1.

W starożytnym Rzymie Acta Diurna były wydawanym codziennie i wykuwanym w kamieniu lub rytym w metalu urzędowym informatorem, który udostępniano do wglądu w miejscach publicznych, takich jak Forum Romanum w Rzymie. W epoce cyfrowej organy krajowe mogą stanąć w obliczu kwestii, czy dane publikowane przez dziennik urzędowy danego kraju również powinny być, mówiąc metaforycznie, wykute w kamieniu, czy też należy dopuścić możliwość ich usuwania lub przekształcania.

2.

U źródeł sporu w postępowaniu głównym leży publikacja danych przez belgijski dziennik urzędowy, Moniteur belge, w którym ogłaszane są dokumenty urzędowe w formie papierowej i elektronicznej.

3.

Stronami w postępowaniu głównym są État belge (państwo belgijskie) i Autorité de protection des données (organ ochrony danych, Belgia, zwany dalej „OOD”). Zauważywszy, że fragment poświadczonej przez notariusza decyzji spółki, który zawierał, oprócz danych wymaganych przez prawo belgijskie, dane osobowe osoby fizycznej, został opublikowany przez pomyłkę, inspektor ochrony danych (zwany dalej „IOD”) owego notariusza zwrócił się do Moniteur belge z wnioskiem o usunięcie tych danych. Service Public Fédéral Justice (federalna służba publiczna ds. sprawiedliwości, zwana dalej „FSP ds. sprawiedliwości”), która jest organem zarządzającym w stosunku do Moniteur belge, nie przychyliła się jednak do tego wniosku.

4.

W tym kontekście pytania zadane Trybunałowi przez cour d’appel de Bruxelles (sąd apelacyjny w Brukseli, Belgia) we wniosku o wydanie orzeczenia w trybie prejudycjalnym mają stosunkowo wąski zakres. Sąd odsyłający zmierza zasadniczo do ustalenia, czy Moniteur belge lub FSP ds. sprawiedliwości należy uznać za „administratora” w rozumieniu art. 4 pkt 7 rozporządzenia (UE) 2016/679 (zwanego dalej „RODO”) ( 2 ). W razie udzielenia na to pytanie odpowiedzi twierdzącej sąd odsyłający zastanawia się również nad granicami obowiązków administratora w przypadku, gdy przetwarzania dokonują kolejno po sobie różne podmioty.

5.

W rozdziale I RODO, zatytułowanym „Przepisy ogólne”, znajduje się art. 4, w którym zdefiniowano w szczególności następujące pojęcia: „dane osobowe”, „przetwarzanie”, „administrator” i „podmiot przetwarzający”.

6.

W niniejszej sprawie znaczenie mają również artykuły 5, 6, 17 i 26 RODO.

7.

Artykuł 67 §§ 1 i 2 Loi du 7 mai 1999 contenant le Code des sociétés ( 3 ) (ustawy z dnia 7 maja 1999 r. w sprawie kodeksu spółek, zwanej dalej „kodeksem spółek”) stanowił:

„§ 1.   Akty notarialne, kopie lub oryginały dokumentów prywatnych oraz wyciągi, bez względu na to, czy znajdują się one w formie elektronicznej, których przedłożenie lub opublikowanie jest obowiązkowe na podstawie przepisów kolejnych artykułów, przedkłada się w sekretariacie sądu gospodarczego właściwego ze względu na siedzibę statutową spółki.

[…]

§ 2.   Przedłożone dokumenty są przechowywane w aktach prowadzonych przez ten sekretariat dla każdej spółki, spółki zaś, o których mowa, podlegają wpisowi do rejestru osób prawnych – bazy danych Banque-Carrefour des Entreprises (centralnego rejestru przedsiębiorstw)”.

8.

Artykuł 71 tego kodeksu brzmiał:

„Wyciąg z dokumentów spółki jest podpisywany, w przypadku aktów notarialnych, przez notariuszy, a w przypadku dokumentów prywatnych – przez wszystkich wspólników, którzy ponoszą w tym zakresie odpowiedzialność solidarną, lub przez jednego z nich, któremu pozostali udzielili w tym celu szczególnego pełnomocnictwa”.

9.

Artykuł 73 tego kodeksu miał następujące brzmienie:

„Publikacja w załącznikach do Moniteur belge następuje w terminie 15 dni od dnia przedłożenia dokumentów pod groźbą odpowiedzialności odszkodowawczej urzędników, którym można przypisać zaniechanie lub zwłokę.

[…]”.

10.

Zgodnie z art. 74 akapit pierwszy pkt 1 tego kodeksu:

„Przedłożeniu i opublikowaniu w trybie przewidzianym w poprzednich artykułach podlegają:

1) akty zmieniające postanowienia podlegające opublikowaniu zgodnie z wymogami niniejszego kodeksu;

[…]”.

11.

Artykuł 1 Arrêté royal du 30 janvier 2001 portant exécution du Code des sociétés (dekretu królewskiego z dnia 30 stycznia 2001 r. w sprawie wykonania kodeksu spółek) ( 4 ) stanowił:

„[…] sekretarze sądów [gospodarczych] przyjmują w depozyt wszystkie akty oraz wyciągi z aktów, protokoły i dokumenty, których ujawnienia wymaga kodeks spółek […]”.

12.

Artykuł 11 tego dekretu królewskiego brzmiał:

„§ 1.   Akty, wyciągi z dokumentów i dokumenty, które podlegają opublikowaniu w załącznikach do Moniteur belge, są przedkładane w sekretariacie razem z dodatkowym egzemplarzem. […]

§ 2.   Wszystkie przedkładane dokumenty papierowe spełniają następujące warunki:

[…]

[…]

§ 3.   Egzemplarze przeznaczone do opublikowania w Moniteur belge, akty, wyciągi z aktów i dokumenty, o których mowa w art. 67, 68 i 74 […] kodeksu spółek […], oraz dane szczegółowe przedkłada się w formie pozbawionej sprostowań. […]

[…]”.

13.

Artykuł 14 dekretu królewskiego został sformułowany w następujący sposób:

„Sekretarz przekazuje do dyrekcji Moniteur belge, najpóźniej w drugim dniu roboczym następującym po dniu przedłożenia, egzemplarze aktów, wyciągi z dokumentów i dokumenty […], które zostały mu przedłożone i które podlegają opublikowaniu w załącznikach do Moniteur belge.

[…]”.

14.

Artykuł 16 tego dekretu królewskiego stanowił:

„W przypadkach, w których publikacja jest obowiązkowa, dokonuje się jej w załącznikach do Moniteur belge w terminach przewidzianych prawem”.

15.

Artykuł 472 Loi-programme du 24 décembre 2002 (ustawy programowej z dnia 24 grudnia 2002 r.) ( 5 ) stanowi:

„Moniteur belge jest publikatorem urzędowym wydawanym przez dyrekcję Moniteur belge, zawierającym wszystkie teksty, których publikacja w Moniteur belge jest obowiązkowa”.

16.

Artykuł 474 tej ustawy programowej brzmi:

„Publikację w Moniteur belge zapewnia dyrekcja Moniteur belge w postaci trzech egzemplarzy papierowych.

[…]

Jeden egzemplarz jest przechowywany elektronicznie. Ustalenia w przedmiocie przechowywania elektronicznego określa król […]”.

17.

Artykuł 475 owej ustawy programowej ma następujące brzmienie:

„W pozostałym zakresie publiczne udostępnianie informacji odbywa się za pośrednictwem strony internetowej dyrekcji Moniteur belge.

Publikacje udostępniane na tej stronie internetowej są dokładną reprodukcją w formie elektronicznej egzemplarzy papierowych, o których mowa w art. 474”.

18.

Zgodnie z art. 475 bis ustawy programowej z dnia 24 grudnia 2002 r.:

„Za pośrednictwem bezpłatnej infolinii każdy obywatel może uzyskać od Moniteur belge, po cenie pokrywającej koszty, egzemplarz aktów i dokumentów publikowanych w Moniteur belge. Ta służba jest również odpowiedzialna za świadczenie na rzecz obywateli usługi pomocy w wyszukiwaniu dokumentów”.

19.

Artykuł 475 ter tej ustawy programowej stanowi:

„W celu zapewnienia możliwie jak najszerszego rozpowszechnienia i dostępu do informacji zawartych w Moniteur belge podejmuje się, w drodze dekretu królewskiego poddanego pod obrady rady ministrów, inne środki towarzyszące”.

20.

LM jest większościowym udziałowcem belgijskiej spółki z ograniczoną odpowiedzialnością działającej pod firmą Bureau LM.

21.

W dniu 23 stycznia 2019 r. walne zgromadzenie tej spółki podjęło decyzję o obniżeniu jej kapitału i zmieniło w tym celu umowę spółki.

22.

Zgodnie z ustawowymi przepisami dotyczącymi jawności notariusz sporządził wypis tej decyzji. W dniu 12 lutego 2019 r. notariusz złożył go w sekretariacie tribunal de l’entreprise néerlandophone de Bruxelles (niderlandzkojęzycznego sądu do spraw gospodarczych w Brukseli, Belgia) na potrzeby jego urzędowego opublikowania w Moniteur belge.

23.

W dniu 22 lutego 2019 r. wypis ten został w stanie niezmienionym opublikowany w załącznikach do Moniteur belge. Zawierał on w szczególności decyzję o obniżeniu kapitału spółki, początkową kwotę kapitału, kwotę obniżenia, nową kwotę kapitału zakładowego oraz umowę spółki w nowym brzmieniu. Rzeczony wypis, oprócz informacji wymaganych prawem, wskazywał również nazwiska dwóch wspólników owej spółki, zwrócone im kwoty, jak też numery ich rachunków bankowych (wypis ten jest zwany dalej „spornym fragmentem”), których opublikowanie nie było wymagane przez prawo.

24.

Ustaliwszy, że notariusz popełnił błąd, gdy umieścił sporny fragment w opublikowanym wypisie, IOD notariusza zwrócił się do FSP ds. sprawiedliwości, na podstawie art. 17 RODO, o usunięcie spornego fragmentu i opublikowanie jeszcze raz tego wypisu, tym razem bez tego fragmentu.

25.

W dniu 10 kwietnia 2019 r. FSP ds. sprawiedliwości odmówiła uwzględnienia tego wniosku ( 6 ) i zaproponowała opublikowanie nowego wypisu, zredagowanego na podstawie tekstu spornego fragmentu, oraz pozostawienie pierwotnej publikacji z dnia 22 lutego 2019 r. w stanie niezmienionym.

26.

W dniu 21 stycznia 2020 r. LM, jeden z dwóch wspólników spółki, o której mowa, złożył do OOD skargę przeciwko Moniteur belge (FSP ds. sprawiedliwości) zarzucając naruszenie art. 5 (w szczególności zasadę minimalizacji danych), art. 6 (przetwarzanie danych osobowych) i art. 17 (prawo do usunięcia danych) RODO.

27.

Decyzją z dnia 23 marca 2021 r. OOD uwzględnił tę skargę i zasadniczo nakazał usunięcie spornego fragmentu.

28.

W dniu 22 kwietnia 2021 r. państwo belgijskie zaskarżyło tę decyzję do cour d’appel de Bruxelles (sądu apelacyjnego w Brukseli), który jest sądem odsyłającym, i wniosło o jej uchylenie. LM przystąpił do sprawy w charakterze interwenienta.

29.

Sąd odsyłający wskazuje, że strony nie są zgodne co do tego, jak należy interpretować pojęcie „administratora”, którego definicja znajduje się w art. 4 pkt 7 RODO. Zauważa on, że po otrzymaniu wypisu z tribunal de l’entreprise néerlandophone de Bruxelles (niderlandzkojęzycznego sądu do spraw gospodarczych w Brukseli) Moniteur belge, zgodnie z przepisami regulującymi jego status i zadania, opublikował ten tekst w stanie niezmienionym, to znaczy bez wykonywania prawa do jego kontroli lub modyfikacji. Sąd odsyłający zastanawia się w szczególności, czy za „administratora” w rozumieniu tego przepisu, a tym samym za podmiot odpowiedzialny, na podstawie art. 5 ust. 2 RODO, za przestrzeganie zasad wyrażonych w art. 5 ust. 1 tego rozporządzenia, należy uznać każdy z ewentualnych kolejnych podmiotów, czy też tylko jeden z nich.

30.

W tym względzie ów sąd nie ma pewności, czy to rozporządzenie reguluje instytucję dalszej lub następczej odpowiedzialności. Sąd ten zastanawia się, czy w razie przyjęcia, że Moniteur belge jest odbiorcą danych w rozumieniu art. 4 pkt 9 RODO, ten dziennik urzędowy działał w odniesieniu do przetwarzania jako „dalszy” administrator. Nie wydaje się, aby tak było, ponieważ zgodnie z obowiązującym prawem belgijskim Moniteur belge nie jest w stanie ustalić celów i sposobów dokonywanego przez siebie przetwarzania w rozumieniu art. 4 pkt 7 RODO.

31.

To właśnie w tych okolicznościach cour d’appel de Bruxelles (sąd apelacyjny w Brukseli, Belgia) zwrócił się do Trybunału z następującymi pytaniami prejudycjalnymi:

32.

OOD, rządy belgijski i węgierski oraz Komisja Europejska przedstawiły uwagi na piśmie.

33.

Na rozprawie w dniu 23 marca 2023 r. przed Trybunałem stawiły się OOD, rząd belgijski i Komisja.

34.

Poprzez pytanie pierwsze sąd odsyłający zmierza zasadniczo do ustalenia, czy art. 4 pkt 7 RODO należy interpretować w ten sposób, że dziennik urzędowy państwa członkowskiego ma status administratora. Na wstępie trzeba poczynić dwie uwagi dotyczące sposobu sformułowania tego pytania.

35.

Po pierwsze, z postanowienia sądu odsyłającego wynika, że kodeks spółek stanowi, iż spółki są prawnie zobowiązane do publikowania różnych dokumentów i decyzji w załącznikach do Moniteur belge. Sąd ten zauważa również, że Moniteur belge podlega FSP ds. sprawiedliwości, przy czym nie wyjaśnia dokładniej tej kwestii. Ponieważ podział kompetencji między organami krajowymi w państwie członkowskim jest przedmiotem uregulowań krajowych, w niniejszej opinii będę się odnosiła wyłącznie do Moniteur belge.

36.

Po drugie, pragnę zaznaczyć, że w swoim pytaniu sąd odsyłający wydziela dwiema półpauzami fragment, w którym wydaje się opisywać uprawnienia przyznane Moniteur belge przez ustawodawcę belgijskiego.

37.

W związku z tym to pytanie można by przeformułować w ten sposób, że zmierza ono zasadniczo do ustalenia, czy dziennik urzędowy państwa członkowskiego, taki jak Moniteur belge, któremu zgodnie z mającymi zastosowanie przepisami krajowymi powierzono zadanie publikowania i archiwizowania dokumentów urzędowych, można uznać za administratora w rozumieniu art. 4 pkt 7 RODO w okolicznościach, w których publikacja tych dokumentów w stanie niezmienionym jest zlecana przez podmioty będące osobami trzecimi, w których owe podmioty same przetwarzały dane osobowe zawarte w tych dokumentach i w których ów dziennik urzędowy nie dysponuje żadnym zakresem uznania co do treści publikowanych dokumentów ani co do celów i sposobów takiej publikacji.

38.

Aby udzielić odpowiedzi na to pytanie, należy najpierw zauważyć, że zgodnie z definicją zawartą w art. 4 pkt 7 RODO termin „administrator” oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania”. Z lektury tego przepisu w związku z art. 5 ust. 1 RODO, który ustanawia zasady dotyczące przetwarzania danych osobowych, wynika, że na żadnym etapie przetwarzania danych nie można się obyć bez administratora ( 7 ). W związku z tym, gdy ma miejsce przetwarzanie danych osobowych, zawsze musi istnieć administrator, który „odgrywa kluczową rolę przy wprowadzaniu w życie prawa ochrony danych” ( 8 ), co sprawia, że w odniesieniu do każdego etapu przetwarzania istotne jest ustalenie, kto jest owym administratorem ( 9 ). „Administratorem” może być zarówno osoba fizyczna, jak i prawna, a także organ publiczny, jednostka lub inny podmiot. Tymczasem jest jasne, że ustalenie, z jakiego rodzaju podmiotem mamy do czynienia w niniejszej sprawie, nie nastręcza żadnych trudności.

39.

Zanim przejdę do zdefiniowania pojęcia „administratora” w rozumieniu art. 4 pkt 7 RODO, które to zagadnienie jest sednem rozpatrywanego pytania, uważam, że ważne jest wyjaśnienie, czy operacje, o których mowa w niniejszej sprawie, stanowią „przetwarzanie” danych osobowych w rozumieniu odpowiednio art. 4 pkt 1 i 2 RODO.

40.

Po pierwsze, należy przypomnieć, że „dane osobowe” w rozumieniu art. 4 pkt 1 RODO oznaczają „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, przy czym zgodnie z orzecznictwem definicja ta ma zastosowanie wówczas, gdy ze względu na swą treść, cel lub skutek dana informacja jest powiązana z daną osobą ( 10 ). W niniejszej sprawie strony nie pozostają w sporze co do tego, że dane zawarte w spornym fragmencie, takie jak nazwiska dwóch wspólników spółki oraz numery ich rachunków bankowych, stanowią dane osobowe. Moim zdaniem kwoty zwrócone tym wspólnikom niekoniecznie są, same w sobie, danymi osobowymi. Niemniej jednak po zestawieniu owych kwot z nazwiskami osób, które je otrzymały, należy je rzeczywiście uważać za dane osobowe.

41.

Po drugie, zgodnie z art. 4 pkt 2 RODO pojęcie „przetwarzania” oznacza „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany”, taką jak między innymi „przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie” danych osobowych. Te definicje odzwierciedlają fakt, że prawodawca Unii zamierzał nadać owym dwóm pojęciom szeroki zakres ( 11 ).

42.

Na przykład w wyroku Google Spain Trybunał orzekł, że działalność wyszukiwarki internetowej, która polega na zlokalizowaniu informacji opublikowanych lub zamieszczonych w internecie przez osoby trzecie, indeksowaniu ich w sposób automatyczny, czasowym przechowywaniu takich informacji i wreszcie udostępnianiu ich internautom w sposób uporządkowany zgodnie z określonymi preferencjami, w sytuacji gdy informacje takie zawierają dane osobowe, należy uznać za „przetwarzanie danych osobowych” w rozumieniu art. 2 lit. b) dyrektywy 95/46/WE ( 12 ), który to przepis odpowiada zasadniczo art. 4 pkt 2 RODO ( 13 ). Ponadto w wyroku Fashion ID ( 14 ) Trybunał stwierdził, że przetwarzanie danych osobowych może składać się z jednej lub kilku operacji, a każda z nich – odnosić się do jednego z różnych etapów, które przetwarzanie danych osobowych może obejmować.

43.

Moim zdaniem w niniejszej sprawie doszło do trzech następujących po sobie przypadków przetwarzania danych osobowych. Dane były przetwarzane po raz pierwszy wówczas, gdy notariusz sporządził dokument, który miał zostać opublikowany w Moniteur belge (i popełnił przy tym błąd polegający na włączeniu do niego danych osobowych, o których mowa), oraz złożył go w sekretariacie tribunal de l’entreprise néerlandophone de Bruxelles (niderlandzkojęzycznego sądu do spraw gospodarczych w Brukseli). Przetwarzanie danych po raz drugi miało miejsce, gdy tenże sekretariat włączył ów dokument do akt spółki i przekazał go do opublikowania w Moniteur belge. Trzeci przypadek przetwarzania dotyczy Moniteur belge, który nie tylko przekształcił dokument papierowy na elektroniczny, lecz także zebrał, utrwalił, przechowywał, ujawnił i rozpowszechnił ten dokument. Moim zdaniem nie ulega wątpliwości, że wszystkie te trzy przypadki, w szczególności zaś operacje wykonane przez Moniteur belge, stanowią „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO.

44.

Niemniej jednak okoliczność, że do przetwarzania doszło w tych trzech przypadkach, nie musi wcale oznaczać, iż Moniteur belge działał w charakterze administratora. Jest tak dlatego, że RODO wprowadza rozróżnienie, odzwierciedlone w art. 4 pkt 7 i 8 tego rozporządzenia, między administratorami a podmiotami przetwarzającymi. Podczas gdy administrator ustala cele i sposoby przetwarzania ( 15 ), podmiot przetwarzający przetwarza dane osobowe w imieniu administratora ( 16 ). W związku z tym o ile jest jasne, że owe trzy przypadki stanowią „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO, o tyle ów wniosek nie przesądza o tym, iż Moniteur belge – lub jakikolwiek inny podmiot uczestniczący w tym złożonym z trzech ogniw łańcuchu – ma w niniejszej sprawie status administratora.

45.

Moim zdaniem rozstrzygnięcie kwestii, czy Moniteur belge działał jako „administrator”, sprowadza się do zbadania, czy „samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych” w rozumieniu art. 4 pkt 7 RODO.

46.

Na wstępie pragnę przypomnieć, że zgodnie z odpowiednim orzecznictwem Trybunału pojęcie „administratora” należy rozumieć szeroko. W istocie Trybunał orzekł już, że celem art. 4 pkt 7 RODO jest zapewnienie, poprzez przyjęcie szerokiej definicji pojęcia „administratora”, skutecznej i pełnej ochrony osobom, których dane dotyczą ( 17 ). Ponadto „[p]ojęcia »administrator« i »podmiot przetwarzający« są pojęciami funkcjonalnymi: ich celem jest podział obowiązków stosownie do rzeczywistych ról stron” ( 18 ). Ujmując rzecz inaczej, „[a]dministrator danych osobowych to osoba, która decyduje o tym, dlaczego i w jaki sposób te dane będą przetwarzane” ( 19 ). Dlatego też określenie obowiązków administratora jest dokonywane „raczej w oparciu o analizę okoliczności faktycznych niż o analizę formalną” ( 20 ).

47.

Po drugie, w art. 4 pkt 7 RODO uznano, z racji faktu, że ów przepis posługuje się sformułowaniem „samodzielnie lub wspólnie z innymi”, iż „cele i sposoby” przetwarzania danych mogą być ustalane przez więcej niż jeden podmiot. Niemniej jednak zakres, w jakim co najmniej dwa podmioty współadministrują danymi, może być różny ( 21 ) – tę kwestię omówię w ramach analizy pytania drugiego.

48.

Po trzecie, pragnę zauważyć, że Królestwo Belgii wyznaczyło, poprzez przyjęcie dekretu królewskiego z dnia 25 czerwca 2020 r., FSP ds. sprawiedliwości na administratora w rozumieniu art. 4 pkt 7 RODO ( 22 ). Zdarzenia w postępowaniu głównym nastąpiły jednak przed wejściem w życie owego dekretu. W związku z tym nie znajduje on zastosowania ratione temporis w niniejszej sprawie. Z powyższego wynika zatem, że Trybunał powinien zbadać podział kompetencji i obowiązków między organami krajowymi, który istniał przed wejściem w życie rzeczonego dekretu.

49.

Przedstawiwszy te uwagi wstępne, przystąpię teraz do zbadania warunków ustanowionych w art. 4 pkt 7 RODO, to znaczy ustalę, który z odpowiednich podmiotów „ustala cele i sposoby przetwarzania” danych osobowych, o których mowa.

50.

Administrowanie może wynikać z odpowiednich przepisów prawa lub być rezultatem analizy elementów stanu faktycznego lub okoliczności sprawy ( 23 ). Artykuł 4 pkt 7 RODO stanowi, że jeżeli cele i sposoby takiego przetwarzania są określone w szczególności przez prawo państwa członkowskiego, to również w tym prawie może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczenia. Z powyższego wynika, że gdy dany podmiot został wyraźnie wyznaczony przez prawo na administratora, takie wyznaczenie będzie decydujące ( 24 ). Tymczasem w niniejszej sprawie brak jest konkretnego przepisu, który wprost służy wyznaczeniu administratora.

51.

Dany podmiot może również zostać wyznaczony na administratora przez prawo w sposób dorozumiany ( 25 ). Na przykład gdy ustawodawstwo krajowe nakłada na dany podmiot obowiązek zatrzymania lub dostarczenia określonych danych, taki podmiot będzie uważany za administratora w odniesieniu do przetwarzania, które jest konieczne w celu spełnienia tego obowiązku. Do takiego rodzaju dorozumianego wyznaczenia przez ustawodawstwo krajowe dochodzi wówczas, gdy z roli, zadań i uprawnień, które powierzono temu organowi, wynika, że ustala on cele i sposoby odnośnego przetwarzania. W wyroku Manni Trybunał oparł się na ocenie okoliczności faktycznych, gdy stwierdził, że „poprzez wpisywanie i przechowywanie owych informacji w rejestrze, a także ujawnianie ich, w stosownym wypadku, na wniosek osób trzecich” organ, na którym ciąży prawna odpowiedzialność za prowadzenie rejestru spółek, „przetwarza dane osobowe”, w odniesieniu do których jest „administratorem” w rozumieniu definicji przedstawionych w art. 2 lit. b) i d) dyrektywy 95/46 ( 26 ).

52.

W niniejszej sprawie, chociaż w ustawodawstwie krajowym nie wyznaczono wyraźnie administratora, jednak przewidziano, że spółki są prawnie zobowiązane do publikowania niektórych dokumentów w Moniteur belge ( 27 ). W ten sposób ustanowiono w nim prawny obowiązek przetwarzania danych, nad którym musi czuwać administrator. Ustawodawca krajowy utworzył system, w ramach którego dane przetwarzają kolejno po sobie trzy podmioty; jednakże uczestnicy niniejszego postępowania pozostają w sporze co do tego, który z tych trzech podmiotów faktycznie jest administratorem ( 28 ). Aby rozstrzygnąć, który z tych podmiotów został w sposób dorozumiany wyznaczony przez ustawodawcę na administratora w odniesieniu do trzeciego etapu przetwarzania, to jest w odniesieniu do operacji wykonywanych przez Moniteur belge, należy zatem ustalić, jakie konkretne uprawnienia zostały przyznane owym podmiotom.

53.

Z racji faktu, że w art. 4 pkt 7 RODO posłużono się czasownikiem „ustala”, ów przepis wymaga, aby administrator wpływał na przetwarzanie poprzez wykonywanie uprawnień decyzyjnych ( 29 ). Na przykład w wyroku dotyczącym facebookowej wtyczki „Lubię to” ( 30 ) analizowano, czy Fashion ID, spółka zajmująca się sprzedażą odzieży online, która umieściła w swojej witrynie internetowej wtyczkę „Lubię to” serwisu społecznościowego Facebook, ustalała wspólnie z Facebookiem sposoby zbierania i ujawniania poprzez przesłanie danych osobowych osób odwiedzających witrynę internetową Fashion ID. W wyroku wydanym w tej sprawie Trybunał wyraźnie stwierdził, że umieszczając taką wtyczkę społecznościową w swojej witrynie internetowej, Fashion ID wpływa w decydujący sposób na zbieranie i przekazywanie danych osobowych osób odwiedzających tę witrynę na rzecz dostawcy owej wtyczki, mianowicie Facebook Ireland, co nie miałoby miejsca w razie braku umieszczenia tej wtyczki ( 31 ). Z powyższego wynika, że wpływanie w decydujący sposób na przetwarzanie danych osobowych oznacza, iż podmiot wywierający ów wpływ jest administratorem. Niemniej jednak niewpływanie w decydujący sposób nie wystarcza, aby wykluczyć, że danemu podmiotowi może nadal przysługiwać status administratora.

54.

Rozpowszechnianie danych w internecie zwiększa w sposób wyraźny ryzyko naruszenia praw podstawowych do poszanowania życia prywatnego i ochrony danych osobowych ze względu na sposób, w jakie informacje są tworzone i rozpowszechniane drogą elektroniczną ( 32 ). Mając świadomość tego ryzyka, Trybunał przyjął szeroką definicję pojęcia „administratora” ( 33 ) z myślą o zagwarantowaniu przez RODO skutecznej i pełnej ochrony osób, których dane dotyczą, w szczególności w odniesieniu do przysługującego im prawa do poszanowania ich prywatności ( 34 ). Dlatego też w wyroku Google Spain Trybunał orzekł, że sprzeczne nie tylko z wyraźnym brzmieniem art. 2 lit. d) dyrektywy 95/46, który to przepis odpowiada zasadniczo art. 4 pkt 7 RODO, lecz również z jego celem, byłoby wyłączenie z zakresu jego stosowania operatora wyszukiwarki internetowej ze względu na to, iż nie sprawuje on kontroli nad danymi osobowymi opublikowanymi na stronach internetowych osób trzecich ( 35 ). Ponieważ Trybunał przyjął tak szeroką definicję, nie ulega wątpliwości, że opowiedział się on za wykładnią celowościową tego przepisu – definicja „administratora” ma gwarantować skuteczną i pełną ochronę osób, których dane dotyczą. Należy też zauważyć, że RODO, jako akt prawny przyjęty na podstawie art. 16 ust. 1 TFUE, które to postanowienie upoważnia prawodawcę Unii do ochrony prawa podstawowego do ochrony danych osobowych, przewidzianego w art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”), może jedynie potwierdzać taką wykładnię ( 36 ).

55.

W niniejszej sprawie nie ulega wątpliwości, że ustawodawca krajowy utworzył system, w ramach którego dochodzi do trzech różnych przypadków przetwarzania – mianowicie łańcuch, którego pierwszym ogniwem jest sporządzenie i podpisanie przez notariusza odpowiednich dokumentów, kolejnym – włączenie ich przez sekretariat tribunal de l’entreprise néerlandophone de Bruxelles (niderlandzkojęzycznego sądu do spraw gospodarczych w Brukseli) do akt spółki oraz ich przechowywanie, ostatnim zaś – przekształcenie owych dokumentów na postać cyfrową i ich opublikowanie przez Moniteur belge. O ile prawdą jest, że Moniteur belge musi opublikować dany dokument w stanie niezmienionym, o tyle nie zmienia to faktu, iż na potrzeby jego publikacji przekształcenia dokumentu na postać elektroniczną nie dokonuje ani notariusz, ani sekretariat tribunal de l’entreprise néerlandophone de Bruxelles (niderlandzkojęzycznego sądu do spraw gospodarczych w Brukseli). Takiego przekształcenia dokonuje wyłącznie Moniteur belge, który następnie rozpowszechnia dany dokument w internecie.

56.

W szczególności chciałabym wskazać, że poprzez uchwalenie art. 474–475 ter ustawy programowej z 24 grudnia 2002 r. ustawodawca krajowy powierzył Moniteur belge pewne uprawnienia. Z tych przepisów wynika, że Moniteur belge nie tylko publikuje odnośne dokumenty w wersji papierowej, lecz również udostępnia je w formie elektronicznej za pośrednictwem strony internetowej, przechowuje je w wersji elektronicznej, udostępnia je obywatelom z wykorzystaniem infolinii i usługi pomocy w wyszukiwaniu dokumentów, a także zapewnia możliwie jak najszersze rozpowszechnienie i jak najszerszy dostęp do informacji zawartych w Moniteur belge. Według mnie z tych przepisów wynika zatem, że ustawodawca krajowy, poprzez powierzenie Moniteur belge uprawnień do przekształcania odnośnych dokumentów na postać cyfrową, ich publikowania, rozpowszechniania i przechowywania, powierzył owemu dziennikowi uprawnienia, które przynależą do zakresu pojęcia „administratora” w rozumieniu art. 4 pkt 7 RODO ( 37 ).

57.

Moniteur belge, gdy przeprowadza wymienione powyżej operacje, które zostały mu powierzone przez ustawodawcę, mianowicie przekształcanie na postać cyfrową, publikowanie i rozpowszechnianie, zwiększa w sposób wyraźny (w porównaniu ze zwykłą publikacją dokumentu w wersji papierowej) ryzyko naruszenia praw podstawowych zainteresowanej osoby. Tak więc to właśnie przetwarzanie dokonywane przez ów dziennik urzędowy faktycznie zagraża skutecznej i pełnej ochronie osoby, której dane dotyczą. W związku z tym nie dostrzegam żadnej innej możliwości poza uznaniem, że – ze względu na cel, jakim jest zagwarantowanie skutecznej i pełnej ochrony osób, których dane dotyczą, oraz z uwagi na potencjalną szkodę, jaką tym osobom mogą wyrządzić operacje przekształcania na postać cyfrową i rozpowszechniania – Moniteur belge nie może zostać wyłączony z definicji „administratora” w rozumieniu art. 4 pkt 7 RODO.

58.

Wreszcie, co się tyczy możliwości zastosowania orzecznictwa odnoszącego się do prywatnych wyszukiwarek internetowych do podmiotów publicznych, takich jak Moniteur belge, trzeba wskazać, że w niedawnym wyroku Trybunał oparł się na tym orzecznictwie, aby potwierdzić, iż prokuraturę należy uznać za „administratora” ( 38 ). Uważam, że uzasadnieniem dla takiego zastosowania owego orzecznictwa jest rozszerzająca wykładnia pojęcia „administratora” w rozumieniu art. 4 pkt 7 RODO, która służy zapewnieniu skutecznej i pełnej ochrony zagwarantowanych w prawie pierwotnym podstawowych praw i wolności osób, których dane dotyczą ( 39 ), bez względu na to, czy administrator jest podmiotem publicznym, czy też prywatnym ( 40 ). Z uwagi na konieczność zapewnienia takiej skutecznej i pełnej ochrony zasady ochrony danych nałożone na prywatne wyszukiwarki internetowe mają zastosowanie zarówno do podmiotów prywatnych, jak i publicznych, które podlegają tym samym nadrzędnym regułom dotyczącym danych oraz obowiązkom wynikającym z RODO, które stanowią konkretyzację prawa pierwotnego.

59.

Na rozprawie rząd belgijski podniósł, że należy uznać, iż administratorem jest notariusz, ponieważ ustala on cele i sposoby przetwarzania danych.

60.

Moim zdaniem przyjęcie, że notariusz jest jedynym administratorem, oznaczałoby w praktyce, iż nikt nie byłby administratorem na trzecim etapie przetwarzania, to znaczy w odniesieniu do operacji wykonywanych przez Moniteur belge, ponieważ ustawodawca, jak ilustrują to okoliczności faktyczne niniejszej sprawy, nie przyznał notariuszowi uprawnień do wpływania w decydujący sposób na ów trzeci etap przetwarzania. Niemniej jednak te trzy podmioty, o których mowa, mogą być zaangażowane w przetwarzanie danych osobowych na różnych etapach i w różnym stopniu, w związku z czym każdy z nich może być uznany za administratora, choć o odmiennych zakresach i poziomach odpowiedzialności wynikających z administrowania ( 41 ). Ponadto pragnę zaznaczyć, na co na rozprawie zwróciła uwagę Komisja, że Moniteur belge mógłby teoretycznie być wyznaczony prawem na podmiot przetwarzający, o ile uregulowanie krajowe nakładałoby obowiązek sporządzania, przechowywania i rozpowszechniania w postaci cyfrowej przedmiotowego dokumentu na kilka podmiotów. Aby jednak Moniteur belge można było uznać za podmiot przetwarzający, muszą być spełnione warunki określone w art. 28 RODO, co w sposób oczywisty nie ma miejsca w okolicznościach przedstawionych Trybunałowi, ponieważ każdy podmiot, o którym mowa, jest odpowiedzialny za swoją część przetwarzania ( 42 ). Dlatego też Moniteur belge nie można uznać za podmiot przetwarzający w rozumieniu tego przepisu.

61.

Ponadto rząd belgijski utrzymywał, że ustawodawca krajowy sam działa w charakterze administratora albo wyznacza podmiot odpowiedzialny za administrowanie, podczas gdy Moniteur belge jedynie wykonuje powierzone mu uprawnienia. Zdaniem tego rządu orzecznictwo dotyczące prywatnych wyszukiwarek internetowych nie może być stosowane do podmiotów publicznych, ponieważ Moniteur belge, jako organ publiczny ustanowiony przez ustawodawcę, nie jest władny sam określać swojej misji i swoich zadań.

62.

Jak już wspomniałam ( 43 ), w niniejszej sprawie ustawodawca krajowy w sposób dorozumiany wyznaczył Moniteur belge na administratora, ponieważ powierzył mu uprawnienie do wykonywania szeregu konkretnych zadań.

63.

W każdym wypadku uważam, że gdyby Trybunał przyjął podejście, zgodnie z którym ustawodawcy krajowemu status administratora przysługuje zawsze, gdy wykonuje on przysługujące mu uprawnienie do ustalania celów i sposobów danej operacji przetwarzania, to osobom fizycznym nie byłaby już zapewniana skuteczna ochrona, a tym samym pojęcie administratora zostałoby pozbawione skuteczności. Skuteczna ochrona osób, których dane dotyczą, nie mogłaby bowiem być zapewniona, gdyby różne obowiązki administratora były wykonywane, w odniesieniu do każdego przetwarzania danych osobowych przewidzianego w przepisach państwa członkowskiego, przez samego ustawodawcę. Tak więc moim zdaniem w sytuacji, w której organowi publicznemu zostały przyznane uprawnienia do przetwarzania danych osobowych, nie jest tak, że administratorem jest ustawodawca, lecz tak, że organ wykonujący zadania publiczne jest podmiotem sprawującym kontrolę nad celami i sposobami tego przetwarzania ( 44 ). Okoliczności niniejszej sprawy świadczą o tym, że rozpatrywane przetwarzanie, tak jak zostało ono opisane w pkt 43 niniejszej opinii, przyjmuje postać wykonania uregulowania krajowego, co pozwala wykluczyć hipotezę, zgodnie z którą to sam ustawodawca, gdy uchwala prawo, jest administratorem w odniesieniu do przetwarzania danych osobowych.

64.

Z przepisów krajowych przedstawionych Trybunałowi w niniejszej sprawie wynika, że Moniteur belge nie dysponuje żadnymi uprawnieniami decyzyjnymi w odniesieniu do tekstów, które jest zobowiązany publikować ( 45 ). W istocie, jak podkreślił rząd belgijski w swoich uwagach na piśmie oraz na rozprawie, Moniteur belge ma 15 dni ( 46 ) na opublikowanie dokumentu w dzienniku urzędowym, przy czym ta publikacja powinna stanowić wierne odzwierciedlenie dokumentu sporządzonego przez notariusza. W przypadku zaniechania lub zwłoki urzędnik Moniteur belge może zostać pozwany o odszkodowanie ( 47 ). Aby uniknąć takiej sytuacji, organ ten nie sprawdza, czy informacje, które ma obowiązek opublikować, są kompletne, poprawne albo właściwe. W związku z tym, jak argumentuje rząd belgijski, wydaje się, że Moniteur belge nie jest uprawniony do weryfikowania treści tych dokumentów, w tym danych osobowych, jakie mogą one zawierać.

65.

Niemniej jednak ze względu na to, że ustawodawca, gdy uchwala prawo, sam nie działa jako administrator, a żaden inny podmiot nie wywiera w rzeczywistości jakiegokolwiek wpływu na ustalenie celów i sposobów przetwarzania, o którym mowa – to znaczy przekształcenia odnośnych dokumentów na postać cyfrową i ich rozpowszechnienia w wersji cyfrowej – Moniteur belge należy uznać za administratora, tak aby nie dopuścić do sytuacji, w której ów podmiot nie będzie wyznaczony. Notariusz i sekretariat tribunal de l’entreprise néerlandophone de Bruxelles (niderlandzkojęzycznego sądu do spraw gospodarczych w Brukseli) są po prostu pozbawieni prawa do podejmowania ingerencji na tym etapie. W związku z tym okoliczność, że Moniteur belge nie przysługuje zakres uznania, nie może stanowić wyłomu w skutecznej ochronie osób, których dane dotyczą. Należy zatem uznać, że Moniteur belge jest, jakkolwiek wyznaczonym w sposób dorozumiany, administratorem w rozumieniu art. 4 pkt 7 RODO w odniesieniu do przetwarzania danych osobowych w związku z publikowaniem dokumentów zgodnie z wymogami ustanowionymi w przepisach krajowych.

66.

Z okoliczności faktycznych niniejszej sprawy wynika, że IOD notariusza zwrócił się do FSP ds. spraw sprawiedliwości (działającej w imieniu Moniteur belge) o usunięcie (wykasowanie z internetu) spornego fragmentu oraz opublikowanie wypisu bez tego fragmentu. FSP ds. sprawiedliwości nie przychyliła się do tego wniosku i zaproponowała opublikowanie nowego wypisu. W tym kontekście dany notariusz najpewniej nie jest uprawniony do nakazania zmiany lub wycofania spornego fragmentu. Pragnę jednak podkreślić, że wydaje się, iż takie uprawnienie nie przysługuje też żadnemu innemu podmiotowi.

67.

Rząd belgijski oświadcza, że ustawodawca krajowy pragnął, aby dokumenty publikowane w Moniteur belge pozostawały niezmienne mimo upływu czasu do celów archiwizacyjnych oraz aby elektroniczna wersja publikacji stanowiła zawsze wierne odzwierciedlenie wersji papierowej, co wyklucza możliwość dokonywania jakichkolwiek zmian publikacji z mocą wsteczną. Rząd ten dodaje, że aby poprawić pochodzący od osoby prawnej dokument, który opublikowano w Moniteur belge, notariusz składa w sekretariacie tribunal de l’entreprise néerlandophone de Bruxelles (niderlandzkojęzycznego sądu do spraw gospodarczych w Brukseli) dokument korygujący, ów sekretariat zaś zwraca się następnie do dyrekcji Moniteur belge o opublikowanie takiego dokumentu korygującego. Prawo belgijskie nie zezwala natomiast na całkowite usunięcie pierwotnego aktu, aby nie naruszyć zasady niezmienności Moniteur belge.

68.

Według mnie wydana przez organ publiczny decyzja o odmowie usunięcia fragmentu zawierającego rozpatrywane dane osobowe oraz opublikowania przedmiotowego dokumentu bez tego fragmentu skutkuje tym, że owe dane pozostają w dalszym ciągu udostępnione publicznie. Moim zdaniem oznacza to, że rzeczony organ, gdy stosuje przepisy krajowe, działa jako „administrator” w rozumieniu art. 4 pkt 7 RODO, ponieważ nie usuwając spornego fragmentu i pozostawiając go publicznie dostępnym, ustala cele i sposoby przetwarzania danych osobowych. Wydaje się, że gdyby Moniteur belge nie został uznany za administratora, to taki status nie przysługiwałby żadnemu organowi ( 48 ).

69.

Uważam, że status „administratora” nie może zależeć od tego, iż organ taki jak Moniteur belge nie może, przez wzgląd na prawo krajowe, przychylić się do wniosku o usunięcie danych. W związku z tym gdy w przepisach krajowych istnieje luka, to do organów krajowych oraz – na tym etapie – do sądu krajowego należy wyznaczenie, w drodze zastosowania RODO, podmiotu, który powinien wykonać obowiązki wynikające z tego rozporządzenia. W niniejszej sprawie, ponieważ dane są przetwarzane, pozostają udostępnione publicznie, ale w prawie krajowym nie wyznaczono organu odpowiedzialnego na administratora w odniesieniu do tej części przetwarzania.

70.

W takim przypadku ze względu na fakt, że ustawodawca krajowy pozostawił lukę, gdyż nie wyznaczył administratora, Trybunał powinien wskazać, iż to do sądu odsyłającego należy wyznaczenie, w oparciu o okoliczności przedstawione Trybunałowi, Moniteur belge (lub, w zależności od oceny tego sądu, FSP ds. sprawiedliwości) na administratora. Moim zdaniem jedynie taka wykładnia będzie zgodna z przyświecającym art. 4 pkt 7 RODO celem polegającym na zapewnieniu, poprzez przyjęcie szerokiej definicji pojęcia „administratora”, skutecznej i pełnej ochrony osób, których dane dotyczą ( 49 ). Pozwoli ona również wyeliminować luki prawne i zapobiec ewentualnemu obchodzeniu przepisów RODO.

71.

Jeśli chodzi o argumenty natury praktycznej, które są formułowane w oparciu o zasadę niezmienności informacji rozpowszechnianych przez Moniteur belge, to do ustawodawcy krajowego należy, w świetle obowiązków wynikających w szczególności z art. 5 i 17 RODO, przyjęcie ram prawnych uwzględniających potrzebę ochrony osób, których dane dotyczą, oraz zapewniających poszanowanie tej zasady. Z uwagi na fakt, że publikacja danych osobowych zwiększa w sposób wyraźny ryzyko poniesienia szkody przez osoby, których dane dotyczą, konieczne jest ustanowienie w prawie krajowym innowacyjnych rozwiązań ( 50 ).

72.

Podsumowując, proponuję, aby w niniejszej sprawie Trybunał orzekł, że Moniteur belge działa jako „administrator” w rozumieniu art. 4 pkt 7 RODO wówczas, gdy podejmuje decyzję o odmowie wycofania spornego fragmentu z domeny publicznej, to znaczy wówczas, gdy w dalszym ciągu udostępnia ów fragment publicznie.

73.

W sprawach takich jak niniejsza w prawie krajowym ustanowiono obowiązek wyznaczenia administratora w celu wykonania obowiązków wynikających z RODO. Po pierwsze, w odniesieniu do przekształcania na postać cyfrową, publikowania i rozpowszechniania danych, o których mowa, Moniteur belge należy uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO, tak aby zapewnić, że prawa podstawowe zainteresowanej osoby są przestrzegane. Po drugie, jeśli chodzi o niewycofanie danych, o których mowa, w ustawodawstwie krajowym istnieje luka, ponieważ żadnemu z rozpatrywanych podmiotów nie zezwala się na wycofanie owych danych. W takim przypadku to do sądu odsyłającego należy wyznaczenie, w drodze zastosowania RODO w celu zapewnienia ochrony praw podstawowych zainteresowanych osób, administratora, którym w niniejszej sprawie wydaje się Moniteur belge.

74.

W związku z tym proponuję, by na pytanie pierwsze udzielić następującej odpowiedzi: art. 4 pkt 7 RODO należy interpretować w ten sposób, że dziennik urzędowy państwa członkowskiego, taki jak Moniteur belge, któremu zgodnie z mającymi zastosowanie przepisami krajowymi powierzono zadanie publikowania i archiwizowania dokumentów urzędowych, można – w celu zapewnienia skutecznej i pełnej ochrony osób, których dane dotyczą – uznać za administratora w rozumieniu art. 4 pkt 7 RODO w okolicznościach, w których publikacja tych dokumentów w stanie niezmienionym jest zlecana przez podmioty będące osobami trzecimi, ponieważ ustawodawca krajowy przyznał owemu dziennikowi uprawnienie do ustalania sposobów przekształcania odnośnych dokumentów na postać cyfrową, ich publikowania, rozpowszechniania i przechowywania, jak również zakreślił w sposób szeroki cele publikowania i rozpowszechniania. Co się jednak tyczy niewyznaczenia administratora w odniesieniu do wycofania lub usunięcia danych, z racji faktu, że dane, o których mowa, pozostają udostępnione publicznie, to do sądu krajowego należy wyznaczenie podmiotu, który powinien wykonać obowiązki wynikające z RODO.

75.

Jedynie wówczas, gdy Trybunał odpowie na pytanie pierwsze w ten sposób, powinien on udzielić odpowiedzi na pytanie drugie, to znaczy ustalić, czy Moniteur belge lub organ nim zarządzający jest wyłącznie odpowiedzialny za wykonanie obowiązków ciążących na administratorze na podstawie RODO.

76.

Poprzez pytanie drugie sąd odsyłający zmierza w istocie do ustalenia, czy art. 5 ust. 2 RODO należy interpretować w ten sposób, że dziennik urzędowy, o którym mowa, powinien być wyłącznie odpowiedzialny za wykonanie obowiązków ciążących na administratorze na podstawie tego przepisu, z wyłączeniem podmiotów będących osobami trzecimi, które wcześniej przetwarzały dane zawarte w aktach urzędowych i dokumentach, których publikację zlecają, czy też należy go interpretować w ten sposób, że obowiązki te spoczywają kumulatywnie na każdym z kolejnych administratorów.

77.

Zgodnie z art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie zasad wyrażonych w ust. 1 tego artykułu, takich jak zasada minimalizacji danych i zasada prawidłowości ( 51 ), oraz musi być w stanie wykazać przestrzeganie owych zasad. Ponieważ osoba fizyczna zmierza do tego, by dane osobowe, których publikacja nie jest wymagana w świetle przepisów krajowych, zostały usunięte, sąd odsyłający wyjaśnia, że stoi przed koniecznością rozstrzygnięcia, czy Moniteur belge lub organ nim zarządzający powinien być wyłącznie odpowiedzialny za przestrzeganie zasad minimalizacji danych i prawidłowości, czy też w tym zakresie odpowiedzialność spoczywa również na dwóch pozostałych podmiotach.

78.

W szczególności sąd odsyłający, zaznaczając, że strony w postępowaniu głównym nie podnoszą, iż zachodzi sytuacja współadministrowania w rozumieniu art. 26 RODO, zastanawia się, czy za „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia, a zatem za podmiot odpowiedzialny, na podstawie jego art. 5 ust. 2, za przestrzeganie powyższych zasad, należy uznać każdego z ewentualnych kolejnych administratorów, czy też tylko jednego z nich.

79.

Jak już wspomniałam ( 52 ), dane osobowe, o których mowa, zawarte w spornym fragmencie opublikowanym w Moniteur belge, były kolejno przetwarzane przez kilka podmiotów, mianowicie przez notariusza, który sporządził wypis, sekretariat tribunal de l’entreprise néerlandophone de Bruxelles (niderlandzkojęzycznego sądu do spraw gospodarczych w Brukseli), który włączył go do akt spółki, a wreszcie przez Moniteur belge, który opublikował go w stanie niezmienionym.

80.

W odniesieniu do tego ciągu zdarzeń należy zauważyć, że powierzone Moniteur belge przetwarzanie danych osobowych, o których mowa, nie tylko następuje po przetwarzaniu dokonywanym przez notariusza i sekretariat tribunal de l’entreprise néerlandophone de Bruxelles (niderlandzkojęzycznego sądu do spraw gospodarczych w Brukseli), lecz jest również pod względem technicznym odmienne od przetwarzania dokonywanego przez te dwa podmioty i ma dodatkowy względem niego charakter. Wypada podkreślić, że w zakresie, w jakim operacje wykonywane przez Moniteur belge pociągają za sobą w szczególności przekształcenie danych zawartych w przedłożonych mu wypisach z dokumentów na postać cyfrową, publikowanie, publiczne udostępnianie i przechowywanie tych danych, operacje powierzone na mocy prawa Moniteur belge wiążą się, w porównaniu z przetwarzaniem dokonanym na wcześniejszych etapach przez dwa pozostałe podmioty, z istotnym i dodatkowym oddziaływaniem na prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych oraz z istotnym i dodatkowym ryzykiem ich naruszenia ( 53 ).

81.

Dlatego też to Moniteur belge powinien wykonać wszystkie obowiązki ciążące na administratorze na mocy RODO w odniesieniu do operacji przetwarzania, do których wykonania zobowiązuje go prawo krajowe.

82.

Artykuł 4 pkt 7 RODO stanowi, że „cele i sposoby przetwarzania” mogą być ustalane przez więcej niż jeden podmiot. Wskazano w nim, że pojęcie „administratora” odnosi się do osoby, która „samodzielnie lub wspólnie z innymi” ustala cele i sposoby przetwarzania. Taka sytuacja została uregulowana w art. 26 RODO, zgodnie z którym kilka różnych podmiotów może działać jako administratorzy w odniesieniu do tego samego przetwarzania, przy czym każdy z nich podlega przepisom obowiązującym w dziedzinie ochrony danych ( 54 ).

83.

Przypominam, że art. 26 ust. 1 RODO stanowi, że jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W tym samym ustępie doprecyzowano, że współadministratorzy w przejrzysty sposób określają zakresy swojej odpowiedzialności dotyczącej wypełniania wszystkich obowiązków wynikających z RODO, chyba że przypadające im obowiązki i ich zakres określa w szczególności prawo państwa członkowskiego, któremu administratorzy ci podlegają. W związku z tym wspólna odpowiedzialność kilku administratorów wcale nie musi zależeć od istnienia porozumienia między poszczególnymi administratorami ani nawet od ich zamiaru, lecz może wynikać z prawa krajowego, pod warunkiem, że z tego prawa da się wywieść fakt wyznaczenia kilku administratorów oraz obowiązki przypadające każdemu z nich w świetle wymogów RODO.

84.

Niemniej jednak okoliczność, że w tym samym łańcuchu przetwarzania bierze udział kilka podmiotów, wcale nie oznacza, iż działają one jako współadministratorzy ( 55 ). Ponadto Trybunał orzekł, że osobie fizycznej lub prawnej nie można przypisać odpowiedzialności za wcześniejsze lub późniejsze operacje łańcucha przetwarzania, których celów ani środków ona nie ustala ( 56 ). Tym samym nie wydaje się, aby w niniejszej sprawie prawo krajowe wyznaczyło współadministratorów, ponieważ notariusz nie sprawuje żadnej kontroli w odniesieniu do operacji wykonywanych przez Moniteur belge.

85.

W związku z tym uważam, że w niniejszej sprawie wspólna odpowiedzialność trzech podmiotów nie została określona przez prawo krajowe, a ponadto jej istnienia nie można ustalić w oparciu o okoliczności stanu faktycznego, tak jak zostały one przedstawione przez sąd odsyłający. Jeśli chodzi o okoliczności faktyczne postępowania głównego, pragnę w szczególności zauważyć, że trzy podmioty uczestniczące w łańcuchu przetwarzania nie dokonują przetwarzania w ten sam sposób, ponieważ Moniteur belge zajmuje się przekształcaniem odnośnych dokumentów na postać cyfrową oraz ich publikacją i rozpowszechnianiem. Ponadto w świetle stanu faktycznego sprawy w postępowaniu głównym zainteresowana osoba fizyczna zamierzająca skorzystać z prawa do usunięcia danych, które przyznano jej w art. 17 RODO, musi wykonać przysługujące jej prawa wynikające z tego rozporządzenia wobec każdego ze współadministratorów. Z tej perspektywy każdy podmiot ponosiłby zatem odrębną odpowiedzialność za przestrzeganie zasad, o których mowa w art. 5 ust. 1 RODO ( 57 ).

86.

Moim zdaniem z powyższego wynika, że nie można stwierdzić istnienia „kumulatywnej” odpowiedzialności poszczególnych administratorów na podstawie art. 5 ust. 2 RODO. W istocie każdy podmiot uczestniczący w łańcuchu przetwarzania może jedynie indywidualnie odpowiadać za przestrzeganie zasad wyrażonych w art. 5 ust. 1 tego rozporządzenia w odniesieniu do operacji przetwarzania, które zostały przez niego wykonane stosownie do celów i sposobów przetwarzania danych. W niniejszej sprawie ze względu na fakt, że nieprawidłowe dane zostały opublikowane nie przez notariusza, lecz przez Moniteur belge, wydaje mi się, iż to właśnie ten organ, mimo że sam nie umieścił on tych danych w spornym fragmencie, powinien być indywidualnie odpowiedzialny za przestrzeganie zasad, o których mowa w art. 5 ust. 1 RODO.

87.

Wreszcie, pragnę podkreślić, że to do sądu odsyłającego należy ustalenie, czy uregulowanie krajowe, które przewiduje możliwość sprostowania, ale już nie usunięcia, danych opublikowanych w Moniteur belge, jest zgodne z RODO. Wydaje się bowiem, że to uregulowanie krajowe nie zezwala Moniteur belge na usunięcie z mocą wsteczną danych, które zostały już opublikowane (w tym również w formie elektronicznej). W tym względzie prawdą jest, że prawa do sprostowania i usunięcia danych, które ustanowiono odpowiednio w art. 16 i 17 RODO, mogą być, jak stanowi art. 23 RODO, ograniczone przez prawo krajowe. Niemniej jednak takie ograniczenie musi być zgodnie z art. 52 ust. 1 karty przewidziane ustawą, szanować istotę praw podstawowych osób fizycznych oraz być zgodne z zasadą proporcjonalności ( 58 ).

88.

Proponuję zatem, by na pytanie drugie udzielić następującej odpowiedzi: art. 5 ust. 2 RODO należy interpretować w ten sposób, że przedmiotowy dziennik urzędowy jest odpowiedzialny za wykonanie obowiązków ciążących na administratorze na podstawie tego przepisu w odniesieniu do wykonywanych przez siebie operacji. Analizowane przetwarzanie nie stanowi przypadku współadministrowania, Moniteur belge zaś ponosi wyłączną odpowiedzialność w odniesieniu do operacji przetwarzania, do których wykonania zobowiązuje go prawo krajowe.

89.

W świetle powyższych rozważań proponuję Trybunałowi, by na pytania przedstawione przez cour d’appel de Bruxelles (sąd apelacyjny w Brukseli, Belgia) odpowiedział następująco:

Artykuł 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

dziennik urzędowy państwa członkowskiego, taki jak Moniteur belge, któremu zgodnie z mającymi zastosowanie przepisami krajowymi powierzono zadanie publikowania i archiwizowania dokumentów urzędowych, można – w celu zapewnienia skutecznej i pełnej ochrony osób, których dane dotyczą – uznać za administratora w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679 w okolicznościach, w których publikacja tych dokumentów w stanie niezmienionym jest zlecana przez podmioty będące osobami trzecimi, ponieważ ustawodawca krajowy przyznał owemu dziennikowi uprawnienie do ustalania sposobów przekształcania odnośnych dokumentów na postać cyfrową, ich publikowania, rozpowszechniania i przechowywania, jak również zakreślił w sposób szeroki cele publikowania i rozpowszechniania. Co się jednak tyczy niewyznaczenia administratora w odniesieniu do wycofania lub usunięcia danych, z racji faktu, że dane, o których mowa, pozostają udostępnione publicznie, to do sądu krajowego należy wyznaczenie podmiotu, który powinien wykonać obowiązki wynikające z rozporządzenia 2016/679.

Artykuł 5 ust. 2 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

przedmiotowy dziennik urzędowy jest odpowiedzialny za wykonanie obowiązków ciążących na administratorze na podstawie tego przepisu w odniesieniu do wykonywanych przez siebie operacji. Analizowane przetwarzanie nie stanowi przypadku współadministrowania, Moniteur belge zaś ponosi wyłączną odpowiedzialność w odniesieniu do operacji przetwarzania, do których wykonania zobowiązuje go prawo krajowe.