Vec C‑200/23

Agencija po vpisvanijata

proti

OL

(návrh na začatie prejudiciálneho konania, ktorý podal Vărchoven administrativen săd)

Rozsudok Súdneho dvora (prvá komora) zo 4. októbra 2024

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Uverejnenie spoločenskej zmluvy obsahujúcej osobné údaje v obchodnom registri – Smernica (EÚ) 2017/1132 – Nepovinné osobné údaje – Absencia súhlasu dotknutej osoby – Právo na vymazanie – Nemajetková ujma“

1. Sloboda usadiť sa – Spoločnosti – Smernica 2017/1132 – Povinnosť členského štátu povoliť uverejnenie spoločenskej zmluvy obsahujúcej osobné údaje v obchodnom registri – Uverejnenie údajov nevyžadované vnútroštátnym právom – Absencia povinnosti

   (Smernica Európskeho parlamentu a Rady 2017/1132, článok 21 ods. 2)

   (pozri body 54, 55, 60 a bod 1 výroku)

2. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Pojem prevádzkovateľ – Pojem príjemca údajov – Orgán zodpovedný za obchodný register členského štátu, ktorý zverejňuje osobné údaje obsiahnuté v spoločenskej zmluve – Zahrnutie – Zmluva obsahujúca osobné údaje nevyžadované ani smernicou 2017/1132, ani vnútroštátnym právom – Neexistencia vplyvu

   (Nariadenie Európskeho parlamentu a Rady 2016/679, článok 4 body 7 a 9; smernica Európskeho parlamentu a Rady 2017/1132)

   (pozri body 66, 72 – 76, 83 a bod 2 výroku)

3. Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie 2016/679 – Podmienky zákonnosti spracúvania osobných údajov – Spracúvanie potrebné na splnenie zákonnej povinnosti prevádzkovateľa – Uverejnenie osobných údajov obsiahnutých v spoločenskej zmluve – Osobné údaje nevyžadované ani smernicou 2017/1132, ani vnútroštátnym právom – Vylúčenie – Spracovanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci – Podmienky – Potrebnosť spracúvania

   [Nariadenie Európskeho parlamentu a Rady 2016/679, článok 6 ods. 1 prvý pododsek písm. c) a e); smernica Európskeho parlamentu a Rady 2017/1132]

   (pozri body 94 – 96, 105 – 112, 114 – 116)

4. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Právo na vymazanie – Rozsah – Nezákonné spracúvanie osobných údajov – Zahrnutie – Zákonné spracúvanie osobných údajov – Spracovanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci – Vylúčenie – Výnimka – Existencia legitímnych a naliehavých dôvodov na zaobchádzanie, ktoré prevažujú nad záujmami a právami a slobodami dotknutej osoby – Dôkazné bremeno na ťarchu prevádzkovateľa

   [Nariadenie Európskeho parlamentu a Rady 2016/679, článok 6 ods. 1 písm. e), článok 17 ods. 1 písm. c) a d) a článok 21 ods. 1]

   (pozri body 118 – 120)

5. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Právo na vymazanie – Povinnosť vnútroštátneho orgánu zodpovedného za obchodný register členského štátu zamietnuť žiadosť o vymazanie neutajených údajov – Osobné údaje nevyžadované ani smernicou 2017/1132, ani vnútroštátnym právom – Neprípustnosť

   (Nariadenie Európskeho parlamentu a Rady 2016/679, článok 17; smernica Európskeho parlamentu a Rady 2017/1132, článok 16)

   (pozri body 127 a bod 3 výroku)

6. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Pojem osobné údaje – Vlastnoručný podpis fyzickej osoby – Zahrnutie

   (Nariadenie Európskeho parlamentu a Rady 2016/679, článok 4 ods. 1)

   (pozri body 131, 133 – 136 a bod 4 výroku)

7. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Právo na náhradu škody a zodpovednosť – Právo na náhradu utrpenej škody – Nemajetková ujma – Pojem – Strata kontroly nad osobnými údajmi – Zahrnutie – Podmienky – Dôkazné bremeno týkajúce sa nemajetkovej ujmy, ktoré nesie dotknutá osoba – Povinnosť preukázať existenciu ďalších hmatateľných negatívnych dôsledkov – Absencia

   (Nariadenie Európskeho parlamentu a Rady 2016/679, článok 82 ods. 1)

   (pozri body 140 – 146, 156 a bod 5 výroku)

8. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Právo na náhradu škody a zodpovednosť – Zodpovednosť prevádzkovateľa a povinnosť nahradiť škodu spôsobenú dotknutej osobe – Oslobodenie – Dosah – Vydanie poradného stanoviska dozorného orgánu k otázkam týkajúcim sa ochrany údajov, poskytnutého prevádzkovateľovi – Neuplatnenie oslobodenia zo zodpovednosti vnútroštátneho orgánu v postavení prevádzkovateľa

   [Nariadenie Európskeho parlamentu a Rady 2016/679, článok 4 bod 7, článok 58 ods. 3 písm. b) a článok 82 ods. 1 až 3]

   (pozri body 171, 172, 174, 176 a bod 6 výroku)

Zhrnutie

Na základe návrhu na začatie prejudiciálneho konania, ktorý podal Vărchoven administrativen săd (Najvyšší správny súd, Bulharsko), sa Súdny dvor vyjadril k viacerým otázkam, ktoré sa v podstate týkajú vzťahu medzi ustanoveniami práva Európskej únie v oblasti zverejňovania aktov ( 1 ) spoločností a GDPR ( 2 ).

OL je spoločníčkou spoločnosti „praven Shtit Konsulting“ OOD, spoločnosti s ručením obmedzeným založenej podľa bulharského práva a zapísanej do obchodného registra po predložení spoločenskej zmluvy. Táto zmluva, ktorú zverejnila Agencija po vpisvanijata (registračná agentúra, Bulharsko) (ďalej len „agentúra“), tak, ako bola predložená, obsahuje viacero osobných údajov spoločníkov vrátane ich priezvisk, krstných mien, čísel preukazu totožnosti, adries a podpisov.

V roku 2021 OL požiadala agentúru, aby vymazala jej osobné údaje obsiahnuté v tejto zmluve. Táto agentúra odmietla vyhovieť tejto žiadosti, proti čomu podala OL dve žaloby na Administrativen săd Dobrič (Správny súd Dobrič, Bulharsko). Rozsudkom z 5. mája 2022 tento súd uložil agentúre povinnosť odškodniť OL za nemajetkovú ujmu podľa GDPR ( 3 ). Agentúra vzhľadom na to, že nebola s týmto rozsudkom spokojná, podala kasačný opravný prostriedok na vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania.

Keďže vnútroštátny súd si kládol otázky o súlade, ktorý treba dosiahnuť medzi právnou úpravou týkajúcou sa práva na ochranu osobných údajov a právnou úpravou zaručujúcou zverejnenie a prístup k určitým aktom spoločností, podal na Súdny dvor návrh na začatie prejudiciálneho konania.

Posúdenie Súdnym dvorom

V prvom rade, pokiaľ ide o dosah dobrovoľného zverejnenia údajov, vrátane osobných údajov obsiahnutých v dokumentoch spoločností, Súdny dvor uviedol, že ustanovenie smernice 2017/1132, ktoré sa vzťahuje na dobrovoľné zverejnenie dokumentov a údajov týkajúcich sa spoločnosti, ( 4 ) sa týka len ich prekladov, a neodkazuje na ich obsah. Nemožno ho teda vykladať tak, že ukladá akúkoľvek povinnosť týkajúcu sa zverejnenia údajov, ktorých zverejnenie nevyžadujú ani iné ustanovenia práva Únie, ani právo dotknutého členského štátu, ale ktoré sa nachádzajú v dokumente podliehajúcom povinnému zverejneniu podľa uvedenej smernice. ( 5 ) Toto ustanovenie teda neukladá členskému štátu povinnosť povoliť, aby sa v obchodnom registri zverejnila spoločenská zmluva podliehajúca povinnému zverejneniu stanovenému touto smernicou a obsahujúca iné osobné údaje, než sú minimálne vyžadované osobné údaje, ktorých zverejnenie právo tohto členského štátu nevyžaduje.

V druhom rade Súdny dvor poznamenal, že orgán zodpovedný za vedenie obchodného registra členského štátu, ktorý v tomto registri uverejňuje osobné údaje obsiahnuté v spoločenskej zmluve podliehajúcej povinnému zverejneniu podľa smernice 2017/1132 a zaslanej v rámci žiadosti o zápis dotknutej spoločnosti do tohto registra, je tak „príjemcom“ týchto údajov, ako aj – vzhľadom na to, že ich sprístupňuje verejnosti – „prevádzkovateľom“ vo vzťahu k uvedeným údajom ( 6 ) v zmysle tohto ustanovenia, a to aj pokiaľ táto zmluva obsahuje osobné údaje, ktoré táto smernica alebo právo tohto členského štátu nevyžadujú.

V tejto súvislosti Súdny dvor poukazuje na to, že podľa smernice 2017/1132 prináleží členským štátom okrem iného určiť, ktoré kategórie informácií týkajúcich sa totožnosti osôb prepojených so spoločnosťami, a najmä aké typy osobných údajov podliehajú povinnému zverejneniu pri dodržaní práva Únie.

Súdny dvor tiež poznamenal, že orgán, zodpovedný za vedenie obchodného registra členského štátu vykonáva zapisovaním a uchovávaním osobných údajov, prijatých v rámci žiadosti o zápis spoločnosti do tohto obchodného registra, ich prípadným poskytnutím tretím osobám na požiadanie a ich zverejnením vo vnútroštátnom vestníku alebo prostredníctvom rovnako účinného prostriedku, spracúvanie osobných údajov, vo vzťahu ku ktorým je „prevádzkovateľom“. Toto spracúvanie osobných údajov je totiž odlišné a nasleduje po tom, ako osobné údaje oznámil žiadateľ o tento zápis do obchodného registra a ako tento orgán toto oznámenie prijal. Navyše tento orgán sám uskutočňuje uvedené spracúvanie údajov v súlade s účelmi a postupmi stanovenými smernicou 2017/1132 a právnymi predpismi dotknutého členského štátu, ktorými sa vykonáva táto smernica.

V treťom rade, pokiaľ ide o prípadné právo dotknutej osoby na vymazanie, ( 7 ) Súdny dvor najprv skúmal dôvody zákonnosti, ktoré môžu vyplynúť zo spracúvania jej osobných údajov.

Na jednej strane, pokiaľ ide o otázku, či je toto spracúvanie potrebné na dodržiavanie zákonnej povinnosti vyplývajúcej z práva Únie alebo z práva členského štátu vzťahujúceho sa na prevádzkovateľa, ( 8 ) Súdny dvor uviedol, že smernica 2017/1132 neukladá systematické spracúvanie všetkých osobných údajov obsiahnutých v akte podliehajúcom povinnému zverejneniu upravenému touto smernicou. Naopak, akékoľvek spracúvanie osobných údajov vykonávané v rámci tejto smernice musí v plnom rozsahu spĺňať požiadavky vyplývajúce z GDPR. Členským štátom tak prináleží, aby dbali na zosúladenie cieľov právnej istoty a ochrany záujmov tretích osôb, sledovaných smernicou 2017/1132, a práv zakotvených v GDPR.

V dôsledku uvedeného nemožno usúdiť, že sprístupnenie osobných údajov nachádzajúcich sa v spoločenskej zmluve doručenej agentúre a podliehajúcej povinnému zverejneniu upravenému smernicou 2017/1132, pričom táto smernica alebo vnútroštátna právna úprava dotknutá vo veci samej tieto osobné údaje nevyžaduje, a to na internete v obchodnom registri, je odôvodnené požiadavkou zabezpečiť zverejnenie aktov uvedených v danej smernici, a teda že vyplýva zo zákonnej povinnosti stanovenej právom Únie. Okrem toho zákonnosť spracúvania dotknutého vo veci samej zrejme nespočíva, s výhradou overenia vnútroštátnym súdom, ani v zákonnej povinnosti upravenej vnútroštátnym právom.

Na druhej strane, pokiaľ ide o potrebu dotknutého spracúvania na splnenie úlohy realizovanej vo verejnom záujme, ( 9 ) Súdny dvor poukázal na to, že toto spracúvanie sa javí ako vykonávané v súvislosti s takouto úlohou. Zdá sa však, že zachádza nad rámec toho, čo je potrebné na dosiahnutie sledovaných cieľov všeobecného záujmu.

V tejto súvislosti Súdny dvor uviedol, že požiadavka zachovať integritu a spoľahlivosť aktov spoločností podliehajúcich povinnému zverejneniu upravenému smernicou 2017/1132, ktorá vyžaduje uverejnenie týchto dokumentov tak, ako boli zaslané orgánom zodpovedným za vedenie obchodného registra, nemôže systematicky prevažovať nad právom na ochranu osobných údajov, pretože inak by sa jeho ochrana stala iluzórnou. Táto požiadavka nemôže najmä ukladať povinnosť zachovať v tomto registri sprístupnenie osobných údajov na internete, ktoré táto smernica alebo vnútroštátne právo nevyžadujú, verejnosti, zatiaľ čo agentúra by mohla na účely tohto sprístupnenia sama vyhotoviť kópiu aktu dotknutej spoločnosti zbavenú nevyžadovaných osobných údajov, stanovenú týmto právom.

Súdny dvor následne zdôraznil, že za predpokladu, že by vnútroštátny súd na základe svojho posúdenia dospel k záveru, že uvedené spracúvanie nie je zákonné, agentúre ako prevádzkovateľovi by prináležalo vymazať dotknuté údaje bez zbytočného odkladu.

Ak by však tento súd dospel k záveru, že toto spracovanie je skutočne potrebné na splnenie úlohy realizovanej vo verejnom záujme, najmä vzhľadom na to, že sprístupnenie údajov, ktoré smernica 2017/1132 alebo vnútroštátna právna úprava nevyžadujú, verejnosti v obchodnom registri na internete bolo potrebné na to, aby sa zabránilo oneskoreniu zápisu dotknutej spoločnosti v záujme ochrany tretích osôb, bolo by potrebné skúmať existenciu naliehavých legitímnych dôvodov, ktoré by mohli prevážiť nad záujmami, právami a slobodami dotknutej osoby a brániť žiadosti o vymazanie. ( 10 )

Súdny dvor tak konštatuje, že smernica 2017/1132 a GDPR sa majú vykladať v tom zmysle, že bránia právnej úprave alebo praxi členského štátu, ktoré vedú orgán zodpovedný za vedenie obchodného registra tohto členského štátu k zamietnutiu akejkoľvek žiadosti o vymazanie osobných údajov, nevyžadovaných touto smernicou alebo právom uvedeného členského štátu, ktoré sú obsiahnuté v spoločenskej zmluve uverejnenej v tomto registri, ak tomuto orgánu nebola v rozpore s procesnými postupmi stanovenými touto právnou úpravou poskytnutá kópia tejto zmluvy utajujúca tieto údaje.

V poslednom rade, pokiaľ ide o režim zodpovednosti podľa GDPR, a konkrétnejšie o vplyv stanoviska dozorného orgánu členského štátu v tomto rámci, Súdny dvor zdôraznil, že podľa GDPR ( 11 ) vydanie takéhoto stanoviska patrí do poradných právomocí, a nie do povoľovacích právomocí dozorného orgánu. Použité pojmy navyše naznačujú, že toto stanovisko nie je podľa práva Únie právne záväzné. Dotknuté stanovisko tak samo osebe nemôže preukázať absenciu pripísateľnosti škody prevádzkovateľovi, a teda ani stačiť na to, aby bol zbavená zodpovednosti podľa GDPR. V dôsledku toho takéto stanovisko nepostačuje na to, aby bol orgán zodpovedný za vedenie obchodného registra členského štátu, ktorý má postavenie prevádzkovateľa, zbavený zodpovednosti.

( 1 ) Smernica Európskeho parlamentu a Rady (EÚ) 2017/1132 zo 14. júna 2017 týkajúca sa niektorých aspektov práva obchodných spoločností (Ú. v. EÚ L 169, 2017, s. 46).

( 2 ) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1; ďalej len „GDPR“).

( 3 ) Podľa článku 82 GDPR.

( 4 ) Článok 21 ods. 2 smernice 2017/1132.

( 5 ) Podľa článku 14 smernice 2017/1132.

( 6 ) V zmysle článku 4 bodu 7 a článku 4 bodu 9 GDPR, v tomto poradí.

( 7 ) Podľa článku 17 GDPR.

( 8 ) Dôvod zákonnosti upravený v článku 6 ods. 1 prvom pododseku písm. e) GDPR.

( 9 ) Dôvod zákonnosti upravený v článku 6 ods. 1 prvom pododseku písm. e) nariadenia GDPR.

( 10 ) Podľa článku 17 ods. 1 písm. c) v spojení s článkom 21 ods. 1 GDPR.

( 11 ) Článok 58 ods. 3 písm. b) GDPR.