1.

Acta Diurna boli každodenné rímske úradné oznámenia vytesané do kameňa alebo vyryté do kovu a vystavené na verejných miestach, ako je napríklad na Forum Romanum. V digitálnej ére môžu byť vnútroštátne orgány konfrontované s otázkou, či sú údaje uverejnené v úradnom vestníku danej krajiny obrazne povedané tiež vytesané do kameňa alebo či ich možno vymazať alebo upraviť.

2.

Pôvod konania vo veci samej spočíva v uverejňovaní údajov belgickým úradným vestníkom s názvom Moniteur belge, ktorý uverejňuje úradné dokumenty v papierovej podobe a elektronicky.

3.

Konanie vo veci samej prebieha medzi État belge (Belgický štát) a Autorité de protection des données (Úrad na ochranu osobných údajov, Belgicko; ďalej len „ÚOOÚ“). Po tom, ako zodpovedná osoba notára zistila, že omylom bola uverejnená pasáž z rozhodnutia spoločnosti, ktorá bola overená notárom, a okrem údajov vyžadovaných belgickým právom obsahovala osobné údaje fyzickej osoby, požiadala Moniteur belge o vymazanie týchto údajov. Service Public Fédéral Justice (Federálne ministerstvo spravodlivosti, Belgicko; ďalej len „FMS“) ktoré je riadiacim orgánom Moniteur belge, však tejto žiadosti nevyhovelo.

4.

Za týchto okolností majú prejudiciálne otázky, ktoré položil Cour d’appel de Bruxelles (Odvolací súd Brusel, Belgicko) vo svojom návrhu na začatie prejudiciálneho konania, pomerne úzky rozsah. Vnútroštátny súd sa v podstate pýta, či sa Moniteur belge alebo FMS majú považovať za „prevádzkovateľa“ v zmysle článku 4 ods. 7 nariadenia (EÚ) 2016/679 (ďalej len „všeobecné nariadenie o ochrane údajov“) ( 2 ). V prípade kladnej odpovede na túto otázku sa vnútroštátny súd tiež pýta na hranice povinností prevádzkovateľa, ak spracúvanie vykonávajú po sebe nasledujúce subjekty.

5.

V kapitole I GDPR s názvom „Všeobecné ustanovenia“ sú v článku 4 definované najmä tieto pojmy: „osobné údaje“, „spracúvanie“, „prevádzkovateľ“ a „sprostredkovateľ“.

6.

Články 5, 6, 17 a 26 GDPR sú tiež relevantné pre prejednávanú vec.

7.

Článok 67 ods. 1 a 2 Loi du 7 mai 1999 contenant le Code des sociétés ( 3 ) (zákon zo 7. mája 1999 o obchodných spoločnostiach; ďalej len „zákon o obchodných spoločnostiach“) stanovuje:

„1.   Overené kópie verejných listín, rovnopisy alebo originály súkromnoprávnych listín alebo výpisy, či už v elektronickej alebo inej podobe, ktorých predloženie alebo uverejnenie sa vyžaduje podľa týchto článkov, sa ukladajú do registra obchodného súdu, v ktorého obvode má spoločnosť sídlo.

…

2.   Predložené dokumenty sa uchovávajú v spise vedenom týmto registrom pre každú spoločnosť a predmetné spoločnosti sa zapisujú do registra právnických osôb, a to registra Banque‑Carrefour des Entreprises [ústredný register spoločností].“

8.

Článok 71 zákona o obchodných spoločnostiach stanovuje:

„Výpis z listín spoločnosti podpisujú v prípade verejných listín notári a v prípade súkromnoprávnych listín všetci spoločníci spoločne a nerozdielne alebo jeden z nich, ktorého na tento účel ostatní poverili osobitným splnomocnením.“

9.

Článok 73 zákona o obchodných spoločnostiach stanovuje:

„Uverejnenie sa uskutoční v prílohách Moniteur belge do 15 dní od ich uloženia, inak úradníci, ktorým je možné pripísať opomenutie alebo oneskorenie, zodpovedajú za škodu.

…“

10.

Článok 74 ods. 1 zákona o obchodných spoločnostiach stanovuje:

„V súlade s predchádzajúcimi článkami sa ukladajú a uverejňujú tieto dokumenty:

1. akty, ktorými sa menia ustanovenia, ktorých uverejnenie vyžaduje tento zákon.“

11.

Článok 1 Arrêté royal du 30 janvier 2001 portant exécution du code des sociétés (kráľovské nariadenie z 30. januára 2001, ktorým sa vykonáva zákon o obchodných spoločnostiach) ( 4 ) stanovuje:

„… súdni úradníci [obchodných] súdov prijímajú do úschovy všetky dokumenty, výpisy z dokumentov, zápisnice a dokumenty, ktorých poskytovanie nariaďuje zákon o obchodných spoločnostiach…“

12.

Článok 11 tohto kráľovského nariadenia stanovuje:

„1.   Dokumenty, výpisy z dokumentov a dokumenty, ktorých uverejnenie sa vyžaduje v prílohách Moniteur belge, sa podávajú do kancelárie registra spolu s ich kópiou. …

2.   Všetky predložené dokumenty v papierovej podobe musia spĺňať tieto požiadavky:

…

…

3.   Kópie dokumentov, výpisy z dokumentov a dokumenty uvedené v článkoch 67, 68, 74… zákona o obchodných spoločnostiach… určené pre Moniteur belge sa predkladajú bez opráv alebo úprav. …

…“

13.

Článok 14 kráľovského nariadenia stanovuje:

„Súdny úradník pošle vedeniu Moniteur belge najneskôr druhý pracovný deň nasledujúci po dni podania kópie dokumentov, výpisov z dokumentov a dokumentov…, ktoré mu boli doručené a ktoré musia byť uverejnené v prílohách Moniteur belge.

…“

14.

Článok 16 tohto kráľovského nariadenia stanovuje:

„Ak je potrebné uverejnenie, uskutoční sa prostredníctvom príloh Moniteur belge v lehotách stanovených zákonom.“

15.

Článok 472 Loi‑programme du 24 décembre 2002 (programový zákon z 24. decembra 2002) ( 5 ) stanovuje:

„Moniteur belge je úradná publikácia, ktorú vydáva vedenie Moniteur belge a ktorá zhromažďuje všetky texty, o ktorých sa stanovuje, že majú byť uverejnené.“

16.

Článok 474 tohto programového zákona stanovuje:

„Vedenie Moniteur belge uverejňuje v Moniteur belge tri kópie v papierovej podobe.

…

Jedna kópia sa uchováva v elektronickej podobe. Kráľ určí podmienky pre elektronické uchovávanie…“

17.

Článok 475 toho istého programového zákona stanovuje:

„Akékoľvek iné sprístupnenie verejnosti sa uskutočňuje prostredníctvom internetovej stránky vedenia Moniteur belge.

Publikácie sprístupnené na uvedenej internetovej stránke sú presnými reprodukciami papierových kópií uvedených v článku 474 v elektronickej podobe.“

18.

Článok 475a programového zákona z 24. decembra 2002 stanovuje:

„Každý občan môže získať kópiu dokumentov a listín uverejnených v Moniteur belge prostredníctvom bezplatnej telefonickej linky za cenu zodpovedajúcu výške nákladov Moniteur belge. Táto služba tiež zodpovedá za poskytovanie pomoci občanom pri vyhľadávaní dokumentov.“

19.

Článok 475b tohto programového zákona stanovuje:

„Ďalšie sprievodné opatrenia budú prijaté kráľovským nariadením prerokovaným v Rade ministrov s cieľom zabezpečiť čo najširšie šírenie informácií uvedených v Moniteur belge a prístup k nim.“

20.

LM je väčšinovým spoločníkom spoločnosti Bureau LM, belgickej súkromnej spoločnosti s ručením obmedzeným.

21.

Dňa 23. januára 2019 sa konalo valné zhromaždenie tejto spoločnosti, ktoré rozhodlo o znížení základného imania spoločnosti a na tento účel zmenilo aj jej stanovy.

22.

V súlade s právnymi predpismi upravujúcimi uverejňovanie informácií notár vypracoval krátke zhrnutie tohto rozhodnutia. Dňa 12. februára 2019 tento notár predložil toto krátke zhrnutie registru Tribunal de l’entreprise néerlandophone de Bruxelles (Holandskojazyčný súd pre spory medzi podnikmi Brusel, Belgicko) na účely jeho úradného uverejnenia v Moniteur belge.

23.

Dňa 22. februára 2019 bolo toto krátke zhrnutie uverejnené v prílohách Moniteur belge. Toto zhrnutie obsahovalo najmä rozhodnutie o znížení základného imania spoločnosti, pôvodnú výšku základného imania, sumu zníženia, novú výšku základného imania a nové znenie stanov. Okrem informácií uverejnených na základe zákonnej požiadavky predmetné zhrnutie obsahovalo mená dvoch spoločníkov tejto spoločnosti, sumy, ktoré im boli uhradené, a čísla ich bankových účtov (ďalej len „sporná pasáž“), ktorých uverejnenie zákon nevyžadoval.

24.

Po zistení, že notár urobil chybu, keď spornú pasáž zahrnul do uverejneného krátkeho zhrnutia, zodpovedná osoba notára s odvolaním sa na článok 17 GDPR požiadala FMS o vymazanie spornej pasáže a opätovné uverejnenie krátkeho zhrnutia, tentokrát bez tejto spornej pasáže.

25.

Dňa 10. apríla 2019 FMS odmietlo túto žiadosť ( 6 ) a navrhlo uverejnenie nového krátkeho zhrnutia s vynechaním spornej pasáže, pričom v pôvodnom znení krátkeho zhrnutia uverejneného 22. februára 2019 by sa neuskutočnili žiadne zmeny.

26.

Dňa 21. januára 2020 podal LM, jeden z dvoch spoločníkov dotknutej spoločnosti, sťažnosť na ÚOOÚ proti Moniteur belge (FMS), v ktorej tvrdil, že došlo k porušeniu článku 5 (najmä zásady minimalizácie údajov), článku 6 (spracúvanie osobných údajov) a článku 17 (právo na vymazanie) GDPR.

27.

ÚOOÚ rozhodnutím z 23. marca 2021 sťažnosti vyhovel a v podstate nariadil vymazanie spornej pasáže.

28.

Dňa 22. apríla 2021 podal Belgický štát proti tomuto rozhodnutiu odvolanie na Cour d’appel de Bruxelles (Odvolací súd Brusel), teda vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania, s cieľom dosiahnuť zrušenie uvedeného rozhodnutia. LM vstúpil do konania ako vedľajší účastník.

29.

Vnútroštátny súd zdôrazňuje, že účastníci konania sa nezhodujú v tom, ako sa má vykladať pojem „prevádzkovateľ“ uvedený v článku 4 ods. 7 GDPR. Vnútroštátny súd konštatuje, že Moniteur belge po tom, ako mu bolo doručené krátke zhrnutie od Tribunal de l’entreprise néerlandophone de Bruxelles (Holandskojazyčný súd pre spory medzi podnikmi Brusel), v súlade so zákonnými ustanoveniami upravujúcimi jeho postavenie a úlohy, uverejnil tento text v jeho nezmenenej podobe, keďže nemá právomoc takýto text preskúmavať alebo zmeniť. Vnútroštátny súd sa predovšetkým pýta, či každý z potenciálnych po sebe nasledujúcich subjektov, alebo len jeden z nich, sa musí považovať za „prevádzkovateľa“ v zmysle uvedeného článku, a teda podľa článku 5 ods. 2 GDPR zodpovedať za dodržiavanie zásad stanovených v článku 5 ods. 1 tohto nariadenia.

30.

V tejto súvislosti sa vnútroštátny súd pýta, či je takýto pojem postupnej alebo následnej zodpovednosti zakotvený v uvedenom nariadení. Ak sa Moniteur belge považoval za príjemcu údajov v zmysle článku 4 ods. 9 GDPR, vnútroštátny súd sa pýta, či tento vestník ďalej konal ako „nasledujúci“ prevádzkovateľ spracúvania. Zdá sa však, že to tak nie je, keďže podľa uplatniteľnej belgickej právnej úpravy Moniteur belge nemá také postavenie, aby mohol určovať prostriedky a účely svojho vlastného spracúvania v zmysle článku 4 ods. 7 GDPR.

31.

Za týchto okolností Cour d’appel de Bruxelles (Odvolací súd Brusel) položil Súdnemu dvoru tieto prejudiciálne otázky:

32.

ÚOOÚ, belgická a maďarská vláda a Európska komisia predložili písomné pripomienky.

33.

Pojednávania, ktoré sa uskutočnilo 23. marca 2023, sa zúčastnili ÚOOÚ, belgická vláda a Komisia.

34.

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 4 ods. 7 GDPR vykladať v tom zmysle, že úradný vestník členského štátu má postavenie prevádzkovateľa údajov. Na úvod by som mala uviesť dve poznámky, ktoré sa týkajú formulácie tejto otázky.

35.

Po prvé z rozhodnutia vnútroštátneho súdu vyplýva, že zákon o obchodných spoločnostiach stanovuje, že spoločnosti majú zákonnú povinnosť uverejňovať rôzne dokumenty a rozhodnutia v prílohách Moniteur belge. Vnútroštátny súd tiež konštatuje, že Moniteur belge patrí pod FMS, pričom tento aspekt bližšie nevysvetľuje. Keďže rozdelenie právomocí vnútroštátnych orgánov v rámci členského štátu je vecou vnútroštátnej právnej úpravy, v týchto návrhoch budem odkazovať iba na Moniteur belge.

36.

Po druhé musím poznamenať, že vnútroštátny súd vo svojej otázke uvádza medzi dvoma pomlčkami pasáž, ktorá sa zdá byť vysvetlením právomocí, ktorými belgický zákonodarca poveril Moniteur belge.

37.

Z uvedeného dôvodu by táto otázka mohla byť preformulovaná tak, že sa v podstate týka skutočnosti, či úradný vestník členského štátu, akým je Moniteur belge, ktorý je podľa uplatniteľnej vnútroštátnej právnej úpravy poverený uverejňovaním a archiváciou úradných dokumentov, je možné považovať za prevádzkovateľa v zmysle článku 4 ods. 7 GDPR za okolností, ak uverejnenie predmetných dokumentov v podobe, v akej mu boli poskytnuté, nariadia tretie subjekty, ak tieto subjekty samy spracovali osobné údaje v nich obsiahnuté a ak tento úradný vestník nemá právomoc posudzovať obsah dokumentov, ktoré sa majú uverejniť, ani účel a prostriedky takéhoto uverejnenia.

38.

Aby som mohla odpovedať na túto otázku, mala by som na úvod uviesť, že pojem „prevádzkovateľ“ je definovaný v článku 4 ods. 7 GDPR ako „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu“. Z tohto ustanovenia v spojení s článkom 5 ods. 1 GDPR, v ktorom sa stanovujú zásady týkajúce sa spracúvania osobných údajov, vyplýva, že každá fáza spracúvania údajov si vyžaduje existenciu prevádzkovateľa. ( 7 ) Pri spracúvaní osobných údajov by teda vždy mal existovať prevádzkovateľ, ktorý je kľúčovým aktérom v rámci uplatňovania právnych predpisov na ochranu údajov, ( 8 ) a preto je dôležité určiť tohto prevádzkovateľa v každom jednom prípade spracúvania osobných údajov. ( 9 ) Pojem „prevádzkovateľ“ zahŕňa fyzické aj právnické osoby, ako aj orgány verejnej moci, agentúry alebo iné subjekty. Je však zrejmé, že klasifikácia typu subjektu nespôsobuje v prejednávanej veci žiadne ťažkosti.

39.

Skôr, než prejdeme k podstate otázky, a to k vymedzeniu pojmu „prevádzkovateľ“ v zmysle článku 4 ods. 7 GDPR, považujem za dôležité objasniť, či operácie, o ktoré ide v prejednávanej veci, predstavujú „spracúvanie“„osobných údajov“ v zmysle článku 4 ods. 2 a 1 GDPR.

40.

Po prvé je potrebné pripomenúť, že „osobnými údajmi“ v zmysle článku 4 ods. 1 GDPR sa rozumejú „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby“, pričom podľa judikatúry sa táto definícia uplatňuje vtedy, ak predmetné informácie z dôvodu svojho obsahu, účelu alebo účinku súvisia s určitou osobou. ( 10 ) V prejednávanej veci nie je medzi účastníkmi konania sporné, že údaje obsiahnuté v spornej pasáži, akými sú mená dvoch spoločníkov spoločnosti a čísla ich bankových účtov, predstavujú osobné údaje. Podľa môjho názoru sumy, ktoré boli týmto spoločníkom vyplatené, nie sú nevyhnutne samy osebe osobnými údajmi. V spojení s menami osôb, ktorým boli uhradené, však tieto sumy je skutočne potrebné považovať za osobné údaje.

41.

Po druhé podľa článku 4 ods. 2 GDPR je pojem „spracúvanie“ vymedzený ako „operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, bez ohľadu na to, či vykonávajú automatizovanými alebo neautomatizovanými prostriedkami“, ako je okrem iného „prehliadanie“, „využívanie“ osobných údajov a ich „poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom“. Tieto definície odrážajú skutočnosť, že normotvorca Únie zamýšľal priznať týmto dvom pojmom široký rozsah. ( 11 )

42.

Súdny dvor napríklad vo svojom rozsudku Google Spain rozhodol, že činnosť vyhľadávača spočívajúca vo vyhľadávaní informácií, ktoré na internete uverejnili alebo umiestnili tretie osoby, v ich automatickom indexovaní, dočasnom uschovaní, a napokon v ich sprístupnení používateľom internetu v určitom preferenčnom poradí, sa má kvalifikovať ako „spracovanie osobných údajov“ v zmysle článku 2 písm. b) smernice 95/46/ES ( 12 ), ktorý v podstate zodpovedá článku 4 ods. 2 GDPR, v prípade, že tieto informácie obsahujú „osobné údaje“ ( 13 ). Okrem toho Súdny dvor v rozsudku Fashion ID ( 14 ) uviedol, že spracúvanie osobných údajov môže pozostávať z jednej alebo viacerých operácií, pričom každá z nich sa týka jedného z rôznych štádií, z ktorých môže pozostávať spracúvanie osobných údajov.

43.

Podľa môjho názoru v prejednávanej veci došlo k trom po sebe nasledujúcim prípadom spracúvania osobných údajov. Prvé spracúvanie sa týka notára, ktorý vypracoval dokument, ktorý bol určený na uverejnenie v Moniteur belge (a pritom omylom do tohto dokumentu zahrnul predmetné osobné údaje), a podal ho na register obchodného súdu. Druhé spracúvanie sa týka tohto registra, ktorý tento dokument založil do spisu spoločnosti a poslal ho na uverejnenie do Moniteur belge. Tretie spracúvanie sa týkalo Moniteur belge, ktorý nielen previedol dokument v listinnej podobe na elektronický dokument, ale ho aj zhromažďoval, zaznamenával, uchovával, sprístupňoval a šíril. Podľa môjho názoru je nepochybné, že všetky tieto tri prípady predstavujú „spracúvanie“ v zmysle článku 4 ods. 2 GDPR, a to predovšetkým operácie, ktoré vykonal Moniteur belge.

44.

Skutočnosť, že v týchto troch prípadoch došlo k spracúvaniu, však nemusí nevyhnutne znamenať, že Moniteur belge konal ako prevádzkovateľ údajov. Je to z dôvodu, že všeobecné nariadenie o ochrane údajov rozlišuje, ako je uvedené v článku 4 ods. 7 a 8 tohto nariadenia, medzi prevádzkovateľmi údajov na jednej strane a sprostredkovateľmi údajov na strane druhej. Zatiaľ čo prevádzkovateľ určuje účel a prostriedky spracúvania, ( 15 ) sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa. ( 16 ) Aj keď je teda zrejmé, že tieto tri prípady predstavujú „spracúvanie“ v zmysle článku 4 ods. 2 GDPR, toto zistenie neurčuje, či má Moniteur belge – alebo iný subjekt zapojený do tohto trojstupňového postupu – v prejednávanej veci postavenie prevádzkovateľa.

45.

Otázka, či Moniteur belge konal ako „prevádzkovateľ“, sa podľa môjho názoru rovná posúdeniu, či „určuje účely a prostriedky spracúvania osobných údajov“ v zmysle článku 4 ods. 7 GDPR.

46.

Na úvod je potrebné zdôrazniť, že podľa príslušnej judikatúry Súdneho dvora sa pojem „prevádzkovateľ“ musí vykladať extenzívne. Súdny dvor už v minulosti rozhodol, že cieľom článku 4 ods. 7 GDPR je prostredníctvom širokej definície pojmu „prevádzkovateľ“ zabezpečiť účinnú a úplnú ochranu dotknutých osôb. ( 17 ) Okrem toho pojmy prevádzkovateľ a sprostredkovateľ sú funkčné pojmy, ktorých cieľom je alokovať zodpovednosť podľa skutočných úloh strán. ( 18 ) Inak povedané, „prevádzkovateľ osobných údajov je osoba, ktorá rozhoduje o tom, prečo a ako sa údaje budú spracúvať“ ( 19 ). Určenie zodpovednosti prevádzkovateľa „je založené skôr na faktickej než formálnej analýze“ ( 20 ).

47.

Po druhé tým, že sa v článku 4 ods. 7 GDPR uvádza spojenie „sám alebo spoločne“ s inými, sa uznáva, že „účely a prostriedky“ spracúvania údajov môže určiť viac ako jeden subjekt. Rozsah, v akom dva alebo viaceré subjekty spoločne vykonávajú úlohy prevádzkovateľa, však môže mať rôzne podoby, ( 21 ) o ktorých sa bude hovoriť v rámci mojej analýzy druhej otázky.

48.

Po tretie poznamenávam, že Belgické kráľovstvo prijatím kráľovského nariadenia z 25. júna 2020 určuje FMS za prevádzkovateľa v zmysle článku 4 ods. 7 GDPR. ( 22 ) K udalostiam v konaní vo veci samej však došlo pred nadobudnutím účinnosti tohto kráľovského nariadenia. Z uvedeného dôvodu sa na prejednávanú vec ratione temporis neuplatňuje. Z toho vyplýva, že Súdny dvor musí preskúmať rozdelenie právomocí a zodpovednosti medzi vnútroštátne subjekty pred nadobudnutím účinnosti uvedeného kráľovského nariadenia.

49.

Po týchto úvodných poznámkach teraz preskúmam podmienky uvedené v článku 4 ods. 7 GDPR, t. j. ktorý z dotknutých subjektov „určuje účely a prostriedky spracúvania“ predmetných osobných údajov.

50.

Postavenie prevádzkovateľa môže byť založené na príslušných právnych predpisoch alebo môže vyplývať z analýzy skutkového stavu alebo okolností prípadu. ( 23 ) V článku 4 ods. 7 GDPR sa uvádza, že ak sú účely a prostriedky takéhoto spracúvania určené najmä právom členského štátu, môže toto právo určiť prevádzkovateľa alebo osobitné kritériá uplatniteľné na jeho určenie. Z toho vyplýva, že ak bol subjekt zákonom osobitne určený ako prevádzkovateľ, takéto určenie je rozhodujúce. ( 24 ) V prejednávanej veci však neexistuje žiadne osobitné ustanovenie, ktoré by výslovne určovalo prevádzkovateľa údajov.

51.

Je tiež možné, že zákon, aj keď implicitne, označuje určitý subjekt za prevádzkovateľa. ( 25 ) Ak napríklad vnútroštátne právne predpisy ukladajú predmetnému subjektu povinnosť uchovávať alebo poskytovať určité údaje, takýto subjekt by sa považoval za prevádzkovateľa, pokiaľ ide o spracúvanie, ktoré je potrebné na splnenie tejto povinnosti. K takémuto implicitnému určeniu vnútroštátnymi právnymi predpismi dochádza vtedy, keď z postavenia, úloh a právomocí zverených tomuto orgánu vyplýva, že určuje účely a prostriedky daného spracúvania. Súdny dvor v rozsudku Manni vychádzal z posúdenia skutkového stavu, pričom uviedol, že „zapisovaním a uchovávaním uvedených informácií v registri a ich prípadným poskytnutím na požiadanie tretím osobám“ orgán zodpovedný za vedenie tohto registra „spracováva osobné údaje“, za ktorých spracovanie je zodpovedný prevádzkovateľ v zmysle definícií uvedených v článku 2 písm. b) a d) smernice 95/46. ( 26 )

52.

V prejednávanej veci vnútroštátna právna úprava síce výslovne neurčila prevádzkovateľa údajov, ale stanovuje, že spoločnosti majú zákonnú povinnosť uverejňovať určité dokumenty v Moniteur belge. ( 27 ) Vytvorila teda zákonnú povinnosť spracúvať údaje, ktorú musí uskutočňovať prevádzkovateľ. Vnútroštátny zákonodarca navrhol schému, v rámci ktorej údaje postupne spracúvajú tri subjekty; účastníci konania sa však nezhodujú v tom, ktorý z týchto troch subjektov je v skutočnosti prevádzkovateľom. ( 28 ) Z uvedeného dôvodu je potrebné určiť osobitné právomoci zverené týmto subjektom, a to na účely zistenia, ktorého z nich zákonodarca implicitne určil za prevádzkovateľa pre tretiu fázu spracúvania, t. j. operácie, ktoré vykonáva Moniteur belge.

53.

V článku 4 ods. 7 GDPR sa použitím slovesa „určiť“ vyžaduje, aby prevádzkovateľ vykonával vplyv na spracúvanie na základe rozhodovacej právomoci. ( 29 ) Napríklad vo veci týkajúcej sa modulu „Páči sa mi to“ spoločnosti Facebook ( 30 ) išlo o otázku, či spoločnosť Fashion ID zaoberajúca sa predajom odevov on‑line, ktorá na svoju internetovú stránku umiestnila modul sociálnej siete spoločnosti Facebook „Páči sa mi to“, určila spoločne so spoločnosťou Facebook spôsob získavania a prenosu osobných údajov návštevníkov internetovej stránky spoločnosti Fashion ID, alebo nie. Súdny dvor v uvedenej veci výslovne uviedol, že Fashion ID umiestnením takéhoto modulu sociálnej siete na svojej internetovej stránke rozhodujúcim spôsobom vplýva na zber a prenos osobných údajov návštevníkov uvedenej stránky v prospech dodávateľa uvedeného modulu, konkrétne spoločnosti Facebook Ireland, ku ktorým by v prípade neumiestnenia uvedeného modulu nedošlo. ( 31 ) Z toho vyplýva, že disponovanie rozhodujúcim vplyvom na spracúvanie osobných údajov znamená, že subjekt, ktorý vykonáva takýto rozhodujúci vplyv, je prevádzkovateľom. Skutočnosť, že subjekt nemá rozhodujúci vplyv, však nestačí na vylúčenie skutočnosti, že tento subjekt môže mať stále postavenie prevádzkovateľa.

54.

V dôsledku spôsobov, akými sa informácie vytvárajú a šíria elektronicky, šírenie údajov na internete exponenciálne zvyšuje riziká porušenia základných práv na rešpektovanie súkromia a ochranu osobných údajov. ( 32 ) Súdny dvor s vedomím existencie tohto rizika prijal širokú definíciu pojmu „prevádzkovateľ“, ( 33 ) aby všeobecné nariadenie o ochrane údajov zaručilo účinnú a úplnú ochranu dotknutých osôb, najmä ich práva na rešpektovanie súkromia. ( 34 ) Na tento účel Súdny dvor v rozsudku Google Spain rozhodol, že by bolo v rozpore nielen s jasným znením článku 2 písm. d) smernice 95/46, ktorý v podstate zodpovedá článku 4 ods. 7 GDPR, ale aj s cieľom tohto ustanovenia, aby bol z tejto definície vylúčený poskytovateľ vyhľadávača z dôvodu, že nevykonáva kontrolu nad osobnými údajmi uverejnenými na internetových stránkach tretích osôb. ( 35 ) Prijatím takejto širokej definície je zrejmé, že Súdny dvor sa rozhodol pre účelový výklad uvedeného ustanovenia: definícia „prevádzkovateľa“ musí zaručiť účinnú a úplnú ochranu dotknutých osôb. Okrem toho musím zdôrazniť, že takýto výklad môže byť len posilnený GDPR, ktoré bolo prijaté na základe článku 16 ods. 1 ZFEÚ, ktorý splnomocňuje normotvorcu Únie na zabezpečenie ochrany základného práva na ochranu osobných údajov stanoveného v článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len „Charta“). ( 36 )

55.

V prejednávanej veci je zrejmé, že vnútroštátny zákonodarca vytvoril postup s tromi rôznymi štádiami spracúvania, a to konkrétne postup, ktorý sa začína vypracovaním a podpísaním predmetných dokumentov notárom a ktorý následne pokračuje vložením dokumentu do spisu spoločnosti registrom obchodného súdu a jeho uchovávaním a končí tým, že Moniteur belge digitálne transformuje a uverejnení tieto dokumenty. Je síce pravda, že Moniteur belge musí uverejniť predmetný dokument v podobe, v akej mu bol poskytnutý, nič to ale nemení na tom, že na účely jeho uverejnenia to nie je ani notár, ani register obchodného súdu, kto ho transformuje na elektronický dokument; túto operáciu vykonáva výlučne len Moniteur belge, ktorý následne predmetný dokument šíri na internete.

56.

Predovšetkým by som mala zdôrazniť, že vnútroštátny zákonodarca prijatím článkov 474 až 475b programového zákona z 24. decembra 2002 udelil Moniteur belge určité právomoci. Z týchto ustanovení vyplýva, že Moniteur belge nielen uverejňuje papierovú verziu predmetných dokumentov, ale ich aj poskytuje prostredníctvom svojej internetovej stránky v elektronickej podobe, uchováva ich v elektronickej podobe, poskytuje ich občanom prevádzkovaním informačnej linky a asistenčnej služby na vyhľadávanie dokumentov, a napokon zabezpečuje čo najširšie šírenie informácií uvedených v Moniteur belge a prístup k nim. Z týchto ustanovení teda podľa môjho názoru vyplýva, že vnútroštátny zákonodarca tým, že zveril Moniteur belge právomoci týkajúce sa digitálnej transformácie, uverejňovania, šírenia a uchovávania predmetných dokumentov, udelil tomuto vestníku právomoci patriace pod pojem „prevádzkovateľ“ v zmysle článku 4 ods. 7 GDPR. ( 37 )

57.

Tým, že Moniteur belge vykonáva predmetné operácie digitálnej transformácie, uverejňovania a šírenia, ktoré mu zveril zákonodarca, Moniteur belge exponenciálne zvyšuje riziko porušenia základných práv dotknutej osoby (v porovnaní s jednoduchým uverejnením dokumentu v jeho papierovej verzii). Práve spracúvanie údajov v úradnom vestníku totiž ohrozuje účinnú a úplnú ochranu dotknutej osoby. V dôsledku uvedeného nevidím inú možnosť, ako sa domnievať, že z pohľadu cieľa zaručiť účinnú a úplnú ochranu dotknutých osôb a z dôvodu možnej ujmy, ktorú môže digitálna transformácia a šírenie týmto dotknutým osobám spôsobiť, nie je možné vylúčiť Moniteur belge z definície „prevádzkovateľa“ údajov v zmysle článku 4 ods. 7 GDPR.

58.

Pokiaľ ide napokon o uplatniteľnosť judikatúry týkajúcej sa súkromných vyhľadávačov na verejné subjekty, akým je Moniteur belge, je potrebné uviesť, že Súdny dvor v nedávnom rozsudku uplatnil túto judikatúru na účely potvrdenia, že prokuratúra sa musí považovať za „prevádzkovateľa“ ( 38 ). Podľa môjho názoru dôvod predmetného uplatnenia podporuje široký výklad pojmu „prevádzkovateľ“ v zmysle článku 4 ods. 7 GDPR s cieľom zabezpečiť účinnú a úplnú ochranu základných práv a slobôd dotknutých osôb zakotvených v primárnom práve, ( 39 ) bez ohľadu na to, či je prevádzkovateľom verejný alebo súkromný subjekt. ( 40 ) V záujme zabezpečenia takejto účinnej a úplnej ochrany sú zásady ochrany údajov, ktoré sú záväzné pre súkromné vyhľadávače, relevantné pre súkromné aj verejné subjekty, na ktoré sa vzťahujú rovnaké všeobecné zásady týkajúce sa údajov a povinností podľa GDPR, ktoré predstavujú konkrétne vyjadrenie primárneho práva.

59.

Belgická vláda na pojednávaní tvrdila, že notár by sa mal považovať za prevádzkovateľa údajov, keďže určuje prostriedky a účely spracúvania údajov.

60.

Podľa môjho názoru, ak by sa notár považoval za jediného prevádzkovateľa, znamenalo by to, že v praxi by nikto nebol prevádzkovateľom v tretej fáze spracúvania, t. j. pri operáciách, ktoré vykonáva Moniteur belge, keďže zákonodarca notárovi nezveril právomoc – ako to vyplýva zo skutkových okolností prejednávanej veci – na to, aby túto tretiu fázu spracúvania rozhodujúcim spôsobom ovplyvňoval. Uvedené tri subjekty sa však môžu v rôznych prípadoch a v rôznej miere podieľať na spracúvaní osobných údajov, v dôsledku čoho je možné každý z nich považovať za prevádzkovateľa, aj keď s rôznym rozsahom a úrovňou zodpovednosti vyplývajúcej z postavenia prevádzkovateľa. ( 41 ) Okrem toho by som chcela zdôrazniť, ako uviedla Komisia na pojednávaní, že zákon by teoreticky mohol určiť Moniteur belge za prevádzkovateľa za predpokladu, že vnútroštátna právna úprava uložila viacerým subjektom povinnosť vypracovať, uchovávať a digitálne šíriť predmetný dokument. Aby však bolo možné Moniteur belge považovať za sprostredkovateľa, mali by byť splnené podmienky uvedené v článku 28 GDPR, čo za okolností, aké boli predložené Súdnemu dvoru, zjavne nie je, keďže každý z predmetných subjektov je zodpovedný za svoju časť spracúvania. ( 42 )Moniteur belge z uvedeného dôvodu nie je možné považovať za „sprostredkovateľa“ v zmysle uvedeného ustanovenia.

61.

Belgická vláda okrem toho tvrdila, že samotný vnútroštátny zákonodarca vystupuje ako prevádzkovateľ alebo určuje subjekt zodpovedný za výkon činností prevádzkovateľa, zatiaľ čo Moniteur belge len vykonával právomoci, ktoré mu boli zverené. Podľa belgickej vlády sa judikatúra týkajúca sa súkromných vyhľadávačov nemôže vzťahovať na verejné subjekty, keďže Moniteur belge ako verejný orgán zriadený zákonodarcom nemôže sám určovať svoje poslanie a úlohy.

62.

Ako som už uviedla, ( 43 ) v prejednávanej veci vnútroštátny zákonodarca implicitne označil Moniteur belge za prevádzkovateľa údajov tým, že mu zveril právomoc vykonávať určitý počet konkrétnych úloh.

63.

V každom prípade sa domnievam, že ak by Súdny dvor usúdil, že vnútroštátny zákonodarca má postavenie prevádzkovateľa vždy, keď vykonáva svoju právomoc určovania účelov a prostriedkov danej spracovateľskej operácie, takýto prístup by viedol k tomu, že fyzickým osobám by už nebola poskytovaná účinná ochrana, a tak pojem prevádzkovateľa by takýmto spôsobom bol zbavený svojho potrebného účinku. Účinnú ochranu dotknutých osôb totiž nie je možné zabezpečiť, ak by početné povinnosti prevádzkovateľa vykonával, pokiaľ ide o každé spracúvanie osobných údajov stanovené právnymi predpismi členského štátu, samotný zákonodarca. Podľa môjho názoru v prípade, že orgánu verejnej moci bola zverená právomoc spracúvať osobné údaje, nie je prevádzkovateľom zákonodarca, ale je ním orgán, ktorý plní verejné úlohy, ktorý kontroluje účely a prostriedky tohto spracúvania. ( 44 ) V prejednávanej veci je z jej okolností zrejmé, že predmetné spracúvanie, ako je vysvetlené v bode 43 vyššie, sa uskutočňuje v rámci implementácie vnútroštátnych právnych predpisov, čo vylučuje hypotézu, že samotný zákonodarca – pri prijímaní zákonov – je prevádzkovateľom spracúvania osobných údajov.

64.

V prejednávanej veci z vnútroštátnej právnej úpravy predloženej Súdnemu dvoru vyplýva, že Moniteur belge nemá žiadnu rozhodovaciu právomoc, pokiaľ ide o texty, ktoré je povinný uverejniť. ( 45 ) Ako totiž zdôraznila belgická vláda vo svojich písomných podaniach a na pojednávaní, Moniteur belge má 15 dní ( 46 ) na uverejnenie dokumentu, ktorý musí byť presnou kópiou dokumentu, ktorý vypracoval notár. V prípade opomenutia alebo oneskorenia hrozí úradníkovi Moniteur belge žaloba o náhradu škody. ( 47 ) Aby nedošlo k takejto situácii, tento orgán nekontroluje úplnosť, platnosť a správnosť údajov, ktoré je povinný uverejniť. Na základe uvedeného, ako tvrdí belgická vláda, sa zdá, že Moniteur belge nemá právomoc kontrolovať obsah týchto dokumentov, vrátane osobných údajov, ktoré by mohli obsahovať.

65.

Keďže však samotný zákonodarca pri prijímaní zákonov nevystupuje ako prevádzkovateľ a keďže žiadny iný subjekt nemá vplyv na určenie účelov a prostriedkov predmetného spracúvania – t. j. digitálnej transformácie a digitálneho šírenia predmetných dokumentov – v záujme predchádzania medzerám v právnej úprave pri jeho určovaní musí byť ako prevádzkovateľ určený Moniteur belge. Notár a register obchodného súdu jednoducho nemajú právomoc zasiahnuť v tejto fáze. V takomto prípade absencia voľnej úvahy na strane Moniteur belge nemôže slúžiť na vylúčenie účinnej ochrany dotknutých osôb. Na základe uvedeného dôvodu je potrebné konštatovať, že Moniteur belge je prevádzkovateľom v zmysle článku 4 ods. 7 GDPR, aj keď implicitne určeným, pokiaľ ide o spracúvanie osobných údajov pri uverejňovaní dokumentov, ako to vyžaduje vnútroštátna právna úprava.

66.

Zo skutkových okolností prejednávanej veci vyplýva, že zodpovedná osoba notára požiadala FMS (konajúce v mene Moniteur belge) o vymazanie – odstránenie z internetu – spornej pasáže a uverejnenie krátkeho zhrnutia bez tejto pasáže. FMS tejto žiadosti nevyhovelo a navrhlo uverejnenie nového krátkeho zhrnutia. Za týchto okolností sa zdá, že príslušný notár nemá právomoc nariadiť zmenu alebo odstránenie spornej pasáže. Zdôrazňujem však, že takúto právomoc zrejme nemá ani žiadny iný subjekt.

67.

Belgická vláda uvádza, že zámerom vnútroštátneho zákonodarcu bolo, aby dokumenty uverejňované v Moniteur belge zostali z dôvodu archivácie nezmenené a aby elektronická verzia uverejnených dokumentov zostala vždy presnou kópiou papierovej verzie, čo vylučuje akúkoľvek spätnú zmenu. Belgická vláda dodáva, že na opravu dokumentu právnickej osoby uverejneného v Moniteur belge musí notár podať na register obchodného súdu pozmeňujúci dokument a tento súd musí potom požiadať vedenie Moniteur belge o uverejnenie tohto pozmeňujúceho dokumentu. Na druhej strane podľa belgického práva nie je možné úplne vymazať pôvodný dokument, aby nedošlo k porušeniu zásady nezmeniteľnosti Moniteur belge.

68.

Podľa môjho názoru odmietnutie orgánu verejnej moci vymazať pasáž obsahujúcu predmetné osobné údaje a uverejniť predmetný dokument bez tejto pasáže má za následok zachovanie verejnej dostupnosti týchto údajov. To podľa môjho názoru znamená, že Moniteur belge pri uplatňovaní vnútroštátnych právnych predpisov koná ako „prevádzkovateľ“ v zmysle článku 4 ods. 7 GDPR, keďže tým, že spornú pasáž neodstráni a ponechá ju verejne dostupnú, určuje účely a prostriedky spracúvania osobných údajov. Ak by sa Moniteur belge nepovažoval za prevádzkovateľa, potom by podľa všetkého nemal takéto postavenie žiadny orgán. ( 48 )

69.

Podľa môjho názoru postavenie „prevádzkovateľa“ nemôže závisieť od skutočnosti, že taký orgán, akým je Moniteur belge, nemôže na základe vnútroštátneho práva vyhovieť žiadosti o vymazanie údajov. Z uvedeného dôvodu v prípade právnej medzery vo vnútroštátnej právnej úprave prináleží vnútroštátnym orgánom, a v tejto fáze vnútroštátnemu súdu, aby v rámci uplatňovania GDPR určili subjekt, ktorý musí plniť povinnosti vyplývajúce z tohto nariadenia. V prejednávanej veci dochádza k spracúvaniu údajov a údaje zostávajú verejne dostupné, ale vnútroštátne právo neurčilo zodpovedný orgán ako prevádzkovateľa pre túto časť spracúvania.

70.

V takomto prípade by mal Súdny dvor uviesť, že vzhľadom na to, že vnútroštátny zákonodarca neurčil prevádzkovateľa, a tým spôsobil medzeru v právnej úprave, je úlohou vnútroštátneho súdu, aby na základe okolností predložených Súdnemu dvoru určil za prevádzkovateľa Moniteur belge (alebo FMS, podľa posúdenia vnútroštátneho súdu). Len takýto výklad by bol podľa môjho názoru v súlade s cieľom článku 4 ods. 7 GDPR, ktorým je prostredníctvom širokej definície pojmu „prevádzkovateľ“ zabezpečiť účinnú a úplnú ochranu dotknutých osôb. ( 49 ) Tým by sa tiež predišlo medzerám v právnej úprave a možnému obchádzaniu pravidiel GDPR.

71.

Pokiaľ ide o praktické argumenty vyplývajúce zo zásady nezmeniteľnosti informácií šírených Moniteur belge, je na vnútroštátnom zákonodarcovi, aby vzhľadom na povinnosti vyplývajúce okrem iného z článkov 5 a 17 GDPR prijal legislatívny rámec, ktorý zohľadní ochranu dotknutých osôb a túto zásadu. Keďže uverejňovanie osobných údajov exponenciálne zvyšuje riziko vzniku škody dotknutým osobám, je potrebné, aby vnútroštátne právo poskytovalo inovatívne riešenia. ( 50 )

72.

Na záver navrhujem, aby Súdny dvor v prejednávanej veci rozhodol, že Moniteur belge koná ako „prevádzkovateľ“ v zmysle článku 4 ods. 7 GDPR, keď rozhoduje o odmietnutí odstránenia spornej pasáže z verejných zdrojov, teda keď ponechá túto pasáž verejne dostupnú.

73.

V prejednávanej veci vnútroštátna právna úprava na účely plnenia povinností vyplývajúcich z GDPR stanovila povinnosť určiť prevádzkovateľa údajov. Po prvé, pokiaľ ide o digitálnu transformáciu, uverejnenie a šírenie predmetných údajov, Moniteur belge musí byť určený za „prevádzkovateľa“ údajov v zmysle článku 4 ods. 7 GDPR na účely zabezpečenia základných práv dotknutej osoby. Po druhé, pokiaľ ide o neodstránenie predmetných údajov, vo vnútroštátnej právnej úprave existuje medzera, keďže žiaden z predmetných subjektov nemá právo odstrániť tieto údaje. V takomto prípade prináleží vnútroštátnemu súdu, aby v rámci uplatňovania GDPR, s cieľom zabezpečiť ochranu základných práv dotknutých osôb, určil prevádzkovateľa, ktorým je v prejednávanej veci zrejme Moniteur belge.

74.

V dôsledku vyššie uvedeného navrhujem odpovedať na prvú otázku tak, že článok 4 ods. 7 GDPR sa má vykladať v tom zmysle, že úradný vestník členského štátu, akým je Moniteur belge, ktorý je podľa platných vnútroštátnych právnych predpisov poverený úlohou uverejňovať a archivovať úradné dokumenty na účely zabezpečenia účinnej a úplnej ochrany dotknutých osôb, je možné považovať za prevádzkovateľa v zmysle článku 4 ods. 7 GDPR za okolností, ak uverejnenie týchto dokumentov v ich nezmenenej podobe nariadia tretie subjekty, keďže vnútroštátny zákonodarca zveril tomuto vestníku právomoc určovať prostriedky digitálnej transformácie, uverejňovania, šírenia a uchovávania predmetných dokumentov a stanovil široké účely uverejňovania a šírenia. Ak však ide o situáciu, v ktorej prevádzkovateľ nie je určený, pokiaľ ide o odstránenie alebo vymazanie údajov, potom je vzhľadom na to, že predmetné údaje zostávajú verejne dostupné, úlohou vnútroštátneho súdu určiť subjekt, ktorý musí plniť povinnosti vyplývajúce z GDPR.

75.

Súdny dvor by mal odpovedať na druhú otázku, teda či musí byť Moniteur belge alebo orgán, ktorý ho riadi, výlučne zodpovedný za dodržiavanie povinností uložených prevádzkovateľovi údajov na základe GDPR, iba v prípade, ak bude odpovedať na prvú otázku tak, ako je uvedené vyššie.

76.

Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 5 ods. 2 GDPR vykladať v tom zmysle, že povinnosti, ktoré z tohto ustanovenia vyplývajú pre prevádzkovateľa osobných údajov, je povinný plniť iba predmetný vestník, nie však tretie verejné orgány, ktoré vopred spracovali údaje uvedené v úradných listinách a dokumentoch, ktorých uverejnenie od neho požadujú, alebo či tieto povinnosti majú plniť všetci po sebe nasledujúci prevádzkovatelia.

77.

Podľa článku 5 ods. 2 GDPR je prevádzkovateľ zodpovedný za dodržiavanie zásad stanovených v odseku 1 uvedeného článku, ako je zásada minimalizácie údajov a zásada presnosti údajov, ( 51 ) a musí byť schopný preukázať, že tieto zásady boli dodržané. Keďže fyzická osoba sa domáha vymazania osobných údajov, u ktorých vnútroštátna právna úprava nevyžaduje ich uverejnenie, vnútroštátny súd vysvetľuje, že musí rozhodnúť, či za dodržiavanie zásad minimalizácie a presnosti údajov musí zodpovedať výlučne Moniteur belge alebo orgán, ktorý ho riadi, alebo či za dodržiavanie týchto zásad zodpovedajú aj ďalšie dva subjekty.

78.

Aj keď vnútroštátny súd konštatuje, že účastníci konania vo veci samej sa neodvolávajú na existenciu spoločných prevádzkovateľov, ako to stanovuje článok 26 GDPR, uvedený súd sa predovšetkým pýta, či je potrebné každého z potenciálnych po sebe nasledujúcich prevádzkovateľov, alebo len jedného z nich, určiť za „prevádzkovateľa“ v zmysle článku 4 ods. 7 uvedeného nariadenia, ktorý zodpovedá podľa článku 5 ods. 2 tohto nariadenia za dodržiavanie uvedených zásad.

79.

Ako som už uviedla, ( 52 ) predmetné osobné údaje uvedené v spornej pasáži, ktorá bola uverejnená v Moniteur belge, boli postupne spracúvané viacerými subjektmi, a to konkrétne notárom, ktorý vypracoval krátke zhrnutie, registrom Tribunal de l’entreprise néerlandophone de Bruxelles (Holandskojazyčný súd pre spory medzi podnikmi Brusel), ktorý ho založil do spisu spoločnosti, a na záver Moniteur belge, ktorý ho uverejnil v pôvodnom nezmenenom znení.

80.

Pokiaľ ide o túto postupnosť udalostí, je potrebné poznamenať, že spracúvanie predmetných osobných údajov zverené Moniteur belge nielen nasleduje po spracúvaní uskutočnenom notárom a registrom obchodného súdu, ale sa aj technicky odlišuje od spracúvania uskutočneného týmito dvoma subjektmi a dopĺňa ho. Je dôležité poukázať na skutočnosť, že v rozsahu, v akom operácie uskutočňované v Moniteur belge zahŕňajú predovšetkým digitálnu transformáciu údajov uvedených v predkladaných výpisoch z dokumentov, uverejňovanie, široké sprístupňovanie verejnosti a uchovávanie týchto údajov, majú operácie, ktorými je zo zákona poverený Moniteur belge – v porovnaní so spracúvaním, ktoré predtým uskutočňovali dva iné subjekty – významný a dodatočný vplyv na základné práva na rešpektovanie súkromného života a ochranu osobných údajov a predstavujú pre ne riziko. ( 53 )

81.

Je teda na Moniteur belge, aby splnil všetky povinnosti, ktoré prevádzkovateľovi ukladá GDPR, pokiaľ ide o spracovateľské operácie, ktoré mu ukladá vnútroštátne právo.

82.

V článku 4 ods. 7 GDPR sa uznáva, že „účely a prostriedky spracúvania“ môže určiť viac ako jeden subjekt. Uvádza sa v ňom, že pojem „prevádzkovateľ“ sa vzťahuje na subjekt, ktorý „sám alebo spoločne s inými“ určuje účely a prostriedky spracúvania. Takáto situácia je upravená v článku 26 GDPR, podľa ktorého sa na tom istom spracúvaní môže zúčastniť ako prevádzkovateľ niekoľko rôznych subjektov a na každého z nich sa vzťahujú príslušné ustanovenia právnych predpisov na ochranu osobných údajov. ( 54 )

83.

Pripomínam, že v článku 26 ods. 1 GDPR sa stanovuje, že ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi. V tom istom odseku sa dodáva, že spoloční prevádzkovatelia transparentne určia svoje príslušné zodpovednosti za plnenie všetkých povinností podľa GDPR, pokiaľ nie sú príslušné zodpovednosti prevádzkovateľov určené právom Únie alebo právom členskému štátu, ktorému prevádzkovatelia podliehajú. Na základe uvedeného spoločná zodpovednosť viacerých prevádzkovateľov nemusí nevyhnutne závisieť od existencie dohody medzi jednotlivými prevádzkovateľmi alebo dokonca od ich úmyslu, ale môže vyplývať z vnútroštátneho práva za predpokladu, že z tohto práva je možné vyvodiť určenie viacerých prevádzkovateľov a príslušné povinnosti každého z týchto prevádzkovateľov vzhľadom na požiadavky GDPR.

84.

Skutočnosť, že viaceré subjekty sú zapojené do toho istého postupu spracúvania, však neznamená, že nevyhnutne konajú ako spoloční prevádzkovatelia. ( 55 ) Okrem toho Súdny dvor rozhodol, že fyzickú alebo právnickú osobu nemožno považovať za zodpovednú za predchádzajúce alebo neskoršie operácie v postupe spracovania, pri ktorých neurčuje ani účely, ani prostriedky. ( 56 ) V prejednávanej veci teda nič nenasvedčuje tomu, že by vnútroštátne právo určilo spoločných prevádzkovateľov, keďže notár nemá žiadnu kontrolu nad operáciami, ktoré vykonáva Moniteur belge.

85.

Z uvedeného dôvodu sa domnievam, že v prejednávanej veci spoločná zodpovednosť troch subjektov nie je stanovená vnútroštátnym právom, a nie je možné ju určiť ani na základe skutkových okolností uvedených vnútroštátnym súdom. Pokiaľ ide o skutkové okolnosti vo veci samej, musím predovšetkým zdôrazniť, že tri uvedené subjekty v rámci postupu spracúvania nespracúvajú údaje rovnakým spôsobom, keďže Moniteur belge vykonáva digitálnu transformáciu, uverejňovanie a šírenie predmetných dokumentov. Okrem toho vzhľadom na skutkové okolnosti vo veci samej by dotknutá fyzická osoba, ktorá chce využiť svoje právo na vymazanie podľa článku 17 GDPR, musela uplatniť svoje práva podľa uvedeného nariadenia voči každému prevádzkovateľovi z uvedených spoločných prevádzkovateľov. Z tohto hľadiska by teda každý z týchto subjektov samostatne zodpovedal za dodržiavanie zásad uvedených v článku 5 ods. 1 GDPR. ( 57 )

86.

Z vyššie uvedeného podľa môjho názoru vyplýva, že nie je možné stanoviť „kumulatívnu“ zodpovednosť rôznych prevádzkovateľov podľa článku 5 ods. 2 GDPR. Každý zo subjektov zapojených do postupu spracúvania údajov totiž môže byť individuálne zodpovedný len za dodržiavanie zásad uvedených v článku 5 ods. 1 tohto nariadenia vo vzťahu k spracovateľským operáciám, ktoré vykonal v súlade s účelmi a prostriedkami spracúvania údajov. Vzhľadom na skutočnosť, že v prejednávanej veci údaje nesprávne neuverejnil nie notár, ale Moniteur belge, domnievam sa, že práve tento orgán musí byť tiež individuálne zodpovedný za dodržiavanie zásad uvedených v článku 5 ods. 1 GDPR, napriek tomu, že sám neuviedol údaje v spornej pasáži.

87.

Nakoniec by som chcela zdôrazniť, že vnútroštátnemu súdu prináleží overiť súlad vnútroštátneho práva, ktoré stanovuje možnosť opravy, ale nie vymazania údajov uverejnených v Moniteur belge, s GDPR. Zdá sa totiž, že vnútroštátna právna úprava neumožňuje Moniteur belge spätne vymazať údaje, ktoré už boli uverejnené (vrátane údajov v elektronickej podobe). V tejto súvislosti platí, že práva na opravu a vymazanie stanovené v článkoch 16 a 17 GDPR môžu byť, ako sa uvádza v článku 23 tohto nariadenia, obmedzené podľa vnútroštátneho práva. Takéto obmedzenie však musí byť v súlade s článkom 52 ods. 1 Charty stanovené zákonom, musí rešpektovať podstatu základných práv fyzických osôb a dodržiavať zásadu proporcionality. ( 58 )

88.

Z uvedeného dôvodu navrhujem, aby odpoveď na druhú otázku znela, že článok 5 ods. 2 GDPR sa má vykladať v tom zmysle, že predmetný úradný vestník je povinný dodržiavať povinnosti prevádzkovateľa údajov podľa tohto ustanovenia, pokiaľ ide o operácie, ktoré vykonal. Sporné spracúvanie nezakladá postavenie spoločných prevádzkovateľov a Moniteur belge má výlučnú zodpovednosť, pokiaľ ide o spracovateľské operácie, ktoré mu ukladá vnútroštátne právo.

89.

Vzhľadom na všetky vyššie uvedené úvahy navrhujem, aby Súdny dvor na prejudiciálne otázky, ktoré položil Cour d’appel de Bruxelles (Odvolací súd Brusel), odpovedal takto:

Článok 4 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),

sa má vykladať v tom zmysle, že úradný vestník členského štátu, akým je Moniteur belge, ktorý je na základe uplatniteľnej vnútroštátnej právnej úpravy zodpovedný za uverejňovanie úradných listín a dokumentov, je možné na účely zabezpečenia účinnej a úplnej ochrany dotknutých osôb považovať za prevádzkovateľa v zmysle článku 4 ods. 7 nariadenia 2016/679 za okolností, ak uverejnenie týchto dokumentov v ich nezmenenej podobe nariadia tretie subjekty, keďže vnútroštátny zákonodarca zveril tomuto vestníku právomoc určiť prostriedky digitálnej transformácie, uverejňovania, šírenia a uchovávania predmetných dokumentov a stanovil široké účely uverejňovania a šírenia. Ak však ide o situáciu, kedy prevádzkovateľ nie je určený, pokiaľ ide o odstránenie alebo vymazanie údajov, potom je vzhľadom na skutočnosť, že predmetné údaje zostávajú verejne dostupné, úlohou vnútroštátneho súdu určiť subjekt, ktorý musí splniť povinnosti vyplývajúce z nariadenia 2016/679.

Článok 5 ods. 2 nariadenia 2016/679 sa má vykladať v tom zmysle, že predmetný úradný vestník je povinný plniť povinnosti prevádzkovateľa údajov vyplývajúce z tohto ustanovenia, pokiaľ ide o spracovateľské operácie, ktoré vykonal. Predmetné spracúvanie nezakladá postavenie spoločných prevádzkovateľov a Moniteur belge má výlučnú zodpovednosť, pokiaľ ide o spracovateľské operácie, ktoré mu ukladá vnútroštátne právo.