FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

LAILA MEDINA

föredraget den 30 maj 2024(1)

Mål C‑200/23

Agentsia po vpisvaniyata

mot

OL,

ytterligare deltagare i rättegången:

Varhovna administrativa prokuratura

(begäran om förhandsavgörande från Varhoven administrativen sad (Högsta förvaltningsdomstolen) (Bulgarien))

”Begäran om förhandsavgörande – Skydd av personuppgifter – Förordning (EU) 2016/679 – Offentliggörande i handelsregistret av ett bolagsavtal som innehåller personuppgifter – Direktiv (EU) 2017/1132 – Personuppgiftsansvarig – Rätt till radering av personuppgifter”

I.      Inledning

1.        Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien) har genom sin begäran om förhandsavgörande ställt en rad frågor till domstolen vilka i saken rör förhållandet mellan bestämmelserna om offentliggörande av bolagshandlingar, vilka är samordnade på unionsnivå,(2) och förordning (EU) 2016/679(3).

2.        Begäran har framställts i ett mål mellan Agentsia po vpisvaniyata (byrå med ansvar för registreringen, Bulgarien) (nedan kallad registerbyrån) och OL som rör registerbyråns vägran att radera vissa personuppgifter om OL som finns i en handling som offentliggjorts i handelsregistret.

II.    Tillämpliga bestämmelser

A.      Unionsrätt

3.        Relevanta bestämmelser för detta förslag till avgörande är artiklarna 14 och 16 i direktiv 2017/1132, vilket har ersatt direktiv 2009/101, samt artiklarna 4–6 och 17 i dataskyddsförordningen. För att underlätta läsningen hänför jag mig i den nu aktuella bedömningen till de relevanta bestämmelsernas lydelse i dessa artiklar.

B.      Bulgarisk rätt

4.        Artikel 2 i Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (lag om handelsregistret och registret över juridiska personer med ideell verksamhet(4)), i den lydelse som är tillämplig i det nationella målet (nedan kallad registerlagen), har följande lydelse:

”(1)      Handelsregistret och registret över juridiska personer med ideell verksamhet [nedan kallade registren] utgör en samlad elektronisk databas som innehåller omständigheter som ska registreras enligt lag och handlingar som ska göras offentligt tillgängliga enligt lag, vilka avser näringsidkare och filialer till utländska näringsidkare, juridiska personer med ideell verksamhet och filialer till utländska juridiska personer med ideell verksamhet.

(2)      De omständigheter och handlingar som avses i punkt 1 ska göras offentligt tillgängliga utan sådana uppgifter som utgör personuppgifter i den mening som avses i artikel 4.1 i [dataskyddsförordningen], med undantag av de uppgifter som måste göras offentligt tillgängliga enligt lag.”

5.        Enligt artikel 6.1 i registerlagen är alla näringsidkare och alla juridiska personer med ideell verksamhet skyldiga att ansöka om registrering och härvid uppge sådana omständigheter som kräver registrering och ge in de handlingar som ska offentliggöras.

6.        Artikel 11 i denna lag har följande lydelse:

”(1)      [Registren] ska vara offentliga. Var och en har rätt att obehindrat och kostnadsfritt få tillgång till den databas som utgör registren.

(2)      [Registerbyrån] ska se till att registrerad tillgång ges till akter som rör näringsidkare eller juridiska personer med ideell verksamhet.”

7.        I artikel 13.1, 13.2, 13.6 och 13.9 i samma lag föreskrivs följande:

”(1)      Registrering, radering och offentliggörande ska ske på grundval av en ansökningsblankett.

(2)      Ansökan ska innehålla följande:

1.      Sökandens kontaktuppgifter.

…

3.      Den omständighet som ska registreras, den registrerade uppgift för vilken radering begärs eller den handling som ska offentliggöras.

(6)      Ansökan ska åtföljas av de handlingar eller, i förekommande fall, den urkund som ska offentliggöras enligt lag. Handlingarna ska ges in i original, i av sökanden bestyrkta kopior eller av notarie bestyrkta kopior. Sökanden ska även ge in bestyrkta kopior av urkunder som ska offentliggöras i handelsregistret, i vilka andra personuppgifter än de som krävs enligt lag ska vara maskerade.

…

(9)      Om ansökan eller de bifogade handlingarna innehåller personuppgifter som inte krävs enligt lag, ska de personer som har lämnat dessa uppgifter anses ha lämnat sitt samtycke till att uppgifterna behandlas av [registerbyrån] och till att de offentliggörs.”

8.        I artikel 101 led 3 i Targovski zakon (handelslagen(5)), i den lydelse som är tillämplig i det nationella målet (nedan kallad handelslagen), anges att bolagsavtalet ska innehålla ”bolagsmännens för- och efternamn, bolagsnamn och unika identifieringskod”.

9.        För registrering av ett bolag i handelsregistret krävs enligt artikel 119.1 i handelslagen bland annat att bolagsavtalet lämnas in, vilken ska offentliggöras. I artikel 119.4 anges att ”för att ändra eller komplettera bolagsavtalet i handelsregistret ska en kopia av avtalet, med alla ändringar och tillägg, vilken ska ha bestyrkts av det organ som företräder bolaget, lämnas in för att göras offentligt tillgänglig.”

III. Målet vid den nationella domstolen och tolkningsfrågorna

10.      OL är delägare i ett ”OOD”, ett aktiebolag enligt bulgarisk lag, vilket registrerades i handelsregistret den 14 januari 2021. Till ansökan om registrering bifogades bolagsavtalet, daterat den 30 december 2020, vilket hade undertecknats av delägarna (nedan kallat 2020 års bolagsavtal). Detta avtal, med OL:s för- och efternamn, identifieringsnummer, id-kortsnummer, datum och ort för id-kortets utfärdande samt permanent adress, registrerades och offentliggjordes såsom det hade getts in. Den 8 juli 2021 begärde OL att registerbyrån skulle radera hennes personuppgifter från 2020 års bolagsavtal och angav att hon, för det fall behandlingen av hennes uppgifter vilade på hennes samtycke, återkallade detta. Då registerbyrån inte besvarade hennes begäran väckte OL talan vid Administrativen sad Dobrich (Förvaltningsdomstolen i Dobrich, Bulgarien), som upphävde registerbyråns indirekta avslag på OL:s begäran och återförvisade ärendet till registerbyrån för ett nytt beslut. För att verkställa denna dom, och en analog dom avseende den andra delägaren som hade vidtagit samma åtgärd, meddelade registerbyrån i en skrivelse av den 26 januari 2022 att en bestyrkt kopia av 2020 års bolagsavtal, i vilken delägarnas personuppgifter var maskerades, med undantag för de uppgifter som krävdes enligt lag, skulle översändas till registerbyrån för att den skulle kunna radera uppgifterna (nedan kallad skrivelsen av den 26 januari 2022). Den 31 januari 2022 väckte OL återigen talan vid Administrativen sad Dobrich (Förvaltningsdomstolen i Dobrich) och yrkade att skrivelsen av den 26 januari 2022 skulle upphävas och att registerbyrån skulle förpliktas att ersätta den ideella skada som OL hade lidit till följd av skrivelsen, vilken medfört att hennes rättigheter enligt dataskyddsförordningen hade åsidosatts. Den 1 februari 2022, innan byrån delgavs nämnda talan, raderade den på eget initiativ OL:s identifieringsnummer, uppgifterna om hennes id-kort och hennes adress, men inte hennes efternamn, förnamn och namnteckning. Genom dom av den 5 maj 2022 upphävde Administrativen sad Dobrich (Förvaltningsdomstolen i Dobrich) skrivelsen av den 26 januari 2022 och förpliktade registerbyrån att ersätta OL med 500 bulgariska leva (BGN) (ungefär 255 euro), jämte lagstadgad ränta, för ideell skada i enlighet med artikel 82 i dataskyddsförordningen. I domen angavs att skadan bestod i de negativa känslor och erfarenheter som orsakats av skrivelsen, vilken utgjorde åsidosättande av rätten till radering enligt artikel 17.1 i dataskyddsförordningen och olaglig behandling av hennes uppgifter i det bolagsavtal som offentliggjorts. Registerbyrån har överklagat denna dom till den hänskjutande domstolen. Registerbyrån har i synnerhet gjort gällande att den är personuppgiftsansvarig men även mottagare av uppgifter som översänts i registreringsförfarandet och att den inte mottagit någon kopia av bolagets bolagsavtal i vilken uppgifter som inte skulle offentliggöras hade maskerats, trots att den begärt detta före registreringen av det bolag som OL var delägare i. Registrering av ett kommersiellt bolag kan inte nekas enbart på denna grund. Registerbyrån har hänvisat till ett yttrande som den nationella tillsynsmyndigheten, Komisia za zashtita na lichnite danni (kommissionen för skydd av personuppgifter, Bulgarien), avgav år 2021 enligt artikel 58.3 b i dataskyddsförordningen (nedan kallat 2021 års yttrande)(6) i vilket det anges att byrån inte får ändra innehållet i urkunder som den mottagit för registrering. OL har för sin del anfört att byrån, i egenskap av personuppgiftsansvarig, inte får lägga sin egen raderingsförpliktelse på andra personer. OL har åberopat nationell rättspraxis enligt vilken 2021 års yttrande strider mot dataskyddsförordningens bestämmelser.

11.      Under dessa förutsättningar beslutade Varhoven administrativen sad (Högsta förvaltningsdomstolen) att vilandeförklara målet och att ställa följande frågor till EU-domstolen för förhandsavgörande:

”1.      Kan artikel 4.2 i direktiv [2009/101] tolkas så, att den fastställer en skyldighet för medlemsstaterna att tillåta ett offentliggörande av en bolagsordning, vilken enligt artikel 119 i [handelslagen] ska registreras, om denna förutom bolagsmännens namn, som omfattas av det obligatoriska kravet på offentliggörande enligt artikel 2.2 i [registerlagen], även innehåller ytterligare personuppgifter? Vid besvarandet av denna fråga ska beaktas att registerbyrån enligt EU-domstolens fasta praxis är en offentlig inrättning gentemot vilken bestämmelserna i direktivet, vilka har direkt effekt, kan åberopas (dom av den 7 september 2006, Vassallo, С-180/04, ECLI:EU:C:2006:518, punkt 26 och där angiven rättspraxis).

2.      Om den första frågan ska besvaras jakande, kan det under de omständigheter som har utlöst tvisten i det nationella målet antas att registerbyråns behandling av personuppgifter är nödvändig för utförandet av en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning i den mening som avses i artikel 6.1 e i förordning 2016/679?

3.      Om de första båda frågorna ska besvaras jakande, kan en sådan nationell bestämmelse såsom artikel 13.9 i [registerlagen] anses tillåten, enligt vilken personer som tillhandahållit personuppgifter som inte är obligatoriska enligt lag i en ansökan eller i de handlingar som hänför sig till denna ansökan ska anses ha lämnat samtycke till att byrån behandlar dessa uppgifter samt till att allmänheten får tillgång till dem, utan hinder av skälen 32, 40, 42, 43 och 50 i [dataskyddsförordningen] som ett förtydligande avseende möjligheten till ett ”frivilligt offentliggörande” även av personuppgifter i den mening som avses i artikel 4.2 i direktiv 2009/101/EG?

4.      Är vid genomförandet av skyldigheten enligt artikel 3.7 i direktiv [2009/101], enligt vilken medlemsstaterna ska vidta de åtgärder som behövs för att hindra bristande överensstämmelse mellan vad som offentliggörs i enlighet med punkt 5 och vad som framgår av registret eller akten och för att beakta tredje mans intressen av att ta del av viktiga handlingar om ett bolag och att få vissa upplysningar om detta, vilka anges i skäl 3 i till detta direktiv, nationella bestämmelser tillåtna enligt vilka formella krav (ansökningshandlingar, inlämnande av kopior på handlingar där personuppgifter har dolts) uppställs för att fysiska personer ska kunna utöva sina rättigheter enligt artikel 17 i [dataskyddsförordningen] och kräva att den personuppgiftsansvarige raderar de aktuella personuppgifterna utan onödigt dröjsmål, om dessa personuppgifter utgör del av offentligt tillgängliga (offentliggjorda) handlingar som ställts till den personuppgiftsansvariges förfogande av en annan person i enlighet med liknande formella krav och denna person därigenom även har fastställt syftet med den behandling som ska genomföras?

5.      Handlar registerbyrån i den situation som ligger till grund för det nationella målet endast i egenskap av personuppgiftsansvarig i förhållande till personuppgifterna eller utgör byrån även mottagare av dessa när syftet med behandlingen av dem som del av de handlingar som ingetts för offentliggörande har fastställts av en annan personuppgiftsansvarig?

6.      Utgör en personlig namnteckning från en fysisk person en upplysning som hänför sig till en identifierad fysisk person, respektive omfattas den av begreppet personuppgifter, i den mening som avses i artikel 4.1 i [dataskyddsförordningen]?

7.      Ska begreppet ideell skada i artikel 82.1 i [dataskyddsförordningen] tolkas så, att det för att det ska anses föreligga en ideell skada krävs en märkbar nackdel och en försämring av personliga intressen som är objektivt begriplig, eller räcker det för detta ändamål att den berörde tillfälligt förlorar kontrollen över sina personuppgifter genom att de offentliggjorts i handelsregistret, utan att detta medför några märkbara eller negativa konsekvenser för den berörde?

8.      Kan det yttrande som den nationella tillsynsmyndigheten (kommissionen för skydd av personuppgifter) [år 2021] har avgett enligt artikel 58.3 b i [dataskyddsförordningen], enligt vilket registerbyrån inte har några rättsliga möjligheter eller befogenheter att självmant eller efter ansökan från den berörda personen begränsa behandlingen av redan offentliggjorda uppgifter utgöra tillåten bevisning i den mening som avses i artikel 82.3 i [dataskyddsförordningen] för att registerbyrån inte på något sätt är ansvarig för den händelse som orsakade den fysiska personen skada?”

IV.    Förfarandet vid domstolen

12.      Parterna i det nationella målet, den bulgariska, tyska, irländska, italienska, polska och finska regeringen samt kommissionen har i enlighet med artikel 23 i Europeiska unionens domstols stadga inkommit med skriftliga yttranden avseende samtliga eller några av frågorna i begäran om förhandsavgörande. Parterna i det nationella målet, den bulgariska och den irländska regeringen samt kommissionen yttrade sig också muntligen vid förhandlingen den 7 mars 2024.

A.      Bedömning

13.      På domstolens begäran är detta förslag till avgörande inriktat på den fjärde och den femte frågan, vilka jag föreslår ska besvaras tillsammans. Innan jag gör min bedömning anser jag att det är nödvändigt med några inledande anmärkningar om begäran om förhandsavgörande i dess helhet.

1.      Inledande anmärkningar

14.      Först och främst vill jag framhålla – såsom parterna i det nationella målet, kommissionen och de flesta av de medlemsstater som har yttrat sig till domstolen har konstaterat – att motiveringen till begäran om förhandsavgörande och tolkningsfrågorna – däribland den fjärde frågan – hänför sig till bestämmelserna i direktiv 2009/101. Detta direktiv har emellertid med verkan från och med den 20 juli 2017 upphävts och ersatts av direktiv 2017/1132, vilket är tillämpligt tidsmässigt på de faktiska omständigheterna i det nationella målet. I min bedömning hänför jag mig alltså fortsättningsvis enbart till det sistnämnda direktivet.

15.      Vidare ska det erinras om att direktiv 2017/1132 och särskilt artiklarna 16 och 161 i detta direktiv, i den del som är relevant för prövningen av den nu aktuella begäran om förhandsavgörande, har ändrats genom direktiv (EU) 2019/1151(7) vilket trädde i kraft den 31 juli 2019. Det är visserligen riktigt, såsom kommissionen har understrukit, att 2020 års bolagsavtal med OL:s personuppgifter skrevs in i handelsregistret före den 1 augusti 2021, den sista dagen för införlivande av direktiv 2019/1151.(8) En del av de faktiska omständigheterna inträffade emellertid efter denna dag, däribland registerbyråns översändande av skrivelsen av den 26 januari 2022, registerbyråns radering ex officio av vissa av dessa uppgifter samt det nya offentliggörandet av vissa av dessa uppgifter, vilket motparten i det nationella målet har redogjort för i sitt skriftliga yttrande. Det är därmed inte uteslutet att det är den version av direktiv 2017/1132 som gäller enligt direktiv 2019/1151, som är tillämplig tidsmässigt i det nationella målet, vilket det ankommer på den hänskjutande domstolen att fastställa. Jag hänför mig därför fortsättningsvis till denna version.

16.      Redan här vill jag emellertid klargöra att de ändringar som infördes genom direktiv 2019/1151 i sig endast har en begränsad inverkan på frågan hur den myndighet i en medlemsstat som ansvarar för företagsregistret ska säkerställa skyddet av personuppgifter när den utför sina uppgifter. Däremot är det viktigt att understryka att detta direktiv på ett allmänt plan syftar till att stärka och befästa användningen av digitala verktyg och processer vid insamling och hantering av informationsflöden rörande bolag, vilket medför att tillgången till de personuppgifter som finns i informationen ökar, liksom risken för intrång i rätten till skydd av sådana uppgifter och intrångens skadlighet.(9) En sådan digitaliseringsprocess,(10) i kombination med att sådan information blir allt mer tillgänglig över gränserna, vilket även varit unionslagstiftarens avsikt,(11) kräver särskild uppmärksamhet när målen om rättssäkerhet och skydd för tredje mans rättigheter – vilka som framgår nedan ligger bakom offentlighetsreglerna för bolag – ska vägas mot de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter.(12)

17.      Inledningsvis vill jag också framhålla att det nationella målet rör borttagning av personuppgifter i en medlemsstats handelsregister, vilka personuppgifter inte behöver offentliggöras vare sig enligt direktiv 2017/1132 eller den berörda medlemsstatens lagstiftning, och den nationella registeransvariga myndighetens ansvar för ideell skada som orsakats av vägran att skyndsamt och ovillkorligt efterkomma en begäran om radering av sådana uppgifter. Det nationella målet avser däremot inte direkt frågan om vilka skyldigheter som en sådan myndighet har med avseende på skyddet för personuppgifter när ett bolags bolagsavtal, med uppgifter som inte behöver offentliggöras, förs in i handelsregistret. Frågan kan emellertid utläsas mellan raderna, såsom framgår av det faktum att många av de medlemsstater som yttrat sig har ägnat en stor del av sina yttranden åt denna fråga och föreslagit en radikal omformulering av vissa eller samtliga av de fyra första frågorna i begäran om förhandsavgörande. Jag berör vissa aspekter av denna fråga i den fortsatta bedömningen, men håller mig till de begränsningar som följer av saken i det nationella målet och de frågor som detta förslag till förhandsavgörande är inriktat på.

2.      Den fjärde och den femte tolkningsfrågan

18.      Den nationella domstolen har ställt den fjärde tolkningsfrågan, vars tillåtlighet har bestritts av den bulgariska regeringen, för att få klarhet i huruvida direktiv 2017/1132 ska tolkas så, att det är tillåtet med särskilda formella krav för att en fysisk person, i det nu aktuella fallet delägarna i ett aktiebolag som omfattas av direktivet,(13) ska ha rätt att få sina personuppgifter raderade ur handelsregistret vilka, samtidigt som de inte hör till den information som ska offentliggöras enligt nationell rätt, finns i bolagets bolagsavtal vilket gjordes offentligt tillgängligt i samband med att det fördes in i registret. Den hänskjutande domstolen har ställt den femte tolkningsfrågan för att EU-domstolen i stället ska klargöra huruvida den myndighet som ansvarar för handelsregistret, i fråga om sådana uppgifter handlar i egenskap av ”personuppgiftsansvarig” enligt artikel 4 led 7 i dataskyddsförordningen eller om den även är ”mottagare” av de uppgifter som den behandlar, i den mening som avses i artikel 4 led 9 i förordningen, eftersom ändamålet med behandlingen av uppgifterna har fastställts tidigare av tredje man.

19.      Jag anser, såsom anges ovan, att de båda frågorna bör behandlas tillsammans. De olika frågeställningar som frågorna ger upphov till tas upp i följande ordning: Efter en kortfattad översikt över räckvidden av de skyldigheter avseende offentlighet för bolag som avses i bilaga II till direktiv 2017/1132 granskar jag först frågan om personuppgiftsansvarig för personuppgifter i handlingar som lämnas in för obligatoriskt offentliggörande i samband med ett bolags inskrivning i en medlemsstats handelsregister när de berörda uppgifterna, som i det nu aktuella fallet, inte behöver offentliggöras vare sig enligt den harmoniserade unionsrätten eller den berörda medlemsstatens lagstiftning. Sedan tar jag upp frågan vilken rättslig grund som gäller för behandlingen av sådana uppgifter i det nu aktuella fallet. Därefter ägnar jag mig åt frågan huruvida de berörda personerna, när uppgifter redan har offentliggjorts till följd av att en handling där de anges har offentliggjorts, har rätt till radering enligt artikel 17 i dataskyddsförordningen. Slutligen tar jag, för det fjärde, upp frågan huruvida en sådan rätt får underordnas sådana formella krav som angetts av den hänskjutande domstolen.

20.      Innan jag kommer in på min bedömning ska emellertid den bulgariska regeringen få svar på sitt bestridande av att den fjärde tolkningsfrågan kan tas upp till sakprövning. Nämnda regering anser att den fjärde tolkningsfrågan i saken rör frågan om en nationell lagstiftning som ännu inte har antagits är förenlig med artikel 16.7 i direktiv 2017/1132 – i den version som föregick de ändringar som gjordes genom direktiv 2019/1151. Frågan är alltså hypotetisk till sin natur. Jag vill i detta avseende framhålla att den hänskjutande domstolen i sista instans ska uttala sig om lagligheten av registerbyråns vägran att radera vissa personuppgifter om motparten i en handling som offentliggjordes efter det att den förts in i handelsregistret, liksom om följderna av denna vägran. Härvid ska den hänskjutande domstolen bland annat bedöma, mot bakgrund av direktiv 2017/1132 och dataskyddsförordningen, huruvida en sådan vägran kan vara motiverad på grund av att akten i ärendet inte innehåller någon bestyrkt kopia av handlingen, i vilken personuppgifterna i fråga har maskerats. Det begärda förhandsavgörandet är alltså nödvändigt för att den hänskjutande domstolen ska kunna avgöra det aktuella målet. Det framgår också klart och tydligt av beslutet om hänskjutande, trots den tvetydiga formuleringen av den fjärde tolkningsfrågan, att frågans syfte inte är att få ett utlåtande om förenligheten med unionsrätten av en nationell lagstiftning som ännu inte har antagits, utan att EU-domstolen ska lämna de upplysningar som den hänskjutande domstolen behöver för att lösa tvisten i det mål den ska avgöra. Jag menar alltså att den fjärde tolkningsfrågan kan tas upp till sakprövning.

3.      Kortfattad översikt över räckvidden av skyldigheten att offentliggöra handlingar och uppgifter avseende bolag som avses i bilaga II till direktiv 2017/1132

21.      I artikel 14 i direktiv 2017/1132 föreskrivs att medlemsstaterna för de bolagsformer som anges i bilaga II till direktivet ska offentliggöra ”minst” de handlingar och uppgifter som anges där. Bland de handlingar som ska offentliggöras nämns i artikel 14 a–c, ”Stiftelseurkunden och, om den har tagits in i en särskild handling, bolagsordningen” samt ändringar av dessa handlingar. Enligt artikel 4 i i direktivet inbegriper de uppgifter som ska tillhandahållas i bolagsordningen eller i stiftelseurkunden eller i särskild handling, identiteten hos de fysiska eller juridiska personer eller bolag av vilka eller i vilkas namn bolagsordningen eller stiftelseurkunden har undertecknats. I artikel 14 d anges, bland de uppgifter som ska offentliggöras, ”Tillsättande och entledigande av samt personuppgifter om dem som i egenskap av i lagstiftningen föreskrivet bolagsorgan eller som medlemmar i ett sådant organ … är behöriga att företräda bolaget mot tredje man och i rättegång” och/eller ”deltar i ledning, tillsyn eller kontroll av bolaget.” Enligt artikel 16.2 i direktiv 2017/1132, i dess lydelse enligt direktiv 2019/1151, ska alla handlingar och all information som är offentlig enligt artikel 14 förvaras i den akt som avses i artikel 14.1 och som lagts upp i ett centralt handels- eller företagsregister, eller föras in direkt i registret.(14) I artikel 16.3 och 16.4 i direktivet, i dess lydelse enligt direktiv 2019/1151, anges att medlemsstaterna ska säkerställa att offentliggörandet av handlingar och information som avses i artikel 14 i direktivet sker genom att de görs offentligt tillgängliga i registret. Medlemsstaterna får också kräva att vissa eller alla handlingar och viss eller all information offentliggörs i en nationell officiell tidning som utsetts för detta ändamål, eller på ett lika effektivt sätt. Medlemsstaterna ska vidta alla åtgärder som är nödvändiga för att hindra bristande överensstämmelse mellan det som framgår av registret och akten samt mellan det som offentliggörs i registret och det som offentliggörs i den officiella tidningen.

22.      Följande påpekanden kan göras med avseende på de ovan angivna kraven i direktiv 2017/1132.

23.      I direktivet 2017/1132 föreskrivs för det första att hela stiftelseurkunden för ett bolag, och alla ändringar i denna, ska offentliggöras och göras tillgänglig i registret.(15)

24.      Vad beträffar bolag som avses i bilaga II till direktivet föreskrivs för det andra i direktivet att endast uppgifter om vissa personkategorier ska offentliggöras och göras tillgängliga genom registret, bland annat personer som är behöriga att företräda bolaget eller som deltar i ledning, tillsyn eller kontroll av bolaget. Enligt artikel 4 i i direktivet ska även identiteten hos de fysiska personer som har undertecknat bolagets bolagsavtal offentliggöras.

25.      Dessa uppgifter, som avser identifierade eller identifierbara fysiska personer, utgör för det tredje ”personuppgifter” enligt artikel 4.1 i dataskyddsförordningen.(16)

26.      För det fjärde innehåller de ovan angivna bestämmelserna i direktiv 2017/1132 endast minimikrav i fråga om offentliggörande av handlingar och uppgifter som rör bolag. Det ankommer således på medlemsstaterna att särskilt fastställa vilka kategorier av uppgifter om identiteten hos de personer som avses i artiklarna 4 i och 14 d som ska offentliggöras. Det står också medlemsstaterna fritt att föreskriva att andra handlingar eller andra uppgifter ska offentliggöras, vilka i förekommande fall kan avse andra kategorier av personer. Det säger sig självt att de i ett sådant fall är skyldiga att iaktta samtliga unionsrättsliga bestämmelser, särskilt principerna i artiklarna 8 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och dataskyddsförordningens bestämmelser.

4.      Personuppgiftsansvarig

27.      I artikel 4.7 i dataskyddsförordningen ges en vid definition av begreppet ”personuppgiftsansvarig”. Med begreppet avses fysiska eller juridiska personer, offentliga myndigheter, institutioner eller andra organ som ensamma eller tillsammans med andra ”bestämmer ändamålen och medlen för behandlingen” av personuppgifter. Syftet med denna vida definition är att i överensstämmelse med dataskyddsförordningens syfte säkerställa ett effektivt skydd för fysiska personers grundläggande fri- och rättigheter och, i synnerhet, en hög skyddsnivå för envars rätt till skydd av de personuppgifter som rör honom eller henne.(17) Begreppet ”behandling” har också definierats brett.(18) I artikel 4 led 2 i dataskyddsförordningen anges att behandling är ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”.

28.      Det framgår av domen i målet Manni att den myndighet som ansvarar för registret genom att föra in och förvara uppgifter om identiteten hos de personer som anges i artikel 14 d i direktiv 2017/1132 i handelsregistret, och lämna ut dessa, genomför en ”behandling av personuppgifter” för vilken denne är ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 2 och 7 i dataskyddsförordningen. Detsamma gäller naturligtvis när registreringen, lagringen och överföringen avser andra personuppgifter än de som uttryckligen nämns i direktivet, om det enligt lagstiftningen i en medlemsstat krävs att sådana uppgifter ska offentliggöras.

29.      I det nu aktuella målet uppkommer emellertid frågan huruvida en sådan myndighet, i detta fall registerbyrån, är ansvarig för ett offentligt tillgängliggörande av personuppgifter som inte behöver offentliggöras vare sig enligt direktiv 2017/1132 eller den berörda medlemsstatens nationella rätt, i detta fall bulgarisk rätt, men som finns i en handling som ska registreras och offentliggöras.

30.      Jag menar att frågan ska besvaras jakande.

31.      OL:s personuppgifter gjordes nämligen offentligt tillgängliga i handelsregistret i samband med att registerbyrån utövade sina befogenheter som registeransvarig myndighet. Såsom anges ovan anges i bulgarisk rätt att en ansökan om registrering av ett bolag i detta register ska åtföljas av originalet eller en bestyrkt kopia av de handlingar som ska offentliggöras, däribland bolagsavtalen, som registerbyrån är skyldig att göra offentligt tillgänglig. Ändamålen med och medlen för den behandling av personuppgifter som registerbyrån utför i sitt uppdrag fastställs också i bulgarisk rätt och i unionsrätten, vilken, som framgår ovan, har inneburit en tillnärmning av medlemsstaternas lagstiftning om offentlighet för bolag. I och med att registerbyrån är den myndighet som ansvarar för behandlingen av personuppgifter som finns i handlingarna i handelsregistret i enlighet med de ändamål och medel som fastställs i bulgarisk lagstiftning och unionslagstiftning, måste den anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4.7 i dataskyddsförordningen. En liknande slutsats drogs nyligen av domstolen, i fråga om ett nationellt organ som enligt lag ansvarade för en medlemsstats officiella tidning, i domen av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning)(19).

32.      Denna slutsats påverkas inte av den omständigheten att uppgifterna i 2020 års bolagsavtal i det nu aktuella fallet inte hör till de uppgifter som enligt bulgarisk rätt ska göras offentligt tillgängliga. I domen i målet État belge godtog domstolen indirekt att identifieringen av den personuppgiftsansvarige inte påverkas av en sådan omständighet. I det mål som avgjordes med den domen avsåg tvisten, precis som i det mål som ligger till grund för den nu aktuella begäran om förhandsavgörande, uppgifter som enligt lagstiftningen i den berörda medlemsstaten inte behövde göras offentligt tillgängliga. Det anges också uttryckligen i artikel 13.9 i registerlagen att om sökanden inte lämnar in en bestyrkt kopia av den handling som ska offentliggöras, i vilken personuppgifter som inte erfordras har maskerats, ska myndigheten behandla dem och göra dem offentligt tillgängliga med stöd av ett förmodat underförstått samtycke. Även under sådana omständigheter anges således uttryckligen i den bulgariska lagstiftningen att registerbyrån är personuppgiftsansvarig.

33.      Under dessa omständigheter kan jag inte ansluta mig till registerbyråns påstående i dess skriftliga yttrande, att om sökanden inte maskerar uppgifter som inte krävs enligt lag i handlingar som sökanden översänder för införande i registret, blir sökanden själv ansvarig för den behandling som består i att handlingarna görs tillgängliga online i detta register. Oavsett om samtycke till att sådan information offentliggörs kan anses ha lämnats med hjälp av den presumtion som föreskrivs i artikel 13.9 i registerlagen, kan förekomsten av ett sådant samtycke nämligen inte påverka identifieringen av den personuppgiftsansvarige, utan enbart behandlingens laglighet.

34.      Det är inte heller relevant, vad som också har framhållits av registerbyrån, att handlingar som ges in i samband med en ansökan om inskrivning i handelsregistret inte är strukturerade eller maskinläsbara, till skillnad från de digitala fälten i registret, vilka fylls i av den tjänsteman som gör inskrivningen och motsvarar den rättsliga definitionen av ”register” i bulgarisk rätt. Registerbyrån är nämligen den myndighet som enligt bulgarisk rätt ansvarar för handelsregistret och följaktligen är ansvarig för all behandling av personuppgifter som offentliggjorts i registret, oavsett om dessa uppgifter finns i en handling som åtföljer ansökan eller om de har kodats av en tjänsteman vid byrån. Även om registerbyrån inte själv omvandlar handlingar som den mottar till digitalt format, är den således ändå ansvarig för offentliggörandet av handlingarna, och av uppgifterna i handlingarna, genom registret. Inom ramen för sitt uppdrag av allmänt intresse samlar registerbyrån mer allmänt in, registrerar, lagrar, organiserar och ordnar alla uppgifter och handlingar som den mottar i en strukturerad databas, vilken erkänns som en tillförlitlig och autentisk informationskälla.

35.      Slutligen påverkas inte kvalificeringen av registerbyrån som personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen av det faktum att registerbyrån inte kontrollerar personuppgifterna i de elektroniska bilderna av eller i originalen på papper av de handlingar som översänds för registrering innan de läggs ut på nätet, och inte heller av att den inte kan ändra eller korrigera dessa uppgifter. Jag erinrar i detta avseende om att domstolen redan har haft tillfälle att underkänna ett liknande resonemang i domen i målet État belge, i vilken det var fråga om ett offentliggörande i en medlemsstats officiella tidning av handlingar och dokument som tagits fram av tredje man, sedan getts in till en rättslig myndighet och översänts till det organ som ansvarade för den officiella tidningen för att offentliggöras. I punkt 38 i den domen påpekade domstolen att offentliggörande av sådana rättsakter och handlingar utan möjlighet till kontroll eller ändring av deras innehåll hade ett nära samband med en officiell tidnings uppgift att informera allmänheten om förekomsten av dessa rättsakter och handlingar i enlighet med tillämplig nationell rätt, för att de skulle kunna göras gällande mot tredje man. Domstolen angav också att det skulle strida mot syftet med artikel 4 led 7 i dataskyddsförordningen, vilket är att säkerställa ett effektivt och komplett skydd för fysiska personer med avseende på behandling av personuppgifter, att utesluta en medlemsstats officiella tidning från definitionen av ”personuppgiftsansvarig” med motiveringen att den inte utövar kontroll över sådana uppgifter. Liknande överväganden gäller i tillämpliga delar för offentliggörandet av handlingar och dokument i medlemsstaternas företagsregister. Precis som var fallet med Moniteur belge i ovan angiven dom är det registerbyrån som, även om det är riktigt att den måste offentliggöra den berörda rättsakten som sådan, ensam ansvarar för denna uppgift och offentliggör den.(20)

36.      Här uppkommer frågan huruvida byrån ska betraktas som ensam ansvarig för behandlingen av de omtvistade uppgifterna och därmed för iakttagandet av de principer som avses i artikel 5.1 i dataskyddsförordningen, eller om den delar detta ansvar med sökanden, som handlar för bolagets räkning, på grund av att sökanden inte har översänt en kopia av 2020 års bolagsavtal till registerbyrån, i vilken nämnda uppgifter har redigerats bort.

37.      I detta avseende erinrar jag först och främst om att det anges i artikel 26.1 i dataskyddsförordningen att två eller fler personer kan vara gemensamt personuppgiftsansvariga och att deras respektive skyldigheter kan fastställas gemensamt av dem eller fastställas genom ett inbördes arrangemang, eller genom unionsrätten eller den medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av.(21) Domstolen har i detta avseende klargjort att den omständigheten att flera organ har deltagit i bestämmandet av ändamål och medel för en behandling av personuppgifter innebär att organen får ställning som ”gemensamt personuppgiftsansvariga”.(22) Om detta inte har skett gemensamt är det däremot uteslutet att de har ett gemensamt ansvar, och de olika aktörerna måste då betraktas som oberoende och personuppgiftsansvariga den ena efter den andra. Som Europeiska datatillsynsmannen har påpekat bör utbyte av samma uppgifter eller uppsättning av uppgifter mellan två enheter, utan att de gemensamt har bestämt ändamålen med eller medlen för behandlingen, betraktas som en överföring av data mellan olika personuppgiftsansvariga.(23)

38.      Den enda omständigheten att byrån samtidigt är ”personuppgiftsansvarig” enligt artikel 4 led 7 i dataskyddsförordningen och ”mottagare” i den mening som avses i led 9 i samma artikel, på grund av att den mottar personuppgifter som finns i urkunder och handlingar som bifogas en ansökan om inskrivning i företagsregistret, innebär således inte att det kan uteslutas att den ensam är ansvarig för att göra uppgifterna offentligt tillgängliga. När uppgifter som finns i handlingar som ges in till registerbyrån görs offentligt tillgängliga och lagras, utgör detta, precis som när de omvandlas till digitalt format, en separat och senare behandling jämfört med sökandens översändande av uppgifter som görs för registreringen av bolaget. Det är byrån ensam som utför all sådan behandling inom ramen för sitt allmänna uppdrag och i enlighet med de ändamål och krav som fastställts i bulgarisk rätt.(24)

39.      Domstolen angav förvisso i domen i målet État belge(25) att det är tillräckligt att en person, för sina egna syften, inverkar på behandlingen av personuppgifter och därigenom deltar i bestämmandet av ändamålen med och medlen för behandlingen för att kunna hållas gemensamt ansvarig för behandlingen.(26) I det nu aktuella fallet framgår det emellertid av de handlingar i målet som domstolen förfogar över att ändamålen och medlen för behandlingen av uppgifter i de handlingar som ska göras offentligt tillgängliga genom företagsregistret enbart fastställts i lag. De personer som för bolagets räkning laddar upp handlingar och uppgifter som enligt lag ska offentliggöras i registrets databas(27) har inget inflytande över detta fastställande och kan därmed inte betraktas som ansvariga – lika lite som bolaget självt – för den senare behandlingen av uppgifter som de lämnar till registerbyrån, däribland offentliggörandet av uppgifterna genom registrets elektroniska databas. När dessa personer översänder handlingar som ska offentliggöras till registerbyrån och behandlar uppgifterna i dessa handlingar, eftersträvar de sina egna ändamål, nämligen att uppfylla de formella kraven för bolagets registrering, vilka skiljer sig från de allmänna ändamål som tilldelats registret och som registerbyrån eftersträvar när den gör sådana handlingar offentligt tillgängliga.(28)

40.      I domen i målet État belge medgav domstolen också att vid en kedja av behandlingar som utförs av olika personer eller enheter och som rör samma personuppgifter, får ändamålen och medlen för all behandling som dessa olika personer eller enheter i tur och ordning utför således bestämmas av nationell rätt, så att dessa ska anses gemensamt personuppgiftsansvariga.(29) Enligt artikel 26.1 jämförd med artikel 4 led 7 i dataskyddsförordningen får ett gemensamt ansvar för flera aktörer i en kedja av behandlingar avseende samma personuppgifter således fastställas i nationell rätt, under förutsättning att de olika behandlingsåtgärderna förenas av ändamål och medel som fastställs i nationell rätt och att de skyldigheter som åligger var och en av de gemensamt personuppgiftsansvariga fastställs, direkt eller indirekt, i nationell rätt.(30) Jag menar att så inte är fallet med artikel 13.6 och 13.9 i registerlagen, där det endast fastställs under vilka förutsättningar den berörda personen enligt bulgarisk lagstiftning ska anses ha samtyckt till att personuppgifter som inte behöver offentliggöras, offentliggörs i handelsregistret. Bestämmelsen syftar nämligen inte till att fastställa ett gemensamt ansvar för sökanden för den fortsatta behandlingen av dessa uppgifter, utan snarare att ange en laglighetsgrund för den behandling som utförs av registerbyrån. De enskilda syften som eftersträvas av bolaget skiljer sig också som understryks ovan från de allmänna ändamål som eftersträvas av registerbyrån, vilket innebär att de villkor som enligt domen i målet État belge ska ställas upp för att det ska kunna anses fastställt genom bulgarisk rätt att de, i egenskap av aktörer i en ”kedja av behandlingar avseende samma personuppgifter”, är gemensamt ansvariga, enligt min uppfattning inte är uppfyllda.

41.      Med stöd av vad allt det ovan anförda, anser jag att artikel 4 led 7 och artikel 26.1 i dataskyddsförordningen ska tolkas så, att den myndighet som är ansvarig för ett handelsregister i en medlemsstat och som enligt lagstiftningen i denna stat ska offentliggöra handlingar som översänds till myndigheten i samband med en ansökan om inskrivning av ett bolag i detta register, är ensam ansvarig för att personuppgifter i dessa handlingar görs offentligt tillgängliga, även om det rör sig om uppgifter som inte behöver offentliggöras och vilka enligt medlemsstatens lagstiftning borde ha maskerats i handlingarna innan de översändes till nämnda myndighet.

5.      Grund för behandlingens laglighet

42.      All behandling av personuppgifter ska stå i överensstämmelse med de principer som anges i artikel 5.1 i dataskyddsförordningen och uppfylla de villkor som anges i artikel 6 i samma förordning,(31) där en uttömmande och begränsande uppräkning ges av de fall där sådan behandling kan anses vara laglig.(32) Enligt artikel 6.1 första stycket a i dataskyddsförordningen är behandling av personuppgifter laglig om och i den utsträckning som den registrerade har lämnat sitt samtycke till detta för ett eller flera särskilda ändamål. Har något sådant samtycke inte lämnats eller har samtycket inte lämnats på ett frivilligt, specifikt, informerat och otvetydigt sätt, antingen genom ett uttalande eller genom en entydig bekräftande handling, i den mening som avses i artikel 4 led 11 i dataskyddsförordningen, är behandlingen trots detta laglig om den uppfyller någon av nödvändighetsgrunderna i artikel 6.1 första stycket b-f, vilka ska tolkas restriktivt.(33)

43.      I det nu aktuella fallet är det uppenbart att presumtionen om samtycke i artikel 13.9 i registerlagen inte uppfyller villkoren i artikel 6.1 första stycket a i dataskyddsförordningen, jämförd med artikel 4 led 11 i samma förordning.(34) Därmed ska det undersökas huruvida en sådan behandling av personuppgifter som den som är i fråga i det nationella målet uppfyller någon av de grunder som anges i artikel 6.1 första stycket i förordningen.

44.      Det framgår av domen i målet Manni att behandling av personuppgifter som utförs av den registeransvariga myndigheten vid genomförandet av unionsrättsakter som samordnar nationella bestämmelser i fråga om offentliggörande av bolagshandlingar uppfyller de laglighetsvillkor som föreskrivs i artikel 6.1 första stycket c och e i dataskyddsförordningen, den förstnämnda avseende fullgörande av en rättslig förpliktelse som åvilar den personuppgiftsansvarige och den andra, utförande av en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Jag gör alltså min bedömning i förhållande till dessa två grunder.

45.      Vad först beträffar grunden i artikel 6.1 första stycket c i dataskyddsförordningen, ska jag först och främst undersöka huruvida det offentliga tillgängliggörandet i handelsregistret av de personuppgifter som är i fråga i det nationella målet, vilka inte är sådana uppgifter som ska offentliggöras enligt direktiv 2017/1132 eller enligt bulgarisk rätt, var motiverat av kravet på offentliggörande av de handlingar akter som avses i artikel 14 i detta direktiv och därmed nödvändigt för fullgörandet av en rättslig förpliktelse som följer av unionsrätten.

46.      Enligt artikel 16.3 i nämnda direktiv ska medlemsstaterna se till att dessa handlingar görs offentligt tillgängliga i det register som anges i punkt 1 första stycket i samma artikel. Den tyska, irländska och polska regeringen anser att de registeransvariga myndigheterna enligt denna artikel, jämförd med ovan angiven artikel 14, ska offentliggöra nämnda handlingar såsom de mottar dem. Därmed är de skyldiga att behandla alla personuppgifter som de innehåller, inbegripet sådana uppgifter som inte krävs enligt unionsrätten eller enligt tillämplig nationell rätt.

47.      Jag delar inte denna tolkning. I direktiv 2017/1132 föreskrivs nämligen att vissa väsentliga bolagshandlingar ska offentliggöras och att detta ska ske genom registret, men direktivet ställer inga krav på en systematisk behandling av alla personuppgifter i sådana handlingar, även om en sådan behandling skulle strida mot bestämmelserna i dataskyddsförordningen. Tvärtom anges det i artikel 161 i direktivet, i dess lydelse enligt direktiv 2019/1151, såsom erinras om ovan, att all behandling av personuppgifter som sker inom ramen för direktivet ska omfattas av denna förordning. Därmed ankommer det på medlemsstaterna att göra en avvägning mellan målen om rättssäkerhet och skydd för tredje mans intressen, vilka, såsom framgår nedan, ligger bakom reglerna i fråga om offentliggörande av bolagshandlingar, och den grundläggande rätten till respekt för personuppgifter.

48.      Jag ska vidare undersöka huruvida det var nödvändigt för att fullgöra en rättslig förpliktelse enligt bulgarisk rätt att offentliggöra de uppgifter som är aktuella i det nationella målet i handelsregistret. Här ska det erinras om att det anges i artikel 2.2 i registerlagen att handlingar som ska föras in i handelsregistret ”ska offentliggöras utan uppgifter som utgör personuppgifter i den mening som avses i artikel 4.1 i [dataskyddsförordningen], med undantag av de uppgifter som måste offentliggöras enligt lag.” Lagligheten av den behandling av uppgifter som är i fråga i det nationella målet tycks således inte kunna vila på en ”rättslig förpliktelse”, i den mening som avses i artikel 6.1 första stycket c i dataskyddsförordningen, som registerbyrån skulle ha haft enligt bulgarisk rätt, något som för övrigt förefaller bekräftas av den samtyckespresumtion som införts genom artikel 13.9 i registerlagen. Det ankommer emellertid på den nationella domstolen, som ensam är behörig att tolka den nationella lagstiftningen, att uttala sig i denna fråga. Jag vill bara påpeka att den enda omständigheten, som registerbyrån anfört, att den i avsaknad av kopia där personuppgifter som inte krävs enligt lag var maskerade, var tvungen att offentliggöra handlingen såsom den hade översänts, enligt min uppfattning inte är tillräcklig för att det ska vara fråga om en ”rättslig förpliktelse” i den mening som avses i artikel 6.1 första stycket c i dataskyddsförordningen, eftersom ett sådant offentliggörande i princip är uteslutet enligt lag och endast företas av registerbyrån med stöd av ett presumerat samtycke.(35) Här är det viktigt att understryka att det ankommer på personuppgiftsansvarig att försäkra sig om att den personuppgiftsbehandling som den utför är laglig med avseende på de villkor som anges i artikel 6.1 första stycket a–f i förordningen.(36)

49.      Vad sedan beträffar den grund som förts in i artikel 6.1 första stycket e i dataskyddsförordningen och som både den hänskjutande domstolen och flertalet av de medlemsstater som inkommit med yttranden i detta förfarande har hänvisat till, vill jag erinra om att domstolen redan har slagit fast att en myndighets verksamhet, som består i att i en databas förvara uppgifter som bolagen enligt lag är skyldiga att lämna till myndigheten, att ge intresserade personer möjlighet att ta del av dessa uppgifter och tillhandahålla dem kopior av uppgifterna, utgör myndighetsutövning(37) och en uppgift av allmänt intresse i den mening som avses i denna bestämmelse.(38) Såsom generaladvokaten Bot angav i sitt förslag till avgörandet in målet Manni, är syftet med införande och offentliggörande i handels- och företagsregister av viktiga uppgifter avseende bolag att inrätta en tillförlitlig informationskälla för att säkerställa rättssäkerhet, vilket krävs för att skydda tredje mans intressen, särskilt borgenärernas intressen, främja skäliga affärsmetoder och följaktligen uppnå en välfungerande inre marknad.(39) Att alla relevanta personuppgifter lagras i dessa register och är tillgängliga för tredje man bidrar också, såsom domstolen har understrukit, till att främja utbyten mellan medlemsstaterna, även med avseende på utveckling av den inre marknaden.(40)

50.      I det nu aktuella fallet uppkommer frågan huruvida dessa mål och laglighetsgrunden i artikel 6.1 första stycket e i dataskyddsförordningen kan göras gällande med avseende på registerbyråns offentliga tillgängliggörande av de personuppgifter som är i fråga i det nationella målet, vilka inte hör till de uppgifter som ska offentliggöras vare sig enligt unionsrätten eller enligt bulgarisk rätt.

51.      I artikel 6.3 i dataskyddsförordningen, jämförd med skäl 45 i förordningen, föreskrivs med avseende på sådan laglig behandling som avses i punkt 1 första stycket e i artikeln, att behandlingen ska ske på grundval av unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, och att denna rättsliga grund ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.(41) Inget av dessa krav – om vilka domstolen har klargjort att de utgör ett uttryck för de krav som följer av artikel 52.1 i stadgan(42) – tycks uppfyllt i det nu aktuella målet, vilket rör en behandling av personuppgifter som, även om den görs i samband med utförandet av en uppgift av allmänt intresse i den mening som avses i artikel 6.1 första stycket e i dataskyddsförordningen, i princip inte betraktas som nödvändig för utförandet av denna uppgift enligt tillämplig nationell lagstiftning, och inte heller för ändamål som fastställts för handelsregistret, och som endast är tillåten med stöd av ett presumerat samtycke från den berörda personen.

52.      Mer allmänt ska det understrykas att ett offentliggörande av personuppgifter som inte krävs enligt unionsrätten eller av lagstiftningen i den berörda medlemsstaten inte tjänar något av de syften som anges ovan i punkt 49,(43) vilka i sig motiverar intrånget i de berörda personernas rätt till respekt för privatlivet och skydd för personuppgifter enligt artiklarna 7 och 8 i stadgan.(44) Såsom domstolen underströk i domen i målet Manni är det också på grund av den omständigheten att det i princip endast är ett begränsat antal personuppgifter som måste offentliggöras – det vill säga uppgifter som rör identiteten och ställningen hos de personer som är behöriga att företräda bolaget och som därmed är nödvändiga för att skydda tredje mans intressen – som ett sådant intrång inte anses vara oproportionerligt.(45)

53.      Den bulgariska regeringen och registerbyrån har anfört att den behandling som är i fråga i det nationella målet enligt bulgarisk rätt grundar sig på kravet att väsentliga bolagshandlingar ska offentliggöras, att deras integritet och tillförlitlighet ska bevaras och att registerbyrån inte ska hindras från att utföra sin uppgift av allmänt intresse. För det fall den hänskjutande domstolen kommer fram till samma slutsats, har den fortfarande att se till att proportionalitetsprincipen iakttas. Enligt proportionalitetsprincipen ska inskränkningar i den grundläggande rätten till respekt för personuppgifter göras inom gränsen för vad som är strikt nödvändigt.(46) Detta krav på nödvändighet är inte uppfyllt när ett mål av allmänintresse rimligen kan uppnås på ett lika effektivt sätt genom andra medel som i mindre utsträckning inskränker denna rätt.(47) Artikel 5.1 c i dataskyddsförordningen föreskriver att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas och kräver att medlemsstaterna ska iaktta principen om ”uppgiftsminimering”, vilket får ses som ett uttryck för proportionalitetsprincipen.(48)

54.      Målet att säkerställa att väsentliga bolagshandlingar offentliggörs tycks rimligen kunna uppnås genom förfaranden som gör det möjligt att dölja personuppgifter som inte behöver göras offentlig tillgängliga innan handlingarna offentliggörs. Dessa förfaranden kan innefatta en skyldighet för registerbyrån att tillfälligt avbryta bolagets registrering för att möjliggöra ändringar i handlingar som innehåller sådana uppgifter eller att radera sådana uppgifter, vid behov på eget initiativ.

55.      Jag anser inte att det resonemang som förts av flera av de medlemsstater som har yttrat sig i det nu aktuella förfarandet kan vinna framgång, att sådana förfaranden om de införs riskerar att fördröja handläggningen av ansökningar om registrering i företagsregistret, vilket skulle vara till förfång inte minst för delägarnas intressen, eller att de skulle bli alltför betungande för de nationella myndigheterna. Dessa förfaranden är nämligen nödvändiga för att de intressen som tillgodoses genom offentliggörandet av bolagshandlingar ska kunna förenas med den grundläggande rätten till respekt för personuppgifter, i synnerhet som jag understryker ovan i punkt 16, när de aktuella personuppgifterna är avsedda att göras offentligt tillgängliga i en digital miljö. Förfarandena skulle också kunna bygga på verktyg för sökning och identifiering av uppgifter som kan underlätta myndigheternas uppgift och utformas på ett sådant sätt att det först ankommer på sökandena att maskera personuppgifter som inte ska offentliggöras, såsom för övrigt föreskrivs i bulgarisk rätt.

56.      Vad gäller kravet att man måste bevara integriteten och tillförlitligheten hos de bolagshandlingar som ska offentliggöras och som översänts för införande i företagsregistret – vilket även har nämnts av den bulgariska regeringen och registerbyrån liksom av flertalet av de medlemsstater som har yttrat sig i förfarandet – vilket innebär att handlingarna måste offentliggöras såsom de har översänts till de registeransvariga myndigheterna, menar jag att det inte systematiskt får ges företräde framför den grundläggande rätten till skydd för personuppgifter, vilket skydd i annat fall skulle bli rent illusoriskt.

57.      Jag är i själva verket benägen att anse att detta krav på sin höjd kan motivera att personuppgifter i sådana handlingar som inte måste offentliggöras bevaras, men inte att de offentliggörs utan vare sig begränsningar eller restriktioner i den registerdatabas som är öppen för allmänheten. Jag anser närmare bestämt att det vore en rimlig avvägning mellan detta krav och skyddet för de berörda personernas uppgifter om en kopia av dessa handlingar gjordes offentligt tillgänglig, i vilken de personuppgifter som inte är nödvändiga har redigerats bort, och att originalhandlingen bevarades i akten. Tillgång till originalhandlingen och till alla uppgifter som den innehåller skulle då medges om det i det enskilda fallet finns ett berättigat intresse som motiverar det – däribland att handlingens äkthet behöver kontrolleras – och med iakttagande av bestämmelserna i dataskyddsförordningen.

58.      Jag anser i detta hänseende, i motsats till vad bland annat den irländska regeringen har gjort gällande, att artikel 16a i direktiv 2017/1132, i dess lydelse enligt direktiv 2019/1151, i den del den föreskriver att ”[m]edlemsstaterna ska säkerställa att en fullständig eller partiell kopia av de handlingar … som avses i artikel 14 kan erhållas från registret”, inte innebär att medlemsstaterna är skyldiga att tillåta en obegränsad tillgång till handlingarna i sin helhet. Artikel 161 i direktiv 2017/1132, i dess lydelse enligt direktiv 2019/1151, ålägger däremot medlemsstaterna, som anges ovan, att inrätta förfaranden som gör det möjligt att säkerställa att de registeransvariga myndigheterna, när de utför en uppgift av allmänt intresse, iakttar samtliga bestämmelser i dataskyddsförordningen.

59.      Mot bakgrund av det ovan anförda anser jag att den behandling av uppgifter som är i fråga i det nationella målet inte kan anses grunda sig på ett samtycke från motparten i det nationella målet, i den mening som avses i artikel 6.1 första stycket a i dataskyddsförordningen, jämförd med artikel 4.11 i samma förordning. Med förbehåll för den nationella domstolens prövning tycks denna behandling inte heller uppfylla vare sig laglighetsvillkoren i artikel 6.1 första stycket c i dataskyddsförordningen eller de villkor som föreskrivs i led e i samma artikel, jämförd med artikel 6.3 i samma förordning. För fullständighetens skull vill jag också påpeka att nämnda behandling inte heller kan omfattas av artikel 6.1 första stycket f i dataskyddsförordningen, vilken avser behandling av personuppgifter som är nödvändig för ändamål som rör den personuppgiftsansvariges berättigade intressen. Såsom domstolen redan har klargjort framgår det nämligen klart och tydligt av ordalydelsen i artikel 6.1 andra stycket i dataskyddsförordningen att behandling av personuppgifter som en myndighet utför vid fullgörandet av sina uppgifter inte kan omfattas av tillämpningsområdet för artikel 6.1 första stycket led f i dataskyddsförordningen, vilket innebär att denna bestämmelse och artikel 6.1 första stycket c i samma förordning sinsemellan utesluter varandra.(49) I det nu aktuella fallet utför registerbyrån den behandling av personuppgifter som är i fråga i det nationella målet i samband med utförandet av sin uppgift av allmänt intresse, vilket direkt utesluter tillämpning av artikel 6.1 första stycket f i dataskyddsförordningen, oavsett om den uppfyller villkoren i artikel 6.3 i dataskyddsförordningen.

60.      Det är därmed inte uteslutet att den hänskjutande domstolen kommer fram till att den uppgiftsbehandling som är i fråga i det nationella målet var olaglig, i avsaknad av något av de skäl som anges i artikel 6.1 i dataskyddsförordningen.

6.      Rätt till radering

61.      I artikel 17 i dataskyddsförordningen fastställs en rätt för den registrerade att få sina personuppgifter raderade när någon av de grunder som anges i punkt 1 i denna artikel föreligger och en motsvarande skyldighet för den personuppgiftsansvarige att utan onödigt dröjsmål utföra en sådan radering.

62.      I artikel 17.3 i dataskyddsförordningen anges emellertid att artikel 17.1 inte ska gälla i den utsträckning som behandlingen är nödvändig av något av de skäl som räknas upp i artikel 17.3. Bland dessa skäl anges, i artikel 17.3 b i dataskyddsförordningen, uppfyllande av en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller utförande av en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

63.      Eftersom dessa undantag från rätten till radering återspeglar de grunder som motiverar behandlingen vilka anges i artikel 6.1 första stycket c och e i dataskyddsförordningen, hänvisar jag till bedömningen ovan i punkterna 45–58(50) vad beträffar möjligheten att åberopa dem under sådana omständigheter som de aktuella i det nationella målet.

64.      För det fall den hänskjutande domstolen anser att det offentliga tillgängliggörandet i handelsregistret av de personuppgifter som är i fråga i det nationella målet i bulgarisk rätt inte omfattas av tillämpningsområdet för artikel 6.1 första stycket c eller e i dataskyddsförordningen, jämförd med artikel 6.3 i samma förordning, och därmed för artikel 17.3 b i dataskyddsförordningen, skulle motparten i det nationella målet således ha rätt till radering, vilket skulle innebära att uppgifterna inte längre skulle få vara offentligt tillgängliga och att registerbyrån, i egenskap av personuppgiftsansvarig, skulle vara skyldig att vidta rättelse. I artikel 17.1 d i dataskyddsförordningen föreskrivs nämligen en absolut rätt för den registrerade att få sina personuppgifter raderade när de har behandlats på olagligt sätt.(51)

65.      För det fall den hänskjutande domstolen i stället finner att uppgiftsbehandlingen i fråga i det nationella målet var förenlig med artikel 6.1 första stycket c eller e i dataskyddsförordningen, skulle artikel 17.3 b i förordningen i princip vara tillämplig. Två klargöranden behöver emellertid göras.

66.      Om den hänskjutande domstolen kommer fram till att det var nödvändigt att göra personuppgifterna i fråga i det nationella målet offentligt tillgängliga för att registerbyrån skulle kunna utföra en uppgift av allmänt intresse som den tilldelats för att bolagets inskrivning i handelsregistret inte skulle fördröjas, menar jag att detta enda skäl inte kan motivera att uppgifterna bibehölls i registret när bolaget väl hade registrerats och för att därmed utesluta, enligt artikel 17.3 b i dataskyddsförordningen, att motparten i det nationella målet har rätt till radering. Denna rätt skulle då vara säkerställd genom artikel 17.1 c i samma förordning, vilken gäller för det fall den berörda personen, enligt artikel 21.1 i samma förordning och av skäl som avser hans eller hennes enskilda situation, invänder mot en behandling av personuppgifterna med stöd av bland annat artikel 6.1 första stycket e i nämnda förordning och det saknas ”berättigade skäl för behandlingen som väger tyngre”, vilket det ankommer på personuppgiftsansvarig att visa.(52) Av samma skäl som redogörs för ovan i punkt 56 anser jag att kravet på att bevara integriteten och tillförlitligheten hos de handlingar som ligger till grund för bolagets inskrivning i registret inte kan utgöra ett sådant berättigat skäl som väger tyngre. Som jag framhåller ovan kan detta krav nämligen uppfyllas på andra sätt som medför mindre intrång i den grundläggande rätten till respekt för personuppgifter.

67.      Det framgår också av domen i målet Manni att det kan vara motiverat av tyngre vägande och berättigade skäl avseende de berörda personernas enskilda situation att endast göra handlingarna tillgängliga för tredje man som i varje enskilt fall kan styrka ett särskilt intresse, även i fråga om personuppgifter som enligt direktiv 2017/1132 ska offentliggöras och alltså även för det fall ett offentligt tillgängliggörande följer av en rättslig förpliktelse i den mening som avses i artikel 6.1 första stycket c i dataskyddsförordningen. En sådan begränsning måste i än högre grad medges när det gäller personuppgifter som inte behöver offentliggöras vare sig enligt unionsrätten eller enligt nationell rätt. Det villkor som domstolen ställde upp i domen i målet Manni för att tillgången till uppgifter om identiteten hos bolagets konkursförvaltare skulle få begränsas, det vill säga att en tillräckligt lång tid förflutit efter bolagets avveckling, skulle i så fall inte vara tillämpligt i det nu aktuella fallet. Tillgången till uppgifter borde därmed begränsas utan dröjsmål.

7.      Särskilda formella krav för utövande av rätten till radering

68.      Det framgår av beslutet om hänskjutande att registerbyrån ställde upp särskilda formella krav för att OL skulle kunna begära radering av personuppgifter om henne vilka inte behövde offentliggöras enligt bulgarisk rätt, vilka krav innebar att en kopia av den handling som innehöll dessa uppgifter skulle ges in, i vilken uppgifterna skulle vara maskerade. I avsaknad av en sådan kopia avslogs begäran eller sköts upp på obestämd tid. Enligt registerbyråns förklaringar måste dessa formella krav följas, eftersom den inte har befogenhet att göra ändringar i den aktuella handlingen, vilka ändringar endast kan göras av bolagets organ.

69.      Enligt artikel 23.1 i dataskyddsförordningen ska det i unionsrätten eller i en medlemsstats nationella rätt ”vara möjligt [att] införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa” något av de mål som anges däri. I den del de utmynnar i en begränsning eller till och med ett uteslutande av utövandet av rätten till radering och av utövandet av rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen, för det fall den berörda personen inte lyckas erhålla av bolaget de ändringar som krävs av handlingen i fråga, de förfaranderegler som tillämpas av byrån kan omfattas av artikel 23.1 i dataskyddsförordningen.(53) Det finns därmed anledning att kontrollera huruvida villkoren i denna bestämmelse är uppfyllda i det nu aktuella fallet, även om den hänskjutande domstolen inte uttryckligen har begärt att domstolen ska uttala sig i denna fråga.

70.      Jag vill först och främst påpeka att dessa formella krav endast tycks vara registerbyråns interna praxis.(54) Redan av detta skäl tycks de därmed, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, strida mot artikel 23.1 i dataskyddsförordningen, där det föreskrivs att begränsningar av de rättigheter som anges i denna bestämmelse ska vara föremål för en ”lagstiftningsåtgärd”.

71.      Dessa formella krav ger upphov till frågor om iakttagandet av proportionalitetsprincipen.

72.      Även om kravet att säkerställa tillförlitlighet och autenticitet hos de handlingar som skrivs in i handelsregistret och, i vidare bemärkelse, öppenhet och rättssäkerhet i utförandet av den uppgift som registerbyrån tilldelats, tycks motsvara ett av ”unionens eller en medlemsstats viktiga mål av generellt allmänt intresse”, i den mening som avses i artikel 23.1 e i dataskyddsförordningen, motiverar det enligt min mening inte att man begränsar eller rent av utesluter rätten till radering eller rätten att göra invändningar under sådana omständigheter som de aktuella i det nationella målet, eftersom det finns andra medel som kan användas, som medför mindre intrång i den grundläggande rätten till respekt för personuppgifter.

73.      Kommissionen, som anser att det är motiverat att vänta på att bolaget ska ändra handlingen genom att redigera de uppgifter som begäran om radering avser, har mot denna bakgrund föreslagit att myndigheten själv ska radera uppgifterna efter en skälig tid, om det visar sig att den berörda personen inte kan få bolaget att göra en sådan ändring.

74.      Jag är inte övertygad om att en sådan lösning skulle säkerställa en rättvis avvägning mellan de olika rättigheter och intressen som står på spel, eftersom den skulle leda till att uppgifter som inte skulle offentliggöras förblir offentligt tillgängliga i en digital miljö under obestämd tid. Jag menar att en sådan avvägning i stället skulle kunna säkerställas genom att myndigheten medges befogenhet att själv, utan dröjsmål efter det att den mottagit en begäran radering, maskerar de aktuella uppgifterna i den kopia av handlingen som gjorts offentligt tillgänglig, samtidigt som originalhandlingen bevaras i akten och bolaget åläggs att inkomma med en ändring av denna, i vilken de nämnda uppgifterna har redigerats bort, vilken ändring även ska offentliggöras i registret.

75.      I artikel 16.4 första och andra stycket i direktiv 2017/1132 föreskrivs förvisso att medlemsstaterna ska vidta de åtgärder som är nödvändiga för att hindra bristande överensstämmelse mellan det som framgår av registret och akten och mellan vad som offentliggörs i registret och vad som offentliggörs i den nationella tidningen. Kravet på konsekvens mellan de olika delarna av registret och med den nationella tidningen samt det mål om rättssäkerhet som ligger till grund för ett sådant krav kan emellertid enligt min mening inte motivera att personuppgifter som inte ska offentliggöras, bibehålls offentligt tillgängliga utan begränsningar och utan tidsgränser i handlingar som offentliggjorts i registret när den berörda personen har ansökt om radering. För det första skulle nämligen de ändringar av dessa handlingar som blir nödvändiga för att maskera uppgifterna vara identifierbara och spårbara och genomföras på ett öppet sätt. För det andra skulle ändringarna avse delar av sådana handlingar som inte behöver offentliggöras för att den uppgift av allmänt intresse som tilldelats registret ska kunna utföras. För det tredje kan sådana handlingars integritet och äkthet bevaras genom att originalhandlingen bevaras i akten, till vilken tredje man med ett berättigat intresse skulle ges en reglerad tillgång.

76.      Mot bakgrund av det ovan anförda anser jag att sådana formella krav som de krav som tillämpades av registerbyrån i det nu aktuella fallet inte är förenliga med artikel 23.1 i direktivet.

V.      Förslag till avgörande

77.      Mot bakgrund av allt det ovan anförda, föreslår jag att domstolen besvarar den fjärde och den femte tolkningsfrågan från Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien), som följer.

1)      Artikel 4 led 7 och artikel 26.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (den allmänna dataskyddsförordningen)

ska tolkas på följande sätt:

Den myndighet som ansvarar för handelsregistret i en medlemsstat och som enligt lagstiftningen i denna stat ska se till att handlingar som översänds till den i samband med en ansökan om registrering av ett bolag i detta register görs offentligt tillgängliga, är ensam ansvarig för att personuppgifter som finns i dessa handlingar görs offentligt tillgängliga, även om dessa uppgifter inte behöver offentliggöras och, i enlighet med denna lagstiftning, borde ha redigerats bort från handlingarna innan de översändes till nämnda myndighet.

2)      Förordning 2016/679, och särskilt artiklarna 17 och 23.1 i förordningen, ska tolkas på följande sätt:

Förordningen utgör hinder för en lagstiftning eller en nationell praxis enligt vilken en fysisk persons rätt att få den myndighet som ansvarar för handelsregistret i en medlemsstat att radera personuppgifter om honom heller henne som finns i handlingar som gjorts offentligt tillgängliga i registret, underordnas formella krav på ingivande av en kopia av den aktuella handlingen i vilken nämnda uppgifter har redigerats bort. Denna myndighet kan i egenskap av personuppgiftsansvarig inte befrias från sin skyldighet att utan dröjsmål efterkomma en sådan begäran om radering enbart på den grunden att den inte har mottagit en sådan kopia.

