–

az Agentsia po vpisvaniyata képviseletében I. D. Ivanov és D. S. Miteva, segítőjük: Z. N. Mandazhieva advokat,

–

OL, személyesen, segítői: I. Stoynev és T. Tsonev advokati,

–

a bolgár kormány képviseletében T. Mitova és R. Stoyanov, meghatalmazotti minőségben,

–

a német kormány képviseletében J. Möller és P.‑L. Krüger, meghatalmazotti minőségben,

–

Írország képviseletében M. Browne Chief State Solicitor, A. Joyce, M. Lane és M. Tierney, meghatalmazotti minőségben, segítőjük: I. Boyle Harper BL,

–

az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítője: G. Natale avvocato dello Stato,

–

a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben,

–

a finn kormány képviseletében A. Laine, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében A. Bouchagiar, C. Georgieva, H. Kranenborg és L. Malferrari, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem az egész Közösségre kiterjedő egységes biztosítékok kialakítása érdekében a tagállamok által a társasági tagok és harmadik személyek érdekei védelmében [az EK] 48. [cikk] második bekezdése szerinti társaságoknak előírt biztosítékok összehangolásáról szóló, 2009. szeptember 16‑i 2009/101/EK európai parlamenti és tanácsi irányelv (HL 2009. L 258., 1. o.) 3. és 4. cikkének, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 4., 6., 17., 58. és 82. cikkének az értelmezésére vonatkozik.

2

E kérelmet az Agentsia po vpisvaniyata (nyilvántartó hivatal, Bulgária, a továbbiakban: hivatal) és OL között annak tárgyában folyamatban lévő eljárásban terjesztették elő, hogy e hivatal megtagadta a cégnyilvántartásban közzétett társasági szerződésben szereplő, OL‑re vonatkozó bizonyos személyes adatok törlését.

3

A társasági jog egyes vonatkozásairól szóló, 2017. június 14‑i (EU) 2017/1132 európai parlamenti és tanácsi irányelv (HL 2017. L 169., 46. o.) 2017. július 20‑i hatálybalépésével hatályon kívül helyezte és felváltotta a 2009/101 irányelvet.

4

A 2017/1132 irányelv (1), (7), (8) és (12) preambulumbekezdése a következőket mondja ki:

[…]

[…]

5

A 2017/1132 irányelv I. címe II. fejezetének „A részvénytársaság alapítása” című 1. szakaszában szereplő, „Az alapszabályban vagy alapító okiratban vagy külön okiratban megadandó kötelező információk” című 4. cikke a következőképpen rendelkezik:

„Az alapszabályban, illetve az alapító okiratban vagy a 16. cikknek megfelelő tagállami jogszabályban meghatározott eljárás értelmében közzétett külön okiratban legalább a következő adatokat kell feltüntetni:

[…]

[…]”

6

Az említett irányelv I. címe III. fejezetének „Általános rendelkezések” című 1. szakasza tartalmazza a 13–28. cikket.

7

Ezen irányelv „Hatály” című 13. cikke értelmében:

„Az e szakaszban előírt összehangoló intézkedéseket a tagállamoknak az II. mellékletben felsorolt társasági formákra vonatkozó, törvényi, rendeleti és közigazgatási rendelkezéseire kell alkalmazni.”

8

A 2017/1132 irányelvnek „A társaságok által közlendő okiratok és adatok” című 14. cikke kimondja:

„A tagállamok meghozzák a szükséges intézkedéseket a társaságok kötelező adatközlésének biztosításához, legalább a következő okiratok és adatok tekintetében:

[…]”

9

Ezen irányelvnek az „Okiratok és adatok változásai” című 15. cikke az (1) bekezdésében a következőképpen rendelkezik:

„A tagállamok meghozzák a szükséges intézkedéseket annak biztosítására, hogy a 14. cikkben említett okiratokat és adatokat érintő bármely változás bejegyzésre kerüljön a 16. cikk (1) bekezdésének első albekezdésében említett megfelelő nyilvántartásba, és rendes esetben az e változásokkal kapcsolatos teljes dokumentáció kézhezvételét követő huszonegy napon belül – amely időtartamnak magában kell foglalnia adott esetben az aktába való felvételre vonatkozó nemzeti jogszabályokban megkövetelt jogszerűségi ellenőrzést is – a 16. cikk (3) és (5) bekezdésével összhangban közlésre kerüljön.”

10

Az említett irányelv „Közlés a nyilvántartásban” című 16. cikke értelmében:

„(1)   Minden tagállam központi nyilvántartásában, kereskedelmi nyilvántartásában vagy cégjegyzékében (a továbbiakban: a nyilvántartás) külön aktát kell nyitni valamennyi ott nyilvántartásba vett társaság számára.

[…]

(3)   A 14. cikk szerint közölt valamennyi okiratot és adatot az aktában kell nyilvántartani, illetve a nyilvántartásba be kell jegyezni; a nyilvántartásban szereplő bejegyzések tárgyának minden esetben meg kell jelennie az aktában.

A tagállamok biztosítják, hogy a társaságoknak, valamint minden egyéb olyan személynek vagy intézménynek, amelynek az iratbeadást meg kell tennie, vagy abban részt kell vennie, lehetősége legyen elektronikus úton benyújtani minden olyan okiratot és adatot, amelynek a közlése a 14. cikk értelmében kötelező. Ezenkívül a tagállamok minden társaságtól vagy meghatározott társasági formájú társaságoktól megkövetelhetik, hogy minden ilyen okiratot és adatot vagy ezek közül bizonyos típusúakat elektronikus úton nyújtsanak be.

A 14. cikkben említett valamennyi okiratot és adatot, amelyet akár papíron, akár elektronikus úton nyújtanak be, elektronikus formában kell az aktában tárolni, illetve a nyilvántartásba bevezetni. Ebből a célból a tagállamok biztosítják, hogy mindazokat az okiratokat és adatokat, amelyeket papíron nyújtanak be, a nyilvántartás elektronikus formában rögzítse.

[…]

(4)   A 14. cikkben említett okiratok vagy adatok egészének, vagy azok kivonatának másolatát kérelemre hozzáférhetővé kell tenni. A kérelmeket a kérelmező választásától függően papíron vagy elektronikus formában lehet benyújtani a nyilvántartáshoz.

[…]

(5)   A (3) bekezdésben említett okiratok és adatok közlését a teljes szövegnek vagy egy részének a tagállam által e célra kijelölt nemzeti hivatalos lapban történő közzététele útján, illetve az aktában elhelyezett vagy a nyilvántartásba bevezetett okirattal történő utalással kell teljesíteni. Az erre a célra kijelölt nemzeti hivatalos lap elektronikus formában is vezethető.

A tagállamok határozhatnak úgy, hogy a nemzeti hivatalos lapban való közzétételt ugyanolyan hatékony eszközzel helyettesítik, amely lehetővé teszi legalább egy olyan rendszer használatát, amelyben a közölt információ egy központi elektronikus platform segítségével időrendi sorrendben hozzáférhető.

(6)   A társaság az okiratokra és adatokra harmadik személyekkel szemben kizárólag azt követően hivatkozhat, hogy azokat az (5) bekezdésnek megfelelően közölték, kivéve azt az esetet, ha a társaság bizonyítani tudja, hogy a harmadik személyeknek azokról tudomásuk volt.

[…]

(7)   A tagállamok megteszik a szükséges intézkedéseket az (5) bekezdéssel összhangban közölt, illetve a nyilvántartásban vagy aktában megjelenő adatok közötti eltérések elkerülésére.

Eltérés esetében azonban az (5) bekezdéssel összhangban közölt szövegre harmadik személyekkel szemben nem lehet hivatkozni; harmadik személyek ugyanakkor hivatkozhatnak erre, kivéve, ha a társaság bizonyítani tudja, hogy a harmadik személyeknek tudomásuk volt az aktában elhelyezett vagy nyilvántartásba bejegyzett szövegről.

[…]”

11

A 2017/1132 irányelvnek „A közlendő okiratok és adatok közlésének nyelve és fordítása” című 21. cikke a következőket írja elő:

„(1)   Azokat az okiratokat és adatokat, amelyeket a 14. cikk értelmében közölni kell, az abban a tagállamban alkalmazandó nyelvhasználati szabályok által engedélyezett nyelvek egyikén kell kiállítani és benyújtani, amelyen a 16. cikk (1) bekezdésében említett aktát vezetik.

(2)   A 16. cikkben említett kötelező közlés mellett a tagállamok lehetővé teszik, hogy a 14. cikkben említett okiratok és adatok fordítását önkéntesen, a 16. cikkel összhangban az [Európai] Unió bármelyik hivatalos nyelvén vagy nyelvein közölni lehessen.

A tagállamok előírhatják, hogy az okiratok és adatok fordítását hitelesíteni kell.

A tagállamok megteszik a szükséges intézkedéseket harmadik személyeknek az önkéntesen közölt fordításokhoz való hozzáférése megkönnyítésére.

(3)   A 16. cikkben említett kötelező és az e cikk (2) bekezdésében meghatározott önkéntes közlés mellett a tagállamok megengedhetik, hogy az érintett okiratokat és adatokat a 16. cikkel összhangban bármely más nyelve(ke)n is közöljék.

[…]

(4)   Amennyiben a nyilvántartás hivatalos nyelvén közzétett okiratok és adatok, valamint az önkéntesen közzétett fordítás között eltérés mutatkozik, ez utóbbira harmadik személyekkel szemben nem lehet hivatkozni. […]”

12

Ezen irányelvnek az „Adatvédelem” című 161. cikke értelmében:

„Bármely személyes adat ezen irányelvvel összefüggésben végzett kezelésére a [személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i] 95/46/EK [európai parlamenti és tanácsi] irányelv [(HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.)] alkalmazandó.”

13

Az említett irányelv „Hatályon kívül helyezés” című 166. cikke a következőképpen rendelkezik:

„A [2009/101 és a 2012/30] irányelvek hatályukat vesztik […].

A hatályon kívül helyezett irányelvekre történő hivatkozásokat ezen irányelvre való hivatkozásnak kell tekinteni és a IV. mellékletben szereplő megfelelési táblázattal összhangban kell értelmezni.”

14

A 2017/1132 irányelv II. melléklete felsorolja az ezen irányelv 7. cikkének (1) bekezdésében, 13. cikkében, 29. cikkének (1) bekezdésében, 36. cikkének (1) bekezdésében, 67. cikkének (1) bekezdésében és 119. cikke (1) bekezdésének a) pontjában hivatkozott társasági formákat, így ezek között Bulgária esetében az ODD‑t.

15

A 2017/1132 irányelv IV. mellékletében szereplő megfelelési táblázatnak megfelelően egyrészt a 2009/101 irányelv 2., 2a., 3., 4. és 7a. cikke megfelel a 2017/1132 irányelv 14., 15., 16., 21. és 161. cikkének. Másrészt a 2012/30 irányelv 3. cikke megfelel a 2017/1132 irányelv 4. cikkének.

16

A 2017/1132 irányelvet többek között az (EU) 2017/1132 irányelvnek a digitális eszközök és folyamatok társasági jog terén történő használata tekintetében történő módosításáról szóló, 2019. június 20‑i (EU) 2019/1151 európai parlamenti és tanácsi irányelv (HL 2019. L 186., 80. o.) módosította, amely 2019. július 31‑én lépett hatályba, és „A [2017/1132] irányelv módosításai” című 1. cikkében a következőképpen rendelkezik:

„A [2017/1132] irányelv a következőképpen módosul:

[…]

6. A 16. cikk helyébe a következő szöveg lép:

»16. cikk

Közzététel a nyilvántartásban

(1)   Minden tagállam központi nyilvántartásában, kereskedelmi nyilvántartásában vagy cégjegyzékében (a továbbiakban: a nyilvántartás) külön aktát kell nyitni valamennyi ott nyilvántartásba vett társaság számára.

[…]

(2)   A 14. cikk szerint közzéteendő valamennyi okiratot és adatot az e cikk (1) bekezdésében említett aktában kell tárolni, vagy közvetlenül a nyilvántartásban kell rögzíteni, és a nyilvántartásban tett bejegyzések tárgyát rögzíteni kell az aktában.

A 14. cikkben említett minden okiratot és adatot – függetlenül a benyújtásukhoz használt eszköztől – az aktában kell tárolni a nyilvántartásban, vagy közvetlenül, elektronikus formában rögzíteni abban. Ebből a célból a tagállamok biztosítják, hogy mindazokat az okiratokat és adatokat, amelyeket papíron nyújtanak be, a nyilvántartás a lehető leggyorsabban átalakítsa elektronikus formátumúvá.

[…]

(3)   A tagállamok biztosítják, hogy a 14. cikkben említett okiratok és adatok közlése azáltal valósul meg, hogy azokat a nyilvántartásban nyilvánosan elérhetővé teszik. Ezenkívül a tagállamok előírhatják ezen okiratok és adatok egy részének vagy egészének az e célra kijelölt nemzeti közlönyben vagy egy ugyanolyan hatékony módon történő közzétételét. […]

(4)   A tagállamok megteszik a szükséges intézkedéseket a nyilvántartásban, illetve az aktában szereplő adatok közötti eltérések elkerülésére.

Az okiratok és adatok nemzeti közlönyben vagy központi elektronikus platformon való közzétételét előíró tagállamok meghozzák a szükséges intézkedéseket a (3) bekezdéssel összhangban közölt, illetve a közlönyben vagy a platformon közzétett adatok közötti eltérések elkerülésére.

Az e cikk szerinti eltérések felmerülése esetén a nyilvántartásban elérhetővé tett okiratok és adatok irányadók.

(5)   A társaság a 14. cikkben említett okiratokra és adatokra harmadik személyekkel szemben kizárólag azt követően hivatkozhat, hogy azokat e cikk (3) bekezdésének megfelelően közölték, kivéve ha a társaság bizonyítani tudja, hogy a harmadik személyeknek azokról tudomásuk volt.

[…]

(6)   A tagállamok biztosítják, hogy a társaság alapításának, a fióktelep bejegyzésének vagy a társaság vagy fióktelep általi adatbejelentésnek a részeként benyújtott valamennyi okirat és adat gép által olvasható legyen, és hogy azokat kereshető formátumban vagy strukturált adatokként tárolják a nyilvántartásokban.«

7.   A szöveg a következő cikkel egészül ki:

»16a. cikk

Hozzáférés a közzétett adatokhoz

(1)   A tagállamok biztosítják, hogy a 14. cikkben említett okiratok és adatok egészének vagy azok bármely részének másolatai kérelemre beszerezhetőek legyenek a nyilvántartástól […].

[…]«

19.   A 161. cikk helyébe a következő szöveg lép:

»161. cikk

Adatvédelem

Bármely személyes adat ezen irányelvvel összefüggésben végzett kezelésére [a GDPR] alkalmazandó.«”

17

A 2019/1151 irányelvnek az „Átültetés” című 2. cikke szerint:

„(1)   A tagállamok hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek legkésőbb 2021. augusztus 1‑ig megfeleljenek. […]

(2)   E cikk (1) bekezdése ellenére a tagállamok hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy – […] [a 2017/1132] irányelv 16. cikkének (6) bekezdése tekintetében – ezen irányelv 1. cikke 6. pontjának 2023. augusztus 1‑ig megfeleljenek.

(3)   Az (1) bekezdéstől eltérve, azon tagállamok esetében, amelyek számára különös nehézséget jelent ennek az irányelvnek a nemzeti jogba való átültetése, lehetőséget kell biztosítani az (1) bekezdésben előírt határidő legfeljebb egy évvel történő meghosszabbítására. […]

[…]”

18

A GDPR (26), (32), (40), (42), (43), (50), (85), (143) és (146) preambulumbekezdése a következőképpen szól:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

19

A GDPR „Fogalommeghatározások” című 4. cikke a következőképpen rendelkezik:

„E rendelet alkalmazásában:

[…]

[…]

[…]

[…]”

20

A GDPR‑nak „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőket mondja ki:

„(1)   A személyes adatok:

[…]

[…]

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

21

A GDPR‑nak „Az adatkezelés jogszerűsége” című 6. cikke értelmében:

„(1)   A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]

[…]

[…]

(3)   Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

[…]”

22

A GDPR‑nak „A törléshez való jog (»az elfeledtetéshez való jog«)” című 17. cikke előírja:

„(1)   Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

[…]

(3)   Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

[…]

[…]”

23

A GDPR 21. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.”

24

A GDPR 58. cikke értelmében:

„(1)   A felügyeleti hatóság vizsgálati hatáskörében eljárva:

[…]

(2)   A felügyeleti hatóság korrekciós hatáskörében eljárva:

[…]

(3)   A felügyeleti hatóság engedélyezési és tanácsadási hatáskörében eljárva:

[…]

[…]

(4)   Az e cikk alapján a felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a tagállami jogban [az Európai Unió Alapjogi Chartájával (a továbbiakban: Charta)] összhangban meghatározott hatékony bírósági jogorvoslatot és tisztességes eljárást is.

(5)   A tagállamok jogszabályban előírják, hogy a felügyeleti hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen e rendelet rendelkezéseinek érvényre juttatása érdekében.

(6)   A tagállamok jogszabályban előírhatják, hogy felügyeleti hatóságuk az (1), (2) és (3) bekezdésben említetteken kívüli hatáskörökkel is rendelkezzen. E hatáskörök gyakorlása nem hátráltathatja a VII. fejezet hatékony végrehajtását.”

25

A GDPR‑nak „A kártérítéshez való jog és a felelősség” című 82. cikke értelmében:

„(1)   Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2)   Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

(3)   Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

[…]”

26

A GDPR 94. cikke az alábbiak szerint rendelkezik:

„(1)   A [95/46] irányelv 2018. május 25‑i hatállyal hatályát veszti.

(2)   A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni. […]”

27

A Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (a cégnyilvántartásról és a nonprofit jogi személyek nyilvántartásáról szóló törvény, a DV 2006. április 25‑i 34. száma) alapügyre alkalmazandó változatának (a továbbiakban: a nyilvántartásokról szóló törvény) 2. cikke a következőképpen rendelkezik:

„(1)   A cégnyilvántartás és a nonprofit jogi személyek nyilvántartása egy közös elektronikus adatbázis, amely tartalmazza a törvény alapján nyilvántartásba vett adatokat, valamint a jogszabály alapján közzétett okiratokat, amelyek gazdálkodó szervezetekre és külföldi gazdálkodó szervezetek fióktelepeire, nonprofit jogi személyekre és külföldi nonprofit jogi személyek fióktelepeire vonatkoznak.

(2)   Az (1) bekezdésben említett adatokat és okiratokat a [GDPR] 4. cikkének 1. pontja értelmében vett személyes adatnak minősülő információktól mentesen kell nyilvánosan elérhetővé tenni, kivéve azokat az információkat, amelyeket jogszabály alapján közzé kell tenni.”

28

E törvény 3. cikke a következőket írja elő:

„A cégnyilvántartást és a nonprofit jogi személyek nyilvántartását a Ministar na pravosadieto [igazságügyi miniszter, Bulgária] alá tartozó [hivatal] vezeti.”

29

Az említett törvény 6. cikkének (1) bekezdése értelmében:

„Minden gazdálkodó szervezet és minden nonprofit jogi személy köteles kérelmezni a cégnyilvántartásba vagy a nonprofit jogi személyek nyilvántartásába való felvételét, úgy, hogy bejelenti a bejegyzés alapjául szolgáló adatokat, és benyújtja a közzéteendő okiratokat.”

30

Ugyanezen törvény 11. cikkének szövege a következő:

„(1)   A cégnyilvántartás és a nonprofit jogi személyek nyilvántartása nyilvános. Bárkinek joga van a nyilvántartást képező adatbázishoz való szabad és ingyenes hozzáféréshez.

(2)   A [hivatal] nyilvántartásba vett hozzáférést biztosít a gazdálkodó szervezet vagy a nonprofit jogi személy aktájához.”

31

A nyilvántartásokról szóló törvény 13. cikkének (1), (2), (6) és (9) bekezdése a következőképpen rendelkezik:

„(1)   A bejegyzés, a törlés és a közzététel formanyomtatványon előterjesztett kérelem alapján történik.

(2)   A kérelem a következőket tartalmazza:

1. a kérelmező adatai;

[…]

3. a bejegyzés tárgyát képező körülmény, az a bejegyzés, amelynek törlését kérik, vagy az az okirat, amelyet nyilvánosan elérhetővé kell tenni;

[…]

(6)   [A] kérelemhez a jogszabályi előírásoknak megfelelően csatolni kell a dokumentumokat, illetve adott esetben a közzéteendő okiratot. A dokumentumokat eredeti példányban, a kérelmező által hitelesített vagy közjegyző által hitelesített másolatban kell benyújtani. A felperes benyújtja továbbá a cégnyilvántartásban közzéteendő dokumentumok hitelesített másolatait, amelyekben a törvényben előírtakon kívüli személyes adatokat kitakarták.

[…]

(9)   Amennyiben a kérelem vagy az ahhoz csatolt dokumentumok olyan személyes adatokat tartalmaznak, amelyeket nem ír elő törvény, úgy kell tekinteni, hogy az azokat megadó személyek hozzájárultak ahhoz, hogy a [hivatal] azokat kezelje és közzétegye.

[…]”

32

A Targovski zakon (kereskedelmi törvény, a DV 1991. június 18‑i 48. száma) alapeljárásra alkalmazandó változata (a továbbiakban: kereskedelmi törvény) 101. cikkének 3. pontja előírja, hogy a társasági szerződésnek tartalmaznia kell „a tagok nevét, a cégnevet és a tagok egyedi azonosító jelét”.

33

E törvény 119. cikke értelmében:

„(1)   A cégnyilvántartásba való bejegyzéséhez szükséges:

1. a társasági szerződés benyújtása, amelyet nyilvánosan elérhetővé tesznek;

[…]

(2)   Az […] 1. pontban említett adatokat bejegyzik a nyilvántartásba […]

[…]

(4)   A cégnyilvántartásban szereplő társasági szerződés módosítása vagy kiegészítése céljából a társasági szerződésnek a társaságot képviselő szerv által hitelesített, valamennyi módosítást és kiegészítést tartalmazó másolatát közzététel céljából be kell nyújtani.”

34

A Ministar na pravosadieto (igazságügyi miniszter) által elfogadott 2007. február 14‑i Naredba no 1 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel (a cégnyilvántartásnak és a nonprofit jogi személyek nyilvántartásának vezetéséről, tárolásáról és az azokhoz való hozzáférésről szóló 1. sz. rendelet, a DV 2007. február 27‑i 18. száma) alapügyre alkalmazandó változatának 6. cikke előírja:

„A cégnyilvántartásba és a nonprofit jogi személyek nyilvántartásába való bejegyzés és az azokból való törlés az [egyes formanyomtatványokat tartalmazó] mellékletekkel összhangban formanyomtatványon előterjesztett kérelem alapján történik. A cégnyilvántartásban és a nonprofit jogi személyek nyilvántartásában szereplő okiratok nyilvánosan elérhetővé tétele az [egyes formanyomtatványokat tartalmazó] mellékletekkel összhangban formanyomtatványon előterjesztett kérelem alapján történik.”

35

OL a bolgár jog szerinti „Praven Shtit Konsulting” OOD korlátolt felelősségű társaság egyik tagja, amelyet 2021. január 14‑én jegyeztek be a cégnyilvántartásba a 2020. december 30‑án kelt és a társaság tagjai által aláírt társasági szerződés (a továbbiakban: az érintett társasági szerződés) benyújtását követően.

36

Ezt a szerződést, amely tartalmazta OL családi nevét és utónevét, személyazonosító számát, személyazonosító igazolványának számát, ezen igazolvány kiállításának időpontját és helyét, a lakcímét és az aláírását, a benyújtott formában nyilvánosan elérhetővé tette a hivatal.

37

2021. július 8‑án OL kérte a hivatalt, hogy törölje az említett társasági szerződésben szereplő személyes adatait, és kijelentette, hogy amennyiben az adatkezelés a hozzájárulásán alapult, azt visszavonja.

38

Mivel a hivatal nem válaszolt, OL az Administrativen sad Dobrichhoz (dobrichi közigazgatási bíróság, Bulgária) fordult, amely 2021. december 8‑i ítéletével hatályon kívül helyezte a hivatalnak az említett adatok törlése hallgatólagos elutasítását, és az ügyet új határozat meghozatala céljából visszautalta a hivatalhoz.

39

Ezen ítélet, valamint egy másik, ugyanilyen eljárást indító társasági tagra vonatkozó hasonló ítélet végrehajtása során a hivatal 2022. január 26‑i levelében jelezte, hogy OL törlés iránti kérelmének teljesítéséhez be kell nyújtania az érintett társasági szerződés hitelesített másolatát, amelyben a tagok személyes adatait – a törvény által előírtak kivételével – kitakarták.

40

2022. január 31‑én OL ismét keresettel fordult az Administrativen sad Dobrichhez (dobrichi közigazgatási bíróság) e levél megsemmisítése és a hivatal arra való kötelezése iránt, hogy térítse meg számára azt a nem vagyoni kárt, amelyet e levél – a GDPR szerinti jogokat sértő módon – okozott neki.

41

A hivatal 2022. február 1‑jén, a keresetről szóló értesítés kézbesítését megelőzően hivatalból törölte OL személyazonosító számát, személyazonosító igazolványának adatait és címét, a családi nevét, utónevét és aláírását azonban nem.

42

A 2022. május 5‑i ítéletével az Administrativen sad Dobrich (dobrichi közigazgatási bíróság) megsemmisítette a 2022. január 26‑i levelet, és kötelezte a hivatalt, hogy a GDPR 82. cikke alapján 500 bolgár leva (BGN) (hozzávetőleg 255 euró) összegű kártérítést és annak törvényes kamatait fizesse meg OL részére az elszenvedett nem vagyoni kár címén. Ezen ítélet szerint egyrészt e kár OL‑nek az említett levélből eredő negatív érzelmi élményeiből és tapasztalataiból állt, nevezetesen az esetleges visszaélésektől való félelemből és aggodalomból, valamint a személyes adatai megvédhetetlenségével kapcsolatos tehetetlenségből és csalódottságból. Másrészt a kár e levélből eredt, amely a GDPR 17. cikkének (1) bekezdésében biztosított törléshez való jog megsértését, valamint a nyilvánosan elérhetővé tett társasági szerződésben szereplő személyes adatainak jogellenes kezelését eredményezte.

43

A hivatal ezen ítélettel szemben felülvizsgálati kérelmet nyújtott be a kérdést előterjesztő bírósághoz, a Varhoven administrativen sadhoz (legfelsőbb közigazgatási bíróság, Bulgária).

44

E bíróság szerint a hivatal arra hivatkozik, hogy ő nemcsak adatkezelő, hanem címzettje is a „Praven Shtit Konsulting” bejegyzési eljárása keretében benyújtott személyes adatoknak. Ezenkívül a hivatal – bár e társaság cégnyilvántartásba való bejegyzését megelőzően kérte – nem kapott olyan másolatot az érintett társasági szerződésről, amelyben kitakarták volna azokat az adatokat, amelyeket nem kell nyilvánosan elérhetővé tenni. Márpedig az ilyen másolat hiánya önmagában nem képezheti akadályát annak, hogy a gazdasági társaságot bejegyezzék e nyilvántartásba. Ez következik a nemzeti felügyeleti hatóság, a Komisia za zashtita na lichnite danni (adatvédelmi bizottság, Bulgária) által a GDPR 58. cikke (3) bekezdésének b) pontja alapján kibocsátott és a nyilvántartó hivatal által hivatkozott 01‑116(20)/01.02.2021. sz. véleményéből. E bíróság rámutat arra, hogy OL szerint a hivatal – mint adatkezelő – nem háríthatja másokra a személyes adatok törlésének őt terhelő kötelezettségét, mivel e vélemény a nemzeti ítélkezési gyakorlat szerint nem felel meg a GDPR rendelkezéseinek.

45

A kérdést előterjesztő bíróság hozzáteszi, hogy e többségi nemzeti ítélkezési gyakorlatra tekintettel szükségesnek tűnik az e rendeletből fakadó követelmények tisztázása. E bíróság különösen arra keresi a választ, hogyan egyeztethető össze a személyes adatok védelméhez való jog a bizonyos társasági okiratok nyilvánosságát és az azokhoz való hozzáférést biztosító szabályozással, többek között rámutatva, hogy a 2017. március 9‑iManni ítélet (C‑398/15, EU:C:2017:197) nem teszi lehetővé az alapügyben szóban forgó helyzet által felvetett értelmezési nehézségek megoldását.

46

E körülmények között a Varhoven administrativen sad (legfelsőbb közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

47

Elöljáróban meg kell jegyezni, hogy az előterjesztett kérdések mind a GDPR, mind pedig a 2009/101 irányelv értelmezésére vonatkoznak, ez utóbbi irányelvet pedig az alapügy tényállására időbeli hatálya folytán alkalmazandó 2017/1132 irányelv kodifikálta és váltotta fel. Következésképpen az előzetes döntéshozatal iránti kérelmet úgy kell értelmezni, hogy az a 2017/1132 irányelv értelmezésére irányul.

48

Ezenkívül, amint arra a főtanácsnok az indítványának 15. pontjában rámutatott, mivel e tényállás egy része 2021. augusztus 1‑je – azaz a 2019/1151 irányelv 2. cikkének (1) bekezdésében ezen irányelv átültetésére vonatkozóan előírt határidő lejártát követően – valósult meg, a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy az említett tényállási elemek a 2017/1132 irányelv vagy a 2019/1151 irányelvvel módosított 2017/1132 irányelv időbeli hatálya alá tartoznak‑e.

49

Mindemellett meg kell állapítani, hogy a 2017/1132 irányelv 16. és 161. cikke szövegének módosításai, valamint ezen irányelv 16a. cikkének a 2019/1151 irányelvvel történő beiktatása sem befolyásolja a Bíróság által a jelen ügyben elvégzendő elemzést, így a jelen ítéletben adott válaszok mindenképpen relevánsak lesznek.

50

Első kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a 2017/1132 irányelv 21. cikkének (2) bekezdését úgy kell‑e értelmezni, hogy az nem teszi kötelezővé valamely tagállam számára, hogy engedélyezze az ezen irányelv értelmében kötelezően közlendő olyan társasági szerződés cégnyilvántartásban való közzétételét, amely a megkövetelt minimális személyes adatoktól eltérő olyan személyes adatokat is tartalmaz, amelyek közlését e tagállam joga nem írja elő.

51

E bíróság kérdése különösen az e rendelkezésben említett önkéntes közlés terjedelmére irányul, és azt szeretné meghatározni, hogy az említett rendelkezés kötelezi‑e a tagállamokat arra, hogy engedélyezzék a társasági okiratokban szereplő olyan adatok – például személyes adatok – közzétételét, amelyeket ezen irányelv nem követel meg a kötelező közlés címén.

52

A 2017/1132 irányelv 21. cikke (2) bekezdésének első albekezdése értelmében az „[ezen irányelv] 16. cikk[é]ben említett kötelező közlés mellett a tagállamok lehetővé teszik, hogy a 14. cikkben említett okiratok és adatok fordítását önkéntesen, a 16. cikkel összhangban az Unió bármelyik hivatalos nyelvén vagy nyelvein közölni lehessen”. Az említett 21. cikk (2) bekezdésének második albekezdése lehetővé teszi a tagállamok számára, hogy előírják „ezen okiratok és adatok fordításának” kötelező hitelesítését. Végül ugyanezen 21. cikk (2) bekezdésének harmadik albekezdése a harmadik személyeknek az önkéntesen közölt „fordításokhoz” való hozzáférés megkönnyítéséhez szükséges intézkedésekre vonatkozik.

53

A 2017/1132 irányelv 14. cikke az érintett társaságok által közlendő okiratok és adatok minimális körét sorolja fel. Ezeket az okiratokat és adatokat az irányelv 16. cikke (3)–(5) bekezdésének megfelelően az aktában kell tárolni, illetve a nyilvántartásba be kell vezetni, kérelemre teljes vagy részleges másolatot elérhetővé kell tenni, és a teljes szövegnek vagy egy részének a tagállam által e célra kijelölt nemzeti hivatalos lapban történő közzététele útján, illetve utalással, vagy ugyanolyan hatékony eszközzel biztosítani kell a közzétételület.

54

E tekintetben, figyelembe véve többek között a „fordítások” kifejezésnek a 2017/1132 irányelv 21. cikkének (2) bekezdésében történő ismételt használatát, e rendelkezés szövegéből kitűnik, hogy az az ezen irányelv 14. cikkében említett okiratok és adatok valamely uniós hivatalos nyelvre történő fordításának önkéntes közlésére, és így kizárólag e dokumentumok és adatok közlésének nyelvére vonatkozik. Ezzel szemben az említett rendelkezés nem hivatkozik az említett okiratok és adatok tartalmára.

55

Ezért e szöveg arra utal, hogy a 21. cikk (2) bekezdést nem lehet úgy értelmezni, hogy az a tagállamok számára bármilyen kötelezettséget írna elő az olyan személyes adatok közlésére vonatkozóan, amelyek közlését sem az uniós jog, sem az érintett tagállam joga nem írja elő, azonban azok szerepelnek az említett irányelv értelmében kötelezően közlendő okiratban.

56

Márpedig, amennyiben az uniós jog valamely rendelkezésének értelme magából a rendelkezés szövegéből egyértelműen kitűnik, a Bíróság nem térhet el ettől az értelmezéstől (2022. január 25‑iVYSOČINA WIND ítélet, C‑181/20, EU:C:2022:51, 39. pont).

57

Mindenesetre, ami a 2017/1132 irányelv 21. cikke (2) bekezdésének szövegkörnyezetét illeti, e cikk címe – „[a] közlendő okiratok és adatok közlésének nyelve és fordítása” –, valamint e cikk többi bekezdése is megerősíti a jelen ítélet 55. pontjában foglalt értelmezést.

58

A 2017/1132 irányelv 21. cikkének (1) bekezdése ugyanis úgy rendelkezik, hogy „[a]zokat az okiratokat és adatokat, amelyeket [ezen irányelv] 14. cikk[e] értelmében közölni kell, [az alkalmazandó nyelvhasználati szabályok] által engedélyezett nyelvek egyikén kell kiállítani és benyújtani”. A 21. cikk (3) bekezdése előírja, hogy a 16. cikkben említett kötelező és az e cikk (2) bekezdésében meghatározott önkéntes közlés mellett a tagállamok megengedhetik, hogy az érintett okiratokat és adatokat a 16. cikkel összhangban „bármely más nyelve(ke)n is” közöljék. A 21. cikk (4) bekezdés pedig az „önkéntesen közölt fordításra” utal.

59

A jelen ítélet 55. pontjában foglalt értelmezést végül megerősíti ugyanezen irányelv (12) preambulumbekezdése is, amely szerint meg kell könnyíteni a határokon átnyúló hozzáférést a társasági információkhoz úgy, hogy a társaság székhelyéül szolgáló tagállamban engedélyezett nyelvek egyikén való kötelező közlés mellett engedélyezik az előírt okiratok és adatok további nyelveken történő önkéntes közlését.

60

A fentiekre tekintettel az első kérdésre azt a választ kell adni, hogy a 2017/1132 irányelv 21. cikkének (2) bekezdését úgy kell értelmezni, hogy az nem teszi kötelezővé valamely tagállam számára, hogy engedélyezze az ezen irányelv értelmében kötelezően közlendő olyan társasági szerződés cégnyilvántartásban való közzétételét, amely a megkövetelt minimális személyes adatoktól eltérő olyan személyes adatokat is tartalmaz, amelyek közlését e tagállam joga nem írja elő.

61

Az első kérdésre adott válaszra tekintettel a második és a harmadik kérdésre nem szükséges válaszolni, mivel azokat csak arra az esetre tették fel, ha az első kérdésre adott válasz igenlő.

62

A negyedik kérdést megelőzően vizsgálandó ötödik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR‑t, különösen a 4. cikkének 7. és 9. pontját úgy kell‑e értelmezni, hogy a valamely tagállam cégnyilvántartásának vezetésével megbízott hatóság, amely e nyilvántartásban a 2017/1132 irányelv értelmében kötelezően közlendő és a társaságnak az említett nyilvántartásba való bejegyzése iránti kérelem keretében e hatóság részére megküldött társasági szerződésben szereplő személyes adatokat tesz közzé, e rendelkezés értelmében ezen adatok „címzettje” és az említett adatok „adatkezelője” is egyben.

63

Elöljáróban emlékeztetni kell arra, hogy a 2017/1132 irányelv 161. cikkének megfelelően a személyes adatok ezen irányelv keretében történő kezelésére a 95/46 irányelv, és így a GDPR alkalmazandó, a GDPR 94. cikkének (2) bekezdése pedig pontosítja, hogy az előbbi irányelvre való hivatkozásokat az e rendeletre történő hivatkozásként kell tekinteni.

64

E tekintetben mindenekelőtt meg kell jegyezni, hogy a 2017/1132 irányelv 14. cikkének a), b) és d) pontja értelmében a tagállamoknak meg kell tenniük a szükséges intézkedéseket annak biztosítására, hogy a társaságokra vonatkozó kötelező közzététel kiterjedjen legalább az érintett társaság létesítő okiratára, módosításaira, valamint azon személyek kijelölésére, megbízásuk megszűnésére és személyes adataira, akik a jogszabályok értelmében létrehozott szervként, illetve bármely ilyen szerv tagjaiként jogosultak a társaság képviseletére harmadik személyekkel szemben és peres eljárásokban, illetve részt vesznek a társaság ügyvitelében, felügyeletében, illetve ellenőrzésében. Ezenkívül az említett irányelv 4. cikkének i) pontja értelmében a közzététel tárgyát képező létesítő okiratban megadandó kötelező információk közé tartozik azon természetes vagy jogi személyek, illetve társaságok megjelölése, akik vagy amelyek aláírták, illetve amelyek képviseletében aláírták ezt az okiratot.

65

Az említett irányelv 16. cikkének (3), (4) és (5) bekezdése alapján, amint az a jelen ítélet 53. pontjában szerepel, ezen okiratokat és adatokat az aktában kell tárolni, illetve a nyilvántartásba be kell vezetni, kérelemre teljes vagy részleges másolatot elérhetővé kell tenni, és a teljes szövegnek vagy egy részének a tagállam által e célra kijelölt nemzeti hivatalos lapban történő közzététele útján, illetve utalással, vagy ugyanolyan hatékony eszközzel biztosítani kell a közzétételület.

66

Amint arra a főtanácsnok indítványának 26. pontjában rámutatott, a tagállamok feladata többek között annak meghatározása, hogy a 2017/1132 irányelv 4. cikkének i) pontjában és 14. cikkének d) pontjában említett személyek azonosítására vonatkozó információk mely kategóriáit, különösen pedig a személyes adatok mely típusait kell az uniós jog tiszteletben tartása mellett kötelezően közzétenni.

67

Márpedig az e személyek azonosítására vonatkozó információk – azonosított vagy azonosítható természetes személyekre vonatkozó információkként – a GDPR 4. cikkének 1. pontja értelmében vett „személyes adatnak” minősülnek (lásd ebben az értelemben: 2017. március 9‑iManni ítélet, C‑398/15, EU:C:2017:197, 34. pont).

68

Ugyanez vonatkozik a személyek vagy más személycsoportok azonosítására vonatkozó további adatokra is, amelyek tekintetében a tagállamok úgy döntenek, hogy azokat kötelezően közzéteszik, vagy amelyeket – mint a jelen ügyben – az ilyen kötelezően közlendő okiratok tartalmaznak anélkül, hogy a 2017/1132 irányelv vagy az ezen irányelvet átültető nemzeti jog előírná ezen adatok megadását.

69

Ezt követően, ami a GDPR 4. cikkének 9. pontja értelmében vett „címzett” fogalmát illeti, az „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél‑e”, és e rendelkezés pontosítja, hogy nem tartoznak e fogalom alá azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz.

70

Márpedig amikor a tagállami cégnyilvántartás vezetésével megbízott hatósággal valamely társaságnak e nyilvántartásba való bejegyzése iránti kérelem keretében a 2017/1132 irányelv 14. cikkében említett, személyes adatokat tartalmazó, kötelezően közlendő okiratokat közölnek – függetlenül attól, hogy ezen adatok közlését ezen irányelv vagy a nemzeti jog előírja‑e, vagy sem – a GDPR 4. cikkének 9. pontja értelmében ezen adatok „címzettjének” minősül.

71

Végül a GDPR 4. cikkének 7. pontja értelmében az „adatkezelő” fogalma magában foglalja azokat a természetes vagy jogi személyeket, közhatalmi szerveket, ügynökségeket vagy bármely egyéb szervet, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. E rendelkezés azt is kimondja, hogy ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

72

E tekintetben emlékeztetni kell arra, hogy a Bíróság ítélkezési gyakorlata szerint e rendelkezés az „adatkezelő” fogalmának tág meghatározásával arra irányul, hogy az érintetteknek hatékony és teljes védelmet biztosítson (2024. január 11‑i État belge [Hivatalos lap által kezelt adatok] ítélet, C‑231/22, EU:C:2024:7, 28. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

73

Figyelemmel a GDPR 4. cikke 7. pontjának az e céllal összefüggésben értelmezett szövegére, egyértelmű, hogy annak meghatározásához, hogy valamely személyt vagy szervezetet „adatkezelőnek” kell‑e minősíteni e rendelkezés értelmében, azt kell megvizsgálni, hogy e személy vagy szervezet önállóan vagy másokkal együtt határozza‑e meg az adatkezelés céljait és eszközeit, vagy azokat az uniós jog vagy a nemzeti jog határozza‑e meg. Amennyiben ezt a nemzeti jog határozza meg, meg kell vizsgálni, hogy e jog kijelöli‑e az adatkezelőt, vagy meghatározza‑e a kijelölésére vonatkozó különös szempontokat (lásd ebben az értelemben: 2024. január 11‑iÉtat belge [Hivatalos lap által kezelt adatok] ítélet, C‑231/22, EU:C:2024:7, 29. pont).

74

Azt is pontosítani kell, hogy az „adatkezelőnek” a GDPR 4. cikkének 7. pontja szerinti fogalma tág meghatározására tekintettel az adatkezelés céljainak és eszközeinek meghatározása – és adott esetben ezen adatkezelő nemzeti jog általi kijelölése – nem csupán kifejezett, hanem hallgatólagos is lehet. Ez utóbbi esetben azonban szükséges, hogy e meghatározás kellő bizonyossággal következzen az érintett személy vagy szervezet szerepéből, feladataiból és hatásköreiből (2024. január 11‑iÉtat belge [Hivatalos lap által kezelt adatok] ítélet, C‑231/22, EU:C:2024:7, 30. pont).

75

Ezenkívül a társaság tagállami cégnyilvántartásba való bejegyzése iránti kérelem keretében kapott személyes adatok rögzítésével és tárolásával, azok – adott esetben harmadik személyekkel kérelemre való – közlésével és a nemzeti hivatalos lapban történő közzétételével, vagy azzal azonos hatású intézkedéssel az e nyilvántartás vezetésével megbízott hatóság olyan személyesadat‑kezelést végez, amelynek tekintetében ő a GDPR 4. cikkének 2. és 7. pontja értelmében vett „adatkezelő” (lásd ebben az értelemben: 2017. március 9‑iManni ítélet, C‑398/15, EU:C:2017:197, 35. pont).

76

E személyesadat‑kezelés ugyanis elkülönül a személyes adatoknak a bejegyzés kérelmezője általi közlésétől és a hatósághoz való beérkezésüktől, és megelőzi azokat. Ráadásul e hatóság egyedül végzi az említett adatkezelést, a 2017/1132 irányelvben és az ezen irányelvet végrehajtó, érintett tagállam jogszabályaiban meghatározott céloknak és eljárásoknak megfelelően.

77

E tekintetben rá kell arra mutatni, hogy ezen irányelv (1), (7) és (8) preambulumbekezdéséből kitűnik, hogy az abban előírt adatszolgáltatás különösen harmadik felek érdekeinek a részvénytársaságokkal és a korlátolt felelősségű társaságokkal szembeni védelmére irányul, mivel ezeknek a társaságoknak kizárólag a társasági vagyonuk áll rendelkezésükre biztosítékul harmadik személyek számára. E célból az érintett társaság lényeges okirataiba betekintést kell biztosítani annak érdekében, hogy harmadik személyek megbizonyosodhassanak ezek tartalmáról és a társaságra vonatkozó egyéb adatokról, különösen a társaság nevében történő kötelezettségvállalásra feljogosított személyek adatait illetően.

78

Ezenkívül ezen irányelv célja a társaságok és harmadik személyek, valamint a tagok egymás közötti viszonyával kapcsolatos jogbiztonság biztosítása, a belső piac létrehozását követően a tagállamok közötti üzleti forgalom fokozása érdekében. E szempontból lényeges, hogy a másik tagállamokban található társaságokkal üzleti kapcsolatokat létesíteni és fenntartani kívánó bármely személy könnyen megismerhesse a gazdasági társaságok alapítására és a képviseletükre feljogosított személyek hatásköreire vonatkozó alapvető adatokat, ami megköveteli, hogy minden releváns adat kifejezetten szerepeljen a nyilvántartásban (lásd ebben az értelemben: 2017. március 9‑iManni ítélet, C‑398/15, EU:C:2017:197, 50. pont).

79

Márpedig, amint azt a főtanácsnok indítványának 39. pontjában megjegyezte, a társaság tagállami cégnyilvántartásba való bejegyzését kérelmező személy azáltal, hogy a 2017/1132 irányelv által előírt, kötelezően közlendő okiratokat és adatokat továbbítja a nyilvántartás vezetésével megbízott hatóságnak, és az így kezeli az ezen okiratokban foglalt személyes adatokat, e kérelmező semmilyen befolyást nem gyakorol a célok meghatározására és az e hatóság által végzett későbbi adatkezelésre. A kérelmező ezenkívül eltérő, saját célokat követ, nevezetesen a bejegyzéshez szükséges alaki követelményeknek való megfelelést.

80

A jelen ügyben, amint arra a főtanácsnok indítványának 31. és 32. pontjában rámutatott, az előzetes döntéshozatal iránti kérelemből kitűnik, hogy OL személyes adatainak a nyilvánosság számára történő elérhetővé tétele a hivatalra mint a cégnyilvántartás vezetésével megbízott hatóságra ruházott hatáskörök gyakorlása keretében történt, és ezen adatok kezelésének céljait és módját az uniós jog és az alapügyben szóban forgó nemzeti jogszabály – különösen a nyilvántartásokról szóló törvény 13. cikkének (9) bekezdése – együtt határozza meg. Így az a tény, hogy a társasági szerződés olyan hiteles másolatát, amelyben kitakarták az e jogszabály által elő nem írt személyes adatokat, az említett jogszabályban előírt eljárási szabályokkal ellentétben nem küldték meg, nem befolyásolja a hivatal „adatkezelőként” való minősítését.

81

E minősítést nem kérdőjelezi meg az sem, hogy a hivatal ugyanezen jogszabály értelmében az online közzététel előtt nem ellenőrzi a társaság bejegyzése céljából továbbított elektronikus képeken vagy a dokumentumok eredeti példányaiban szereplő személyes adatokat. E tekintetben a Bíróság már kimondta, hogy ellentétes lenne a GDPR 4. cikke 7. pontjának a jelen ítélet 72. pontjában említett céljával valamely tagállam hivatalos lapjának az „adatkezelő” fogalma alól abból az okból történő kizárása, hogy ez utóbbi nem gyakorol ellenőrzést a kiadványaiban szereplő személyes adatok fölött (2024. január 11‑iÉtat belge [Hivatalos lap által kezelt adatok] ítélet, C‑231/22, EU:C:2024:7, 38. pont).

82

E körülmények között, az olyan helyzetben, mint amelyről az alapügyben szó van, a hivatal OL személyes adatainak kezelője, e kezelés ezen adatoknak a nyilvánosság számára online elérhetővé tételéből áll; és még akkor is adatkezelőnek minősül, ha az alapügyben szóban forgó nemzeti szabályozás értelmében továbbítani kellett volna a részére az érintett társasági szerződés olyan másolatát, amelyben az e jogszabály által elő nem írt személyes adatokat kitakarták, aminek vizsgálata a kérdést előterjesztő bíróság feladata. Következésképpen a hivatal a GDPR 5. cikkének (2) bekezdése értelmében felelős e cikk (1) bekezdésének tiszteletben tartásáért is.

83

A fentiekre tekintettel az ötödik kérdésre azt a választ kell adni, hogy a GDPR‑t, különösen a 4. cikkének (7) és (9) bekezdését úgy kell értelmezni, hogy a valamely tagállam cégnyilvántartásának vezetésével megbízott hatóság, amely e nyilvántartásban a 2017/1132 irányelv értelmében kötelezően közlendő és a társaságnak az említett nyilvántartásba való bejegyzése iránti kérelem keretében e hatóság részére megküldött társasági szerződésben szereplő személyes adatokat tesz közzé, e rendelkezés értelmében ezen adatok „címzettje” és – amennyiben ezen adatokat nyilvánosan elérhetővé teszi – az említett adatok „adatkezelője” is egyben, még akkor is, ha e szerződés olyan személyes adatokat tartalmaz, amelyek közlését ezen irányelv és e tagállam joga sem írja elő.

84

A bolgár kormány azt állítja, hogy a negyedik kérdés elfogadhatatlan, mivel hipotetikus jellegű problémát vet fel. E kormány szerint e kérdés ugyanis arra vonatkozik, hogy összeegyeztethető‑e a 2017/1132 irányelv 16. cikkével a GDPR 17. cikkében említett jog gyakorlásának eljárási szabályaira vonatkozó olyan nemzeti jogszabály, amelyet még nem fogadtak el.

85

Az állandó ítélkezési gyakorlatnak megfelelően az EUMSZ 267. cikkben előírt előzetes döntéshozatali eljárás a Bíróság és a nemzeti bíróságok között olyan együttműködést hoz létre, amely a feladatmegosztáson alapul, és olyan eszközt jelent, amelynek révén a Bíróság az uniós jog olyan értelmezését nyújtja a nemzeti bíróságok számára, amely az eléjük terjesztett jogviták eldöntéséhez szükséges. Ezen együttműködés keretében kizárólag az alapügyben eljáró és a meghozandó bírósági határozatért felelős nemzeti bíróság feladata, hogy az ügy sajátosságaira tekintettel megítélje mind az előzetes döntéshozatalra utaló határozat szükségességét az ügydöntő határozat meghozatala szempontjából, mind a Bíróság elé terjesztett kérdések relevanciáját. Következésképpen, amennyiben az előterjesztett kérdések az uniós jog értelmezésére vonatkoznak, a Bíróság főszabály szerint köteles határozatot hozni (2021. november 23‑iIS [Az előzetes döntéshozatalra utaló végzés törvénysértő jellege] ítélet, C‑564/19, EU:C:2021:949, 59. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

86

Ebből következik, hogy az uniós jogra vonatkozó kérdések releváns voltát vélelmezni kell. A Bíróság csak akkor tagadhatja meg a nemzeti bíróság által előzetes döntéshozatalra előterjesztett kérdéssel kapcsolatos határozathozatalt, ha az uniós jog kért értelmezése nyilvánvalóan semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli vagy jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson (2020. november 24‑iOpenbaar Ministerie [Okirat‑hamisítás] ítélet, C‑510/19, EU:C:2020:953, 26. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

87

A jelen ügyben az előzetes döntéshozatal iránti kérelemből kitűnik, hogy a kérdést előterjesztő bíróságnak végső soron arról kell határoznia, hogy jogszerű‑e az, hogy a hivatal azzal az indokkal tagadta meg az alapügyben szóban forgó személyes adatok törlése iránti kérelmet, hogy – a bolgár jogszabályban előírt eljárási szabályokkal ellentétben – nem küldték meg a hivatalnak az érintett társasági szerződés olyan másolatát, amelyben az e jogszabályban elő nem írt személyes adatokat kitakarták. E kérelemből továbbá kiderül, hogy e megtagadás megfelel a hivatal gyakorlatának. Végül e bíróság pontosította, hogy a Bíróság e kérdésre adandó válasza olyan összefüggésben szükséges az alapjogvita megoldásához, amelyben a nemzeti ítélkezési gyakorlat nem egységes.

88

Ebből következik, hogy a bolgár kormány állításával szemben a negyedik kérdés elfogadható.

89

Az előzetes döntéshozatal iránti kérelemben szereplő, a jelen ítélet 87. pontjában ismertetett információkra tekintettel meg kell állapítani, hogy negyedik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a 2017/1132 irányelvet, különösen a 16. cikkét, valamint a GDPR 17. cikkét úgy kell‑e értelmezni, hogy azokkal ellentétes az olyan tagállami szabályozás vagy gyakorlat, amelynek következtében az e tagállam cégnyilvántartásának vezetésével megbízott hatóság elutasít minden olyan személyes adat törlése iránti kérelmet, amely az e nyilvántartásban közzétett társasági szerződésben szerepel, de amelynek közlését ezen irányelv vagy az említett tagállam nemzeti joga nem írja elő, ha e szerződésnek az ezen adatokat kitakaró másolatát az e szabályozásban előírt eljárási szabályok ellenére nem küldték meg e hatóságnak.

90

A GDPR 17. cikkének (1) bekezdése értelmében az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az e rendelkezésben meghatározott okok valamelyike fennáll.

91

A 17. cikk (1) bekezdésének c) pontja szerint ez az eset áll fenn, ha az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs „elsőbbséget élvező jogszerű ok az adatkezelésre”, vagy a 17. cikk (1) bekezdésének d) pontja értelmében a személyes adatokat „jogellenesen kezelték”.

92

A GDPR 17. cikke (3) bekezdésének b) pontjából az is következik, hogy e rendelet 17. cikkének (1) bekezdése nem alkalmazandó, amennyiben az adatkezelés a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából szükséges.

93

Ennélfogva annak meghatározása érdekében, hogy egy olyan helyzetben, mint amelyről az alapügyben szó van, az érintettet megilleti‑e a törléshez való jog a GDPR 17. cikke alapján, először is azt a jogszerűségi indoko(ka)t kell megvizsgálni, amely(ek) körébe a személyes adatainak kezelése tartozhat.

94

E tekintetben emlékeztetni kell arra, hogy a GDPR 6. cikke (1) bekezdésének első albekezdése kimerítő és korlátozó jelleggel sorolja fel azokat az eseteket, amelyekben a személyes adatok kezelése jogszerűnek tekinthető. Így ahhoz, hogy az adatkezelést jogszerűnek lehessen minősíteni, annak az e rendelkezésekben előírt esetek valamelyikébe kell tartoznia (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 99. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

95

Az érintettnek az említett rendelkezés a) pontja szerinti, a személyes adatainak kezeléséhez való hozzájárulása hiányában, vagy ha e hozzájárulást nem önkéntesen, konkrétan, megfelelő tájékoztatás alapján és egyértelműen adták meg a GDPR 4. cikkének 11. pontja értelmében, az ilyen adatkezelés akkor is indokolt, ha megfelel az e rendelet 6. cikke (1) bekezdése első albekezdésének b)–f) pontjában említett szükségességi követelmények valamelyikének (lásd ebben az értelemben: 2023. július 4‑i Meta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 92. pont).

96

Ebben az összefüggésben az utóbbi rendelkezésben előírt indokokat, amennyiben azok lehetővé teszik, hogy az érintett hozzájárulásának hiányában végzett személyesadat‑kezelést jogszerűnek lehessen tekinteni, megszorítóan kell értelmezni (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 93. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

97

Végül rá kell mutatni, hogy a GDPR 5. cikkének megfelelően az adatkezelőre hárul annak bizonyítása, hogy ezeket az adatokat többek között meghatározott, egyértelmű és jogszerű célból gyűjtik, azok megfelelőek és relevánsnak, és a szükségesre korlátozódnak, továbbá azok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzik (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 95. pont).

98

Bár a kérdést előterjesztő bíróság feladata annak meghatározása, hogy az alapügyben szóban forgóhoz hasonló adatkezelés különböző elemeit a GDPR 6. cikke (1) bekezdése első albekezdésének a)–f) pontjában említett egyik vagy másik szükséglet igazolja‑e, a Bíróság hasznos iránymutatásokat adhat e bíróság számára annak érdekében, hogy lehetővé tegye számára az előtte folyamatban lévő jogvita eldöntését (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 96. pont).

99

A jelen ügyben mindenekelőtt – amint arra a főtanácsnok az indítványának 43. pontjában rámutatott – a nyilvántartásokról szóló törvény 13. cikkének (9) bekezdésében felállított, hozzájárulásra vonatkozó vélelem nem felel meg a GDPR 4. cikkének 11. pontjával összefüggésben értelmezett 6. cikke (1) bekezdése első albekezdésének a) pontjában előírt feltételeknek.

100

Amint ugyanis az említett rendelet (32), (42) és (43) preambulumbekezdéséből kitűnik, a hozzájárulást egyértelmű megerősítő cselekedettel kell megadni, például írásbeli nyilatkozat vagy szóbeli nyilatkozat útján, és az nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna. A hozzájárulás továbbá nem szolgálhat érvényes jogalapként abban a konkrét esetben, ha egyértelműen egyenlőtlen viszony áll fenn az érintett és az adatkezelő között, különösen ha az adatkezelő közhatalmi szerv.

101

Ezért az olyan vélelem, mint amelyet a nyilvántartásokról szóló törvény 13. cikkének (9) bekezdése állít fel, nem tekinthető úgy, hogy a hivatalhoz hasonló közhatalmi szerv számára önkéntesen, konkrétan, megfelelő tájékoztatás alapján és egyértelműen adták meg a személyes adatok kezeléséhez.

102

Továbbá a 6. cikk (1) bekezdése első albekezdésének b) és d) pontjában szereplő, többek között egy szerződés teljesítéséhez és a természetes személy létfontosságú érdekeinek védelméhez szükséges személyesadat‑kezelésre vonatkozó jogszerűségi indokok nem relevánsak a személyes adatok alapügyben szóban forgó kezelése tekintetében. Ugyanez vonatkozik a GDPR 6. cikke (1) bekezdése első albekezdésének f) pontjában előírt, az adatkezelő jogos érdekeinek érvényesítéséhez szükséges személyesadat‑adatkezelésre vonatkozó jogszerűségi indokra is, mivel e rendelet 6. cikke (1) bekezdése második albekezdésének szövegéből egyértelműen kitűnik, hogy a közhatalmi szervek által feladataik ellátása során végzett adatkezelés nem tartozhat ez utóbbi indok hatálya alá (lásd ebben az értelemben: 2022. december 8‑iInspektor v Inspektorata kam Visshia sadeben savet [A személyes adatok kezelésének céljai – nyomozás] ítélet, C‑180/21, EU:C:2022:967, 85. pont).

103

Végül a GDPR 6. cikke (1) bekezdése első albekezdésének c) és e) pontjában szereplő jogszerűségi indokokat illetően emlékeztetni kell arra, hogy a 6. cikke (1) bekezdésének c) pontja értelmében a személyes adatok kezelése akkor jogszerű, ha az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. A 6. cikk (1) bekezdésének e) pont szerint továbbá szintén jogszerű az adatkezelés, ha az közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

104

A GDPR 6. cikkének (3) bekezdése a jogszerű adatkezelés e két esete vonatkozásában többek között pontosítja, hogy az adatkezelésnek az adatkezelőre alkalmazandó uniós vagy tagállami jogon kell alapulnia, továbbá ezen jogalapnak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

105

Elsőként, ami azt a kérdést illeti, hogy az alapügyben szóban forgó adatkezelés a GDPR 6. cikke (1) bekezdése első albekezdésének c) pontja értelmében véve szükséges‑e az uniós jogból vagy az adatkezelőre alkalmazandó nemzeti jogból eredő jogi kötelezettség tiszteletben tartásához, a főtanácsnok indítványának 45. és 47. pontjában foglaltakhoz hasonlóan rá kell mutatni arra, hogy a 2017/1132 irányelv nem írja elő az ezen irányelv értelmében kötelezően közlendő okiratokban foglalt valamennyi személyes adat automatikus kezelését. Éppen ellenkezőleg, az említett irányelv 161. cikkéből az következik, hogy a személyes adatoknak a 2017/1132 irányelvvel összefüggésben végzett kezelésének, és különösen az információk ezen irányelv szerinti gyűjtésének, tárolásának, rendelkezésre bocsátásának és közzétételének teljes mértékben meg kell felelnie a GDPR‑ból eredő követelményeknek.

106

Így a tagállamok feladata, hogy az ezen irányelv által előírt kötelezettségek végrehajtása keretében biztosítsák, hogy összeegyeztessék egyrészt a jogbiztonságra és a harmadik személyek érdekeinek védelmére irányuló, az említett irányelv által követett, a jelen ítélet 77. pontjában felidézett célokat, másrészt pedig a GDPR‑ban biztosított jogokat és a személyes adatok védelméhez való alapvető jogot, az e célok és e jogok közötti kiegyensúlyozott mérlegelés révén (lásd ebben az értelemben: 2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet, C‑184/20, EU:C:2022:601, 98. pont).

107

Ezért nem állapítható meg, hogy a 2017/1132 irányelv értelmében kötelezően közlendő és a hivatalnak megküldött társasági szerződésben szereplő, az ezen irányelv vagy az alapügyben szóban forgó nemzeti jogszabály által elő nem írt személyes adatoknak a cégnyilvántartásban való online nyilvánosan elérhetővé tételét igazolja az a követelmény, hogy az ezen irányelv 16. cikkének megfelelően biztosítani kell a 14. cikkében említett okiratok nyilvánosságát, és e közzététel ezért az az uniós jog által előírt jogi kötelezettségből ered.

108

Az alapügyben szóban forgó adatkezelés jogszerűsége – a kérdést előterjesztő bíróság által elvégzendő vizsgálat fenntartása mellett – nem is a GDPR 6. cikke (1) bekezdése első albekezdésének c) pontja értelmében az adatkezelőre alkalmazandó nemzeti jog – a jelen esetben a bolgár jog – által előírt jogi kötelezettségen alapul, mivel egyrészt a Bíróság rendelkezésére álló iratokból kitűnik, hogy a nyilvántartásokról szóló törvény 2. cikkének (2) bekezdése előírja, hogy a cégnyilvántartásba felveendő okiratokat a személyes adatnak minősülő információktól mentesen kell közzétenni, „kivéve azokat az információkat, amelyeket jogszabály alapján közzé kell tenni”, másrészt pedig e törvény 13. cikkének (9) bekezdése a hozzájárulás olyan vélelmét állítja fel, amely – amint az a jelen ítélet 99. pontjából kitűnik – nem felel meg a GDPR követelményeinek.

109

Másodsorban, ami azt a kérdést illeti, hogy az alapügyben szóban forgó adatkezelés szükséges‑e a GDPR 6. cikke (1) bekezdése első albekezdésének e) pontja értelmében közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához, amire többek között mind a kérdést előterjesztő bíróság, mind pedig a bolgár kormány és a hivatal is hivatkozik, a Bíróság már kimondta, hogy a közhatalmi jogosítványok gyakorlásának körébe tartozik, és e rendelkezés értelmében közérdekben elvégzendő feladatnak minősül valamely hatóság azon tevékenysége, amely a társaságok által törvényi bejelentési kötelezettség alapján bejelentett adatok adatbázisban tárolásában és az érdekeltek kérésére térítés ellenében betekintés biztosításában és kivonat készítésében nyilvánul meg (lásd ebben az értelemben: 2017. március 9‑iManni ítélet, C‑398/15, EU:C:2017:197, 43. pont).

110

Ebből következően az alapügyben szóban forgó adatkezelést kétségkívül az e rendelkezés értelmében vett közérdekű feladat keretében hajtották végre. Mindazonáltal ahhoz, hogy az e rendelkezés által támasztott feltételek teljesüljenek, az szükséges, hogy e bánásmód ténylegesen megfeleljen az elérni kívánt közérdekű céloknak, és ne lépje túl az e célok eléréséhez szükséges mértéket (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 109. pont).

111

A szükségességgel kapcsolatos e követelmény nem teljesül, ha a közérdekű cél egyéb olyan eszközzel is észszerűen és hasonló hatékonysággal elérhető, amely nem sérti az érintett alapvető jogait, különösen a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, a Charta 7. és 8. cikkében biztosított jogokat, azzal, hogy az ilyen adatok védelmére vonatkozó elvtől való eltérésnek és ezen elv korlátozásának a feltétlenül szükséges mértékre kell korlátozódnia (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 110. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

112

Márpedig, amint arra a főtanácsnok az indítványának 51. pontjában rámutatott, a személyes adatok olyan online elérhetővé tétele, amelyet sem a 2017/1132 irányelv, sem pedig a nemzeti jog nem ír elő, önmagában nem tekinthető szükségesnek az ezen irányelv által követett célok megvalósításához.

113

Közelebbről, ami az érintettek alapvető jogait kevésbé sértő eszközök fennállását illeti, meg kell állapítani, hogy az alapügyben szóban forgó nemzeti jogszabály előírja, hogy a társaság cégnyilvántartásba történő bejegyzését kérelmező személynek be kell nyújtania e társaság azon okiratának másolatát, amelyből kitakarták azokat a személyes adatokat, amelyek nem szükségesek az e nyilvántartásban való közzétételhez és nem kell, hogy harmadik személyek számára hozzáférhetőek legyenek, és amely másolatot a jelen esetben a hivatal kérelmére sem nyújtottak be a hivatalhoz. Mindazonáltal a bolgár kormány és a hivatal megerősítette, hogy e jogszabály még akkor sem írja elő, hogy a hivatal maga készíti el ezt a másolatot, ha az érintett személy észszerű határidő eltelte után sem kap ilyen másolatot a társaságtól vagy annak képviselőitől, ami ugyanakkor egy olyan eszköz lenne, amely ugyanolyan hatékonyan elérhetővé tenné a társasági okiratok nyilvánosságának biztosítására, a jogbiztonságra és a harmadik személyek érdekeinek védelmére irányuló célokat, miközben kevésbé sértené a személyes adatok védelméhez való jogot.

114

Amint azt a főtanácsnok indítványának 56. pontjában megállapította, meg kell továbbá jegyezni, hogy – ellentétben azzal, amit több tagállam a Bírósághoz benyújtott észrevételeiben állított – a 2017/1132 irányelv értelmében kötelezően közlendő társasági okiratok sértetlenségének és megbízhatóságának megőrzésére vonatkozó követelmény, amely megköveteli ezen okiratok olyan formában történő közzétételét, ahogyan azokat a cégnyilvántartást vezető hatóságoknak benyújtották, nem élvezhet automatikus elsőbbséget e joggal szemben, mert így ez a védelem csak látszólagos lesz.

115

E követelmény különösen nem írhatja elő a 2017/1132 irányelv vagy a nemzeti jog által meg nem követelt személyes adatok e nyilvántartásban való online elérhetővé tételét, miközben – amint az a jelen ítélet 113. pontjából kitűnik – a hivatal e közzététel céljából maga is elkészíthetné az érintett társasági okirat e jog által előírt másolatát.

116

Ebből következik, hogy a személyes adatok alapügyben szóban forgó kezelése mindenesetre úgy tűnik, meghaladja azt a mértéket, amely szükséges azon közérdekű feladat ellátásához, amellyel a hivatalt az említett nemzeti szabályozás megbízza.

117

Következésképpen, amint azt a főtanácsnok az indítványának 59. pontjában megjegyezte, az e bíróság által elvégzendő vizsgálatokra is figyelemmel úgy tűnik, hogy az ilyen adatkezelés nem felel meg a GDPR 6. cikkének (3) bekezdésével összefüggésben értelmezett 6. cikke (1) bekezdése első albekezdésének c) és e) pontjában előírt jogszerűségi feltételeknek sem.

118

Másodszor, ami az alapügyben szóban forgó, a GDPR 17. cikke szerinti törlés iránti kérelmet illeti, meg kell állapítani, hogy abban az esetben, ha a kérdést előterjesztő bíróság az ezen adatkezelés jogszerűségére vonatkozó értékelését követően arra a következtetésre jut, hogy az említett adatkezelés nem jogszerű, a hivatalnak mint adatkezelőnek kellene – amint az a jelen ítélet 82. és 83. pontjából kitűnik – a GDPR 17. cikke (1) bekezdése d) pontjának egyértelmű szövege alapján az érintett adatokat a lehető leghamarabb törölnie (lásd ebben az értelemben: 2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 108. pont).

119

Ha viszont e bíróság arra a következtetésre jut, hogy ez az adatkezelés ténylegesen megfelel a GDPR 6. cikke (1) bekezdésének e) pontjában előírt jogszerűségi indoknak, nevezetesen amennyiben a 2017/1132 irányelv vagy az alapügyben szóban forgó nemzeti jogszabály által elő nem írt adatoknak a cégnyilvántartásban való online elérhetővé tétele szükséges ahhoz, hogy a harmadik személyek védelme érdekében el lehessen kerülni az érintett társaság bejegyzése során felmerülő késedelmet, meg kell állapítani, hogy a GDPR 17. cikke (1) bekezdésének c) pontját alkalmazni kell.

120

A GDPR 21. cikkének (1) bekezdésével együttesen értelmezett e rendelkezésből az következik, hogy az érintettnek joga van tiltakozni az adatkezelés ellen, és joga van a törléshez, kivéve ha a 21. cikk (1) bekezdése szerinti érdekeivel, jogaival és szabadságaival szemben elsőbbséget élvező jogszerű okok állnak fenn, amit az adatkezelőnek kell bizonyítania (lásd ebben az értelemben: 2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 111. pont).

121

Márpedig az olyan helyzetben, mint amelyről az alapügyben szó van, úgy tűnik, hogy nem állnak fenn az e rendelkezés értelmében vett elsőbbséget élvező jogszerű okok, amelyek miatt el kellene utasítani az ilyen törlési kérelmet.

122

Egyrészt ugyanis az előzetes döntéshozatalra utaló határozatból kitűnik, hogy azt a társaságot, amelynek OL tagja, már bejegyezték a cégnyilvántartásba.

123

Másrészt, amint az a jelen ítélet 115. pontjában megállapításra került, a kötelezően közlendő társasági okiratok sértetlenségének és megbízhatóságának megőrzésére vonatkozó követelmény nem követelheti meg a 2017/1132 irányelvben vagy a nemzeti jogban elő nem írt személyes adatoknak a nyilvánosság számára történő online elérhetővé tételét.

124

Végül, feltételezve azt, hogy a kérdést előterjesztő bíróság arra a következtetésre jut, hogy az alapügy tárgyát képező személyesadat‑kezelés ténylegesen megfelel a GDPR 6. cikke (1) bekezdésének c) pontjában előírt jogszerűségi indoknak, meg kell állapítani, hogy a GDPR, különösen a 17. cikke (3) bekezdésének c) pontja kifejezetten rögzíti egyrészt a Charta 7. és 8. cikkében biztosított, a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jog, másrészt pedig az uniós jog vagy a tagállamok joga által jogszerűen követett azon célok közötti egyensúly megteremtésének követelményét, amelyek azon jogi kötelezettség alapjául szolgálnak, amelynek tiszteletben tartásához az adatkezelés szükséges (lásd analógia útján: 2022. december 8‑iGoogle [Állítólagosan valótlan tartalomra mutató linkek törlése] ítélet, C‑460/20, EU:C:2022:962, 58. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

125

Amint azt a Bíróság már megállapította, az uniós jog alapján kötelező közzététel tárgyát képező személyes adatokhoz való hozzáférésnek a valamely különös érdeket igazoló harmadik személyekre való korlátozása eseti alapon, az érintettek sajátos helyzetével kapcsolatos lényeges jogos érdekből indokolt lehet (lásd ebben az értelemben: 2017. március 9‑iManni ítélet, C‑398/15, EU:C:2017:197, 60. pont).

126

Amint arra a főtanácsnok indítványának 67. pontjában rámutatott, ennek még inkább érvényesnek kell lennie abban az esetben, ha – mint a jelen ügyben is – az érintett személyes adatok közzétételét sem a 2017/1132 irányelv, sem a nemzeti jog nem írja elő.

127

Mindezekre figyelemmel a negyedik kérdésre azt a választ kell adni, hogy a 2017/1132 irányelvet, különösen a 16. cikkét, valamint a GDPR 17. cikkét úgy kell értelmezni, hogy azokkal ellentétes az olyan tagállami szabályozás vagy gyakorlat, amelynek következtében az e tagállam cégnyilvántartásának vezetésével megbízott hatóság elutasít minden olyan személyes adat törlése iránti kérelmet, amely az e nyilvántartásban közzétett társasági szerződésben szerepel, de amelynek közlését ezen irányelv vagy az említett tagállam nemzeti joga nem írja elő, ha e szerződésnek az ezen adatokat kitakaró másolatát az e szabályozásban előírt eljárási szabályok ellenére nem küldték meg e hatóságnak.

128

Hatodik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 4. cikkének 1. pontját úgy kell‑e értelmezni, hogy valamely természetes személy saját kezű aláírása az e rendelkezés értelmében vett „személyes adat” fogalma alá tartozik.

129

Az említett rendelkezés értelmében személyes adatnak minősül az „azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ”, és e rendelkezés pontosítja, hogy „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.

130

A Bíróság ezzel kapcsolatban kimondta, hogy az, hogy az uniós jogalkotó a „személyes adat” e rendelkezésben szereplő fogalmának meghatározása során a „bármely információ” kifejezést használta, e jogalkotó részéről azt a célt tükrözi, hogy e fogalomnak olyan tág jelentést adjon, amely potenciálisan magában foglal minden típusú információt, legyen az akár objektív, akár vélemény vagy értékelés formájában megjelenő szubjektív információ, feltéve hogy az a szóban forgó személyre „vonatkozik” (2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 23. pont).

131

Valamely információ akkor vonatkozik egy azonosított vagy azonosítható természetes személyre, ha az a tartalmánál, céljánál vagy hatásánál fogva egy azonosítható személyhez kapcsolódik (2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 24. pont).

132

Ami valamely természetes személy „azonosítható” jellegét illeti, a GDPR (26) preambulumbekezdése pontosítja, hogy figyelembe kell venni „minden olyan módszert […] – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja”.

133

Ebből következően a „személyes adatok” fogalmának tág meghatározása nem csupán az adatkezelő által megszerzett és tárolt adatokra terjed ki, hanem magában foglalja az azonosított vagy azonosítható személyre vonatkozó személyes adatok kezeléséből származó valamennyi információt is (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 26. pont).

134

A Bíróság ítélkezési gyakorlatából az is következik, hogy valamely természetes személy kézírása információt ad e személyről (lásd ebben az értelemben: 2017. december 20‑iNowak ítélet, C‑434/16, EU:C:2017:994, 37. pont).

135

Végül meg kell állapítani, hogy valamely természetes személy saját kezű aláírását általában arra használják, hogy azonosítani lehessen e személyt, hogy bizonyító erőt tulajdonítson azok pontossága és hitelessége tekintetében azon okiratoknak, amelyeken azt elhelyezték, vagy hogy felelősséget vállaljon az adott okiratért. Egyébiránt az érintett társasági szerződésen a tagok aláírása mellett szerepel a nevük is.

136

A fentiekre tekintettel a hatodik kérdésre azt a választ kell adni, hogy a GDPR 4. cikkének 1. pontját úgy kell értelmezni, hogy valamely természetes személy saját kezű aláírása az e rendelkezés értelmében vett „személyes adat” fogalmába tartozik.

137

Hetedik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az, ha az érintett személy korlátozott ideig elveszíti a személyes adatai feletti rendelkezést ezen adatok valamely tagállami cégnyilvántartásban a nyilvánosság számára történő online elérhetővé tétele miatt, elegendő lehet ahhoz, hogy „nem vagyoni kárt” okozzon, vagy a „nem vagyoni kár” e fogalma további érzékelhető negatív következmények fennállásának bizonyítását igényli.

138

Előzetesen emlékeztetni kell arra, hogy „[m]inden olyan személy, aki [a GDPR] megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.”

139

E tekintetben, mivel a GDPR nem utal a tagállamok jogára az említett rendelkezésben szereplő kifejezések jelentését és hatályát illetően, különösen ami a „vagyoni vagy a nem vagyoni kár” és a „kártérítés” fogalmát illeti, e kifejezéseket e rendelet alkalmazásában az uniós jog önálló fogalmainak kell tekinteni, amelyeket az összes tagállamban egységesen kell értelmezni (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 30. pont).

140

Erre tekintettel a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy e rendelet egyszerű megsértése nem elegendő a kártérítéshez való jog megalapozásához, mivel a vagyoni vagy nem vagyoni „kár” vagy az „elszenvedett kár” megléte az említett 82. cikk (1) bekezdésében foglalt kártérítéshez való jog egyik feltételét képezi, akárcsak e rendelet megsértésének fennállása, valamint az e kár és az e jogsértés közötti okozati kapcsolat megléte, mivel e három feltétel együttes (2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 32. pont; 2024. április 11‑ijuris ítélet, C‑741/21, EU:C:2024:288, 34. pont).

141

Így az e rendelkezés alapján a nem vagyoni kár vagy sérelem megtérítését kérő személy nemcsak e rendelet rendelkezéseinek megsértését köteles bizonyítani, hanem azt is, hogy e jogsértés ilyen kárt vagy sérelmet okozott neki. Az ilyen kár vagy sérelem tehát nem vélelmezhető kizárólag az említett jogsértés bekövetkezte miatt (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [A személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 42. és 50. pont; 2024. április 11‑ijuris ítélet, C‑741/21, EU:C:2024:288, 35. pont).

142

Így az a személy, akit a GDPR megsértéséből következően hátrányos következmények érnek, köteles bizonyítani, hogy e következmények az e rendelet 82. cikke értelmében vett nem vagyoni kárt képeznek, mivel a rendelet rendelkezéseinek egyszerű megsértése nem elegendő ahhoz, hogy kártérítéshez való jogot keletkeztessen (2024. január 25‑iMediaMarktSaturn ítélet, C‑687/21, EU:C:2024:72, 60. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

143

Ezért ha a 82. cikk (1) bekezdése alapján kártérítést kérő személy az attól való félelmére hivatkozik, hogy a jövőben az ilyen jogsértés miatt személyes adatait visszaélésszerűen használják fel, az eljáró nemzeti bíróságnak meg kell vizsgálnia, hogy e félelem az ügy sajátos körülmények között és az érintett személyre tekintettel megalapozottnak tekinthető‑e (2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 85. pont).

144

Mindezek mellett a Bíróság megállapította, hogy nemcsak a GDPR 82. cikke (1) bekezdésének az e rendelet (85) és (146) preambulumbekezdésének fényében értelmezett szövegéből tűnik ki, amely preambulumbekezdések az ezen előbbi rendelkezés értelmében vett „nem vagyoni kár” fogalmának tág értelmezését írják elő, hanem a természetes személyeknek a személyes adatok kezelése tekintetében történő magas szintű védelmére irányuló, az említett rendeletben említett célkitűzésből is, hogy az érintett azon félelme, hogy a személyes adataival ugyanezen rendelet megsértését követően esetleges harmadik fél visszaél, önmagában alkalmas arra, hogy e 82. cikk (1) bekezdése értelmében vett „nem vagyoni kárnak” minősüljön (2024. június 20‑i PS [Téves cím] ítélet, C‑590/22, 32. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

145

Közelebbről, az érintettek által esetlegesen elszenvedett „károknak” a GDPR (85) preambulumbekezdésének első mondatában szereplő, példálózó felsorolásából kitűnik, hogy az uniós jogalkotó az érintetteket esetlegesen ért „kár” fogalmába bele kívánta foglalni többek között a saját személyes adataik feletti „rendelkezésnek” az e rendelet megsértése miatti egyszerű „elvesztését” is, még akkor is, ha a szóban forgó adatokkal való visszaélésre ténylegesen nem került sor (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 82. pont).

146

A GDPR 82. cikke (1) bekezdésének olyan értelmezése továbbá, amely szerint a „nem vagyoni kárnak” az e rendelkezés értelmében vett fogalma nem foglalja magában azokat a helyzeteket, amelyekben az érintett kizárólag azon félelmére hivatkozik, hogy személyes adatait harmadik személyek a jövőben visszaélésszerűen felhasználják, nem egyeztethető össze a személyes adatok Unión belüli kezelése tekintetében a természetes személyek magas szintű védelmének biztosításával, amelyre e rendelet irányul (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 83. pont).

147

Ugyanígy e fogalom nem korlátozható kizárólag a károkra vagy csak bizonyos súlyos sérelmekre, különösen azon időszak hosszát illetően, amelynek során az említett rendelet megsértésének negatív következményeit az érintett személyek elszenvedi (lásd ebben az értelemben: 2023. december 14‑iGemeinde Ummendorf ítélet, C‑456/22, EU:C:2023:988, 16. és 19. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

148

Így nem lehet úgy tekinteni, hogy a jelen ítélet 140. pontjában említett három feltételen felül a GDPR 82. cikkének (1) bekezdésében előírt felelősség megállapításának egyéb feltételei is előírhatók, mint például a kár érzékelhető jellege vagy a sérelem objektív jellege (2023. december 14‑iGemeinde Ummendorf ítélet, C‑456/22, EU:C:2023:988, 17. pont).

149

E rendelkezés azt sem követeli meg, hogy e rendelet rendelkezéseinek bizonyított megsértéséből következően az érintett által hivatkozott „nem vagyoni kárnak” el kell érnie egy „minimimális küszöbértéket” a kártérítéshez való jogosultsághoz (2023. december 14‑iGemeinde Ummendorf ítélet, C‑456/22, EU:C:2023:988, 18. pont).

150

Következésképpen, bár semmi nem zárja ki, hogy a személyes adatoknak az interneten való közzététele és az azok feletti rendelkezés ebből következő, rövid időn keresztül történő elvesztése az érintettek számára a GDPR 82. cikkének (1) bekezdése értelmében vett, kártérítésre jogosító „nem vagyoni kárt” okozzon, az is szükséges, hogy e személyek bizonyítsák, hogy ténylegesen ilyen kárt szenvedtek el, bármilyen csekély is legyen az (lásd ebben az értelemben: 2023. december 14‑iGemeinde Ummendorf ítélet, C‑456/22, EU:C:2023:988, 22. pont; 2024. április 11‑ijuris ítélet, C‑741/21, EU:C:2024:288, 42. pont).

151

Végül pontosítani kell, hogy a nem vagyoni kár megtérítéséhez való jog címén fizetendő kártérítés összegének megállapítása keretében a személyes adatok megsértésével okozott nem vagyoni kár jellegénél fogva nem kevésbé jelentős, mint a testi sérülés (2024. június 20‑iScalable Capital ítélet, C‑182/22 és C‑189/22, EU:C:2024:531, 39. pont).

152

Továbbá amennyiben a személy bizonyítani tudja, hogy a GDPR megsértése e rendelet 82. cikke értelmében kárt okozott neki, az a jogalanyokat e cikk alapján megillető jogok védelmének biztosítására szolgáló keresetek keretében megítélendő kártérítés értékelési szempontjait az egyes tagállami jogrendekben kell meghatározni úgy, hogy az ilyen kártérítés teljes és tényleges legyen (lásd ebben az értelemben: 2024. június 20‑iScalable Capital ítélet, C‑182/22 és C‑189/22, EU:C:2024:531, 43. pont).

153

E tekintetben a 82. cikkben – különösen nem vagyoni kár esetén – biztosított kártérítéshez való jog kizárólag kompenzációs funkciót és nem elrettentő vagy büntető funkciót tölt be, mivel az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az e rendelet megsértése következtében ténylegesen elszenvedett kár teljes megtérítését (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [A személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 57. és 58. pont; 2024. április 11‑ijuris ítélet, C‑741/21, EU:C:2024:288, 61. pont).

154

Ezenfelül egyrészt az adatkezelő GDPR 82. cikke szerinti felelősségének megállapításához szükséges a vétkessége, amelyet vélelmezni kell, kivéve ha bizonyítja, hogy a kárt okozó esemény neki semmilyen módon nem róható fel, és másrészt e cikk nem követeli meg e vétkesség súlyossági fokának a nem vagyoni kár megtérítéseként e cikk alapján megítélt kártérítés összegének meghatározásakor való figyelembevételét (lásd: 2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 103. pont; 2024. január 25‑iMediaMarktSaturn ítélet, C‑687/21, EU:C:2024:72, 52. pont).

155

A jelen ügyben, amint az a jelen ítélet 42. pontjában megállapításra került, a kérdést előterjesztő bíróság pontosította, hogy az Administrativen sad Dobrich (dobrichi közigazgatási bíróság) megállapította a nem vagyoni kár fennállását, amely OL negatív érzelmi élményeiből és tapasztalataiból állt, nevezetesen az esetleges visszaélésektől való félelemből és aggodalomból, valamint a személyes adatai megvédhetetlenségével kapcsolatos tehetetlenségből és csalódottságból. Azt is megállapította, hogy e kár a hivatal 2022. január 26‑i leveléből eredt, amely a GDPR 17. cikkének (1) bekezdésében biztosított törléshez való jog megsértését, valamint a nyilvánosan elérhetővé tett szerződésben szereplő adatainak jogellenes kezelését eredményezte.

156

A fenti megfontolásokra tekintettel a hetedik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az, ha az érintett korlátozott ideig elveszíti a személyes adatai feletti rendelkezést ezen adatoknak valamely tagállami cégnyilvántartásban a nyilvánosság számára történő online elérhetővé tétele miatt, elegendő lehet ahhoz, hogy „nem vagyoni kárt” okozzon, amennyiben e személy bizonyítja, hogy ténylegesen ilyen – akár csekély mértékű – kár érte, és a „nem vagyoni kár” e fogalma nem igényli további érzékelhető negatív következmények fennállásának bizonyítását.

157

Nyolcadik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (3) bekezdését úgy kell‑e értelmezni, hogy a valamely tagállam felügyeleti hatósága által az e rendelet 58. cikke (3) bekezdésének b) pontja alapján kiadott vélemény elegendő ahhoz, hogy a tagállami cégnyilvántartás vezetésével megbízott és az ugyanezen rendelet 4. cikkének 7. pontja értelmében „adatkezelőnek” minősülő hatóság az említett rendelet 82. cikkének (2) bekezdése alapján mentesüljön a felelőssége alól.

158

Először is, a GDPR 82. cikkében foglalt felelősségi rendszert illetően emlékeztetni kell arra, hogy e cikk (1) bekezdése kimondja, hogy minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Amint az a jelen ítélet 140. pontjából kitűnik, e kártérítéshez való jog három együttes feltétel teljesülésétől függ.

159

E rendelet 82. cikke (2) bekezdése első mondatának megfelelően az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. E rendelkezés, amely pontosítja azt a felelősségi rendszert, amelynek alapelvét e cikk (1) bekezdése állapítja meg, három ahhoz szükséges feltételt említ, hogy kártérítéshez való jog keletkezzen, nevezetesen a személyes adatoknak a GDPR rendelkezéseit sértő kezelése, az érintett által elszenvedett kár, és az e jogellenes kezelés és e kár közötti okozati kapcsolat (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 36. pont).

160

A GDPR 82. cikkének (3) bekezdése e tekintetben pontosítja, hogy az adatkezelő mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

161

Amint azt a Bíróság már megállapította, a GDPR 82. cikke (1)–(3) bekezdésének együttes elemzéséből, e cikk szövegkörnyezetéből és az uniós jogalkotó által e rendelet révén kitűzött célokból kitűnik, hogy e cikk vétkességen alapuló felelősségi rendszert ír elő, amelyben a bizonyítási teher nem a kárt elszenvedő személyt, hanem az adatkezelőt terheli (lásd ebben az értelemben: 2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 94. és 95. pont).

162

Így a természetes személyek számára a személyes adatok kezelése tekintetében biztosítandó magas szintű védelem céljának nem felelne meg az olyan értelmezés, amely szerint a GDPR megsértése miatt kárt szenvedett érintetteknek a GDPR 82. cikkén alapuló kártérítési kereset keretében nem csupán e jogsértés és az abból eredő káruk fennállását kellene bizonyítaniuk, hanem az adatkezelő szándékosságát vagy gondatlanságát, vagy akár e vétkesség súlyossági fokát is, jóllehet az említett 82. cikk nem fogalmaz meg ilyen követelményeket (lásd ebben az értelemben: 2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 99. pont).

163

A jelen ítélet 154. pontjában hivatkozott ítélkezési gyakorlatnak megfelelően az adatkezelő 82. cikk szerinti felelősségének megállapításához tehát az adatkezelő által elkövetett kötelességszegés fennállása szükséges, amelyet vélelmezni kell, kivéve ha ez utóbbi bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

164

Így, amint azt a „semmilyen” melléknévnek a jogalkotási eljárás során történő, szándékolt hozzáadása jelzi, azokat a körülményeket, amelyek között az adatkezelő a GDPR 82. cikke alapján fennálló polgári jogi felelősség alóli mentesülésre hivatkozhat, szigorúan azokra a körülményekre kell korlátozni, amelyekben az adatkezelő bizonyítani tudja, hogy a kár nem tudható be neki (2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 70. pont).

165

A Bíróság azt is megállapította, hogy a személyes adatok harmadik fél – így kiberbűnözők, vagy az adatkezelő irányítása alatt eljáró személy – általi megsértése esetén az adatkezelő a GDPR 82. cikkének (3) bekezdése alapján mentesülhet a felelőssége alól kizárólag annak bizonyításával, hogy nincs okozati összefüggés az őt terhelő adatvédelmi kötelezettség esetleges megsértése és az érintett természetes személy által elszenvedett kár között (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 72. pont; 2024. április 11‑ijuris ítélet, C‑741/21, EU:C:2024:288, 51. pont).

166

Következésképpen ahhoz, hogy az adatkezelő a GDPR 82. cikkének (3) bekezdése alapján mentesülhessen a felelőssége alól, nem lehet elegendő, ha bizonyítja, hogy az e rendelet értelmében az irányítása alatt eljáró személyeknek utasításokat adott, és e személyek egyike nem teljesítette az ezen utasítások követésére vonatkozó kötelezettségét, amellyel hozzájárult a szóban forgó kár bekövetkezéséhez (lásd ebben az értelemben: 2024. április 11‑ijuris ítélet, C‑741/21, EU:C:2024:288, 52. pont).

167

Másodszor, a bizonyítási eszközökre vonatkozó szabályokat illetően emlékeztetni kell arra, hogy a GDPR nem ír elő olyan bizonyítási eszköz elfogadására és bizonyító erejére vonatkozó szabályokat, amelyeket az e rendelet 82. cikkén alapuló kártérítési keresetet elbíráló nemzeti bíróságoknak alkalmazniuk kellene. Következésképpen az e területre vonatkozó uniós jogszabályok hiányában az egyes tagállamok belső jogrendjében kell – az egyenértékűség és a tényleges érvényesülés elvét tiszteletben tartva – meghatározni azon keresetekre vonatkozó szabályokat, amelyek célja, hogy biztosítsák a jogalanyok e 82. cikkből eredő jogainak védelmét, és különösen a bizonyítási eszközökre vonatkozó szabályokat (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 60. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

168

Harmadszor, ami a GDPR 58. cikke (3) bekezdésének b) pontja alapján kiadott véleményt illeti, emlékeztetni kell arra, hogy e cikk meghatározza a felügyeleti hatóságok hatásköreit.

169

Így a GDPR 58. cikke az (1) bekezdésében vizsgálati hatáskörökkel ruházza fel e hatóságokat, a (2) bekezdésében korrekciós intézkedések elfogadására vonatkozó hatáskörrel, a (3) bekezdésében az ott felsorolt engedélyezési és tanácsadási hatáskörökkel, az (5) bekezdésében pedig azzal a hatáskörrel, hogy e rendelet megsértéséről tájékoztassák az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzenek e rendelet rendelkezéseinek érvényre juttatása érdekében.

170

Márpedig a GDPR 58. cikkének (3) bekezdésében felsorolt hatáskörök között a b) pontban szerepel az, hogy „saját kezdeményezésére vagy kérésre a személyes adatok védelmével kapcsolatos bármilyen kérdésben véleményt bocsát ki a nemzeti parlament, a tagállami kormány vagy a tagállami joggal összhangban más intézmények és szervek, valamint a nyilvánosság részére”.

171

Az említett rendelkezés szövegéből, különösen a „vélemény” kifejezésből egyértelműen kitűnik, hogy az ilyen vélemény kibocsátása a felügyeleti hatóság tanácsadási, nem pedig az engedélyezési hatáskörébe tartozik.

172

A „vélemény” és a „tanácsadási hatáskör” kifejezések használata arra is utal, hogy a GDPR 58. cikke (3) bekezdésének b) pontja alapján kiadott vélemény az uniós jog értelmében jogilag nem kötelező.

173

A GDPR (143) preambulumbekezdése megerősíti ezt az értelmezést. Az ugyanis kimondja, hogy „minden természetes vagy jogi személy számára biztosítani kell, hogy egy valamely felügyeleti hatóság által hozott és a szóban forgó személyre nézve jogkövetkezményekkel járó döntéssel szemben hatékony bírósági jogorvoslattal élhessen valamely illetékes tagállami bíróságnál. Ide tartoznak különösen a felügyeleti hatóság vizsgálati, korrekciós és engedélyezési hatásköreinek gyakorlására, illetve a panaszok megalapozatlannak tekintésére vagy elutasítására vonatkozó döntések. Mindazonáltal a hatékony bírósági jogorvoslathoz való jog nem vonatkozik a felügyeleti hatóságok által tett, jogilag kötelező erővel nem bíró intézkedéseikre, például a felügyeleti hatóság által kibocsátott véleményekre vagy az általa nyújtott tanácsra.”

174

Márpedig, mivel az adatkezelő számára adott vélemény jogilag nem kötelező, önmagában nem bizonyíthatja, hogy a kár a jelen ítélet 164. pontjában hivatkozott ítélkezési gyakorlat értelmében nem tudható be az adatkezelőnek, és ennélfogva nem is elegendő ahhoz, hogy az említett adatkezelőt a GDPR 82. cikkének (3) bekezdése alapján mentesítse a felelősség alól.

175

A 82. cikk (3) bekezdésének ilyen értelmezése megfelel a GDPR által követett azon célkitűzéseknek is, amelyek a természetes személyek magas szintű védelmének biztosítására és az e rendeletet sértő adatkezelés következtében őket ért károk hatékony megtérítésének biztosítására irányul. Ha ugyanis az adatkezelőnek elegendő lenne egy jogilag nem kötelező véleményre hivatkoznia ahhoz, hogy mentesüljön a felelősség alól, és ezzel összefüggésben a kártérítési kötelezettsége alól, ez nem ösztönözné őt arra, hogy minden tőle telhetőt megtegyen e magas szintű védelem biztosítása és az említett rendelet által előírt kötelezettségek betartása érdekében.

176

A fentiekre tekintettel a nyolcadik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (3) bekezdését úgy kell értelmezni, hogy a valamely tagállam felügyeleti hatósága által az e rendelet 58. cikke (3) bekezdésének b) pontja alapján kiadott vélemény nem elegendő ahhoz, hogy a tagállami cégnyilvántartás vezetésével megbízott és az ugyanezen rendelet 4. cikkének 7. pontja értelmében „adatkezelőnek” minősülő hatóság az említett rendelet 82. cikkének (2) bekezdése alapján mentesüljön a felelőssége alól.

177

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott: