–

Agentsia po vpisvaniyata, genom I.D. Ivanov och D.S. Miteva, båda i egenskap av ombud, biträdda av Z.N. Mandazhieva, advokat,

–

OL, biträdd av I. Stoynev och T. Tsonev, advokati,

–

Bulgariens regering, genom T. Mitova och R. Stoyanov, båda i egenskap av ombud,

–

Tysklands regering, genom J. Möller och P.-L. Krüger, båda i egenskap av ombud,

–

Irland, genom M. Browne, Chief State Solicitor, samt A. Joyce, M. Lane och M. Tierney, samtliga i egenskap av ombud, biträdda av I. Boyle Harper, BL,

–

Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av G. Natale, avvocato dello Stato,

–

Polens regering, genom B. Majczyna, i egenskap av ombud,

–

Finlands regering, genom A. Laine, i egenskap av ombud,

–

Europeiska kommissionen, genom A. Bouchagiar, C. Georgieva, H. Kranenborg, L. Malferrari och, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artiklarna 3 och 4 i Europaparlamentets och rådets direktiv 2009/101/EG av den 16 september 2009 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 48 andra stycket [EG] avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen (EUT L 258, 2009, s. 11), samt artiklarna 4, 6, 17, 58 och 82 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (allmän dataskyddsförordning) (nedan kallad dataskyddsförordningen).

2

Begäran har framställts i ett mål mellan Agentsia po vpisvaniyata (byrå med ansvar för inskrivning i register, Bulgarien) (nedan kallad registreringsbyrån) och OL. Målet rör registreringsbyråns vägran att radera vissa personuppgifter om OL som förekommer i ett bolagsavtal som offentliggjorts i handelsregistret.

3

Europaparlamentets och rådets direktiv (EU) 2017/1132 av den 14 juni 2017 om vissa aspekter av bolagsrätt (EUT L 69, 2017, s. 46) upphävde och ersatte direktiv 2009/101 från och med dess ikraftträdande den 20 juli 2017.

4

I skälen 1, 7, 8 och 12 i direktiv 2017/1132 anges följande:

…

…

5

I avsnitt 1, med rubriken ”Bildande av det publika aktiebolaget”, i kapitel II i avdelning I i direktiv 2017/1132, återfinns artikel 4, som har rubriken ”Uppgifter som ska tillhandahållas i bolagsordningen eller stiftelseurkunden eller i särskild handling”. Artikeln har följande lydelse:

”Minst följande uppgifter ska finnas antingen i bolagsordningen eller stiftelseurkunden eller i en särskild handling som ska offentliggöras enligt varje medlemsstats lagstiftning i överensstämmelse med artikel 16:

…

…”

6

Avsnitt 1, med rubriken ”Allmänna bestämmelser”, i kapitel III i avdelning I i direktivet innehåller artiklarna 13–28.

7

I artikel 13 i direktivet, som bär rubriken ”Tillämpningsområde”, föreskrivs följande:

”De samordningsåtgärder som detta avsnitt föreskriver ska vidtas i fråga om de bestämmelser i medlemsstaternas lagar eller andra författningar om bolagsformer som anges i bilaga II.”

8

I artikel 14 i direktiv 2017/1132, med rubriken ”Handlingar och uppgifter som ska offentliggöras av bolag”, föreskrivs följande:

”Medlemsstaterna ska se till att minst följande handlingar och uppgifter om ett bolag alltid offentliggörs:

…”

9

I artikel 15.1 i direktivet, med rubriken ”Ändring av handlingar och uppgifter”, föreskrivs följande:

”Medlemsstaterna ska vidta de åtgärder som krävs för att se till att alla ändringar i de handlingar och uppgifter som avses i artikel 14 införs i det behöriga register som avses i artikel 16.1 första stycket och offentliggörs i enlighet med artikel 16.3 och 16.5, vanligtvis inom 21 dagar från mottagandet av den fullständiga dokumentationen avseende dessa ändringar, inklusive, i tillämpliga fall, en laglighetskontroll i enlighet med nationell lagstiftning för införande i akten.”

10

Artikel 16 i direktivet, med rubriken ”Offentliggörande i registret”, har följande lydelse:

”1.   I varje medlemsstat ska en akt läggas upp för varje bolag i det centrala register, handels- eller företagsregister (nedan kallat registret) där bolaget är registrerat.

…

”3.   Alla handlingar och uppgifter som är offentliga enligt artikel 14 ska förvaras i akten eller föras in i registret; av akten ska alltid framgå vad som har förts in i registret.

Medlemsstaterna ska se till att bolagen och samtliga övriga personer och organ som är anmälningsskyldiga eller skyldiga att medverka kan ge in alla handlingar och uppgifter som ska offentliggöras enligt artikel 14 i elektronisk form. Dessutom kan medlemsstaterna ålägga alla bolag eller vissa kategorier av bolag att ge in alla dessa handlingar och uppgifter eller vissa slag av dem i elektronisk form.

Alla handlingar och uppgifter som avses i artikel 14 som getts in, oavsett om det är i pappersform eller elektronisk form, ska införas i registret eller omskrivas i detta i elektronisk form. Medlemsstaterna ska därför se till att alla handlingar och uppgifter som ges in i pappersform omvandlas till elektronisk form i registret.

…

4.   En fullständig eller partiell kopia av de handlingar och uppgifter som avses i artikel 14 ska finnas att tillgå på begäran. Ansökan kan inlämnas till registret i pappersform eller i elektronisk form enligt den sökandes val.

…

5.   De i punkt 3 avsedda handlingarna och uppgifterna ska offentliggöras i den av medlemsstaten utsedda nationella tidningen, antingen genom att de helt eller delvis återges eller genom hänvisning till den handling som tagits in i akten eller förts in i registret. Den utsedda nationella tidningen kan vara en tidning i elektronisk form.

Medlemsstaterna får besluta att ersätta offentliggörandet i den nationella tidningen med en lika effektiv metod som i vart fall ska inbegripa användning av ett system varigenom den offentliggjorda informationen är tillgänglig i kronologisk ordning via en central elektronisk plattform.

6.   Bolaget får åberopa handlingar och uppgifter mot tredje man först sedan de har offentliggjorts enligt punkt 5, om inte bolaget visar att tredje man kände till handlingen eller uppgiften.

…

7.   Medlemsstaterna ska vidta de åtgärder som behövs för att hindra bristande överensstämmelse mellan vad som offentliggörs i enlighet med punkt 5 och vad som framgår av registret eller akten.

Vid bristande överensstämmelse får den i enlighet med punkt 5 offentliggjorda texten inte åberopas mot tredje man. Denne får emellertid åberopa den sistnämnda texten, om inte bolaget visar att tredje man kände till den i registret eller akten intagna texten.

…”

11

I artikel 21 i direktiv 2017/1132, med rubriken ”Språk vid offentliggörande och översättning av de handlingar och uppgifter som ska offentliggöras”, föreskrivs följande:

”1.   De handlingar och uppgifter som ska offentliggöras enligt artikel 14 ska upprättas och ges in på ett av de språk som tillåts enligt de språkregler som gäller i den medlemsstat i vilken den akt som avses i artikel 16.1 har lagts upp.

2.   Utöver det obligatoriska offentliggörande som avses i artikel 16 ska medlemsstaterna tillåta att översättningar av de i artikel 14 avsedda offentliga handlingarna och uppgifterna offentliggörs på frivillig basis i enlighet med bestämmelserna i artikel 16 på vilket eller vilka som helst av [Europeiska] unionens officiella språk.

Medlemsstaterna får kräva att översättningen av sådana handlingar och uppgifter ska vara auktoriserad.

Medlemsstaterna ska vidta nödvändiga åtgärder för att underlätta tredje mans tillgång till de på frivillig basis offentliggjorda översättningarna.

3.   Utöver det obligatoriska offentliggörande som avses i artikel 16 och det offentliggörande som är tillåtet enligt punkt 2 i den här artikeln kan medlemsstaterna tillåta att de avsedda handlingarna och uppgifterna offentliggörs i enlighet med artikel 16 på vilket eller vilka andra språk som helst.

…

4.   Vid avvikelser mellan de handlingar och uppgifter som offentliggjorts på registrets officiella språk och den på frivillig basis offentliggjorda översättningen får översättningen inte åberopas gentemot tredje man. …”

12

Artikel 161 i direktiv 2017/1132, med rubriken ”Skydd av personuppgifter”, har följande lydelse:

”Den behandling av personuppgifter som utförs inom ramen för detta direktiv ska omfattas av [Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31)].”

13

Direktivets artikel 166 har rubriken ”Upphävande” och lyder enligt följande:

”Direktiv … 2009/101/EG … och 2012/30/EU … ska upphöra att gälla …

Hänvisningar till de upphävda direktiven ska anses som hänvisningar till det här direktivet och ska läsas i enlighet med jämförelsetabellen i bilaga IV.”

14

Bilaga II till direktiv 2017/1132 innehåller en uppräkning av de bolagsformer som avses i artiklarna 7.1, 13, 29.1, 36.1, 67.1 och 119.1 a i direktivet, däribland, vad gäller Bulgarien, OOD.

15

Enligt jämförelsetabellen i bilaga IV till direktiv 2017/1132 motsvarar artiklarna 2, 2a, 3, 4 och 7a i direktiv 2009/101 artiklarna 14, 15, 16, 21 och 161 i direktiv 2017/1132. Vidare motsvarar artikel 3 i direktiv 2012/30 artikel 4 i direktiv 2017/1132.

16

Direktiv 2017/1132 har ändrats bland annat genom Europaparlamentets och rådets direktiv (EU) 2019/1151 av den 20 juni 2019 om ändring av direktiv (EU) 2017/1132 vad gäller användningen av digitala verktyg och förfaranden inom bolagsrätt (EUT L 186, 2019, s. 80), som trädde i kraft den 31 juli 2019 och där det i artikel 1, med rubriken ”Ändringar av direktiv … 2017/1132”, föreskrivs följande:

”Direktiv [2017/1132] ska ändras på följande sätt:

…

6) Artikel 16 ska ersättas med följande:

’Artikel 16

Offentliggörande i registret

1.   I varje medlemsstat ska en akt läggas upp för varje bolag i det centrala register, handels- eller företagsregister (nedan kallat registret) där bolaget är registrerat.

…

2.   Alla handlingar och all information som är offentliga enligt artikel 14 ska förvaras i akten enligt punkt 1 i denna artikel, eller föras in direkt i registret, och innehållet i uppgifterna i registret ska registreras i akten.

Alla handlingar och all information som avses i artikel 14 ska, oberoende av det sätt på vilket de getts in, förvaras i akten i registret eller föras in direkt i registret i elektronisk form. Medlemsstaterna ska säkerställa att alla handlingar och all information som lämnas in i pappersform omvandlas till elektronisk form av registret så snart som möjligt.

…

3.   Medlemsstaterna ska säkerställa att offentliggörandet av handlingar och information som avses i artikel 14 sker genom att de görs offentligt tillgängliga i registret. Medlemsstaterna får också kräva att vissa eller alla handlingar och viss eller all information offentliggörs i en nationell officiell tidning som utsetts för detta ändamål, eller på ett lika effektivt sätt. …

4.   Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att hindra bristande överensstämmelse mellan det som framgår av registret och akten.

Medlemsstater som kräver att handlingar och information offentliggörs i en nationell tidning eller på en central elektronisk plattform ska vidta de åtgärder som är nödvändiga för att hindra bristande överensstämmelse mellan det som offentliggörs i enlighet med punkt 3 och det som offentliggörs i tidningen eller på plattformen.

I fall av bristande överensstämmelse enligt denna artikel ska de handlingar och den information som finns i registret gälla.

5.   Bolaget får åberopa handlingar och information som avses i artikel 14 mot tredje man först sedan de har offentliggjorts enligt punkt 3 i den här artikeln, om inte bolaget visar att tredje man kände till handlingen eller uppgiften.

…

6.   Medlemsstaterna ska säkerställa att alla handlingar och all information som inges som en del av bildandet av ett bolag, registreringen av en filial eller ingivandet från ett bolag eller en filial, lagras av registren i maskinläsbart och sökbart format eller som strukturerade data.’

7) Följande artikel ska införas:

’Artikel 16a

Tillgång till offentliggjord information

1.   Medlemsstaterna ska säkerställa att en fullständig eller partiell kopia av de handlingar eller den information som avses i artikel 14 kan erhållas från registret på begäran ….’

…

19) Artikel 161 ska ersättas med följande:

’Artikel 161

Dataskydd

All behandling av personuppgifter inom ramen för detta direktiv ska omfattas av [dataskyddsförordningen].’”

17

I artikel 2 i direktiv 2019/1151, med rubriken ”Införlivande”, föreskrivs följande:

”1.   Medlemsstaterna ska senast den 1 augusti 2021 sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa detta direktiv. …

2.   Utan hinder av punkt 1 i denna artikel ska medlemsstaterna senast den 1 augusti 2023 sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa … artikel 1.6 i detta direktiv, vad gäller artikel 16.6 i direktiv [2017/1132].

3.   Genom undantag från punkt 1 ska medlemsstater som stöter på särskilda svårigheter vid införlivandet av detta direktiv ha rätt att få en förlängning på upp till ett år av den införlivandeperiod som föreskrivs i punkt 1. …

…”

18

Skälen 26, 32, 40, 42, 43, 50, 85, 143 och 146 i dataskyddsförordningen lyder enligt följande:

…

…

…

…

…

…

…

19

I artikel 4 i dataskyddsförordningen, med rubriken ”Definitioner”, föreskrivs följande:

”I denna förordning avses med

…

…

…

…”

20

I artikel 5 i dataskyddsförordningen, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:

”1.   Vid behandling av personuppgifter ska följande gälla:

…

…

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

21

Artikel 6 i dataskyddsförordningen, med rubriken ”Laglig behandling av personuppgifter”, har följande lydelse:

”1.   Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

…

…

…

3.   Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

…”

22

I artikel 17 i dataskyddsförordningen, med rubriken ”Rätt till radering (’rätten att bli bortglömd’)”, föreskrivs följande:

”1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

…

3.   Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

…

…”

23

Artikel 21.1 i dataskyddsförordningen har följande lydelse:

”Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.”

24

I artikel 58 i dataskyddsförordningen anges följande:

”1.   Varje tillsynsmyndighet ska ha samtliga följande utredningsbefogenheter

…

2.   Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

…

3.   Varje tillsynsmyndighet ska ha samtliga följande befogenheter att utfärda tillstånd och att ge råd:

…

…

4.   Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med [Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan)].

5.   Varje medlemsstat ska i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och vid behov att inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i denna förordning.

6.   Varje medlemsstat får i lagstiftning föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter utöver dem som avses i punkterna 1, 2 och 3. Utövandet av dessa befogenheter ska inte påverka den effektiva tillämpningen av kapitel VII.”

25

Artikel 82 i dataskyddsförordningen, med rubriken ”Ansvar och rätt till ersättning”, har följande lydelse:

”1.   Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.   Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

3.   Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

…”

26

I artikel 94 i förordningen föreskrivs följande:

”1.   Direktiv [95/46] ska upphöra att gälla med verkan från och med den 25 maj 2018.

2.   Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. …”

27

Artikel 2 i Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (lag om handelsregistret och registret över juridiska personer med ideell verksamhet) (DV nr 34 av den 25 april 2006), i den lydelse som är tillämplig i det nationella målet (nedan kallad registerlagen), har följande lydelse:

”1)   Handelsregistret och registret över juridiska personer med ideell verksamhet utgör en samlad elektronisk databas som innehåller omständigheter som ska registreras enligt lag och handlingar som ska göras offentligt tillgängliga enligt lag, vilka avser näringsidkare och filialer till utländska näringsidkare, juridiska personer med ideell verksamhet och filialer till utländska juridiska personer med ideell verksamhet.

2)   De omständigheter och handlingar som avses i punkt 1 ska göras offentligt tillgängliga utan sådana uppgifter som utgör personuppgifter i den mening som avses i artikel 4 led 1 i [dataskyddsförordningen], med undantag av de uppgifter som måste göras offentligt tillgängliga enligt lag.”

28

I artikel 3 i nämnda lag föreskrivs följande:

”Handelsregistret och registret över juridiska personer med ideell verksamhet förs av [byrån], som är knuten till Ministar na pravosadieto [justitieministeriet, Bulgarien].”

29

Artikel 6.1 i nämnda lag har följande lydelse:

”Alla näringsidkare och alla juridiska personer med ideell verksamhet är skyldiga att ansöka om inskrivning i handelsregistret och registret över juridiska personer med ideell verksamhet och härvid lämna information om sådana omständigheter som kräver registrering och ge in de handlingar som ska offentliggöras för allmänheten.”

30

Artikel 11 i denna lag har följande lydelse:

”1)   Handelsregistret och registret över juridiska personer med ideell verksamhet är offentliga. Var och en har rätt att fritt och utan kostnad ta del av informationen i den databas som registren består av.

2)   [Registreringsbyrån] ska tillförsäkra registrerad tillgång till akter som rör näringsidkare eller juridiska personer med ideell verksamhet.”

31

I artikel 13.1, 13.2, 13.6 och 13.9 i registerlagen föreskrivs följande:

”1)   Registrering, radering och offentliggörande ska ske på grundval av en ansökningsblankett.

2)   Ansökan ska innehålla följande:

1. Sökandens kontaktuppgifter.

…

3. Den omständighet som ska registreras, den registrerade uppgift för vilken radering begärs eller den handling som ska offentliggöras.

…

6)   [A]nsökan ska åtföljas av de handlingar eller, i förekommande fall, den urkund som ska offentliggöras enligt lag. En handling ska ges in i form av original, en av sökanden bestyrkt kopia eller en av notarie bestyrkt kopia. Sökanden ska även ge in bestyrkta kopior av urkunder som ska offentliggöras i handelsregistret, i vilka andra personuppgifter än de som krävs enligt lag ska vara maskerade.

…

9)   Om ansökan eller de bifogade handlingarna innehåller personuppgifter som inte krävs enligt lag, ska de personer som har lämnat dessa uppgifter anses ha lämnat sitt samtycke till att uppgifterna får behandlas av registreringsbyrån och offentliggöras.

…”

32

I artikel 101 led 3 i Targovski zakon (handelslagen) (DV nr 48, av den 18 juni 1991), i den lydelse som är tillämplig i det nationella målet (nedan kallad handelslagen), anges att bolagsavtalet ska innehålla ”bolagsmännens namn, företagsnamn och unika identifieringskod”.

33

Artikel 119 i samma lag föreskriver följande:

”1)   För registrering i handelsregistret krävs följande:

1. Bolagsavtalet, vilket blir offentligt, ska uppvisas.

…

2)   De uppgifter som avses ovan i punkt 1 … ska registreras …

…

4)   För att ändra eller komplettera bolagsavtalet i handelsregistret ska en kopia av avtalet, med alla ändringar och tillägg, vilken ska ha bestyrkts av det organ som företräder bolaget, lämnas in för offentliggörande.”

34

I artikel 6 i Naredba no 1 ot 14 fevruari 2007 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel (förordning nr 1 om förande, upprätthållande och tillgång till handelsregistret och registret över juridiska personer med ideell verksamhet) av den 14 februari 2007 (DV nr 18 av den 27 februari 2007), som antagits av Ministar na pravosadieto (justitieministern), i den lydelse som är tillämplig i det nationella målet, föreskrivs följande:

”Registrering och radering i handelsregistret och registret över juridiska personer med ideell verksamhet ska ske på grundval av ett ansökningsformulär i enlighet med bilagorna [innehållande särskilda formulär]. Offentliggörande av handlingar i handelsregistret och registret över juridiska personer med ideell verksamhet ska ske på grundval av ett ansökningsformulär i enlighet med bilagorna [innehållande särskilda formulär].”

35

OL är delägare i Praven Shtit Konsulting OOD, som är ett bolag med begränsat ansvar bildat enligt bulgarisk rätt. Bolaget registrerades i handelsregistret den 14 januari 2021 efter uppvisande av ett bolagsavtal som ingåtts den 30 december 2020 och undertecknats av delägarna i bolaget.

36

Detta avtal, innehållande OL:s för- och efternamn, id-nummer, id-kortsnummer, datum och ort för id-kortets utfärdande samt OL:s adress och namnteckning, offentliggjordes av byrån utan några modifieringar.

37

Den 8 juli 2021 begärde OL att registreringsbyrån skulle radera hennes personuppgifter i bolagsavtalet och angav att hon, för det fall behandlingen av hennes uppgifter baserades på hennes samtycke, återkallade detta.

38

Då registreringsbyrån inte besvarade hennes begäran väckte hon talan vid Administrativen sad Dobritj (Förvaltningsdomstolen i Dobritj, Bulgarien), som genom dom av den 8 december 2021 upphävde registreringsbyråns tysta avslag på begäran om radering av uppgifterna och återförvisade ärendet till registreringsbyrån för ett nytt beslut.

39

För att verkställa denna dom, och en liknande dom avseende den andra delägaren som hade vidtagit samma åtgärder, meddelade registreringsbyrån i en skrivelse av den 26 januari 2022 att registreringsbyrån, för att kunna bifalla OL:s begäran om radering av personuppgifterna, behövde få in en bestyrkt kopia av bolagsavtalet, där delägarnas personuppgifter (med undantag för de uppgifter som krävdes enligt lag) hade maskerats.

40

Den 31 januari 2022 väckte OL återigen talan vid Administrativen sad Dobritj (Förvaltningsdomstolen i Dobritj) och yrkade att det beslut som kommit till uttryck genom skrivelsen skulle upphävas och att registreringsbyrån skulle förpliktas att ersätta den immateriella skada som skrivelsen – vilken medfört ett åsidosättande av hennes rättigheter enligt dataskyddsförordningen – hade orsakat henne.

41

Den 1 februari 2022, innan byrån delgavs nämnda talan, raderade den på eget initiativ OL:s id-nummer, uppgifterna om hennes id-kort och hennes adress, men inte hennes efternamn, förnamn och namnteckning.

42

Genom dom av den 5 maj 2022 upphävde Administrativen sad Dobritj (Förvaltningsdomstolen i Dobritj) beslutet i skrivelsen av den 26 januari 2022 och förpliktade registreringsbyrån att ersätta OL med 500 bulgariska lev (BGN) (ungefär 255 euro), utöver lagstadgad ränta, för immateriell skada enligt artikel 82 i dataskyddsförordningen. Det angavs i domen att skadan dels bestod i de negativa psykologiska och känslomässiga erfarenheter som OL haft, närmare bestämt den rädsla och oro hon känt inför risken för att uppgifterna skulle komma att missbrukas, samt den känsla av maktlöshet och besvikelse som berott på att hon inte hade kunnat skydda sina personuppgifter. Dels var skadan ett resultat av skrivelsen, vilken hade lett till ett åsidosättande av rätten till radering enligt artikel 17.1 i dataskyddsförordningen samt till otillåten behandling av de personuppgifter som återfanns i det bolagsavtal som hade gjorts tillgängligt för allmänheten.

43

Byrån överklagade denna dom till den hänskjutande domstolen, Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien).

44

Enligt den hänskjutande domstolen har byrån gjort gällande att den inte bara är personuppgiftsansvarig, utan även mottagare av de personuppgifter som överförts inom ramen för förfarandet för registreringen av Praven Shtit Konsulting. Byrån har vidare anfört att den före inskrivningen av bolaget i handelsregistret hade begärt att få in en kopia av bolagsavtalet där de personuppgifter avseende OL som inte behövde göras tillgängliga för allmänheten maskerats, men att byrån inte erhållit någon sådan kopia, och att endast det faktum att en sådan kopia inte lämnats in inte kan utgöra hinder för inskrivning av ett rörelseidkande bolag i registret. Registreringsbyrån anser att detta följer av yttrande nr 01‑116(20)/01.02.2021 som den nationella tillsynsmyndigheten, Komisia za zashtita na lichnite danni (kommissionen för skydd av personuppgifter, Bulgarien) (nedan kallad personuppgiftskommissionen), avgav med stöd av artikel 58.3 b i dataskyddsförordningen och som byrån hänför sig till. Den hänskjutande domstolen påpekar att OL är av uppfattningen att byrån inte i egenskap av personuppgiftsansvarig kan lägga över sina skyldigheter i fråga om radering av personuppgifter på andra personer, eftersom det yttrandet enligt nationell rättspraxis inte är förenligt med bestämmelserna i dataskyddsförordningen.

45

Den hänskjutande domstolen har tillagt att det, mot bakgrund av denna dominerande nationella rättspraxis, framstår som nödvändigt att få till stånd ett klargörande av förordningens krav. Den hänskjutande domstolen vill särskilt få klarhet i hur rätten till uppgiftsskydd ska förenas med det regelverk som säkerställer offentliggörande och tillgång till vissa bolagshandlingar. Den har härvid bland annat angett att domen av den 9 mars 2017, Manni (C‑398/15, EU:C:2017:197), inte löser de tolkningssvårigheter som situationen i det nu aktuella nationella målet ger upphov till.

46

Mot denna bakgrund beslutade Varhoven administrativen sad (Högsta förvaltningsdomstolen) att vilandeförklara målet och hänskjuta följande frågor till EU-domstolen:

47

Det ska inledningsvis påpekas att de frågor som ställts avser tolkningen av såväl dataskyddsförordningen som direktiv 2009/101. Detta direktiv har kodifierats och ersatts av direktiv 2017/1132, vilket är tillämpligt i tiden (ratione temporis) på omständigheterna i det nationella målet. Begäran om förhandsavgörande ska följaktligen tolkas så, att den avser tolkningen av direktiv 2017/1132.

48

Såsom generaladvokaten påpekade i punkt 15 i sitt förslag till avgörande, ägde vissa av dessa omständigheter rum efter den 1 augusti 2021, då fristen för införlivande av direktiv 2019/1151, som anges i artikel 2.1 i sistnämnda direktiv, löpte ut. Det ankommer därför på den hänskjutande domstolen att pröva huruvida dessa omständigheter omfattas av det tidsmässiga tillämpningsområdet (ratione temporis) för direktiv 2017/1132, eller för direktiv 2017/1132 i dess lydelse enligt direktiv 2019/1151.

49

Det ska emellertid påpekas att de ändringar av ordalydelsen i artiklarna 16 och 161 i direktiv 2017/1132 och det tillägg av en artikel 16a i detta direktiv som följer av direktiv 2019/1151 saknar betydelse för den bedömning som EU-domstolen ska göra i förevarande mål, varför de svar som kommer att lämnas i förevarande dom under alla omständigheter kommer att vara relevanta.

50

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 21.2 i direktiv 2017/1132 ska tolkas så, att en medlemsstat är skyldig att tillåta ett offentliggörande av ett bolagsavtal som omfattas av det obligatoriska offentliggörande som föreskrivs i detta direktiv och som utöver de uppgifter som måste finnas med även innehåller andra personuppgifter som inte behöver offentliggöras enligt denna medlemsstats nationella rätt.

51

Den hänskjutande domstolen vill särskilt få klarhet i innebörden av det frivilliga offentliggörande som nämns i denna bestämmelse och få det fastställt huruvida nämnda bestämmelse innebär en skyldighet för medlemsstaterna att tillåta offentliggörande av uppgifter som finns med i bolagens handlingar, bland annat personuppgifter, som enligt medlemsstaternas bestämmelser inte krävs för det obligatoriska offentliggörande som föreskrivs i direktivet.

52

I artikel 21.2 första stycket i direktiv 2017/1132 föreskrivs att ”[u]töver det obligatoriska offentliggörande som avses i artikel 16 [i detta direktiv] ska medlemsstaterna tillåta att översättningar av de i artikel 14 [i nämnda direktiv] avsedda offentliga handlingarna och uppgifterna offentliggörs på frivillig basis i enlighet med bestämmelserna i artikel 16 [i direktivet] på vilket eller vilka som helst av unionens officiella språk”. Enligt artikel 21.2 andra stycket får medlemsstaterna kräva att ”översättningen av sådana handlingar och uppgifter” ska vara auktoriserad. Slutligen avser tredje stycket i artikel 21.2 de åtgärder som är nödvändiga för att underlätta tillgången för tredje man till ”översättningar” som har offentliggjorts på frivillig basis.

53

Artikel 14 i direktiv 2017/1132 innehåller en uppräkning av de handlingar och uppgifter som alltid ska offentliggöras av ett bolag. Dessa handlingar och uppgifter ska, i enlighet med artikel 16.3–16.5 i direktivet, förvaras i akten eller föras in i registret, gå att få tillgång till i form av en fullständig eller partiell kopia som kan erhållas på begäran, samt offentliggöras i den nationella tidningen – antingen genom att de helt eller delvis återges eller genom hänvisning – eller med hjälp av en lika effektiv metod.

54

Med hänsyn till bland annat den upprepade användningen av ordet ”översättningar” i artikel 21.2 i direktiv 2017/1132, framgår det av ordalydelsen i denna bestämmelse att den avser den frivilliga publiceringen av översättningarna av de handlingar och uppgifter som avses i artikel 14 i direktivet på ett av unionens officiella språk, och således endast språket för offentliggörandet av dessa handlingar och uppgifter. Bestämmelsen hänvisar däremot inte till innehållet i nämnda handlingar och uppgifter.

55

Ordalydelsen i artikel 21.2 i direktiv 2017/1132 tyder således på att denna bestämmelse inte kan tolkas så, att den ålägger medlemsstaterna någon som helst skyldighet att offentliggöra personuppgifter som inte måste offentliggöras enligt andra bestämmelser i unionsrätten eller i den berörda medlemsstatens nationella rätt, men som förekommer i en handling som omfattas av det obligatoriska offentliggörande som föreskrivs i direktivet.

56

När innebörden av en unionsbestämmelse otvetydigt framgår av själva lydelsen av bestämmelsen, kan domstolen inte avvika från denna tolkning (dom av den 25 januari 2022, VYSOČINA WIND, C‑181/20, EU:C:2022:51, punkt 39).

57

Vad gäller det sammanhang i vilket artikel 21.2 i direktiv 2017/1132 ingår, ger rubriken till denna artikel, som hänvisar till ”Språk vid offentliggörande och översättning av de handlingar och uppgifter som ska offentliggöras”, liksom övriga punkter i nämnda artikel, under alla omständigheter stöd för tolkningen i punkt 55 ovan.

58

I artikel 21.1 i direktiv 2017/1132 föreskrivs nämligen att ”[d]e handlingar och uppgifter som ska offentliggöras enligt artikel 14 ska upprättas och ges in på ett av de språk som tillåts” enligt de nationella regler som är tillämpliga på området. I artikel 21.3 i direktivet föreskrivs att medlemsstaterna, utöver det obligatoriska offentliggörande som avses i artikel 16 i direktivet och det offentliggörande som är tillåtet enligt artikel 21.2 i samma direktiv, kan tillåta att de avsedda handlingarna och uppgifterna offentliggörs ”på vilket eller vilka andra språk som helst”. I artikel 21.4 hänvisas till ”den på frivillig basis offentliggjorda översättningen”.

59

Tolkningen ovan i punkt 55 bekräftas slutligen av skäl 12 i direktivet, enligt vilket tillgången till bolagsinformation över nationsgränserna bör förenklas genom att de bolag som så önskar tillåts offentliggöra handlingar och uppgifter på ytterligare språk utöver det obligatoriska offentliggörandet på ett officiellt språk i bolagets medlemsstat.

60

Med hänsyn till det ovan anförda ska den första tolkningsfrågan besvaras enligt följande. Artikel 21.2 i direktiv 2017/1132 ska tolkas så, att en medlemsstat inte är skyldig att tillåta ett offentliggörande i handelsregistret av ett bolagsavtal som omfattas av det obligatoriska offentliggörande som föreskrivs i detta direktiv och som utöver de uppgifter som måste finnas med även innehåller andra personuppgifter som inte behöver offentliggöras enligt denna medlemsstats nationella rätt.

61

Med hänsyn till svaret på den första frågan saknas anledning att besvara den andra och den tredje frågan, vilka endast har ställts för det fall den första frågan besvaras jakande.

62

Den hänskjutande domstolen har ställt den femte frågan, som ska prövas före den fjärde frågan, för att få klarhet i huruvida dataskyddsförordningen, särskilt artikel 4 leden 7 och 9, ska tolkas så, att den myndighet med ansvar för handelsregistret i en medlemsstat som i detta register offentliggör personuppgifter som finns med i ett bolagsavtal, vilket omfattas av det obligatoriska offentliggörande som föreskrivs i direktiv 2017/1132 och vilket lämnas in till myndigheten i samband med en ansökan om inskrivning av bolaget i nämnda register, är såväl ”mottagare” av uppgifterna som ”personuppgiftsansvarig” för dessa uppgifter i den mening som avses i denna bestämmelse.

63

Domstolen erinrar inledningsvis om att enligt artikel 161 i direktiv 2017/1132 ska all behandling av personuppgifter inom ramen för detta direktiv omfattas av direktiv 95/46 och följaktligen av dataskyddsförordningen, i vars artikel 94.2 det preciseras att hänvisningar till direktiv 95/46 ska anses som hänvisningar till dataskyddsförordningen.

64

Härvid ska det först och främst framhållas att det följer av artikel 14 a, b och d leden i) och ii) i direktiv 2017/1132, att medlemsstaterna ska se till att offentliggörandet åtminstone alltid inbegriper bolagets stiftelseurkund, ändringar av denna, tillsättande och entledigande av samt personuppgifter om dem som i egenskap av i lagstiftningen föreskrivet bolagsorgan eller som medlemmar i ett sådant organ är behöriga att företräda bolaget mot tredje man och i rättegång eller deltar i ledning, tillsyn eller kontroll av bolaget. Enligt artikel 4 led i) i direktivet är det obligatoriskt att i den stiftelseurkund som offentliggörs lämna uppgifter om identiteten hos de fysiska eller juridiska personer eller bolag av vilka eller i vilkas namn stiftelseurkunden har undertecknats.

65

Såsom angetts ovan i punkt 53 ska dessa handlingar och uppgifter, i enlighet med artikel 16.3–16.5 i direktivet, förvaras i akten eller föras in i registret, gå att få tillgång till i form av en fullständig eller partiell kopia som kan erhållas på begäran, samt offentliggöras i den nationella tidningen – antingen genom att de helt eller delvis återges eller genom hänvisning – eller med hjälp av en lika effektiv metod.

66

Såsom generaladvokaten påpekade i punkt 26 i sitt förslag till avgörande ankommer det således på medlemsstaterna att särskilt fastställa vilka kategorier av uppgifter om identiteten hos de personer som avses i artikel 4 led i) och artikel 14 led d) i direktiv 2017/1132, och i synnerhet vilka typer av personuppgifter som ska offentliggöras, med iakttagande av unionsrätten.

67

Upplysningarna om identiteten hos dessa personer avser identifierade eller identifierbara fysiska person och utgör därigenom personuppgifter i den mening som avses i artikel 4 led 1 i dataskyddsförordningen (se, för ett liknande resonemang, dom av den 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, punkt 34).

68

Detsamma gäller ytterligare upplysningar om identiteten hos dessa personer, eller andra personkategorier, som medlemsstaterna beslutar att kräva offentliggörande av, eller som, såsom i förevarande fall, förekommer i de handlingar som offentliggjorts även om det inte enligt direktiv 2017/1132 eller enligt den nationella lagstiftning som genomför detta direktiv krävs att de görs tillgängliga.

69

Vad därefter gäller begreppet ”mottagare” i den mening som avses i artikel 4 led 9 i dataskyddsförordningen avses med detta ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte”. I bestämmelsen preciseras att offentliga myndigheter som mottar personuppgifter inom ramen för ett särskilt uppdrag inte omfattas av denna definition enligt unionsrätten eller en medlemsstats nationella rätt.

70

När den myndighet som ansvarar för handelsregistret i en medlemsstat i samband med en begäran om inskrivning av ett bolag i handelsregistret i en medlemsstat tar emot sådana handlingar som omfattas av det obligatoriska offentliggörandet och som avses i artikel 14 i direktiv 2017/1132 och som innehåller personuppgifter, oavsett om dessa uppgifter krävs eller ej, enligt nämnda direktiv eller enligt nationell rätt, har myndigheten ställning som ”mottagare” av dessa uppgifter i den mening som avses i artikel 4 led 9 i dataskyddsförordningen.

71

Slutligen kan det konstateras att det framgår av artikel 4 led 7 i dataskyddsförordningen att begreppet ”personuppgiftsansvarig” omfattar fysiska eller juridiska personer, de myndigheter, de institutioner eller de andra organ som ensamma eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. I den bestämmelsen anges även att om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

72

Enligt domstolens praxis syftar denna bestämmelse till att, genom en vid definition av begreppet ”personuppgiftsansvarig”, säkerställa ett effektivt och komplett skydd för de berörda personerna (dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning), C‑231/22, EU:C:2024:7, punkt 28 och där angiven rättspraxis).

73

Mot bakgrund av ordalydelsen i artikel 4 led 7 i dataskyddsförordningen, jämförd med detta syfte, gör domstolen följande bedömning. För att avgöra huruvida en person eller enhet ska kvalificeras som ”personuppgiftsansvarig” i den mening som avses i denna bestämmelse, ska det undersökas huruvida denna person eller denna enhet ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen eller om dessa bestäms av unionsrätten eller nationell rätt. När dessa bestäms av nationell rätt, ska det sedan prövas huruvida det i nationell rätt föreskrivs vem som är personuppgiftsansvarig eller om det däri föreskrivs särskilda kriterier för hur denne ska utses (se, för ett liknande resonemang, dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning), C‑231/22, EU:C:2024:7, punkt 29).

74

Det ska även förtydligas att med hänsyn till den vida definitionen av begreppet personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen kan bestämmandet av ändamålen och medlen för behandlingen och, i förekommande fall, fastställandet av den personuppgiftsansvarige enligt nationell rätt inte bara vara uttryckligt utan även underförstått. I det senare fallet krävs det emellertid att detta bestämmande på ett tillräckligt säkert sätt följer av den roll, det uppdrag och de befogenheter som tilldelats den berörda personen eller enheten (dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning), C‑231/22, EU:C:2024:7, punkt 30).

75

Den registeransvariga myndigheten utför dessutom behandling av personuppgifter för vilken den är ”personuppgiftsansvarig” i den mening som avses i artikel 4 leden 2 och 7 i dataskyddsförordningen när den för in och lagrar personuppgifter i samband med en ansökan om registrering av ett bolag i handelsregistret i en medlemsstat, när den – i förekommande fall på begäran av tredje man – lämnar ut dem, och när den offentliggör dem i den nationella officiella tidningen eller med hjälp av en lika effektiv metod (se, för ett liknande resonemang, dom av den 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, punkt 35).

76

Denna behandling av personuppgifter är nämligen klart åtskild från den överföring av personuppgifterna som den som ansöker om inskrivning i handelsregistret gör till denna myndighet, och den sker också vid ett senare tillfälle än nämnda överföring. Byrån med ansvar för handelsregistret utför dessutom ensam nämnda behandling i enlighet med de ändamål och krav som fastställts i direktiv 2017/1132 och lagstiftningen i den medlemsstat som genomför direktivet.

77

Det framgår av skälen 1, 7 och 8 i direktivet att den offentlighet som föreskrivs i direktivet har till syfte att bland annat skydda tredje mans intressen i förhållande till aktiebolag och bolag med begränsat ansvar, eftersom deras ansvar gentemot tredje man är begränsat till bolagsförmögenheten. Offentligheten bör ge tredje man möjlighet att ta del av bolagets viktigaste handlingar och vissa upplysningar om bolaget, särskilt avseende identiteten hos de personer som är behöriga att företräda bolaget.

78

Dessutom är syftet med detta direktiv att garantera rättssäkerheten i förhållandet mellan bolag och tredje man mot bakgrund av att affärstransaktionerna mellan medlemsstaterna intensifierats till följd av inrättandet av den inre marknaden. Ur denna synvinkel är det viktigt att alla personer som önskar upprätta och fortsätta affärsrelationer med bolag i andra medlemsstater enkelt kan få kunskap om de grundläggande uppgifterna avseendet bildandet av rörelseidkande bolag och befogenheterna hos dessa bolags företrädare, varför det är nödvändigt att relevanta uppgifter tydligt framgår av registret (se, för ett liknande resonemang, dom av den 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, punkt 50).

79

Domstolen konstaterar, såsom generaladvokaten påpekade i punkt 39 i sitt förslag till avgörande, att den som ansöker om inskrivning av ett bolag i handelsregistret i en medlemsstat inte, genom att översända de handlingar och uppgifter som omfattas av det obligatoriska offentliggörandet enligt direktiv 2017/1132 till den myndighet som har ansvar för handelsregistret, och genom att således behandla de personuppgifter som dessa handlingar innehåller, inte utövar något som helst inflytande över fastställandet av ändamålen och av myndighetens senare behandlingar. Dessutom har den sökande andra syften som är knutna till honom själv, nämligen att uppfylla de formella kraven för bolagets registrering.

80

Såsom generaladvokaten har påpekat i punkterna 31 och 32 i sitt förslag till avgörande framgår det i förevarande fall av begäran om förhandsavgörande att OL:s personuppgifter gjordes tillgängliga för allmänheten inom ramen för utövandet av de befogenheter som tilldelats byrån i egenskap av myndighet med ansvar för handelsregistret och att ändamålen och medlen för behandlingen av dessa uppgifter bestäms såväl av unionsrätten som av den nationella lagstiftning som är aktuell i det nationella målet, bland annat i artikel 13.9 i registerlagen. Den omständigheten att det aldrig översändes någon bestyrkt kopia av bolagsavtalet där personuppgifter som inte krävs enligt denna lagstiftning maskerats – vilket stred mot förfarandereglerna i den lagstiftningen – påverkar således inte kvalificeringen av byrån som registeransvarig.

81

Kvalificeringen ändras inte heller av det faktum att registreringsbyrån inte, med stöd av nämnda lagstiftning, före publiceringen på internet, kontrollerar personuppgifterna i de elektroniska bilder eller de original till de handlingar som översänds till byrån för registrering av ett bolag. Domstolen har redan slagit fast att det skulle strida mot syftet med artikel 4 led 7 i dataskyddsförordningen, som omnämns ovan i punkt 72, att utesluta en medlemsstats officiella tidning från definitionen av ”personuppgiftsansvarig” med motiveringen att den inte utövar kontroll över de personuppgifter som finns i dess publikationer (dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning), C‑231/22, EU:C:2024:7, punkt 38).

82

Under dessa omständigheter framgår det att byrån, i en sådan situation som den som är aktuell i det nationella målet, är ansvarig för den behandling av OL:s personuppgifter som består i att göra dessa uppgifter tillgängliga för allmänheten på internet, även om en kopia av bolagsavtalet där de personuppgifter som inte krävs enligt den i målet aktuella nationella lagstiftningen maskerats borde ha skickats in till byrån, i enlighet med denna lagstiftning, vilket det ankommer på den hänskjutande domstolen att kontrollera. Således är byrån även ansvarig, enligt artikel 5.2 i dataskyddsförordningen, för att punkt 1 i den artikeln efterlevs.

83

Med hänsyn till det ovan anförda ska den femte tolkningsfrågan besvaras enligt följande. Dataskyddsförordningen, särskilt artikel 4 leden 7 och 9, ska tolkas så, att den myndighet med ansvar för handelsregistret i en medlemsstat som i detta register offentliggör personuppgifter som finns med i ett bolagsavtal, vilket omfattas av det obligatoriska offentliggörande som föreskrivs i direktiv 2017/1132 och vilket lämnats in till myndigheten vid en ansökan om inskrivning av bolaget i nämnda register, är såväl ”mottagare” av uppgifterna som – bland annat genom att göra uppgifterna tillgängliga för allmänheten – ”personuppgiftsansvarig” för dessa uppgifter i den mening som avses i denna bestämmelse, även om avtalet innehåller personuppgifter som inte krävs enligt direktivet eller den medlemsstatens nationella rätt.

84

Den bulgariska regeringen har gjort gällande att den fjärde frågan inte kan tas upp till sakprövning, eftersom den avser ett hypotetiskt problem. Enligt denna regering rör denna fråga nämligen förenligheten med artikel 16 i direktiv 2017/1132 av en ännu inte antagen nationell lagstiftning avseende förfaranderegler vid utövandet av den rättighet som avses i artikel 17 i dataskyddsförordningen.

85

Det framgår av fast rättspraxis att man genom det förfarande för begäran om förhandsavgörande som föreskrivs i artikel 267 FEUF har infört ett nära samarbete mellan de nationella domstolarna och EU-domstolen, grundat på en inbördes fördelning av uppgifterna, och att detta förfarande utgör ett medel för EU-domstolen att tillhandahålla de nationella domstolarna de uppgifter om unionsrättens tolkning som de behöver för att kunna avgöra de mål som de ska pröva. Inom ramen för detta samarbete ankommer det uteslutande på den nationella domstolen, vid vilken målet anhängiggjorts och vilken har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen. EU-domstolen är följaktligen i princip skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen av unionsrätten (dom av den 23 november 2021, IS (Hänskjutandebeslutets rättsstridighet), C‑564/19, EU:C:2021:949, punkterna 59 och 60, och där angiven rättspraxis).

86

Frågor om tolkningen av unionsrätten presumeras således vara relevanta. En tolkningsfråga från en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är hypotetisk eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den (dom av den 24 november 2020, Openbaar Ministerie (Urkundsförfalskning), C‑510/19, EU:C:2020:953, punkt 26 och där angiven rättspraxis).

87

I förevarande fall framgår det av begäran om förhandsavgörande att den hänskjutande domstolen har att, som sista instans, slå fast huruvida det var lagligt att byrån avslog ansökan om radering av personuppgifterna i det nationella målet, med motiveringen att någon kopia av bolagsavtalet där de personuppgifter som inte krävs enligt den bulgariska lagstiftningen maskerats inte hade skickats in till byrån, vilket stred mot förfarandereglerna i den lagstiftningen. Det framgår dessutom av begäran om förhandsavgörande att ett sådant avslag överensstämmer med byråns praxis. Den hänskjutande domstolen har slutligen preciserat att ett svar från EU-domstolen på den fjärde frågan är nödvändigt för att avgöra det nationella målet, då nationell rättspraxis inte är enhetlig.

88

Härav följer, i motsats till vad den bulgariska regeringen har hävdat, att den fjärde frågan kan tas upp till sakprövning.

89

Mot bakgrund av de uppgifter som lämnats i begäran om förhandsavgörande, vilka det redogjorts för i punkt 87 ovan, ska den hänskjutande domstolen anses ha ställt den fjärde frågan för att få klarhet i huruvida direktiv 2017/1132, särskilt artikel 16, samt artikel 17 i dataskyddsförordningen ska tolkas så, att de utgör hinder för en medlemsstats lagstiftning eller praxis som föranleder myndigheten med ansvar för handelsregistret i denna medlemsstat att avslå en begäran om radering av personuppgifter som inte krävs enligt direktivet eller den medlemsstatens nationella rätt och som finns med i ett bolagsavtal som offentliggjorts i registret, när det inte lämnats in någon kopia av avtalet där dessa uppgifter har maskerats, vilket strider mot förfarandereglerna i denna lagstiftning.

90

Enligt artikel 17.1 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade, och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera dessa personuppgifter om någon av de grunder som räknas upp i den bestämmelsen föreligger.

91

Så är enligt artikel 17.1 c i förordningen fallet när den registrerade invänder mot behandlingen i enlighet med artikel 21.1 i förordningen och det saknas ”berättigade skäl för behandlingen” eller, i enlighet med artikel 17.1 d, när de aktuella uppgifterna har ”behandlats på olagligt sätt”.

92

Det följer även av artikel 17.3 b i dataskyddsförordningen att förordningens artikel 17.1 inte är tillämplig om behandlingen är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

93

För att avgöra huruvida den registrerade, i en sådan situation som den som är aktuell i det nationella målet, har rätt till radering enligt artikel 17 i dataskyddsförordningen, ska det således – i ett första skede – prövas på vilken eller vilka grunder behandlingen av den registrerades personuppgifter kan anses vara laglig.

94

Det ska erinras om att artikel 6.1 första stycket i dataskyddsförordningen innehåller en uttömmande och fullständig förteckning av de fall i vilka en behandling av personuppgifter kan anses laglig. För att en behandling ska anses vara laglig måste den omfattas av något av de fall som föreskrivs i den bestämmelsen (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 99 och där angiven rättspraxis).

95

Om den registrerade inte har samtyckt till behandling av personuppgifter med stöd av artikel 6.1 första stycket a, eller när samtycket inte lämnats på ett frivilligt, specifikt, informerat och otvetydigt sätt, i den mening som avses i artikel 4 led 11 i dataskyddsförordningen, kan behandlingen trots detta vara berättigad om den uppfyller någon av nödvändighetsgrunderna i artikel 6.1 första stycket b–f i denna förordning (se, för ett liknande resonemang, dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 92).

96

Eftersom de grunder som finns upptagna i den sistnämnda bestämmelsen gör att en behandling av personuppgifter som sker utan samtycke från den registrerade kan vara laglig måste de i detta sammanhang tolkas restriktivt (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 93 och där angiven rättspraxis).

97

Det ska även preciseras att det enligt artikel 5 i dataskyddsförordningen är den personuppgiftsansvarige som har bevisbördan bland annat för att uppgifterna har samlats in för särskilda, uttryckligt angivna och berättigade ändamål, att de är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas och att de behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (se, för ett liknande resonemang, dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 95).

98

Det ankommer visserligen på den hänskjutande domstolen att avgöra huruvida de olika momenten i en sådan behandling av personuppgifter såsom den som är aktuell i det nationella målet är motiverad enligt någon av de nödvändighetsgrunder som anges i artikel 6.1 första stycket leden a–f i dataskyddsförordningen, men EU-domstolen får ge den domstolen användbara upplysningar för att avgöra det mål som är anhängigt där (se, för ett liknande resonemang, dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 96).

99

I det nu aktuella fallet framgår det först och främst, såsom generaladvokaten påpekade i punkt 43 i sitt förslag till avgörande, att presumtionen om samtycke i artikel 13.9 i registerlagen inte uppfyller villkoren i artikel 6.1 första stycket a i dataskyddsförordningen, jämförd med artikel 4 led 11 i samma förordning.

100

Såsom framgår av skälen 32, 42 och 43 i förordningen bör samtycket nämligen lämnas genom en entydig bekräftande handling, till exempel genom en skriftlig eller muntlig förklaring. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. Vidare bör samtycket inte utgöra giltig rättslig grund i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet.

101

En sådan presumtion som den som föreskrivs i artikel 13.9 i registerlagen kan således inte anses visa att den registrerade på ett frivilligt, specifikt, informerat och otvetydigt sätt lämnat sitt samtycke till behandling av personuppgifter av en offentlig myndighet såsom registreringsbyrån.

102

När det sedan gäller de laglighetsgrunder som föreskrivs i artikel 6.1 första stycket b och d beträffande behandling av personuppgifter som är nödvändig för fullgörande av ett avtal och för skydd av intressen som är av grundläggande betydelse för en fysisk person, konstaterar domstolen att dessa inte är relevanta i förhållande till den behandling av personuppgifter som förevarande mål handlar om. Detsamma gäller den laglighetsgrund som föreskrivs i artikel 6.1 första stycket f, avseende den behandling av personuppgifter som är nödvändig för ändamål som rör den personuppgiftsansvariges berättigade intressen, eftersom det klart framgår av ordalydelsen i artikel 6.1 andra stycket i dataskyddsförordningen att behandling av personuppgifter som utförs av offentliga myndigheter när de fullgör sina uppgifter inte kan falla inom den sistnämnda laglighetsgrundens tillämpningsområde (se, för ett liknande resonemang, dom av den 8 december 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Ändamålen med behandlingen av personuppgifter – Brottsutredning), C‑180/21, EU:C:2022:967, punkt 85).

103

Vad slutligen gäller de laglighetsgrunder som anges i artikel 6.1 första stycket leden c och e i dataskyddsförordningen erinrar domstolen om att enligt led c är en behandling av personuppgifter laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Vidare är, enligt led e, en behandling även laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

104

I artikel 6.3 i dataskyddsförordningen preciseras bland annat, med avseende på dessa båda fall av laglig behandling, att behandlingen ska ske på grundval av unionsrätten eller den nationella rätt i en medlemsstat som den personuppgiftsansvarige omfattas av, att denna rättsliga grund ska uppfylla ett mål av allmänt intresse och att den ska vara proportionell mot det legitima mål som eftersträvas.

105

Vad för det första beträffar frågan huruvida den i målet aktuella behandlingen är nödvändig för fullgörandet av en rättslig förpliktelse som följer av unionsrätten eller den nationella rätt i en medlemsstat som den personuppgiftsansvarige omfattas av, i den mening som avses i artikel 6.1 första stycket c i dataskyddsförordningen, framhåller domstolen följande, i likhet med vad generaladvokaten påpekade i punkterna 45 och 47 i sitt förslag till avgörande: Direktiv 2017/1132 ställer inga krav på en systematisk behandling av alla personuppgifter i handlingar som omfattas av det obligatoriska offentliggörandet enligt direktivet. Tvärtom följer det av artikel 161 i direktivet att den behandling av personuppgifter som utförs inom ramen för direktiv 2017/1132, och i synnerhet insamling, lagring, tillgängliggörande för tredje man och offentliggörande av information i enlighet med detta direktiv, fullt ut måste uppfylla de krav som följer av dataskyddsförordningen.

106

Det ankommer således på medlemsstaterna att, vid genomförandet av de skyldigheter som följer av detta direktiv, se till att de mål avseende rättssäkerhet och skydd för tredje mans intressen som direktivet eftersträvar och som det erinrats om i punkt 77 ovan, förenas med de rättigheter som slås fast i dataskyddsförordningen och den grundläggande rätten till skydd för personuppgifter, och därvid göra en balanserad avvägning mellan dessa mål och dessa rättigheter (se, för ett liknande resonemang, dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 98).

107

Det kan således inte anses att behovet av att säkerställa att de handlingar som avses i artikel 14 i direktivet är offentliga i enlighet med artikel 14 i direktivet motiverar att personuppgifter, som förekommer i ett till byrån inlämnat bolagsavtal som omfattas av det obligatoriska offentliggörandet enligt detta direktiv, offentliggörs i handelsregistret, via internet, när dessa inte krävs enligt direktiv 2017/1132 eller enligt den nationella lagstiftning som är aktuell i det nationella målet, och det kan således inte anses att detta offentliggörande följer av en rättslig förpliktelse som föreskrivs i unionsrätten.

108

Den i det nationella målet aktuella behandlingen kan inte heller anses vara laglig på grundval av någon rättslig förpliktelse enligt den nationella rätt i en medlemsstat som den personuppgiftsansvarige omfattas av i den mening som avses i artikel 6.1 första stycket c i dataskyddsförordningen, i det här fallet bulgarisk rätt, vilket det ankommer på den hänskjutande domstolen att kontrollera. Att det förhåller sig så, framgår dels av att man av handlingarna i målet vid domstolen kan utläsa att de handlingar som ska finnas i handelsregistret enligt artikel 2.2 i registerlagen ska offentliggöras utan sådana uppgifter som utgör personuppgifter, ”med undantag av de uppgifter som måste göras offentligt tillgängliga enligt lag”, dels av att artikel 13.9 i denna lag innehåller en samtyckespresumtion som, vilket följer av punkt 99 ovan, inte uppfyller kraven i dataskyddsförordningen.

109

Vad för det andra gäller frågan huruvida den behandling som är aktuell i det nationella målet är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, i den mening som avses i artikel 6.1 första stycket e) i dataskyddsförordningen, till vilken bland annat den hänskjutande domstolen, den bulgariska regeringen och byrån har hänvisat, har EU-domstolen redan slagit fast att en myndighets verksamhet, som består i att i en databas förvara uppgifter som bolagen enligt lag är skyldiga att lämna till myndigheten, att ge intresserade personer möjlighet att ta del av dessa uppgifter och tillhandahålla dem kopior av uppgifterna, utgör myndighetsutövning och utgör en uppgift av allmänt intresse i den bestämmelsens mening (se, för ett liknande resonemang, dom av den 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, punkt 43).

110

Härav följer att den behandling som är aktuell i det nationella målet mycket riktigt har utförts i samband med en uppgift av allmänt intresse i den mening som avses i nämnda bestämmelse i dataskyddsförordningen. För att uppfylla de villkor som uppställs i sistnämnda bestämmelse krävs det emellertid att behandlingen faktiskt svarar mot de mål av allmänintresse som eftersträvas, utan att gå utöver vad som är nödvändigt för att uppnå dessa mål (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 109).

111

Detta krav på nödvändighet är inte uppfyllt när det eftersträvade målet av allmänintresse rimligen kan uppnås på ett lika effektivt sätt genom andra medel som i mindre utsträckning inskränker de registrerades grundläggande rättigheter, särskilt rätten till respekt för privatlivet och rätten till skydd för personuppgifter enligt artiklarna 7 och 8 i stadgan, varvid undantag från och inskränkningar av principen om skydd för personuppgifter inte får gå utöver vad som är strängt nödvändigt (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 110 och där angiven rättspraxis).

112

Såsom generaladvokaten har påpekat i punkt 51 i sitt förslag till avgörande kan ett offentliggörande på internet av personuppgifter som varken krävs enligt direktiv 2017/1132 eller enligt nationell rätt inte i sig anses vara nödvändigt för att uppnå de mål som eftersträvas med direktivet.

113

Vad särskilt gäller frågan huruvida det finns medel som i mindre utsträckning inskränker de registrerades grundläggande rättigheter ska det framhållas att det framgår av den nationella lagstiftning som är i fråga i det nationella målet att den som ansöker om inskrivning av ett bolag i handelsregistret är skyldig att tillhandahålla en kopia av bolagshandlingen med de icke nödvändiga personuppgifterna borttagna så att denna kopia kan offentliggöras i registret och göras tillgänglig för tredje man. I det här fallet ingavs någon sådan kopia aldrig till byrån, inte heller efter att byrån efterfrågat detta. Den bulgariska regeringen och byrån har bekräftat att byrån enligt denna lagstiftning inte har någon möjlighet att själv kunna upprätta en sådan kopia även efter det att en rimlig tidsfrist löpt ut och när den registrerade inte lyckas erhålla en sådan kopia från bolaget eller av från dess företrädare, vilket ju skulle utgöra ett medel för att uppnå målen avseende bolagshandlingars offentlighet, rättssäkerhet och skydd av tredje mans intressen, skulle vara lika effektivt men i mindre utsträckning inskränka rätten till skydd för personuppgifter.

114

Det ska även påpekas, precis som generaladvokaten gjorde i punkt 56 i sitt förslag till avgörande, att, i motsats till vad flera medlemsstater har gjort gällande i sina yttranden till domstolen, så kan det inte anses att behovet av att bevara integriteten och tillförlitligheten hos de bolagshandlingar som omfattas av det obligatoriska offentliggörandet enligt direktiv 2017/1132 – som enligt vad som påståtts kräver att dessa handlingar offentliggörs i den form i vilken de har överlämnats till de myndigheter som ansvarar för handelsregistret – systematiskt har företräde framför rätten till skydd för personuppgifter. Det skulle göra skyddet för personuppgifter illusoriskt.

115

I synnerhet kan detta behov inte innebära att personuppgifter som inte krävs enligt direktiv 2017/1132 eller nationell rätt måste fortsätta hållas tillgängliga för allmänheten, via internet, i detta register, trots att byrån, såsom framgår av punkt 113 ovan, själv hade kunnat upprätta en sådan kopia av bolagets handling som föreskrivs i nationell rätt och offentliggöra denna.

116

Av detta följer att den behandling av personuppgifter som är aktuell i det nationella målet under alla omständigheter förefaller gå utöver vad som är nödvändigt för att utföra den uppgift av allmänt intresse som myndigheten har anförtrotts genom den nationella lagstiftningen.

117

Således torde denna behandling, såsom generaladvokaten påpekade i punkt 59 i sitt förslag till avgörande, med förbehåll för de kontroller som det ankommer på den hänskjutande domstolen att göra, inte heller uppfylla de villkor för laglighet som föreskrivs i artikel 6.1 första stycket c eller e jämförd med artikel 6.3 i dataskyddsförordningen.

118

Domstolen konstaterar – i ett andra skede – att den ansökan om radering som framställts med stöd av artikel 17 i dataskyddsförordningen i det nationella målet innebär att byrån, om den hänskjutande domstolen efter sin bedömning drar slutsatsen att behandlingen inte är laglig, i egenskap av personuppgiftsansvarig, har en skyldighet, vilket klart framgår av lydelsen i artikel 17.1 d i dataskyddsförordningen, att radera de berörda uppgifterna utan onödigt dröjsmål, såsom framgår av punkterna 82 och 83 ovan (se, för ett liknande resonemang, dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 108).

119

Om den hänskjutande domstolen däremot kommer fram till att behandlingen faktiskt svarar mot den laglighetsgrund som föreskrivs i artikel 6.1 e i dataskyddsförordningen, bland annat eftersom det behövdes ett offentliggörande i handelsregistret, via internet, av personuppgifter som inte krävs enligt direktiv 2017/1132 eller enligt den nationella lagstiftning som är aktuell i det nationella målet, för att till skydd för tredje mans intressen undvika att försena registreringen av bolaget, ska det påpekas att artikel 17.1 c i dataskyddsförordningen i så fall blir tillämplig.

120

Det följer av denna sistnämnda bestämmelse, jämförd med artikel 21.1 i dataskyddsförordningen, att den registrerade presumeras ha rätt att invända mot behandlingen och rätt till radering, såvida det inte finns avgörande berättigade skäl som väger tyngre än den registrerades intressen, rättigheter och friheter, i den mening som avses i artikel 21.1 i dataskyddsförordningen, vilket den personuppgiftsansvarige är skyldig att visa (se, för ett liknande resonemang, dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 111).

121

I en sådan situation som den som är aktuell i det nationella målet förefaller det inte finnas några avgörande berättigade skäl, i den bestämmelsens mening, som kan utgöra hinder för en sådan begäran om radering.

122

Det framgår nämligen av beslutet om hänskjutande att det bolag i vilket OL är delägare redan är inskrivet i handelsregistret.

123

Inte heller kan behovet av att bevara integriteten och tillförlitligheten hos de bolagshandlingar som omfattas av det obligatoriska offentliggörandet enligt direktiv 2017/1132, såsom har framhållits ovan i punkt 115, innebära att personuppgifter som inte krävs enligt direktiv 2017/1132 eller nationell rätt måste fortsätta hållas tillgängliga för allmänheten, via internet, i detta register.

124

Slutligen konstaterar domstolen att om det antas att den hänskjutande domstolen kommer fram till att behandlingen av de personuppgifter som är aktuella i det nationella målet faktiskt svarar mot den laglighetsgrund som föreskrivs i artikel 6.1 c i dataskyddsförordningen ska det framhållas att dataskyddsförordningen, och i synnerhet artikel 17.3 b, uttryckligen ställer krav på en avvägning mellan, å ena sidan, de grundläggande rättigheterna till respekt för privatlivet och skydd för personuppgifter, vilka stadfästs i artiklarna 7 och 8 i stadgan, och, å andra sidan, de legitima mål som eftersträvas med unionsrätten eller medlemsstaternas nationella rätt som ligger till grund för den rättsliga förpliktelse vars fullgörande förutsätter att behandlingen genomförs (se, analogt, dom av den 8 december 2022, Google (Borttagande av påstått felaktigt innehåll), C‑460/20, EU:C:2022:962, punkt 58 och där angiven rättspraxis).

125

Såsom domstolen redan har slagit fast kan det i enskilda fall, av avgörande och berättigade skäl som rör de registrerades särskilda situation, vara motiverat att tillgången till personuppgifter som omfattas av det obligatoriska offentliggörandet enligt unionsrätten begränsas till sådana tredje män som kan visa ett särskilt intresse av att få del av dessa uppgifter (se, för ett liknande resonemang, dom av den 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, punkt 60).

126

Såsom generaladvokaten har påpekat i punkt 67 i sitt förslag till avgörande gäller detta i än högre grad när, såsom i förevarande fall, det handlar om personuppgifter som varken krävs enligt direktiv 2017/1132 eller enligt nationell rätt.

127

Mot denna bakgrund ska den fjärde frågan besvaras enligt följande. Direktiv 2017/1132, särskilt artikel 16, samt artikel 17 i dataskyddsförordningen ska tolkas så, att de utgör hinder för en medlemsstats lagstiftning eller praxis som föranleder myndigheten med ansvar för handelsregistret i denna medlemsstat att avslå en begäran om radering av personuppgifter som inte krävs enligt direktivet eller den medlemsstatens nationella rätt och som finns med i ett bolagsavtal som offentliggjorts i registret, när det inte lämnats in någon kopia av avtalet där dessa uppgifter har maskerats, vilket strider mot förfarandereglerna i denna lagstiftning.

128

Den hänskjutande domstolen har ställt den sjätte frågan för att få klarhet i huruvida artikel 4 led 1 i dataskyddsförordningen ska tolkas så, att en fysisk persons egenhändiga namnteckning omfattas av begreppet personuppgift i den bestämmelsens mening.

129

I den bestämmelsen anges att en personuppgift är ”varje upplysning som avser en identifierad eller identifierbar fysisk person” och det preciseras att ”en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.

130

EU-domstolen har redan slagit fast att användningen, i denna bestämmelse, av uttrycket ”varje upplysning” i definitionen av begreppet personuppgifter avspeglar unionslagstiftarens avsikt att ge detta begrepp en vid innebörd, vilken potentiellt innefattar alla typer av upplysningar, såväl objektiva som subjektiva, i form av åsikter eller bedömningar, under förutsättning att uppgifterna ”avser” den berörda personen (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 23).

131

En upplysning avser en identifierad eller identifierbar fysisk person när den på grund av sitt innehåll, syfte eller verkan är knuten till en identifierbar person (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 24).

132

Med avseende på en fysisk persons ”identifierbarhet” preciseras det i skäl 26 i dataskyddsförordningen att hänsyn ska tas till ”alla hjälpmedel, som t.ex. [särskiljande], som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen”.

133

Den vida definitionen av begreppet ”personuppgifter” omfattar således inte endast de uppgifter som samlats in och lagrats av den registeransvarige, utan även varje upplysning som genereras i samband med en behandling av personuppgifter och som rör en identifierad eller identifierbar person (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 26).

134

Det framgår även av EU-domstolens praxis att en fysisk persons handskrivna text ger en upplysning om denna person (se, för ett liknande resonemang, dom av den 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punkt 37).

135

Det ska slutligen påpekas att en fysisk persons egenhändiga namnteckning generellt sett används för att identifiera denna person och för att tillerkänna handlingar som är försedda med denna namnteckning bevisvärde, vad gäller deras riktighet och uppriktighet, eller för att ta på sig ansvaret för dem. Det framgår dessutom att bolagsmännens namnteckning på det aktuella bolagsavtalet åtföljs av bolagsmännens namn.

136

Mot bakgrund av det ovan anförda ska den sjätte frågan besvaras på följande sätt. Artikel 4 led 1 i dataskyddsförordningen ska tolkas så, att en fysisk persons egenhändiga namnteckning omfattas av begreppet personuppgift i den bestämmelsens mening.

137

Den hänskjutande domstolen har ställt den sjunde frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att den omständigheten att den registrerade under en begränsad tid förlorar kontrollen över sina personuppgifter på grund av att dessa görs tillgängliga för allmänheten via internet, i handelsregistret i en medlemsstat, kan räcka för att åsamka vederbörande en ”immateriell skada” eller om det måste styrkas att det förekommit ytterligare konkreta negativa konsekvenser för att det ska anses vara fråga om ”immateriell skada”.

138

Det ska inledningsvis erinras om att ”[v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av [dataskyddsförordningen] ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan”.

139

Eftersom dataskyddsförordningen inte innehåller någon hänvisning till medlemsstaternas rättsordningar när det gäller innebörden och räckvidden av uttrycken i nämnda bestämmelse, särskilt vad gäller begreppen ”materiell eller ideell skada” och ”ersättning för den uppkomna skadan”, ska dessa begrepp, vid tillämpningen av förordningen, anses utgöra självständiga unionsrättsliga begrepp som ska tolkas enhetligt i samtliga medlemsstater (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 30).

140

Artikel 82.1 i dataskyddsförordningen ska härvid tolkas så, att det inte räcker med att förordningen har åsidosatts för att det ska uppstå en rätt till ersättning, eftersom förekomsten av materiell eller ideell ”skada” eller ”skada” som har ”uppkommit” utgör ett av villkoren för den rätt till ersättning som föreskrivs i artikel 82.1, jämte villkoret att det ska ha förekommit ett åsidosättande av nämnda förordning och villkoret att det ska föreligga ett orsakssamband mellan skadan och åsidosättandet. Dessa tre villkor är kumulativa (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 32, och dom av den 11 april 2024, Juris, C‑741/21, EU:C:2024:288, punkt 34).

141

Den som begär ersättning för immateriell skada med stöd av denna bestämmelse är således skyldig att styrka inte bara att bestämmelserna i denna förordning har åsidosatts, utan även att åsidosättandet har orsakat vederbörande en sådan skada. En sådan skada kan således inte presumeras enbart på grund av en sådan överträdelse (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 42 och 50, och dom av den 11 april 2024, Juris, C‑741/21, EU:C:2024:288, punkt 35).

142

En person som berörs av en sådan överträdelse av dataskyddsförordningen som har haft negativa konsekvenser för vederbörande måste visa att dessa konsekvenser utgör en immateriell skada, i den mening som avses i artikel 82 i förordningen, eftersom enbart en överträdelse av förordningens bestämmelser inte räcker för att ge rätt till ersättning (dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 60 och där angiven rättspraxis).

143

I ett mål vid en nationell domstol som rör en begäran om skadeersättning enligt artikel 82.1 i förordningen, där den registrerade till stöd för sin begäran åberopar sin fruktan för att hans eller hennes personuppgifter kan komma att missbrukas i framtiden till följd av en överträdelse av dataskyddsförordningen, måste den nationella domstolen således pröva om denna fruktan kan anses välgrundad under de omständigheter som föreligger i det aktuella fallet och med hänsyn till den registrerade (dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 85)

144

Emellertid har EU-domstolen redan slagit fast att det framgår inte bara av ordalydelsen i artikel 82.1 i direktivet, jämförd med skälen 85 och 146 i samma förordning – enligt vilka begreppet ”immateriell skada”, i den mening som avses i den första bestämmelsen, ska ges en vid tolkning –, utan även av förordningens syfte att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandling av deras personuppgifter, att den fruktan som en registrerad känner för att hans eller hennes personuppgifter kan komma att missbrukas av tredje part till följd av en överträdelse av förordningen, i sig kan anses utgöra en ”immateriell skada”, i den mening som avses i denna bestämmelse (dom av den 20 juni 2024, PS (Felaktig adress), C‑590/22, EU:C:2024:536, punkt 32 och där angiven rättspraxis).

145

I synnerhet framgår det av den illustrerande uppräkningen, i skäl 85 första meningen i dataskyddsförordningen, av ”skador” som kan uppkomma för de registrerade, att unionslagstiftaren har avsett att i begreppet ”skada” som kan uppkomma för de registrerade bland annat inkludera redan ”förlust av kontrollen” över de egna personuppgifterna till följd av ett åsidosättande av denna förordning, även om det inte har förekommit något konkret missbruk av de aktuella uppgifterna (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 82).

146

Att tolka artikel 82.1 dataskyddsförordningen på så sätt att begreppet ”immateriell skada” i den bestämmelsens mening inte omfattar fall där en registrerad enbart åberopar sin fruktan för att hans eller hennes personuppgifter kan komma att missbrukas i framtiden, skulle dessutom inte vara förenligt med dataskyddsförordningens eftersträvade mål att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandling av personuppgifter inom unionen (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 83).

147

Detta begrepp kan inte heller begränsas till att endast avse skador som är av en viss allvarlighetsgrad, särskilt med avseende på längden på den period under vilken de registrerade drabbats av de negativa följderna av åsidosättandet av nämnda förordning (se, för ett liknande resonemang, dom av den 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkterna 16 och 19 och där angiven rättspraxis).

148

Det kan således inte läggas till andra villkor för ansvar enligt artikel 82.1 i dataskyddsförordningen, utöver de tre villkor som anges i punkt 140 ovan, såsom att skadan måste vara påtaglig eller att skadan måste vara av objektiv karaktär (dom av den 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 17).

149

Denna bestämmelse kräver inte heller att den ”immateriella skada” som den berörda personen påstår sig ha lidit, till följd av en konstaterad överträdelse av förordningens bestämmelser, måste uppnå en ”tröskelnivå” för att skadan ska kunna ersättas (dom av den 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 18).

150

Även om ett offentliggörande på internet av personuppgifter och den därav följande förlusten av kontroll över dessa uppgifter under en kort tidsperiod kan anses vålla de registrerade en ”immateriell skada”, i den mening som avses i artikel 82.1 i dataskyddsförordningen, som ger rätt till ersättning, så krävs det således fortfarande att dessa personer visar att de faktiskt har lidit en sådan skada, även om den är obetydlig (se, för ett liknande resonemang, dom av den 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 22, och dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 42).

151

Slutligen ska det preciseras att en immateriell skada som orsakats av en personuppgiftsincident inte till sin natur ska anses vara mindre allvarlig än en kroppsskada vid beräkningen av det skadeståndsbelopp som ska betalas på grund av rätten till ersättning för immateriell skada (dom av den 20 juni 2024, Scalable Capital, C‑182/22 och C‑189/22, EU:C:2024:531, punkt 39).

152

Domstolen konstaterar dessutom att när en person visat att överträdelsen av dataskyddsförordningen har orsakat vederbörande en skada, i den mening som avses i artikel 82 i förordningen, ska kriterierna för beräkningen av den ersättning som ska betalas ut inom ramen för en talan för att säkerställa skyddet av de rättigheter som enskilda har enligt denna artikel fastställas i varje medlemsstats rättsordning, varvid denna ersättning ska vara full och effektiv (se, för ett liknande resonemang, dom av den 20 juni 2024, Scalable Capital, C‑182/22 och C‑189/22, EU:C:2024:531, punkt 43).

153

Den rätt till ersättning som föreskrivs i artikel 82.1 fyller en kompenserande funktion, och inte en avskräckande eller bestraffande funktion, i det att den ekonomiska ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den skada som faktiskt uppkommit till följd av en överträdelse av förordningen (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 57 och 58, och dom av den 11 april 2024, Juris, C‑741/21, EU:C:2024:288, punkt 61).

154

Dessutom konstaterar domstolen dels att det är en förutsättning för att den personuppgiftsansvarige ska kunna hållas ansvarig med stöd av artikel 82 i dataskyddsförordningen är att denne har gjort sig skyldig till ett fel och att det föreligger en presumtion om sådant fel om inte den personuppgiftsansvarige visar att denne inte på något sätt kan tillskrivas ansvar för den händelse varigenom skadan uppkom, dels att det inte enligt artikel 82 krävs att felets svårighetsgrad beaktas vid fastställandet av det skadestånd som ska utgå som ersättning för immateriell skada med stöd av denna artikel (dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 103, och dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 52).

155

I förevarande fall har den hänskjutande domstolen, såsom påpekats i punkt 42 ovan, preciserat att Administrativen sad Dobritj (Förvaltningsdomstolen i Dobritj) hade konstaterat att det förelåg immateriell skada i form av de negativa psykologiska och känslomässiga erfarenheter som OL haft, närmare bestämt den rädsla och oro hon känt inför risken för att uppgifterna skulle komma att missbrukas, samt den känsla av maktlöshet och besvikelse som berott på att hon inte hade kunnat skydda sina personuppgifter. I domen angavs även att skadan var en följd av skrivelsen från byrån av den 26 januari 2022, vilken hade lett till ett åsidosättande av rätten till radering enligt artikel 17.1 i dataskyddsförordningen samt till otillåten behandling av de personuppgifter som återfanns i det bolagsavtal som hade gjorts tillgängligt för allmänheten.

156

Mot bakgrund av det ovan anförda ska den sjunde frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att den omständigheten att den registrerade under en begränsad tid förlorar kontrollen över sina personuppgifter på grund av att dessa görs tillgängliga för allmänheten online, i handelsregistret i en medlemsstat, kan räcka för att åsamka vederbörande en ”immateriell skada” under förutsättning att personen i fråga visar att denne faktiskt har lidit en sådan skada, även om den är obetydlig, och att begreppet ”immateriell skada” inte kräver att man kan påvisa förekomsten av ytterligare konkreta negativa konsekvenser.

157

Den hänskjutande domstolen har ställt den åttonde frågan för att få klarhet i huruvida artikel 82.3 i dataskyddsförordningen ska tolkas så, att ett yttrande från en medlemsstats kontrollmyndighet, som avgetts med stöd av artikel 58.3 b i denna förordning, räcker för att en myndighet med ansvar för handelsregistret i en medlemsstat, som är ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i förordningen, ska befrias från ansvar enligt artikel 82.2 i förordningen.

158

Vad för det första gäller det ansvarssystem som föreskrivs i artikel 82 i dataskyddsförordningen, ska det erinras om att det i punkt 1 i denna artikel föreskrivs att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Såsom framgår ovan av punkt 140 förutsätter denna rätt till skadestånd att tre kumulativa villkor är uppfyllda.

159

Enligt artikel 82.2 första meningen i denna förordning ska varje personuppgiftsansvarig som medverkat vid behandlingen ansvara för skada som orsakats av behandling som strider mot nämnda förordning. I denna bestämmelse, som innehåller reglerna för det ansvarssystem vars princip fastställs i punkt 1 i denna artikel, anges de tre villkor som måste vara uppfyllda för att ge rätt till ersättning, nämligen att en personuppgiftsbehandling har utförts i strid med bestämmelserna i dataskyddsförordningen, att den registrerade har lidit en skada samt att det föreligger ett orsakssamband mellan den otillåtna behandlingen och skadan (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 36).

160

I artikel 82.3 i dataskyddsförordningen anges att den personuppgiftsansvarige ska undgå ansvar enligt artikel 82.2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

161

Domstolen har redan slagit fast att det framgår av en jämförande analys av punkterna 1–3 i artikel 82 i dataskyddsförordningen, av det sammanhang som denna artikel ingår i och av de mål som unionslagstiftaren eftersträvar genom denna förordning, att det i denna artikel föreskrivs ett system för ansvar vid fel enligt vilket bevisbördan inte åvilar den person som har lidit skada, utan den personuppgiftsansvarige (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkterna 94 och 95).

162

Det skulle närmare bestämt inte vara förenligt med syftet att säkerställa en hög skyddsnivå för fysiska personer i förhållande till behandling av personuppgifter att välja en tolkning som innebär att registrerade som har lidit skada till följd av en överträdelse av dataskyddsförordningen, inom ramen för ett ersättningsanspråk enligt artikel 82 i dataskyddsförordningen, ska bära bevisbördan inte bara för överträdelsen och den skada som överträdelsen medfört för dem, utan även för att den personuppgiftsansvarige begått ett fel med uppsåt eller genom oaktsamhet, eller till och med för felets svårighetsgrad, trots att artikel 82 inte innehåller några sådana krav (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 99).

163

Av den rättspraxis som nämns ovan i punkt 154 framgår att det en förutsättning för att den personuppgiftsansvarige ska kunna hållas ansvarig med stöd av nämnda artikel 82 att denne har begått ett fel, och att det föreligger en presumtion om sådant fel om den personuppgiftsansvarige inte visar att den inte på något sätt kan tillskrivas ansvar för den händelse varigenom skadan uppkom.

164

Domstolen konstaterar i detta hänseende, såsom det faktum att adverbialet ”inte på något sätt” uttryckligen lades till under lagstiftningsförfarandet visar, att de omständigheter under vilka en personuppgiftsansvarig kan göra anspråk på att befrias från sitt skadeståndsansvar enligt artikel 82 i dataskyddsförordningen ska vara strikt begränsade till omständigheter där den personuppgiftsansvarige kan visa att denne inte är ansvarig för skadan (dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 70).

165

Domstolen har redan slagit fast att i fall där en personuppgiftsincident har ägt rum till följd av agerande från tredje part, såsom en it-brottsling, eller en person som utför arbete under den personuppgiftsansvariges överinseende, kan den personuppgiftsansvarige endast befrias från sitt ansvar med stöd av artikel 82.3 i dataskyddsförordningen genom att visa att det inte finns något orsakssamband mellan det eventuella åsidosättandet av den skyldighet att skydda personuppgifter som åvilar honom enligt denna förordning och den skada som den fysiska personen har lidit (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 72, och dom av den 11 april 2024, Juris, C‑741/21, EU:C:2024:288, punkt 51).

166

För att den personuppgiftsansvarige ska kunna undgå sitt ansvar enligt artikel 82.3 kan det följaktligen inte räcka att den personuppgiftsansvarige visar att denne har gett instruktioner till personer som utför arbete under dennes överinseende, i den mening som avses i artikel 29 i förordningen, och att en av dessa personer har underlåtit att uppfylla sin skyldighet att följa dessa instruktioner, och därigenom bidragit till uppkomsten av den aktuella skadan (se, för ett liknande resonemang, dom av den 11 april 2024, Juris, C‑74/21, EU:C:2024:288, punkt 52).

167

För det andra konstaterar domstolen, vad gäller bevisregler, att dataskyddsförordningen inte innehåller några regler om tillåtlighet och bevisvärde som ska tillämpas av de nationella domstolarna i mål om skadeersättning enligt artikel 82 i förordningen. Då det saknas unionsrättsliga bestämmelser på området ankommer det därmed på varje medlemsstat att i sin interna rättsordning fastställa – under förutsättning att likvärdighetsprincipen och effektivitetsprincipen iakttas – de regler som gäller för taleformer som syftar till att säkerställa skyddet av de rättigheter som enskilda har enligt artikel 82, och särskilt bevisregler (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 60 och där angiven rättspraxis).

168

Vad för det tredje gäller ett yttrande som avgetts med stöd av artikel 58.3 b i dataskyddsförordningen, ska det erinras om att artikel 58 fastställer tillsynsmyndigheternas befogenheter.

169

I artikel 58.1 i dataskyddsförordningen ges tillsynsmyndigheterna utredningsbefogenheter, i artikel 58.2 korrigerande befogenheter, i artikel 58.3 de befogenheter att utfärda tillstånd och att ge råd som där räknas upp, och i artikel 58.5 befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och vid behov att inleda rättsliga förfaranden för att verkställa bestämmelserna i denna förordning.

170

Bland de befogenheter som räknas upp i artikel 58.3 i dataskyddsförordningen återfinns i artikel 58.3 b en befogenhet att ”[p]å eget initiativ eller på begäran avge yttranden till det nationella parlamentet, medlemsstatens regering eller, i enlighet med medlemsstatens nationella rätt, till andra institutioner och organ samt till allmänheten, i frågor som rör skydd av personuppgifter”.

171

Det framgår tydligt av ordalydelsen i nämnda bestämmelse, särskilt av ordet ”yttrande”, att utfärdandet av ett sådant yttrande omfattas av tillsynsmyndighetens befogenheter att ge råd och inte av tillsynsmyndighetens befogenheter att utfärda tillstånd.

172

Användningen av uttrycken ”yttrande” och ”befogenheter att ge råd” tyder även på att ett yttrande som avges med stöd av artikel 58.3 b i dataskyddsförordningen inte är rättsligt bindande enligt unionsrätten.

173

Denna tolkning bekräftas av skäl 143 i dataskyddsförordningen. I det skälet anges nämligen att ”varje fysisk eller juridisk person [bör] ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en tillsynsmyndighet som har rättsliga följder för denna person.” Sådana beslut avser särskilt tillsynsmyndighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål. Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten.

174

Eftersom ett yttrande som tillhandahållits den personuppgiftsansvarige inte är rättsligt bindande, kan yttrandet inte i sig visa att den personuppgiftsansvarige inte är ansvarig för skadan, i den mening som avses i den rättspraxis som det hänvisas till i punkt 164 ovan, och således inte heller räcka för att befria den personuppgiftsansvarige från ansvar enligt artikel 82.3 i dataskyddsförordningen.

175

En sådan tolkning av artikel 82.3 är även förenlig med de mål som eftersträvas med dataskyddsförordningen, nämligen att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandlingen av deras personuppgifter och att säkerställa en effektiv ersättning för den skada som de kan lida till följd av behandling av dessa uppgifter i strid med denna förordning. Om det förhöll sig så att den personuppgiftsansvarige bara behövde åberopa ett icke rättsligt bindande yttrande för att undgå allt ansvar och därmed helt befrias från ersättningsskyldighet, skulle denne inte ha något incitament till att göra allt som står i dennes makt för att säkerställa den höga skyddsnivå som nämnts ovan och iaktta de skyldigheter som föreskrivs i förordningen.

176

Mot bakgrund av det ovan anförda ska den åttonde frågan besvaras enligt följande. Artikel 82.3 i dataskyddsförordningen ska tolkas så, att det inte räcker med ett yttrande från en medlemsstats kontrollmyndighet, som avgetts med stöd av artikel 58.3 b i denna förordning, för att en myndighet med ansvar för handelsregistret i en medlemsstat, som är ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i förordningen, ska befrias från ansvar enligt artikel 82.2 i förordningen.

177

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (första avdelningen) följande: