–

Agencija po vpisvanijata, v zastúpení: I. D. Ivanov a D. S. Miteva, za právnej pomoci Ž. N. Mandažieva, advokat,

–

OL, osobne, za právnej pomoci I. Stojnev a T. Conev, advokati,

–

bulharská vláda, v zastúpení: C. Mitova a R. Stojanov, splnomocnení zástupcovia,

–

nemecká vláda, v zastúpení: J. Möller a P.‑L. Krüger, splnomocnení zástupcovia,

–

Írsko, v zastúpení: M. Browne, Chief State Solicitor, A. Joyce, M. Lane a M. Tierney, splnomocnení zástupcovia, za právnej pomoci I. Boyle Harper, BL,

–

talianska vláda, v zastúpení: G. Palmieri, splnomocnená zástupkyňa, za právnej pomoci G. Natale, avvocato dello Stato,

–

poľská vláda, v zastúpení: B. Majczyna, splnomocnený zástupca,

–

fínska vláda, v zastúpení: A. Laine, splnomocnená zástupkyňa,

–

Európska komisia, v zastúpení: A. Bouchagiar, C. Georgieva, H. Kranenborg a L. Malferrari, splnomocnení zástupcovia,

1

Návrh na začatie prejudiciálneho konania sa týka výkladu článkov 3 a 4 smernice Európskeho parlamentu a Rady 2009/101/ES zo 16. septembra 2009 o koordinácii záruk, ktoré sa od obchodných spoločností v zmysle článku 48 druhého odseku [ES] vyžadujú v členských štátoch na ochranu záujmov spoločníkov a tretích osôb s cieľom zabezpečiť rovnocennosť týchto záruk (Ú. v. EÚ L 258, 2009, s. 11), ako aj článkov 4, 6, 17, 58 a 82 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1; ďalej len „GDPR“).

2

Tento návrh bol podaný v rámci sporu medzi Agencija po vpisvanijata (registračná agentúra, Bulharsko) (ďalej len „agentúra“) a OL spočívajúceho v tom, že táto agentúra odmietla vymazať určité osobné údaje týkajúce sa OL uvedené v spoločenskej zmluve zverejnenej v obchodnom registri.

3

Smernica Európskeho parlamentu a Rady (EÚ) 2017/1132 zo 14. júna 2017 týkajúca sa niektorých aspektov práva obchodných spoločností (Ú. v. EÚ L 169, 2017, s. 46) zrušila a nahradila smernicu 2009/101 od dátumu nadobudnutia svojej účinnosti, a to 20. júla 2017.

4

Odôvodnenia 1, 7, 8 a 12 smernice 2017/1132 znejú:

…

…

5

Článok 4 tejto smernice s názvom „Povinné údaje uvádzané v stanovách alebo v aktoch o založení spoločnosti alebo v oddelených dokumentoch“, ktorý sa nachádza v oddiele 1 kapitoly II hlavy I smernice 2017/1132, nazvanom „Založenie akciovej spoločnosti“, stanovuje:

„V stanovách alebo akte o založení spoločnosti alebo v oddelenom dokumente, ktoré musia byť zverejnené spôsobom stanoveným právnymi predpismi každého členského štátu v súlade s článkom 16, musia byť obsiahnuté aspoň tieto údaje:

…

…“

6

Oddiel 1 kapitoly III hlavy I uvedenej smernice s názvom „Všeobecné ustanovenia“ obsahuje články 13 až 28 tejto smernice.

7

Podľa článku 13 tejto smernice s názvom „Rozsah pôsobnosti“:

„Koordinačné opatrenia stanovené týmto oddielom sa vzťahujú na zákony, iné právne predpisy a správne opatrenia členských štátov týkajúce sa foriem spoločností uvedených v prílohe II.“

8

Článok 14 smernice 2017/1132 s názvom „Dokumenty a údaje zverejňované spoločnosťami“ stanovuje:

„Členské štáty prijmú opatrenia potrebné na zabezpečenie, aby spoločnosti povinne zverejňovali prinajmenšom tieto dokumenty a údaje:

…“

9

Článok 15 ods. 1 tejto smernice s názvom „Zmena v dokumentoch a údajoch“ stanovuje:

„Členské štáty prijmú požadované opatrenia s cieľom zabezpečiť, aby sa akékoľvek zmeny v dokumentoch a údajoch uvedených v článku 14 zapísali do príslušného registra uvedeného v článku 16 ods. 1 prvom pododseku a zverejnili v súlade s článkom 16 ods. 3 a 5 za normálnych okolností do 21 dní po doručení kompletnej dokumentácie týkajúcej sa uvedených zmien vrátane prípadného preskúmania zákonnosti, ako sa vyžaduje podľa vnútroštátneho práva v súvislosti s vložením do spisu.“

10

Podľa článku 16 uvedenej smernice s názvom „Zverejňovanie v registri“:

„1.   V každom členskom štáte sa v centrálnom registri, obchodnom registri alebo v registri spoločností (ďalej len ‚register‘) založí spis pre každú spoločnosť v ňom zapísanú.

…

3.   Všetky dokumenty a údaje, ktoré sa majú zverejniť podľa článku 14, sa uchovajú v spise alebo sa vložia do registra; predmet zápisu do registra v každom prípade musí byť zrejmý zo spisu.

Členské štáty zabezpečia, aby bolo možné, aby spoločnosti, ako aj ostatné osoby a orgány, na ktoré sa vzťahuje ohlasovacia povinnosť alebo povinnosť spolupracovať, mohli odovzdať všetky dokumenty a údaje, ktoré sa majú zverejniť podľa článku 14, v elektronickej forme. Okrem toho členské štáty môžu vyžadovať, aby všetky alebo určité kategórie spoločností odovzdávali všetky alebo určité typy týchto dokumentov a údajov elektronicky.

Všetky dokumenty a údaje uvedené v článku 14, ktoré sa zakladajú v papierovej podobe alebo elektronicky, sa uchovávajú v spisoch alebo vkladajú do registra elektronicky. Preto členské štáty zabezpečia, aby register konvertoval všetky takéto dokumenty a údaje, ktoré sú založené v papierovej podobe, do elektronickej podoby.

…

4.   Kópiu všetkých alebo časti dokumentov alebo údajov uvedených v článku 14 musí byť možné získať na základe podania žiadosti. Žiadosti sa môžu predkladať do registra v papierovej podobe alebo elektronicky podľa voľby žiadateľa.

…

5.   Dokumenty a údaje uvedené v odseku 3 sa zverejnia uverejnením v celoštátnom vestníku, ktorý na tento účel určí členský štát, a to v úplnosti alebo čiastočne alebo odkazom na dokument, ktorý sa založil do súboru alebo vložil do registra. Celoštátny vestník určený na tento účel sa môže uchovávať elektronicky.

Členské štáty sa môžu rozhodnúť, že nahradia uverejnenie v celoštátnom vestníku rovnako účinným prostriedkom, ktorý vyžaduje aspoň využívanie systému, pomocou ktorého môžu byť zverejnené informácie prístupné v chronologickom poradí cez centrálnu elektronickú platformu.

6.   Spoločnosť môže uplatniť dokumenty a údaje voči tretím osobám až po tom, čo boli zverejnené v súlade s odsekom 5, pokiaľ spoločnosť nepreukáže, že tretie strany o nich vedeli.

…

7.   Členské štáty prijmú potrebné opatrenia s cieľom zamedziť akýmkoľvek rozporom medzi tým, čo sa zverejní v súlade s odsekom 5, a tým, čo sa uvedie v registri alebo v spise.

V prípadoch rozporu nemožno znenie zverejnené v súlade s odsekom 5 uplatniť voči tretím osobám; tieto tretie osoby sa však naň môžu odvolávať, pokiaľ spoločnosť nepreukáže, že vedeli o znení vloženom do spisu alebo do registra.

…“

11

Článok 21 smernice 2017/1132 s názvom „Jazyk zverejnenia a preklad dokumentov a údajov, ktoré sa majú zverejniť“, stanovuje:

„1.   Dokumenty a údaje, ktoré sa majú zverejniť podľa článku 14, sa vyhotovia a vyplnia v jednom z jazykov povolených podľa jazykových pravidiel platných v členskom štáte, v ktorom sa zakladá súbor uvedený v článku 16 ods. 1.

2.   Okrem povinného zverejnenia uvedeného v článku 16 členské štáty umožnia, aby sa preklady dokumentov a údajov uvedených v článku 14 zverejnili dobrovoľne v súlade s článkom 16 v ktoromkoľvek úradnom jazyku [Európskej ú]nie.

Členské štáty môžu stanoviť osvedčenie prekladu takýchto dokumentov a údajov.

Členské štáty prijmú potrebné opatrenia na uľahčenie prístupu tretích strán k dobrovoľne zverejneným prekladom.

3.   Okrem povinného zverejnenia uvedeného v článku 16 a dobrovoľného zverejnenia stanoveného podľa odseku 2 tohto článku môžu členské štáty umožniť zverejnenie príslušných dokumentov a údajov v súlade s článkom 16 v ktoromkoľvek inom jazyku.

…

4.   Ak je rozpor medzi dokladmi a údajmi zverejnenými v úradných jazykoch registra a dobrovoľne zverejneným prekladom, tento preklad nemožno uplatniť voči tretím osobám…“

12

Podľa článku 161 tejto smernice s názvom „Ochrana údajov“:

„Spracúvanie osobných údajov uskutočňované v kontexte tejto smernice podlieha smernici [Európskeho parlamentu a Rady] 95/46/ES [z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355].“

13

Článok 166 uvedenej smernice s názvom „Zrušenie“ stanovuje:

„Smernice… 2009/101/ES… a 2012/30/ES… sa zrušujú…

Odkazy na zrušené smernice sa považujú za odkazy na túto smernicu a znejú v súlade s tabuľkou zhody v prílohe IV.“

14

V prílohe II k smernici 2017/1132 sú vymenované formy spoločností uvedené v článku 7 ods. 1, článku 13, článku 29 ods. 1, článku 36 ods. 1, článku 67 ods. 1 a článku 119 ods. 1 písm. a) tejto smernice, medzi ktorými sa uvádza, pokiaľ ide o Bulharsko, ODD.

15

V súlade s tabuľkou zhody uvedenou v prílohe IV k smernici 2017/1132 na jednej strane články 2, 2a, 3, 4 a 7a smernice 2009/101 zodpovedajú, v tomto poradí, článkom 14, 15, 16, 21 a 161 smernice 2017/1132. Na druhej strane článok 3 smernice 2012/30 zodpovedá článku 4 smernice 2017/1132.

16

Smernica 2017/1132 bola zmenená okrem iného smernicou Európskeho parlamentu a Rady (EÚ) 2019/1151 z 20. júna 2019, ktorou sa mení smernica (EÚ) 2017/1132, pokiaľ ide o používanie digitálnych nástrojov a postupov v práve obchodných spoločností (Ú. v. EÚ L 186, 2019, s. 80), ktorá nadobudla účinnosť 31. júla 2019, a v článku 1 s názvom „Zmeny smernice [2017/1132]“ stanovuje:

„Smernica [2017/1132] sa mení takto:

…

6) Článok 16 sa nahrádza takto:

‚Článok 16

Zverejňovanie v registri

1.   V každom členskom štáte sa v centrálnom registri, obchodnom registri alebo v registri spoločností (ďalej len ‚register‘) založí spis pre každú spoločnosť v ňom zapísanú.

…

2.   Všetky dokumenty a údaje, ktoré sa majú zverejniť podľa článku 14, sa uchovajú v spise uvedenom v odseku 1 tohto článku alebo sa vložia priamo do registra a predmet zápisov do registra sa zaznamená do spisu.

Všetky dokumenty a údaje uvedené v článku 14 sa bez ohľadu na prostriedky, ktorými boli podané, uchovajú v spise založenom v registri alebo sa do neho vložia priamo v elektronickej podobe. Členské štáty zabezpečia, aby register všetky dokumenty a údaje, ktoré boli podané v listinnej podobe, čo možno najrýchlejšie previedol do elektronickej podoby.

…

3.   Členské štáty zabezpečia, aby sa zverejnenie dokumentov a údajov uvedených v článku 14 vykonalo tak, že sa sprístupnia verejnosti v registri. Členské štáty môžu takisto vyžadovať, aby niektoré alebo všetky uvedené dokumenty a údaje boli uverejnené v celoštátnom vestníku určenom na tento účel alebo prostredníctvom rovnako účinných prostriedkov…

4.   Členské štáty prijmú potrebné opatrenia, aby sa zabránilo nesúladu medzi tým, čo je uvedené v registri a čo v spise.

Členské štáty, ktoré vyžadujú uverejnenie dokumentov a údajov v celoštátnom vestníku alebo na centrálnej elektronickej platforme, prijmú potrebné opatrenia na to, aby sa zabránilo nezrovnalostiam medzi tým, čo je zverejnené v súlade s odsekom 3, a tým, čo sa uverejní v celoštátnom vestníku alebo na platforme.

V prípade akýchkoľvek nezrovnalostí podľa tohto článku majú prednosť dokumenty a údaje zverejnené v registri.

5.   Spoločnosť sa môže odvolávať na dokumenty a údaje uvedené v článku 14 vo vzťahu k tretím osobám až po tom, ako boli zverejnené v súlade s odsekom 3 tohto článku, pokiaľ spoločnosť nepreukáže, že tretie osoby o týchto údajoch alebo obsahu dokumentov vedeli.

…

6.   Členské štáty zabezpečia, aby všetky dokumenty a údaje, ktoré boli predložené v rámci založenia spoločnosti, zápisu pobočky do registra alebo podania zo strany spoločnosti alebo pobočky, uchovávali registre v strojovo čitateľnom formáte umožňujúcom vyhľadávanie, alebo ako štruktúrované údaje.‘

7. Vkladá sa tento článok:

,Článok 16a

Prístup k zverejneným údajom

1.   Členské štáty zabezpečia, aby bolo možné… získať z registra kópie všetkých dokumentov a údajov uvedených v článku 14 alebo akejkoľvek ich časti…

…‘

19. Článok 161 sa nahrádza takto:

,Článok 161

Ochrana údajov

Na spracúvanie osobných údajov uskutočňované v kontexte tejto smernice sa vzťahuje nariadenie [GDPR].‘“

17

Podľa článku 2 smernice 2019/1151 s názvom „Transpozícia“:

„1.   Členské štáty uvedú do účinnosti zákony, iné právne predpisy a správne opatrenia potrebné na dosiahnutie súladu s touto smernicou do 1. augusta 2021…

2.   Bez ohľadu na odsek 1 tohto článku členské štáty uvedú do účinnosti zákony, iné právne predpisy a správne opatrenia potrebné na dosiahnutie súladu s… článkom 1 bodom 6 tejto smernice týkajúcim sa článku 16 ods. 6 smernice [2017/1132] do 1. augusta 2023.

3.   Odchylne od odseku 1 majú členské štáty, ktorým transpozícia tejto smernice spôsobí mimoriadne ťažkosti, nárok na predĺženie lehoty ustanovenej v odseku 1 o jeden rok…

…“

18

Odôvodnenia 26, 32, 40, 42, 43, 50, 85, 143 a 146 GDPR stanovujú:

…

…

…

…

…

…

…

19

Článok 4 GDPR s názvom „Vymedzenie pojmov“ stanovuje:

„Na účely tohto nariadenia:

…

…

…

…“

20

Článok 5 GDPR s názvom „Zásady spracúvania osobných údajov“ stanovuje:

„1.   Osobné údaje musia byť:

…

…

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

21

Podľa článku 6 GDPR s názvom „Zákonnosť spracúvania“:

„1.   Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

…

…

…

3.   Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:

Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uvedený právny základ môže obsahovať osobitné ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, vrátane: všeobecných podmienok vzťahujúcich sa na zákonnosť spracúvania prevádzkovateľom; typov spracúvaných údajov; dotknutých osôb; subjektov, ktorým sa môžu osobné údaje poskytnúť, a účel[ov], na ktoré ich možno poskytnúť; obmedzenia účelu; doby uchovávania; a spracovateľských operácií a postupov vrátane opatrení na zabezpečenie zákonného a spravodlivého spracúvania, ako napríklad tie na iné osobitné situácie spracúvania, ako sú stanovené v kapitole IX. Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.

…“

22

Článok 17 GDPR s názvom „Právo na vymazanie (‚právo na zabudnutie‘)“ stanovuje:

„1.   Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

…

3.   Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:

…

…“

23

Článok 21 ods. 1 GDPR znie:

„Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.“

24

Článok 58 GDPR stanovuje:

„1.   Každý dozorný orgán má všetky tieto vyšetrovacie právomoci:

…

2.   Každý dozorný orgán má všetky tieto nápravné právomoci:

…

3.   Každý dozorný orgán má všetky tieto povoľovacie a poradné právomoci:

…

…

4.   Výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, stanoveným v práve Únie a v práve členského štátu v súlade s [Chartou základných práv Európskej únie (ďalej len ‚Charta‘)].

5.   Každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení tohto nariadenia.

6.   Každý členský štát môže prostredníctvom právnych predpisov stanoviť, že jeho dozorný orgán má popri právomociach uvedených v odsekoch 1, 2 a 3 ďalšie právomoci. Výkon uvedených právomocí nesmie zasahovať do účinného fungovania kapitoly VII.“

25

Článok 82 GDPR s názvom „Právo na náhradu škody a zodpovednosť“ stanovuje:

„1.   Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.

2.   Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.

3.   Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže [ak preukáže – neoficiálny preklad], že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.

…“

26

Článok 94 GDPR stanovuje:

„1.   Smernica [95/46] sa zrušuje s účinnosťou od 25. mája 2018.

2.   Odkazy na zrušenú smernicu sa považujú za odkazy na toto nariadenie. …“

27

Článok 2 Zakon za tărgovskija registăr i registăra na juridičeskite lica s nestopanska cel (zákon o obchodnom registri a registri neziskových právnických osôb) (DV č. 34 z 25. apríla 2006) v znení uplatniteľnom na spor vo veci samej (ďalej len „zákon o registroch“) stanovuje:

„1.   Obchodný register a register neziskových právnických osôb sú spoločnou elektronickou databázou, ktorá obsahuje skutočnosti zapísané podľa zákona, ako aj dokumenty sprístupnené verejnosti na základe zákona, ktoré sa týkajú podnikateľov a pobočiek zahraničných podnikateľov, neziskových právnických osôb a pobočiek zahraničných neziskových právnických osôb.

2.   Skutočnosti a dokumenty uvedené v odseku 1 sa sprístupnia verejnosti bez informácií, ktoré predstavujú osobné údaje v zmysle článku 4 bodu 1 [GDPR], avšak s výnimkou informácií, ktoré sa majú sprístupniť verejnosti na základe zákona.“

28

Článok 3 tohto zákona uvádza:

„Obchodný register a register neziskových právnických osôb vedie [agentúra], ktorú spravuje Ministăr na pravosădieto [minister spravodlivosti, Bulharsko].“

29

Podľa článku 6 ods. 1 uvedeného zákona:

„Každý podnikateľ a každá nezisková právnická osoba sú povinní požiadať o zápis do obchodného registra alebo do registra neziskových právnických osôb tak, že uvedú okolnosti, ktorých zápis sa vyžaduje, a predložia dokumenty, ktoré musia byť sprístupnené verejnosti.“

30

Článok 11 toho istého zákona znie:

„1.   Obchodný register a register neziskových právnických osôb sú verejné. Každá osoba má právo na slobodný a bezplatný prístup do databázy tvoriacej registre.

2.   [Agentúra] poskytuje registrovaný prístup k spisu podnikateľa alebo neziskovej právnickej osoby.“

31

Článok 13 ods. 1, 2, 6 a 9 zákona o registroch stanovuje:

„1.   Zápis, výmaz a sprístupnenie verejnosti sa vykoná na základe formulára žiadosti.

2.   Žiadosť obsahuje:

(1) identifikačné údaje žiadateľa,

…

(3) skutočnosť, ktorá podlieha zápisu, zápis, ktorého výmaz sa požaduje, alebo dokument, ktorý sa má sprístupniť verejnosti,

…

6.   K žiadosti sa pripoja dokumenty, prípadne akt, ktorý sa má sprístupniť verejnosti v súlade s požiadavkami zákona. Dokumenty sa predkladajú ako originál, kópia overená žiadateľom alebo kópia overená notárom. Žiadateľ tiež predloží overené kópie dokumentov, ktoré sa majú sprístupniť verejnosti v obchodnom registri a v ktorých sú utajené iné osobné údaje než tie, ktoré vyžaduje zákon.

…

9.   Ak žiadosť alebo k nej pripojené dokumenty obsahujú osobné údaje, ktoré zákon nevyžaduje, osoby, ktoré ich poskytli, sa považujú za osoby, ktoré súhlasili s ich spracovaním agentúrou a ich sprístupnením verejnosti.

…“

32

Článok 101 bod 3 Tărgovski zakon (obchodný zákon) (DV č. 48 z 18. júna 1991) v znení uplatniteľnom na spor vo veci samej (ďalej len „obchodný zákon“) stanovuje, že spoločenská zmluva musí obsahovať „názov respektíve obchodné meno a jedinečný identifikačný kód spoločníkov“.

33

Podľa článku 119 obchodného zákona:

„1.   Na zápis spoločnosti do obchodného registra je potrebné:

(1) predloženie spoločenskej zmluvy, ktorá sa sprístupňuje verejnosti,

…

2.   Údaje uvedené v bode 1… sa zapíšu do registra…

…

4.   Na účely zmeny alebo doplnenia spoločenskej zmluvy v obchodnom registri sa kópia uvedenej zmluvy so všetkými zmenami a doplneniami osvedčená orgánom spoločnosti predloží na sprístupnenie verejnosti.“

34

Článok 6 Naredba no 1 za vodene, săchranjavane i dostăp do tărgovskija registăr i do registăra na juridičeskite lica s nestopanska cel (nariadenie č. 1 o vedení, uchovávaní a prístupe do obchodného registra a do registra neziskových právnických osôb) zo 14. februára 2007 (DV č. 18 z 27. februára 2007), ktoré prijal Ministăr na pravosădieto (minister spravodlivosti), v znení uplatniteľnom na spor vo veci samej, stanovuje:

„Zápis a výmaz z obchodného registra a registra neziskových právnických osôb sa vykoná na základe formulára žiadosti v súlade s prílohami [obsahujúcimi osobitné formuláre]. Sprístupnenie dokumentov verejnosti z obchodného registra a registra neziskových právnických osôb sa uskutočňuje na základe formulára žiadosti v súlade s prílohami [obsahujúcimi osobitné formuláre].“

35

OL je spoločníčkou spoločnosti „Praven Štit Konsulting“ OOD, spoločnosti s ručením obmedzeným založenej podľa bulharského práva, ktorá bola 14. januára 2021 zapísaná do obchodného registra po predložení spoločenskej zmluvy z 30. decembra 2020, podpísanej spoločníkmi tejto spoločnosti (ďalej len „dotknutá spoločenská zmluva“).

36

Túto zmluvu obsahujúcu priezvisko, krstné meno, identifikačné číslo, číslo preukazu totožnosti, dátum a miesto vydania tohto preukazu, ako aj adresu OL a jej podpis, agentúra sprístupnila verejnosti tak, ako bola predložená.

37

Dňa 8. júla 2021 OL požiadala agentúru, aby vymazala jej osobné údaje obsiahnuté v uvedenej spoločenskej zmluve, pričom spresnila, že ak je spracúvanie týchto údajov založené na jej súhlase, tento súhlas odvoláva.

38

Keďže agentúra neodpovedala, OL sa obrátila na Administrativen săd Dobrič (Správny súd Dobrič, Bulharsko), ktorý rozsudkom z 8. decembra 2021 zrušil toto implicitné odmietnutie agentúry vymazať uvedené údaje a vrátil vec tejto agentúre, aby prijala nové rozhodnutie.

39

V rámci výkonu tohto rozsudku a obdobného rozsudku týkajúceho sa druhého spoločníka, ktorý postupoval rovnako, agentúra v liste z 26. januára 2022 uviedla, že na to, aby mohla vyhovieť návrhu na vymazanie osobných údajov, ktorý podala OL, jej musí byť zaslaná overená kópia dotknutej spoločenskej zmluvy, v ktorej sú utajené osobné údaje spoločníkov, s výnimkou údajov vyžadovaných zákonom.

40

Dňa 31. januára 2022 sa OL opäť obrátila na Administrativen săd Dobrič (Správny súd Dobrič) so žalobou, ktorej predmetom bol návrh na zrušenie tohto listu a na to, aby bola agentúre uložená povinnosť nahradiť nemajetkovú ujmu, ktorá jej bola spôsobená uvedeným listom porušujúcim práva, ktoré priznáva GDPR.

41

Dňa 1. februára 2022, pred doručením oznámenia o uvedenom návrhu, agentúra vymazala ex offo identifikačné číslo, údaje týkajúce sa preukazu totožnosti a adresu OL, ale nie jej priezvisko, meno a podpis.

42

Rozsudkom z 5. mája 2022 Administrativen săd Dobrič (Správny súd Dobrič) zrušil list z 26. januára 2022 a uložil agentúre povinnosť odškodniť OL sumou vo výške 500 bulharských levov (BGN) (približne 255 eur), zvýšenou o zákonné úroky z titulu nemajetkovej ujmy podľa článku 82 GDPR. Podľa tohto rozsudku na jednej strane táto ujma spočívala v negatívnych psychologických a emocionálnych zážitkoch OL, a to v strachu a obavách z prípadného zneužitia, ako aj v bezmocnosti a sklamaní týkajúcich sa nemožnosti chrániť jej osobné údaje. Na druhej strane uvedená škoda vyplýva z tohto listu, ktorý viedol k porušeniu práva na vymazanie zakotveného v článku 17 ods. 1 GDPR, ako aj k nezákonnému spracúvaniu jej osobných údajov obsiahnutých v dotknutej spoločenskej zmluve, ktorá bola poskytnutá verejnosti.

43

Agentúra podala proti uvedenému rozsudku kasačný opravný prostriedok na vnútroštátny súd, Vărchoven administrativen săd (Najvyšší správny súd, Bulharsko), ktorý podal návrh na začatie prejudiciálneho konania.

44

Podľa tohto súdu agentúra tvrdí, že je nielen prevádzkovateľom, ale aj príjemcom osobných údajov poskytnutých v rámci konania o zápise spoločnosti „Praven Štit Konsulting“. Okrem toho agentúra nedostala žiadnu kópiu dotknutej spoločenskej zmluvy, v ktorej by boli utajené osobné údaje OL, ktoré nemali byť sprístupnené verejnosti, hoci o to požiadala pred zápisom tejto spoločnosti do obchodného registra. Absencia takejto kópie pritom nemôže sama osebe brániť zápisu obchodnej spoločnosti do tohto registra. Vyplýva to zo stanoviska vnútroštátneho dozorného orgánu Komisija za zaštita na ličnite danni (Komisia na ochranu osobných údajov, Bulharsko) č. 01–116.(20)/01.02.2021, predloženého podľa článku 58 ods. 3 písm. b) GDPR, na ktoré sa agentúra odvoláva. Uvedený súd uvádza, že podľa OL agentúra ako prevádzkovateľ nemôže ukladať svoje povinnosti vymazať osobné údaje iným osobám, keďže podľa vnútroštátnej judikatúry toto stanovisko nie je v súlade s ustanoveniami GDPR.

45

Vnútroštátny súd dodáva, že vzhľadom na túto väčšinovú vnútroštátnu judikatúru je zrejme potrebné objasniť požiadavky vyplývajúce z tohto nariadenia. Tento súd sa konkrétne pýta na súlad, ktorý treba dosiahnuť medzi právom na ochranu osobných údajov na jednej strane a právnou úpravou zaručujúcou zverejnenie a prístup k určitým aktom spoločností na strane druhej, pričom najmä spresňuje, že rozsudok z 9. marca 2017, Manni (C‑398/15, EU:C:2017:197), neumožňuje vyriešiť výkladové ťažkosti, ktoré vyvoláva situácia, o ktorú ide vo veci samej.

46

Za týchto podmienok Vărchoven administrativen săd (Najvyšší správny súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

47

Na začiatok treba uviesť, že položené otázky sa týkajú výkladu tak GDPR, ako aj smernice 2009/101, ktorá bola kodifikovaná a nahradená smernicou 2017/1132, ktorá je ratione temporis uplatniteľná na skutkové okolnosti vo veci samej. V dôsledku toho je potrebné vykladať návrh na začatie prejudiciálneho konania tak, že sa týka výkladu smernice 2017/1132.

48

Okrem toho, ako uviedla generálna advokátka v bode 15 svojich návrhov, keďže k časti týchto skutkov došlo po 1. auguste 2021, čo je dátum uplynutia lehoty na prebratie smernice 2019/1151, uvedenej v článku 2 ods. 1 tejto smernice, vnútroštátnemu súdu prináleží overiť, či uvedené skutkové okolnosti patria ratione temporis do pôsobnosti smernice 2017/1132, alebo smernice 2017/1132, zmenenej smernicou 2019/1151.

49

Následne treba uviesť, že zmeny znenia článkov 16 a 161 smernice 2017/1132 a doplnenie článku 16a do tejto smernice vyplývajúce zo smernice 2019/1151 nemajú vplyv na analýzu, ktorú má Súdny dvor vykonať v prejednávanej veci, a tak odpovede, ktoré budú poskytnuté v tomto rozsudku, budú v každom prípade relevantné.

50

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 21 ods. 2 smernice 2017/1132 vykladať v tom zmysle, že ukladá členskému štátu povinnosť povoliť, aby sa v obchodnom registri zverejnila spoločenská zmluva podliehajúca povinnému zverejneniu stanovenému touto smernicou a obsahujúca iné osobné údaje, než sú minimálne vyžadované osobné údaje, ktorých zverejnenie právo tohto členského štátu nevyžaduje.

51

Tento súd si kladie najmä otázku o dosahu dobrovoľného zverejnenia spomenutého v tomto ustanovení a chce určiť, či uvedené ustanovenie ukladá členským štátom povinnosť povoliť zverejnenie údajov uvedených v aktoch spoločností, akými sú osobné údaje, ktoré nevyžadovali z dôvodu povinného zverejnenia stanoveného uvedenou smernicou.

52

Podľa článku 21 ods. 2 prvého pododseku smernice 2017/1132 „okrem povinného zverejnenia uvedeného v článku 16 [tejto smernice] členské štáty umožnia, aby sa preklady dokumentov a údajov uvedených v článku 14 [uvedenej smernice] zverejnili dobrovoľne v súlade s článkom 16 [tejto smernice] v ktoromkoľvek úradnom jazyku Únie“. Druhý pododsek tohto článku 21 ods. 2 oprávňuje členské štáty stanoviť osvedčenie „prekladu takýchto dokumentov a údajov“. Napokon tretí pododsek uvedeného článku 21 ods. 2 sa týka opatrení potrebných na uľahčenie prístupu tretích osôb k dobrovoľne zverejneným „prekladom“.

53

Článok 14 smernice 2017/1132 vymenúva dokumenty a údaje, ktoré prinajmenšom musia dotknuté spoločnosti povinne zverejňovať. Tieto dokumenty a údaje musia byť v súlade s článkom 16 ods. 3 až 5 tejto smernice uchované v spise alebo vložené do registra, musia byť na základe podania žiadosti prístupné získaním úplnej alebo čiastočnej kópie a musia byť uverejnené v úplnosti alebo čiastočne, alebo odkazom v celoštátnom vestníku, alebo prostredníctvom rovnako účinného prostriedku.

54

V tejto súvislosti najmä vzhľadom na opakované použitie pojmu „preklady“ v článku 21 ods. 2 smernice 2017/1132 zo znenia tohto ustanovenia vyplýva, že sa týka dobrovoľného zverejnenia prekladov dokumentov a údajov uvedených v článku 14 tejto smernice do úradného jazyka Únie, a teda len jazyka, v ktorom boli tieto dokumenty a údaje zverejnené. Naopak, uvedené ustanovenie neodkazuje na obsah uvedených dokumentov a údajov.

55

Toto znenie teda naznačuje, že tento článok 21 ods. 2 nemožno vykladať tak, že ukladá členským štátom akúkoľvek povinnosť týkajúcu sa zverejnenia osobných údajov, ktorých zverejnenie nevyžadujú ani iné ustanovenia práva Únie, ani právo dotknutého členského štátu, ale ktoré sa nachádzajú v dokumente podliehajúcom povinnému zverejneniu podľa uvedenej smernice.

56

Keďže zmysel ustanovenia práva Únie jednoznačne vyplýva zo samotného znenia tohto ustanovenia, Súdny dvor sa od tohto výkladu nemôže odchýliť (rozsudok z 25. januára 2022, VYSOČINA WIND, C‑181/20, EU:C:2022:51, bod 39).

57

V každom prípade, pokiaľ ide o kontext článku 21 ods. 2 smernice 2017/1132, názov tohto článku, ktorý odkazuje na „jazyk zverejnenia a preklad dokumentov a údajov, ktoré sa majú zverejniť“, ako aj ostatné odseky uvedeného článku, podporujú výklad zvolený v bode 55 tohto rozsudku.

58

Článok 21 ods. 1 smernice 2017/1132 totiž stanovuje, že „dokumenty a údaje, ktoré sa majú zverejniť podľa článku 14 [tejto smernice], sa vyhotovia a vyplnia v jednom z jazykov povolených“ podľa vnútroštátnych pravidiel uplatniteľných v tejto oblasti. Tento článok 21 ods. 3 stanovuje, že okrem povinného zverejnenia stanoveného v uvedenom článku 16 uvedenej smernice a dobrovoľného zverejnenia stanoveného v článku 21 ods. 2 môžu členské štáty umožniť zverejnenie príslušných dokladov a údajov „v ktoromkoľvek inom jazyku“. Článok 21 ods. 4 tohto článku zas odkazuje na „dobrovoľne zverejnený preklad“.

59

Výklad zvolený v bode 55 tohto rozsudku je napokon potvrdený odôvodnením 12 tej istej smernice, podľa ktorého treba uľahčiť cezhraničný prístup k informáciám o spoločnostiach tým, že sa okrem povinného zverejnenia v jednom z jazykov, ktoré sú povolené v členských štátoch dotknutých spoločností, umožní aj dobrovoľná registrácia povinných dokumentov a údajov v ďalších jazykoch.

60

Vzhľadom na vyššie uvedené treba na prvú otázku odpovedať, že článok 21 ods. 2 smernice 2017/1132 sa má vykladať v tom zmysle, že neukladá členskému štátu povinnosť povoliť, aby sa v obchodnom registri zverejnila spoločenská zmluva podliehajúca povinnému zverejneniu stanovenému touto smernicou a obsahujúca iné osobné údaje, než sú minimálne vyžadované osobné údaje, ktorých zverejnenie právo tohto členského štátu nevyžaduje.

61

Vzhľadom na odpoveď poskytnutú na prvú otázku nie je potrebné odpovedať na druhú a tretiu otázku, ktoré sú položené len pre prípad kladnej odpovede na túto prvú otázku.

62

Svojou piatou otázkou, ktorou sa treba zaoberať pred štvrtou otázkou, sa vnútroštátny súd v podstate pýta, či sa má GDPR, najmä jeho článok 4 body 7 a 9, vykladať v tom zmysle, že orgán zodpovedný za vedenie obchodného registra členského štátu, ktorý v tomto registri uverejňuje osobné údaje obsiahnuté v spoločenskej zmluve podliehajúcej povinnému zverejneniu podľa smernice 2017/1132, ktorá mu bola zaslaná v rámci žiadosti o zápis dotknutej spoločnosti do uvedeného registra, je tak „príjemcom“ týchto údajov, ako aj „prevádzkovateľom“ vo vzťahu k uvedeným údajom v zmysle tohto ustanovenia.

63

Na úvod treba pripomenúť, že v súlade s článkom 161 smernice 2017/1132 spracúvanie osobných údajov uskutočňované v kontexte tejto smernice podlieha smernici 95/46, a teda aj GDPR, ktorého článok 94 ods. 2 spresňuje, že odkazy na túto druhú smernicu sa považujú za odkazy na toto nariadenie.

64

V tejto súvislosti treba na začiatok uviesť, že podľa článku 14 písm. a), b) a d) smernice 2017/1132 sú členské štáty povinné prijať opatrenia potrebné na zabezpečenie toho, aby spoločnosti povinne zverejňovali prinajmenšom akt o založení dotknutej spoločnosti, jeho zmeny a vymenovanie, skončenie funkcie a údaje o osobách, ktoré sú buď ako zákonom stanovený orgán alebo ako členovia takéhoto orgánu oprávnené zastupovať túto spoločnosť v konaniach s tretími osobami a v konaniach pred súdom, alebo sa zúčastňujú na správe spoločnosti, dohľade alebo kontrole nad uvedenou spoločnosťou. Okrem toho podľa článku 4 písm. i) tejto smernice povinné údaje, ktoré musia byť uvedené v zakladateľskej listine podliehajúcej takémuto zverejneniu, zahŕňajú totožnosť fyzických alebo právnických osôb, alebo spoločností, ktoré podpísali tento akt alebo v mene ktorých bol tento akt podpísaný.

65

Podľa článku 16 ods. 3 až 5 uvedenej smernice, ako je uvedené v bode 53 tohto rozsudku, tieto dokumenty a údaje musia byť uchované v spise alebo vložené do registra, musia byť na základe podania žiadosti prístupné získaním úplnej alebo čiastočnej kópie a musia byť uverejnené v úplnosti alebo čiastočne, alebo odkazom v celoštátnom vestníku, alebo prostredníctvom rovnako účinného prostriedku.

66

Ako uviedla generálna advokátka v bode 26 svojich návrhov, členským štátom tak prináleží okrem iného určiť, ktoré kategórie informácií týkajúcich sa totožnosti osôb uvedených v článku 4 písm. i) a článku 14 písm. d) smernice 2017/1132, a najmä aké typy osobných údajov podliehajú povinnému zverejneniu pri dodržaní práva Únie.

67

Údaje týkajúce sa totožnosti týchto osôb sú pritom ako informácie, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby, „osobnými údajmi“ v zmysle článku 4 bodu 1 GDPR (pozri v tomto zmysle rozsudok z 9. marca 2017, Manni, C‑398/15, EU:C:2017:197, bod 34).

68

To isté platí pre dodatočné údaje týkajúce sa totožnosti uvedených osôb alebo iných kategórií osôb, ktoré sa členské štáty rozhodnú povinne zverejniť alebo ktoré sú, ako je to v prejednávanej veci, obsiahnuté v aktoch podliehajúcich takémuto zverejneniu, pričom smernica 2017/1132 alebo vnútroštátne právo vykonávajúce túto smernicu sprístupnenie týchto údajov nevyžaduje.

69

Pokiaľ ide ďalej o pojem „príjemca“ v zmysle článku 4 bodu 9 GDPR, tento pojem označuje „fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo akýkoľvek iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou“, pričom toto ustanovenie spresňuje, že z tejto definície sú vylúčené orgány verejnej moci prijímajúce tieto údaje v rámci úlohy konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu.

70

Orgán zodpovedný za vedenie registra členského štátu tým, že prijme v rámci žiadosti o zápis spoločnosti do obchodného registra členského štátu dokumenty podliehajúce povinnému zverejneniu uvedené v článku 14 smernice 2017/1132, ktoré obsahujú osobné údaje, bez ohľadu na to, či ich vyžaduje táto smernica, alebo vnútroštátne právo, tento orgán má postavenie „príjemcu“ týchto údajov v zmysle článku 4 bodu 9 GDPR.

71

Podľa článku 4 bodu 7 GDPR pojem „prevádzkovateľ“ napokon zahŕňa fyzické alebo právnické osoby, orgány verejnej moci, agentúry alebo iné subjekty, ktoré samy alebo spoločne s inými určia účely a prostriedky spracúvania osobných údajov. Toto ustanovenie tiež uvádza, že v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu.

72

V tejto súvislosti treba pripomenúť, že podľa judikatúry Súdneho dvora je cieľom uvedeného ustanovenia zabezpečiť prostredníctvom širokej definície pojmu „prevádzkovateľ“ účinnú a úplnú ochranu dotknutých osôb [rozsudok z 11. januára 2024, État belge (Údaje spracúvané úradným vestníkom), C‑231/22, EU:C:2024:7, bod 28 a citovaná judikatúra].

73

Vzhľadom na znenie článku 4 bodu 7 GDPR s prihliadnutím na tento cieľ sa zdá, že na určenie toho, či sa má osoba alebo subjekt považovať za „prevádzkovateľa“ v zmysle tohto ustanovenia, treba skúmať, či táto osoba alebo tento subjekt sami alebo v spojení s inými určujú účely a prostriedky spracúvania alebo či sú tieto účely a prostriedky určené právom Únie alebo vnútroštátnym právom. Ak je takéto určenie vykonané vnútroštátnym právom, treba overiť, či toto právo určuje prevádzkovateľa alebo stanovuje konkrétne kritériá uplatniteľné na jeho určenie [pozri v tomto zmysle rozsudok z 11. januára 2024, État belge (Údaje spracúvané úradným vestníkom), C‑231/22, EU:C:2024:7, bod 29].

74

Treba tiež spresniť, že vzhľadom na širokú definíciu pojmu „prevádzkovateľ“ v zmysle článku 4 bodu 7 GDPR môže byť určenie účelov a prostriedkov spracúvania a prípadne určenie tohto prevádzkovateľa vnútroštátnym právom nielen explicitné, ale aj implicitné. V poslednom uvedenom prípade sa však vyžaduje, aby toto určenie vyplývalo s dostatočnou istotou z úlohy, poslania a právomocí zverených dotknutej osobe alebo subjektu [rozsudok z 11. januára 2024, État belge (Údaje spracúvané úradným vestníkom), C‑231/22, EU:C:2024:7, bod 30].

75

Okrem toho tento orgán, zodpovedný za vedenie obchodného registra členského štátu, vykonáva zapisovaním a uchovávaním osobných údajov, prijatých v rámci žiadosti o zápis spoločnosti do tohto obchodného registra, ich prípadným poskytnutím tretím osobám na požiadanie a ich zverejnením vo vnútroštátnom vestníku alebo prostredníctvom rovnako účinného prostriedku, spracúvanie osobných údajov, vo vzťahu ku ktorým je „prevádzkovateľom“ v zmysle článku 4 bodov 2 a 7 GDPR (pozri v tomto zmysle rozsudok z 9. marca 2017, Manni, C‑398/15, EU:C:2017:197, bod 35).

76

Toto spracúvanie osobných údajov je totiž odlišné a nasleduje po tom, ako osobné údaje oznámil žiadateľ o tento zápis do obchodného registra a ako tento orgán toto oznámenie prijal. Navyše tento orgán sám uskutočňuje uvedené spracúvanie údajov v súlade s účelmi a postupmi stanovenými smernicou 2017/1132 a právnymi predpismi dotknutého členského štátu, ktorými sa vykonáva táto smernica.

77

V tejto súvislosti treba spresniť, že z odôvodnení 7 a 8 uvedenej smernice vyplýva, že zverejnenie, ktoré stanovuje, má najmä chrániť záujmy tretích osôb vo vzťahu k akciovým spoločnostiam a spoločnostiam s ručením obmedzeným, pretože tieto spoločnosti ručia vo vzťahu k tretím osobám iba majetkom spoločnosti. Na tento účel má toto zverejnenie umožniť tretím osobám oboznámiť sa s podstatnými dokumentmi dotknutej spoločnosti a s niektorými údajmi, ktoré sa jej týkajú, najmä s totožnosťou osôb, ktoré sú oprávnené ju zaväzovať.

78

Okrem toho je účelom tej istej smernice zabezpečiť právnu istotu vo vzťahoch medzi spoločnosťou a tretími osobami v kontexte zintenzívnenia obchodu medzi členskými štátmi v dôsledku vytvorenia spoločného trhu. Z tohto hľadiska je dôležité, aby sa každá osoba, ktorá chce založiť a rozvíjať obchodné vzťahy so spoločnosťami nachádzajúcimi sa v iných členských štátoch, mohla ľahko oboznámiť s podstatnými údajmi týkajúcimi sa zloženia obchodných spoločností a právomocí osôb, ktoré sú oprávnené konať v ich mene, čo si vyžaduje, aby všetky relevantné údaje boli výslovne uvedené v registri (pozri v tomto zmysle rozsudok z 9. marca 2017, Manni, C‑398/15, EU:C:2017:197, bod 50).

79

Ako pritom poznamenala generálna advokátka v bode 39 svojich návrhov, žiadateľ o zápis spoločnosti do obchodného registra členského štátu tým, že odošle orgánu zodpovednému za vedenie tohto registra dokumenty a údaje podliehajúce povinnému zverejneniu upravenému smernicou 2017/1132 a že tak spracúva osobné údaje, ktoré tieto dokumenty obsahujú, nemá nijaký vplyv na určenie účelu a na ďalšie spracúvanie vykonávané týmto orgánom. Okrem toho sleduje odlišné ciele, ktoré sú mu vlastné, a to splnenie formalít potrebných na tento zápis.

80

Ako v prejednávanej veci uviedla generálna advokátka v bodoch 31 a 32 svojich návrhov, z návrhu na začatie prejudiciálneho konania vyplýva, že k sprístupneniu osobných údajov OL verejnosti došlo v rámci výkonu právomocí zverených agentúre ako orgánu zodpovednému za vedenie obchodného registra, pričom účely a prostriedky spracúvania týchto údajov boli určené tak právom Únie, ako aj vnútroštátnou právnou úpravou dotknutou vo veci samej, najmä článkom 13 ods. 9 zákona o registroch. Skutočnosť, že overená kópia dotknutej spoločenskej zmluvy, v ktorej by boli utajené osobné údaje nevyžadované touto právnou úpravou, nebola poskytnutá, čo je v rozpore s procesnými pravidlami stanovenými uvedenou právnou úpravou, nemá vplyv na kvalifikáciu agentúry ako „prevádzkovateľa“ tohto spracúvania.

81

Túto kvalifikáciu nespochybňuje ani skutočnosť, že agentúra podľa tej istej právnej úpravy pred internetovým sprístupnením nekontroluje osobné údaje obsiahnuté v elektronických snímkach alebo origináloch dokumentov, ktoré jej boli odovzdané na účely zápisu spoločnosti. V tejto súvislosti Súdny dvor už rozhodol, že by bolo v rozpore s cieľom článku 4 bodu 7 GDPR uvedeným v bode 72 tohto rozsudku, aby bol z pojmu „prevádzkovateľ“ vylúčený úradný vestník členského štátu z dôvodu, že nevykonáva kontrolu nad osobnými údajmi uvedenými v jeho publikáciách [rozsudok z 11. januára 2024, État belge (Údaje spracúvané úradným vestníkom), C‑231/22, EU:C:2024:7, bod 38].

82

Za týchto okolností sa zdá, že v situácii, o akú ide vo veci samej, je agentúra zodpovedná za spracúvanie osobných údajov OL spočívajúce v internetovom sprístupnení týchto údajov verejnosti, aj keď jej podľa právnej úpravy, o ktorú ide vo veci samej, mala byť poskytnutá kópia dotknutej spoločenskej zmluvy, v ktorej by boli utajené osobné údaje nevyžadované touto právnou úpravou, čo prináleží overiť vnútroštátnemu súdu. Agentúra je preto podľa článku 5 ods. 2 GDPR tiež zodpovedná za dodržiavanie odseku 1 tohto článku.

83

Vzhľadom na vyššie uvedené treba na piatu otázku odpovedať tak, že GDPR, najmä jeho článok 4 body 7 a 9, sa má vykladať v tom zmysle, že orgán zodpovedný za vedenie obchodného registra členského štátu, ktorý v tomto registri uverejňuje osobné údaje obsiahnuté v spoločenskej zmluve podliehajúcej povinnému zverejneniu podľa smernice 2017/1132, ktorá mu bola zaslaná v rámci žiadosti o zápis dotknutej spoločnosti do uvedeného registra, je tak „príjemcom“ týchto údajov, ako aj – vzhľadom na to, že ich sprístupňuje verejnosti – „prevádzkovateľom“ vo vzťahu k uvedeným údajom v zmysle tohto ustanovenia, a to aj pokiaľ táto zmluva obsahuje osobné údaje, ktoré táto smernica alebo právo tohto členského štátu nevyžadujú.

84

Bulharská vláda tvrdí, že štvrtá otázka je neprípustná, keďže otvára hypotetický problém. Podľa tejto vlády sa totiž táto otázka týka zlučiteľnosti vnútroštátnej právnej úpravy týkajúcej sa procesných podmienok výkonu práva uvedeného v článku 17 GDPR, ktorá ešte nebola prijatá, s článkom 16 smernice 2017/1132.

85

Podľa ustálenej judikatúry prejudiciálne konanie upravené v článku 267 ZFEÚ zavádza úzku spoluprácu medzi vnútroštátnymi súdmi a Súdnym dvorom založenú na vzájomnom rozdelení funkcií a predstavuje nástroj, vďaka ktorému Súdny dvor poskytuje vnútroštátnym súdom výkladové prvky práva Únie, ktoré tieto súdy potrebujú na vyriešenie sporov, o ktorých majú rozhodnúť. V rámci tejto spolupráce prináleží iba vnútroštátnemu súdu, ktorý prejednáva spor a ktorý musí niesť zodpovednosť za následné súdne rozhodnutie, aby so zreteľom na osobitosti veci posúdil tak potrebu rozhodnutia v prejudiciálnom konaní pre vyhlásenie svojho rozsudku, ako aj relevantnosť otázok, ktoré kladie Súdnemu dvoru. Ak sa teda položené otázky týkajú výkladu práva Únie, Súdny dvor je v zásade povinný rozhodnúť [rozsudok z 23. novembra 2021, IS (Nezákonnosť uznesenia o podaní návrhu na začatie prejudiciálneho konania), C‑564/19, EU:C:2021:949, body 59 a 60, ako aj citovaná judikatúra].

86

Z uvedeného vyplýva, že na otázky týkajúce sa práva Únie sa vzťahuje prezumpcia relevantnosti. Súdny dvor môže odmietnuť rozhodnúť o prejudiciálnej otázke položenej vnútroštátnym súdom len vtedy, ak je zjavné, že požadovaný výklad práva Únie nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, pokiaľ ide o hypotetický problém, alebo ak Súdny dvor nedisponuje skutkovými ani právnymi okolnosťami potrebnými na poskytnutie užitočnej odpovede na otázky, ktoré mu boli položené [rozsudok z 24. novembra 2020, Openbaar Ministerie (Falšovanie listín), C‑510/19, EU:C:2020:953, bod 26 a citovaná judikatúra].

87

V prejednávanej veci z návrhu na začatie prejudiciálneho konania vyplýva, že vnútroštátny súd má v poslednom stupni rozhodnúť o zákonnosti toho, že agentúra zamietla žiadosť o vymazanie osobných údajov, o ktoré ide vo veci samej, z dôvodu, že v rozpore s procesnými postupmi stanovenými bulharskou právnou úpravou nebola agentúre poskytnutá kópia dotknutej spoločenskej zmluvy, v ktorej by boli utajené osobné údaje nevyžadované touto právnou úpravou. Okrem toho z tejto žiadosti vyplýva, že takéto zamietnutie zodpovedá praxi agentúry. Tento súd napokon spresnil, že odpoveď Súdneho dvora na štvrtú otázku je potrebná na vyriešenie sporu vo veci samej v kontexte nejednotnosti vnútroštátnej judikatúry.

88

Z uvedeného vyplýva, že štvrtá otázka je na rozdiel od tvrdenia bulharskej vlády prípustná.

89

Vzhľadom na informácie poskytnuté v návrhu na začatie prejudiciálneho konania, ako sú uvedené v bode 87 tohto rozsudku, treba konštatovať, že vnútroštátny súd sa svojou štvrtou otázkou v podstate pýta, či sa smernica 2017/1132, najmä jej článok 16, ako aj článok 17 GDPR majú vykladať v tom zmysle, že bránia právnej úprave alebo praxi členského štátu, ktoré vedú orgán zodpovedný za vedenie obchodného registra tohto členského štátu k zamietnutiu akejkoľvek žiadosti o vymazanie osobných údajov, nevyžadovaných touto smernicou alebo právom uvedeného členského štátu, ktoré sú obsiahnuté v spoločenskej zmluve uverejnenej v tomto registri, ak tomuto orgánu nebola v rozpore s procesnými postupmi stanovenými touto právnou úpravou poskytnutá kópia tejto zmluvy utajujúca tieto údaje.

90

V súlade s článkom 17 ods. 1 GDPR má dotknutá osoba právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu tieto osobné údaje vymazať, ak sa uplatňuje niektorý z dôvodov uvedených v tomto ustanovení.

91

O taký prípad ide podľa tohto článku 17 ods. 1 písm. c), ak dotknutá osoba namieta voči spracúvaniu údajov podľa článku 21 ods. 1 tohto nariadenia a „neprevažujú žiadne oprávnené dôvody na spracúvanie“, alebo podľa uvedeného článku 17 ods. 1 písm. d), ak sa predmetné údaje „spracúvali nezákonne“.

92

Z článku 17 ods. 3 písm. b) GDPR tiež vyplýva, že tento článok 17 ods. 1 sa neuplatňuje, pokiaľ je toto spracúvanie potrebné na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

93

V dôsledku toho s cieľom určiť, či v situácii, o akú ide vo veci samej, má dotknutá osoba právo na vymazanie podľa článku 17 GDPR, treba v prvom rade skúmať dôvod alebo dôvody zákonnosti, ktoré môžu vyplynúť zo spracúvania jej osobných údajov.

94

V tejto súvislosti treba pripomenúť, že článok 6 ods. 1 prvý pododsek GDPR stanovuje taxatívny a obmedzujúci zoznam prípadov, v ktorých možno považovať spracúvanie osobných údajov za zákonné. Na to, aby sa spracúvanie mohlo považovať za zákonné, sa naň teda musí vzťahovať jeden z prípadov stanovených v tomto ustanovení [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 99 a citovanú judikatúru].

95

V prípade neexistencie súhlasu dotknutej osoby so spracúvaním jej osobných údajov podľa tohto článku 6 ods. 1 prvého pododseku písm. a) alebo ak tento súhlas nebol daný slobodne, konkrétne, informovane a jednoznačne v zmysle článku 4 bodu 11 GDPR, môže byť takéto spracúvanie napriek tomu odôvodnené, ak spĺňa niektorú z požiadaviek potrebnosti spomenutých v uvedenom článku 6 ods. 1 prvom pododseku písm. b) až f) tohto nariadenia [pozri v tomto zmysle rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 92].

96

V tejto súvislosti sa odôvodnenia uvedené v poslednom uvedenom ustanovení, keďže umožňujú zákonnosť spracúvania osobných údajov vykonávaného bez súhlasu dotknutej osoby, musia vykladať reštriktívne [rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 93 a citovaná judikatúra].

97

Treba tiež spresniť, že v súlade s článkom 5 GDPR je na prevádzkovateľovi, aby preukázal, že tieto údaje sa získavajú najmä na konkrétne určené, výslovne uvedené a legitímne účely, že sú primerané, relevantné a obmedzené na to, čo je potrebné z hľadiska účelu, na ktorý sa spracúvajú, a že sa vo vzťahu k dotknutej osobe spracúvajú zákonným, spravodlivým a transparentným spôsobom [pozri v tomto zmysle rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 95].

98

Hoci určenie, či sú jednotlivé prvky spracúvania, o aké ide vo veci samej, odôvodnené niektorou z požiadaviek uvedených v článku 6 ods. 1 prvom pododseku písm. a) až f) GDPR, prináleží vnútroštátnemu súdu, Súdny dvor mu môže poskytnúť užitočné usmernenia, aby mu umožnil rozhodnúť spor, ktorý prejednáva [pozri v tomto zmysle rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 96].

99

V prejednávanej veci sa v prvom rade, ako uviedla generálna advokátka v bode 43 svojich návrhov, nezdá, že by domnienka súhlasu stanovená v článku 13 ods. 9 zákona o registroch spĺňala podmienky vyžadované v článku 6 ods. 1 prvom pododseku písm. a) GDPR v spojení s článkom 4 bodom 11 tohto nariadenia.

100

Ako totiž vyplýva z odôvodnení 32, 42 a 43 uvedeného nariadenia, súhlas by sa mal udeliť jasným prejavom vôle, napríklad písomným vyhlásením alebo ústnym vyhlásením, pričom by sa nemal považovať za slobodný, ak dotknutá osoba nemá skutočnú slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov. Okrem toho súhlas nemá byť platným právnym základom v konkrétnom prípade, ak medzi postavením dotknutej osoby a postavením prevádzkovateľa existuje jednoznačný nepomer, najmä ak je prevádzkovateľ orgánom verejnej moci.

101

Takú domnienku, akú upravuje článok 13 ods. 9 zákona o registroch, preto nemožno považovať za domnienku preukazujúcu slobodný, konkrétny, informovaný a jednoznačný súhlas so spracúvaním osobných údajov vykonávaným orgánom verejnej moci, akým je agentúra.

102

Dôvody zákonnosti upravené v článku 6 ods. 1 prvom pododseku písm. b) a d) GDPR týkajúce sa, v tomto poradí, potrebného spracúvania osobných údajov a výkonu zmluvy a ochrany životne dôležitých záujmov fyzickej osoby sa nezdajú relevantné vo vzťahu k spracúvaniu osobných údajov, o ktoré ide vo veci samej. To isté platí pre dôvod zákonnosti upravený v tomto článku 6 ods. 1 prvom pododseku písm. f) týkajúci sa spracúvania osobných údajov potrebného na účely oprávnených záujmov sledovaných prevádzkovateľom, keďže zo znenia uvedeného článku 6 ods. 1 druhého pododseku jasne vyplýva, že spracúvanie osobných údajov orgánom verejnej moci pri výkone jeho úloh nemôže patriť do pôsobnosti tohto posledného uvedeného dôvodu [pozri v tomto zmysle rozsudok z 8. decembra 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Účel spracovania osobných údajov – Trestné vyšetrovanie), C‑180/21, EU:C:2022:967, bod 85].

103

Pokiaľ ide napokon o dôvody zákonnosti obsiahnuté v článku 6 ods. 1 prvom pododseku písm. c) a e) GDPR, treba pripomenúť, že podľa tohto článku 6 ods. 1 prvého pododseku písm. c) je spracúvanie osobných údajov zákonné, ak je potrebné na splnenie zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa. Okrem toho je podľa uvedeného článku 6 ods. 1 prvého pododseku písm. e) zákonné aj spracúvanie, ktoré je potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

104

Článok 6 ods. 3 GDPR vo vzťahu k týmto dvom predpokladom zákonnosti okrem iného spresňuje, že základ pre spracúvanie musí byť stanovený v práve Únie alebo v práve členského štátu vzťahujúcom sa na prevádzkovateľa, že tento právny základ musí spĺňať cieľ verejného záujmu a byť primeraný sledovanému oprávnenému cieľu.

105

Pokiaľ ide v prvom rade o otázku, či je spracúvanie, o ktoré ide vo veci samej, potrebné na dodržiavanie zákonnej povinnosti vyplývajúcej z práva Únie alebo z vnútroštátneho práva členského štátu vzťahujúceho sa na prevádzkovateľa v zmysle článku 6 ods. 1 prvého pododseku písm. c) GDPR, treba podobne, ako uviedla generálna advokátka v bodoch 45 a 47 svojich návrhov, konštatovať, že smernica 2017/1132 neukladá systematické spracúvanie všetkých osobných údajov obsiahnutých v akte podliehajúcom povinnému zverejneniu upravenému touto smernicou. Z článku 161 uvedenej smernice naopak vyplýva, že spracúvanie osobných údajov vykonávané v rámci smernice 2017/1132, a najmä akékoľvek zhromažďovanie, uchovávanie, sprístupnenie tretím osobám a uverejnenie informácií podľa tejto smernice musí v plnom rozsahu spĺňať požiadavky vyplývajúce z GDPR.

106

Členským štátom tak prináleží, aby v rámci vykonávania povinností uložených uvedenou smernicou dbali na zosúladenie na jednej strane cieľov právnej istoty a ochrany záujmov tretích osôb, ktoré sleduje tá istá smernica a ktoré sú pripomenuté v bode 77 tohto rozsudku, a na druhej strane práv zakotvených v GDPR a základného práva na ochranu osobných údajov, a to vyrovnaného vyváženia týchto cieľov a týchto práv (pozri v tomto zmysle rozsudok z 1. augusta 2022, Vyriausioji tarnybinės etikos komisija, (C‑184/20, EU:C:2022:601, bod 98).

107

V dôsledku uvedeného nemožno usúdiť, že sprístupnenie osobných údajov nachádzajúcich sa v spoločenskej zmluve doručenej agentúre a podliehajúcej povinnému zverejneniu upravenému smernicou 2017/1132, pričom táto smernica alebo vnútroštátna právna úprava dotknutá vo veci samej tieto osobné údaje nevyžaduje, a to na internete v obchodnom registri, je odôvodnené požiadavkou zabezpečiť zverejnenie aktov uvedených v článku 14 danej smernice v súlade s jej článkom 16, a teda že vyplýva zo zákonnej povinnosti stanovenej právom Únie.

108

Zákonnosť spracúvania dotknutého vo veci samej zrejme nespočíva, s výhradou overenia vnútroštátnym súdom, v zákonnej povinnosti upravenej právom členského štátu, ktorému prevádzkovateľ podlieha, v zmysle článku 6 ods. 1 prvého pododseku písm. c) GDPR, v tomto prípade bulharským právom, keďže na jednej strane zo spisu, ktorý má Súdny dvor k dispozícii, vyplýva, že článok 2 ods. 2 zákona o registroch stanovuje, že dokumenty, ktoré sa majú nachádzať v obchodnom registri, sa verejnosti sprístupnia bez informácií predstavujúcich osobné údaje, „s výnimkou informácií, ktoré sa majú sprístupniť verejnosti na základe zákona“, a na druhej strane článok 13 ods. 9 tohto zákona zavádza domnienku súhlasu, ktorá, ako vyplýva z bodu 99 tohto rozsudku, nespĺňa požiadavky GDPR.

109

Pokiaľ ide v druhom rade o otázku, či je spracúvanie, o ktoré ide vo veci samej, potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi v zmysle článku 6 ods. 1 prvého pododseku písm. e) GDPR, na ktorý odkazujú tak vnútroštátny súd, ako aj bulharská vláda a agentúra, Súdny dvor už rozhodol, že činnosť orgánu verejnej moci spočívajúca v ukladaní údajov, ktoré sú spoločnosti povinné oznamovať na základe zákonnej povinnosti, do databázy, v umožnení záujemcom nahliadnuť do týchto údajov a v poskytovaní výpisov z týchto údajov, patrí do výkonu právomocí verejnej moci a predstavuje úlohu verejného záujmu v zmysle tohto ustanovenia (pozri v tomto zmysle rozsudok z 9. marca 2017, Manni, C‑398/15, EU:C:2017:197, bod 43).

110

Z toho vyplýva, že je pravda, že spracúvanie, o ktoré ide vo veci samej, sa javí ako vykonávané v súvislosti s úlohou realizovanou vo verejnom záujme v zmysle uvedeného ustanovenia. Na splnenie podmienok stanovených týmto ustanovením je však potrebné, aby toto spracúvanie skutočne zodpovedalo sledovaným cieľom všeobecného záujmu bez zachádzania nad rámec toho, čo je potrebné na dosiahnutie týchto cieľov [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 109].

111

Táto požiadavka potrebnosti nie je splnená, ak sledovaný cieľ všeobecného záujmu možno primeraným spôsobom rovnako účinne dosiahnuť inými prostriedkami, ktoré menej zasahujú do základných práv a slobôd dotknutých osôb, najmä práv na rešpektovanie súkromného života a na ochranu osobných údajov zaručených článkami 7 a 8 Charty, pričom výnimky a obmedzenia zo zásady ochrany takýchto údajov sa musia uplatňovať v rámci prísne potrebného [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 110 a citovanú judikatúru].

112

Ako pritom uviedla generálna advokátka v bode 51 svojich návrhov, sprístupnenie osobných údajov verejnosti na internete, ktoré nevyžaduje ani smernica 2017/1132, ani vnútroštátne právo, nemožno samo osebe považovať za potrebné na dosiahnutie cieľov sledovaných touto smernicou.

113

Pokiaľ ide konkrétne o existenciu prostriedkov, ktoré menej zasahujú do základných práv dotknutých osôb, treba uviesť, že vnútroštátna právna úprava, o ktorú ide vo veci samej, stanovuje, že žiadateľ o zápis spoločnosti do obchodného registra je povinný predložiť kópiu aktu tejto spoločnosti zbavenú nevyžadovaných osobných údajov, určenú na zverejnenie v tomto registri a na jej sprístupnenie tretím osobám, ktorá v prejednávanej veci nebola agentúre nikdy poskytnutá, a to ani po žiadosti tejto agentúry. Bulharská vláda a agentúra však potvrdili, že aj po uplynutí primeranej lehoty a že ak dotknutá osoba nemá možnosť získať od dotknutej spoločnosti alebo jej zástupcov takúto kópiu, táto právna úprava nestanovuje, že by agentúra mohla sama vyhotoviť túto kópiu, čo by pritom predstavovalo rovnako účinný prostriedok na dosiahnutie cieľov, ktorými je zabezpečiť zverejnenie aktov spoločností, právnu istotu a ochranu záujmov tretích osôb, pričom by to zároveň menej zasahovalo do práva na ochranu osobných údajov.

114

Treba ešte podobne, ako uviedla generálna advokátka v bode 56 svojich návrhov, konštatovať, že na rozdiel tvrdení viacerých členských štátov v ich pripomienkach pred Súdnym dvorom, požiadavka zachovať integritu a spoľahlivosť aktov spoločností podliehajúcich povinnému zverejneniu stanovená v smernici 2017/1132, ktorá vyžaduje uverejnenie týchto dokumentov tak, ako boli zaslané orgánom zodpovedným za vedenie obchodného registra, nemôže systematicky prevažovať nad týmto právom, pretože inak by sa jeho ochrana stala iluzórnou.

115

Táto požiadavka nemôže najmä ukladať povinnosť zachovať v tomto registri sprístupnenie osobných údajov na internete, ktoré smernica 2017/1132 alebo vnútroštátne právo nevyžadujú, verejnosti, zatiaľ čo, ako vyplýva z bodu 113 tohto rozsudku, agentúra by mohla na účely tohto sprístupnenia sama vyhotoviť kópiu aktu dotknutej spoločnosti stanovenú týmto právom.

116

Z uvedeného vyplýva, že spracúvanie osobných údajov, o ktoré ide vo veci samej, sa v každom prípade javí zachádzajúce nad rámec toho, čo je potrebné na výkon úlohy vo verejnom záujme, ktorá je agentúre zverená na základe uvedenej vnútroštátnej právnej úpravy.

117

V dôsledku toho, ako uviedla generálna advokátka v bode 59 svojich návrhov, s výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu, takéto spracúvanie podľa všetkého nespĺňa ani podmienky zákonnosti upravené v článku 6 ods. 1 prvom pododseku písm. c) a e) v spojení s článkom 6 ods. 3 GDPR.

118

V druhom rade, pokiaľ ide o žiadosť o vymazanie podľa článku 17 GDPR, o ktorú ide vo veci samej, treba uviesť, že za predpokladu, že by vnútroštátny súd na základe svojho posúdenia zákonnosti tohto spracúvania dospel k záveru, že uvedené spracúvanie nie je zákonné, agentúre ako prevádzkovateľovi by prináležalo, ako vyplýva z bodov 82 a 83 tohto rozsudku, podľa jasného znenia článku 17 ods. 1 písm. d) GDPR, vymazať dotknuté údaje bez zbytočného odkladu [pozri v tomto zmysle rozsudok zo 7. decembra 2023, SCHUFA Holding (Odpustenie zostatku dlhu), C‑26/22 a C‑64/22, EU:C:2023:958, bod 108].

119

Ak by tento súd naopak dospel k záveru, že toto spracúvanie skutočne zodpovedá dôvodu zákonnosti upravenému v článku 6 ods. 1 písm. e) GDPR, najmä vzhľadom na to, že sprístupnenie údajov, ktoré smernica 2017/1132 alebo vnútroštátna právna úprava dotknutá vo veci samej nevyžaduje, verejnosti v obchodnom registri na internete bolo potrebné na to, aby sa zabránilo oneskoreniu zápisu dotknutej spoločnosti v záujme ochrany tretích osôb, treba uviesť, že sa uplatní článok 17 ods. 1 písm. c) GDPR.

120

Z posledného uvedeného ustanovenia v spojení s článkom 21 ods. 1 GDPR vyplýva, že dotknutá osoba má právo namietať proti spracúvaniu a právo na vymazanie, pokiaľ neexistujú naliehavé legitímne dôvody, ktoré prevažujú nad záujmami, ako aj právami a slobodami tejto osoby v zmysle tohto článku 21 ods. 1, preukázanie čoho prináleží prevádzkovateľovi [pozri v tomto zmysle rozsudok zo 7. decembra 2023, SCHUFA Holding (Odpustenie zostatku dlhu), C‑26/22 a C‑64/22, EU:C:2023:958, bod 111].

121

V situácii, o akú ide vo veci samej, sa však nezdá, že by existoval naliehavý legitímny dôvod v zmysle tohto ustanovenia, ktorý by mohol brániť takejto žiadosti o vymazanie.

122

Na jednej strane totiž z rozhodnutia vnútroštátneho súdu vyplýva, že spoločnosť, v ktorej je OL spoločníčkou, je už zapísaná v obchodnom registri.

123

Na druhej strane, ako bolo uvedené v bode 115 tohto rozsudku, požiadavka zachovať integritu a spoľahlivosť aktov spoločností podliehajúcich povinnému zverejneniu upravenému smernicou 2017/1132 nemôže ukladať povinnosť, aby sa v tomto registri na internete zachovalo sprístupnenie osobných údajov verejnosti, ktoré smernica 2017/1132 alebo vnútroštátne právo nevyžadujú.

124

Napokon za predpokladu, že vnútroštátny súd dospeje k záveru, že spracúvanie osobných údajov dotknuté vo veci samej skutočne zodpovedá dôvodu zákonnosti upravenému v článku 6 ods. 1 písm. c) GDPR, treba uviesť, že GDPR, a najmä jeho článok 17 ods. 3 písm. b), výslovne zakotvuje požiadavku vyváženia medzi základnými právami na rešpektovanie súkromného života a na ochranu osobných údajov zakotvenými v článkoch 7 a 8 Charty na jednej strane a cieľmi legitímne sledovanými právom Únie alebo právom členských štátov, ktoré sú základom právnej povinnosti, na ktorej dodržiavanie je spracúvanie potrebné, na druhej strane [pozri analogicky rozsudok z 8. decembra 2022, Google (Odstránenie údajne nesprávneho obsahu), C‑460/20, EU:C:2022:962, bod 58 a citovanú judikatúru].

125

Ako už Súdny dvor rozhodol, obmedzenie prístupu k osobným údajom, ktoré podľa práva Únie podliehajú povinnému zverejneniu, len na tretie osoby, ktoré preukážu osobitný záujem, môže byť v jednotlivých prípadoch odôvodnené prevažujúcimi a legitímnymi dôvodmi týkajúcimi sa osobitnej situácie dotknutých osôb (pozri v tomto zmysle rozsudok z 9. marca 2017, Manni, C‑398/15, EU:C:2017:197, bod 60).

126

Ako uviedla generálna advokátka v bode 67 svojich návrhov, musí to a fortiori platiť aj v prípade, keď, ako je to v prejednávanej veci, dotknuté osobné údaje nevyžaduje ani smernica 2017/1132, ani vnútroštátne právo.

127

Vzhľadom na tieto skutočnosti treba na štvrtú otázku odpovedať tak, že smernica 2017/1132, najmä jej článok 16, ako aj článok 17 GDPR sa majú vykladať v tom zmysle, že bránia právnej úprave alebo praxi členského štátu, ktoré vedú orgán zodpovedný za vedenie obchodného registra tohto členského štátu k zamietnutiu akejkoľvek žiadosti o vymazanie osobných údajov, nevyžadovaných touto smernicou alebo právom uvedeného členského štátu, ktoré sú obsiahnuté v spoločenskej zmluve uverejnenej v tomto registri, ak tomuto orgánu nebola v rozpore s procesnými postupmi stanovenými touto právnou úpravou poskytnutá kópia tejto zmluvy utajujúca tieto údaje.

128

Svojou šiestou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 4 bod 1 GDPR vykladať v tom zmysle, že na vlastnoručný podpis fyzickej osoby sa vzťahuje pojem „osobný údaj“ v zmysle tohto ustanovenia.

129

Uvedené ustanovenie stanovuje, že osobnými údajmi sú „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby“ a spresňuje, že „identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby“.

130

V tejto súvislosti už Súdny dvor rozhodol, že použitie výrazu „akékoľvek informácie“ v definícii pojmu „osobné údaje“ uvedenej v tomto ustanovení odráža cieľ normotvorcu Únie priznať tomuto pojmu široký význam, ktorý potenciálne zahŕňa všetky druhy informácií, tak objektívne, ako aj subjektívne vo forme názoru alebo hodnotení pod podmienkou, že sa „týkajú“ dotknutej osoby (rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 23).

131

Informácia sa týka identifikovanej alebo identifikovateľnej fyzickej osoby, ak pre jej obsah, účel alebo účinok súvisí s identifikovateľnou osobou (rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 24).

132

Pokiaľ ide o „identifikovateľnosť“ fyzickej osoby, odôvodnenie 26 GDPR spresňuje, že treba brať do úvahy „všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby“.

133

Z uvedeného vyplýva, že široká definícia pojmu „osobné údaje“ sa nevzťahuje len na údaje, ktoré prevádzkovateľ zhromažďuje a uchováva, ale zahŕňa aj všetky informácie vyplývajúce zo spracúvania osobných údajov, ktoré sa týkajú identifikovanej alebo identifikovateľnej osoby (pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 26).

134

Z judikatúry Súdneho dvora tiež vyplýva, že vlastnoručné písmo fyzickej osoby poskytuje informáciu týkajúcu sa tejto osoby (pozri v tomto zmysle rozsudok z 20. decembra 2017, Nowak, C‑434/16, EU:C:2017:994, bod 37).

135

Je potrebné napokon uviesť, že vlastnoručný podpis fyzickej osoby sa vo všeobecnosti používa na identifikáciu tejto osoby, na priznanie dôkaznej hodnoty dokumentom, ku ktorým je pripojený, pokiaľ ide o ich presnosť a pravdivosť, alebo na prevzatie zodpovednosti za ne. Okrem toho sa zdá, že na dotknutej spoločenskej zmluve je k menám spoločníkov pripojený ich podpis.

136

Vzhľadom na vyššie uvedené treba na šiestu otázku odpovedať tak, že článok 4 bod 1 GDPR sa má vykladať v tom zmysle, že na vlastnoručný podpis fyzickej osoby sa vzťahuje pojem „osobný údaj“ v zmysle tohto ustanovenia.

137

Svojou siedmou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 1 GDPR vykladať v tom zmysle, že strata kontroly dotknutej osoby nad jej osobnými údajmi na obmedzenú dobu z dôvodu sprístupnenia týchto údajov verejnosti na internete v obchodnom registri členského štátu môže postačovať na to, aby spôsobila „nemajetkovú ujmu“, alebo či tento pojem „nemajetkovej ujmy“ vyžaduje preukázanie existencie ďalších hmatateľných negatívnych dôsledkov.

138

Najskôr treba pripomenúť, že toto ustanovenie stanovuje, že „každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia [GDPR], má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa“.

139

V tejto súvislosti, keďže GDPR neodkazuje na právo členských štátov, pokiaľ ide o zmysel a rozsah pojmov obsiahnutých v uvedenom ustanovení, najmä čo sa týka pojmov „majetková alebo nemajetková ujma“ a „náhrada utrpenej škody“, tieto pojmy treba na účely uplatnenia tohto nariadenia považovať za autonómne pojmy práva Únie, ktoré sa majú vykladať jednotne vo všetkých členských štátoch [pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 30].

140

Na tento účel sa má článok 82 ods. 1 GDPR vykladať v tom zmysle, že samotné porušenie tohto nariadenia nestačí na priznanie práva na náhradu škody, keďže existencia majetkovej alebo nemajetkovej „ujmy“ alebo „škody“, ktorá bola „utrpená“, predstavuje jednu z podmienok vzniku práva na náhradu škody stanoveného v tomto článku 82 ods. 1, rovnako ako aj existencia porušenia uvedeného nariadenia a príčinnej súvislosti medzi touto ujmou a týmto porušením, pričom tieto tri podmienky sú kumulatívne [rozsudky zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 32, a z 11. apríla 2024, juris, C‑741/21, EU:C:2024:288, bod 34].

141

Osoba, ktorá žiada o náhradu škody alebo nemajetkovej ujmy na základe tohto ustanovenia, je tak povinná preukázať nielen porušenie ustanovení toho istého nariadenia, ale aj to, že toto porušenie jej spôsobilo takúto škodu alebo takúto ujmu. Takúto škodu alebo takúto ujmu teda nemožno len predpokladať z dôvodu, že došlo k uvedenému porušeniu [pozri v tomto zmysle rozsudky zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 42 a 50, ako aj z 11. apríla 2024, juris, C‑741/21, EU:C:2024:288, bod 35].

142

Konkrétne osoba dotknutá porušením GDPR, ktoré malo pre ňu negatívne dôsledky, je povinná preukázať, že tieto dôsledky predstavujú nemajetkovú ujmu v zmysle článku 82 tohto nariadenia, pretože samotné porušenie ustanovení tohto nariadenia nestačí na priznanie práva na náhradu škody (rozsudok z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 60 a citovaná judikatúra).

143

Ak sa preto osoba, ktorá žiada o náhradu škody na základe tohto článku 82 ods. 1, odvoláva na obavu, že jej osobné údaje môžu byť v budúcnosti zneužité z dôvodu existencie takéhoto porušenia, vnútroštátny súd, ktorý vo veci rozhoduje, musí overiť, či túto obavu možno za predmetných osobitných okolností a vo vzťahu k dotknutej osobe považovať za dôvodnú (rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite, C‑340/21, EU:C:2023:986, bod 85).

144

Súdny dvor pritom rozhodol, že nielen zo znenia uvedeného článku 82 ods. 1 GDPR v spojení s odôvodneniami 85 a 146 tohto nariadenia, ktoré vyzývajú prijať širší význam pojmu „nemajetková ujma“ v zmysle tohto prvého uvedeného ustanovenia, ale tiež z cieľa pozostávajúceho zo zabezpečenia vysokej úrovne ochrany fyzických osôb pri spracúvaní ich osobných údajov, ktorý je sledovaný týmto nariadením, vyplýva, že obava z možného zneužitia osobných údajov tretími stranami, ktorú má dotknutá osoba v dôsledku porušenia tohto nariadenia, môže sama osebe predstavovať „nemajetkovú ujmu“ v zmysle toho istého článku 82 ods. 1 [rozsudok z 20. júna 2024, PS (Nesprávna adresa), C‑590/22, EU:C:2024:536, bod 32 a citovaná judikatúra].

145

Z demonštratívneho zoznamu prípadov „škôd“ alebo „ujmy“, ktoré môžu utrpieť dotknuté osoby, uvedených v odôvodnení 85 prvej vete GDPR konkrétne vyplýva, že normotvorca Únie mal v úmysle zahrnúť pod tieto pojmy „škoda“ a „ujma“, ktoré môžu utrpieť dotknuté osoby, najmä jednoduchú „stratu kontroly“ nad ich vlastnými osobnými údajmi v dôsledku porušenia tohto nariadenia, a to aj v prípade, že nedošlo ku konkrétnemu zneužitiu dotknutých údajov (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite, C‑340/21, EU:C:2023:986, bod 82).

146

Okrem toho výklad článku 82 ods. 1 GDPR, podľa ktorého pojem „nemajetková ujma“ v zmysle tohto ustanovenia nezahŕňa situácie, keď sa dotknutá osoba odvoláva len na svoju obavu, že jej osobné údaje budú v budúcnosti zneužívané tretími stranami, by nebol v súlade so zárukou vysokej úrovne ochrany fyzických osôb pri spracúvaní osobných údajov v rámci Únie, na ktorú sa vzťahuje toto nariadenie (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite, C‑340/21, EU:C:2023:986, bod 83).

147

Rovnako tak tento pojem nemožno obmedziť len na škodu alebo ujmu určitej závažnosti, najmä pokiaľ ide o dĺžku obdobia, počas ktorého dotknuté osoby trpeli negatívne dôsledky porušenia uvedeného nariadenia (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Gemeine Ummendorf, C‑456/22, EU:C:2023:988, body 16 a 19, ako aj citovanú judikatúru).

148

Nemožno teda dospieť k záveru, že k trom podmienkam uvedeným v bode 140 tohto rozsudku by bolo možné pridať aj ďalšie podmienky vzniku zodpovednosti stanovenej v článku 82 ods. 1 GDPR, akými sú hmatateľnosť ujmy alebo objektívna povaha zásahu (rozsudok zo 14. decembra 2023, Gemeine Ummendorf, C‑456/22, EU:C:2023:988, body 17).

149

Toto ustanovenie nevyžaduje ani to, aby v nadväznosti na preukázané porušenie ustanovení tohto nariadenia musela „nemajetková ujma“ uvádzaná dotknutou osobou dosiahnuť „prahovú hodnotu de minimis“ na to, aby mohlo dôjsť k náhrade tejto ujmy (rozsudok zo 14. decembra 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 18).

150

Za týchto podmienok, hoci nič nebráni tomu, aby zverejnenie osobných údajov na internete a následná strata kontroly nad týmito údajmi počas krátkeho časového obdobia mohli spôsobiť dotknutým osobám „nemajetkovú ujmu“ v zmysle článku 82 ods. 1 GDPR, ktorá zakladá právo na náhradu ujmy, je ešte potrebné, aby tieto osoby preukázali, že takúto ujmu, hoci len minimálnu, skutočne utrpeli (pozri v tomto zmysle rozsudky zo 14. decembra 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 22, a z 11. apríla 2024, juris, C‑741/21, EU:C:2024:288, bod 42).

151

Je potrebné napokon spresniť, že v rámci stanovenia výšky náhrady škody prináležiacej na základe práva na náhradu nemajetkovej ujmy nie je nemajetková ujma spôsobená porušením osobných údajov svojou povahou menej významná ako ujma na zdraví (rozsudok z 20. júna 2024, Scalable Capital, C‑182/22 a C‑189/22, EU:C:2024:531, bod 39).

152

Ak sa osobe podarí preukázať, že porušením GDPR jej bola spôsobená ujma alebo škoda v zmysle článku 82 tohto nariadenia, kritériá na posúdenie náhrady škody prináležiacej v rámci žalôb určených na zaručenie ochrany práv, ktoré osobám podliehajúcim súdnej právomoci vyplývajú z tohto článku, musia byť stanovené v právnom poriadku každého členského štátu, pokiaľ je takáto náhrada škody úplná a účinná (pozri v tomto zmysle rozsudok z 20. júna 2024, Scalable Capital, C‑182/22 a C‑189/22, EU:C:2024:531, bod 43).

153

V tejto súvislosti právo na náhradu upravené v článku 82 ods. 1 plní najmä v prípade nemajetkovej ujmy výlučne kompenzačnú funkciu, keďže peňažná náhrada založená na tomto ustanovení musí umožniť v celom rozsahu kompenzovať škodu, ktorá bola konkrétne utrpená v dôsledku porušenia uvedeného nariadenia, a nie odrádzajúcu alebo sankčnú funkciu [pozri v tomto zmysle rozsudky zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 57 a 58, a z 11. apríla 2024, juris, C‑741/21, EU:C:2024:288, bod 61].

154

Vznik zodpovednosti prevádzkovateľa podľa článku 82 GDPR je po prvé podmienený existenciou jeho zavinenia, ktoré sa predpokladá, pokiaľ prevádzkovateľ nepreukáže, že za udalosť, ktorá spôsobila škodu, nenesie žiadnu zodpovednosť, a po druhé tento článok 82 nevyžaduje, aby sa pri stanovení výšky náhrady škody priznanej ako náhrada nemajetkovej ujmy na základe uvedeného článku zohľadnil stupeň závažnosti tohto zavinenia (rozsudky z 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 103, a z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 52).

155

V prejednávanej veci, ako bolo uvedené v bode 42 tohto rozsudku, vnútroštátny súd spresnil, že Administrativen săd Dobrič (Správny súd Dobrič) konštatoval existenciu nemajetkovej ujmy spočívajúcej v negatívnych psychologických a emocionálnych zážitkoch OL, a to v strachu a obavách z prípadného zneužitia, ako aj v bezmocnosti a sklamaní týkajúcich sa nemožnosti chrániť jej osobné údaje. Rozhodol tiež, že táto škoda vyplýva z listu agentúry z 26. januára 2022, ktorý viedol k porušeniu práva na vymazanie zakotveného v článku 17 ods. 1 GDPR, ako aj k nezákonnému spracúvaniu jej osobných údajov obsiahnutých v dotknutej spoločenskej zmluve poskytnutej verejnosti.

156

Vzhľadom na predchádzajúce úvahy treba na siedmu otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že strata kontroly dotknutej osoby nad jej osobnými údajmi na obmedzenú dobu z dôvodu sprístupnenia týchto údajov verejnosti na internete v obchodnom registri členského štátu môže postačovať na to, aby spôsobila „nemajetkovú ujmu“, pokiaľ táto osoba preukáže, že takúto ujmu, hoci len minimálnu, skutočne utrpela, pričom tento pojem „nemajetkovej ujmy“ nevyžaduje preukázanie existencie ďalších hmatateľných negatívnych dôsledkov.

157

Svojou ôsmou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 3 GDPR vykladať v tom zmysle, že stanovisko dozorného orgánu členského štátu vydané na základe článku 58 ods. 3 písm. b) tohto nariadenia postačuje na to, aby bol orgán zodpovedný za vedenie obchodného registra tohto členského štátu, ktorý má postavenie „prevádzkovateľa“ v zmysle článku 4 bodu 7 uvedeného nariadenia, zbavený zodpovednosti podľa článku 82 ods. 2 toho istého nariadenia.

158

V prvom rade, pokiaľ ide o znenie článku 82 GDPR, treba pripomenúť, že tento článok v odseku 1 stanovuje, že každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa. Ako vyplýva z bodu 140 tohto rozsudku, toto právo na náhradu škody podlieha splneniu troch kumulatívnych podmienok.

159

V súlade s článkom 82 ods. 2 prvou vetou uvedeného nariadenia je každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, zodpovedný za škodu spôsobenú spracúvaním, ktoré predstavuje porušenie toho istého nariadenia. Toto ustanovenie spresňujúce režim zodpovednosti, ktorého zásada je stanovená v odseku 1 tohto článku, preberá tri podmienky potrebné na vznik práva na náhradu škody, a to spracúvanie osobných údajov vykonané v rozpore s ustanoveniami GDPR, škoda alebo ujma spôsobená dotknutej osobe, a príčinná súvislosť medzi týmto nezákonným spracúvaním a touto škodou [rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 36].

160

Článok 82 ods. 3 GDPR zas uvádza, že prevádzkovateľ je oslobodený od zodpovednosti podľa tohto odseku 2, ak preukáže, že za udalosť, ktorá spôsobila škodu, nenesie žiadnu zodpovednosť.

161

Ako už Súdny dvor rozhodol, z kombinovanej analýzy odsekov 1 až 3 článku 82 GDPR, z kontextu, do ktorého patrí tento článok, a z cieľov sledovaných normotvorcom Únie prostredníctvom tohto nariadenia vyplýva, že uvedený článok stanovuje režim zodpovednosti za zavinenie, v ktorom dôkazné bremeno nenesie osoba, ktorá utrpela škodu, ale prevádzkovateľ (pozri v tomto zmysle rozsudok z 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 94 a 95).

162

Nebolo by najmä v súlade s cieľom zabezpečiť vysokú úroveň ochrany fyzických osôb vo vzťahu k spracúvaniu ich osobných údajov zvoliť výklad, podľa ktorého by dotknuté osoby, ktorým bola spôsobená škoda v dôsledku porušenia GDPR, museli v rámci žaloby o náhradu škody založenej na článku 82 tohto nariadenia niesť nielen dôkazné bremeno o existencii tohto porušenia a škody, ktorá im z neho vznikla, ale aj o existencii zavinenia prevádzkovateľa, ku ktorému došlo úmyselne alebo z nedbanlivosti, či dokonca o stupni závažnosti tohto zavinenia, hoci tento článok 82 takéto požiadavky nestanovuje (pozri v tomto zmysle rozsudok z 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 99).

163

V súlade s judikatúrou citovanou v bode 154 tohto rozsudku je tak vznik zodpovednosti prevádzkovateľa podľa uvedeného článku 82 podmienený existenciou jeho zavinenia, ktoré sa predpokladá, pokiaľ prevádzkovateľ nepreukáže, že za udalosť, ktorá spôsobila škodu, nenesie žiadnu zodpovednosť.

164

Ako teda vyplýva z výslovného doplnenia zámena „žiadnu“ počas legislatívneho procesu, okolnosti, za ktorých prevádzkovateľ môže tvrdiť, že je zbavený občianskoprávnej zodpovednosti, ktorá mu vzniká na základe článku 82 GDPR, musia byť prísne obmedzené na prípady, keď je tento prevádzkovateľ schopný preukázať, že zodpovednosť za škodu mu nemožno pripísať (rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite, C‑340/21, EU:C:2023:986, bod 70).

165

Súdny dvor tiež rozhodol, že v prípade porušenia osobných údajov treťou osobou, akou je páchateľ počítačovej kriminality alebo osoba konajúca na základe poverenia prevádzkovateľa, môže byť tento prevádzkovateľ zbavený svojej zodpovednosti na základe článku 82 ods. 3 GDPR len tým, že preukáže, že neexistuje žiadna príčinná súvislosť medzi prípadným porušením povinnosti ochrany údajov, ktorú má podľa tohto nariadenia, a škodou spôsobenou dotknutej fyzickej osobe (pozri v tomto zmysle rozsudky zo 14. decembra 2023, Nacionalna agencija za prichodite, C‑340/21, EU:C:2023:986, bod 72, a z 11. apríla 2024, juris, C‑741/21, EU:C:2024:288, bod 51).

166

V dôsledku toho na to, aby mohol byť prevádzkovateľ zbavený svojej zodpovednosti podľa tohto článku 82 ods. 3, nemôže postačovať, aby preukázal, že dal pokyny osobám konajúcim na základe jeho poverenia v zmysle uvedeného nariadenia a že jedna z uvedených osôb si nesplnila svoju povinnosť riadiť sa týmito pokynmi, a tak prispela ku vzniku predmetnej škody (pozri v tomto zmysle rozsudok z 11. apríla 2024, juris, C‑741/21, EU:C:2024:288, bod 52].

167

V druhom rade, pokiaľ ide o pravidlá týkajúce sa dôkazných prostriedkov, treba pripomenúť, že GDPR nestanovuje pravidlá týkajúce sa pripustenia a dôkaznej hodnoty dôkazného prostriedku, ktoré musia uplatniť vnútroštátne súdy rozhodujúce o žalobe o náhradu škody založenej na článku 82 tohto nariadenia. Preto vzhľadom na neexistenciu pravidiel práva Únie v danej oblasti prináleží vnútroštátnemu právnemu poriadku každého členského štátu, aby stanovil podmienky žalôb určených na zabezpečenie ochrany práv, ktoré osobám podliehajúcim súdnej právomoci vyplývajú z tohto článku 82, a najmä pravidlá týkajúce sa dôkazných prostriedkov, a to pod podmienkou dodržania zásad ekvivalencie a efektivity (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite, C‑340/21, EU:C:2023:986, bod 60 a citovanú judikatúru).

168

V treťom rade, pokiaľ ide o stanovisko vydané podľa článku 58 ods. 3 písm. b) GDPR, treba pripomenúť, že tento článok stanovuje právomoci dozorných orgánov.

169

Článok 58 GDPR tak v odseku 1 priznáva týmto orgánom vyšetrovacie právomoci, v odseku 2 nápravné právomoci, v odseku 3 povoľovacie a poradné právomoci, ktoré sú v ňom vymenované, a v odseku 5 právomoc upozorniť justičné orgány na porušenia tohto nariadenia a konať na súde s cieľom presadiť dodržiavanie ustanovení uvedeného nariadenia.

170

Medzi právomocami vymenovanými v článku 58 ods. 3 GDPR sa v tomto článku 58 ods. 3 písm. b) nachádza právomoc „vydávať z vlastnej iniciatívy alebo na požiadanie stanoviská k akýmkoľvek otázkam súvisiacim s ochranou osobných údajov adresované národnému parlamentu, vláde členského štátu alebo v súlade s právom členského štátu iným inštitúciám a orgánom, ako aj verejnosti“.

171

Zo znenia posledného uvedeného ustanovenia, najmä z pojmu „stanovisko“, jasne vyplýva, že vydanie takéhoto stanoviska patrí do poradných právomocí, a nie do povoľovacích právomocí dozorného orgánu.

172

Použitie pojmov „stanovisko“ a „poradné právomoci“ tiež naznačuje, že stanovisko vydané na základe článku 58 ods. 3 písm. b) GDPR nie je podľa práva Únie právne záväzné.

173

Odôvodnenie 143 GDPR tento výklad potvrdzuje. Toto ustanovenie totiž uvádza, že „každá fyzická alebo právnická osoba by mala mať na príslušnom vnútroštátnom súde účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu, ktoré má voči nej právne účinky. Takéto rozhodnutie sa týka najmä výkonu vyšetrovacích, nápravných a povoľovacích právomocí dozorným orgánom alebo nevyhovenia či odmietnutia sťažností. Právo na účinný prostriedok nápravy však nezahŕňa opatrenia dozorných orgánov, ktoré nie sú právne záväzné, ako napríklad stanoviská alebo poradenstvo, ktoré poskytol dozorný orgán“.

174

Keďže stanovisko poskytnuté prevádzkovateľovi nie je právne záväzné, nemôže samo osebe preukázať absenciu pripísateľnosti škody tomuto prevádzkovateľovi v zmysle judikatúry citovanej v bode 164 tohto rozsudku, a teda ani postačovať na to, aby bol uvedený prevádzkovateľ zbavený zodpovednosti podľa článku 82 ods. 3 GDPR.

175

Takýto výklad tohto článku 82 ods. 3 je tiež v súlade s cieľmi sledovanými GDPR, a to zabezpečiť vysokú úroveň ochrany fyzických osôb pri spracúvaní ich osobných údajov a zaručiť účinnú náhradu škody, ktorá im môže vzniknúť v dôsledku spracúvania týchto údajov vykonávaného v rozpore s týmto nariadením. Ak by totiž stačilo, aby sa prevádzkovateľ odvolal na právne nezáväzné stanovisko na to, aby sa vyhol akejkoľvek zodpovednosti a súčasne akejkoľvek povinnosti náhrady škody, tento prevádzkovateľ by nebol motivovaný urobiť všetko, čo je v jeho silách, aby zabezpečil túto vysokú úroveň ochrany a splnenie povinností uložených uvedeným nariadením.

176

Vzhľadom na vyššie uvedené treba na ôsmu otázku odpovedať tak, že článok 82 ods. 3 GDPR sa má vykladať v tom zmysle, že stanovisko dozorného orgánu členského štátu vydané na základe článku 58 ods. 3 písm. b) tohto nariadenia nepostačuje na to, aby bol orgán zodpovedný za vedenie obchodného registra tohto členského štátu, ktorý má postavenie „prevádzkovateľa“ v zmysle článku 4 bodu 7 uvedeného nariadenia, zbavený zodpovednosti podľa článku 82 ods. 2 toho istého nariadenia.

177

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (prvá komora) rozhodol takto: