–

za Agentsia po vpisvaniyata I. D. Ivanov in D. S. Miteva, skupaj z Z. N. Mandazhievo, advokat,

–

za OL ona sama, skupaj z I. Stoynevom in T. Tsonevom, advokati,

–

za bolgarsko vlado T. Mitova in R. Stoyanov, agenta,

–

za nemško vlado J. Möller in P.-L. Krüger, agenta,

–

za Irsko M. Browne, Chief State Solicitor, A. Joyce, M. Lane in M. Tierney, agenti, skupaj z I. Boyleom Harperjem, BL,

–

za italijansko vlado G. Palmieri, agentka, skupaj z G. Natale, avvocato dello Stato,

–

za poljsko vlado B. Majczyna, agent,

–

za finsko vlado A. Laine, agentka,

–

za Evropsko komisijo A. Bouchagiar, C. Georgieva, H. Kranenborg in L. Malferrari, agenti,

1

Predlog za sprejetje predhodne odločbe se nanaša na razlago členov 3 in 4 Direktive 2009/101/ES Evropskega parlamenta in Sveta z dne 16. septembra 2009 o uskladitvi zaščitnih ukrepov za varovanje interesov družbenikov in tretjih oseb, ki jih države članice zahtevajo od gospodarskih družb v skladu z drugim pododstavkom člena 48 [ES], zato da se oblikujejo zaščitni ukrepi z enakim učinkom v vsej Skupnosti (UL 2009, L 258, str. 11), ter členov 4, 6, 17, 58 in 82 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2, v nadaljevanju: SUVP).

2

Ta predlog je bil vložen v okviru spora med Agentsia po vpisvaniyata (agencija za vpise v registre, Bolgarija, v nadaljevanju: agencija) in OL, ker je ta agencija zavrnila izbris nekaterih osebnih podatkov, ki se nanašajo na OL in so navedeni v družbeni pogodbi, objavljeni v poslovnem registru.

3

Direktiva (EU) 2017/1132 Evropskega parlamenta in Sveta z dne 14. junija 2017 o določenih vidikih prava družb (UL 2017, L 169, str. 46) je razveljavila in nadomestila Direktivo 2009/101 z začetkom njene veljavnosti 20. julija 2017.

4

V uvodnih izjavah 1, 7, 8 in 12 Direktive 2017/1132 je navedeno:

[…]

[…]

5

Člen 4 Direktive 2017/1132, naslovljen „Obvezne informacije, ki jih je treba zagotoviti v statutih ali ustanovitvenih aktih ali ločenih dokumentih“, ki je v oddelku 1, naslovljenem „Ustanovitev delniške družbe“, poglavja II naslova I te direktive, določa:

„V statutu ali ustanovitvenem aktu ali ločenem dokumentu, ki je objavljen v skladu s postopkom, predpisanim v zakonodaji vsake države članice v skladu s členom 16, se navedejo najmanj naslednje informacije:

[…]

[…].“

6

Oddelek 1, naslovljen „Splošne določbe“, poglavja III naslova I navedene direktive, vsebuje člene od 13 do 28.

7

Člen 13 te direktive, naslovljen „Področje uporabe“, določa:

„Usklajevalni ukrepi, predpisani v tem oddelku, se uporabljajo za zakone in druge predpise držav članic v zvezi z oblikami družb, navedenimi v Prilogi II.“

8

Člen 14 Direktive 2017/1132, naslovljen „Dokumenti in podatki, ki jih morajo razkriti družbe“, določa:

„Države članice sprejmejo potrebne ukrepe za zagotovitev obveznosti družb, da razkrijejo najmanj naslednje dokumente in podatke:

[…].“

9

Člen 15(1) te direktive, naslovljen „Spremembe dokumentov in podatkov“, določa:

„Države članice sprejmejo potrebne ukrepe, s katerimi zagotovijo, da se vse spremembe dokumentov in podatkov iz člena 14 vnesejo v pristojni register iz prvega pododstavka člena 16(1) in se v skladu s členom 16(3) in (5) običajno razkrijejo v 21 dneh od prejema popolne dokumentacije v zvezi s temi spremembami, kar po potrebi vključuje tudi pregled zakonitosti, kakor to zahteva nacionalno pravo v zvezi z vpisom v spis.“

10

Člen 16 navedene direktive, naslovljen „Razkritje v registru“, določa:

„1.   V vsaki državi članici se v centralnem ali trgovinskem registru ali v registru družb (v nadaljnjem besedilu: register) odpre spis za vsako registrirano družbo.

[…]

3.   Vsi dokumenti in podatki, ki se morajo razkriti v skladu s členom 14, se shranijo v spisu ali vpišejo v register; vsebina vpisa v register mora biti v vsakem primeru razvidna iz spisa.

Države članice zagotovijo vpis vseh dokumentov in podatkov, ki se morajo razkriti v skladu s členom 14, za družbe ter druge osebe in organe, ki so zavezani k uradnim prijavam ali pri tem pomagajo, možen v elektronski obliki. Poleg tega lahko države članice zahtevajo, da vse ali nekatere kategorije družb vse ali nekatere vrste takih dokumentov in podatkov vpišejo v elektronski obliki.

Vsi dokumenti in podatki iz člena 14, ki so vpisani v papirni ali elektronski obliki, se hranijo v spisu ali vpišejo v register v elektronski obliki. V ta namen države članice zagotovijo, da vse take dokumente in podatke, ki so vpisani v papirni obliki, register pretvori v elektronsko obliko.

[…]

4.   Prepis celote ali katerega koli dela dokumentov ali podatkov iz člena 14 je dostopen na zahtevo. Zahteve se lahko registru predložijo v papirni ali elektronski obliki, kakor izbere vlagatelj.

[…]

5.   Razkritje dokumentov in podatkov iz odstavka 3 se opravi z objavo v uradnem listu, ki ga za ta namen določi država članica, v celotnem besedilu ali njegovem delu ali z navedbo napotila na dokument, ki je shranjen v spisu ali vpisan v register. Uradni list, določen v ta namen, lahko izhaja v elektronski obliki.

Države članice se lahko odločijo, da objave v uradnem listu nadomestijo z enako učinkovitim načinom objave, ki vključuje vsaj uporabo sistema, s katerim je mogoč dostop do razkritih informacij v kronološkem zaporedju prek osrednje elektronske platforme.

6.   Družba se lahko sklicuje na dokumente in podatke proti tretjim stranem šele potem, ko so razkriti v skladu z odstavkom 5, razen če družba dokaže, da so bile tretje strani z njimi seznanjene.

[…]

7.   Države članice sprejmejo potrebne ukrepe, da preprečijo neskladje med tem, kar je razkrito v skladu z odstavkom 5, in tem, kar je vneseno v register ali spis.

Vendar ob morebitnem neskladju razkritje besedila v skladu z odstavkom 5 ne sme biti podlaga za sklicevanje proti tretjim stranem; te tretje strani se lahko kljub temu sklicujejo nanjo, razen če družba dokaže, da so poznale besedila, shranjena v spisu ali vpisana v register.

[…]“

11

Člen 21 Direktive 2017/1132, naslovljen „Jezik razkritja in prevod dokumentov in podatkov, ki se razkrijejo“, določa:

„1.   Dokumenti in podatki, ki se razkrijejo na podlagi člena 14, so sestavljeni in vpisani v enem od jezikov, ki jih dopuščajo jezikovni predpisi v državi članici, v kateri se odpre spis iz člena 16(1).

2.   Poleg obveznega razkritja iz člena 16 države članice dovolijo, da se prevodi dokumentov in podatkov iz člena 14 prostovoljno razkrijejo v skladu s členom 16 v katerem koli uradnem jeziku Evropske [u]nije].

Države članice lahko predpišejo, da mora biti prevod takih dokumentov in podatkov overjen.

Države članice sprejmejo ustrezne ukrepe, s katerimi tretjim stranem olajšajo dostop do prostovoljno razkritih prevodov.

3.   Poleg obveznega razkritja iz člena 16 in prostovoljnega razkritja iz odstavka 2 tega člena lahko države članice dovolijo, da se dokumenti in podatki v skladu s členom 16 razkrijejo v katerem koli drugem jeziku oziroma jezikih.

[…]

4.   V primeru neskladja med dokumenti in podatki, razkritimi v uradnih jezikih registra, in prostovoljno razkritim prevodom se na slednjega ni mogoče sklicevati proti tretjim stranem. […]“

12

Člen 161 te direktive, naslovljen „Varstvo podatkov“, določa:

„Za obdelavo osebnih podatkov, ki se izvaja v okviru te direktive, se uporablja Direktiva 95/46/ES [Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355)].“

13

Člen 166 navedene direktive, naslovljen „Razveljavitev“, določa:

„Direktiv[i] [2009/101 in 2012/30] se razveljavi[ta] […].

Sklicevanja na razveljavljen[i] direktiv[i] se štejejo kot sklicevanja na to direktivo in se berejo v skladu s korelacijsko tabelo iz Priloge IV.“

14

V Prilogi II k Direktivi 2017/1132 so naštete oblike družb iz členov 7(1), 13, 29(1), 36(1), 67(1) in 119(1)(a) te direktive, vključno z OOD za Bolgarijo.

15

V skladu s korelacijsko tabelo iz Priloge IV k Direktivi 2017/1132 členi 2, 2a, 3, 4 in 7a Direktive 2009/101 ustrezajo členom 14, 15, 16, 21 in 161 Direktive 2017/1132. Po drugi strani člen 3 Direktive 2012/30 ustreza členu 4 Direktive 2017/1132.

16

Direktiva 2017/1132 je bila spremenjena med drugim z Direktivo (EU) 2019/1151 Evropskega parlamenta in Sveta z dne 20. junija 2019 o spremembi Direktive (EU) 2017/1132 glede uporabe digitalnih orodij in postopkov na področju prava družb (UL 2019, L 186, str. 80), ki je začela veljati 31. julija 2019 in ki v členu 1, naslovljenem „Spremembe Direktive [2017/1132]“, določa:

„Direktiva [2017/1132] se spremeni:

[…]

(6) člen 16 se nadomesti z naslednjim:

‚Člen 16

Razkritje v registru

1.   V vsaki državi članici se v centralnem ali trgovinskem registru ali v registru družb (v nadaljnjem besedilu: register) odpre spis za vsako družbo registrirano v zadevnem registru.

[…]

2.   Vsi dokumenti in informacije, ki se morajo razkriti na podlagi člena 14, se shranijo v spisu iz odstavka 1 tega člena ali se neposredno vnesejo v register, vsebina vnosa v register pa mora biti zabeležena v spisu.

Vsi dokumenti in informacije iz člena 14, ne glede na to, s katerimi sredstvi so vpisani, se hranijo v spisu v registru ali se neposredno vnesejo vanj v elektronski obliki. Države članice zagotovijo, da vse dokumente in informacije, ki so vpisani v papirni obliki, register čim prej pretvori v elektronsko obliko.

[…]

3.   Države članice zagotovijo razkritje dokumentov in informacij iz člena 14, tako da so javno dostopni v registru. Poleg tega lahko države članice zahtevajo tudi objavo nekaterih ali vseh teh dokumentov in informacij v nacionalnem uradnem listu, določenem v ta namen, ali z enako učinkovitim načinom objave. […]

4.   Države članice sprejmejo potrebne ukrepe, da preprečijo neskladje med tem, kar je v registru in v spisu.

Države članice, ki zahtevajo objavo dokumentov in informacij v nacionalnem uradnem listu ali na osrednji elektronski platformi, sprejmejo potrebne ukrepe, da preprečijo neskladje med tem, kar je razkrito v skladu z odstavkom 3, in tem, kar je objavljeno v uradnem listu ali na platformi.

V primeru neskladij na podlagi tega člena prevladajo dokumenti in informacije, ki so na voljo v registru.

5.   Družba se lahko sklicuje na dokumente in informacije iz člena 14 proti tretjim stranem šele potem, ko so razkriti v skladu z odstavkom 3 tega člena, razen če dokaže, da so bile tretje strani z njimi seznanjene.

[…]

6.   Države članice zagotovijo, da se vsi dokumenti in informacije, predloženi v okviru ustanovitve družbe, registracije podružnice ali vpisa dokumentov in informacij družbe ali podružnice, hranijo v registrih v strojno berljivi obliki, ki omogoča iskanje, ali kot strukturirani podatki.‘

(7) vstavi se naslednji člen:

‚Člen 16a

Dostop do razkritih informacij

1.   Države članice zagotovijo, da je iz registra na zahtevo možno pridobiti prepis celote ali katerega koli dela dokumentov in informacij iz člena 14 […]

[…]‘

(19) člen 161 se nadomesti z naslednjim:

‚Člen 161

Varstvo podatkov

Za obdelavo osebnih podatkov, ki se izvaja v okviru te direktive, se uporablja [SUVP].‘“

17

Člen 2 Direktive 2019/1151, naslovljen „Prenos“, določa:

„1.   Države članice sprejmejo zakone in druge predpise, potrebne za uskladitev s to direktivo, do 1. avgusta 2021. […]

2.   Ne glede na odstavek 1 tega člena države članice sprejmejo zakone in druge predpise, potrebne za uskladitev s […] točko 6 člena 1 te direktive, kar se tiče člena 16(6) Direktive [2017/1132], do 1. avgusta 2023.

3.   Z odstopanjem od odstavka 1 so države članice, ki se pri prenosu te direktive soočajo s posebnimi težavami, upravičene do podaljšanja obdobja iz odstavka 1 do največ enega leta. […]

[…]“

18

V uvodnih izjavah 26, 32, 40, 42, 43, 50, 85, 143 in 146 SUVP je navedeno:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

19

Člen 4 SUVP, naslovljen „Opredelitev pojmov“, določa:

„V tej uredbi:

[…]

[…]

[…]

[…].“

20

Člen 5 SUVP, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:

„1.   Osebni podatki so:

[…]

[…]

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (‚odgovornost‘).“

21

Člen 6 SUVP, naslovljen „Zakonitost obdelave“, določa:

„1.   Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

[…]

[…]

[…]

3.   Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:

Namen obdelave se določi v navedeni pravni podlagi ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz te uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot tiste za druge posebne primere obdelave iz poglavja IX. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.

[…]“

22

Člen 17 SUVP, naslovljen „Pravica do izbrisa (‚pravica do pozabe‘)“, določa:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

[…]

3.   Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:

[…]

[…].“

23

Člen 21(1) Splošne uredbe o varstvu podatkov določa:

„Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1), vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.“

24

Člen 58 SUVP določa:

„1.   Vsak nadzorni organ ima vsa naslednja preiskovalna pooblastila:

[…]

2.   Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:

[…]

3.   Vsak nadzorni organ ima vsa naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:

[…]

[…]

4.   Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in pravu države članice v skladu z [Listino Evropske unije o temeljnih pravicah (v nadaljevanju: Listina)].

5.   Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.

6.   Vsaka država članica z zakonom določi, da ima njen nadzorni organ poleg pooblastil iz odstavkov 1, 2 in 3 še dodatna pooblastila. Izvajanje teh pooblastil ne vpliva na učinkovitost izvajanja poglavja VII.“

25

Člen 82 SUVP, naslovljen „Pravica do odškodnine in odgovornost“, določa:

„1.   Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

2.   Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. Obdelovalec je odgovoren za škodo, ki jo povzroči obdelava le, kadar ne izpolnjuje obveznosti iz te uredbe, ki so posebej naslovljene na obdelovalce, ali kadar je prekoračil zakonita navodila upravljavca ali ravnal v nasprotju z njimi.

3.   Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.

[…]“

26

Člen 94 SUVP določa:

„1.   Direktiva [95/46] se razveljavi z učinkom od 25. maja 2018.

2.   Sklicevanja na razveljavljeno direktivo se štejejo kot sklicevanja na to uredbo. […]“

27

Člen 2 Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (zakon o poslovnem registru in registru nepridobitnih pravnih oseb) (DV št. 34 z dne 25. aprila 2006) v različici, ki se uporablja za spor o glavni stvari (v nadaljevanju: zakon o registrih), določa:

„(1)   Poslovni register in register nepridobitnih pravnih oseb pomenita skupno elektronsko podatkovno zbirko, ki vsebuje okoliščine, vpisane v skladu z zakonom, in akte, za katere je zakonsko predpisano, da se dajo na voljo javnosti, nanašata pa se na poslovne subjekte in podružnice tujih poslovnih subjektov ter na nepridobitne pravne osebe in podružnice tujih nepridobitnih pravnih oseb.

(2)   Okoliščine in akti iz odstavka 1 se dajo na voljo javnosti brez informacij, ki so osebni podatki v smislu člena 4, točka 1, [SUVP], z izjemo informacij, za katere je zakonsko predpisano, da se dajo na voljo javnosti.“

28

Člen 3 tega zakona določa:

„Poslovni register in register nepridobitnih pravnih oseb vodi [agencija], podrejena Ministar na pravosadieto [minister za pravosodje, Bolgarija].“

29

Člen 6(1) navedenega zakona določa:

„Vsak poslovni subjekt ali vsaka nepridobitna pravna oseba mora zaprositi za vpis v poslovni register oziroma v register nepridobitnih pravnih oseb, tako da prijavi okoliščine, katerih vpis se zahteva, in predloži akte, ki jih je treba dati na voljo javnosti.“

30

Člen 11 tega zakona določa:

„(1)   Poslovni register in register nepridobitnih pravnih oseb sta javna. Kdor koli lahko prosto in brezplačno dostopa do podatkovne zbirke, ki sestavlja registra.

(2)   [Agencija] zagotavlja registriran dostop do spisa poslovnega subjekta ali nepridobitne pravne osebe.“

31

Člen 13(1), (2), (6) in (9) zakona o registrih določa:

„(1)   Vpis, izbris in objava se opravijo na podlagi obrazca za zahtevek.

(2)   Zahtevek vsebuje:

1. kontaktne podatke vlagatelja;

[…]

3. okoliščino, ki jo je treba vpisati, vpis, katerega izbris se zahteva, ali akt, ki ga je treba objaviti;

[…]

(6)   [Z]ahtevku se priložijo dokumenti ali, odvisno od primera, akt, ki ga je treba objaviti v skladu z zakonskimi zahtevami. Dokumenti se predložijo v obliki izvirnika, kopije, ki jo overi vlagatelj, ali notarsko overjene kopije. Vlagatelj predloži tudi overjene kopije aktov, ki jih je treba objaviti v poslovnem registru, v katerih se osebni podatki, ki jih zakon ne zahteva, prikrijejo.

[…]

(9)   Če zahtevek ali dokumenti, ki so mu priloženi, vsebujejo osebne podatke, ki jih zakon ne zahteva, se šteje, da so osebe, ki so jih predložile, privolile v to, da jih [agencija] obdeluje in da se objavijo.

[…]“

32

Člen 101, točka 3, Targovski zakon (trgovinski zakon) (DV št. 48 z dne 18. junija 1991) v različici, ki se uporablja za spor o glavni stvari (v nadaljevanju: trgovinski zakon), določa, da mora družbena pogodba vsebovati „ime, naziv družbe in enotno identifikacijsko številko družbenikov“.

33

Člen 119 trgovinskega zakona določa:

„(1)   Za vpis družbe v sodni register je treba:

1. predložiti družbeno pogodbo, ki se objavi;

[…]

(2)   Podatki iz točke 1 […] se vpišejo v register […]

[…]

(4)   Za spremembo ali dopolnitev družbene pogodbe v poslovnem registru se za objavo predloži kopija navedene pogodbe, ki vsebuje vse spremembe in vsa dopolnila ter jo overi organ, ki zastopa družbo.“

34

Člen 6 Naredba no 1 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel (uredba št. 1 z dne 14. februarja 2007 o vodenju, hrambi in dostopu do poslovnega registra in registra nepridobitnih pravnih oseb) (DV št. 18 z dne 27. februarja 2007), ki jo je sprejel Ministar na pravosadieto (minister za pravosodje), v različici, ki se uporablja za spor o glavni stvari, določa:

„Vpis v sodni register in register nepridobitnih pravnih oseb in izbris iz njiju se opravita na podlagi obrazca vloge v skladu s prilogami [ki vsebujejo posebne obrazce]. Do dokumentov v poslovnem registru in registru nepridobitnih pravnih oseb je mogoče dostopati na podlagi obrazca vloge v skladu s prilogami [ki vsebujejo posebne obrazce].“

35

OL je družbenica družbe „praven Shtit Konsulting“ OOD, družbe z omejeno odgovornostjo bolgarskega prava, ki je bila 14. januarja 2021 vpisana v sodni register po predložitvi družbene pogodbe z dne 30. decembra 2020, ki so jo podpisali družbeniki te družbe (v nadaljevanju: zadevna družbena pogodba).

36

To pogodbo, ki vsebuje priimek in ime, identifikacijsko številko, številko osebne izkaznice ter datum in kraj izdaje te izkaznice ter naslov in podpis OL, je agencija objavila v obliki, v kateri je bila vložena.

37

OL je 8. julija 2021 pri agenciji zahtevala izbris svojih osebnih podatkov v navedeni družbeni pogodbi in navedla, da če obdelava njenih podatkov temelji na njeni privolitvi, to privolitev preklicuje.

38

Ker agencija na to zahtevo ni odgovorila, je OL vložila tožbo pri Administrativen sad Dobrich (upravno sodišče v Dobriču, Bolgarija), ki je s sodbo z dne 8. decembra 2021 razveljavilo zavrnitev agencije, da izbriše navedene podatke, zaradi molka organa in zadevo vrnilo agenciji v ponovno odločanje.

39

Agencija je za izvršitev te sodbe in podobne sodbe, ki se je nanašala na drugega družbenika, ki je ravnal enako, v dopisu z dne 26. januarja 2022 navedla, da ji je treba za ugoditev zahtevi OL za izbris njenih osebnih podatkov poslati overjeno kopijo zadevne družbene pogodbe, v kateri so osebni podatki družbenikov, razen tistih, ki jih zakon zahteva, prikriti.

40

OL je 31. januarja 2022 pri Administrativen sad Dobrich (upravno sodišče v Dobriču) vložila novo tožbo, s katero je predlagala razglasitev ničnosti tega dopisa in naložitev agenciji, naj ji povrne nepremoženjsko škodo, ki ji je nastala z navedenim dopisom, s katerim so bile kršene pravice, podeljene s SUVP.

41

Agencija je 1. februarja 2022, preden je prejela obvestilo o tej tožbi, po uradni dolžnosti izbrisala identifikacijsko številko, podatke v zvezi z osebno izkaznico in naslov OL, ne pa tudi njenega priimka, imena in podpisa.

42

Administrativen sad Dobrich (upravno sodišče v Dobriču) je s sodbo z dne 5. maja 2022 dopis z dne 26. januarja 2022 razglasilo za ničen in agenciji na podlagi člena 82 SUVP naložilo, naj OL plača odškodnino za nepremoženjsko škodo v višini 500 bolgarskih levov (BGN) (približno 255 EUR), skupaj z zakonskimi obrestmi. V skladu s to sodbo je ta škoda po eni strani zajemala negativna psihološka doživljanja in čustva OL, in sicer strah in zaskrbljenost zaradi morebitnih zlorab ter občutek nemoči in razočaranja, ker njenih osebnih podatkov ni bilo mogoče zavarovati. Po drugi strani naj bi navedena škoda izhajala iz tega dopisa, ki naj bi povzročil kršitev pravice do izbrisa v skladu s členom 17(1) SUVP in privedel do nezakonite obdelave njenih osebnih podatkov, vsebovanih v zadevni družbeni pogodbi, dostopni javnosti.

43

Agencija je zoper to sodbo vložila kasacijsko pritožbo pri Varhoven administrativen sad (vrhovno upravno sodišče, Bolgarija), ki je predložitveno sodišče.

44

Po navedbah tega sodišča agencija trdi, da ni le upravljavec, ampak tudi uporabnik osebnih podatkov, predloženih v okviru postopka za vpis družbe Praven Shtit Konsulting. Poleg tega naj agencija ne bi prejela kopije zadevne družbene pogodbe, v kateri bi bili osebni podatki OL, ki se ne smejo objaviti, prikriti, čeprav naj bi to zahtevala pred vpisom družbe v poslovni register. Neobstoj take kopije pa naj sam po sebi ne bi mogel preprečiti vpisa gospodarske družbe v ta register. To naj bi izhajalo iz mnenja št. 01-116(20)/01.02.2021, ki ga je v skladu s členom 58(3)(b) SUVP izdal nacionalni nadzorni organ, Komisia za zashtita na lichnite danni (komisija za varstvo osebnih podatkov, Bolgarija), in na katero se sklicuje agencija. Navedeno sodišče poudarja, da po mnenju OL agencija, ki je v vlogi upravljavca, svojih obveznosti v zvezi z izbrisom osebnih podatkov ne more prevaliti na druge osebe, saj v skladu z nacionalno sodno prakso to mnenje ni v skladu z določbami SUVP.

45

Predložitveno sodišče dodaja, da se ob upoštevanju te večinske nacionalne sodne prakse zdi, da je treba pojasniti zahteve, ki izhajajo iz te uredbe. Natančneje, to sodišče se sprašuje o uskladitvi, ki jo je treba opraviti med pravico do varstva podatkov na eni strani in ureditvijo, ki zagotavlja razkritje in dostopnost nekaterih aktov družb, pri čemer zlasti pojasnjuje, da s sodbo z dne 9. marca 2017, Manni (C-398/15, EU:C:2017:197), ni mogoče rešiti težav pri razlagi, ki jih povzroča položaj, obravnavan v postopku v glavni stvari.

46

V teh okoliščinah je Varhoven administrativen sad (vrhovno upravno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

47

Najprej je treba poudariti, da se postavljena vprašanja nanašajo na razlago SUVP in Direktive 2009/101, ki je bila kodificirana in nadomeščena z Direktivo 2017/1132, ki se ratione temporis uporablja za dejansko stanje v postopku v glavni stvari. Zato je treba predlog za sprejetje predhodne odločbe razlagati tako, da se nanaša na razlago Direktive 2017/1132.

48

Poleg tega, kot je generalna pravobranilka navedla v točki 15 sklepnih predlogov, ker se je del teh dogodkov zgodil po 1. avgustu 2021, ko se je iztekel rok za prenos Direktive 2019/1151 iz člena 2(1) te direktive, mora predložitveno sodišče preveriti, ali navedeno dejansko stanje spada na področje uporabe ratione temporis Direktive 2017/1132 ali Direktive 2017/1132, kakor je bila spremenjena z Direktivo 2019/1151.

49

Ob tem je treba navesti, da spremembe besedila členov 16 in 161 Direktive 2017/1132 ter dodatek člena 16a v to direktivo, ki izhajajo iz Direktive 2019/1151, ne vplivajo na analizo, ki jo mora Sodišče opraviti v tej zadevi, tako da bodo odgovori, ki bodo podani v tej sodbi, vsekakor upoštevni.

50

Predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba člen 21(2) Direktive 2017/1132 razlagati tako, da državi članici nalaga obveznost, da dovoli, da se v poslovnem registru objavi družbena pogodba, za katero velja obvezno razkritje iz te direktive in ki vsebuje osebne podatke, ki niso zahtevani minimalni osebni podatki in katerih razkritje se ne zahteva v pravu te države članice.

51

Natančneje, to sodišče se sprašuje o obsegu prostovoljnega razkritja, navedenega v tej določbi, in želi ugotoviti, ali navedena določba državam članicam nalaga, da dovolijo razkritje podatkov, vsebovanih v aktih družb, kot so osebni podatki, ki niso zahtevani v okviru obveznega razkritja iz navedene direktive.

52

Člen 21(2), prvi pododstavek, Direktive 2017/1132 določa, da „[p]oleg obveznega razkritja iz člena 16 [te direktive] države članice dovolijo, da se prevodi dokumentov in podatkov iz člena 14 [navedene direktive] prostovoljno razkrijejo v skladu [z njenim] členom 16 v katerem koli uradnem jeziku Unije“. Drugi pododstavek tega člena 21(2) državam članicam dovoljuje, da določijo, da je treba „prevod takih dokumentov in podatkov“ overiti. Nazadnje, tretji pododstavek navedenega člena 21(2) se nanaša na ukrepe, s katerimi se tretjim stranem olajša dostop do prostovoljno objavljenih „prevodov“.

53

V členu 14 Direktive 2017/1132 so našteti dokumenti in podatki, ki jih morajo družbe razkriti, pri čemer gre za najmanjši obseg. Ti dokumenti in podatki morajo biti v skladu s členom 16, od (3) do (5), te direktive shranjeni v spisu ali vneseni v register, do njih mora biti mogoče dostopati, tako da se na zahtevo pridobi njihov celoten ali delen prepis, in biti morajo razkriti v celotnem besedilu ali njegovem delu ali z navedbo napotila v nacionalnem uradnem listu ali z enako učinkovitim načinom objave.

54

V zvezi s tem je ob upoštevanju zlasti ponavljajoče se uporabe izraza „prevodi“ v členu 21(2) Direktive 2017/1132 iz besedila te določbe razvidno, da se ta nanaša na prostovoljno razkritje prevodov dokumentov in podatkov iz člena 14 te direktive v enem od uradnih jezikov Unije in posledično samo na jezik objave teh dokumentov in podatkov. Nasprotno pa se navedena določba ne nanaša na vsebino navedenih dokumentov in podatkov.

55

Zato to besedilo kaže, da tega člena 21(2) ni mogoče razlagati tako, da državam članicam nalaga kakršno koli obveznost v zvezi z razkritjem podatkov, katerih razkritje se ne zahteva ne v drugih določbah prava Unije ne v pravu zadevne države članice, so pa navedeni v aktu, za katerega navedena direktiva določa obvezno razkritje.

56

Če pa pomen določbe prava Unije nedvoumno izhaja iz njenega besedila, Sodišče ne more odstopati od te razlage (sodba z dne 25. januarja 2022, VYSOČINA WIND, C‑181/20, EU:C:2022:51, točka 39).

57

Vsekakor, kar zadeva sobesedilo člena 21(2) Direktive 2017/1132, naslov tega člena, ki se nanaša na „[j]ezik razkritja in prevod dokumentov in podatkov, ki se razkrijejo“, in drugi odstavki tega člena potrjujejo razlago, podano v točki 55 te sodbe.

58

Člen 21(1) Direktive 2017/1132 namreč določa, da so „[d]okumenti in podatki, ki se razkrijejo na podlagi člena 14 [te direktive], […] sestavljeni in vpisani v enem od jezikov“, ki jih dopuščajo nacionalni predpisi s tega področja. Ta člen 21(3) določa, da lahko države članice poleg obveznega razkritja iz člena 16 navedene direktive in prostovoljnega razkritja iz navedenega člena 21(2) dovolijo, da se zadevni dokumenti in podatki razkrijejo „v katerem koli drugem jeziku oziroma jezikih“. Člen 21(4) pa se nanaša na „prostovoljno razkrite prevode“.

59

Nazadnje, razlago iz točke 55 te sodbe potrjuje uvodna izjava 12 te direktive, v skladu s katero je treba čezmejni dostop do informacij o družbah olajšati tako, da se poleg obveznega razkritja v enem od jezikov, ki so dovoljeni v državi članici družbe, dopusti tudi prostovoljni vpis obveznih dokumentov in informacij v register v dodatnih jezikih.

60

Glede na navedeno je treba na prvo vprašanje odgovoriti, da je treba člen 21(2) Direktive 2017/1132 razlagati tako, da državi članici ne nalaga obveznosti, da dovoli, da se v poslovnem registru objavi družbena pogodba, za katero velja obvezno razkritje iz te direktive in ki vsebuje osebne podatke, ki niso zahtevani minimalni osebni podatki in katerih razkritje se ne zahteva v pravu te države članice.

61

Glede na odgovor na prvo vprašanje na drugo in tretje vprašanje, ki sta postavljeni le za primer pritrdilnega odgovora na prvo vprašanje, ni treba odgovoriti.

62

Predložitveno sodišče s petim vprašanjem, ki ga je treba obravnavati pred četrtim vprašanjem, v bistvu sprašuje, ali je treba SUVP, zlasti člen 4, točki 7 in 9, te uredbe, razlagati tako, da je organ, pristojen za vodenje poslovnega registra države članice, ki v tem registru objavi osebne podatke, vsebovane v družbeni pogodbi, za katero velja obvezno razkritje iz Direktive 2017/1132 in ki je bila pri njem vložena v okviru predloga za vpis zadevne družbe v navedeni register, tako „uporabnik“ teh podatkov kot tudi „upravljavec“ navedenih podatkov v smislu te določbe.

63

Najprej je treba opozoriti, da se v skladu s členom 161 Direktive 2017/1132 za obdelavo osebnih podatkov, ki se izvaja v okviru te direktive, uporablja Direktiva 95/46 in s tem SUVP, katere člen 94(2) določa, da se sklicevanja na zadnjenavedeno direktivo štejejo kot sklicevanja na to uredbo.

64

V zvezi s tem je treba najprej navesti, da morajo države članice v skladu s členom 14(a), (b) in (d) Direktive 2017/1132 sprejeti potrebne ukrepe za zagotovitev obveznosti družb, da objavijo vsaj ustanovitveni akt zadevne družbe in njegove spremembe ter podatke o imenovanju, odpoklicu in identiteti oseb, ki so bodisi kot v zakonu predvideni organ bodisi kot člani takega organa pooblaščene, da zastopajo to družbo v poslih s tretjimi osebami in v sodnih postopkih, ali so udeležene pri upravljanju, nadzoru ali obvladovanju te družbe. Poleg tega v skladu s členom 4(i) te direktive obvezne informacije, ki jih je treba navesti v objavljenem ustanovitvenem aktu, vključujejo istovetnost fizičnih ali pravnih oseb, družb ali podjetij, ki so podpisali ali v imenu katerih je bil podpisan ta akt.

65

Na podlagi člena 16, od (3) do (5), navedene direktive morajo biti, kot je navedeno v točki 53 te sodbe, ti dokumenti in podatki shranjeni v spisu ali vneseni v register, do njih mora biti mogoče dostopati, tako da se na zahtevo pridobi njihov celoten ali delen prepis, in biti morajo razkriti v celotnem besedilu ali njegovem delu ali z navedbo napotila v nacionalnem uradnem listu ali z enako učinkovitim načinom objave.

66

Kot je generalna pravobranilka navedla v točki 26 sklepnih predlogov, morajo torej države članice opredeliti med drugim to, katere kategorije informacij v zvezi z istovetnostjo oseb iz člena 4(i) in člena 14(d) Direktive 2017/1132, zlasti katere vrste osebnih podatkov, je treba v skladu s pravom Unije obvezno razkriti.

67

Navedbe v zvezi z istovetnostjo teh oseb pa so kot informacije, ki se nanašajo na določene ali določljive posameznike, „osebni podatki“ v smislu člena 4, točka 1, SUVP (glej v tem smislu sodbo z dne 9. marca 2017, Manni, C-398/15, EU:C:2017:197, točka 34).

68

Enako velja za dodatne podatke v zvezi z istovetnostjo navedenih oseb ali drugih kategorij oseb, za katere države članice določijo obvezno razkritje ali ki so, kot v obravnavani zadevi, vsebovani v dokumentih, za katere je določeno tako razkritje, ne da bi bila objava teh podatkov zahtevana z Direktivo 2017/1132 ali nacionalnim pravom, s katerim se izvaja ta direktiva.

69

Dalje, pojem „uporabnik“ v smislu člena 4, točka 9, SUVP pomeni „fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne“, pri čemer je v tej določbi pojasnjeno, da so iz te opredelitve izključeni javni organi, ki te podatke prejmejo v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice.

70

Ker pa organ, pristojen za vodenje poslovnega registra, v okviru predloga za vpis družbe v poslovni register države članice prejme dokumente, za katere je določeno obvezno razkritje iz člena 14 Direktive 2017/1132 in ki vsebujejo osebne podatke, ne glede na to, ali so ti podatki zahtevani ali ne s to direktivo ali z nacionalnim pravom, je ta organ „uporabnik“ teh podatkov v smislu člena 4, točka 9, SUVP.

71

Nazadnje, v skladu s členom 4, točka 7, SUVP pojem „upravljavec“ zajema fizične ali pravne osebe, javne organe, agencije in druga telesa, ki sama ali skupaj z drugimi določajo namene in sredstva obdelave. Ta določba določa tudi, da kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice.

72

V zvezi s tem je treba opozoriti, da je v skladu z ustaljeno sodno prakso Sodišča cilj navedene določbe, da se s široko opredelitvijo pojma „upravljavec“ zagotovi učinkovito in celovito varstvo zadevnih fizičnih oseb (sodba z dne 11. januarja 2024, État belge (Podatki, obdelani v uradnem listu), C-231/22, EU:C:2024:7, točka 28 in navedena sodna praksa).

73

Glede na besedilo člena 4, točka 7, SUVP in ob upoštevanju tega cilja je očitno, da je treba za to, da bi se določilo, ali je treba neko osebo ali subjekt šteti za „upravljavca“ v smislu te določbe, ugotoviti, ali ta oseba oziroma subjekt določa – sam ali skupaj z drugimi – namene in sredstva obdelave ali pa so ti določeni s pravom Unije ali nacionalnim pravom. Če se ti določijo z nacionalnim pravom, je treba preveriti, ali to pravo določa upravljavca ali posebna merila za njegovo imenovanje (glej v tem smislu sodbo z dne 11. januarja 2024, État belge (Podatki, obdelani v uradnem listu), C-231/22, EU:C:2024:7, točka 29).

74

Pojasniti je treba tudi, da je glede na široko opredelitev pojma „upravljavec“ v smislu člena 4, točka 7, SUVP določitev namenov in sredstev obdelave ter, če gre za tak primer, določitev tega upravljavca z nacionalnim pravom lahko ne le eksplicitna, ampak tudi implicitna. Vendar se v zadnjenavedenem primeru zahteva, da ta določitev dovolj zanesljivo izhaja iz vloge, nalog in pooblastil, ki so dodeljena zadevni osebi oziroma subjektu (sodba z dne 11. januarja 2024, État belge (Podatki, obdelani v uradnem listu), C-231/22, EU:C:2024:7, točka 30).

75

Poleg tega organ, pristojen za vodenje poslovnega registra, s tem da osebne podatke, prejete v okviru predloga za vpis družbe v poslovni register države članice, vpiše v ta register in jih hrani ter da jih po potrebi na zahtevo posreduje tretjim osebam in jih objavi v uradnem listu, izvaja obdelave osebnih podatkov, zaradi česar je „upravljavec“ v smislu člena 4, točki 2 in 7, SUVP (glej v tem smislu sodbo z dne 9. marca 2017, Manni, C-398/15, EU:C:2017:197, točka 35).

76

Te obdelave osebnih podatkov so namreč ločene in poznejše od razkritja osebnih podatkov, ki ga opravi predlagatelj tega vpisa in prejme ta organ. Dalje, ta organ te obdelave opravi sam v skladu s cilji in podrobnimi pravili, določenimi v Direktivi 2017/1132 in zakonodaji zadevne države članice, s katero se izvaja ta direktiva.

77

V zvezi s tem je treba pojasniti, da je iz uvodnih izjav 7 in 8 navedene direktive razvidno, da je objava, ki jo ta določa, namenjena med drugim varovanju interesov tretjih oseb v razmerju do delniških družb in družb z omejeno odgovornostjo, saj je edino jamstvo, ki ga te zagotavljajo tretjim osebam, njihovo premoženje. Zato mora ta objava tretjim osebam omogočati, da se seznanijo z osnovnimi dokumenti zadevne družbe in drugimi informacijami v zvezi z družbo, zlasti s podatki o osebah, ki so pooblaščene za sprejemanje obveznosti v imenu družbe.

78

Poleg tega je cilj te direktive zagotoviti pravno varnost v odnosih med družbami in tretjimi osebami, da se po vzpostavitvi notranjega trga okrepijo poslovni tokovi med državami članicami. S tega vidika je pomembno, da se lahko vsaka oseba, ki želi vzpostaviti in vzdrževati poslovne odnose z družbami v drugih državah članicah, brez težav seznani z bistvenimi podatki o sestavi gospodarskih družb in pooblastilih oseb, ki so pooblaščene za njihovo zastopanje, zaradi česar morajo biti vsi upoštevni podatki izrecno navedeni v registru (glej v tem smislu sodbo z dne 9. marca 2017, Manni, C-398/15, EU:C:2017:197, točka 50).

79

Kot pa je generalna pravobranilka navedla v točki 39 sklepnih predlogov, predlagatelj vpisa družbe v poslovni register države članice s tem, da organu, pristojnemu za vodenje registra, predloži dokumente in podatke, za katere velja obvezno razkritje v skladu z Direktivo 2017/1132, in s tem obdeluje osebne podatke, ki jih ti dokumenti vsebujejo, nikakor ne vpliva na določitev namenov in nadaljnje obdelave, ki jih izvaja ta organ. Poleg tega uresničuje drugačne, njemu lastne namene, to je izpolnitev formalnosti, potrebnih za ta vpis.

80

V obravnavani zadevi, kot je generalna pravobranilka navedla v točkah 31 in 32 navedenih sklepnih predlogov, je iz predloga za sprejetje predhodne odločbe razvidno, da so bili osebni podatki OL objavljeni v okviru izvajanja pristojnosti, ki jih ima agencija kot organ, pristojen za vodenje poslovnega registra, pri čemer so bili nameni in sredstva obdelave teh podatkov določeni tako s pravom Unije kot z nacionalno zakonodajo, obravnavano v postopku v glavni stvari, zlasti s členom 13(9) zakona o registrih. Dejstvo, da overjena kopija zadevne družbene pogodbe, v kateri so osebni podatki, ki niso zahtevani s to zakonodajo, prikriti, v nasprotju s postopkovnimi pravili iz navedene zakonodaje ni bila predložena, tako ne vpliva na opredelitev agencije kot „upravljavca“.

81

Te opredelitve ne omaje niti dejstvo, da agencija na podlagi te zakonodaje pred njeno spletno objavo ne pregleduje osebnih podatkov, ki jih vsebujejo digitalni posnetki ali izvirniki dokumentov, ki so ji predloženi za namene vpisa družbe. V zvezi s tem je Sodišče že razsodilo, da bi bilo v nasprotju s ciljem člena 4, točka 7, SUVP, navedenim v točki 72 te sodbe, če bi bil uradni list države članice iz pojma „upravljavec“ izključen, ker ta uradni list ne pregleduje osebnih podatkov, ki jih vsebujejo njegove objave (sodba z dne 11. januarja 2024, État belge (Podatki, obdelani v uradnem listu), C-231/22, EU:C:2024:7, točka 38).

82

V teh okoliščinah je očitno, da je v položaju, kakršen je ta iz postopka v glavni stvari, agencija odgovorna za obdelavo osebnih podatkov OL, ki vključuje spletno objavo teh podatkov, tudi če bi ji morala biti v skladu z nacionalno zakonodajo, obravnavano v postopku v glavni stvari, predložena kopija zadevne družbene pogodbe, v kateri so osebni podatki, ki niso zahtevani s to zakonodajo, prikriti, kar mora preveriti predložitveno sodišče. Posledično je agencija v skladu s členom 5(2) SUVP odgovorna tudi za spoštovanje odstavka 1 tega člena.

83

Glede na navedeno je treba na peto vprašanje odgovoriti, da je treba SUVP, zlasti člen 4, točki 7 in 9 te uredbe, razlagati tako, da je organ, pristojen za vodenje poslovnega registra države članice, ki v tem registru objavi osebne podatke iz družbene pogodbe, za katero velja obvezno razkritje iz Direktive 2017/1132 in ki mu je bila predložena v okviru predloga za vpis zadevne družbe v navedeni register, tako „uporabnik“ teh podatkov kot tudi, zlasti ker jih objavi, „upravljavec“ navedenih podatkov v smislu te določbe, tudi kadar ta pogodba vsebuje osebne podatke, ki se ne zahtevajo s to direktivo ali pravom te države članice.

84

Bolgarska vlada trdi, da četrto vprašanje ni dopustno, ker se nanaša na hipotetičen problem. Po mnenju te vlade se to vprašanje namreč nanaša na združljivost nacionalne zakonodaje o postopkovnih pravilih za uresničevanje pravice iz člena 17 SUVP, ki še ni bila sprejeta, s členom 16 Direktive 2017/1132.

85

V skladu z ustaljeno sodno prakso postopek za sprejetje predhodne odločbe iz člena 267 PDEU uvaja tesno sodelovanje med nacionalnimi sodišči in Sodiščem, ki temelji na medsebojni razdelitvi funkcij, ter je sredstvo, s katerim Sodišče nacionalnim sodiščem posreduje elemente razlage prava Unije, ki jih potrebujejo za rešitev sporov, o katerih odločajo. V okviru tega sodelovanja je le nacionalno sodišče, ki odloča o sporu in ki mora prevzeti odgovornost za sodno odločitev, pristojno, da ob upoštevanju posebnosti zadeve presodi potrebo po izdaji predhodne odločbe, da bi lahko izdalo sodbo, in upoštevnost vprašanj, ki jih predloži Sodišču. Zato je Sodišče, če se postavljena vprašanja nanašajo na razlago prava Unije, načeloma dolžno odločiti (sodba z dne 23. novembra 2021, IS (Nezakonitost predložitvene odločbe), C-564/19, EU:C:2021:949, točki 59 in 60 ter navedena sodna praksa).

86

Iz tega sledi, da za vprašanja, ki se nanašajo na pravo Unije, velja domneva upoštevnosti. Sodišče lahko zavrne odločanje o vprašanju za predhodno odločanje, ki ga postavi nacionalno sodišče, le takrat, kadar je očitno, da zahtevana razlaga prava Unije nima nikakršne zveze z dejanskim stanjem ali predmetom spora o glavni stvari, kadar gre za hipotetičen problem oziroma kadar Sodišče nima na voljo dejanskih in pravnih elementov, ki so potrebni, da bi lahko na postavljena vprašanja podalo koristne odgovore (sodba z dne 24. novembra 2020, Openbaar Ministerie (Ponarejanje listin), C-510/19, EU:C:2020:953, točka 26 in navedena sodna praksa).

87

V obravnavani zadevi je iz predloga za sprejetje predhodne odločbe razvidno, da mora predložitveno sodišče na zadnji stopnji odločiti o zakonitosti tega, da je agencija zavrnila zahtevo za izbris osebnih podatkov iz postopka v glavni stvari z obrazložitvijo, da v nasprotju s postopkovnimi pravili iz bolgarske zakonodaje kopija zadevne družbene pogodbe, v kateri so osebni podatki, ki niso zahtevani s to zakonodajo, prikriti, agenciji ni bila predložena. Poleg tega iz te zahteve izhaja, da je taka zavrnitev praksa agencije. Nazadnje, to sodišče je pojasnilo, da je odgovor Sodišča na četrto vprašanje potreben za rešitev spora o glavni stvari v okviru, v katerem nacionalna sodna praksa ni enotna.

88

Iz tega sledi, da je v nasprotju s tem, kar trdi bolgarska vlada, četrto vprašanje dopustno.

89

Ob upoštevanju navedb v predlogu za sprejetje predhodne odločbe, kot so predstavljene v točki 87 te sodbe, je treba šteti, da predložitveno sodišče s četrtim vprašanjem v bistvu sprašuje, ali je treba Direktivo 2017/1132, zlasti njen člen 16, in člen 17 SUVP razlagati tako, da nasprotujeta ureditvi ali praksi države članice, zaradi katere organ, pristojen za vodenje poslovnega registra te države članice, zavrne vsako zahtevo za izbris osebnih podatkov, ki niso zahtevani s to direktivo ali pravom navedene države članice in so vsebovani v družbeni pogodbi, objavljeni v tem registru, kadar temu organu v nasprotju s postopkovnimi pravili iz te ureditve ni bila predložena kopija te pogodbe, v kateri so ti podatki prikriti.

90

V skladu s členom 17(1) SUVP ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja te podatke izbriše, upravljavec pa ima obveznost te osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od razlogov, naštetih v tej določbi.

91

V skladu s tem členom 17(1)(c) to velja, kadar posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1) te uredbe in za njihovo obdelavo ne obstajajo nobeni „prevladujoči zakoniti razlogi“, v skladu s členom 17(1)(d) pa, kadar so bili zadevni podatki „obdelani nezakonito“.

92

Iz člena 17(3)(b) SUVP izhaja še, da se ta člen 17(1) ne uporablja, če je ta obdelava potrebna za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu.

93

Zato je treba za ugotovitev, ali ima v položaju, kakršen je ta iz postopka v glavni stvari, posameznik, na katerega se nanašajo osebni podatki, pravico do izbrisa na podlagi člena 17 SUVP, najprej preučiti razlog ali razloge za zakonitost, ki lahko veljajo za obdelavo njegovih osebnih podatkov.

94

V zvezi s tem je treba spomniti, da člen 6(1), prvi pododstavek, SUVP določa izčrpen in taksativen seznam primerov, v katerih je mogoče šteti, da je obdelava osebnih podatkov zakonita. Torej, da bi se lahko štelo, da je obdelava zakonita, mora ustrezati enemu od primerov, določenih v tej določbi (glej v tem smislu sodbo z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C-439/19, EU:C:2021:504, točka 99 in navedena sodna praksa).

95

Če posameznik, na katerega se nanašajo osebni podatki, ni privolil v obdelavo svojih osebnih podatkov v skladu s tem členom 6(1), prvi pododstavek, točka (a), ali če ta privolitev ni bila dana prostovoljno, izrecno, informirano in nedvoumno v smislu člena 4, točka 11, SUVP, je tako obdelavo vseeno mogoče upravičiti, če izpolnjuje eno od zahtev nujnosti iz člena 6(1), prvi pododstavek, točke od (b) do (f), te uredbe (glej v tem smislu sodbo z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C-252/21, EU:C:2023:537, točka 92).

96

V tem okviru je treba utemeljitve iz te zadnjenavedene določbe, ker omogočajo, da je obdelava osebnih podatkov, opravljena brez privolitve posameznika, na katerega se nanašajo osebni podatki, zakonita, razlagati ozko (sodba z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C-252/21, EU:C:2023:537, točka 93 in navedena sodna praksa).

97

Pojasniti je treba tudi, da mora v skladu s členom 5 SUVP upravljavec dokazati, da se ti podatki med drugim zbirajo za določene, izrecne in zakonite namene, da so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, ter da se v zvezi s posameznikom, na katerega se nanašajo osebni podatki, obdelujejo zakonito, pošteno in na pregleden način (glej v tem smislu sodbo z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C-252/21, EU:C:2023:537, točka 95).

98

Čeprav bo moralo predložitveno sodišče ugotoviti, ali so različni elementi obdelave, kakršna je ta iz postopka v glavni stvari, utemeljeni z eno ali drugo potrebo iz člena 6(1), prvi pododstavek, točke od (a) do (f), SUVP, mu lahko Sodišče vseeno zagotovi koristne napotke, ki mu omogočajo rešitev spora, o katerem odloča (glej v tem smislu sodbo z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C-252/21, EU:C:2023:537, točka 96).

99

V obravnavani zadevi se najprej zdi, kot je generalna pravobranilka navedla v točki 43 sklepnih predlogov, da domneva o privolitvi iz člena 13(9) zakona o registrih ne izpolnjuje pogojev iz člena 6(1), prvi pododstavek, točka (a), SUVP v povezavi s členom 4, točka 11, te uredbe.

100

Kot je namreč razvidno iz uvodnih izjav 32, 42 in 43 navedene uredbe, bi morala biti privolitev dana z jasnim pritrdilnim dejanjem, na primer s pisno izjavo ali ustno izjavo, pri čemer se ne šteje, da je bila dana prostovoljno, če posameznik, na katerega se nanašajo osebni podatki, nima možnosti dejanske ali prostovoljne izbire ali privolitve ne more zavrniti oziroma preklicati brez škode. Poleg tega privolitev ne bi smela biti veljavna pravna podlaga v posebnem primeru, ko obstaja očitno neravnotežje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, zlasti kadar je upravljavec javni organ.

101

Zato za domnevo, kot je določena v členu 13(9) zakona o registrih, ni mogoče šteti, da dokazuje prostovoljno, konkretno, informirano in nedvoumno dano privolitev za obdelavo osebnih podatkov, ki jo opravi javni organ, kot je agencija.

102

Dalje, razloga za zakonitost iz člena 6(1), prvi pododstavek, točki (b) in (d), v zvezi z obdelavo osebnih podatkov, ki je potrebna za izvajanje pogodbe in zaščito življenjskih interesov posameznika, se ne zdita upoštevna za obdelavo osebnih podatkov, obravnavano v postopku v glavni stvari. Enako velja za razlog za zakonitost iz tega člena 6(1), prvi pododstavek, točka (f), ki se nanaša na obdelavo osebnih podatkov, potrebno zaradi zakonitih interesov, za katere si prizadeva upravljavec, saj iz besedila tega člena 6(1), drugi pododstavek, jasno izhaja, da obdelava osebnih podatkov, ki jo izvaja javni organ v okviru opravljanja svojih nalog, ne more spadati na področje uporabe zadnjenavedenega razloga (glej v tem smislu sodbo z dne 8. decembra 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Nameni obdelave osebnih podatkov – Kazenska preiskava) (C-180/21, EU:C:2022:967, točka 85).

103

Nazadnje, kar zadeva razloge za zakonitost iz člena 6(1), prvi pododstavek, točki (c) in (e), SUVP, je treba opozoriti, da je v skladu s tem členom 6(1), prvi pododstavek, točka (c), obdelava osebnih podatkov zakonita, če je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Poleg tega je v skladu z navedenim členom 6(1), prvi pododstavek, točka (e), zakonita tudi obdelava, ki je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

104

Člen 6(3) SUVP v zvezi s tema primeroma zakonitosti med drugim določa, da mora obdelava temeljiti na pravu Unije ali pravu države članice, ki velja za upravljavca, da mora ta pravna podlaga izpolnjevati cilj javnega interesa in da mora biti sorazmerna z zakonitim ciljem, za katerega si prizadeva.

105

Na prvem mestu je treba v zvezi z vprašanjem, ali je obdelava iz postopka v glavni stvari potrebna za izpolnitev zakonske obveznosti, ki izhaja iz prava Unije ali prava države članice, ki velja za upravljavca, v smislu člena 6(1), prvi pododstavek, točka (c), SUVP, poudariti, kot je generalna pravobranilka navedla v točkah 45 in 47 sklepnih predlogov, da Direktiva 2017/1132 ne nalaga sistematične obdelave vsakega osebnega podatka, vsebovanega v aktu, za katerega velja obvezno razkritje iz te direktive. Nasprotno, iz člena 161 navedene direktive izhaja, da mora obdelava osebnih podatkov, ki se izvaja v okviru Direktive 2017/1132, ter zlasti kakršno koli zbiranje in hranjenje informacij, omogočanje dostopa do njih tretjim osebam in njihova objava na podlagi te direktive, v celoti izpolnjevati zahteve, ki izhajajo iz SUVP.

106

Tako morajo države članice v okviru izvajanja obveznosti, ki jih nalaga navedena direktiva, zagotoviti uskladitev ciljev pravne varnosti in varstva interesov tretjih oseb, ki jih uresničuje ta direktiva in na katera je bilo opozorjeno v točki 77 te sodbe, na eni strani ter pravic, določenih v SUVP, in temeljne pravice do varstva osebnih podatkov na drugi strani, in sicer z uravnoteženjem teh ciljev in teh pravic (glej v tem smislu sodbo z dne 1. avgusta 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, točka 98).

107

Zato ni mogoče šteti, da je to, da so v poslovnem registru na spletu javno dostopni osebni podatki, ki niso zahtevani z Direktivo 2017/1132 ali nacionalno zakonodajo, obravnavano v postopku v glavni stvari, in ki so vsebovani v družbeni pogodbi, za katero velja obvezno razkritje iz te direktive in ki je predložena agenciji, utemeljeno z zahtevo, da se zagotovi razkritje aktov iz člena 14 navedene direktive v skladu z njenim členom 16, in da posledično ta javna dostopnost izhaja iz zakonske obveznosti, določene v pravu Unije.

108

Prav tako se ne zdi, da zakonitost obdelave iz postopka v glavni stvari temelji – kar mora preveriti predložitveno sodišče – na zakonski obveznosti, določeni s pravom države članice, ki velja za upravljavca v smislu člena 6(1), prvi pododstavek, točka (c), SUVP, v obravnavani zadevi bolgarskim pravom, ker je na eni strani iz spisa, ki ga ima na voljo Sodišče, razvidno, da člen 2(2) zakona o registrih določa, da se akti, ki morajo biti vpisani v poslovni register, dajo na voljo javnosti brez informacij, ki so osebni podatki, „z izjemo informacij, za katere je zakonsko predpisano, da se dajo na voljo javnosti“, ter ker na drugi strani člen 13(9) tega zakona uvaja domnevo privolitve, ki – kot je razvidno iz točke 99 te sodbe – ne izpolnjuje zahtev iz SUVP.

109

Na drugem mestu, Sodišče je v zvezi z vprašanjem, ali je obdelava iz postopka v glavni stvari potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, v smislu člena 6(1), prvi pododstavek, točka (e), SUVP, na katerega se med drugim sklicujejo predložitveno sodišče, bolgarska vlada in agencija, že razsodilo, da dejavnost javnega organa, ki v podatkovni zbirki shranjuje podatke, ki jih morajo družbe sporočati na podlagi zakonskih obveznosti, zainteresiranim osebam omogoča dostop do teh podatkov in jim izdaja prepis teh podatkov, spada na področje izvajanja prerogativ javne oblasti in pomeni nalogo, ki se izvaja v javnem interesu, v smislu te določbe (glej v tem smislu sodbo z dne 9. marca 2017, Manni, C-398/15, EU:C:2017:197, točka 43).

110

Iz tega sledi, da je bila obdelava iz postopka v glavni stvari očitno res izvedena pri opravljanju naloge v javnem interesu v smislu te določbe. Vendar je za izpolnitev pogojev iz te določbe nujno, da ta obdelava dejansko ustreza zastavljenim ciljem v splošnem interesu, ne da bi presegla to, kar je nujno za uresničitev teh ciljev (glej v tem smislu sodbo z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C-439/19, EU:C:2021:504, točka 109).

111

Ta zahteva po nujnosti ni izpolnjena, kadar je zastavljeni cilj splošnega interesa mogoče razumno enako učinkovito doseči z drugimi sredstvi, ki manj posegajo v temeljne pravice posameznikov, na katere se nanašajo osebni podatki, zlasti v pravici do spoštovanja zasebnega življenja in varstva osebnih podatkov, zagotovljeni v členih 7 in 8 Listine, pri čemer morajo biti odstopanja in omejitve načela varstva takih podatkov strogo omejeni na tisto, kar je nujno (glej v tem smislu sodbo z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C-439/19, EU:C:2021:504, točka 110 in navedena sodna praksa).

112

Kot pa je generalna pravobranilka navedla v točki 51 sklepnih predlogov, za spletno objavo osebnih podatkov, ki niso zahtevani niti z Direktivo 2017/1132 niti z nacionalnim pravom, ni mogoče šteti, da je sama po sebi potrebna za uresničevanje ciljev, ki jim sledi ta direktiva.

113

Natančneje, glede obstoja sredstev, ki manj posegajo v temeljne pravice posameznikov, na katere se nanašajo osebni podatki, je treba navesti, da nacionalna zakonodaja iz postopka v glavni stvari določa, da mora predlagatelj vpisa družbe v poslovni register predložiti kopijo akta te družbe brez nezahtevanih osebnih podatkov, ki je namenjena temu, da se objavi v tem registru in je dostopna tretjim osebam, ki pa v obravnavani zadevi agenciji ni bila nikoli predložena, niti po tem, ko je ta to zahtevala. Vendar sta bolgarska vlada in agencija potrdili, da tudi po razumnem roku in kadar posameznik, na katerega se nanašajo osebni podatki, od zadevne družbe ali njenih zastopnikov ne more dobiti take kopije, ta zakonodaja ne določa, da lahko agencija sama pripravi to kopijo, s čimer bi bilo vendarle mogoče enako učinkovito doseči cilje zagotavljanja objave aktov družbe, pravne varnosti in varstva interesov tretjih oseb, hkrati pa bi se manj posegalo v pravico do varstva osebnih podatkov.

114

Poudariti je treba še, kot je generalna pravobranilka navedla v točki 56 sklepnih predlogov, da v nasprotju s tem, kar je več držav članic navedlo v stališčih pred Sodiščem, zahteva po ohranitvi celovitosti in zanesljivosti aktov družb, ki jih je treba obvezno razkriti v skladu z Direktivo 2017/1132, ki naj bi narekovala objavo teh aktov takšnih, kot so bili predloženi organom, pristojnim za vodenje poslovnega registra, ne more sistematično prevladati nad to pravico, če naj to varstvo ne postane zgolj navidezno.

115

Natančneje, s to zahtevo ni mogoče naložiti, da osebni podatki, ki niso zahtevani z Direktivo 2017/1132 ali nacionalnim pravom, ostanejo javno dostopni na spletu v tem registru, čeprav bi agencija, kot je razvidno iz točke 113 te sodbe, lahko za to objavo sama pripravila v tem pravu določeno kopijo akta zadevne družbe.

116

Iz tega sledi, da se zdi, da obdelava osebnih podatkov iz postopka v glavni stvari vsekakor presega to, kar je potrebno za opravljanje naloge v javnem interesu, ki jo ima agencija na podlagi navedene nacionalne zakonodaje.

117

Zato se, kot je generalna pravobranilka ugotovila v točki 59 sklepnih predlogov, zdi, da taka obdelava ne izpolnjuje niti pogojev za zakonitost, določenih v členu 6(1), prvi pododstavek, točki (c) in (e), v povezavi s členom 6(3) SUVP, kar mora preveriti predložitveno sodišče.

118

V drugi fazi je treba v zvezi z zahtevo za izbris na podlagi člena 17 SUVP iz postopka v glavni stvari poudariti, da bi, če bi predložitveno sodišče po presoji zakonitosti te obdelave ugotovilo, da navedena obdelava ni zakonita, morala agencija kot upravljavec, kot je razvidno iz točk 82 in 83 te sodbe, v skladu z jasnim besedilom člena 17(1)(d) SUVP zadevne podatke čim prej izbrisati (glej v tem smislu sodbo z dne 7. decembra 2023, SCHUFA Holding (Odpis preostanka dolga), C-26/22 in C-64/22, EU:C:2023:958, točka 108).

119

Če pa bi to sodišče ugotovilo, da ta obdelava dejansko ustreza razlogu za zakonitost iz člena 6(1)(e) SUVP, zlasti ker je javna dostopnost podatkov, ki niso zahtevani z Direktivo 2017/1132 ali nacionalnim pravom iz postopka v glavni stvari, na spletu v poslovnem registru potrebna, da bi se preprečila zamuda pri vpisu zadevne družbe v interesu varstva tretjih oseb, je treba poudariti, da bi se uporabil člen 17(1)(c) SUVP.

120

Iz zadnjenavedene določbe v povezavi s členom 21(1) SUVP izhaja, da ima posameznik, na katerega se nanašajo osebni podatki, pravico ugovarjati obdelavi in pravico do izbrisa, razen če obstajajo prevladujoči zakoniti razlogi, ki prevladajo nad interesi ter pravicami in svoboščinami tega posameznika v smislu tega člena 21(1), kar mora dokazati upravljavec (glej v tem smislu sodbo z dne 7. decembra 2023, SCHUFA Holding (Odpis preostanka dolga), C-26/22 in C-64/22, EU:C:2023:958, točka 111).

121

V položaju, kakršen je ta v postopku v glavni stvari, pa se ne zdi, da obstaja prevladujoči zakoniti razlog v smislu te določbe, ki bi lahko nasprotoval taki zahtevi za izbris.

122

Na eni strani je namreč iz predložitvene odločbe razvidno, da je družba, v kateri je OL družbenica, že vpisana v poslovni register.

123

Na drugi strani, kot je bilo navedeno v točki 115 te sodbe, zahteva po ohranitvi celovitosti in zanesljivosti aktov družb, ki jih je treba obvezno razkriti v skladu z Direktivo 2017/1132, ne more nalagati, da osebni podatki, ki niso zahtevani z Direktivo 2017/1132 ali nacionalnim pravom, ostanejo javno dostopni na spletu v tem registru.

124

Nazadnje, ob domnevi, da bi predložitveno sodišče ugotovilo, da obdelava osebnih podatkov iz postopka v glavni stvari dejansko ustreza razlogu za zakonitost iz člena 6(1), točka (c), SUVP, je treba navesti, da SUVP in zlasti njen člen 17(3)(b) izrecno določata zahtevo po tehtanju med, na eni strani, temeljnima pravicama do spoštovanja zasebnega življenja in varstva osebnih podatkov iz členov 7 in 8 Listine ter, na drugi strani, cilji, ki jim pravo Unije ali pravo držav članic legitimno sledi in ki so podlaga za zakonsko obveznost, za spoštovanje katere je potrebna obdelava (glej po analogiji sodbo z dne 8. decembra 2022, Google (Odstranitev povezav do domnevno netočne vsebine), C-460/20, EU:C:2022:962, točka 58 in navedena sodna praksa).

125

Kot je Sodišče že razsodilo, je omejitev dostopa do osebnih podatkov, za katere pravo Unije določa obvezno razkritje, zgolj na tretje osebe, ki izkažejo poseben interes, lahko za vsak primer posebej upravičena iz nujnih in zakonitih razlogov, povezanih s posebnim položajem posameznikov, na katere se nanašajo osebni podatki (glej v tem smislu sodbo z dne 9. marca 2017, Manni, C-398/15, EU:C:2017:197, točka 60).

126

Kot je generalna pravobranilka navedla v točki 67 sklepnih predlogov, je treba a fortiori storiti enako, kadar – kot v obravnavani zadevi – zadevni osebni podatki niso zahtevani niti z Direktivo 2017/1132 niti z nacionalnim pravom.

127

Ob upoštevanju teh elementov je treba na četrto vprašanje odgovoriti, da je treba Direktivo 2017/1132, zlasti njen člen 16, in člen 17 SUVP razlagati tako, da nasprotujeta ureditvi ali praksi države članice, zaradi katere organ, pristojen za vodenje poslovnega registra te države članice, zavrne vsako zahtevo za izbris osebnih podatkov, ki niso zahtevani s to direktivo ali pravom navedene države članice in so vsebovani v družbeni pogodbi, objavljeni v tem registru, kadar temu organu v nasprotju s postopkovnimi pravili iz te ureditve ni bila predložena kopija te pogodbe, v kateri so ti podatki prikriti.

128

Predložitveno sodišče s šestim vprašanjem v bistvu sprašuje, ali je treba člen 4, točka 1, SUVP razlagati tako, da lastnoročni podpis fizične osebe spada pod pojem „osebni podatek“ v smislu te določbe.

129

Ta določba določa, da osebni podatek pomeni „katero koli informacijo v zvezi z določenim ali določljivim posameznikom“, in pojasnjuje, da je „določljiv posameznik […] tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika“.

130

V zvezi s tem je Sodišče že razsodilo, da uporaba izraza „katera koli informacija“ v opredelitvi pojma „osebni podatek“ iz te določbe odraža cilj zakonodajalca Unije, da temu pojmu da širok pomen, ki potencialno zajema vse vrste informacij, tako objektivne kot subjektivne v obliki mnenj ali presoj, če se te „nanašajo“ na zadevno osebo (sodba z dne 4. maja 2023, Österreichische Datenschutzbehörde in CRIF, C-487/21, EU:C:2023:369, točka 23).

131

Informacija se nanaša na določenega ali določljivega posameznika, kadar je zaradi svoje vsebine, namena ali učinka povezana z določljivo osebo (sodba z dne 4. maja 2023, Österreichische Datenschutzbehörde in CRIF, C-487/21, EU:C:2023:369, točka 24).

132

Glede „določljivosti“ posameznika je v uvodni izjavi 26 SUVP navedeno, da bi bilo treba upoštevati „vsa sredstva – kot je na primer izločitev –, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika“.

133

Iz tega izhaja, da široka opredelitev pojma „osebni podatki“ ne zajema le podatkov, ki jih upravljavec zbere in hrani, ampak zajema tudi vse informacije, pridobljene z obdelavo osebnih podatkov, ki se nanašajo na določeno ali določljivo osebo (glej v tem smislu sodbo z dne 4. maja 2023, Österreichische Datenschutzbehörde in CRIF, C-487/21, EU:C:2023:369, točka 26).

134

Iz sodne prakse Sodišča prav tako izhaja, da lastnoročni podpis fizične osebe daje informacijo o tej osebi (glej v tem smislu sodbo z dne 20. decembra 2017, Nowak, C-434/16, EU:C:2017:994, točka 37).

135

Nazadnje, navesti je treba, da se lastnoročni podpis fizične osebe na splošno uporablja za identifikacijo te osebe, za zagotovitev dokazne vrednosti glede točnosti in pristnosti dokumentov, na katerih je ta podpis, ali za prevzem odgovornosti za te dokumente. Poleg tega se zdi, da so v zadevni družbeni pogodbi podpisi družbenikov poleg njihovih imen.

136

Glede na navedeno je treba na šesto vprašanje odgovoriti, da je treba člen 4, točka 1, SUVP razlagati tako, da lastnoročni podpis fizične osebe spada pod pojem „osebni podatek“ v smislu te določbe.

137

Predložitveno sodišče s sedmim vprašanjem v bistvu sprašuje, ali je treba člena 82(1) SUVP razlagati tako, da je časovno omejena izguba nadzora posameznika, na katerega se nanašajo osebni podatki, nad njegovimi osebnimi podatki zaradi spletne objave teh podatkov v poslovnem registru države članice lahko dovolj za povzročitev „nepremoženjske škode“ ali pa ta pojem „nepremoženjska škoda“ zahteva dokaz obstoja dodatnih otipljivih negativnih posledic.

138

Najprej je treba opozoriti, da ta določba določa, da ima „[v]sak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve [SUVP], […] pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo“.

139

Ker v zvezi s tem SUVP ne napotuje na pravo držav članic glede pomena in obsega izrazov iz navedene določbe, zlasti v zvezi s pojmoma „premoženjska ali nepremoženjska škoda“ in „odškodnina za nastalo škodo“, je treba pri uporabi te uredbe za ta izraza šteti, da sta avtonomna pojma prava Unije, ki ju je treba razlagati enotno v vseh državah članicah (glej v tem smislu sodbo z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C-300/21, EU:C:2023:370, točka 30).

140

V zvezi s tem je treba člen 82(1) SUVP razlagati tako, da zgolj kršitev te uredbe ne zadostuje za podelitev pravice do odškodnine, ker je obstoj premoženjske ali nepremoženjske „škode“ oziroma „škode“, ki je „nastala“, eden od pogojev za pravico do odškodnine iz tega člena 82(1), in sicer poleg obstoja kršitve te uredbe ter vzročne zveze med to škodo in to kršitvijo, pri čemer so ti trije pogoji kumulativni (sodbi z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C-300/21, EU:C:2023:370, točka 32, in z dne 11. aprila 2024, juris, C-741/21, EU:C:2024:288, točka 34).

141

Tako mora oseba, ki zahteva povračilo nepremoženjske škode na podlagi te določbe, dokazati ne le kršitev določb te uredbe, ampak tudi, da ji je bila s to kršitvijo povzročena taka škoda. Take škode torej ni mogoče domnevati samo zaradi nastanka navedene kršitve (glej v tem smislu sodbi z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C-300/21, EU:C:2023:370, točki 42 in 50, in z dne 11. aprila 2024, juris, C-741/21, EU:C:2024:288, točka 35).

142

Natančneje, posameznik, na katerega se nanaša kršitev SUVP, ki je imela negativne posledice zanj, mora dokazati, da gre pri teh posledicah za nepremoženjsko škodo v smislu člena 82 te uredbe, ker zgolj kršitev določb te uredbe ne zadostuje za priznanje pravice do odškodnine (sodba z dne 25. januarja 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, točka 60 in navedena sodna praksa).

143

Zato mora nacionalno sodišče, ki odloča o zadevi, kadar se oseba, ki zahteva odškodnino na podlagi tega člena 82(1), sklicuje na bojazen, da bo zaradi take kršitve v prihodnosti prišlo do zlorabe njenih osebnih podatkov, preveriti, ali je to bojazen v posebnih okoliščinah zadeve in v zvezi z zadevno osebo mogoče šteti za utemeljeno (sodba z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, točka 85).

144

Ne glede na to je Sodišče že razsodilo, da je ne le iz navedenega člena 82(1) SUVP v povezavi z uvodnima izjavama 85 in 146 te uredbe, ki vabijo k upoštevanju široke razlage pojma „nepremoženjska škoda“ v smislu te prvonavedene določbe, ampak tudi iz cilja zagotavljati visoko raven varstva posameznikov pri obdelavi osebnih podatkov, ki mu sledi navedena uredba, razvidno, da lahko že sama bojazen, ki jo posameznik, na katerega se nanašajo osebni podatki, občuti po kršitvi iste uredbe, da bi lahko tretje osebe zlorabile njegove osebne podatke, pomeni „nepremoženjsko škodo“ v smislu tega člena 82(1) (sodba z dne 20. junija 2024, PS (Napačen naslov), C-590/22, EU:C:2024:536, točka 32 in navedena sodna praksa).

145

Natančneje, iz neizčrpnega seznama „škode“, ki bi lahko nastala posameznikom, na katere se nanašajo osebni podatki, iz uvodne izjave 85, prvi stavek, SUVP je razvidno, da je želel zakonodajalec Unije v pojem „škoda“, ki bi lahko nastala posameznikom, na katere se nanašajo osebni podatki, med drugim vključiti že preprosto „izgubo nadzora“ nad njihovimi osebnimi podatki zaradi kršitve te uredbe, tudi če do zlorabe zadevnih podatkov dejansko ne bi prišlo (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, točka 82).

146

Poleg tega razlaga člena 82(1) SUVP, da pojem „nepremoženjska škoda“ v smislu te določbe ne zajema položajev, v katerih se posameznik, na katerega se nanašajo osebni podatki, sklicuje zgolj na svojo bojazen, da bodo njegove osebne podatke v prihodnosti zlorabile tretje osebe, ne bi bila v skladu z zagotavljanjem visoke ravni varstva posameznikov pri obdelavi osebnih podatkov v Uniji, ki se želi doseči s to uredbo (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, točka 83).

147

Prav tako tega pojma ni mogoče omejiti zgolj na škodo, ki je dovolj resna, zlasti glede na trajanje obdobja, v katerem so posamezniki, na katere se nanašajo osebni podatki, utrpeli negativne posledice kršitve navedene uredbe (glej v tem smislu sodbo z dne 14. decembra 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, točki 16 in 19 ter navedena sodna praksa).

148

Tako ni mogoče šteti, da je mogoče poleg treh pogojev iz točke 140 te sodbe dodati še druge pogoje za uveljavljanje odgovornosti iz člena 82(1) SUVP, kot sta občutnost škode ali objektivnost kršitve (sodba z dne 14. decembra 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, točka 17).

149

Ta določba tudi ne zahteva, da mora po dokazani kršitvi določb te uredbe „nepremoženjska škoda“, ki jo zatrjuje posameznik, na katerega se nanašajo osebni podatki, za povrnitev te škode doseči „prag de minimis“ (sodba z dne 14. decembra 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, točka 18).

150

Čeprav torej nič ne nasprotuje temu, da lahko objava osebnih podatkov na spletu in posledična izguba nadzora nad njimi za kratek čas posameznikom, na katere se nanašajo osebni podatki, povzročita „nepremoženjsko škodo“ v smislu člena 82(1) SUVP, ki daje pravico do odškodnine, morajo te osebe dokazati tudi, da so dejansko utrpele tako škodo, pa čeprav je ta minimalna (glej v tem smislu sodbi z dne 14. decembra 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, točka 22, in z dne 11. aprila 2024, juris, C-741/21, EU:C:2024:288, točka 42).

151

Nazadnje je treba pojasniti, da v okviru določitve zneska odškodnine, dolgovane iz naslova pravice do odškodnine za nepremoženjsko škodo, nepremoženjska škoda, povzročena s kršitvijo varstva osebnih podatkov, po naravi ni manj resna od telesne poškodbe (sodba z dne 20. junija 2024, Scalable Capital, C-182/22 in C-189/22, EU:C:2024:531, točka 39).

152

Poleg tega, kadar osebi uspe dokazati, da ji je kršitev SUVP povzročila škodo v smislu člena 82 te uredbe, morajo biti merila za določitev višine odškodnine, dolgovane v okviru tožb, katerih namen je varstvo pravic, ki jih imajo pravni subjekti na podlagi tega člena, določena v nacionalnem pravu vsake države članice, če je taka odškodnina celotna in učinkovita (glej v tem smislu sodbo z dne 20. junija 2024, Scalable Capital, C-182/22 in C-189/22, EU:C:2024:531, točka 43).

153

V zvezi s tem ima pravica do odškodnine, določena v tem členu 82(1), med drugim v primeru nepremoženjske škode, izključno kompenzacijsko funkcijo, saj mora denarna odškodnina, ki temelji na tej določbi, omogočiti, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve navedene uredbe, in nima odvračilne ali kaznovalne funkcije (glej v tem smislu sodbi z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C-300/21, EU:C:2023:370, točki 57 in 58, in z dne 11. aprila 2024, juris, C-741/21, EU:C:2024:288, točka 61).

154

Poleg tega je na eni strani uveljavljanje odgovornosti upravljavca na podlagi člena 82 SUVP pogojeno z obstojem napake tega upravljavca, ki se domneva, razen če ta upravljavec dokaže, da dogodka, ki je povzročil škodo, nikakor ni mogoče pripisati njemu, in da na drugi strani ta člen 82 ne zahteva, da se pri določitvi zneska odškodnine za nepremoženjsko škodo na podlagi navedenega člena upošteva stopnja resnosti te napake (sodbi z dne 21. decembra 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, točka 103, in z dne 25. januarja 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, točka 52).

155

V obravnavani zadevi je predložitveno sodišče, kot je bilo navedeno v točki 42 te sodbe, pojasnilo, da je Administrativen sad Dobrich (upravno sodišče v Dobriču) ugotovilo obstoj nepremoženjske škode, ki zajema negativna psihološka doživljanja in čustva OL, in sicer strah in zaskrbljenost zaradi morebitnih zlorab ter občutek nemoči in razočaranja, ker njenih osebnih podatkov ni bilo mogoče zavarovati. Razsodilo je tudi, da ta škoda izhaja iz dopisa agencije z dne26. januarja 2022, ki naj bi povzročil kršitev pravice do izbrisa v skladu s členom 17(1) SUVP in privedel do nezakonite obdelave njenih osebnih podatkov, vsebovanih v zadevni družbeni pogodbi, dostopni javnosti.

156

Glede na zgornje preudarke je treba na sedmo vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da je časovno omejena izguba nadzora posameznika, na katerega se nanašajo osebni podatki, nad njegovimi osebnimi podatki zaradi spletne objave teh podatkov v poslovnem registru države članice lahko dovolj za povzročitev „nepremoženjske škode“, če ta oseba dokaže, da je dejansko utrpela tako škodo, pa čeprav je ta minimalna, ne da bi ta pojem „nepremoženjska škoda“ zahteval dokaz obstoja dodatnih otipljivih negativnih posledic.

157

Predložitveno sodišče z osmim vprašanjem v bistvu sprašuje, ali je treba člen 82(3) SUVP razlagati tako, da mnenje nadzornega organa države članice, izdano na podlagi člena 58(3)(b) te uredbe, zadostuje za izključitev odgovornosti na podlagi člena 82(2) navedene uredbe organa, pristojnega za vodenje poslovnega registra te države članice, ki je „upravljavec“ v smislu člena 4, točka 7, te uredbe.

158

Na prvem mestu, v zvezi z ureditvijo odgovornosti iz člena 82 SUVP je treba opozoriti, da ta člen v odstavku 1 določa, da ima vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo. Kot je razvidno iz točke 140 te sodbe, morajo biti za to pravico do odškodnine izpolnjeni trije kumulativni pogoji.

159

V skladu s členom 82(2), prvi stavek, navedene uredbe je vsak upravljavec, vključen v obdelavo, odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. V tej določbi, ki določa ureditev odgovornosti – za katero je načelo določeno v odstavku 1 tega člena – so povzeti trije pogoji za nastanek pravice do odškodnine, in sicer obdelava osebnih podatkov, ki se izvede v nasprotju z določbami SUVP, škoda, ki je nastala posamezniku, na katerega se nanašajo osebni podatki, ter vzročna zveza med to nezakonito obdelavo in to škodo (sodba z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C-300/21, EU:C:2023:370, točka 36).

160

Člen 82(3) SUVP pa določa, da je upravljavec izvzet od odgovornosti iz tega odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.

161

Kot je Sodišče že razsodilo, iz povezane analize odstavkov od 1 do 3 člena 82 SUVP, konteksta, v katerega je umeščen ta člen, in ciljev, ki jih zakonodajalec Unije želi doseči s to uredbo, izhaja, da ta člen določa ureditev krivdne odgovornosti, pri kateri dokaznega bremena ne nosi oseba, ki je utrpela škodo, ampak upravljavec (glej v tem smislu sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, točki 94 in 95).

162

Natančneje, ne bi bilo v skladu s ciljem zagotavljanja visoke ravni varstva posameznikov pri obdelavi osebnih podatkov, če bi se odločili za razlago, v skladu s katero bi posamezniki, na katere se nanašajo osebni podatki in ki so utrpeli škodo zaradi kršitve SUVP, v okviru odškodninske tožbe na podlagi člena 82 SUVP nosili dokazno breme ne le glede obstoja te kršitve in škode, ki jim je zaradi kršitve nastala, temveč tudi glede obstoja krivdnega ravnanja upravljavca, ki ga je ta storil namerno ali iz malomarnosti, ali celo glede stopnje te krivde, čeprav ta člen 82 takih zahtev ne določa (glej v tem smislu sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, točka 99).

163

V skladu s sodno prakso, navedeno v točki 154 te sodbe, je odgovornost upravljavca na podlagi navedenega člena 82 tako pogojena z obstojem napake tega upravljavca, ki se domneva, razen če ta upravljavec dokaže, da dogodka, ki je povzročil škodo, nikakor ni mogoče pripisati njemu.

164

V zvezi s tem, kot je razvidno iz v zakonodajnem postopku izrecno dodanega besedila „v nobenem primeru“, morajo biti okoliščine, v katerih se lahko upravljavec sklicuje na to, da je oproščen civilne odgovornosti, ki bi jo sicer nosil na podlagi člena 82 SUVP, strogo omejene na tiste, v katerih je ta upravljavec zmožen dokazati, da mu škode ni mogoče pripisati (sodba z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, točka 70).

165

Sodišče je tudi razsodilo, da je lahko upravljavec v primeru kršitve varnosti osebnih podatkov, ki jo stori tretja oseba, kot je kibernetski kriminal, ali oseba, ki ukrepa pod vodstvom upravljavca, na podlagi člena 82(3) SUVP upravičen do oprostitve odgovornosti le, če dokaže, da ni nobene vzročne zveze med morebitno kršitvijo obveznosti varstva podatkov, ki jo ima na podlagi te uredbe, in škodo, ki jo je utrpel posameznik, na katerega se nanašajo osebni podatki (glej v tem smislu sodbi z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, točka 72, in z dne 11. aprila 2024, juris, C-741/21, EU:C:2024:288, točka 51).

166

Torej za to, da bi bil upravljavec lahko oproščen svoje odgovornosti na podlagi tega člena 82(3), ne more zadostovati, da dokaže, da je dal navodila osebam, ki ukrepajo pod njegovim vodstvom, v smislu navedene uredbe, in da ena od teh oseb svoje obveznosti upoštevanja teh navodil ni izpolnila, tako da je prispevala k nastanku zadevne škode (glej v tem smislu sodbo z dne 11. aprila 2024, juris, C-741/21, EU:C:2024:288, točka 52).

167

Na drugem mestu, kar zadeva pravila o dokaznih sredstvih, je treba opozoriti, da SUVP ne določa pravil v zvezi z dopustnostjo in dokazno vrednostjo dokaznih sredstev, ki jih morajo uporabljati nacionalna sodišča, ki odločajo o odškodninski tožbi na podlagi člena 82 te uredbe. Zato je treba ob neobstoju pravil prava Unije na tem področju v nacionalnem pravnem redu vsake države članice določiti pravila za obravnavo pravnih sredstev, katerih namen je zagotavljanje varstva pravic, ki jih imajo posamezniki na podlagi tega člena 82, in zlasti pravila o dokaznih sredstvih, pri čemer pa morata biti spoštovani načeli enakovrednosti in učinkovitosti (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, točka 60 in navedena sodna praksa).

168

Na tretjem mestu, v zvezi z mnenjem, izdanim na podlagi člena 58(3)(b) SUVP, je treba opozoriti, da ta člen določa pooblastila nadzornih organov.

169

Tako člen 58 SUVP v odstavku 1 tem organom podeljuje preiskovalna pooblastila, v odstavku 2 pooblastilo za sprejetje popravljalnih ukrepov, v odstavku 3 pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi, ki so našteta v njem, v odstavku 5 pa pooblastilo, da sodne organe opozorijo na kršitve te uredbe in po potrebi začnejo sodne postopke ali v njih drugače sodelujejo, da se zagotovi izvajanje določb navedene uredbe.

170

Med pooblastili, naštetimi v členu 58(3) SUVP, pa je v členu 58(3)(b) navedeno pooblastilo, „da na lastno pobudo ali na zahtevo izdaja[jo] mnenja za nacionalni parlament, vlado države članice ali, v skladu s pravom države članice, druge institucije in telesa, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov“.

171

Iz besedila te zadnje določbe, zlasti iz izraza „mnenje“, jasno izhaja, da spada izdaja takega mnenja med svetovalne pristojnosti, in ne med pooblastila nadzornega organa v zvezi z dovoljenji.

172

Uporaba izrazov „mnenje“ in „svetovalne pristojnosti“ prav tako kaže na to, da mnenje, izdano na podlagi člena 58(3)(b) SUVP, v skladu s pravom Unije ni pravno zavezujoče.

173

Uvodna izjava 143 SUVP potrjuje to razlago. V njej je namreč navedeno, da „bi morala imeti vsaka fizična ali pravna oseba na voljo učinkovito pravno sredstvo pred pristojnim nacionalnim sodiščem zoper odločitev nadzornega organa, ki ima pravne učinke za to osebo. Taka odločitev se nanaša zlasti na izvajanje preiskovalnih pooblastil nadzornega organa, popravljalnih pooblastil in pooblastil v zvezi z dovoljenji ali na zavržene ali zavrnjene pritožbe. Vendar pa ta pravica do učinkovitega pravnega sredstva ne zajema ukrepov nadzornih organov, ki niso pravno zavezujoči, kot so mnenja, ki jih izdajo nadzorni organi, ali njihovi nasveti.“

174

Ker pa mnenje, predloženo upravljavcu, ni pravno zavezujoče, samo po sebi ne more dokazovati, da odgovornosti za škodo ni mogoče pripisati temu upravljavcu, v smislu sodne prakse, navedene v točki 164 te sodbe, in posledično ne more zadostovati za to, da je navedeni upravljavec izvzet iz odgovornosti na podlagi člena 82(3) SUVP.

175

Taka razlaga tega člena 82(3) je tudi v skladu s ciljema, ki se uresničujeta s SUVP, in sicer zagotoviti visoko raven varstva posameznikov pri obdelavi njihovih osebnih podatkov in zagotoviti učinkovito odškodnino za škodo, ki jo lahko utrpijo zaradi obdelave teh podatkov, ki krši to uredbo. Če bi bilo namreč dovolj, da se upravljavec sklicuje na pravno nezavezujoče mnenje, da bi se izognil vsakršni odgovornosti in posledično vsakršni obveznosti povrnitve škode, upravljavec ne bi bil spodbujen k temu, da stori vse, kar je v njegovi moči, da zagotovi to visoko raven varstva in izpolni obveznosti, naložene z navedeno uredbo.

176

Glede na navedeno je treba na osmo vprašanje odgovoriti, da je treba člen 82(3) SUVP razlagati tako, da mnenje nadzornega organa države članice, izdano na podlagi člena 58(3)(b) te uredbe, ne zadostuje za izključitev odgovornosti na podlagi člena 82(2) navedene uredbe organa, pristojnega za vodenje poslovnega registra te države članice, ki je „upravljavec“ v smislu člena 4, točka 7, te uredbe.

177

Ker je ta postopek za stranke v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški navedenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (prvi senat) razsodilo: