1.

We wniosku o wydanie orzeczenia w trybie prejudycjalnym Varhoven administrativen sad (naczelny sąd administracyjny, Bułgaria) zwraca się do Trybunału z szeregiem pytań dotyczących zasadniczo relacji między przepisami w zakresie jawności dokumentów spółek, będącymi przedmiotem koordynacji na poziomie Unii ( 2 ), a rozporządzeniem (UE) 2016/679 ( 3 ).

2.

Wniosek ten został złożony w ramach sporu między Agentsia po vpisvaniyata (agencją rejestrową, Bułgaria; zwaną dalej „agencją”) a OL w przedmiocie odmowy wykreślenia przez tę agencję niektórych dotyczących OL danych osobowych zawartych w dokumencie publicznie udostępnionym w rejestrze handlowym.

3.

Do celów niniejszej opinii znaczenie mają w szczególności art. 14 i 16 dyrektywy 2017/1132, która zastąpiła dyrektywę 2009/101, oraz art. 4–6 i 17 RODO. Dla uzyskania większej przejrzystości brzmienie istotnych dla sprawy przepisów tych artykułów zostanie przywoływane w ramach niniejszej analizy.

4.

Artykuł 2 Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (ustawy o rejestrze handlowym i rejestrze osób prawnych niemających celu zarobkowego ( 4 )), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanej dalej „ustawą o rejestrach”), stanowi:

„(1)   Rejestr handlowy i rejestr osób prawnych niemających celu zarobkowego [zwane dalej »rejestrami«] stanowią wspólną elektroniczną bazę danych zawierającą okoliczności wpisane na podstawie prawa oraz dokumenty publicznie udostępnione na podstawie prawa dotyczące przedsiębiorców i oddziałów przedsiębiorców zagranicznych, osób prawnych niemających celu zarobkowego oraz oddziałów osób prawnych niemających celu zarobkowego.

(2)   Okoliczności i dokumenty, o których mowa w ust. 1, są publicznie udostępniane, z pominięciem informacji stanowiących dane osobowe w rozumieniu art. 4 pkt 1 [RODO], z wyjątkiem informacji, które należy publicznie udostępnić na podstawie prawa”.

5.

Zgodnie z art. 6 ust. 1 ustawy o rejestrach każdy przedsiębiorca i osoba prawna niemająca celu zarobkowego są zobowiązani do wystąpienia z wnioskiem o wpisanie ich do rejestrów, wskazując okoliczności, co do których wpis jest wymagany, i przedstawiając dokumenty, które podlegają publicznemu udostępnieniu.

6.

Artykuł 11 tej ustawy ma następujące brzmienie:

„(1)   [Rejestry] są jawne. Każdy ma prawo do swobodnego i nieodpłatnego dostępu do bazy danych stanowiącej rejestry.

(2)   [Agencja] zapewnia rejestrowany dostęp do akt przedsiębiorcy lub osoby prawnej niemającej celu zarobkowego”.

7.

Artykuł 13 ust. 1, 2, 6 i 9 wspomnianej ustawy stanowi:

„(1)   Wpisu, wykreślenia i publicznego udostępnienia dokonuje się na podstawie formularza wniosku.

(2)   Wniosek powinien zawierać:

[…]

[…]

(6)   [D]o wniosku należy załączyć dokumenty lub, w stosownym przypadku, akt, które mają zostać publicznie udostępnione zgodnie z wymogami prawa. Dokumenty przedkłada się w oryginale, odpisie uwierzytelnionym przez wnioskodawcę lub odpisie uwierzytelnionym przez notariusza. Wnioskodawca przedkłada również uwierzytelnione odpisy dokumentów, które mają zostać publicznie udostępnione w rejestrze handlowym, w których dane osobowe inne niż te wymagane przez prawo zostały utajnione.

[…]

(9)   W przypadku podania we wniosku lub w załączonych do niego dokumentach danych osobowych niewymaganych przez prawo uznaje się, że osoby, które je podały, wyraziły zgodę na ich przetwarzanie przez [agencję] i na ich publiczne udostępnienie”.

8.

Artykuł 101 pkt 3 Targovski zakon (kodeksu handlowego ( 5 )), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanego dalej „kodeksem handlowym”), stanowi, że umowa spółki musi wskazywać „nazwisko, nazwę firmy oraz unikalny numer identyfikacyjny wspólników”.

9.

Zgodnie z art. 119 ust. 1 tej ustawy wpis spółki do rejestru handlowego wymaga między innymi przedłożenia umowy spółki, która jest publicznie udostępniana. Zgodnie z ust. 4 tego artykułu „w celu zmiany lub uzupełnienia umowy spółki w rejestrze handlowym należy przedłożyć, celem publicznego udostępnienia, odpis tej umowy zawierający wszystkie zmiany i uzupełnienia, uwierzytelniony przez organ uprawniony do reprezentowania spółki”.

10.

OL jest wspólniczką w „OOD” – spółce z ograniczoną odpowiedzialnością prawa bułgarskiego, która w dniu 14 stycznia 2021 r. została wpisana do rejestru handlowego. Do wniosku o wpis załączono podpisaną przez wspólników umowę spółki z dnia 30 grudnia 2020 r. (zwaną dalej „umową spółki z 2020 r.”). Umowa ta, zawierająca imię i nazwisko OL, jej numer identyfikacyjny, numer dowodu osobistego, datę i miejsce jego wydania oraz jej stały adres, została zarejestrowana i udostępniona publicznie w formie, w jakiej ją przedstawiono. W dniu 8 lipca 2021 r. OL złożyła do agencji wniosek o usunięcie jej danych osobowych z umowy spółki z 2020 r. uściślając, że jeśli przetwarzanie danych odbywało się na podstawie jej zgody, to wycofuje ją. Wobec braku odpowiedzi agencji OL wystąpiła do Administrativen sad Dobrich (sądu administracyjnego w mieście Dobricz, Bułgaria), który stwierdził nieważność milczącej odmowy nadania przez agencję biegu wnioskowi OL i sprawę OL przekazał do ponownego rozpatrzenia. Wykonując ten wyrok, a także analogiczny wyrok dotyczący drugiego wspólnika, który podjął takie same działania, pismem z dnia 26 stycznia 2022 r. agencja wskazała, że aby wniosek o usunięcie danych osobowych został uwzględniony, należy przedłożyć uwierzytelniony odpis umowy spółki z 2020 r., w której należy utajnić dane osobowe wspólników, z wyjątkiem danych osobowych wymaganych prawem (pismo zwane dalej „pismem z dnia 26 stycznia 2022 r.”). W dniu 31 stycznia 2022 r. OL wystąpiła ponownie do Administrativen sad Dobrich (sądu administracyjnego w mieście Dobricz), żądając stwierdzenia nieważności pisma z dnia 26 stycznia 2022 r. oraz zasądzenia od agencji odszkodowania za szkodę niemajątkową wyrządzoną jej tym pismem, naruszającym jej prawa wynikające z RODO. W dniu 1 lutego 2022 r., przed otrzymaniem zawiadomienia o tej skardze, agencja dokonała z urzędu wykreślenia numeru identyfikacyjnego, danych dotyczących dowodu osobistego oraz adresu OL, lecz nie wykreśliła jej nazwiska, imienia i podpisu. Wyrokiem z dnia 5 maja 2022 r. Administrativen sad Dobrich (sąd administracyjny w mieście Dobricz) stwierdził nieważność pisma z dnia 26 stycznia 2022 r., a także zasądził na podstawie art. 82 RODO od agencji, z tytułu poniesienia przez OL szkody niemajątkowej, odszkodowanie na rzecz OL w wysokości 500 lewów bułgarskich (BGN) (około 255 EUR), wraz z ustawowymi odsetkami. Zgodnie z tym wyrokiem szkoda ta polegała na wywołaniu negatywnych emocji i przeżyć wynikających z wydania owego pisma, które stanowiło naruszenie prawa do usunięcia danych ustanowionego w art. 17 ust. 1 RODO i skutkowało niezgodnym z prawem przetwarzaniem danych OL zawartych w publicznie udostępnionej umowie. Agencja złożyła do sądu odsyłającego skargę kasacyjną od tego wyroku. Argumentuje ona w szczególności, że jest administratorem, lecz również odbiorcą danych przekazanych w ramach postępowania rejestrowego, oraz że chociaż przed zarejestrowaniem spółki, której OL jest wspólniczką, zażądała odpisu umowy tej spółki z utajnionymi danymi osobowymi, które nie miały być publicznie udostępnione, nie otrzymała takiego odpisu. Tymczasem z takiego jedynie powodu nie można odmówić rejestracji spółki handlowej. Agencja powołuje się na opinię krajowego organu nadzorczego z 2021 r. – Komisia za zashtita na lichnite danni (komisji ochrony danych osobowych, Bułgaria), przedstawioną na podstawie art. 58 ust. 3 lit. b) RODO (zwaną dalej „opinią z 2021 r.”) ( 6 ), w której stwierdzono, że agencja nie jest uprawniona do dokonywania zmiany treści dokumentów, które otrzymuje w celu ich wpisania do rejestru. Ze swojej strony OL podnosi, że agencja – jako administrator – nie może nakładać na inne osoby jej własnych obowiązków w zakresie wykreślania. Powołuje się ona na orzecznictwo krajowe, zgodnie z którym opinia z 2021 r. nie jest zgodna z przepisami RODO.

11.

W tych okolicznościach Varhoven administrativen sad (naczelny sąd administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

12.

Strony w postępowaniu głównym, rządy: bułgarski, niemiecki, irlandzki, włoski, polski i fiński oraz Komisja przedstawiły na podstawie art. 23 statutu Trybunału Sprawiedliwości Unii Europejskiej uwagi na piśmie w przedmiocie wszystkich lub niektórych pytań prejudycjalnych. Strony w postępowaniu głównym, rządy bułgarski i irlandzki oraz Komisja przedstawiły swoje stanowiska również ustnie na rozprawie w dniu 7 marca 2024 r.

13.

Na wniosek Trybunału niniejsza opinia skupi się na czwartym i piątym pytaniu prejudycjalnym, które proponuję rozważyć łącznie. Uważam, że przed przystąpieniem do analizy należy poczynić kilka uwag wstępnych dotyczących odesłania prejudycjalnego jako całości.

14.

Przede wszystkim należy zauważyć – jak to uczyniły strony w postępowaniu głównym, Komisja i większość państw członkowskich, które przedstawiły Trybunałowi uwagi na piśmie – że uzasadnienie postanowienia odsyłającego oraz brzmienie pytań prejudycjalnych – w tym w szczególności pytania czwartego – odnoszą się do przepisów dyrektywy 2009/101. Została ona jednak uchylona i zastąpiona od dnia 20 lipca 2017 r. dyrektywą 2017/1132, która znajduje zastosowanie ratione temporis do okoliczności faktycznych postępowania głównego. W dalszej części mojej analizy będę się zatem odnosiła wyłącznie do tej ostatniej dyrektywy.

15.

Następnie należy przypomnieć, że dyrektywa 2017/1132, a w szczególności jej art. 16 i 161, w zakresie, w jakim mają one znaczenie dla analizy rozpatrywanego odesłania prejudycjalnego, zostały zmienione przez dyrektywę (UE) 2019/1151 ( 7 ), która weszła w życie w dniu 31 lipca 2019 r. Tymczasem chociaż prawdą jest, jak podkreśla Komisja, że wpis do rejestru handlowego umowy spółki z 2020 r. zawierającej dane osobowe OL nastąpił przed dniem 1 sierpnia 2021 r., w którym upłynął termin na transpozycję dyrektywy 2019/1151 ( 8 ), to niektóre okoliczności faktyczne miały miejsce po tej dacie, w tym wysłanie przez agencję pisma z dnia 26 stycznia 2022 r., usunięcie niektórych z tych danych dokonane przez nią z urzędu oraz ich ponowne publiczne udostępnienie w rejestrze, które strona przeciwna w postępowaniu głównym wymienia w swoich uwagach na piśmie. Nie można zatem wykluczyć, że to wersja dyrektywy 2017/1132 zmieniona dyrektywą 2019/1151 będzie miała zastosowanie ratione temporis w ramach sporu w postępowaniu głównym, czego zbadanie należy do sądu odsyłającego. Z tego właśnie powodu będę się odwoływała do tejże wersji w dalszej części mojej analizy.

16.

Pragnę jednak już teraz podkreślić, że zmiany wprowadzone dyrektywą 2019/1151 mają, jako takie, jedynie ograniczony wpływ na kwestię, w jaki sposób organ państwa członkowskiego odpowiedzialny za prowadzenie rejestru spółek ma zapewnić ochronę danych osobowych przy pełnieniu ich obowiązków. Należy natomiast podkreślić, w ujęciu bardziej ogólnym, że dyrektywa ta ma na celu wzmocnienie i utrwalenie stosowania narzędzi i procesów cyfrowych w gromadzeniu informacji dotyczących spółek i zarządzaniu ich przepływem, co wiąże się ze zwiększonym dostępem do zawartych w nich danych osobowych, a także zwiększa ryzyko naruszeń prawa do ochrony takich danych i wzmacnia szkodotwórczy charakter tych naruszeń ( 9 ). Tymczasem taki proces cyfryzacji ( 10 ), w połączeniu ze zwiększonym transgranicznym dostępem do tych informacji, który jest również zamierzony przez prawodawcę Unii ( 11 ), wymaga szczególnej uwagi przy wyważeniu pomiędzy, z jednej strony, celami pewności prawa i ochrony praw osób trzecich, które leżą u podstaw, jak to zostanie wyjaśnione, przepisów w zakresie jawności dotyczącej spółek, a z drugiej strony – praw podstawowych do poszanowania życia prywatnego i ochrony danych osobowych ( 12 ).

17.

Nadal tytułem wstępu pragnę zaznaczyć, że spór w postępowaniu głównym dotyczy usunięcia zamieszczonych w rejestrze handlowym państwa członkowskiego danych osobowych, których publiczne udostępnienie nie jest wymagane ani przez dyrektywę 2017/1132, ani przez prawo państwa członkowskiego, którego sprawa dotyczy, oraz odpowiedzialności organu krajowego odpowiedzialnego za prowadzenie tego rejestru za krzywdę spowodowaną odmową niezwłocznego i bezwarunkowego nadania biegu wnioskowi o usunięcie tych danych. Spór w postępowaniu głównym nie dotyczy natomiast bezpośrednio kwestii, jakie obowiązki spoczywają na takim organie z tytułu ochrony danych osobowych przy wpisywaniu do rejestru handlowego aktów założycielskich spółki, które zawierają dane niepodlegające obowiązkowi publikacji. Kwestia ta pozostaje jednak w tle, co wynika z okoliczności, że wiele interweniujących państw członkowskich poświęciło jej znaczną część swoich uwag, proponując radykalne przeformułowanie czterech pierwszych pytań prejudycjalnych lub niektórych z nich. W dalszej części mojej analizy zajmę się niektórymi aspektami tej kwestii, pozostając jednak w granicach wyznaczonych przez przedmiot postępowania głównego oraz przez pytania prejudycjalne, na których skupia się niniejsza opinia.

18.

Poprzez czwarte pytanie prejudycjalne, którego dopuszczalność jest kwestionowana przez rząd bułgarski, sąd odsyłający dąży w istocie do ustalenia, czy dyrektywę 2017/1132 należy interpretować w ten sposób, że umożliwia ona poddanie szczególnym warunkom proceduralnym prawa osoby fizycznej, w rozpatrywanej sprawie wspólników spółki z ograniczoną odpowiedzialnością, której dotyczy ta dyrektywa ( 13 ), do uzyskania usunięcia z rejestru handlowego dotyczących jej danych osobowych, które, choć nie należą do informacji podlegających obowiązkowemu ujawnieniu na podstawie prawa krajowego, są zawarte w publicznie udostępnionym w ramach dokonywania jej wpisu do powyższego rejestru akcie założycielskim tej spółki. Poprzez piąte pytanie prejudycjalne sąd odsyłający zwraca się natomiast do Trybunału o uściślenie, czy w odniesieniu do takich danych organ odpowiedzialny za prowadzenie rejestru handlowego działa w charakterze „administratora” na podstawie art. 4 pkt 7 RODO, czy też jest on również „odbiorcą” danych, które przetwarza, w rozumieniu art. 4 pkt 9 tego rozporządzenia, w przypadku gdy cel ich przetwarzania został wcześniej określony przez osobę trzecią.

19.

Jak wspomniałam wcześniej, uważam, że te dwa pytania należy rozważyć łącznie. W tym celu omówię poruszone w nich poszczególne kwestie w następującej kolejności. Po dokonaniu krótkiego przeglądu zakresu obowiązków dotyczących ujawniania informacji przez spółki, o których mowa w załączniku II do dyrektywy 2017/1132, w pierwszej kolejności przeanalizuję kwestię, kto jest administratorem danych osobowych zawartych w dokumentach podlegających obowiązkowemu ujawnieniu w kontekście wpisu spółki do rejestru handlowego państwa członkowskiego, w przypadku gdy, jak w rozpatrywanej sprawie, ujawnienie danych, których sprawa dotyczy, nie jest wymagane ani przez zharmonizowane prawo Unii, ani przez prawo danego państwa członkowskiego. W drugiej kolejności omówię kwestię, jaka jest w rozpatrywanym przypadku podstawa prawna przetwarzania takich danych. W trzeciej kolejności zajmę się kwestią, czy po ujawnieniu wspomnianych danych w następstwie publicznego udostępnienia dokumentu, w którym były one zawarte, osoby zainteresowane mają prawo do usunięcia danych zgodnie z art. 17 RODO. Wreszcie omówię kwestię, czy takie prawo może podlegać uregulowaniom proceduralnym takim jak te wymienione przez sąd odsyłający.

20.

Przed przystąpieniem do tej analizy należy odpowiedzieć na podniesione przez rząd bułgarski zarzuty dotyczące dopuszczalności czwartego pytania prejudycjalnego. Rząd ten uważa, że czwarte pytanie prejudycjalne dotyczy zasadniczo zgodności z art. 16 ust. 7 dyrektywy 2017/1132 – w wersji sprzed zmian wprowadzonych dyrektywą 2019/1151 – przepisów krajowych, które jednak nie zostały jeszcze przyjęte. Jest to zatem pytanie o charakterze hipotetycznym. W tym względzie pragnę zauważyć, że sąd odsyłający jest zobowiązany do rozstrzygnięcia w ostatniej instancji w przedmiocie zgodności z prawem odmowy usunięcia przez agencję niektórych danych osobowych strony przeciwnej zawartych w dokumencie publicznie udostępnionym w następstwie jej wpisania do rejestru handlowego oraz w przedmiocie skutków tej odmowy. W tym celu sąd odsyłający jest w szczególności zobowiązany do dokonania oceny, w świetle przepisów dyrektywy 2017/1132 oraz RODO, czy taka odmowa może być uzasadniona między innymi przez okoliczność, że uwierzytelniony odpis tego dokumentu, z którego usunięto rozpatrywane dane osobowe, nie został dołączony do dokumentacji. Oczekiwane orzeczenie prejudycjalne jest zatem niezbędne do wydania przez sąd odsyłający wyroku w zawisłym przed nim sporze. Ponadto, pomimo niejednoznaczności brzmienia czwartego pytania prejudycjalnego, z postanowienia odsyłającego wynika jasno, że pytanie to nie zmierza do uzyskania opinii w przedmiocie zgodności z prawem Unii przepisów krajowych, które nie zostały jeszcze przyjęte, lecz do zwrócenia się do Trybunału o dostarczenie elementów wykładni tego prawa, które są mu niezbędne do rozstrzygnięcia sporu, który sąd ten ma rozstrzygnąć. Czwarte pytanie prejudycjalne jest zatem, moim zdaniem, dopuszczalne.

21.

Artykuł 14 dyrektywy 2017/1132 przewiduje, że w odniesieniu do form spółek wymienionych w załączniku II do tej dyrektywy państwa członkowskie obowiązkowo ujawniają „co najmniej” dokumenty i informacje, które są w nim wymienione. Wśród dokumentów podlegających obowiązkowemu ujawnieniu art. 14 wymienia w lit. a)–c) „akt założycielski oraz statut, jeśli są one oddzielnymi aktami” oraz ich zmiany. Zgodnie z art. 4 lit. i) tej dyrektywy informacje obowiązkowe do wskazania w statucie spółki, akcie założycielskim lub odrębnym dokumencie, który podlega ogłoszeniu, obejmują tożsamość osób fizycznych lub prawnych lub spółek, które podpisały lub w imieniu których podpisano statut lub akt założycielski. Wśród informacji, których ujawnienie należy zapewnić, art. 14 wymienia w lit. d) „powołanie, zakończenie sprawowania funkcji, jak też dane osób, które jako organ przewidziany w prawie albo członkowie takiego organu są upoważnione do reprezentowania spółki wobec osób trzecich oraz do reprezentowania jej w postępowaniu sądowym” lub „uczestniczą w zarządzaniu, nadzorowaniu lub kontrolowaniu spółki”. Zgodnie z art. 16 ust. 2 dyrektywy 2017/1132 zmienionej dyrektywą 2019/1151 wszelkie dokumenty i informacje, które należy ujawnić na podstawie art. 14, znajdują się w dokumentacji, o której mowa w ust. 1 tego artykułu, prowadzonej w rejestrze centralnym, rejestrze handlowym lub rejestrze spółek, lub są wpisywane bezpośrednio do rejestru ( 14 ). Zgodnie z art. 16 ust. 3 i 4 tej dyrektywy zmienionej dyrektywą 2019/1151 państwa członkowskie zapewniają, aby ujawnianie dokumentów i informacji, o których mowa w jej art. 14, było zapewnione poprzez ich publiczne udostępnianie w rejestrze. Ponadto państwa członkowskie mogą wymagać ujawniania w całości lub w części dokumentów i informacji w przeznaczonym do tego celu biuletynie krajowym lub środkami o jednakowym skutku. Państwa członkowskie podejmują niezbędne środki w celu uniknięcia wszelkich niezgodności między treścią w rejestrze i w dokumentacji oraz między tym, co jest ujawnione w rejestrze, i tym, co jest ujawnione w biuletynie.

22.

W odniesieniu do powyższych wymogów dyrektywy 2017/1132 można poczynić następujące uwagi.

23.

Po pierwsze, dyrektywa 2017/1132 przewiduje obowiązkowe ujawnianie i dostępność za pośrednictwem rejestru całości aktu założycielskiego spółki oraz jego zmian ( 15 ).

24.

Po drugie, w odniesieniu do spółek, o których mowa w załączniku II do tej dyrektywy, przewiduje ona ujawnianie i udostępnianie za pośrednictwem rejestru jedynie informacji dotyczących niektórych kategorii osób, a mianowicie w szczególności tych, które są upoważnione do reprezentowania spółki lub które uczestniczą w zarządzaniu, nadzorowaniu lub jej kontrolowaniu. Zgodnie z art. 4 lit. i) wspomnianej dyrektywy tożsamość osób fizycznych, które podpisały akt założycielski spółki, również podlega ujawnieniu.

25.

Po trzecie, informacje te, odnoszące się do zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych, stanowią „dane osobowe” zgodnie z art. 4 pkt 1 RODO ( 16 ).

26.

Po czwarte, wyżej wymienione przepisy dyrektywy 2017/1132 zawierają jedynie minimalne wymagania w zakresie ujawniania dokumentów i informacji dotyczących spółek. Do państw członkowskich należy zatem w szczególności określenie, jakie kategorie informacji dotyczących tożsamości osób, o których mowa w art. 4 lit. i) i w art. 14 lit. d) tej dyrektywy, podlegają obowiązkowemu ujawnieniu. Państwa członkowskie mają również swobodę co do tego, aby ustanowić taki obowiązek ujawniania innych dokumentów lub innych informacji dotyczących, w stosownym przypadku, innych kategorii osób. Czyniąc to, są one oczywiście zobowiązane do przestrzegania wszystkich przepisów prawa Unii, a w szczególności zasad określonych w art. 8 i art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”) oraz przepisów RODO.

27.

Artykuł 4 pkt 7 RODO definiuje pojęcie „administratora” w sposób szeroki, jako oznaczające osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi „ustala cele i sposoby przetwarzania” danych osobowych. Cel tej szerokiej definicji polega, stosownie do celu tego rozporządzenia, na zapewnieniu skutecznej ochrony podstawowych praw i wolności osób fizycznych, a także między innymi na zapewnieniu wysokiego poziomu ochrony prawa każdej osoby do ochrony dotyczących jej danych osobowych ( 17 ). Pojęcie „przetwarzania” jest również przedmiotem szerokiej definicji ( 18 ). Zgodnie z art. 4 pkt 2 RODO „przetwarzanie” oznacza „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.

28.

Z wyroku Manni wynika, że poprzez wpisywanie i przechowywanie w rejestrze handlowym informacji dotyczących tożsamości osób wymienionych w art. 14 lit. d) dyrektywy 2017/1132, a także ujawnianie ich, organ odpowiedzialny za prowadzenie tego rejestru „przetwarza dane osobowe”, w odniesieniu do których jest „administratorem” w rozumieniu definicji przedstawionych w art. 4 pkt 2 i 7 RODO. To samo niewątpliwie dotyczy przypadku, gdy przedmiotem wpisu do tego rejestru, przechowywania i ujawniania są dane osobowe inne niż te wyraźnie wymienione w tej dyrektywie, gdy ujawnienie tych danych jest przewidziane w prawie państwa członkowskiego.

29.

W rozpatrywanej sprawie powstaje jednak pytanie, czy taki organ, w przedmiotowej sprawie – agencja, jest odpowiedzialny za publiczne udostępnianie danych osobowych, których ujawnianie nie jest wymagane ani przez dyrektywę 2017/1132, ani przez prawo państwa członkowskiego, którego sprawa dotyczy, w rozpatrywanym przypadku – prawo bułgarskie, lecz które są zawarte w dokumencie, którego wpisanie i ujawnienie są obowiązkowe.

30.

Na to pytanie należy moim zdaniem udzielić odpowiedzi twierdzącej.

31.

Publiczne udostępnienie danych osobowych OL w rejestrze handlowym miało bowiem miejsce podczas wykonywania uprawnień przyznanych agencji jako organowi odpowiedzialnemu za prowadzenie rejestru. Jak już wcześniej wspomniano, przepisy bułgarskie przewidują, że do wniosku o wpisanie spółki do rejestru należy dołączyć oryginały lub uwierzytelnione odpisy dokumentów, które podlegają ujawnieniu, w tym umowy spółki, które to dokumenty agencja jest zobowiązana publicznie udostępnić. Cele i sposoby przetwarzania danych osobowych przez agencję w ramach wykonywania jej zadania są również określone przez prawo bułgarskie oraz przez prawo Unii, które, jak wskazano, dokonało zbliżenia ustawodawstw państw członkowskich w zakresie spoczywających na spółkach wymogów dotyczących jawności. Jako organ odpowiedzialny za przetwarzanie danych osobowych zawartych w dokumentach wpisywanych do rejestru handlowego zgodnie z celami i sposobami określonymi przez przepisy bułgarskie i przepisy Unii, należy zatem uznać agencję za „administratora” w rozumieniu art. 4 pkt 7 RODO. Pragnę zauważyć, że Trybunał doszedł ostatnio do podobnego wniosku w odniesieniu do podmiotu krajowego odpowiedzialnego z mocy prawa za prowadzenie dziennika urzędowego państwa członkowskiego, w wyroku z dnia 11 stycznia 2024 r., État belge (Dane osobowe przetwarzane przez dziennik urzędowy) ( 19 ).

32.

Wniosku tego nie kwestionuje okoliczność, iż w rozpatrywanej sprawie dane osobowe zawarte w umowie spółki z 2020 r. nie należą do danych, które na podstawie prawa bułgarskiego muszą zostać publicznie udostępnione. Z jednej strony w wyroku État belge Trybunał przyznał w sposób dorozumiany, że taka okoliczność faktyczna nie ma wpływu na identyfikację administratora. W sprawie w postępowaniu głównym, w której zapadł ten wyrok, podobnie jak w tej leżącej u podstaw rozpatrywanego tu odesłania prejudycjalnego, spór dotyczył bowiem danych, których publiczne udostępnienie nie było wymagane przez prawo państwa członkowskiego, którego sprawa dotyczyła. Z drugiej strony art. 13 ust. 9 ustawy o rejestrach przewiduje wprost, że w przypadku nieprzedłożenia przez wnioskodawcę uwierzytelnionego odpisu dokumentu podlegającego ujawnieniu, z którego usunięto niewymagane dane osobowe, agencja przetwarza je i publicznie je udostępnia na podstawie domniemania zgody udzielonej w sposób dorozumiany. Nawet w podobnych okolicznościach przepisy bułgarskie wyraźnie wyznaczają zatem agencję na administratora.

33.

W tych okolicznościach nie mogę zgodzić się z twierdzeniem agencji przedstawionym w jej uwagach na piśmie, zgodnie z którym jeżeli wnioskodawca nie utajnia informacji niewymaganych przez prawo, zawartych w dokumentach, które przedkłada w celu wpisu do rejestru, on sam staje się administratorem w zakresie przetwarzania polegającego na udostępnieniu ich w postaci elektronicznej w rejestrze. Niezależnie bowiem od kwestii, czy zgoda na publikację tych informacji może być skutecznie udzielona w drodze powołania się na domniemanie przewidziane w art. 13 ust. 9 ustawy o rejestrach, istnienie takiej zgody nie może mieć wpływu na określenie administratora, a jedynie na jej zgodność z prawem.

34.

Podobnie pozbawiona znaczenia jest okoliczność, również podkreślana przez agencję, że dokumenty przedłożone w ramach wniosku o wpisanie do rejestru handlowego nie są danymi uporządkowanymi lub możliwymi do odczytu przez maszynę, w przeciwieństwie do pól numerycznych w tym rejestrze, które są wypełniane przez urzędnika dokonującego wpisu i odpowiadają prawnej definicji „rejestru” w prawie bułgarskim. Na mocy prawa bułgarskiego agencja jest bowiem organem odpowiedzialnym za prowadzenie rejestru handlowego i w konsekwencji jest odpowiedzialna za każde przetwarzanie danych osobowych w nim opublikowanych, niezależnie od okoliczności, czy dane te zawarte są w dokumencie dołączonym do wniosku, czy są wprowadzane przez urzędnika agencji. Tym samym nawet jeżeli sama nie dokonuje przekształcania dokumentów na postać cyfrową, jest ona jednak zobowiązana do ujawniania tych dokumentów i danych w nich zwartych za pośrednictwem rejestru. Ogólnie rzecz ujmując, w ramach swojego zadania wykonywanego w interesie publicznym agencja zbiera, utrwala, przechowuje, organizuje – i zarządza nimi – wszystkimi otrzymywanymi przez siebie danymi, aktami i dokumentami w uporządkowanej bazie danych, która jest uznawana za wiarygodne i autentyczne źródło informacji.

35.

Wreszcie uznania agencji za „administratora” w rozumieniu art. 4 ust. 7 RODO nie podważa okoliczność, że nie kontroluje ona, przed udostępnieniem ich w postaci elektronicznej, danych osobowych zawartych w obrazach w formie elektronicznej lub w oryginałach w formie papierowej dokumentów przedkładanych w celu dokonania wpisu, ani okoliczność, że nie może ona dokonywać zmiany lub uzupełnienia tych danych. W tym względzie pragnę przypomnieć, że Trybunał miał już sposobność odrzucenia argumentacji o podobnej treści w wyroku État belge w odniesieniu do publikacji w dzienniku urzędowym państwa członkowskiego aktów i dokumentów sporządzonych przez osoby trzecie, a następnie przekazanych organowi sądowemu i przedłożonych podmiotowi prowadzącemu ten dziennik w celu ich ujawienia. W pkt 38 tego wyroku Trybunał zauważył, że z jednej strony publikacja takich aktów i dokumentów, bez możliwości kontroli ani zmiany ich treści, jest nierozerwalnie związana z rolą dziennika urzędowego, która ogranicza się do poinformowania opinii publicznej o ich istnieniu, zgodnie z obowiązującym prawem krajowym, tak aby można było się na nie powoływać wobec osób trzecich. Z drugiej strony uściślił on, że sprzeczne z celem art. 4 pkt 7 RODO, który polega na zapewnieniu osobom fizycznym skutecznej i pełnej ochrony w związku z przetwarzaniem ich danych osobowych, byłoby wykluczenie z pojęcia „administratora” dziennika urzędowego państwa członkowskiego ze względu na to, że ten ostatni nie sprawuje kontroli nad takimi danymi. Analogiczne rozważania mają zastosowanie mutatis mutandis do publikacji aktów i dokumentów w rejestrach państw członkowskich. Jak to bowiem miało miejsce w przypadku Moniteur belge w wyżej wymienionym wyroku, o ile prawdą jest, że agencja musi opublikować dany dokument w niezmienionej postaci, o tyle tylko ona sama wykonuje to zadanie i dokonuje jego rozpowszechnienia ( 20 ).

36.

Na tym etapie powstaje pytanie, czy należy uznać agencję za wyłącznie odpowiedzialną za przetwarzanie rozpatrywanych danych, a zatem za przestrzeganie zasad, o których mowa w art. 5 ust. 1 RODO, czy też dzieli ona tę odpowiedzialność z działającym na rzecz spółki wnioskodawcą, z uwagi na okoliczność, iż nie przesłał on agencji odpisu umowy spółki z 2020 r., z którego zostałyby usunięte wspomniane dane.

37.

W tym względzie pragnę przede wszystkim przypomnieć, że art. 26 ust. 1 RODO przewiduje, że dwie osoby lub większa ich liczba mogą przyjąć wspólną odpowiedzialność za przetwarzanie danych i że odpowiednie zakresy ich odpowiedzialności dotyczącej wypełniania obowiązków mogą być ustalone w drodze ich wspólnych uzgodnień albo określone przez prawo Unii lub prawo państwa, któremu podlegają ( 21 ). W tym względzie Trybunał uściślił, że zakwalifikowanie jako „współadministratorów” wynika z faktu, że w określaniu celów i sposobów przetwarzania uczestniczyło kilka podmiotów ( 22 ). Wobec braku takiego uczestnictwa współadministrowanie jest natomiast wykluczone, a poszczególne podmioty należy uznać za niezależnych, kolejnych administratorów. Jak wskazał EIOD, wymianę tych samych danych lub zestawu danych pomiędzy dwoma podmiotami bez wspólnego określenia przez nie celów i sposobów przetwarzania należy uznać za przekazanie danych pomiędzy odrębnymi administratorami ( 23 ).

38.

Tak więc sam fakt, że agencja jest jednocześnie „administratorem” na podstawie art. 4 pkt 7 RODO i „odbiorcą” w rozumieniu pkt 9 tego artykułu ze względu na ujawnianie wobec niej danych osobowych zawartych w aktach i dokumentach załączanych do wniosku o wpis do rejestru handlowego, nie pozwala na wykluczenie, że ponosi ona wyłączną odpowiedzialność za publiczne udostępnianie tychże danych. Takie publiczne udostępnianie, podobnie jak cyfrowe przekształcanie, w przypadku gdy ma ono miejsce, danych zawartych w dokumentach, które są jej przedkładane, oraz ich przechowywanie, stanowią bowiem przetwarzanie odrębne i późniejsze w stosunku do przekazania przez wnioskodawcę danych w celu zarejestrowania spółki. Tymczasem agencja samodzielnie dokonuje wszystkich tych rodzajów przetwarzania w ramach powierzonego jej zadania w zakresie porządku publicznego oraz zgodnie z celami i zasadami określonymi przez przepisy bułgarskie ( 24 ).

39.

Prawdą jest, że z jednej strony, w wyroku État belge ( 25 ), Trybunał orzekł, że wystarczy, by jedna osoba wpływała dla własnych celów na przetwarzanie danych osobowych i z tego względu brała udział w ustalaniu celów i sposobów tego przetwarzania, aby mogła zostać uznana za współadministratora ( 26 ). Jednakże w rozpatrywanym przypadku, z akt sprawy, którymi dysponuje Trybunał wynika, że cele i sposoby przetwarzania danych zawartych w dokumentach, które miały zostać publicznie udostępnione za pośrednictwem rejestru handlowego, określone są wyłącznie przez prawo. Osoby, które w imieniu spółki wprowadzają do bazy danych tego rejestru dokumenty i informacje, których ujawnienie jest wymagane na podstawie prawa ( 27 ), nie mają żadnego wpływu na to określenie, a zatem nie mogą być uznane za odpowiedzialne – nie bardziej niż sama spółka – za dalsze przetwarzanie danych, które przekazują agencji, w tym za ujawnienie tych danych za pośrednictwem elektronicznej bazy danych rejestru. Ponadto przekazując agencji dokumenty podlegające ujawnieniu i przetwarzając zawarte w nich dane, osoby te realizują swoje własne cele, a mianowicie dopełnienie formalności koniecznych do zarejestrowania spółki, które różnią się od celów publicznych przypisanych rejestrowi i realizowanych przez agencję w sytuacji, gdy zapewnia ona publiczne udostępnienie takich dokumentów ( 28 ).

40.

Z drugiej strony w wyroku État belge Trybunał uznał, że w ramach łańcucha przetwarzania dokonywanego przez różne osoby lub podmioty i dotyczącego tych samych danych osobowych prawo krajowe może określać cele i sposoby wszystkich operacji przetwarzania dokonywanych kolejno przez te różne osoby lub podmioty w taki sposób, aby były one wspólnie uznawane za administratorów ( 29 ). Tak więc zgodnie z art. 26 ust. 1 w związku z art. 4 pkt 7 RODO wspólną odpowiedzialność kilku podmiotów w łańcuchu przetwarzania tych samych danych osobowych można ustanowić w prawie krajowym, o ile różne operacje przetwarzania są powiązane celami i sposobami określonymi w tym prawie i o ile prawo to określa, w sposób bezpośredni lub pośredni, odpowiednie obowiązki każdego ze współadministratorów ( 30 ). Nie ma to jednak miejsca, moim zdaniem, w przypadku art. 13 ust. 6 i 9 ustawy o rejestrach, który ogranicza się do określenia, w jakich warunkach – zgodnie z przepisami bułgarskimi – zgoda na opublikowanie w rejestrze handlowym danych osobowych niepodlegających obowiązkowi ujawnienia została skutecznie udzielona przez osobę, której dane dotyczą. Celem tego przepisu nie jest bowiem ustanowienie solidarnej odpowiedzialności wnioskodawcy za dalsze przetwarzanie danych, lecz raczej uściślenie podstawy zgodności z prawem dokonanego przez agencję przetwarzania danych. Ponadto, jak już podkreślałam powyżej, cele prywatne realizowane przez spółkę różnią się od realizowanych przez agencję celów publicznych, wobec czego warunki wymagane w wyroku État belge do tego, by ich wspólna odpowiedzialność jako podmiotów „w łańcuchu przetwarzania tych samych danych osobowych” mogła zostać uznana za ustanowioną w prawie bułgarskim, nie są według mnie spełnione.

41.

Na podstawie całości powyższych wywodów uważam, że art. 4 pkt 7 oraz art. 26 ust. 1 RODO należy interpretować w ten sposób, że organ odpowiedzialny za prowadzenie rejestru handlowego państwa członkowskiego, który zgodnie z przepisami tego państwa musi zapewnić ujawnianie dokumentów przekazywanych mu w ramach wniosku o wpis spółki do tego rejestru, jest wyłącznie odpowiedzialny za publiczne udostępnianie danych osobowych zawartych w tychże dokumentach, nawet w przypadku danych, których publikacja nie jest wymagana, a które, zgodnie z tymi przepisami, powinny były zostać z nich usunięte przed ich przekazaniem wspomnianemu organowi.

42.

Każde przetwarzanie danych osobowych musi być zgodne z zasadami dotyczącymi przetwarzania danych określonymi w art. 5 ust. 1 RODO i spełniać warunki wymienione w art. 6 tego rozporządzenia ( 31 ), który przewiduje wyczerpujący i zamknięty wykaz przypadków, w których takie przetwarzanie można uznać za zgodne z prawem ( 32 ). Zgodnie z art. 6 ust. 1 akapit pierwszy lit. a) RODO przetwarzanie danych osobowych jest zgodne z prawem, gdy – i w takim zakresie, w jakim ma to miejsce – osoba, której dane dotyczą, wyraziła na nie zgodę do jednego lub większej liczby określonych celów. W braku takiej zgody lub jeżeli zgoda ta nie została udzielona w sposób dobrowolny, konkretny, świadomy i jednoznaczny w formie oświadczenia lub wyraźnego działania potwierdzającego w rozumieniu art. 4 pkt 11 RODO, takie przetwarzanie jest jednak uzasadnione, w sytuacji gdy spełnia ono jeden z wymogów dotyczących niezbędności, o których mowa w art. 6 ust. 1 akapit pierwszy lit. b)–f) tego rozporządzenia, a które powinny podlegać wykładni zawężającej ( 33 ).

43.

W rozpatrywanym przypadku ustanowione w art. 13 ust. 9 ustawy o rejestrach domniemanie zgody wyraźnie nie spełnia warunków wymaganych w art. 6 ust. 1 akapit pierwszy lit. a) RODO w związku z art. 4 pkt 11 tego rozporządzenia ( 34 ). Należy zatem zbadać, czy przetwarzanie danych takie jak to będące przedmiotem postępowania głównego odpowiada jednemu z pozostałych uzasadnień określonych w art. 6 ust. 1 akapit pierwszy wspomnianego rozporządzenia.

44.

Z wyroku Manni wynika, że przetwarzanie danych osobowych dokonywane przez organ odpowiedzialny za prowadzenie rejestru w ramach wdrażania aktów Unii koordynujących przepisy krajowe w dziedzinie ujawniania dokumentów spółek odpowiada w szczególności przesłankom zgodności z prawem przewidzianym w art. 6 ust. 1 akapit pierwszy lit. c) i lit. e) RODO dotyczącym, po pierwsze, wypełnienia obowiązku prawnego ciążącego na administratorze, a po drugie, wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Moja analiza będzie zatem skupiona na tych dwóch przesłankach.

45.

W pierwszej kolejności, w odniesieniu do przesłanki przewidzianej w art. 6 ust. 1 akapit pierwszy lit. c) RODO, należy przede wszystkim rozważyć, czy publiczne udostępnienie w rejestrze handlowym danych osobowych będących przedmiotem postępowania głównego, które nie należą do informacji podlegających ujawnieniu na podstawie dyrektywy 2017/1132 lub prawa bułgarskiego, było uzasadnione wymogiem zapewnienia ujawnienia dokumentów, o których mowa w art. 14 tej dyrektywy, a zatem było niezbędne do wypełnienia obowiązku prawnego wynikającego z prawa Unii.

46.

Zgodnie z art. 16 ust. 3 wspomnianej dyrektywy państwa członkowskie zapewniają publiczny dostęp do tych dokumentów w rejestrze, o którym mowa w ust. 1 akapit pierwszy tego artykułu. Rządy niemiecki irlandzki i polski uważają zasadniczo, że na podstawie wspomnianego artykułu w związku z wyżej wymienionym art. 14 organy odpowiedzialne za prowadzenie rejestru muszą publikować wspomniane dokumenty w takiej formie, w jakiej je otrzymują. Są one zatem zobowiązane do przetwarzania wszystkich zawartych w nich danych osobowych, w tym tych niewymaganych na podstawie prawa Unii lub mającego zastosowanie prawa krajowego.

47.

Nie zgadzam się z taką interpretacją. Dyrektywa 2017/1132 przewiduje bowiem, że niektóre istotne dokumenty spółki podlegają obowiązkowemu ujawnieniu i że odbywa się ono za pośrednictwem rejestru, ale nie ustanawia ona obowiązku systematycznego przetwarzania wszystkich danych osobowych zawartych we wspomnianych dokumentach, nawet jeżeli to przetwarzanie miałoby się okazać sprzeczne z przepisami RODO. Przeciwnie, jak przypomniałam powyżej, art. 161 tej dyrektywy zmienionej dyrektywą 2019/1151 przewiduje, że przetwarzanie wszystkich danych osobowych, które odbywa się w jej kontekście, podlega przepisom wspomnianego rozporządzenia. Państwa członkowskie są zatem zobowiązane do znalezienia odpowiedniej równowagi między celami pewności prawa i ochrony interesów osób trzecich, które to cele, jak się okaże poniżej, leżą u podstaw przepisów w zakresie ujawniania dokumentów spółek oraz prawa podstawowego do poszanowania danych osobowych.

48.

Następnie należy ustalić, czy publikacja w rejestrze handlowym danych będących przedmiotem postępowania głównego była niezbędna do wypełnienia obowiązku prawnego przewidzianego w prawie bułgarskim. W tym względzie pragnę przypomnieć, że art. 2 ust. 2 ustawy o rejestrach przewiduje, że dokumenty, które mają się znajdować w rejestrze handlowym, „są publicznie udostępniane, z pominięciem informacji stanowiących dane osobowe w rozumieniu art. 4 pkt 1 [RODO], z wyjątkiem informacji, które należy publicznie udostępnić na podstawie prawa”. Nie wydaje się zatem, by zgodność z prawem przetwarzania danych będących przedmiotem postępowania głównego mogła opierać się na „obowiązku prawnym” w rozumieniu art. 6 ust. 1 akapit pierwszy lit. c) RODO, któremu agencja podlegała na podstawie prawa bułgarskiego, co zresztą zdaje się potwierdzać domniemanie zgody ustanowione w art. 13 ust. 9 ustawy o rejestrach. Niemniej jednak to do sądu odsyłającego, który jest wyłącznie właściwy w przedmiocie wykładni prawa krajowego, należy rozstrzygnięcie tej kwestii. W tym miejscu ograniczę się do uściślenia, że sama okoliczność, na którą powołuje się agencja, iż wobec braku odpisu z utajnionymi danymi osobowymi niewymaganymi przez prawo była ona zobowiązana do opublikowania dokumentu w takiej formie, w jakiej został jej przekazany, moim zdaniem nie wystarczy do stwierdzenia „obowiązku prawnego” w rozumieniu art. 6 ust. 1 akapit pierwszy lit. c) RODO, mając na względzie, że taka publikacja jest a priori wykluczona na podstawie prawa i że jest dokonywana przez agencję jedynie na podstawie domniemanej zgody ( 35 ). W tym względzie należy podkreślić, że na administratorze spoczywa obowiązek zapewnienia „zgodnego z prawem” charakteru dokonywanego przez niego przetwarzania danych w odniesieniu do przesłanek określonych w art. 6 ust. 1 akapit pierwszy lit. a)–f) tego rozporządzenia ( 36 ).

49.

W drugiej kolejności, jeżeli chodzi o przesłankę zapisaną w art. 6 ust. 1 akapit pierwszy lit. e) RODO, do której odwołuje się zarówno sąd odsyłający, jak i większość państw członkowskich, które przedstawiły uwagi w przedmiotowym postępowaniu, pragnę przypomnieć, że Trybunał miał już sposobność, by orzec, że działalność podmiotu władzy publicznej polegająca na przechowywaniu w bazie danych danych przekazanych przez przedsiębiorstwa na podstawie ustawowych obowiązków, udzielaniu zainteresowanym osobom wglądu do tych danych i na wydawaniu im odpisów tych danych zalicza się do wykonywania prerogatyw władzy publicznej ( 37 ) i stanowi zadanie wykonywane w interesie publicznym w rozumieniu tego przepisu ( 38 ). Jak przyznał rzecznik generalny Y. Bot w swojej opinii w sprawie, w której zapadł wyrok Manni, celem wpisów i publikacji w rejestrach handlowych i rejestrach spółek podstawowych informacji dotyczących spółek jest stworzenie wiarygodnego źródła informacji i zapewnienie w ten sposób bezpieczeństwa prawnego, które jest niezbędne dla ochrony interesów osób trzecich, w szczególności interesów wierzycieli, uczciwości transakcji handlowych, a w konsekwencji właściwego funkcjonowania rynku ( 39 ). Ponadto, jak to podkreślił Trybunał, przechowywanie w rejestrach wszystkich istotnych danych i ich dostępność dla osób trzecich przyczyniają się do promowania wymiany między krajami członkowskimi również w perspektywie rozwoju rynku wewnętrznego ( 40 ).

50.

W rozpatrywanej sprawie rodzi się pytanie, czy na te cele i przesłankę zgodności z prawem przewidzianą w art. 6 ust. 1 akapit pierwszy lit. e) RODO można się powołać w odniesieniu do publicznego udostępnienia przez agencję danych osobowych będących przedmiotem postępowania głównego, nienależących do tych, które na podstawie prawa Unii lub prawa bułgarskiego podlegają obowiązkowemu ujawnieniu.

51.

W tym względzie pragnę przypomnieć, że art. 6 ust. 3 RODO w związku z jego motywem 45 uściśla, w szczególności w odniesieniu do przykładu zgodności z prawem, o którym mowa w ust. 1 akapit pierwszy lit. e) tego artykułu, że przetwarzanie danych musi się opierać na prawie Unii lub na prawie państwa członkowskiego, któremu podlega administrator, oraz że ta podstawa prawna musi służyć realizacji celu leżącego w interesie publicznym oraz być proporcjonalna do wyznaczonego, prawnie uzasadnionego celu ( 41 ). Tymczasem żaden z tych wymogów – w stosunku do których Trybunał uściślił, że stanowią one wyraz tych wynikających z art. 52 ust. 1 Karty ( 42 ) – nie wydaje się być spełniony w ramach rozpatrywanej sprawy dotyczącej przetwarzania danych osobowych, które chociaż dokonane przy okazji zadania wykonywanego w interesie publicznym w rozumieniu art. 6 ust. 1 akapit pierwszy lit. e) RODO, a priori nie jest uznawane za konieczne do jego wykonania na podstawie mających zastosowanie przepisów krajowych ani do realizacji celów przypisanych rejestrowi handlowemu i jest dozwolone wyłącznie na podstawie domniemanej zgody osoby, której dane dotyczą.

52.

Ogólnie rzecz ujmując, należy podkreślić, że publikacja danych osobowych niewymaganych przez prawo Unii lub przez prawo państwa członkowskiego nie służy żadnemu z celów określonych w pkt 49 niniejszej opinii ( 43 ), które jako jedyne uzasadniają ingerencję w przysługujące osobom, których dane dotyczą, prawa do poszanowania życia prywatnego i do ochrony danych osobowych, zagwarantowane w art. 7 i 8 Karty ( 44 ). Ponadto, jak to podkreślił trybunał wyroku Manni, to w szczególności dlatego, że co to zasady jawność jest przewidziana jedynie w odniesieniu do ograniczonej liczby danych osobowych – a mianowicie tych dotyczących tożsamości i funkcji poszczególnych osób upoważnionych do reprezentowania danej spółki, a zatem koniecznych do celów ochrony interesów osób trzecich – taka ingerencja nie będzie uznawana za nieproporcjonalną ( 45 ).

53.

Rząd bułgarski i agencja podnoszą zasadniczo, że przetwarzanie będące przedmiotem postępowania głównego znajduje swą podstawę, zgodnie z prawem bułgarskim, w wymogu zapewnienia ujawniania istotnych dokumentów spółek, zachowywania ich integralności i wiarygodności oraz nieutrudnianiu agencji wykonywania jej zadania w interesie publicznym. Zakładając, że sąd odsyłający dojdzie do takiego samego wniosku, nadal będzie na nim spoczywał obowiązek zapewnienia poszanowania zasady proporcjonalności. Zgodnie z tą zasadą ograniczenia prawa podstawowego do poszanowania ochrony danych osobowych powinny się mieścić w granicach tego, co jest absolutnie konieczne ( 46 ), co nie ma miejsca w przypadku, gdy realizowany cel interesu ogólnego może zostać racjonalnie osiągnięty w sposób równie skuteczny za pomocą innych środków, w mniejszym stopniu naruszających to prawo ( 47 ). Należy również przypomnieć, że art. 5 ust. 1 lit. c) RODO przewiduje, że dane osobowe muszą być adekwatne, stosowne oraz nienadmierne do celów, w których są przetwarzane, i wymaga przestrzegania przez państwa członkowskie zasady „minimalizacji danych”, która wyraża zasadę proporcjonalności ( 48 ).

54.

Tymczasem wydaje się, że cel polegający na zapewnieniu ujawniania istotnych dokumentów spółek może zostać racjonalnie osiągnięty poprzez wprowadzenie procedur umożliwiających utajnienie, przed ich opublikowaniem, danych osobowych, których publiczne udostępnienie nie jest wymagane. Procedury te mogą obejmować w szczególności obowiązek zawieszenia przez agencję rejestracji spółki w celu umożliwienia dokonania zmiany dokumentów zawierających takie dane lub – w stosownym przypadku – dokonania ich usunięcia z urzędu.

55.

Argumenty wysuwane przez szereg państw członkowskich, które przedstawiły swoje uwagi w przedmiotowym postępowaniu, zgodnie z którymi wdrożenie takich procedur groziłoby opóźnieniem rozpatrywania wniosków o wpisanie do rejestru spółek, ze szkodą w szczególności dla interesów wspólników, lub nałożeniem na organy krajowe nadmiernie uciążliwych zadań, nie wydają się zasadne. Z jednej strony bowiem takie procedury są niezbędne w celu pogodzenia interesów realizowanych przez ujawnianie dokumentów spółki z prawem podstawowym do poszanowania ochrony danych osobowych, w szczególności gdy, jak to podkreślałam w pkt 16 niniejszej opinii, rozpatrywane dane osobowe są przeznaczone do publicznego udostępnienia bez ograniczeń w środowisku cyfrowym. Z drugiej strony mogłyby one odwoływać się do narzędzi wyszukiwania i identyfikacji danych w celu ułatwienia zadania tym organom i być zaprojektowane w taki sposób, aby obowiązek utajniania danych osobowych, których nie należy ujawniać, spoczywał w pierwszej kolejności na wnioskodawcach, jak to przewiduje również prawo bułgarskie.

56.

Jeśli chodzi o wymóg zachowania integralności i wiarygodności podlegających obowiązkowej publikacji dokumentów spółek przekazanych w celu wpisu do rejestru spółek – wskazany również przez rząd bułgarski i agencję oraz przez większość państw członkowskich, które przedstawiły uwagi w przedmiotowym postępowaniu – nakazujący publikację tych dokumentów w takiej formie, w jakiej zostały one przekazane organom odpowiedzialnym za prowadzenie rejestru, nie może moim zdaniem przeważać w sposób systematyczny nad prawem podstawowym do ochrony danych osobowych, ponieważ uczyniłoby to tę ochronę czysto iluzoryczną.

57.

Uważam bowiem, że ten wymóg może co najwyżej uzasadniać przechowywanie zawartych w takich dokumentach danych osobowych niepodlegających obowiązkowej publikacji, lecz nie ich publikację bez żadnych ograniczeń w dostępnej publicznie bazie danych rejestru. W szczególności uważam, że publiczne udostępnianie odpisów tych niewymaganych dokumentów, z których usunięto dane osobowe, i przechowywanie oryginału w dokumentacji umożliwiłoby utrzymanie odpowiedniej równowagi między tym wymogiem a ochroną danych osób, których dane dotyczą. Ewentualny dostęp do oryginału dokumentu oraz do wszystkich zawartych w nim danych byłby wówczas dozwolony w konkretnych przypadkach w razie istnienia uzasadnionego interesu – w tym tego dotyczącego weryfikacji autentyczności dokumentu – i zgodnie z przepisami RODO.

58.

W tym względzie, wbrew temu, co podnosi między innymi rząd irlandzki, uważam, że art. 16a dyrektywy 2017/1132 zmienionej dyrektywą 2019/1151, w zakresie, w jakim przewiduje, że „[p]aństwa członkowskie zapewniają, aby kopie całości lub jakiejkolwiek części dokumentów […], o których mowa w art. 14, można było uzyskać z rejestru”, nie wymaga, aby państwa członkowskie były zobowiązane do umożliwienia nieograniczonego dostępu do całości tych dokumentów. Natomiast, jak już zauważyłam powyżej, art. 161 dyrektywy 2017/1132 zmienionej dyrektywą 2019/1151 zobowiązuje państwa członkowskie do wdrożenia procedur mających na celu zapewnienie, aby w realizowaniu powierzonego im zadania wykonywanego w interesie publicznym organy odpowiedzialne za prowadzenie rejestru spółek przestrzegały wszystkich przepisów RODO.

59.

Na podstawie całości powyższych rozważań twierdzę, że przetwarzanie danych będące przedmiotem postępowania głównego nie może zostać uznane za oparte na zgodzie strony przeciwnej w postępowaniu głównym w zrozumieniu art. 6 ust. 1 akapit pierwszy lit. a) RODO w związku z art. 4 pkt 11 tego rozporządzenia. Z zastrzeżeniem ustaleń, których ma dokonać sąd odsyłający, przetwarzanie to nie wydaje się również spełniać ani przesłanek zgodności z prawem przewidzianych w art. 6 ust. 1 akapit pierwszy lit. c) RODO, ani tych wymienionych w lit. e) tegoż artykułu w związku z art. 6 ust. 3 tego rozporządzenia. W celu zachowania pełności wywodu dodam, że wspomniane przetwarzanie nie może wchodzić również w zakres stosowania art. 6 ust. 1 akapit pierwszy lit. f) RODO, dotyczącego przetwarzania danych osobowych niezbędnego do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Jak to bowiem uściślił Trybunał, z brzmienia art. 6 ust. 1 akapit drugi RODO jasno wynika, że przetwarzanie danych osobowych dokonane przez organ publiczny w ramach realizacji jego zadań nie może być objęte zakresem stosowania art. 6 ust. 1 akapit pierwszy lit. f) RODO, ponieważ stosowanie tego przepisu i przepisu art. 6 ust. 1 akapit pierwszy lit. e) tego rozporządzenia wyłączają się wzajemnie ( 49 ). Tymczasem w rozpatrywanej sprawie przetwarzanie danych osobowych będące przedmiotem postępowania głównego dokonywane jest przez agencję w ramach realizowania powierzonego jej zadania wykonywanego w interesie publicznym, co na wstępie wyklucza zastosowanie art. 6 ust. 1 akapit pierwszy lit. f) RODO, niezależnie od kwestii, czy spełnia ono przesłanki przewidziane w art. 6 ust. 3 RODO.

60.

Nie jest zatem wykluczone, że sąd odsyłający dojdzie do wniosku, że przetwarzanie danych będące przedmiotem postępowania głównego, z powodu niespełniania żadnej z przesłanek przewidzianych w art. 6 ust. 1 RODO, było niezgodne z prawem.

61.

Artykuł 17 RODO ustanawia prawo osoby, której dane dotyczą, do usunięcia dotyczących jej danych osobowych, w przypadku gdy zachodzi jedna z okoliczności wymienionych w ust. 1 tego artykułu i odpowiednio nakłada na administratora obowiązek takiego usunięcia bez zbędnej zwłoki.

62.

Artykuł 17 ust. 3 RODO uściśla jednak, że ust. 1 tego artykułu nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne z jednego z powodów wymienionych w tym pierwszym przepisie. Wśród tych powodów, w art. 17 ust. 3 lit. b) tego rozporządzenia, znajdują się wywiązanie się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

63.

W zakresie, w jakim te wyjątki od prawa do usunięcia danych odzwierciedlają wymienione w art. 6 ust. 1 akapit pierwszy lit. c) i e) RODO podstawy uzasadniające przetwarzanie danych, odsyłam, jeśli chodzi o powołanie się na nie w okolicznościach takich jak te w postępowaniu głównym, do analizy przeprowadzonej w pkt 45–58 niniejszej opinii ( 50 ).

64.

A zatem w sytuacji, gdyby sąd odsyłający uznał, że publiczne udostępnienie w rejestrze handlowym danych osobowych będące przedmiotem postępowania głównego nie jest objęte – na mocy prawa bułgarskiego – zakresem stosowania art. 6 ust. 1 akapit pierwszy lit. c) lub lit. e) RODO w związku z art. 6 ust. 3 tego rozporządzenia, a zatem i art. 17 ust. 3 lit. b) RODO, strona przeciwna w postępowaniu głównym miałaby prawo do usunięcia danych polegającego na zaprzestaniu takiego publicznego udostępniania, a agencja, jako administrator danych osobowych, byłaby zobowiązana do jego uwzględnienia. Artykuł 17 ust. 1 lit. d) RODO przewiduje bowiem bezwzględne prawo osoby, której dane dotyczą, do tego, aby jej dane osobowe zostały usunięte, jeżeli były one przetwarzane niezgodnie z prawem ( 51 ).

65.

W sytuacji, gdyby sąd odsyłający stwierdził natomiast, że będące przedmiotem postępowania głównego przetwarzanie danych było zgodne z art. 6 ust. 1 akapit pierwszy lit. c) lub lit. e) RODO, artykuł 17 ust. 3 lit. b) tego rozporządzenia miałby a priori zastosowanie. Niezbędne są jednak dwa uściślenia.

66.

Z jednej strony, w przypadku gdyby sąd odsyłający doszedł do wniosku, że publiczne udostępnienie danych osobowych będące przedmiotem postępowania głównego było niezbędne do powierzonego agencji wykonania zadania realizowanego w interesie publicznym w celu nieopóźniania wpisu spółki do rejestru handlowego, ten jedyny powód nie mógłby, moim zdaniem, stanowić uzasadnienia dla zachowania tych danych w rejestrze po wpisaniu spółki, a zatem dla wykluczenia na podstawie art. 17 ust. 3 lit. b) RODO przysługującego stronie przeciwnej w postępowaniu głównym prawa do usunięcia danych. Prawo to byłoby zatem zagwarantowane w art. 17 ust. 1 lit. c) tego rozporządzenia, który ma zastosowanie w przypadku, gdy osoba, której dane dotyczą, wnosi na mocy art. 21 ust. 1 wspomnianego rozporządzenia sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania jej danych osobowych opartego w szczególności na art. 6 ust. 1 akapit pierwszy lit. e) tego rozporządzenia i nie występują „nadrzędne prawnie uzasadnione podstawy przetwarzania”, czego wykazanie należy do administratora danych ( 52 ). Tymczasem z tych samych powodów, które przedstawiłam powyżej w pkt 56 niniejszej opinii, uważam, że wymóg zachowania integralności i wiarygodności dokumentów, na których opiera się wpis spółki do rejestru, nie może stanowić takiej nadrzędnej prawnie uzasadnionej podstawy. Jak już bowiem wskazałam, wymóg ten może zostać spełniony poprzez odwołanie się do innych środków, w mniejszym stopniu naruszających podstawowe prawo do poszanowania danych osobowych.

67.

Z drugiej strony z wyroku Manni wynika, że ograniczenie dostępu wyłącznie do kręgu osób trzecich, które wykażą, że mają konkretny interes, w poszczególnych przypadkach może być uzasadnione ważnymi i uzasadnionymi przyczynami wynikającymi z konkretnej sytuacji osób, których dane dotyczą, nawet w odniesieniu do danych osobowych, które na mocy dyrektywy 2017/1132 podlegają obowiązkowemu ujawnieniu, a zatem nawet w przypadku, w którym publiczne udostępnienie wynika z obowiązku prawnego w rozumieniu art. 6 ust. 1 akapit pierwszy lit. c) RODO. Takie ograniczenie powinno zatem zostać uznane a fortiori w przypadku danych osobowych, które nie podlegają ujawnieniu ani na podstawie prawa Unii, ani na mocy prawa krajowego. Ponadto w takiej sytuacji warunek, od którego w wyroku Manni Trybunał uzależnił ograniczenie dostępu do informacji dotyczących tożsamości likwidatora spółki, a mianowicie konieczność upływu wystarczająco długiego okresu od daty likwidacji spółki, nie miałby zastosowania w rozpatrywanej sprawie, zaś ograniczenie dostępu do takich danych winno zatem zostać wprowadzone bez zbędnej zwłoki.

68.

Z postanowienia odsyłającego wynika, że agencja uzależniła wniosek OL o usunięcie dotyczących jej danych osobowych, których publikacja nie jest wymagana przez prawo bułgarskie, od przestrzegania szczególnych uregulowań proceduralnych wymagających przedstawienia odpisu dokumentu zawierającego wspomniane dane, w którym będą one utajnione. Wobec nieprzedstawienia takiego odpisu wniosek ten został oddalony lub jego rozpoznanie zostało odroczone sine die. Zgodnie z przedstawionymi przez agencję wyjaśnieniami przestrzeganie tych uregulowań proceduralnych było niezbędne, ponieważ nie ma ona prawa do zmiany rozpatrywanego dokumentu, gdyż taka zmiana należy do wyłącznej kompetencji organów spółki.

69.

Pragnę przypomnieć, że zgodnie z art. 23 ust. 1 RODO prawo Unii lub prawo państwa członkowskiego „może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 […], jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym” jednemu z celów w nim wymienionych. W zakresie, w jakim skutkują one ograniczeniem wykonywania prawa do usunięcia danych oraz wykonywania prawa do sprzeciwu przewidzianego w art. 21 RODO, a nawet ich wykluczeniem, w przypadku gdy osoba, której dane dotyczą, nie zdoła uzyskać od spółki wymaganych zmian odnośnego dokumentu, zastosowane przez agencje uregulowania proceduralne mogą wchodzić w zakres art. 23 ust. 1 RODO ( 53 ). Należy zatem ustalić, czy przesłanki przewidziane w tym przepisie zostały w rozpatrywanej sprawie spełnione, i to pomimo tego, że sąd odsyłający nie zwraca się w sposób wyraźny do Trybunału o zajęcie stanowiska w tej kwestii.

70.

W tym względzie pragnę przede wszystkim zauważyć, że te uregulowania proceduralne wydają się być zwykłą wewnętrzną praktyką agencji ( 54 ). A zatem, z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego, nie wydaje się, już tylko z tego powodu, by były one zgodne z art. 23 ust. 1 RODO, który przewiduje, że ograniczenia praw wymienionych w tym przepisie muszą być przedmiotem „aktów prawnych”.

71.

Owe uregulowania proceduralne budzą również wątpliwości co do poszanowania zasady proporcjonalności.

72.

Chociaż bowiem wydaje się, że wymóg zagwarantowania wiarygodności i autentyczności dokumentów wpisanych do rejestru handlowego, a szerzej: przejrzystości i pewności prawa przy wykonywaniu powierzonego jej zadania, może odpowiadać „ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego” w rozumieniu art. 23 ust. 1 lit. e) RODO, moim zdaniem nie uzasadnia on jednak ograniczenia, a nawet wykluczenia prawa do usunięcia danych lub prawa do sprzeciwu w okolicznościach takich jak te w postępowaniu głównym, ponieważ można zastosować inne środki, w mniejszym stopniu naruszające podstawowe prawo do poszanowania danych osobowych.

73.

W tym kontekście Komisja, uznając za uzasadnione oczekiwanie na dokonanie przez spółkę zmiany dokumentu poprzez usunięcie z niego danych, których to usunięcia żądano, proponuje, aby po upływie rozsądnego terminu agencja sama dokonała utajnienia tych danych, jeśli okaże się, że osoba, której dane dotyczą, nie zdoła skłonić spółki do dokonania takiej zmiany.

74.

Nie jestem przekonana, że takie rozwiązanie zapewniłoby odpowiednią równowagę między różnymi wchodzącymi w grę prawami i interesami, ponieważ prowadziłoby ono do utrzymywania, przez czas nieokreślony, publicznej dostępności w środowisku cyfrowym danych, które nie miały zostać ujawnione. Moim zdaniem taka równowaga mogłaby natomiast zostać zagwarantowana poprzez przyznanie agencji prawa do samodzielnego utajnienia rozpatrywanych danych w odpisie dokumentu publicznie udostępnionego bez zbędnej zwłoki po otrzymaniu wniosku o usunięcie danych, przy jednoczesnym przechowywaniu w dokumentacji oryginału tego dokumentu i zobowiązaniu spółki do przedłożenia zmienionego dokumentu, w którym wspomniane dane zostałyby usunięte i który zostałby również opublikowany w rejestrze.

75.

Prawdą jest, że art. 16 ust. 4 akapity pierwszy i drugi dyrektywy 2017/1132 przewiduje, że państwa członkowskie przyjmują niezbędne środki w celu uniknięcia niezgodności między danymi zawartymi w rejestrze a danymi zawartymi w przedłożonej dokumentacji oraz między danymi opublikowanymi w rejestrze a danymi opublikowanymi w biuletynie krajowym. Jednakże wymóg zachowania spójności między różnymi częściami rejestru oraz z biuletynem krajowym, a także cel pewności prawa, który leży u podstaw takiego wymogu, nie może moim zdaniem uzasadniać okoliczności utrzymywania bez ograniczeń i bez limitów czasowych publicznej dostępności danych, których ujawnienie nie jest obowiązkowe, zawartych w dokumentach publikowanych w rejestrze, w przypadku gdy osoba, której dane dotyczą, żąda ich usunięcia. Po pierwsze bowiem, zmiany tych dokumentów, które okażą się konieczne do utajnienia tych danych, byłyby możliwe do zidentyfikowania i prześledzenia i byłyby dokonywane w przejrzysty sposób. Po drugie, zmiany te dotyczyłyby elementów tych dokumentów, których ujawnianie nie jest konieczne przy realizacji zadania wykonywanego w interesie publicznym powierzonym rejestrowi. Po trzecie, integralność i autentyczność wspomnianych dokumentów mogłyby zostać zachowane poprzez przechowywanie w dokumentacji ich oryginałów, do których osoby trzecie, które wykazałyby uzasadniony interes, miałyby regulowany dostęp.

76.

Na podstawie powyższych rozważań uważam, że uregulowania proceduralne takie jak stosowane w rozpatrywanej sprawie przez agencję nie są zgodne z art. 23 ust. 1 RODO.

77.

W świetle powyższych rozważań proponuję, aby na czwarte i piąte pytanie prejudycjalne Trybunał udzielił Varhoven administrativen sad (naczelnemu sądowi administracyjnemu, Bułgaria) następującej odpowiedzi: