This document is an excerpt from the EUR-Lex website
Document 62023CC0200
Opinion of Advocate General Medina delivered on 30 May 2024.###
Julkisasiamies L. Medina ratkaisuehdotus 30.5.2024.
Julkisasiamies L. Medina ratkaisuehdotus 30.5.2024.
Court reports – general
ECLI identifier: ECLI:EU:C:2024:445
Väliaikainen versio
JULKISASIAMIEHEN RATKAISUEHDOTUS
LAILA MEDINA
30 päivänä toukokuuta 2024 (1)
Asia C‑200/23
Agentsia po vpisvaniyata
vastaan
OL,
jossa asian käsittelyyn osallistuu
Varhovna administrativna prokuratura
(Ennakkoratkaisupyyntö – Varhoven administrativen sad (ylin hallintotuomioistuin, Bulgaria))
Ennakkoratkaisupyyntö – Henkilötietojen suoja – Asetus (EU) 2016/679 – Henkilötietoja sisältävän yhtiösopimuksen julkaiseminen kaupparekisterissä – Direktiivi (EU) 2017/1132 – Rekisterinpitäjä – Oikeus henkilötietojen poistamiseen
I Johdanto
1. Varhoven administrativen sad (ylin hallintotuomioistuin, Bulgaria) esittää ennakkoratkaisupyynnössään unionin tuomioistuimelle useita kysymyksiä, jotka liittyvät unionin tasolla yhteensovitettujen, yhtiöiden asiakirjojen julkistamista koskevien säännösten(2) ja asetuksen (EU) 2016/679(3) väliseen suhteeseen.
2. Ennakkoratkaisupyyntö on esitetty asiassa, jossa vastakkain ovat Agentsia po vpisvaniyata (rekisterimerkinnöistä vastaava virasto, Bulgaria; jäljempänä virasto) ja OL ja jossa on kyse siitä, että tämä virasto on kieltäytynyt poistamasta tiettyjä OL:ää koskevia henkilötietoja, jotka sisältyvät kaupparekisterissä julkisesti saataville asetettuun asiakirjaan.
II Asiaa koskevat oikeussäännöt
A Unionin oikeus
3. Tämän ratkaisuehdotuksen kannalta merkitystä on erityisesti direktiivin 2017/1132, jolla on korvattu direktiivi 2009/101, 14 ja 16 artiklalla sekä yleisen tietosuoja-asetuksen 4–6 ja 17 artiklalla. Selkeyden vuoksi tässä ratkaisuehdotuksessa viitataan näiden artiklojen asian kannalta merkityksellisten säännösten sanamuotoon.
B Bulgarian oikeus
4. Kaupparekisteristä ja voittoa tavoittelemattomien oikeushenkilöiden rekisteristä annetun lain (Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel),(4) sellaisena kuin sitä sovelletaan pääasiassa (jäljempänä rekisterilaki), 2 §:ssä säädetään seuraavaa:
”(1) Kaupparekisteri ja voittoa tavoittelemattomien oikeushenkilöiden rekisteri [jäljempänä rekisterit] muodostavat yhteisen sähköisen tietokannan, joka sisältää lain nojalla rekisteriin merkityt tiedot sekä lain nojalla julkisesti saataville asetetut asiakirjat, jotka koskevat elinkeinonharjoittajia ja ulkomaisten elinkeinonharjoittajien sivuliikkeitä, voittoa tavoittelemattomia oikeushenkilöitä ja voittoa tavoittelemattomien ulkomaisten oikeushenkilöiden sivuliikkeitä.
(2) Edellä 1 momentissa tarkoitetut tiedot ja asiakirjat asetetaan julkisesti saataville ilman [yleisen tietosuoja-asetuksen] 4 artiklan 1 alakohdassa tarkoitettuja henkilötietoja, lukuun ottamatta tietoja, jotka on lain nojalla asetettava julkisesti saataville.”
5. Rekisterilain 6 §:n 1 momentin mukaan jokaisen elinkeinonharjoittajan ja jokaisen voittoa tavoittelemattoman oikeushenkilön on haettava rekisteriin merkitsemistä, ilmoitettava rekisteriin merkittävät tiedot ja toimitettava julkisesti saataville asetettavat asiakirjat.
6. Lain 11 §:ssä säädetään seuraavaa:
”(1) [Rekisterit] ovat julkisia. Jokaisella on oikeus tutustua vapaasti ja maksutta rekisterit muodostavaan tietokantaan.
(2) [Viraston] on tarjottava rekisteröity pääsy elinkeinonharjoittajan tai voittoa tavoittelemattoman oikeushenkilön asiakirjavihkoon.”
7. Lain 13 §:n 1, 2, 6 ja 9 momentissa säädetään seuraavaa:
”(1) Rekisteriin merkitseminen, rekisteristä poistaminen ja julkisesti saataville asettaminen suoritetaan hakemuslomakkeen perusteella.
(2) Hakemuksessa on mainittava
1. hakijan yhteystiedot
– –
3. rekisteriin merkittävä tieto, poistettavaksi pyydetty rekisterimerkintä tai julkisesti saataville asetettava asiakirja
– –
(6) Hakemukseen on liitettävä asiakirjat tai tapauksen mukaan julkisesti saataville asetettava asiakirja lain vaatimusten mukaisesti. Asiakirjat on toimitettava alkuperäisinä, hakijan oikeaksi todistamina jäljennöksinä tai notaarin oikeaksi todistamina jäljennöksinä. Hakijan on toimitettava myös oikeaksi todistetut jäljennökset kaupparekisterissä julkisesti saataville asetettavista asiakirjoista, joista on poistettu muut kuin laissa edellytetyt henkilötiedot.
– –
(9) Jos hakemuksessa tai siihen liitetyissä asiakirjoissa mainitaan henkilötietoja, joita ei edellytetä laissa, ne toimittaneiden henkilöiden katsotaan antaneen suostumuksensa siihen, että [virasto] käsittelee ne ja että ne asetetaan julkisesti saataville.”
8. Kauppalain (Targovski zakon),(5) sellaisena kuin sitä sovelletaan pääasiassa (jäljempänä kauppalaki), 101 §:n 3 momentissa säädetään, että yhtiösopimuksessa on mainittava ”kunkin osakkaan nimi, toiminimi ja yksilöllinen tunnistuskoodi”.
9. Kauppalain 119 §:n 1 momentin mukaan yhtiön merkitseminen kaupparekisteriin edellyttää muun muassa julkisesti saataville asetettavan yhtiösopimuksen toimittamista. Tämän pykälän 4 momentin mukaan ”kaupparekisteriin toimitetun yhtiösopimuksen muuttamiseksi tai täydentämiseksi on toimitettava julkisesti saataville asetettava yhtiötä edustavan elimen oikeaksi todistama jäljennös sopimuksesta, joka sisältää kaikki muutokset ja lisäykset”.
III Pääasia ja ennakkoratkaisukysymykset
10. OL on 14.1.2021 kaupparekisteriin merkityn Bulgarian oikeuden mukaan perustetun rajavastuuyhtiön OOD:n osakas. Rekisteriin merkitsemistä koskevan hakemuksen yhteydessä toimitettiin 30.12.2020 päivätty ja osakkaiden allekirjoittama yhtiösopimus (jäljempänä vuoden 2020 yhtiösopimus). Sopimus, joka sisälsi OL:n etu- ja sukunimen, henkilötunnuksen, henkilökortin numeron ja myöntämispäivän ja ‑paikan sekä osoitteen, merkittiin rekisteriin ja asetettiin julkisesti saataville siinä muodossa kuin se oli toimitettu. OL pyysi 8.7.2021 virastoa poistamaan häntä koskevat henkilötiedot vuoden 2020 yhtiösopimuksesta ja ilmoitti, että jos hänen tietojensa käsittely perustuu hänen suostumukseensa, hän peruuttaa suostumuksensa. Koska virasto ei vastannut pyyntöön, OL nosti kanteen Administrativen sad Dobrichissa (Dobrichin hallintotuomioistuin, Bulgaria), joka kumosi viraston implisiittisen päätöksen olla hyväksymättä OL:n pyyntöä ja palautti asian virastolle uutta päätöstä varten. Tämän tuomion ja toisen vastaavan sisältöisen, samoihin toimenpiteisiin ryhtynyttä toista osakasta koskevan tuomion täytäntöönpanemiseksi virasto ilmoitti 26.1.2022 päivätyllä kirjeellä, että henkilötietojen poistamista koskevan pyynnön hyväksymiseksi sille on toimitettava oikeaksi todistettu jäljennös vuoden 2020 yhtiösopimuksesta, josta on poistettu osakkaiden henkilötiedot, laissa edellytettyjä tietoja lukuun ottamatta (jäljempänä 26.1.2022 päivätty kirje). OL nosti 31.1.2022 uudelleen Administrativen sad Dobrichissa kanteen, jossa hän vaati 26.1.2022 päivätyn kirjeen kumoamista ja viraston velvoittamista korvaamaan aineeton vahinko, joka hänelle oli aiheutunut kyseisestä kirjeestä, jolla loukattiin hänen yleisen tietosuoja-asetuksen mukaisia oikeuksiaan. Ennen tämän kanteen tiedoksiantoa virasto poisti 1.2.2022 viran puolesta rekisteristä OL:n henkilötunnuksen, henkilökorttia koskevat tiedot ja osoitteen mutta ei hänen etu- ja sukunimeään ja allekirjoitustaan. Administrativen sad Dobrich kumosi 26.1.2022 päivätyn kirjeen 5.5.2022 antamallaan tuomiolla ja velvoitti yleisen tietosuoja-asetuksen 82 artiklan nojalla viraston maksamaan OL:lle korvauksena aineettomasta vahingosta 500 Bulgarian levaa (BGN) (n. 255 euroa) laillisine korkoineen. Tuomion mukaan vahinko aiheutui kielteisistä tunteista ja kokemuksista, jotka johtuivat kirjeestä, jolla loukattiin yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan mukaista oikeutta tietojen poistamiseen ja joka johti julkisesti saataville asetettuun sopimukseen sisältyvien OL:n tietojen lainvastaiseen käsittelyyn. Virasto valitti tästä tuomiosta ennakkoratkaisua pyytäneeseen tuomioistuimeen. Se vetoaa muun muassa siihen, että se ei ole ainoastaan rekisterinpitäjä vaan myös rekisteröintimenettelyssä toimitettujen tietojen vastaanottaja ja että se ei ennen yhtiön, jonka osakas OL on, rekisteriin merkitsemistä ollut esittämästään pyynnöstä huolimatta saanut jäljennöstä yhtiösopimuksesta, josta olisi poistettu tiedot, joita ei ollut asetettava julkisesti saataville. Kaupallisen yhtiön rekisteriin merkitsemistä ei voida evätä pelkästään tällä perusteella. Virasto viittaa kansallisen valvontaviranomaisen Komisia za zashtita na lichnite dannin (henkilötietojen suojelusta vastaava lautakunta, Bulgaria) yleisen tietosuoja-asetuksen 58 artiklan 3 kohdan b alakohdan nojalla vuonna 2021 antamaan lausuntoon (jäljempänä vuoden 2021 lausunto),(6) jossa todetaan, ettei virastolla ole oikeutta muuttaa rekisteriin merkitsemistä varten vastaanottamiensa asiakirjojen sisältöä. OL puolestaan väittää, ettei virasto voi rekisterinpitäjänä määrätä muiden henkilöiden noudatettaviksi itselleen kuuluvia tietojen poistamiseen liittyviä velvoitteita. OL viittaa kansalliseen oikeuskäytäntöön, jonka mukaan vuoden 2021 lausunto ei ole yleisen tietosuoja-asetuksen säännösten mukainen.
11. Tässä tilanteessa Varhoven administrativen sad on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Voidaanko direktiivin [2009/101] 4 artiklan 2 kohtaa tulkita siten, että sen mukaan jäsenvaltion on sallittava [kauppalain] 119 §:n mukaisesti rekisteröitävän yhtiösopimuksen julkistaminen, jos yhtiösopimus sisältää niiden yhtiön jäsenten nimien lisäksi, jotka on julkistettava [rekisterilain] 2 §:n 2 momentin nojalla, myös muita henkilötietoja? Kysymykseen vastattaessa on otettava huomioon, että [virasto] on julkisen sektorin laitos, jota vastaan voidaan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan vedota sellaisiin direktiivin säännöksiin, joilla on välitön oikeusvaikutus (tuomio 7.9.2006, Vassallo, С-180/04, EU:C:2006:518, 26 kohta oikeuskäytäntöviittauksineen).
2) Jos ensimmäiseen kysymykseen vastataan myöntävästi, voidaanko katsoa, että pääasian oikeudenkäynnissä kyseessä olevan oikeusriidan olosuhteissa [viraston] suorittama henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi[yleisen tietosuoja-asetuksen] 6 artiklan 1 kohdan e alakohdassa tarkoitetussa merkityksessä?
3) Jos kahteen ensimmäiseen kysymykseen vastataan myöntävästi, voidaanko [rekisterilain] 13 §:n 9 momentin kaltaista kansallista säännöstä, jonka mukaan silloin, kun hakemuksessa tai hakemukseen liittyvissä asiakirjoissa annetaan henkilötietoja, joita ei ole laissa edellytetty, on katsottava, että tiedot toimittaneet henkilöt ovat antaneet suostumuksensa siihen, että virasto käsittelee näitä tietoja ja että ne asetetaan julkisesti saataville, pitää sallittuna riippumatta siitä, mitä todetaan [yleisen tietosuoja-asetuksen] johdanto-osan 32, 40, 42, 43 ja 50 perustelukappaleessa, siltä osin kuin siinä täsmennetään mahdollisuutta myös henkilötietojen direktiivin 2009/101 4 artiklan 2 kohdassa tarkoitettuun vapaaehtoiseen julkistamiseen?
4) Onko direktiivin [2009/101] 3 artiklan 7 kohdassa säädetyn velvoitteen, jonka mukaan jäsenvaltioiden on toteutettava tarvittavat toimenpiteet 5 kohdan mukaisesti julkistettujen ja rekisterissä tai asiakirjavihkossa olevien tietojen välisten ristiriitaisuuksien välttämiseksi ja sen huomioon ottamiseksi, että ulkopuoliset henkilöt voivat etujensa mukaisesti tutustua direktiivin kolmannessa perustelukappaleessa tarkoitettuihin tärkeimpiin yhtiötä koskeviin asiakirjoihin ja saada tietoja yhtiöstä, noudattamiseksi sallittu sellainen kansallinen lainsäädäntö, jossa säädetään menettelysäännöstä (hakemuslomakkeet, sellaisten asiakirjajäljennösten toimittaminen, joista on poistettu henkilötiedot), jonka mukaisesti luonnollinen henkilö voi käyttää [yleisen tietosuoja-asetuksen] 17 artiklassa tarkoitettua oikeutta saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot ilman aiheetonta viivytystä, jos henkilötiedot, joiden poistamista pyydetään, ovat osa viranomaisten julkistamia (julkisesti saataville asetettuja) asiakirjoja, jotka on toimittanut rekisterinpitäjälle vastaavanlaisen menettelysäännön mukaisesti toinen henkilö, joka on tällä toimella myös määrittänyt häntä koskevan käsittelyn tarkoituksen?
5) Toimiiko [virasto] pääasiassa kyseessä olevassa tilanteessa ainoastaan henkilötietojen rekisterinpitäjänä vai onko se myös niiden vastaanottaja, jos toinen rekisterinpitäjä on määrittänyt henkilötietojen käsittelyn tarkoituksen julkaistaviksi toimitettujen asiakirjojen yhteydessä?
6) Onko luonnollisen henkilön omakätinen allekirjoitus tunnistettuun luonnolliseen henkilöön liittyvä tieto eli kuuluuko se [yleisen tietosuoja-asetuksen] 4 artiklan 1 alakohdassa tarkoitetun henkilötietojen käsitteen piiriin?
7) Onko [yleisen tietosuoja-asetuksen] 82 artiklan 1 kohdan käsitettä ’aineeton vahinko’ tulkittava siten, että aineettoman vahingon toteaminen edellyttää merkittävää haittaa ja objektiivisesti ymmärrettävää henkilökohtaisten intressien loukkausta, vai pidetäänkö riittävänä sitä, että rekisteröity ainoastaan menettää lyhytaikaisesti määräämisoikeuden tietoihinsa henkilötietojen kaupparekisterissä tapahtuvan julkaisemisen vuoksi, jolloin määräämisoikeuden menetyksestä ei aiheutunut merkittäviä eikä haitallisia seurauksia rekisteröidylle?
8) Voiko kansallisen valvontaviranomaisen [henkilötietojen suojelusta vastaavan lautakunnan] [yleisen tietosuoja-asetuksen] 58 artiklan 3 kohdan b alakohdan nojalla antamaa [vuoden 2021 lausuntoa], jonka mukaan [viraston] ei ole oikeudellisesti mahdollista tai sillä ei ole toimivaltaa rajoittaa omasta aloitteestaan tai rekisteröidyn pyynnöstä jo julkistettujen tietojen käsittelyä, pitää [yleisen tietosuoja-asetuksen] 82 artiklan 3 kohdassa tarkoitettuna osoituksena siitä, ettei [virasto] ole millään tavoin vastuussa luonnolliselle henkilölle vahingon aiheuttaneesta tapahtumasta?”
IV Asian käsittely unionin tuomioistuimessa
12. Pääasian asianosaiset, Bulgarian, Saksan, Irlannin, Italian, Puolan ja Suomen hallitukset sekä komissio ovat esittäneet kirjallisia huomautuksia Euroopan unionin tuomioistuimen perussäännön 23 artiklan nojalla joko kaikista ennakkoratkaisukysymyksistä tai osasta niistä. Pääasian asianosaisten, Bulgarian ja Irlannin hallitusten sekä komission suulliset lausumat kuultiin 7.3.2024 pidetyssä istunnossa.
A Asian tarkastelu
13. Unionin tuomioistuimen pyynnöstä ratkaisuehdotuksessa keskitytään neljänteen ja viidenteen ennakkoratkaisukysymykseen, joita ehdotan tarkasteltavan yhdessä. Ennen tarkasteluani on mielestäni syytä esittää muutamia alustavia toteamuksia ennakkoratkaisupyynnöstä kokonaisuudessaan.
1. Alustavat toteamukset
14. Aluksi on tuotava esille, kuten pääasian asianosaiset, komissio ja useimmat huomautuksia unionin tuomioistuimessa esittäneistä jäsenvaltioista toteavat, että ennakkoratkaisupyynnön perusteluissa ja ennakkoratkaisukysymysten sanamuodossa – myös muun muassa neljännessä kysymyksessä – viitataan direktiivin 2009/101 säännöksiin. Se on kuitenkin kumottu ja korvattu 20.7.2017 alkaen direktiivillä 2017/1132, jota on ajallisesti sovellettava pääasian tosiseikkoihin. Viittaan näin ollen jäljempänä tarkastelussani yksinomaan tähän viimeksi mainittuun direktiiviin.
15. On myös huomattava, että direktiiviä 2017/1132 ja ennakkoratkaisupyynnön tarkastelun kannalta erityisesti sen 16 ja 161 artiklaa on muutettu direktiivillä (EU) 2019/1151,(7) joka tuli voimaan 31.7.2019. Vaikka on totta, kuten komissio korostaa, että OL:n henkilötietoja sisältävä vuoden 2020 yhtiösopimus merkittiin kaupparekisteriin ennen direktiivin 2019/1151 saattamiselle osaksi kansallista lainsäädäntöä asetetun määräajan päättymistä 1.8.2021,(8) osa tosiseikoista tapahtui tämän päivämäärän jälkeen, kuten se, että virasto lähetti 26.1.2022 päivätyn kirjeen, se, että se poisti viran puolesta joitakin näistä tiedoista, ja se, että se asetti ne uudelleen julkisesti saataville rekisteriin, mihin pääasian vastaaja viittaa kirjallisissa huomautuksissaan. Näin ollen ei ole poissuljettua, että pääasiaan on ajallisesti sovellettava direktiivin 2017/1132 versiota sellaisena kuin se on muutettuna direktiivillä 2019/1151, mikä ennakkoratkaisua pyytäneen tuomioistuimen on selvitettävä. Tästä syystä viittaan jäljempänä tarkastelussani kyseiseen versioon.
16. Täsmennän kuitenkin heti aluksi, että direktiivillä 2019/1151 tehdyillä muutoksilla on sellaisenaan vain rajallinen vaikutus kysymykseen siitä, minkä menettelysääntöjen mukaisesti yhtiörekisteriä pitävän jäsenvaltion viranomaisen on tehtäviään hoitaessaan varmistettava henkilötietojen suoja. Sen sijaan on korostettava yleisemmällä tasolla, että tällä direktiivillä pyritään vahvistamaan ja vakiinnuttamaan digitaalisten välineiden ja prosessien käyttöä yhtiöitä koskevien tietojen keräämisessä ja hallinnoimisessa, mikä merkitsee entistä laajempaa pääsyä niihin sisältyviin henkilötietoihin ja lisää riskiä näiden tietojen suojaa koskevan oikeuden loukkauksista ja näiden loukkausten vahingollisuutta.(9) Tällainen digitalisaatioprosessi(10) yhdistettynä näiden tietojen rajatylittävän saatavuuden lisäämiseen, mitä unionin lainsäätäjä niin ikään tavoittelee,(11) vaatii erityistä huomiota punnittaessa yhtäältä oikeusvarmuuden ja ulkopuolisten henkilöiden oikeuksien suojelun tavoitteita, jotka ovat – kuten myöhemmin huomataan – yhtiöitä koskevien tietojen julkistamissääntöjen taustalla, ja toisaalta yksityiselämän kunnioittamista ja henkilötietojen suojaa koskevia perusoikeuksia.(12)
17. Totean edelleen alustavasti, että pääasia koskee sellaisten henkilötietojen poistamista jäsenvaltion kaupparekisteristä, joiden asettamista julkisesti saataville ei edellytetä direktiivissä 2017/1132 eikä asianomaisen jäsenvaltion oikeudessa, sekä kyseistä rekisteriä pitävän kansallisen viranomaisen vastuuta aineettomasta vahingosta, joka aiheutuu siitä, että se kieltäytyy hyväksymästä välittömästi ja ehdottomasti tällaisten tietojen poistamista koskevaa pyyntöä. Pääasiassa ei sen sijaan ole suoraan kysymys siitä, mitä velvollisuuksia tällaisella viranomaisella on henkilötietojen suojan perusteella, kun se merkitsee kaupparekisteriin yhtiön perustamisasiakirjat, jotka sisältävät tietoja, joiden julkaiseminen ei ole pakollista. Tämä kysymys liittyy kuitenkin epäsuorasti asiaan, mikä käy ilmi siitä, että useat asian käsittelyyn osallistuneista jäsenvaltioista käsittelevät sitä laajalti huomautuksissaan ja ehdottavat neljän ensimmäisen ennakkoratkaisukysymyksen tai joidenkin niistä perusteellista uudelleenmuotoilua. Käsittelen jäljempänä tarkastelussani tämän kysymyksen tiettyjä näkökohtia mutta pysyttelen kuitenkin pääasian kohteen ja tässä ratkaisuehdotuksessa tarkasteltavien ennakkoratkaisukysymysten asettamissa rajoissa.
2. Neljäs ja viides ennakkoratkaisukysymys
18. Neljännellä ennakkoratkaisukysymyksellään, joka Bulgarian hallituksen mukaan pitäisi jättää tutkimatta, ennakkoratkaisua pyytänyt tuomioistuin pyrkii selvittämään, onko direktiiviä 2017/1132 tulkittava siten, että sen perusteella voidaan asettaa erityisiä menettelyvaatimuksia luonnollisen henkilön, tässä tapauksessa direktiivissä tarkoitetun rajavastuuyhtiön(13) osakkaan, oikeudelle sellaisten häntä koskevien henkilötietojen poistamiseen kaupparekisteristä, jotka eivät kuulu kansallisen oikeuden nojalla pakollisesti julkistettaviin tietoihin mutta ilmenevät yhtiön kaupparekisteriin merkitsemisen yhteydessä julkisesti saataville asetetusta yhtiön perustamiskirjasta. Viidennellä ennakkoratkaisukysymyksellään ennakkoratkaisua pyytänyt tuomioistuin pyytää sen sijaan unionin tuomioistuinta täsmentämään, toimiiko kaupparekisteriä pitävä viranomainen tällaisten tietojen osalta yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä vai onko se myös asetuksen 4 artiklan 9 alakohdassa tarkoitettu käsittelemiensä tietojen vastaanottaja, kun ulkopuolinen henkilö on aiemmassa vaiheessa määrittänyt niiden käsittelyn tarkoituksen.
19. Kuten olen edellä todennut, mielestäni näitä kahta kysymystä on syytä tarkastella yhdessä. Tässä tarkoituksessa käsittelen niihin liittyviä kysymyksiä seuraavassa järjestyksessä. Esitettyäni lyhyen katsauksen direktiivin 2017/1132 liitteessä II tarkoitettuja yhtiöitä koskevien julkistamisvaatimusten ulottuvuuteen tarkastelen ensin kysymystä pakollisesti julkistettaviin asiakirjoihin sisältyvien henkilötietojen rekisterinpitäjästä siinä yhteydessä, kun yhtiö merkitään jäsenvaltion kaupparekisteriin, jos – kuten tässä tapauksessa – kyseisten tietojen luovuttamista ei edellytetä yhdenmukaistetussa unionin oikeudessa eikä kyseisen jäsenvaltion lainsäädännössä. Toiseksi käsittelen kysymystä siitä, mikä on tällaisten tietojen käsittelyn oikeusperusta tässä tapauksessa. Kolmanneksi tarkastelen sitä, onko asianomaisilla henkilöillä sen jälkeen, kun kyseiset tiedot on luovutettu ne sisältävän asiakirjan julkisesti saataville asettamisen seurauksena, oikeus tietojen poistamiseen yleisen tietosuoja-asetuksen 17 artiklan mukaisesti. Neljänneksi käsittelen vielä kysymystä siitä, voidaanko tällaiseen oikeuteen soveltaa ennakkoratkaisua pyytäneen tuomioistuimen mainitsemien menettelysääntöjen kaltaisia menettelysääntöjä.
20. Ennen tätä tarkastelua on vastattava Bulgarian hallituksen väitteeseen neljännen ennakkoratkaisukysymyksen tutkittavaksi ottamisen edellytyksistä. Kyseinen hallitus katsoo, että neljäs ennakkoratkaisukysymys koskee ennen kaikkea sitä, onko direktiivin 2017/1132 16 artiklan 7 alakohdan – sellaisena kuin se oli ennen direktiivillä 2019/1151 tehtyjä muutoksia – mukaisena pidettävä kansallista lainsäädäntöä, jota ei ollut vielä annettu. Kysymys on siis sen mukaan hypoteettinen. Tältä osin huomautan, että ennakkoratkaisua pyytäneen tuomioistuimen on asian viimeisenä oikeusasteena ratkaisevana tuomioistuimena otettava kantaa siihen, onko viraston päätös kieltäytyä poistamasta tiettyjä vastaajan henkilötietoja, jotka sisältyvät julkisesti saataville kaupparekisteriin merkitsemisen seurauksena asetettuun asiakirjaan, lainmukainen, sekä tämän kieltäytymisen seurauksiin. Tätä varten ennakkoratkaisua pyytäneen tuomioistuimen on erityisesti arvioitava direktiivin 2017/1132 ja yleisen tietosuoja-asetuksen säännösten valossa, voidaanko tällaista kieltäytymistä perustella muun muassa sillä, että asiakirjan oikeaksi todistettua jäljennöstä, josta on poistettu kyseiset henkilötiedot, ei ole liitetty asiakirjavihkoon. Esitetty ennakkoratkaisupyyntö on näin ollen tarpeen, jotta ennakkoratkaisua pyytänyt tuomioistuin voi antaa ratkaisun käsiteltäväkseen saatetussa asiassa. Lisäksi neljännen ennakkoratkaisukysymyksen moniselitteisestä sanamuodosta huolimatta ennakkoratkaisupyynnöstä ilmenee selvästi, että siinä ei pyydetä lausumaan siitä, onko kansallinen lainsäädäntö, jota ei ole vielä annettu, unionin oikeuden mukainen, vaan siinä pyydetään unionin tuomioistuinta esittämään ne unionin oikeuden tulkintaan liittyvät seikat, jotka ovat ennakkoratkaisua pyytäneelle tuomioistuimelle tarpeen siinä vireillä olevan asian ratkaisemiseksi. Neljäs ennakkoratkaisukysymys voidaan siten mielestäni ottaa tutkittavaksi.
3. Lyhyt katsaus direktiivin 2017/1132 liitteessä II tarkoitettuja yhtiöitä koskevien asiakirjojen ja tietojen julkistamisvaatimusten ulottuvuuteen
21. Direktiivin 2017/1132 14 artiklassa säädetään, että jäsenvaltioiden on julkistettava direktiivin liitteessä II tarkoitettujen yhtiömuotojen osalta ”ainakin” tässä artiklassa luetellut asiakirjat ja tiedot. Asiakirjoina, joiden julkistaminen on pakollista, direktiivin 14 artiklan a–c alakohdassa mainitaan yhtiön ”perustamiskirja sekä yhtiöjärjestys, jos se on erillisessä asiakirjassa”, sekä niiden muutokset. Direktiivin 4 artiklan i alakohdan mukaan pakolliset tiedot yhtiöjärjestyksessä, perustamiskirjassa tai erillisessä asiakirjassa, joka julkaistaan, käsittävät sellaisten luonnollisten henkilöiden tai oikeushenkilöiden tai yhtiöiden henkilöllisyyden, jotka ovat allekirjoittaneet yhtiöjärjestyksen tai perustamiskirjan ja joiden nimissä kyseiset asiakirjat on allekirjoitettu. Tietoina, joiden julkistaminen on varmistettava, 14 artiklan d alakohdassa mainitaan ”sellaisten henkilöiden asettaminen, tehtävän päättyminen ja henkilötiedot, jotka joko lakisääteisenä toimielimenä tai sellaisen jäseninä – – ovat kelpoisia edustamaan yhtiötä suhteessa ulkopuolisiin henkilöihin ja käyttämään sen puhevaltaa oikeudenkäynnissä” ja/tai ”osallistuvat yhtiön hallintoon, johtoon tai valvontaan”. Direktiivin 2017/1132, sellaisena kuin se on muutettuna direktiivillä 2019/1151, 16 artiklan 2 kohdan mukaan kaikki asiakirjat ja tiedot, jotka on julkistettava 14 artiklan mukaan, on sisällytettävä tämän artiklan 1 kohdassa tarkoitettuun keskus-, kauppa- tai yhtiörekisterissä olevaan asiakirjavihkoon tai kirjattava suoraan rekisteriin.(14) Tämän direktiivin, sellaisena kuin se on muutettuna direktiivillä 2019/1151, 16 artiklan 3 ja 4 kohdan mukaan jäsenvaltioiden on varmistettava, että 14 artiklassa tarkoitettujen asiakirjojen ja tietojen julkistaminen tapahtuu asettamalla ne julkisesti saataville rekisterissä. Jäsenvaltiot voivat myös vaatia, että jotkin tai kaikki asiakirjat ja tiedot julkaistaan siihen tarkoitukseen nimetyssä kansallisessa virallisessa julkaisussa tai toisella yhtä tehokkaalla tavalla. Jäsenvaltioiden on toteutettava kaikki tarvittavat toimenpiteet rekisterissä ja asiakirjavihkossa olevien tietojen välisten ristiriitaisuuksien välttämiseksi sekä rekisterissä julkistettujen ja virallisessa lehdessä julkaistujen asiakirjojen ja tietojen välisten ristiriitaisuuksien välttämiseksi.
22. Edellä mainituista direktiivin 2017/1132 vaatimuksista voidaan esittää seuraavat huomautukset.
23. Ensinnäkin direktiivissä 2017/1132 säädetään yhtiön koko perustamiskirjan ja sen muutosten pakollisesta julkistamisesta ja asettamisesta saataville rekisterissä.(15)
24. Direktiivin liitteessä II tarkoitettujen yhtiöiden osalta on julkistettava ja asetettava saataville rekisterissä ainoastaan tiedot, jotka koskevat tiettyjä henkilöryhmiä, muun muassa niitä, jotka ovat kelpoisia edustamaan yhtiötä tai jotka osallistuvat yhtiön hallintoon, johtoon tai valvontaan. Direktiivin 4 artiklan i alakohdan mukaan myös yhtiön perustamiskirjan allekirjoittaneiden luonnollisten henkilöiden henkilöllisyys on julkistettava.
25. Nämä tiedot, jotka liittyvät tunnistettuihin tai tunnistettavissa oleviin luonnollisiin henkilöihin, ovat yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuja henkilötietoja.(16)
26. Edellä mainitut direktiivin 2017/1132 säännökset sisältävät vain vähimmäisvaatimukset yhtiöitä koskevien asiakirjojen ja tietojen julkistamisesta. Näin ollen jäsenvaltioiden on määritettävä muun muassa, mitkä direktiivin 4 artiklan i alakohdassa ja 14 artiklan d alakohdassa tarkoitetut henkilöiden henkilöllisyyttä koskevat tiedot kuuluvat julkistamisvelvollisuuden piiriin. Jäsenvaltiot voivat myös säätää, että muita asiakirjoja tai tietoja, jotka koskevat mahdollisesti muita henkilöryhmiä, on julkistettava. On itsestään selvää, että niiden on tällöin noudatettava kaikkia unionin oikeuden säännöksiä ja määräyksiä, erityisesti Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 8 artiklassa ja 52 artiklan 1 kohdassa vahvistettuja periaatteita ja yleisen tietosuoja-asetuksen säännöksiä.
4. Rekisterinpitäjä
27. Yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa määritellään rekisterinpitäjän käsite laajasti siten, että sillä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa ”määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot”. Tämän laajan määritelmän tavoitteena on asetuksen tavoitteen mukaisesti varmistaa luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien tehokas suoja ja erityisesti se, että jokaisella on oikeus henkilötietojensa korkeatasoiseen suojaan.(17) Myös käsittelyn käsite on määritelty laajasti.(18) Yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdan mukaan käsittelyllä tarkoitetaan ”toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista”.
28. Tuomiosta Manni ilmenee, että merkitessään direktiivin 2017/1132 14 artiklan d alakohdassa tarkoitetut henkilöiden henkilötiedot kaupparekisteriin sekä luovuttaessaan niitä rekisteriä pitävä viranomainen suorittaa ”rekisterinpitäjän” asemassa ”henkilötietojen käsittelyä” yleisen tietosuoja-asetuksen 4 artiklan 2 ja 7 alakohtaan sisältyvien määritelmien mukaisesti. Sama koskee luonnollisesti tilannetta, jossa muita kuin direktiivissä nimenomaisesti mainittuja henkilötietoja merkitään tähän rekisteriin, säilytetään tai luovutetaan, jos tällaisten tietojen julkistamista edellytetään jäsenvaltion lainsäädännössä.
29. Käsiteltävässä asiassa ratkaistava kysymys koskee kuitenkin sitä, onko tällainen viranomainen, tässä tapauksessa virasto, vastuussa sellaisten henkilötietojen asettamisesta julkisesti saataville, joiden julkistamista ei edellytetä direktiivissä 2017/1132 eikä kyseisen jäsenvaltion lainsäädännössä, tässä tapauksessa Bulgarian lainsäädännössä, mutta jotka sisältyvät asiakirjaan, jonka rekisteriin merkitseminen ja jonka sisältämien tietojen luovuttaminen ovat pakollisia.
30. Tähän kysymykseen on mielestäni vastattava myöntävästi.
31. OL:n henkilötiedot on asetettu julkisesti saataville kaupparekisterissä viraston käyttäessä toimivaltuuksiaan rekisteriä pitävänä viranomaisena. Kuten edellä on todettu, Bulgarian lainsäädännön mukaan yhtiön kaupparekisteriin merkitsemistä koskevaan hakemukseen on liitettävä julkistettavat asiakirjat alkuperäisinä tai niiden oikeaksi todistetut jäljennökset, muun muassa yhtiösopimus, joka viraston on asetettava julkisesti saataville. Myös viraston tehtäviään hoitaessaan suorittaman henkilötietojen käsittelyn tarkoitukset ja keinot määritetään Bulgarian lainsäädännössä sekä unionin oikeudessa, jolla on – kuten edellä on todettu – lähennetty jäsenvaltioiden lainsäädäntöä yhtiöitä koskevien julkistamisvaatimusten osalta. Koska virasto on viranomainen, joka vastaa kaupparekisteriin merkittyihin asiakirjoihin sisältyvien henkilötietojen käsittelystä Bulgarian ja unionin lainsäädännössä määritettyjen tarkoitusten ja keinojen mukaisesti, sitä on näin ollen pidettävä yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä. Huomattakoon, että unionin tuomioistuin päätyi äskettäin vastaavanlaiseen päätelmään jäsenvaltion virallisesta lehdestä lain mukaan vastaavan kansallisen elimen osalta 11.1.2024 antamassaan tuomiossa Belgian valtio (Virallisessa lehdessä käsitellyt tiedot).(19)
32. Tätä päätelmää ei kyseenalaista se, että tässä tapauksessa vuoden 2020 yhtiösopimukseen sisältyvät tiedot eivät lukeudu niihin tietoihin, jotka on asetettava julkisesti saataville Bulgarian lainsäädännön mukaan. Unionin tuomioistuin hyväksyi implisiittisesti tuomiossa Belgian valtio sen, että tällainen seikka ei vaikuta rekisterinpitäjän tunnistamiseen. Kyseisen tuomion antamiseen johtaneessa asiassa, kuten myös käsiteltävän ennakkoratkaisupyynnön taustalla olevassa asiassa, oikeusriita koski tietoja, joiden julkisesti saataville asettamista ei edellytetä kyseisen jäsenvaltion laissa. Rekisterilain 13 §:n 9 momentissa säädetään nimenomaisesti, että jos hakija ei toimita julkistettavasta asiakirjasta oikeaksi todistettua jäljennöstä, josta on poistettu ne henkilötiedot, joita ei edellytetä, virasto käsittelee ne ja ne asetetaan julkisesti saataville oletetun implisiittisen suostumuksen perusteella. Näin ollen myös tällaisissa olosuhteissa Bulgarian lainsäädännössä nimetään nimenomaisesti virasto rekisterinpitäjäksi.
33. Näissä olosuhteissa en voi yhtyä viraston kirjallisissa huomautuksissaan esittämään näkemykseen, jonka mukaan silloin, jos hakija ei poista rekisteriin merkitsemistä varten toimittamiinsa asiakirjoihin sisältyviä tietoja, joita ei edellytetä laissa, hakija on itse vastuussa käsittelystä, joka koskee niiden julkaisemista internetissä tässä rekisterissä. Riippumatta siitä, voidaanko tällaisten tietojen julkaisemista koskeva suostumus antaa pätevästi rekisterilain 13 §:n 9 momentissa tarkoitetun olettaman perusteella, tällaisen suostumuksen antaminen ei voi vaikuttaa rekisterinpitäjän määrittämiseen vaan ainoastaan käsittelyn lainmukaisuuteen.
34. Vastaavasti merkityksettömänä on pidettävä niin ikään viraston esille tuomaa seikkaa, jonka mukaan kaupparekisteriin merkitsemistä koskevan hakemuksen yhteydessä toimitetut asiakirjat eivät ole jäsenneltyjä tai koneellisesti luettavia tietoja, toisin kuin rekisterin numeeriset kentät, jotka rekisterimerkinnän tekevä virkamies täyttää ja jotka vastaavat rekisterin lakisääteistä määritelmää Bulgarian oikeudessa. Virasto on Bulgarian lain mukaan kaupparekisteriä pitävä viranomainen, ja se on näin ollen vastuussa kaikesta siinä julkaistujen henkilötietojen käsittelystä riippumatta siitä, sisältyvätkö nämä tiedot hakemukseen liitettyyn asiakirjaan vai onko viraston virkamies koodannut ne. Vaikka siis virasto ei itse suorittaisi vastaanottamiensa asiakirjojen digitointia, se on kuitenkin vastuussa näiden asiakirjojen ja niiden sisältämien tietojen luovuttamisesta rekisterin kautta. Yleisemmällä tasolla osana yleisen edun mukaista tehtäväänsä virasto kerää, tallentaa, säilyttää, järjestää ja luokittelee kaikki vastanottamansa tiedot ja asiakirjat jäsenneltyyn tietokantaan, joka katsotaan luotettavaksi ja varmaksi tietolähteeksi.
35. Viraston luonnehtimista yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitetuksi rekisterinpitäjäksi ei kyseenalaista se, että se ei tarkista rekisteriin merkitsemistä varten toimitettujen asiakirjojen sähköisiin kuviin tai paperisiin alkuperäiskappaleisiin sisältyviä henkilötietoja ennen niiden julkaisemista internetissä, eikä liioin se, ettei se voi muuttaa tai oikaista näitä tietoja. Tältä osin muistutan, että unionin tuomioistuimella on jo ollut tilaisuus hylätä vastaavan sisältöinen väite tuomiossa Belgian valtio, jossa oli kyse jäsenvaltion virallisessa lehdessä julkaistavista toimista ja asiakirjoista, jotka kolmannet ovat laatineet ja jotka on tämän jälkeen toimitettu oikeusviranomaiselle ja siirretty tästä lehdestä vastaavalle elimelle niiden sisältämien tietojen luovuttamista varten. Unionin tuomioistuin huomauttaa kyseisen tuomion 38 kohdassa, että näiden toimien ja asiakirjojen julkaiseminen ilman mahdollisuutta tarkastaa tai muuttaa niiden sisältöä liittyy erottamattomasti virallisen lehden tehtävään, jona on ainoastaan tiedottaa yleisölle niiden olemassaolosta sovellettavan kansallisen lainsäädännön mukaisesti, jotta niihin voidaan vedota kolmansia vastaan. Se täsmentää, että olisi luonnollisten henkilöiden tehokkaan ja kattavan suojan varmistamista henkilötietojen käsittelyssä koskevan yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdan tavoitteen vastaista sulkea rekisterinpitäjän käsitteen ulkopuolelle jäsenvaltion virallinen lehti sillä perusteella, että sillä ei ole määräysvaltaa tällaisten tietojen osalta. Vastaavanlaiset perustelut koskevat soveltuvin osin toimien ja asiakirjojen julkaisemista jäsenvaltioiden yhtiörekistereissä. Kuten edellä mainitussa tuomiossa todettiin Moniteur belgen osalta, vaikka on totta, että viraston on julkaistava kyseinen toimi sellaisenaan, se vastaa tästä tehtävästä yksin ja levittää kyseisen toimen.(20)
36. Tässä vaiheessa herää kysymys siitä, onko viraston katsottava olevan yksin vastuussa riidanalaisten tietojen käsittelystä ja siten yleisen tietosuoja-asetuksen 5 artiklan 1 kohdassa tarkoitettujen periaatteiden noudattamisesta vai jakaako se tämän vastuun yhtiön puolesta toimivan hakijan kanssa sillä perusteella, että hakija ei ole lähettänyt virastolle vuoden 2020 yhtiösopimuksesta jäljennöstä, josta kyseiset tiedot olisi poistettu.
37. Aluksi on muistettava, että yleisen tietosuoja-asetuksen 26 artiklan 1 kohdassa säädetään, että vähintään kaksi henkilöä voi olla yhteisrekisterinpitäjiä ja että yhteisrekisterinpitäjien vastuualueet voidaan määrittää keskinäisellä järjestelyllä tai vahvistaa unionin oikeudessa tai rekisterinpitäjiin sovellettavassa jäsenvaltion lainsäädännössä.(21) Unionin tuomioistuin on täsmentänyt, että yhteisrekisterinpitäjiksi luonnehdinta perustuu siihen, että useat yksiköt ovat osallistuneet käsittelyn tarkoitusten ja keinojen määrittämiseen.(22) Jos tällaista yhteistä osallistumista ei ole, yhteisrekisterinpitäjyys on sen sijaan suljettava pois ja eri toimijoita on pidettävä peräkkäisinä riippumattomina rekisterinpitäjinä. Kuten Euroopan tietosuojaneuvosto on todennut, samojen tietojen tai tietokokonaisuuksien vaihtoa kahden yksikön välillä ilman yhteisesti määriteltyjä tarkoituksia ja yhteisesti määriteltyjä käsittelytapoja olisi pidettävä tietojen siirtämisenä erillisten rekisterinpitäjien välillä.(23)
38. Näin ollen pelkästään sen vuoksi, että virasto on samanaikaisesti yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitettu rekisterinpitäjä ja kyseisen artiklan 9 alakohdassa tarkoitettu vastaanottaja, koska se saa tiedoksi kaupparekisteriin merkitsemistä koskevaan hakemukseen liitettyihin toimiin ja asiakirjoihin sisältyviä henkilötietoja, ei voida sulkea pois mahdollisuutta, että se vastaa yksin näiden tietojen julkisesti saataville asettamisesta. Tällainen julkisesti saataville asettaminen samoin kuin virastolle toimitettuihin toimiin sisältyvien tietojen mahdollinen digitointi sekä niiden säilyttäminen ovat erillistä käsittelyä, joka tapahtuu sen jälkeen, kun hakija on toimittanut tietoja yhtiön rekisteriin merkitsemistä varten. Virasto toteuttaa kaiken tällaisen käsittelyn yksin sille annettua yleisen edun mukaista tehtävää hoitaessaan Bulgarian lainsäädännössä vahvistettujen tarkoitusten ja menettelysääntöjen mukaisesti.(24)
39. Unionin tuomioistuin kylläkin täsmensi tuomiossa Belgian valtio,(25) että on riittävää, että henkilö vaikuttaa omia tarkoituksiaan varten henkilötietojen käsittelyyn ja osallistuu tämän vuoksi kyseisen käsittelyn tarkoitusten ja keinojen määrittämiseen, jotta sitä voidaan pitää yhteisrekisterinpitäjänä.(26) Tässä tapauksessa unionin tuomioistuimen käytettävissä olevasta aineistosta kuitenkin ilmenee, että kaupparekisterissä julkisesti saataville asettaviin asiakirjoihin sisältyvien tietojen käsittelyn tarkoitukset ja keinot määritetään yksinomaan laissa. Henkilöt, jotka yhtiön puolesta lataavat rekisterin tietokantaan ne asiakirjat ja tiedot, joiden julkistamista edellytetään laissa,(27) eivät millään tavoin vaikuta tähän määrittämiseen, eikä heidän siten voida katsoa olevan vastuussa – sen enempää kuin yhtiönkään – virastolle toimittamiensa tietojen myöhemmästä käsittelystä, mukaan luettuna näiden tietojen luovuttaminen rekisterin sähköisen tietokannan kautta. Lisäksi toimittaessaan virastolle julkistettavat asiakirjat ja käsittelemällä niiden sisältämiä tietoja nämä henkilöt toteuttavat omia tarkoituksiaan eli täyttävät yhtiön rekisteriin merkitsemiseksi tarvittavat muotovaatimukset, ja nämä tarkoitukset eroavat rekisterille osoitetuista julkisista tarkoituksista, joita se toteuttaa varmistaessaan tällaisten asiakirjojen asettamisen julkisesti saataville.(28)
40. Unionin tuomioistuin totesi tuomiossa Belgian valtio, että eri henkilöiden tai yksiköiden suorittamien, samoja henkilötietoja koskevien käsittelytoimien ketjun osalta kansallisessa lainsäädännössä voidaan määrittää näiden eri henkilöiden tai yksikköjen kaikkien peräkkäin suorittamien käsittelytoimien tarkoitukset ja keinot sillä tavoin, että ne ovat yhdessä vastuussa käsittelystä.(29) Siten yleisen tietosuoja-asetuksen 26 artiklan 1 kohdan ja 4 artiklan 7 alakohdan yhdessä luettujen säännösten nojalla samoja henkilötietoja koskevien käsittelytoimien ketjussa voidaan kansallisessa lainsäädännössä vahvistaa useiden toimijoiden yhteisvastuu edellyttäen, että eri käsittelytoimia yhdistävät kyseisessä lainsäädännössä määritetyt tarkoitukset ja keinot ja että siinä määritellään suoraan tai välillisesti kunkin yhteisrekisterinpitäjän vastuualueet.(30) Mielestäni tämä ei päde rekisterilain 13 §:n 6 ja 9 momenttiin, joissa ainoastaan määritetään, millä edellytyksillä Bulgarian lainsäädännön mukaan rekisteröity on antanut pätevästi suostumuksensa sellaisten henkilötietojen julkaisemiseen kaupparekisterissä, joita ei tarvitse julkistaa. Kyseisen säännöksen tarkoituksena ei ole vahvistaa hakijan yhteisvastuuta näiden tietojen myöhemmästä käsittelystä vaan pikemminkin tarkentaa viraston suorittaman käsittelyn lainmukaisuuden peruste. Kuten olen jo tuonut esille, yhtiön yksityiset tarkoitukset eroavat viraston julkisista tarkoituksista, minkä vuoksi tuomiossa Belgian valtio asetetut edellytykset sille, että useiden toimijoiden yhteisvastuu ”samoja henkilötietoja koskevien käsittelytoimien ketjussa” voitaisiin katsoa vahvistetuksi Bulgarian lainsäädännössä, eivät nähdäkseni täyty.
41. Kaiken edellä esitetyn perusteella katson, että yleisen tietosuoja-asetuksen 4 artiklan 7 alakohtaa ja 26 artiklan 1 kohtaa on tulkittava siten, että jäsenvaltion kaupparekisteriä pitävä viranomainen, jonka on kyseisen valtion lainsäädännön perusteella varmistettava yhtiön kaupparekisteriin merkitsemistä koskevan hakemuksen yhteydessä sille toimitettujen asiakirjojen julkistaminen, on yksin vastuussa näihin asiakirjoihin sisältyvien henkilötietojen asettamisesta julkisesti saataville, vaikka kyse olisi tiedoista, joiden julkaisemista ei edellytetä ja jotka olisi pitänyt tämän lainsäädännön mukaan poistaa näistä asiakirjoista ennen niiden toimittamista kyseiselle viranomaiselle.
5. Käsittelyn lainmukaisuuden peruste
42. Kaikessa henkilötietojen käsittelyssä on noudatettava tietojen käsittelyä koskevia periaatteita, jotka mainitaan yleisen tietosuoja-asetuksen 5 artiklan 1 kohdassa, ja sen osalta on täytyttävä jokin edellytyksistä, jotka luetellaan asetuksen 6 artiklassa,(31) jossa vahvistetaan tyhjentävä luettelo tilanteista, joissa henkilötietojen käsittelyn voidaan katsoa olevan lainmukaista.(32) Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan mukaan henkilötietojen käsittely on lainmukaista jos ja siltä osin kuin rekisteröity on antanut sitä koskevan suostumuksensa yhtä tai useampaa erityistä tarkoitusta varten. Jos tällainen suostumus puuttuu tai sitä ei ole annettu yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan mukaisesti vapaaehtoisesti, yksilöidysti, tietoisesti ja yksiselitteisesti suostumusta ilmaisevalla lausumalla tai selkeästi suostumusta ilmaisevalla toimella, tällainen käsittely on kuitenkin oikeutettua, jos sen osalta täyttyy jokin 6 artiklan 1 kohdan ensimmäisen alakohdan b–f alakohdassa mainituista edellytyksistä, joita on tulkittava suppeasti.(33)
43. Tässä tapauksessa rekisterilain 13 §:n 9 momentissa säädetty suostumusta koskeva olettama ei selvästikään täytä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan a alakohdassa, luettuna yhdessä asetuksen 4 artiklan 11 alakohdan kanssa, asetettuja edellytyksiä.(34) Näin ollen on selvitettävä, täyttääkö pääasiassa kyseessä olevan kaltainen tietojen käsittely jonkin muun asetuksen 6 artiklan 1 kohdan ensimmäisessä alakohdassa tarkoitetuista oikeuttamisperusteista.
44. Tuomiosta Manni ilmenee, että kun rekisteriä pitävä viranomainen panee täytäntöön yhtiöiden asiakirjojen julkistamista koskevien kansallisten säännösten yhteensovittamiseksi annettuja unionin toimia, sen suorittama henkilötietojen käsittely vastaa muun muassa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c alakohdassa säädettyä käsittelyn lainmukaisuutta koskevaa perustetta, joka koskee rekisterinpitäjän lakisääteisen velvoitteen noudattamista, ja e alakohdassa säädettyä perustetta, joka koskee yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä. Keskityn siten tarkastelussani näihin kahteen perusteeseen.
45. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c alakohdassa tarkoitetun ensimmäisen perusteen osalta on ensinnäkin tutkittava, oliko pääasiassa kyseessä olevien henkilötietojen, jotka eivät kuulu direktiivin 2017/1132 tai Bulgarian oikeuden mukaan julkistettaviin tietoihin, asettaminen julkisesti saataville kaupparekisterissä perusteltua direktiivin 14 artiklassa tarkoitettujen asiakirjojen julkistamisen varmistamista koskevan vaatimuksen vuoksi ja oliko se siten tarpeen unionin oikeuteen perustuvan lakisääteisen velvoitteen noudattamiseksi.
46. Kyseisen direktiivin 16 artiklan 3 kohdan mukaan jäsenvaltioiden on varmistettava, että nämä asiakirjat asetetaan julkisesti saataville artiklan 1 kohdan ensimmäisessä alakohdassa tarkoitetussa rekisterissä. Saksan, Irlannin ja Puolan hallitukset katsovat, että tämän artiklan, luettuna yhdessä edellä mainitun 14 artiklan kanssa, mukaan rekisteriä pitävien viranomaisten on julkaistava asiakirjat sellaisina kuin ne vastaanottavat ne. Niiden mukaan viranomaisilla on siten velvollisuus käsitellä kaikki näihin asiakirjoihin sisältyvät henkilötiedot, myös ne, joita ei edellytetä unionin oikeuden tai sovellettavan kansallisen oikeuden nojalla.
47. En yhdy tähän tulkintaan. Direktiivissä 2017/1132 säädetään, että yhtiöiden tietyt keskeiset asiakirjat on julkistettava ja että julkistaminen tapahtuu rekisterin kautta, mutta siinä ei edellytetä kaikkien näihin asiakirjoihin sisältyvien henkilötietojen systemaattista käsittelyä, vaikka tämä käsittely olisi yleisen tietosuoja-asetuksen säännösten vastaista. Päinvastoin, kuten olen edellä todennut, tämän direktiivin, sellaisena kuin se on muutettuna direktiivillä 2019/1151, 161 artiklassa säädetään, että direktiivin mukaiseen henkilötietojen käsittelyyn sovelletaan yleistä tietosuoja-asetusta. Jäsenvaltioiden on näin ollen löydettävä oikea tasapaino oikeusvarmuuden ja ulkopuolisten henkilöiden etujen suojaamista koskevien tavoitteiden, jotka ovat – kuten jäljempänä todetaan – yhtiöiden asiakirjojen julkistamista koskevien sääntöjen perustana, sekä henkilötietojen suojaa koskevan perusoikeuden välillä.
48. Seuraavaksi on selvitettävä, oliko pääasiassa kyseessä olevien tietojen julkaiseminen kaupparekisterissä tarpeen Bulgarian oikeuden mukaisen lakisääteisen velvoitteen noudattamiseksi. Tältä osin muistutan, että rekisterilain 2 §:n 2 momentin mukaan kaupparekisteriin merkittävät asiakirjat ”asetetaan julkisesti saataville ilman [yleisen tietosuoja-asetuksen] 4 artiklan 1 alakohdassa tarkoitettuja henkilötietoja, lukuun ottamatta tietoja, jotka on lain nojalla asetettava julkisesti saataville”. Pääasiassa kyseessä olevan tietojen käsittelyn lainmukaisuus ei näin ollen näytä voivan perustua yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c alakohdassa tarkoitettuun lakisääteiseen velvoitteeseen, joka olisi asetettu virastolle Bulgarian lainsäädännön nojalla, minkä myös rekisterilain 13 §:n 9 momentissa tarkoitettu suostumusta koskeva olettama näyttää vahvistavan. Ennakkoratkaisua pyytäneen tuomioistuimen, joka on yksin toimivaltainen tulkitsemaan kansallista oikeutta, on kuitenkin ratkaistava tämä seikka. Täsmennän tässä ainoastaan, että pelkästään se viraston esille tuoma seikka, että jos asiakirjasta ei ole toimitettu jäljennöstä, josta on poistettu tiedot, joita ei edellytetä laissa, sen on julkaistava asiakirja sellaisena kuin se on sille toimitettu, ei mielestäni riitä osoittamaan, että kyseessä olisi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c alakohdassa tarkoitettu lakisääteinen velvoite, koska tällainen julkaiseminen on laissa lähtökohtaisesti suljettu pois ja koska virasto julkaisee tiedot ainoastaan oletetun suostumuksen perusteella.(35) Tältä osin on korostettava, että rekisterinpitäjän on varmistuttava suorittamansa tietojen käsittelyn ”lainmukaisuudesta” asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan a–f alakohdassa säädettyjen edellytysten osalta.(36)
49. Siltä osin kuin kyse on yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan e alakohdassa tarkoitetusta perusteesta, johon sekä ennakkoratkaisua pyytänyt tuomioistuin että useimmat tässä menettelyssä huomautuksia esittäneistä jäsenvaltioista viittaavat, muistutan, että unionin tuomioistuimella on jo ollut tilaisuus katsoa, että viranomaisen toiminta, jonka yhteydessä sellaiset tiedot, jotka yhtiöiden on ilmoitettava laillisten velvoitteiden perusteella, tallennetaan tietokantaan, asianomaisille henkilöille annetaan mahdollisuus tutustua näihin tietoihin ja heille annetaan niistä jäljennöksiä, kuuluu julkisen vallan käyttöön(37) ja on tässä säännöksessä tarkoitettu yleistä etua koskeva tehtävä.(38) Kuten julkisasiamies Bot totesi ratkaisuehdotuksessaan Manni, tärkeimpien yhtiöitä koskevien tietojen merkitsemisellä kauppa- ja yhtiörekistereihin ja niiden julkaisemisella on tarkoitus saada aikaan luotettava tietolähde ja varmistaa näin ollen ulkopuolisten, erityisesti velkojien, etujen suojaamiseksi tarpeellinen oikeusvarmuus, rehellinen kaupankäynti ja siten markkinoiden moitteeton toiminta.(39) Kuten unionin tuomioistuin on korostanut, kaikkien merkityksellisten tietojen merkitseminen näihin rekistereihin ja ulkopuolisten henkilöiden mahdollisuus tutustua niihin auttaa edistämään jäsenvaltioiden välistä kauppaa myös sisämarkkinoiden kehittämiseksi.(40)
50. Tässä tapauksessa on pohdittava, voidaanko näihin tavoitteisiin ja yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan e alakohdassa tarkoitettuun lainmukaisuuden perusteeseen vedota siinä yhteydessä, kun virasto asettaa julkisesti saataville pääasiassa kyseessä olevat henkilötiedot, jotka eivät kuulu niihin henkilötietoihin, joiden julkistaminen on pakollista unionin oikeuden tai Bulgarian lainsäädännön mukaan.
51. Tältä osin on huomattava, että yleisen tietosuoja-asetuksen 6 artiklan 3 kohdassa, luettuna yhdessä sen johdanto-osan 45 perustelukappaleen kanssa, täsmennetään erityisesti tämän artiklan 1 kohdan ensimmäisen alakohdan e alakohdassa tarkoitetun lainmukaisuustilanteen osalta, että käsittelyn on perustuttava unionin oikeuteen tai rekisterinpitäjään sovellettavaan jäsenvaltion lainsäädäntöön ja että tämän oikeusperustan on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.(41) Mikään näistä vaatimuksista – joiden unionin tuomioistuin on täsmentänyt olevan ilmaus perusoikeuskirjan 52 artiklan 1 kohdasta johtuvista vaatimuksista(42) – ei näytä täyttyvän tässä asiassa, joka koskee henkilötietojen käsittelyä, jonka siitä huolimatta, että se suoritetaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan e alakohdassa tarkoitetun yleistä etua koskevan tehtävän hoitamisen yhteydessä, ei sovellettavan kansallisen lainsäädännön nojalla katsota olevan lähtökohtaisesti tarpeen tämän tehtävän suorittamiseksi eikä myöskään kaupparekisterille osoitettujen tarkoitusten toteuttamiseksi ja joka on sallittu ainoastaan rekisteröidyn oletetun suostumuksen perusteella.
52. Yleisemmällä tasolla on korostettava, että henkilötietojen, joita ei edellytetä unionin oikeudessa tai asianomaisen jäsenvaltion lainsäädännössä, julkaiseminen ei palvele mitään tämän ratkaisuehdotuksen 49 kohdassa mainituista tavoitteista,(43) jotka yksin oikeuttavat puuttumisen kyseisille henkilöille perusoikeuskirjan 7 ja 8 artiklassa taattuihin yksityisyyttä ja henkilötietojen suojaa koskeviin oikeuksiin.(44) Kuten unionin tuomioistuin korosti tuomiossa Manni, tällaista puuttumista ei pidetä suhteettomana juuri siitä syystä, että henkilötietoja on lähtökohtaisesti julkistettava rajoitettu määrä, eli tiedot, jotka koskevat sellaisten henkilöiden henkilötietoja ja tehtäviä, jotka ovat kelpoisia edustamaan yhtiötä, ja jotka ovat näin ollen tarpeen ulkopuolisten henkilöiden etujen suojaamiseksi.(45)
53. Bulgarian hallitus ja virasto väittävät, että pääasiassa kyseessä oleva käsittely perustuu Bulgarian lainsäädännön mukaan tarpeeseen varmistaa yhtiöiden keskeisten asiakirjojen julkistaminen, säilyttää niiden eheys ja luotettavuus ja olla estämättä virastoa hoitamasta yleistä etua koskevaa tehtäväänsä. Oletettaessa, että ennakkoratkaisua pyytänyt tuomioistuin päätyy samaan johtopäätökseen, sen on vielä varmistuttava suhteellisuusperiaatteen noudattamisesta. Tämän periaatteen mukaisesti rajoitukset henkilötietojen suojaa koskevaan perusoikeuteen on toteutettava täysin välttämättömän rajoissa,(46) eikä näin ole silloin, jos tavoiteltu yleisen edun mukainen päämäärä voidaan kohtuudella saavuttaa yhtä tehokkaasti muilla tätä oikeutta vähemmän rajoittavilla keinoilla.(47) On myös huomattava, että yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädetään, että henkilötietojen on oltava asianmukaisia ja olennaisia eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään, ja edellytetään, että jäsenvaltiot noudattavat ”tietojen minimoinnin” periaatetta, joka on ilmaus suhteellisuusperiaatteesta.(48)
54. Nähdäkseni tavoite varmistaa yhtiöiden keskeisten asiakirjojen julkistaminen voidaan kohtuudella saavuttaa ottamalla käyttöön menettelyjä, joiden avulla asiakirjoista voidaan ennen niiden julkaisemista poistaa henkilötiedot, joiden asettamista julkisesti saataville ei edellytetä. Näihin menettelyihin voi kuulua muun muassa virastolle asetettu velvollisuus lykätä yhtiön rekisteriin merkitsemistä, jotta tällaisia tietoja sisältävät asiakirjat voidaan muuttaa tai jotta tiedot voidaan poistaa, tarvittaessa viran puolesta.
55. Useiden tässä menettelyssä huomautuksia esittäneiden jäsenvaltioiden esittämät väitteet, joiden mukaan tällaisten menettelyjen käyttöön ottaminen saattaisi viivästyttää yhtiöiden rekisteriin merkitsemistä koskevien hakemusten käsittelyä muun muassa osakkaiden etujen vastaisesti tai aiheuttaa kansallisille viranomaisille kohtuuttomia rasitteita, eivät mielestäni voi menestyä. Tällaiset menettelyt ovat tarpeen yhtiöiden asiakirjojen julkistamisella tavoiteltujen etujen sovittamiseksi yhteen henkilötietojen suojaa koskevan perusoikeuden kanssa, erityisesti silloin kun – kuten olen korostanut tämän ratkaisuehdotuksen 16 kohdassa – kyseiset henkilötiedot on tarkoitus asettaa rajoituksetta julkisesti saataville digitalisoidussa ympäristössä. Niissä voitaisiin myös käyttää hyväksi tiedonhaku- ja tunnistusvälineitä, jotka helpottavat näiden viranomaisten työtä ja jotka voitaisiin suunnitella siten, että hakijoiden tehtävänä on alun perin poistaa henkilötiedot, joita ei ole määrä luovuttaa, kuten Bulgarian lainsäädännössä säädetäänkin.
56. Siltä osin kuin kyse on Bulgarian hallituksen ja viraston sekä useimpien tässä menettelyssä huomautuksia esittäneiden jäsenvaltioiden niin ikään mainitsemasta vaatimuksesta säilyttää yhtiörekisteriin merkitsemistä varten toimitettujen, yhtiöiden julkistettavien asiakirjojen eheys ja luotettavuus, mikä edellyttäisi näiden asiakirjojen julkaisemista sellaisina kuin ne on toimitettu rekisteriä pitävälle viranomaiselle, sille ei voida mielestäni antaa systemaattisesti etusijaa henkilötietojen suojaa koskevaan perusoikeuteen nähden, sillä muutoin tämä suoja jäisi pelkästään näennäiseksi.
57. Olenkin taipuvainen katsomaan, että tämä vaatimus voi oikeuttaa korkeintaan sellaisten näihin asiakirjoihin sisältyvien henkilötietojen säilyttämisen, joiden julkistaminen ei ole pakollista, mutta ei niiden julkaisemista rajoituksetta yleisölle avoimessa rekisteritietokannassa. Tarkemmin sanottuna katson, että asettamalla julkisesti saataville näiden asiakirjojen jäljennös, josta on poistettu henkilötiedot, joita ei edellytetä, ja säilyttämällä alkuperäiskappale asiakirjavihkossa voitaisiin saavuttaa oikea tasapaino tämän vaatimuksen ja rekisteröityjen henkilötietojen suojan välillä. Mahdollinen pääsy asiakirjan alkuperäiskappaleeseen ja kaikkiin sen sisältämiin tietoihin sallittaisiin siten vain tapauskohtaisesti, jos se on perusteltua oikeutetun edun vuoksi – mukaan lukien asiakirjan aitouden tarkistaminen – ja yleisen tietosuoja-asetuksen säännöksiä noudattaen.
58. Toisin kuin muun muassa Irlannin hallitus väittää, mielestäni direktiivin 2017/1132, sellaisena kuin se on muutettuna direktiivillä 2019/1151, 16 a artikla, jonka mukaan ”jäsenvaltioiden on varmistettava, että jäljennökset kaikista tai osasta 14 artiklassa tarkoitetuista asiakirjoista – – on mahdollista saada rekisteristä”, ei merkitse sitä, että jäsenvaltioilla olisi velvollisuus sallia pääsy rajoituksetta kaikkiin tällaisiin asiakirjoihin. Kuten olen jo todennut, direktiivin 2017/1132, sellaisena kuin se on muutettuna direktiivillä 2019/1151, 161 artiklassa velvoitetaan jäsenvaltiot ottamaan käyttöön menettelyjä, joilla varmistetaan, että yhtiörekisteriä pitävät viranomaiset noudattavat niille annettua yleistä etua koskevaa tehtävää hoitaessaan kaikkia yleisen tietosuoja-asetuksen säännöksiä.
59. Kaiken edellä esitetyn perusteella katson, että pääasiassa kyseessä olevan tietojen käsittelyn ei voida katsoa perustuvan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan a alakohdassa, luettuna yhdessä asetuksen 4 artiklan 11 alakohdan kanssa, tarkoitettuun pääasian vastaajan suostumukseen. Jollei ennakkoratkaisua pyytäneen tuomioistuimen suorittamista tarkastuksista muuta johdu, tämä käsittely ei näytä täyttävän myöskään yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c alakohdassa asetettuja lainmukaisuuden edellytyksiä eikä tämän artiklan e alakohdassa, luettuna yhdessä asetuksen 6 artiklan 3 kohdan kanssa, asetettuja edellytyksiä. Täydellisyyden vuoksi lisään vielä, ettei kyseinen käsittely voi kuulua myöskään rekisterinpitäjän oikeutettujen etujen toteuttamiseksi tarpeellista henkilötietojen käsittelyä koskevan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohdan soveltamisalaan. Kuten unionin tuomioistuin on täsmentänyt, yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan toisen alakohdan sanamuodosta ilmenee selvästi, että henkilötietojen käsittely, jonka viranomainen suorittaa tehtäviensä yhteydessä, ei voi kuulua tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohdan soveltamisalaan, joten kyseisen säännöksen ja asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan e alakohdan soveltaminen ovat toisensa poissulkevia.(49) Tässä tapauksessa virasto toteuttaa pääasiassa kyseessä olevan henkilötietojen käsittelyn sille annettua yleistä etua koskevaa tehtävää hoitaessaan, minkä vuoksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohdan soveltaminen on suoralta kädeltä suljettava pois riippumatta siitä, täyttääkö se yleisen tietosuoja-asetuksen 6 artiklan 3 kohdassa asetetut edellytykset.
60. Näin ollen ei voida sulkea pois mahdollisuutta, että ennakkoratkaisua pyytänyt tuomioistuin katsoo, että pääasiassa kyseessä oleva henkilötietojen käsittely oli lainvastaista, koska se ei täyttänyt yhtäkään yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa tarkoitetuista oikeuttamisperusteista.
6. Oikeus tietojen poistamiseen
61. Yleisen tietosuoja-asetuksen 17 artiklassa vahvistetaan rekisteröidyn oikeus siihen, että häntä koskevat henkilötiedot poistetaan, kun jokin tämän artiklan 1 kohdassa luetelluista perusteista täyttyy, ja asetetaan vastaavasti rekisterinpitäjälle velvollisuus poistaa ne ilman aiheetonta viivytystä.
62. Yleisen tietosuoja-asetuksen 17 artiklan 3 kohdassa kuitenkin täsmennetään, että mainitun artiklan 1 kohtaa ei sovelleta, jos kyseessä oleva käsittely on tarpeen jonkin tässä ensin mainitussa säännöksessä luetellun perusteen kannalta. Asetuksen 17 artiklan 3 kohdan b alakohdassa mainitaan yhtenä tällaisena perusteena rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva, käsittelyä edellyttävän lakisääteisen velvoitteen noudattaminen tai se, että käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten.
63. Siltä osin kuin nämä oikeutta tietojen poistamiseen koskevat poikkeukset heijastavat yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c ja e alakohdassa tarkoitettuja käsittelyn oikeuttamisperusteita, viittaan tämän ratkaisuehdotuksen 45–58 kohdassa esitettyyn tarkasteluun sen osalta, voidaanko niihin vedota pääasiassa kyseessä olevan kaltaisissa olosuhteissa.(50)
64. Näin ollen siinä tapauksessa, että ennakkoratkaisua pyytänyt tuomioistuin katsoo, että pääasiassa kyseessä olevien henkilötietojen asettaminen julkisesti saataville kaupparekisterissä ei kuulu Bulgarian oikeuden mukaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c tai e alakohdan, luettuina yhdessä asetuksen 6 artiklan 3 kohdan kanssa, soveltamisalaan ja siten yleisen tietosuoja-asetuksen 17 artiklan 3 kohdan b alakohdan soveltamisalaan, pääasian vastaajalla olisi oikeus tietojen poistamiseen siten, etteivät ne ole enää julkisesti saatavilla, ja virastolla olisi rekisterinpitäjänä velvollisuus hyväksyä sitä koskeva vaatimus. Yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan d alakohdassa säädetään rekisteröidyn ehdottomasta oikeudesta siihen, että hänen henkilötietonsa poistetaan, jos niitä on käsitelty lainvastaisesti.(51)
65. Siinä tapauksessa, että ennakkoratkaisua pyytänyt tuomioistuin sitä vastoin katsoo, että pääasiassa kyseessä oleva tietojen käsittely on yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c tai e alakohdan mukaista, tämän asetuksen 17 artiklan 3 kohdan b alakohtaa on lähtökohtaisesti sovellettava. On kuitenkin tarpeen esittää kaksi täsmennystä.
66. Mikäli ennakkoratkaisua pyytänyt tuomioistuin päätyisi johtopäätökseen, jonka mukaan pääasiassa kyseessä olevien henkilötietojen asettaminen julkisesti saataville oli tarpeen virastolle annetun julkista etua koskevan tehtävän suorittamiseksi, jotta yhtiön merkitseminen kaupparekisteriin ei viivästyisi, pelkästään tähän ei mielestäni voida vedota perusteena näiden tietojen säilyttämiselle rekisterissä sen jälkeen, kun yhtiö on merkitty rekisteriin, ja siten perusteena sille, että pääasian vastaajan oikeus tietojen poistamiseen suljetaan pois yleisen tietosuoja-asetuksen 17 artiklan 3 kohdan b alakohdan nojalla. Tämä oikeus turvataan tällöin asetuksen 17 artiklan 1 kohdan c alakohdassa, jota sovelletaan tilanteessa, jossa rekisteröity vastustaa muun muassa asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan e alakohtaan perustuvaa henkilötietojensa käsittelyä asetuksen 21 artiklan 1 kohdan nojalla henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä ”käsittelylle ole olemassa ensisijaista perusteltua syytä”, mikä rekisterinpitäjän on näytettävä toteen.(52) Samoista syistä, jotka on esitetty jo tämän ratkaisuehdotuksen 56 kohdassa, katson, että vaatimus säilyttää yhtiön rekisteriin merkitsemisen perusteena olevien asiakirjojen eheys ja luotettavuus ei voi olla tällainen ensisijainen perusteltu syy. Kuten olen jo tuonut esille, tämä vaatimus voidaan täyttää käyttämällä muita henkilötietojen suojaa koskevaa perusoikeutta vähemmän rajoittavia keinoja.
67. Tuomiosta Manni ilmenee, että rekisteröityjen tilanteeseen liittyvien huomattavan tärkeiden ja perusteltujen syiden vuoksi voi tapauskohtaisesti olla oikeutettuaantaa pääsy tietoihin vain ulkopuolisille, joilla on erityinen intressi, myös silloin kun kyse on henkilötiedoista, joiden julkistaminen on direktiivin 2017/1132 mukaan pakollista, ja siis myös silloin, kun tietojen asettaminen julkisesti saataville perustuu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c alakohdassa tarkoitettuun lakisääteiseen velvoitteeseen. Tällainen rajoitus pitäisi sitä suuremmalla syyllä hyväksyä, kun kyse on henkilötiedoista, joita ei ole julkistettava unionin oikeuden tai kansallisen lainsäädännön nojalla. Tällaisessa tilanteessa edellytys, jonka unionin tuomioistuin asetti tuomiossa Manni yhtiön selvitysmiehen henkilötietojen saamisen rajoittamiselle ja jonka mukaan yhtiön purkautumisesta on täytynyt kulua riittävän pitkä aika, ei olisi sovellettavissa tässä asiassa, ja tällaisten tietojen saamisen rajoittaminen pitäisi näin ollen toteuttaa ilman aiheetonta viivytystä.
7. Erityisten menettelysääntöjen noudattaminen tietojen poistamista koskevan oikeuden käyttämisen edellytyksenä
68. Ennakkoratkaisupyynnöstä ilmenee, että virasto asetti OL:n henkilötietojen, joiden julkaisemista ei edellytetä Bulgarian lainsäädännössä, poistamista koskevan pyynnön edellytykseksi sellaisten erityisten menettelysääntöjen noudattamisen, joiden mukaan kyseiset tiedot sisältävästä asiakirjasta on toimitettava jäljennös, josta nämä tiedot on poistettu. Koska tällaista jäljennöstä ei toimitettu, pyyntö hylättiin tai sen käsittelyä lykättiin toistaiseksi. Viraston esittämien selitysten mukaan näiden menettelysääntöjen noudattaminen on tarpeen, koska sillä ei ole toimivaltaa muuttaa kyseistä asiakirjaa, sillä tällainen muutos kuuluu yksinomaan yhtiön elinten toimivaltaan.
69. On huomattava, että yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan mukaan unionin oikeudessa tai kansallisessa lainsäädännössä ”voidaan lainsäädäntötoimenpiteellä rajoittaa niiden velvollisuuksien ja oikeuksien soveltamisalaa, joista säädetään 12–22 artiklassa – –, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja ‑vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata” jokin siinä luetelluista tavoitteista. Siltä osin kuin viraston soveltamat menettelysäännöt johtavat tietojen poistamista koskevan oikeuden sekä yleisen tietosuoja-asetuksen 21 artiklassa tarkoitetun vastustamisoikeuden käytön rajoittamiseen tai poissulkemiseen tilanteessa, jossa rekisteröity ei onnistu saamaan yhtiöltä vaadittuja muutoksia kyseiseen asiakirjaan, nämä menettelysäännöt voivat kuulua yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan soveltamisalaan.(53) Näin ollen on selvitettävä, täyttyvätkö kyseisessä säännöksessä asetetut edellytykset tässä tapauksessa, vaikka ennakkoratkaisua pyytänyt tuomioistuin ei olekaan nimenomaisesti pyytänyt unionin tuomioistuinta lausumaan tästä seikasta.
70. Totean tältä osin ensinnäkin, että nämä menettelysäännöt näyttävät kuuluvan pelkkään viraston sisäiseen käytäntöön.(54) Jollei ennakkoratkaisua pyytäneen tuomioistuimen suorittamista tarkistuksista muuta johdu, jo tästä syystä näyttää siltä, etteivät ne ole yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan – jonka mukaan tässä säännöksessä lueteltuja oikeuksia voidaan rajoittaa ”lainsäädäntötoimenpiteellä” – mukaisia.
71. Nämä menettelysäännöt herättävät myös kysymyksiä suhteellisuusperiaatteen noudattamisesta.
72. Vaikka vaatimus taata kaupparekisteriin merkittyjen asiakirjojen luotettavuus ja aitous ja laajemmin avoimuus ja oikeusvarmuus kaupparekisterille annetun tehtävän hoitamisessa nähdäkseni vastaa yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan e alakohdassa tarkoitettua ”unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvää tärkeää tavoitetta”, se ei mielestäni oikeuta tietojen poistamista koskevan oikeuden tai vastustamisoikeuden rajoittamista tai poissulkemista pääasiassa kyseessä olevan kaltaisissa olosuhteissa, koska niissä voidaan käyttää muita, henkilötietojen suojaa koskevaa perusoikeutta vähemmän rajoittavia keinoja.
73. Tässä yhteydessä komissio pitää perusteltuna odottaa, että yhtiö muuttaa asiakirjaa poistamalla tiedot, joiden poistamista on pyydetty, ja ehdottaa, että virasto itse poistaa nämä tiedot kohtuullisen ajan kuluttua, jos osoittautuu, ettei rekisteröity onnistu saamaan yhtiötä tekemään tällaista muutosta.
74. En ole vakuuttunut siitä, että tällainen ratkaisu varmistaisi oikean tasapainon kysymyksessä olevien eri oikeuksien ja etujen välillä, koska se johtaisi siihen, että tiedot, joita ei ollut tarkoitus luovuttaa, säilyvät määräämättömän ajan julkisesti saatavilla digitaalisessa ympäristössä. Nähdäkseni tällainen tasapaino voitaisiin sen sijaan taata antamalla virastolle toimivalta poistaa itse kyseiset tiedot julkisesti saataville asetetun asiakirjan jäljennöksestä ilman aiheetonta viivytystä poistamispyynnön vastaanottamisen jälkeen, samalla kun se säilyttää asiakirjavihkossa tämän asiakirjan alkuperäiskappaleen ja pyytää yhtiötä toimittamaan asiakirjasta muutoksen, josta kyseiset tiedot on poistettu ja joka myös julkaistaan rekisterissä.
75. Direktiivin 2017/1132 16 artiklan 4 kohdan ensimmäisessä ja toisessa alakohdassa kylläkin säädetään, että jäsenvaltioiden on toteutettava tarvittavat toimenpiteet rekisterissä tai asiakirjavihkossa olevien tietojen välisten ristiriitaisuuksien välttämiseksi sekä rekisterissä julkistettujen ja kansallisessa virallisessa julkaisussa julkaistujen asiakirjojen ja tietojen välisten ristiriitaisuuksien välttämiseksi. Vaatimus säilyttää johdonmukaisuus rekisterin eri osien välillä ja kansallisen virallisen julkaisun kanssa sekä tämän vaatimuksen taustalla oleva oikeusvarmuuden tavoite eivät mielestäni voi kuitenkaan oikeuttaa sitä, että rekisterissä julkistetuissa asiakirjoissa pidetään rajoituksetta ja ilman aikarajoja julkisesti saatavilla henkilötietoja, joiden luovuttaminen ei ole pakollista, kun rekisteröity pyytää niiden poistamista. Näiden asiakirjojen muutokset, jotka ovat tarpeen näiden tietojen poistamiseksi, olisivat yksilöitävissä ja jäljitettävissä ja tehtäisiin avoimesti. Lisäksi muutokset koskisivat näihin asiakirjoihin sisältyviä seikkoja, joiden julkistaminen ei ole tarpeen rekisterille annetun yleistä etua koskevan tehtävän suorittamiseksi. Kyseisten asiakirjojen eheys ja aitous voitaisiin turvata säilyttämällä niiden alkuperäiskappaleet asiakirjavihkossa, johon ulkopuoliset henkilöt, joiden oikeutettua etua asia koskee, saisivat säännellyn pääsyn.
76. Kaiken edellä esitetyn perusteella katson, että tässä tapauksessa viraston soveltamien menettelysääntöjen kaltaiset menettelysäännöt eivät ole yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan mukaisia.
V Ratkaisuehdotus
77. Kaiken edellä esitetyn valossa ehdotan, että unionin tuomioistuin vastaa Varhoven administrativen sadin esittämiin neljänteen ja viidenteen ennakkoratkaisukysymykseen seuraavasti:
1) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 4 artiklan 7 alakohtaa ja 26 artiklan 1 kohtaa
on tulkittava siten, että
jäsenvaltion kaupparekisteriä pitävä viranomainen, jonka on kyseisen valtion lainsäädännön perusteella varmistettava yhtiön kaupparekisteriin merkitsemistä koskevan hakemuksen yhteydessä sille toimitettujen asiakirjojen julkistaminen, on yksin vastuussa näihin asiakirjoihin sisältyvien henkilötietojen asettamisesta julkisesti saataville, vaikka kyse olisi tiedoista, joiden julkaisemista ei edellytetä ja jotka olisi pitänyt tämän lainsäädännön mukaan poistaa näistä asiakirjoista ennen niiden toimittamista kyseiselle viranomaiselle.
2) Asetusta 2016/679, erityisesti sen 17 artiklaa ja 23 artiklan 1 kohtaa,
on tulkittava siten, että
se on esteenä kansalliselle lainsäädännölle tai käytännölle, jonka mukaan luonnollisen henkilön oikeus siihen, että jäsenvaltion kaupparekisteriä pitävä viranomainen poistaa tässä rekisterissä julkisesti saataville asetettuihin asiakirjoihin sisältyvät häntä koskevat henkilötiedot, edellyttää sellaisten menettelysääntöjen noudattamista, joiden mukaan kyseisestä asiakirjasta on toimitettava jäljennös, josta nämä tiedot on poistettu. Rekisterinpitäjänä tätä viranomaista ei voida vapauttaa velvollisuudestaan hyväksyä tietojen poistamista koskeva pyyntö ilman aiheetonta viivytystä pelkästään sillä perusteella, ettei sille ole toimitettu tällaista jäljennöstä.
3) Tietyistä yhtiöoikeuden osa-alueista 14.6.2017 annettua Euroopan parlamentin ja neuvoston direktiiviä (EU) 2017/1132, sellaisena kuin se on muutettuna 20.6.2019 annetulla Euroopan parlamentin ja neuvoston direktiivillä (EU) 2019/1151, erityisesti sen 16 artiklan 2–4 kohtaa, luettuna yhdessä direktiivin johdanto-osan kahdeksannen perustelukappaleen kanssa,
ei voida tulkita siten, että
se mahdollistaa tällaisten menettelysääntöjen antamisen. Direktiivi ei ole esteenä sille, että jäsenvaltion kaupparekisteriä pitävä viranomainen hyväksyy sellaisten henkilötietojen poistamista koskevan pyynnön, joita ei edellytetä tämän jäsenvaltion lainsäädännössä ja jotka sisältyvät tässä rekisterissä julkisesti saataville asetettuun asiakirjaan, poistamalla itse kyseiset tiedot tästä asiakirjasta ja säilyttämällä jäljennöksen versiosta, josta tietoja ei ole poistettu, direktiivin 16 artiklan 1 kohdassa tarkoitetussa asiakirjavihkossa.
1 Alkuperäinen kieli: ranska.
2 Tarkemmin ottaen ennakkoratkaisupyyntö koskee niiden takeiden yhteensovittamisesta samanveroisiksi, joita jäsenvaltioissa vaaditaan perustamissopimuksen 48 artiklan toisessa kohdassa tarkoitetuilta yhtiöiltä niiden jäsenten sekä ulkopuolisten etujen suojaamiseksi 16.9.2009 annetun Euroopan parlamentin ja neuvoston direktiivin 2009/101/EY (EUVL 2009, L 258, s. 11) säännöksiä. Kuten jäljempänä todetaan, pääasian tosiseikkoihin sovelletaan kuitenkin ajallisesti tietyistä yhtiöoikeuden osa-alueista 14.6.2017 annettua Euroopan parlamentin ja neuvoston direktiiviä (EU) 2017/1132 (EUVL 2017, L 169, s. 46).
3 Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1).
4 DV nro 34, 25.4.2006.
5 DV nro 48, 18.6.1991.
6 Kyseessä on 1.2.2021 annettu lausunto nro 01-116(20).
7 Direktiivin 2017/1132 muuttamisesta 20.6.2019 annettu Euroopan parlamentin ja neuvoston direktiivi (EUVL 2019, L 186, s. 80).
8 Ks. direktiivin 2019/1151 2 artiklan 1 kohta. Direktiivin 1 artiklan 6 alakohdassa tehtyjen direktiivin 2017/1132 16 artiklan 6 kohtaa koskevien muutosten osalta täytäntöönpanolle asetettu määräaika päättyi 1.8.2023.
9 Ks. vastaavasti ratkaisuehdotukseni Belgian valtio (Virallisessa lehdessä käsitellyt tiedot) (C‑231/22, EU:C:2023:468, 80 kohta).
10 Todettakoon, että komissio antoi 29.3.2023 ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi direktiivien 2009/102/EY ja (EU) 2017/1132 muuttamisesta digitaalisten välineiden ja prosessien käytön laajentamiseksi ja parantamiseksi yhtiöoikeuden alalla (COM/2023/177 final).
11 Ks. neuvoston direktiivin 89/666/ETY sekä Euroopan parlamentin ja neuvoston direktiivien 2005/56/EY ja 2009/101/EY muuttamisesta keskus-, kauppa- ja yhtiörekistereiden yhteenliittämisen osalta 13.6.2012 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2012/17/EU (EUVL 2012, L 156, s. 1) 8.6.2017 käyttöön otettu ja nykyisin direktiivillä 2017/1132 säännelty kaupparekistereiden yhteenliittämisjärjestelmä. Tämä järjestelmä yhdistää kansalliset rekisterit eurooppalaiseen keskusjärjestelmään ja käsittää yhteyspisteenä toimivan Euroopan oikeusportaalin, jonka kautta kansalaiset, yritykset ja viranomaiset voivat etsiä tietoja yrityksistä ja niiden muissa jäsenvaltioissa avatuista sivuliikkeistä.
12 Euroopan tietosuojavaltuutettu on direktiivin 2017/1132 muuttamista koskevasta ehdotuksesta antamassaan lausunnossa kiinnittänyt huomiota siihen, että on tarpeen ”tiedostaa riskit, jotka aiheutuvat sellaisten henkilötietojen saatavuudesta, jotka ovat yleisesti saatavilla internetissä digitaalisessa muodossa, useilla kielillä ja helposti saatavilla olevaa eurooppalaista yhteyspistettä/alustaa käyttäen” (26.7.2018 annettu lausunto, saatavilla osoitteessa https://edps.europa.eu/data-protection/our-work/publications/opinions/digital-tools-and-processed-company-law_en).
13 Direktiivin 2017/1132 liite II koskee OOD:tä, samoin kun kyseisen direktiivin, sellaisena kuin se on muutettuna direktiivillä 2019/1151, liite II a.
14 Kyseisessä tapauksessa rekisteriin tehtyjen merkintöjen sisältö on kirjattava asiakirjavihkoon. Ks. direktiivin 2017/1132 16 artiklan 2 kohta.
15 Ks. direktiivin 2017/1132 16 artiklan 3 kohta, jossa säädetään mahdollisuudesta julkaista direktiivin 14 artiklassa tarkoitetut asiakirjat otteina vain asianomaisen jäsenvaltion virallisessa lehdessä.
16 Ks. niiden takeiden yhteensovittamisesta samanveroisiksi, joita jäsenvaltioissa vaaditaan perustamissopimuksen 58 artiklan 2 kohdassa tarkoitetuilta yhtiöiltä niiden jäsenten sekä ulkopuolisten etujen suojaamiseksi 9.3.1968 annetun ensimmäisen neuvoston direktiivin 68/151/ETY (EYVL 1968, L 65, s. 8) osalta tuomio 9.3.2017, Manni (C‑398/15, EU:C:2017:197, 34 kohta; jäljempänä tuomio Manni).
17 Tuomio 5.12.2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, 28 ja 29 kohta).
18 Ks. vastaavasti tuomio 5.10.2023, Ministerstvo zdravotnictví (Covid-19-mobiilisovellus) (C‑659/22, EU:C:2023:745, 28 kohta).
19 C‑231/22, EU:C:2024:7; jäljempänä tuomio Belgian valtio, 35 kohta. Ks. myös kyseisessä asiassa esittämäni ratkaisuehdotus (C‑231/22, EU:C:2023:468, 34–75).
20 Ks. vastaavasti tuomio Belgian valtio, 38 kohta.
21 Ks. vastaavasti tuomio Belgian valtio, 46 ja 47 kohta.
22 Ks. vastaavasti tuomio 5.12.2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, 44 ja 45 kohta).
23 Ks. vastaavasti Euroopan tietosuojaneuvoston suuntaviivat 07/2020 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa, 7.7.2021 hyväksytty versio 2.0, saatavilla osoitteessa https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_fi.pdf, 70 ja 72 kohta. Ks. myös ratkaisuehdotukseni Belgian valtio (Virallisessa lehdessä käsitellyt tiedot) (C‑231/22, EU:C:2023:468, 48 kohta ja alaviite 55).
24 Ks. vastaavasti tuomio Belgian valtio, 42 kohta.
25 Ks. tuomio Belgian valtio, 48 kohta.
26 Muistutan kuitenkin, että tuomiossa Belgian valtio oli kyse asiakirjojen julkaisemisesta jäsenvaltion virallisessa lehdessä, mikä oli viimeinen vaihe käsittelyprosessissa, johon osallistui eri viranomaisia. Kyseisen tuomion taustalla olevat tosiseikat poikkeavat näin ollen käsiteltävän asian tosiseikoista.
27 Virasto selittää huomautuksissaan, että sähköisen hakemuksen tapauksessa hakija lataa kaupparekisterijärjestelmään sähköiset kuvat rekisteriin merkitsemistä varten tarvittavista allekirjoitetuista paperisista asiakirjoista.
28 Nämä tarkoitukset mainitaan tämän ratkaisuehdotuksen 49 kohdassa.
29 Ks. tuomio Belgian valtio, 45 kohta.
30 Ks. tuomio Belgian valtio, 49 ja 50 kohta.
31 Ks. tuomio 21.12.2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, 76 kohta oikeuskäytäntöviittauksineen).
32 Ks. tuomio 7.12.2023, SCHUFA Holding (Jäännösveloista vapauttaminen) (C‑26/22 ja C‑64/22, EU:C:2023:958, 72 ja 73 kohta oikeuskäytäntöviittauksineen).
33 Ks. tuomio 4.7.2023, Meta Platforms ym. (Yhteisöpalvelun yleiset käyttöehdot) (C‑252/21, EU:C:2023:537, 91–93 kohta).
34 Muistutan, että ennakkoratkaisua pyytänyt tuomioistuin pohtii tätä yhteensopivuutta kolmannessa ennakkoratkaisukysymyksessään.
35 Kuten 29 artiklan mukainen tietosuojatyöryhmä korostaa lausunnossaan 6/2014, yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c alakohdan soveltamisala on ”tiukasti rajattu”. Jotta tätä säännöstä voitaisiin soveltaa, lakisääteisen velvoitteen on oltava riittävän selvä ja sovellettavan tietosuojalainsäädännön mukainen. Mielestäni näin ei ole silloin, kun laissa yhtäältä suljetaan pois kyseisten tietojen käsittely ja toisaalta sallitaan se tai jopa velvoitetaan siihen oletetun suostumuksen perusteella.
36 Ks. tuomio 4.5.2023, Bundesrepublik Deutschland (Sähköinen tuomioistuinasioiden postilaatikko) (C‑60/22, EU:C:2023:373, 54 ja 55 kohta).
37 Ks. tuomio 12.7.2012, Compass-Datenbank (C‑138/11, EU:C:2012:449, 40 ja 41 kohta) ja tuomio Manni, 43 kohta.
38 Ks. tuomio Manni, 43 kohta.
39 C‑398/15, EU:C:2016:652, 54 kohta.
40 Ks. vastaavasti tuomio 12.11.1974, Haaga (32/74, EU:C:1974:116, 6 kohta) ja tuomio Manni, 50 kohta.
41 Ks. vastaavasti tuomio 2.3.2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, 31 kohta).
42 Ks. vastaavasti tuomio 1.8.2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 69 kohta).
43 Erityisesti yhtiön tai sen osakkaiden edustajan kotipaikka ei kuulu henkilötietoihin eikä tieto siitä, kuten julkisasiamies Szpunar korosti ratkaisuehdotuksessaan All in One Star (C‑469/19, EU:C:2020:822, 51 kohta), edistä ulkopuolisten henkilöiden suojaamista.
44 Ks. tuomio Manni, 57 kohta.
45 Ks. tuomio Manni, 58 kohta.
46 Ks. tuomio 1.8.2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 70 kohta).
47 Ks. vastaavasti tuomio 22.11.2022, Luxembourg Business Registers (C‑37/20 ja C‑601/20, EU:C:2022:912, 66 kohta).
48 Ks. analogisesti tuomio 30.1.2024, Direktor na Glavna direktsia ”Natsionalna politsia” pri MVR – Sofia (C‑118/22, EU:C:2024:97, 41 kohta).
49 Ks. tuomio 8.12.2022, Inspektor v Inspektorata kam Visshia sadeben savet (Henkilötietojen käsittelyn tarkoitus – Rikostutkinta) (C‑180/21, EU:C:2022:967, 85 kohta).
50 Vaikka unionin tuomioistuin viittasi tuomion Belgian valtio 51 kohtaan sisältyvässä ylimääräisessä huomautuksessa mahdollisuuteen, että yleisen tietosuoja-asetuksen 17 artiklan 3 kohdan b ja d alakohdassa tarkoitettuja poikkeuksia sovelletaan kyseisen jäsenvaltion virallisessa lehdessä julkaistujen henkilötietojen poistamispyyntöön, se ei kuitenkaan lausunut tästä kysymyksestä, jota ennakkoratkaisua pyytänyt tuomioistuin ei ollut tuonut esille kyseiseen tuomioon johtaneessa asiassa.
51 Ks. vastaavasti tuomio 7.12.2023, SCHUFA Holding (Jäännösveloista vapauttaminen) (C‑26/22 ja C‑64/22, EU:C:2023:958, 108 kohta); ks. myös julkisasiamies Pikamäen tässä asiassa esittämä ratkaisuehdotus (C‑26/22 ja C‑64/22, EU:C:2023:222, 91 kohta).
52 Ks. vastaavasti tuomio 7.12.2023, SCHUFA Holding (Jäännösveloista vapauttaminen) (C‑26/22 ja C‑64/22, EU:C:2023:958, 111 ja 112 kohta).
53 Ks. vastaavasti tuomio 26.10.2023, FT (Jäljennökset potilasasiakirjoista) (C‑307/22, EU:C:2023:811, 53–69 kohta). Ks. myös julkisasiamies Emilioun tässä asiassa esittämä ratkaisuehdotus (C‑307/22, EU:C:2023:315, 37 kohta).
54 Vaikka kyseinen menettely vastaa rekisterilain 13 §:n 6 momentissa tarkoitettua menettelyä, tämä viimeksi mainittu säännös ei näytä koskevan rekisteröityjen oikeutta tietojen poistamiseen tai vastustamisoikeutta.