020 niet behoren tot de gegevens die naar Bulgaars recht ter beschikking van het publiek moeten worden gesteld. Dat een dergelijke omstandigheid geen invloed heeft op de vaststelling van de verwerkingsverantwoordelijke is door het Hof impliciet erkend in het arrest Belgische Staat. In de zaak die tot dit arrest heeft geleid, net als in die welke tot de onderhavige prejudiciële verwijzing heeft geleid, betrof het geschil gegevens waarvan de openbaarmaking niet vereist was volgens het recht van de betrokken lidstaat. Verder bepaalt artikel 13, lid 9, van de wet inzake de registers uitdrukkelijk dat indien de aanvrager geen gewaarmerkt afschrift overlegt van de openbaar te maken akte waaruit de niet-verplichte persoonsgegevens zijn verwijderd, het agentschap deze gegevens verwerkt en ter beschikking stelt van het publiek op basis van een veronderstelde impliciete toestemming. Derhalve wijst de Bulgaarse wetgeving zelfs in dergelijke omstandigheden het agentschap uitdrukkelijk aan als verwerkingsverantwoordelijke.

33.      In deze omstandigheden kan ik mij niet vinden in het standpunt dat het agentschap in zijn schriftelijke opmerkingen naar voren heeft gebracht, namelijk dat indien de aanvrager de niet bij wet vereiste gegevens in de akten die hij ter inschrijving in het register overlegt, niet onleesbaar maakt, hij zelf verantwoordelijk wordt voor de verwerking die bestaat in het online plaatsen van deze gegevens in dit register. Ongeacht of toestemming voor de openbaarmaking van deze gegevens rechtsgeldig kan worden gegeven met een beroep op het vermoeden van artikel 13, lid 9, van de wet inzake de registers, kan het bestaan van een dergelijke toestemming immers geen invloed hebben op de vaststelling van de verwerkingsverantwoordelijke, maar alleen op de rechtmatigheid van de verwerking.

34.      Evenmin relevant is de ook door het agentschap aangevoerde omstandigheid dat de documenten die in het kader van een aanvraag tot inschrijving in het handelsregister worden ingediend, geen gestructureerde of machineleesbare gegevens zijn, in tegenstelling tot de numerieke velden in dit register, die bij de inschrijving door de ambtenaar van het agentschap worden ingevuld en beantwoorden aan de wettelijke definitie van een „register” in het Bulgaarse recht. Het agentschap is immers de autoriteit die bij Bulgaarse wet belast is met het bijhouden van het handelsregister en derhalve verantwoordelijk is voor iedere verwerking van de in dit register gepubliceerde persoonsgegevens, ongeacht of deze gegevens zijn opgenomen in een document dat bij de aanvraag is gevoegd dan wel of zij door een ambtenaar van het agentschap zijn gecodeerd. Ook als het agentschap zelf niet overgaat tot een digitale omzetting van de ontvangen documenten, is het dus niettemin verantwoordelijk voor de openbaarmaking, via het register, van deze documenten en de erin vervatte gegevens. Meer in het algemeen verzamelt, registreert, bewaart, organiseert en ordent het agentschap in het kader van zijn taak van openbaar belang alle gegevens, akten en documenten die het ontvangt in een gestructureerde databank, die wordt erkend als een betrouwbare en authentieke informatiebron.

35.      Ten slotte wordt de kwalificatie van het agentschap als „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, AVG niet ter discussie gesteld door het feit dat het agentschap de persoonsgegevens in de elektronische versies of de papieren originelen van de documenten die ter inschrijving worden overgelegd, niet controleert voordat deze online worden gezet, noch door het feit dat het agentschap deze gegevens niet kan wijzigen of rectificeren. In dit verband herinner ik eraan dat het Hof reeds de gelegenheid heeft gehad om een betoog van soortgelijke strekking te verwerpen in het arrest Belgische Staat, met betrekking tot de bekendmaking, in het publicatieblad van een lidstaat, van akten en documenten die door derden zijn opgesteld, vervolgens bij een rechterlijke instantie zijn neergelegd en aan het voor dit publicatieblad verantwoordelijk orgaan zijn overgemaakt met het oog op de openbaarmaking ervan. In punt 38 van dit arrest heeft het Hof om te beginnen opgemerkt dat de bekendmaking van dergelijke akten en documenten zonder de mogelijkheid om de inhoud ervan te controleren of wijzigen, intrinsiek verbonden is met de rol van een publicatieblad, die ertoe beperkt is het publiek overeenkomstig het toepasselijke nationale recht te informeren over het bestaan van deze akten en documenten, zodat zij aan derden kunnen worden tegengeworpen. Verder heeft het Hof gepreciseerd dat het in strijd zou zijn met de doelstelling van artikel 4, punt 7, AVG, die erin bestaat een doeltreffende en volledige bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te verzekeren, indien het publicatieblad van een lidstaat zou worden uitgesloten van het begrip „verwerkingsverantwoordelijke” omdat het geen controle uitoefent over dergelijke gegevens. Soortgelijke overwegingen gelden mutatis mutandis voor de openbaarmaking van akten en documenten in de vennootschapsregisters van lidstaten. Zoals het geval was voor het Belgisch Staatsblad in bovengenoemd arrest, dient het agentschap de betrokken akte weliswaar ongewijzigd bekend te maken, maar het is uitsluitend dit agentschap dat deze taak op zich neemt en de akte verspreidt.(20)

36.      In dit stadium rijst de vraag of het agentschap moet worden geacht als enige verantwoordelijk te zijn voor de verwerking van de litigieuze gegevens, en dus voor de inachtneming van de in artikel 5, lid 1, AVG vermelde beginselen, dan wel of het deze verantwoordelijkheid deelt met de aanvrager, die namens de vennootschap optreedt, op grond dat laatstgenoemde het agentschap geen kopie van de vennootschapsovereenkomst van 2020 heeft toegezonden waaruit deze gegevens zijn verwijderd.

37.      In dit verband wijs ik er om te beginnen op dat artikel 26, lid 1, AVG bepaalt dat twee of meer personen gezamenlijk verwerkingsverantwoordelijke kunnen zijn en dat hun respectieve verplichtingen bij onderlinge overeenkomst of door het Unierecht of het toepasselijke nationale recht kunnen worden vastgesteld.(21) In dit verband heeft het Hof vastgesteld dat de kwalificatie als „gezamenlijke verwerkingsverantwoordelijken” voortvloeit uit het feit dat meerdere entiteiten aan de vaststelling van de doeleinden van de verwerking en de middelen daarvoor hebben deelgenomen.(22) Bij gebreke van een dergelijke deelname is een gezamenlijke verantwoordelijkheid voor de verwerking echter uitgesloten en moeten de verschillende actoren worden beschouwd als opeenvolgende onafhankelijke verwerkingsverantwoordelijken. Zoals de EDPS heeft aangegeven, dient de uitwisseling van dezelfde gegevens of groep gegevens tussen twee entiteiten zonder gezamenlijk bepaalde doelen of gezamenlijk vastgestelde verwerkingsmethoden te worden beschouwd als een doorgifte van gegevens tussen afzonderlijke verwerkingsverantwoordelijken.(23)

38.      Het enkele feit dat het agentschap tegelijk „verwerkingsverantwoordelijke” is in de zin van artikel 4, punt 7, AVG en „ontvanger” in de zin van punt 9 van dit artikel, omdat aan dit agentschap de persoonsgegevens worden verstrekt die zijn opgenomen in de akten en documenten die bij de aanvraag tot inschrijving in het handelsregister zijn gevoegd, staat dus niet toe uit te sluiten dat het agentschap als enige verantwoordelijk is voor de terbeschikkingstelling van die gegevens aan het publiek. Deze terbeschikkingstelling aan het publiek, alsmede de digitale omzetting – wanneer deze plaatsvindt – van de gegevens die zijn opgenomen in de bij het agentschap ingediende akten, en de opslag ervan, vormen immers een verwerking die losstaat van en volgt op de overlegging van de gegevens door de aanvrager met het oog op de registratie van de vennootschap. Het agentschap voert al deze verwerkingen alleen uit, in het kader van de taak van openbare orde waarmee het is belast en in overeenstemming met de in de Bulgaarse wetgeving vastgestelde doeleinden en modaliteiten.(24)

39.      Het is juist dat het Hof in het arrest Belgische Staat(25) heeft gepreciseerd dat het volstaat dat een persoon voor eigen doeleinden invloed uitoefent op de verwerking van persoonsgegevens en dientengevolge deelneemt aan de vaststelling van de doeleinden van en de middelen voor die verwerking, opdat hij gezamenlijk verantwoordelijk kan worden gehouden voor de verwerking.(26) In de onderhavige zaak blijkt uit het aan het Hof overgelegde dossier echter dat de doeleinden van en de middelen voor de verwerking van de gegevens die zijn vervat in de documenten die via het handelsregister ter beschikking van het publiek moeten worden gesteld, uitsluitend bij wet worden vastgesteld. De personen die namens de vennootschap de wettelijk verplicht openbaar te maken documenten en gegevens in de databank van dit register laden(27), hebben geen invloed op die vaststelling en kunnen dus, net zo min als de vennootschap zelf, verantwoordelijk worden gehouden voor de verdere verwerking van de gegevens die zij aan het agentschap meedelen, waaronder de openbaarmaking van deze gegevens via de elektronische databank van het register. Door de openbaar te maken akten aan het agentschap over te maken en de daarin opgenomen gegevens te verwerken, streven deze personen bovendien hun eigen doeleinden na, namelijk het vervullen van de formaliteiten die nodig zijn voor de registratie van de vennootschap. Deze doeleinden verschillen van de openbare doeleinden die aan het register zijn toegewezen en die door het agentschap worden nagestreefd wanneer het ervoor zorgt dat deze akten aan het publiek beschikbaar worden gesteld.(28)

40.      Verder heeft het Hof in het arrest Belgische Staat erkend dat, indien er sprake is van een keten van verwerkingen die door verschillende personen of entiteiten worden verricht en op dezelfde persoonsgegevens zien, het nationale recht de doeleinden van en de middelen voor alle door deze personen of entiteiten achtereenvolgens verrichte verwerkingen op zodanige wijze kan bepalen dat de genoemde personen of entiteiten gezamenlijk verantwoordelijk zijn voor de verwerking.(29) Volgens artikel 26, lid 1, juncto artikel 4, punt 7, AVG kan het nationale recht dus bepalen dat verschillende actoren in een keten van verwerkingen van dezelfde persoonsgegevens gezamenlijk verantwoordelijk zijn, mits de verschillende verwerkingshandelingen de doelstellingen en middelen delen die door dit nationale recht zijn vastgesteld en dit recht direct of indirect de respectieve verplichtingen van elk van de gezamenlijke verwerkingsverantwoordelijken vaststelt.(30) Naar mijn mening is dit echter niet het geval bij artikel 13, leden 6 en 9, van de wet inzake de registers, waarin slechts de voorwaarden worden omschreven waaronder naar Bulgaars recht de toestemming voor publicatie in het handelsregister van persoonsgegevens die niet openbaar hoeven te worden gemaakt, rechtsgeldig is gegeven door de betrokkene. Het doel van deze bepaling is immers niet om de medeverantwoordelijkheid van de aanvrager voor de latere verwerking van deze gegevens vast te stellen, maar om de grondslag voor de rechtmatigheid van de door het agentschap verrichte verwerking te specificeren. Bovendien verschillen, zoals ik reeds heb benadrukt, de particuliere doeleinden die door de vennootschap worden nagestreefd van de openbare doeleinden van het agentschap, zodat naar mijn mening niet is voldaan aan de voorwaarden die in het arrest Belgische Staat worden gesteld opdat hun gezamenlijke aansprakelijkheid, als actoren in een „keten van verwerkingen van dezelfde persoonsgegevens”, als vastgesteld door het Bulgaarse recht kan worden beschouwd.

41.      Gelet op een en ander ben ik van mening dat artikel 4, punt 7, en artikel 26, lid 1, AVG aldus moeten worden uitgelegd dat de autoriteit die belast is met het bijhouden van het handelsregister van een lidstaat en die krachtens het recht van die staat moet zorgen voor de openbaarmaking van de akten die haar worden overgemaakt in het kader van een aanvraag tot inschrijving van een vennootschap in dit register, als enige verantwoordelijk is voor de terbeschikkingstelling aan het publiek van de in deze akten vervatte persoonsgegevens, zelfs wanneer het gaat om gegevens waarvan de openbaarmaking niet is vereist en die overeenkomstig dit recht hadden moeten worden verwijderd voordat de akten aan deze autoriteit werden overgemaakt.

5.      Grondslag van de rechtmatigheid van de verwerking

42.      Iedere verwerking van persoonsgegevens moet in overeenstemming zijn met de in artikel 5, lid 1, AVG neergelegde beginselen inzake gegevensverwerking en moet voldoen aan de voorwaarden die worden gesteld in artikel 6 van deze verordening(31), dat een uitputtende en limitatieve lijst bevat van de gevallen waarin een dergelijke verwerking als rechtmatig kan worden beschouwd(32). Volgens artikel 6, lid 1, eerste alinea, onder a), AVG is de verwerking van persoonsgegevens alleen rechtmatig indien en voor zover de betrokkene daarvoor toestemming heeft gegeven voor een of meer specifieke doeleinden. Bij gebreke van een dergelijke toestemming of wanneer die toestemming niet vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven door middel van een verklaring of een ondubbelzinnige actieve handeling in de zin van artikel 4, punt 11, AVG, is een dergelijke verwerking niettemin gerechtvaardigd wanneer is voldaan aan een van de in artikel 6, lid 1, eerste alinea, onder b) tot en met f), van deze verordening genoemde vereisten van noodzakelijkheid, die restrictief moeten worden uitgelegd.(33)

43.      In het onderhavige geval voldoet het bij artikel 13, lid 9, van de wet inzake de registers vastgestelde vermoeden van toestemming kennelijk niet aan de voorwaarden van artikel 6, lid 1, eerste alinea, onder a), AVG, gelezen in samenhang met artikel 4, punt 11, van deze verordening.(34) Derhalve moet worden nagegaan of een gegevensverwerking zoals die welke in het hoofdgeding aan de orde is, voldoet aan een van de andere rechtvaardigingsgronden van artikel 6, lid 1, eerste alinea, van deze verordening.

44.      Uit het arrest Manni volgt dat de verwerking van persoonsgegevens die door de voor het bijhouden van het register verantwoordelijke autoriteit wordt verricht ter uitvoering van de handelingen van de Unie die de nationale bepalingen inzake de openbaarmaking van vennootschapsakten coördineren, met name voldoet aan de in artikel 6, lid 1, eerste alinea, onder c) en e), AVG genoemde gronden voor rechtmatigheid, die respectievelijk betrekking hebben op het voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust en op de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Ik zal mijn analyse dan ook toespitsen op deze twee gronden.

45.      Wat in de eerste plaats de in artikel 6, lid 1, eerste alinea, onder c), AVG neergelegde grond betreft, moet om te beginnen worden onderzocht of de toegang van het publiek tot de in het hoofdgeding aan de orde zijnde persoonsgegevens in het handelsregister, die niet behoren tot de gegevens die krachtens richtlijn 2017/1132 of het Bulgaarse recht openbaar moeten worden gemaakt, werd gerechtvaardigd door het vereiste om de openbaarmaking van de in artikel 14 van deze richtlijn bedoelde akten te verzekeren en derhalve noodzakelijk was om een wettelijke verplichting krachtens het recht van de Unie na te komen.

46.      Overeenkomstig artikel 16, lid 3, van de genoemde richtlijn zorgen de lidstaten ervoor dat die akten in het in lid 1, eerste alinea, van dit artikel bedoelde register voor het publiek toegankelijk worden gemaakt. De Duitse, de Ierse en de Poolse regering zijn in wezen van mening dat de met het bijhouden van het register belaste autoriteiten krachtens dit artikel, gelezen in samenhang met bovengenoemd artikel 14, de genoemde akten openbaar moeten maken zoals zij deze ontvangen. Zij zouden derhalve verplicht zijn om alle daarin opgenomen persoonsgegevens te verwerken, met inbegrip van de gegevens die niet vereist zijn op grond van het Unierecht of het toepasselijke nationale recht.

47.      Ik deel deze uitlegging niet. Richtlijn 2017/1132 voorziet weliswaar erin dat bepaalde essentiële akten van vennootschappen verplicht openbaar worden gemaakt en dat dit via het register gebeurt, maar zij vereist niet dat alle persoonsgegevens in die akten systematisch worden verwerkt zelfs wanneer die verwerking in strijd is met de AVG. Integendeel, zoals ik hierboven heb uiteengezet, bepaalt artikel 161 van deze richtlijn, zoals gewijzigd bij richtlijn 2019/1151, dat de AVG van toepassing is op de verwerking van persoonsgegevens in het kader van eerstgenoemde richtlijn. Het is dus aan de lidstaten om het juiste evenwicht te vinden tussen de doelstellingen van rechtszekerheid en bescherming van de belangen van derden, die – zoals we zullen zien – ten grondslag liggen aan de regels inzake de openbaarmaking van vennootschapsakten, en het grondrecht op de eerbiediging van persoonsgegevens.

48.      Vervolgens moet worden nagegaan of de openbaarmaking in het handelsregister van de in het hoofdgeding aan de orde zijnde gegevens noodzakelijk was om te voldoen aan een wettelijke verplichting naar Bulgaars recht. In dit verband herinner ik eraan dat artikel 2, lid 2, van de wet inzake de registers bepaalt dat de in het handelsregister op te nemen akten „voor het publiek toegankelijk [worden] gemaakt met uitzondering van informatie die wordt beschouwd als persoonsgegevens in de zin van artikel 4, punt 1, [AVG], tenzij deze informatie bij wet voor het publiek toegankelijk moet worden gemaakt”. De rechtmatigheid van de in het hoofdgeding aan de orde zijnde gegevensverwerking blijkt derhalve niet te kunnen steunen op een „wettelijke verplichting” in de zin van artikel 6, lid 1, eerste alinea, onder c), AVG, waaraan het agentschap krachtens het Bulgaarse recht zou zijn onderworpen, hetgeen overigens lijkt te worden bevestigd door het vermoeden van toestemming dat is ingevoerd bij artikel 13, lid 9, van de wet inzake de registers. Het staat echter aan de verwijzende rechter, die als enige bevoegd is om het nationale recht uit te leggen, om zich over dit punt uit te spreken. Ik beperk mij hier tot de vaststelling dat het enkele feit, waarop het agentschap zich beroept, dat het bij gebreke van een kopie waarin de niet wettelijk vereiste persoonsgegevens onleesbaar zijn gemaakt, het document openbaar moet maken zoals het aan het agentschap is overgelegd, naar mijn mening niet volstaat om te kunnen spreken van een „wettelijke verplichting” in de zin van artikel 6, lid 1, eerste alinea, onder c), AVG. Een dergelijke openbaarmaking is immers a priori bij wet uitgesloten en wordt door het agentschap enkel verricht op basis van een vermeende toestemming.(35) In dit verband moet worden benadrukt dat het aan de verwerkingsverantwoordelijke is om zich ervan te vergewissen dat zijn gegevensverwerking „rechtmatig” is ten aanzien van de voorwaarden van artikel 6, lid 1, eerste alinea, onder a) tot en met f), van deze verordening.(36)

49.      Wat in de tweede plaats de in artikel 6, lid 1, eerste alinea, onder e), AVG neergelegde grond betreft, waarnaar wordt verwezen door zowel de verwijzende rechter als de meeste lidstaten die in deze procedure opmerkingen hebben ingediend, herinner ik eraan dat het Hof reeds heeft geoordeeld dat de activiteit van een overheidsinstantie, bestaande in het opslaan in een databank van de gegevens die vennootschappen op grond van wettelijke verplichtingen moeten meedelen, teneinde de belanghebbenden in staat te stellen deze gegevens te raadplegen en hun kopieën ervan te verstrekken, tot de uitoefening van bevoegdheden van openbaar gezag behoort(37) en een taak van algemeen belang in de zin van deze bepaling vormt(38). Zoals advocaat-generaal Bot heeft opgemerkt in zijn conclusie in de zaak die tot het arrest Manni heeft geleid, wordt met de inschrijving en openbaarmaking in het handels- en het vennootschapsregister van wezenlijke informatie met betrekking tot vennootschappen beoogd een betrouwbare informatiebron in te richten en aldus de rechtszekerheid te waarborgen die noodzakelijk is voor de bescherming van de belangen van derden, met name schuldeisers, voor de eerlijkheid van handelstransacties en bijgevolg voor het goede functioneren van de markt.(39) Zoals het Hof heeft benadrukt, dragen de opslag van alle relevante gegevens in deze registers en de toegankelijkheid ervan voor derden bovendien bij aan de bevordering van het handelsverkeer tussen de lidstaten, mede met het oog op de ontwikkeling van de interne markt.(40)

50.      In de onderhavige zaak rijst de vraag of deze doelstellingen en de in artikel 6, lid 1, eerste alinea, onder e), AVG neergelegde rechtmatigheidsgrond kunnen worden ingeroepen voor de terbeschikkingstelling aan het publiek, door het agentschap, van de in het hoofdgeding aan de orde zijnde persoonsgegevens, die niet behoren tot de gegevens die krachtens het recht van de Unie of het Bulgaarse recht verplicht bekend moeten worden gemaakt.

51.      In dit verband herinner ik eraan dat artikel 6, lid 3, AVG, gelezen in samenhang met overweging 45 ervan, met name wat betreft de rechtmatigheidsgrond als bedoeld in lid 1, eerste alinea, onder e), van dit artikel, bepaalt dat de verwerking een grondslag dient te hebben in het Unierecht of het lidstatelijke recht dat op de verwerkingsverantwoordelijke van toepassing is, en dat deze rechtsgrondslag moet beantwoorden aan een doelstelling van algemeen belang en evenredig moet zijn aan het nagestreefde gerechtvaardigde doel.(41) Aan geen van deze vereisten, waarvan het Hof heeft vastgesteld dat zij een uitdrukking zijn van die welke voortvloeien uit artikel 52, lid 1, van het Handvest(42), lijkt te zijn voldaan in de onderhavige zaak, die betrekking heeft op de verwerking van persoonsgegevens die, hoewel zij is verricht ter gelegenheid van de vervulling van een taak van algemeen belang in de zin van artikel 6, lid 1, eerste alinea, onder e), AVG, niet a priori noodzakelijk wordt geacht voor de vervulling van die taak krachtens de toepasselijke nationale wetgeving, noch voor de verwezenlijking van de aan het handelsregister toegewezen doeleinden, en die alleen is toegestaan op basis van een vermeende toestemming van de betrokkene.

52.      Meer in het algemeen moet worden benadrukt dat de openbaarmaking van persoonsgegevens die niet vereist zijn krachtens het recht van de Unie of het recht van de betrokken lidstaat, geen van de in punt 49 van deze conclusie genoemde doeleinden dient(43), die als enige inmenging in het recht van de betrokkenen op eerbiediging van het privéleven en op bescherming van persoonsgegevens, zoals gewaarborgd door de artikelen 7 en 8 van het Handvest, rechtvaardigen(44). Bovendien heeft het Hof in het arrest Manni benadrukt dat een dergelijke inmenging niet als onevenredig wordt beschouwd met name omdat in beginsel slechts wordt voorzien in de bekendmaking van een beperkt aantal persoonsgegevens, namelijk die welke betrekking hebben op de identiteit en de respectieve taken van de personen die bevoegd zijn om de vennootschap te verbinden en die derhalve noodzakelijk zijn voor de bescherming van de belangen van derden.(45)

53.      De Bulgaarse regering en het agentschap betogen in wezen dat de in het hoofdgeding aan de orde zijnde verwerking naar Bulgaars recht zijn grondslag vindt in het vereiste om de openbaarmaking van de essentiële akten van vennootschappen te verzekeren, de integriteit en betrouwbaarheid ervan te handhaven en het agentschap niet te hinderen bij het vervullen van zijn taak van algemeen belang. Indien de verwijzende rechter tot dezelfde slotsom komt, dient hij zich er nog steeds van te vergewissen dat het evenredigheidsbeginsel wordt geëerbiedigd. Krachtens dit beginsel moeten beperkingen van het grondrecht op eerbiediging van persoonsgegevens binnen de grenzen van het strikt noodzakelijke blijven(46), hetgeen niet het geval is wanneer de nagestreefde doelstelling van algemeen belang redelijkerwijs even doeltreffend kan worden bereikt met andere middelen, die dit recht minder aantasten(47). Opgemerkt zij ook dat artikel 5, lid 1, onder c), AVG bepaalt dat persoonsgegevens toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt, en vereist dat de lidstaten het beginsel van de „minimale gegevensverwerking” in acht nemen, dat uitdrukking geeft aan het evenredigheidsbeginsel.(48)

54.      Het komt mij voor dat de doelstelling om de openbaarmaking van de essentiële akten van vennootschappen te verzekeren redelijkerwijs kan worden bereikt door procedures in te voeren die het mogelijk maken om de persoonsgegevens die niet voor het publiek toegankelijk hoeven te worden gemaakt, vóór de openbaarmaking ervan onleesbaar te maken. Deze procedures kunnen met name inhouden dat het agentschap de inschrijving van de vennootschap moet schorsen om de wijziging van de akten die dergelijke gegevens bevatten mogelijk te maken, of dat het, eventueel ambtshalve, moet overgaan tot het wissen van deze gegevens.

55.      De argumenten van een aantal lidstaten die in het kader van deze procedure opmerkingen hebben ingediend, namelijk dat de invoering van dergelijke procedures de behandeling van aanvragen tot inschrijving in het vennootschapsregister dreigt te vertragen, met name ten nadele van de belangen van de vennoten, of de nationale autoriteiten met buitensporig zware taken dreigt te belasten, kunnen volgens mij niet slagen. Deze procedures zijn immers noodzakelijk om de met de openbaarmaking van vennootschapsakten nagestreefde belangen te verzoenen met het grondrecht op eerbiediging van persoonsgegevens, in het bijzonder wanneer, zoals ik in punt 16 van deze conclusie heb uiteengezet, de betrokken persoonsgegevens onbeperkt ter beschikking van het publiek worden gesteld in een gedigitaliseerde omgeving. Voorts kan voor die gegevens gebruik worden gemaakt van zoek- en identificatie-instrumenten om de taak van deze autoriteiten te vergemakkelijken en kunnen de procedures aldus worden ontworpen dat in eerste instantie de aanvragers worden belast met de taak om de niet aan de openbaarmakingsplicht onderworpen persoonsgegevens onleesbaar te maken, zoals overigens in de Bulgaarse wet is bepaald.

56.      Wat betreft het vereiste van handhaving van de integriteit en de betrouwbaarheid van verplicht openbaar te maken vennootschapsakten die zijn overgelegd ter inschrijving in het vennootschapsregister, dat ook wordt genoemd door de Bulgaarse regering en door het agentschap, alsmede door de meeste lidstaten die in deze procedure opmerkingen hebben ingediend, en op grond waarvan deze akten openbaar moeten worden gemaakt zoals zij zijn overgelegd aan de met het bijhouden van het register belaste autoriteiten, kan dit naar mijn mening niet systematisch prevaleren boven het grondrecht op bescherming van persoonsgegevens, omdat anders deze bescherming louter illusoir wordt.

57.      Ik ben namelijk geneigd te denken dat dit vereiste hoogstens de opslag kan rechtvaardigen van in dergelijke documenten vervatte, niet verplicht openbaar te maken persoonsgegevens, maar niet de openbaarmaking ervan, zonder enige beperking of restrictie, in de voor het publiek toegankelijke databank van het register. Meer in het bijzonder ben ik van mening dat door het ter beschikking stellen aan het publiek van een kopie van deze akten waaruit de niet vereiste persoonsgegevens zijn verwijderd, en het bewaren van het origineel in het dossier, een juist evenwicht kan worden bereikt tussen dit vereiste en de bescherming van de gegevens van de betrokken personen. De eventuele toegang tot de originele akte en alle erin vervatte gegevens zou dan alleen per geval worden toegestaan, op basis van een legitiem belang dat de toegang rechtvaardigt, waaronder het verifiëren van de authenticiteit van de akte, en met inachtneming van de bepalingen van de AVG.

58.      In dit verband ben ik, anders dan met name de Ierse regering stelt, van mening dat artikel 16 bis van richtlijn 2017/1132, zoals gewijzigd bij richtlijn 2019/1151, voor zover het bepaalt dat „[d]e lidstaten [ervoor zorgen] dat bij het register [...] een kopie kan worden aangevraagd van alle of een gedeelte van de in artikel 14 bedoelde documenten”, niet inhoudt dat de lidstaten verplicht zijn onbeperkte toegang tot het volledige document te verlenen. Zoals ik reeds heb opgemerkt, verplicht artikel 161 van richtlijn 2017/1132, zoals gewijzigd bij richtlijn 2019/1151, de lidstaten daarentegen om procedures in te voeren die garanderen dat de met het bijhouden van het vennootschapsregister belaste autoriteiten bij de vervulling van de hun toevertrouwde taak van algemeen belang alle bepalingen van de AVG naleven.

59.      Gelet op een en ander ben ik van mening dat de in het hoofdgeding aan de orde zijnde gegevensverwerking niet kan worden geacht te zijn gebaseerd op de toestemming van verweerster in het hoofdgeding in de zin van artikel 6, lid 1, eerste alinea, onder a), AVG, gelezen in samenhang met artikel 4, punt 11, van deze verordening. Onder voorbehoud van de door de verwijzende rechter te verrichten verificaties lijkt deze verwerking evenmin te voldoen aan de rechtmatigheidsvoorwaarden van artikel 6, lid 1, eerste alinea, onder c), AVG, noch aan die onder e) van dit artikel, gelezen in samenhang met artikel 6, lid 3, van deze verordening. Volledigheidshalve voeg ik hieraan toe dat de genoemde verwerking ook niet kan vallen binnen de werkingssfeer van artikel 6, lid 1, eerste alinea, onder f), AVG, dat betrekking heeft op een verwerking van persoonsgegevens die noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. Het Hof heeft immers geoordeeld dat uit de bewoordingen van artikel 6, lid 1, tweede alinea, AVG duidelijk blijkt dat een verwerking van persoonsgegevens door een overheidsinstantie in het kader van de uitvoering van haar taken niet kan vallen onder de werkingssfeer van artikel 6, lid 1, eerste alinea, onder f), AVG, zodat de toepassing van deze bepaling en die van artikel 6, lid 1, eerste alinea, onder e), van deze verordening elkaar uitsluiten.(49) In casu worden de in het hoofdgeding aan de orde zijnde persoonsgegevens door het agentschap verwerkt in het kader van de uitoefening van de eraan toevertrouwde taak van algemeen belang, waardoor de toepassing van artikel 6, lid 1, eerste alinea, onder f), AVG van meet af aan is uitgesloten, ongeacht of is voldaan aan de voorwaarden van artikel 6, lid 3, AVG.

60.      Bijgevolg is het niet uitgesloten dat de verwijzende rechter tot de slotsom zal komen dat de in het hoofdgeding aan de orde zijnde gegevensverwerking onrechtmatig was omdat er geen sprake was van een van de rechtvaardigingsgronden van artikel 6, lid 1, AVG.

6.      Recht op gegevenswissing

61.      Artikel 17 AVG stelt het recht van de betrokkene vast op het wissen van hem betreffende persoonsgegevens wanneer een van de in lid 1 van dit artikel genoemde gevallen van toepassing is en legt, daarmee samenhangend, aan de verwerkingsverantwoordelijke de verplichting op om over te gaan tot een dergelijke wissing zonder onredelijke vertraging.

62.      In artikel 17, lid 3, AVG wordt evenwel gepreciseerd dat lid 1 van dit artikel niet van toepassing is voor zover de verwerking in kwestie nodig is om een van de in eerstgenoemde bepaling vermelde redenen. Deze redenen omvatten, zoals vermeld in artikel 17, lid 3, onder b), van deze verordening, het nakomen van een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.

63.      Aangezien deze uitzonderingen op het recht op gegevenswissing een afspiegeling vormen van de in artikel 6, lid 1, eerste alinea, onder c) en e), AVG genoemde rechtvaardigingsgronden voor verwerking, verwijs ik voor de inroepbaarheid ervan in omstandigheden als die van het hoofdgeding naar de analyse die ik in de punten 45 tot en met 58 van deze conclusie heb verricht.(50)

64.      Indien de verwijzende rechter van oordeel is dat de terbeschikkingstelling aan het publiek, in het handelsregister, van de in het hoofdgeding aan de orde zijnde persoonsgegevens naar Bulgaars recht niet valt binnen de werkingssfeer van artikel 6, lid 1, eerste alinea, onder c) of e), AVG, gelezen in samenhang met artikel 6, lid 3, van deze verordening, en dus van artikel 17, lid 3, onder b), van diezelfde verordening, beschikt verweerster in het hoofdgeding derhalve over een recht op wissing, bestaande in de beëindiging van deze terbeschikkingstelling aan het publiek, en is het agentschap, als verwerkingsverantwoordelijke, gehouden hiertoe over te gaan. Krachtens artikel 17, lid 1, onder d), AVG heeft de betrokkene immers het absolute recht om hem betreffende persoonsgegevens te laten wissen wanneer deze onrechtmatig zijn verwerkt.(51)

65.      Indien de verwijzende rechter daarentegen oordeelt dat de in het hoofdgeding aan de orde zijnde gegevensverwerking in overeenstemming is met artikel 6, lid 1, eerste alinea, onder c) of e), AVG, is artikel 17, lid 3, onder b), van deze verordening a priori van toepassing. Twee verduidelijkingen zijn echter noodzakelijk.

66.      Ten eerste, indien de verwijzende rechter tot de slotsom zou komen dat de terbeschikkingstelling aan het publiek van de in het hoofdgeding aan de orde zijnde persoonsgegevens noodzakelijk was voor de vervulling van de aan het agentschap toevertrouwde taak van algemeen belang om de inschrijving van de vennootschap in het handelsregister niet te vertragen, kan deze enkele reden naar mijn mening niet worden aangevoerd ter rechtvaardiging van het behoud van deze gegevens in het register eens de vennootschap is ingeschreven, en bijgevolg ter uitsluiting, op grond van artikel 17, lid 3, onder b), AVG, van het recht op gegevenswissing van verweerster in het hoofdgeding. Dit recht zou dan worden gewaarborgd door artikel 17, lid 1, onder c), van deze verordening, dat van toepassing is wanneer de betrokkene krachtens artikel 21, lid 1, van diezelfde verordening vanwege met zijn specifieke situatie verband houdende redenen bezwaar maakt tegen de verwerking van hem betreffende persoonsgegevens met name op grond van artikel 6, lid 1, eerste alinea, onder e), van de genoemde verordening en er geen „dwingende gerechtvaardigde gronden voor de verwerking” zijn, hetgeen de verwerkingsverantwoordelijke moet aantonen.(52) Om dezelfde redenen die reeds in punt 56 van deze conclusie zijn uiteengezet, ben ik van mening dat het vereiste om de integriteit en betrouwbaarheid van de akten waarop de inschrijving van de vennootschap in het register is gebaseerd, te handhaven, niet een dergelijke dwingende gerechtvaardigde grond kan vormen. Zoals ik heb opgemerkt, kan immers aan dit vereiste worden voldaan met andere middelen die minder afbreuk doen aan het grondrecht op eerbiediging van persoonsgegevens.

67.      Ten tweede volgt uit het arrest Manni dat het beperken van de toegang tot derden die een specifiek belang kunnen aantonen, per geval gerechtvaardigd kan zijn om dwingende en legitieme redenen die verband houden met de bijzondere situatie van de betrokkenen, zelfs in het geval van persoonsgegevens die volgens richtlijn 2017/1132 verplicht openbaar moeten worden gemaakt en dus ook in gevallen waarin de terbeschikkingstelling aan het publiek voortvloeit uit een wettelijke verplichting in de zin van artikel 6, lid 1, eerste alinea, onder c), AVG. Een dergelijke beperking moet a fortiori worden erkend in het geval van persoonsgegevens die noch krachtens het Unierecht, noch krachtens het nationale recht openbaar hoeven te worden gemaakt. Bovendien zou in een dergelijk geval de voorwaarde waaraan het Hof in het arrest Manni de beperking op de toegang tot informatie betreffende de identiteit van de vereffenaar van de vennootschap heeft onderworpen, namelijk dat een voldoende lange termijn na de ontbinding van de vennootschap moet zijn verstreken, niet van toepassing zijn op het onderhavige geval en zou de beperking op de toegang tot dergelijke gegevens derhalve zo spoedig mogelijk ten uitvoer moeten worden gelegd.

7.      Onderwerping van de uitoefening van het recht op gegevenswissing aan specifieke procedureregels

68.      Uit de verwijzingsbeslissing blijkt dat het agentschap het verzoek van OL tot het wissen van de haar betreffende persoonsgegevens waarvan de openbaarmaking naar Bulgaars recht niet is vereist, afhankelijk heeft gesteld van de naleving van specifieke procedureregels, door de overlegging te vereisen van een kopie van de akte die deze gegevens bevat, waarin zij onleesbaar zijn gemaakt. Bij gebreke van overlegging van een dergelijke kopie werd dit verzoek afgewezen of sine die uitgesteld. Volgens de toelichting van het agentschap is naleving van deze procedureregels noodzakelijk omdat het niet bevoegd is om de betrokken akte te wijzigen; een dergelijke wijziging valt onder de uitsluitende bevoegdheid van de vennootschapsorganen.

69.      Ik herinner eraan dat krachtens artikel 23, lid 1, AVG, „[d]e reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 [...] door middel van een Unierechtelijke of lidstaatrechtelijke wetgevingsmaatregel [kan] worden beperkt, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van” een van de in deze bepaling genoemde doelstellingen. Voor zover de door het agentschap toegepaste procedureregels resulteren in een beperking van de uitoefening van het recht op gegevenswissing en van de uitoefening van het in artikel 21 AVG neergelegde recht van bezwaar, of zelfs in de uitsluiting daarvan, wanneer de betrokkene er niet in slaagt van de vennootschap de vereiste wijzigingen van de betrokken akte te verkrijgen, kunnen deze procedureregels onder artikel 23, lid 1, AVG vallen.(53) Derhalve moet worden nagegaan of in casu is voldaan aan de door deze bepaling gestelde voorwaarden, ook al verzoekt de verwijzende rechter het Hof niet uitdrukkelijk om zich daarover uit te spreken.

70.      In dit verband merk ik allereerst op dat deze procedureregels louter een interne praktijk van het agentschap lijken te zijn.(54) Onder voorbehoud van verificatie door de verwijzende rechter lijken zij derhalve reeds om die reden niet in overeenstemming te zijn met artikel 23, lid 1, AVG, waarin is bepaald dat beperkingen van de in deze bepaling genoemde rechten het voorwerp moeten zijn van „wetgevingsmaatregelen”.

71.      Deze procedureregels doen ook vragen rijzen over de inachtneming van het evenredigheidsbeginsel.

72.      Ook al lijkt het vereiste om de betrouwbaarheid en de authenticiteit van de in het handelsregister ingeschreven akten te waarborgen, alsmede, meer in het algemeen, de transparantie en de rechtszekerheid bij de uitvoering van de aan het agentschap opgedragen taak, volgens mij te kunnen vallen onder „belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat” in de zin van artikel 23, lid 1, onder e), AVG, het rechtvaardigt naar mijn mening niet de beperking of zelfs de uitsluiting van het recht op gegevenswissing of het recht van bezwaar in omstandigheden als die van het hoofdgeding, aangezien andere middelen kunnen worden gebruikt die minder afbreuk doen aan het grondrecht op eerbiediging van persoonsgegevens.

73.      In dit verband acht de Commissie het weliswaar gerechtvaardigd te wachten tot de vennootschap de akte wijzigt door de gegevens te verwijderen waarvan wissing wordt gevraagd, maar stelt zij voor dat het agentschap na een redelijke termijn zelf overgaat tot het onleesbaar maken van deze gegevens, indien blijkt dat de betrokkene er niet in slaagt van de vennootschap te verkrijgen dat zij een dergelijke wijziging uitvoert.

74.      Ik ben er niet van overtuigd dat een dergelijke oplossing een billijk evenwicht zou waarborgen tussen de verschillende rechten en belangen die op het spel staan, aangezien zij ertoe zou leiden dat gegevens waarvan het niet de bedoeling was dat zij openbaar werden gemaakt, voor onbepaalde tijd ter beschikking van het publiek zouden blijven in een gedigitaliseerde omgeving. Volgens mij kan een dergelijk evenwicht daarentegen worden gewaarborgd door het agentschap de bevoegdheid toe te kennen om zelf, zo snel mogelijk na ontvangst van het verzoek om gegevenswissing, de betrokken gegevens onleesbaar te maken in de ter beschikking van het publiek gestelde kopie van de akte, terwijl het origineel van deze akte in het dossier wordt bewaard en de vennootschap wordt verzocht een wijziging van de akte in te dienen waaruit deze gegevens zijn verwijderd, waarna deze wijziging eveneens in het register openbaar wordt gemaakt.

75.      Het is juist dat artikel 16, lid 4, eerste en tweede alinea, van richtlijn 2017/1132 bepaalt dat de lidstaten de nodige maatregelen nemen om discrepanties te vermijden tussen de inhoud van het register en die van het dossier, en tussen hetgeen in het register openbaar wordt gemaakt en hetgeen in het nationaal publicatieblad wordt gepubliceerd. Het vereiste van consistentie tussen de verschillende delen van het register en met het nationale publicatieblad en de doelstelling van rechtszekerheid die aan een dergelijk vereiste ten grondslag ligt, kunnen naar mijn mening echter niet rechtvaardigen dat persoonsgegevens die niet openbaar hoeven te worden gemaakt, onbeperkt en zonder tijdslimiet ter beschikking van het publiek blijven in akten die in het register openbaar zijn gemaakt, wanneer de betrokkene verzoekt om deze gegevens te wissen. Ten eerste zouden de wijzigingen in deze akten die nodig zijn om deze gegevens onleesbaar te maken, identificeerbaar en traceerbaar zijn en op transparante wijze worden aangebracht. Ten tweede zouden deze wijzigingen betrekking hebben op elementen van deze akten waarvan de openbaarmaking niet noodzakelijk is voor de vervulling van de aan het register toevertrouwde taak van algemeen belang. Ten derde zouden de integriteit en de authenticiteit van deze akten kunnen worden gehandhaafd door in het dossier de originelen ervan te bewaren, waartoe derden die een legitiem belang kunnen aantonen, gereglementeerde toegang zouden hebben.

76.      Op grond van al het voorgaande ben ik van mening dat procedureregels zoals die welke in de onderhavige zaak door het agentschap zijn toegepast, niet in overeenstemming zijn met artikel 23, lid 1, AVG.

V.      Conclusie

77.      Gelet op een en ander geef ik het Hof in overweging om op de vierde en de vijfde prejudiciële vraag van de Varhoven administrativen sad te antwoorden als volgt:

„1)      Artikel 4, punt 7, en artikel 26, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moeten aldus worden uitgelegd dat

de autoriteit die belast is met het bijhouden van het handelsregister van een lidstaat en die krachtens het recht van die staat moet zorgen voor de openbaarmaking van de akten die haar worden overgemaakt in het kader van een aanvraag tot inschrijving van een vennootschap in dit register, als enige verantwoordelijk is voor de terbeschikkingstelling aan het publiek van de in deze akten vervatte persoonsgegevens, zelfs wanneer het gaat om gegevens waarvan de openbaarmaking niet is vereist en die overeenkomstig dit recht hadden moeten worden verwijderd voordat de akten aan deze autoriteit werden overgemaakt.

2)      Verordening 2016/679, en met name artikel 17 en artikel 23, lid 1, ervan,

moet aldus worden uitgelegd dat

zij zich verzet tegen een nationale wetgeving of praktijk die het recht van een natuurlijke persoon om van de autoriteit die belast is met het bijhouden van het handelsregister van een lidstaat wissing te verkrijgen van hem betreffende persoonsgegevens in akten die in dit register ter beschikking van het publiek worden gesteld, afhankelijk stelt van procedureregels die vereisen dat een kopie van de betrokken akte wordt overgelegd waaruit deze gegevens zijn verwijderd. In haar hoedanigheid van verwerkingsverantwoordelijke kan deze autoriteit niet worden ontheven van haar verplichting om zo spoedig mogelijk een dergelijk verzoek tot wissing in te willigen op de enkele grond dat zij geen dergelijke kopie heeft ontvangen.

3)      Richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad van 14 juni 2017 aangaande bepaalde aspecten van het vennootschapsrecht, zoals gewijzigd bij richtlijn (EU) 2019/1151 van het Europees Parlement en de Raad van 20 juni 2019, en met name artikel 16, leden 2 tot en met 4, ervan, gelezen in samenhang met overweging 8 van deze richtlijn,

kan niet aldus worden uitgelegd dat

zij de vaststelling van dergelijke procedureregels toestaat. Deze richtlijn verzet er zich niet tegen dat de autoriteit die belast is met het bijhouden van het handelsregister van een lidstaat, een verzoek inwilligt tot wissing van persoonsgegevens die niet vereist zijn door de wetgeving van deze lidstaat en die zijn opgenomen in een akte die in dit register ter beschikking van het publiek is gesteld, door zelf die gegevens uit deze akte te verwijderen en een kopie van de niet-aangepaste versie van de akte in het in artikel 16, lid 1, van deze richtlijn bedoelde dossier te bewaren.”

1      Oorspronkelijke taal: Frans.

2      Meer bepaald heeft het verzoek om een prejudiciële beslissing betrekking op de bepalingen van richtlijn 2009/101/EG van het Europees Parlement en de Raad van 16 september 2009 strekkende tot het coördineren van de waarborgen, welke in de lidstaten worden verlangd van de vennootschappen in de zin van de tweede alinea van artikel 48 van het Verdrag, om de belangen te beschermen zowel van de deelnemers in deze vennootschappen als van derden, zulks teneinde die waarborgen gelijkwaardig te maken (PB 2009, L 258, blz. 11). Zoals hierna zal blijken, is het echter richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad van 14 juni 2017 aangaande bepaalde aspecten van het vennootschapsrecht (PB 2017, L 169, blz. 46) die ratione temporis van toepassing is op de feiten van het hoofdgeding.

3      Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1; hierna: „AVG”).

4      DV nr. 34 van 25 april 2006.

5      DV nr. 48 van 18 juni 1991.

6      Het betreft advies nr. 01‑116(20)/01.02.2021.

7      Richtlijn van het Europees Parlement en de Raad van 20 juni 2019 tot wijziging van [richtlijn 2017/1132] (PB 2019, L 186, blz. 80).

8      Zie artikel 2, lid 1, van richtlijn 2019/1151. Wat betreft de bij artikel 1, punt 6, van deze richtlijn aangebrachte wijzigingen met betrekking tot artikel 16, lid 6, van richtlijn 2017/1132, was de uiterste datum voor omzetting 1 augustus 2023.

9      Zie in die zin mijn conclusie in de zaak Belgische Staat (Gegevens verwerkt door een publicatieblad) (C‑231/22, EU:C:2023:468, punt 80).

10      Ik wijs erop dat de Commissie op 29 maart 2023 een voorstel heeft vastgesteld voor een richtlijn van het Europees Parlement en de Raad tot wijziging van de richtlijnen 2009/102/EG en (EU) 2017/1132 wat betreft de verdere uitbreiding en modernisering van het gebruik van digitale instrumenten en processen in het vennootschapsrecht (COM(2023) 177 final).

11      Zie het systeem van gekoppelde ondernemingsregisters dat met ingang van 8 juni 2017 is ingevoerd bij richtlijn 2012/17/EU van het Europees Parlement en de Raad van 13 juni 2012 tot wijziging van richtlijn 89/666/EEG van de Raad en richtlijnen 2005/56/EG en 2009/101/EG van het Europees Parlement en de Raad wat de koppeling van centrale, handels- en vennootschapsregisters betreft (PB 2012, L 156, blz. 1), en thans wordt geregeld door richtlijn 2017/1132. Dit systeem verbindt de nationale ondernemingsregisters met een centraal Europees platform en biedt één toegangspunt via het Europese e-justitieportaal, waar burgers, ondernemingen en overheidsdiensten informatie kunnen opzoeken over ondernemingen en hun bijkantoren in andere lidstaten.

12      In zijn advies over het voorstel tot wijziging van richtlijn 2017/1132 heeft de Europese Toezichthouder voor gegevensbescherming (EDPS) gewezen op de noodzaak om het „bewustzijn [te] vergroten ten aanzien van risico’s die voortvloeien uit de toegankelijkheid van persoonsgegevens die op grote schaal in digitale vorm en in meerdere talen op het internet beschikbaar zouden komen via een eenvoudig toegankelijk Europees platform/toegangspunt” (advies van 26 juli 2018, beschikbaar op: https://edps.europa.eu/data-protection/our-work/publications/opinions/digital-tools-and-processed-company-law_en).

13      De OOD is opgenomen in bijlage II bij richtlijn 2017/1132 en in bijlage IIA bij die richtlijn, zoals gewijzigd bij richtlijn 2019/1151.

14      In dat geval wordt de inhoud van de vermeldingen in het register opgenomen in het dossier. Zie artikel 16, lid 2, van richtlijn 2017/1132.

15      Zie artikel 16, lid 3, van richtlijn 2017/1132, dat slechts voor het publicatieblad van de betrokken lidstaat voorziet in de mogelijkheid om de in artikel 14 van deze richtlijn bedoelde akten bij uittreksel bekend te maken.

16      Zie met betrekking tot Eerste richtlijn (68/151/EEG) van de Raad van 9 maart 1968 strekkende tot het coördineren van de waarborgen, welke in de lidstaten worden verlangd van de vennootschappen in de zin van de tweede alinea van artikel 58 van het Verdrag, om de belangen te beschermen zowel van de deelnemers in deze vennootschappen als van derden, zulks ten einde die waarborgen gelijkwaardig te maken (PB 1968, L 65, blz. 8), arrest van 9 maart 2017, Manni (C‑398/15, EU:C:2017:197, punt 34; hierna: „arrest Manni”).

17      Arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punten 28 en 29).

18      Zie in die zin arrest van 5 oktober 2023, Ministerstvo zdravotnictví (Mobiele COVID-19-applicatie) (C‑659/22, EU:C:2023:745, punt 28).

19      C‑231/22, EU:C:2024:7, punt 35; hierna: „arrest Belgische Staat”. Zie ook mijn conclusie in de zaak die tot dit arrest heeft geleid (C‑231/22, EU:C:2023:468, punten 34‑75).

20      Zie in die zin arrest Belgische Staat, punt 38.

21      Zie in die zin arrest Belgische Staat, punten 46 en 47.

22      Zie in die zin arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punten 44 en 45).

23      Zie in die zin „Richtsnoeren 07/2020 over de begrippen ‚verwerkingsverantwoordelijke’ en ‚verwerker’ in de AVG” van de EDPB, versie 2.0, vastgesteld op 7 juli 2021, beschikbaar in het Nederlands op https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_nl.pdf, punten 70 en 72. Zie ook mijn conclusie in de zaak Belgische Staat (Gegevens verwerkt door een publicatieblad) (C‑231/22, EU:C:2023:468, punt 48 en voetnoot 55).

24      Zie in die zin arrest Belgische Staat, punt 42.

25      Zie arrest Belgische Staat, punt 48.

26      Ik herinner er echter aan dat de zaak die aanleiding heeft gegeven tot het arrest Belgische Staat betrekking had op de bekendmaking van documenten in het publicatieblad van een lidstaat, hetgeen de laatste fase vormde van een verwerkingsprocedure waarbij verschillende overheidsinstanties betrokken waren. De feitelijke situatie die tot dat arrest heeft geleid, verschilt dus van die welke in deze zaak aan de orde is.

27      In zijn opmerkingen zet het agentschap uiteen dat de aanvrager, in het geval van een onlineaanvraag, elektronische afbeeldingen van de voor de inschrijving vereiste ondertekende papieren documenten uploadt in het systeem van het handelsregister.

28      Deze doeleinden zijn vermeld in punt 49 van deze conclusie.

29      Zie arrest Belgische Staat, punt 45.

30      Zie arrest Belgische Staat, punten 49 en 50.

31      Zie arrest van 21 december 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, punt 76 en aldaar aangehaalde rechtspraak).

32      Zie arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden) (C‑26/22 en C‑64/22, EU:C:2023:958, punten 72 en 73 en aldaar aangehaalde rechtspraak).

33      Zie arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk) (C‑252/21, EU:C:2023:537, punten 91‑93).

34      Ik herinner eraan dat de verwijzende rechter de kwestie van deze verenigbaarheid aan de orde stelt in het kader van zijn derde prejudiciële vraag.

35      Zoals de werkgroep „Artikel 29” in haar advies 6/2014 heeft aangegeven, is het toepassingsgebied van artikel 6, lid 1, eerste alinea, onder c), AVG „strikt afgebakend”. Opdat deze bepaling van toepassing kan zijn, moet de wettelijke verplichting voldoende duidelijk zijn en in overeenstemming zijn met het toepasselijke recht inzake gegevensbescherming. Dit lijkt mij niet het geval bij een wet die enerzijds de verwerking van de betrokken gegevens uitsluit en ze anderzijds toestaat of zelfs voorschrijft op basis van een vermoeden van toestemming.

36      Zie arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus) (C‑60/22, EU:C:2023:373, punten 54 en 55).

37      Zie arrest van 12 juli 2012, Compass-Datenbank (C‑138/11, EU:C:2012:449, punten 40 en 41), en arrest Manni, punt 43.

38      Zie arrest Manni, punt 43.

39      C‑398/15, EU:C:2016:652, punt 54.

40      Zie in die zin arrest van 12 november 1974, Haaga (32/74, EU:C:1974:116, punt 6), en arrest Manni, punt 50.

41      Zie in die zin arrest van 2 maart 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, punt 31).

42      Zie in die zin arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punt 69).

43      Met name maakt de woonplaats van een vertegenwoordiger of een vennoot van de vennootschap geen deel uit van zijn identiteit, en kennis daarvan kan, zoals advocaat-generaal Szpunar in zijn conclusie in de zaak All in One Star (C‑469/19, EU:C:2020:822, punt 51) heeft opgemerkt, niet bijdragen tot de bescherming van derden.

44      Zie arrest Manni, punt 57.

45      Zie arrest Manni, punt 58.

46      Zie arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punt 70).

47      Zie in die zin arrest van 22 november 2022, Luxembourg Business Registers (C‑37/20 en C‑601/20, EU:C:2022:912, punt 66).

48      Zie naar analogie arrest van 30 januari 2024, Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia (C‑118/22, EU:C:2024:97, punt 41).

49      Zie arrest van 8 december 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Doeleinden van de verwerking van persoonsgegevens – Strafrechtelijk onderzoek) (C‑180/21, EU:C:2022:967, punt 85).

50      Het Hof heeft in een obiter dictum in punt 51 van het arrest Belgische Staat weliswaar gewezen op de mogelijkheid dat de in artikel 17, lid 3, onder b) en d), AVG bedoelde uitzonderingen van toepassing kunnen zijn op een verzoek tot wissing van persoonsgegevens die in het publicatieblad van de betrokken lidstaat zijn bekendgemaakt, maar heeft zich niet uitgesproken over deze kwestie, die niet was opgeworpen door de verwijzende rechter in de zaak die tot dit arrest heeft geleid.

51      Zie in die zin arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden) (C‑26/22 en C‑64/22, EU:C:2023:958, punt 108). Zie ook de conclusie van advocaat-generaal Pikamäe in die zaak (C‑26/22 en C‑64/22, EU:C:2023:222, punt 91).

52      Zie in die zin arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden) (C‑26/22 en C‑64/22, EU:C:2023:958, punten 111 en 112).

53      Zie in die zin arrest van 26 oktober 2023, FT (Kopieën van het medisch dossier) (C‑307/22, EU:C:2023:811, punten 53‑69). Zie ook de conclusie van advocaat-generaal Emiliou in deze zaak (C‑307/22, EU:C:2023:315, punt 37).

54      Die procedure is weliswaar een afspiegeling van die van artikel 13, lid 6, van de wet inzake de registers, maar deze laatste bepaling blijkt niet het recht op gegevenswissing of het recht van bezwaar van de betrokkenen te regelen.