3)      Europaparlamentets och rådets direktiv (EU) 2017/1132 av den 14 juni 2017 om vissa aspekter av bolagsrätt, i dess lydelse enligt Europaparlamentets och rådets direktiv (EU) 2019/1151 av den 20 juni 2019, och i synnerhet artikel 16.2–4, jämförd med skäl 8 i samma direktiv, kan inte tolkas så, att sådana formella krav är tillåtna. Direktivet hindrar inte att den myndighet som ansvarar för handelsregistret i en medlemsstat efterkommer en begäran om radering av personuppgifter som inte krävs enligt lagstiftningen i denna medlemsstat och som finns i en handling som gjorts offentligt tillgänglig i registret, genom att själv redigera bort uppgifterna från handlingen och bevara en kopia av den oredigerade versionen i den akt som avses i artikel 16.1 i detta direktiv.

1      Originalspråk: franska.

2      Begäran om förhandsavgörande rör närmare bestämt räckvidden av bestämmelserna i Europaparlamentets och rådets direktiv 2009/101/EG av den 16 september 2009 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 48 andra stycket i fördraget avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen (EUT, L 258, 2009, s. 11). Såsom framgår nedan är det emellertid Europaparlamentets och rådets direktiv (EU) 2017/1132 av den 14 juni 2017 om vissa aspekter av bolagsrätt (kodifiering) (EUT L 169, 2017, s. 46) som tidsmässigt är tillämpligt på de faktiska omständigheterna i det nationella målet.

3      Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (den allmänna dataskyddsförordningen) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

4      DV nr 34 av den 25 april 2006.

5      DV nr 48 av den 18 juni 1991.

6      Yttrande nr 01–116(20)/01.02.2021.

7      Europaparlamentets och rådets direktiv av den 20 juni 2019 om ändring av direktiv 2017/1132 (EUT L 186, 2019, s. 80).

8      Se artikel 2.1 i direktiv 2019/1151. Vad beträffar de ändringar som gjordes genom artikel 1 led 6 i detta direktiv med avseende på artikel 16.6 i direktiv 2017/1132, löpte fristen för införlivande ut den 1 augusti 2023.

9      Se, för ett liknande resonemang, mitt förslag till avgörande i målet État belge (Personuppgifter som behandlas av en officiell tidning) (C‑231/22, EU:C:2023:468, punkt 80).

10      Den 29 mars 2023 antog kommissionen ett förslag till Europaparlamentets och rådets direktiv om ändring av direktiven 2009/102/EG och (EU) 2017/1132 vad gäller att ytterligare utvidga och uppgradera användningen av digitala verktyg och förfaranden inom bolagsrätten (COM/2023/177 final).

11      Se det system för sammankoppling av företagsregister som inrättades den 8 juni 2017 genom Europaparlamentets och rådets direktiv 2012/17/EU av den 13 juni 2012 om ändring av rådets direktiv 89/666/EEG och Europaparlamentets och rådets direktiv 2005/56/EG och 2009/101/EG vad avser sammankoppling av centrala register, handelsregister och företagsregister (EUT L 156, 2012, s. 1) och som för närvarande regleras genom direktiv 2017/1132. Detta system kopplar samman nationella företagsregister med en central europeisk plattform och tillhandahåller en enda åtkomstpunkt via den europeiska e-juridikportalen, genom vilken medborgare, företag och offentliga förvaltningar kan söka efter information om företag och om filialer som de öppnat i andra medlemsstater.

12      Europeiska datatillsynsmannen framhöll i sitt yttrande över förslaget till ändring av direktiv 2017/1132, att det var nödvändigt att ”öka medvetenheten om riskerna med tillgång till personuppgifter som är brett tillgängliga på internet i digital form och på många språk via en lättillgänglig europeisk plattform” (yttrande av den 26 juli 2018, tillgängligt på adressen https://edps.europa.eu/data-protection/our-work/publications/opinions/digital-tools-and-processed-company-law_fr).

13      Bolagsformen OOD tas upp i bilaga II till direktiv 2017/1132, liksom i bilaga IIA till detta direktiv i dess lydelse enligt direktiv 2019/1151.

14      I detta fall ska syftet med transkriptionerna i registret anges i akten. Se artikel 16.2 i direktiv 2017/1132.

15      Se artikel 16.3 i direktiv 2017/1132, där det anges att handlingar som avses i artikel 14 i direktivet endast får offentliggöras genom utdrag i den berörda medlemsstatens officiella tidning.

16      Se, beträffande rådets första direktiv 68/151/EEG av den 9 mars 1968 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 58 andra stycket i fördraget avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen (EGT L 65, 1968, s. 8; svensk specialutgåva, kapitel 17, volym 1, s. 3), dom av den 9 mars 2017, Manni (C‑398/15, nedan kallad domen i målet Manni, EU:C:2017:197, punkt 34).

17      Dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punkterna 28 och 29).

18      Se, för ett liknande resonemang, dom av den 5 oktober 2023, Ministerstvo zdravotnictví (Application mobile Covid-19) (C‑659/22, EU:C:2023:745, punkt 28).

19      C‑231/22, nedan kallad domen i målet EU:C:2024:7, punkt 35. Se även mitt förslag till avgörande i det mål som avgjordes med denna dom (C‑231/22, EU:C:2023:468, punkterna 34–75).

20      Se, för ett liknande resonemang, domen i målet État belge, punkt 38.

21      Se, för ett liknande resonemang, domen i målet État belge, punkterna 46 och 47.

22      Se, för ett liknande resonemang, dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punkterna 44 och 45).

23      Se, för ett liknande resonemang, Europeiska datatillsynsmannens ”Riktlinjer 07/2020 om begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR”, version 2.0 som antogs den 7 juli 2021, tillgängliga på franska på https://edpb.europa.eu/system/files/2022–02/eppb_guidelines_202007_controllerprocessor_final_fr.pdf), punkterna 70 och 72. Se även mitt förslag till avgörande i målet État belge (Personuppgifter som behandlas av en officiell tidning) (C‑231/22, EU:C:2023:468, punkt 48 och fotnot 55).

24      Se, för ett liknande resonemang, domen i målet État belge, punkt 42.

25      Se domen i målet État belge, punkt 48.

26      I domen i målet État belge var det emellertid fråga om offentliggörande av handlingar i en medlemsstats officiella tidning, vilket utgjorde det sista steget i en behandling där flera offentliga myndigheter deltog. Den faktiska situationen bakom denna dom skilde sig således från den som är i fråga i det nu aktuella målet.

27      Registerbyrån har i sitt yttrande förklarat att när det gäller en online-ansökan laddar sökanden upp elektroniska bilder av de undertecknade pappershandlingar som krävs för registrering till handelsregistersystemet.

28      Dessa ändamål anges ovan i punkt 49.

29      Se domen i målet État belge, punkt 45.

30      Se domen i målet État belge, punkterna 49 och 50.

31      Se dom av den 21 december 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, punkt 76 och där angiven rättspraxis).

32      Se dom av den 7 december 2023, SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:958, punkterna 72 och 73 och där angiven rättspraxis).

33      Se dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor) (C‑252/21, EU:C:2023:537, punkt 91–93).

34      Jag erinrar om att den hänskjutande domstolen vill få klarhet i frågan om en sådan förenlighet i sin tredje tolkningsfråga.

35      Såsom arbetsgruppen ”Artikel 29” underströk i sitt yttrande 6/2014, är tillämpningsområdet för artikel 6.1 första stycket c i dataskyddsförordningen ”strikt avgränsat”. För att denna bestämmelse ska vara tillämplig måste den rättsliga förpliktelsen vara tillräckligt tydlig och förenlig med tillämplig dataskyddslagstiftning. Så tycks inte vara fallet med en lag som dels utesluter uppgiftsbehandlingen i fråga, dels tillåter eller rent av föreskriver den, med stöd av ett presumerat samtycke.

36      Se dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda) (C‑60/22, EU:C:2023:373, punkterna 54 och 55).

37      Se dom av den 12 juli 2012, Compass-Datenbank (C‑138/11, EU:C:2012:449, punkterna 40 och 41) och domen Manni (punkt 43).

38      Se domen i målet Manni, punkt 43.

39      C‑398/15, EU:C:2016:652, punkt 54.

40      Se, för ett liknande resonemang, dom av den 12 november 1974, Haaga (32/74, EU:C:1974:116, punkt 6) och domen i målet Manni, punkt 50.

41      Se, för ett liknande resonemang, dom av den 2 mars 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, punkt 31).

42      Se, för ett liknande resonemang, dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkt 69).

43      Bolagsföreträdarens eller delägarnas hemvist är i synnerhet inte en del av deras identitet och kännedom om deras hemvist är inte, såsom generaladvokat Szpunar påpekade i sitt förslag till avgörande i målet All in One Star (C‑469/19, EU:C:2020:822, punkt 51), till nytta för att skydda tredje man.

44      Se domen i målet Manni, punkt 57.

45      Se domen i målet Manni, punkt 58.

46      Se dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkt 70).

47      Se, för ett liknande resonemang, dom av den 22 november 2022, Luxembourg Business Registers (C‑37/20 och C‑601/20, EU:C:2022:912, punkt 66).

48      Se, analogt, dom av den 30 januari 2024, Direktor na Glavna direktsia ”Natsionalna politsia” pri MVR - Sofia (C‑118/22, EU:C:2024:97, punkt 41).

49      Se dom av den 8 december 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Ändamålen med behandlingen av personuppgifter – Brottsutredning) (C‑180/21, EU:C:2022:967, punkt 85).

50      I punkt 51 i domen i målet État belge berörde domstolen visserligen i ett obiter dictum möjligheten att tillämpa undantagen i artikel 17.3 b och d i dataskyddsförordningen på en ansökan om radering av personuppgifter som offentliggjorts i den berörda medlemsstatens officiella tidning. Den uttalade sig emellertid inte i frågan, vilken inte hade tagits upp av den hänskjutande domstolen i det mål som avgjordes med denna dom.

51      Se, för ett liknande resonemang, dom av den 7 december 2023, SCHUFA Holding (Skuldavskrivning) (C‑26/22 och C‑64/22, EU:C:2023:958, punkt 108). Se även förslaget till avgörande av generaladvokaten Pikamäe i det målet (C‑26/22 och C‑64/22, EU:C:2023:222, punkt 91).

52      Se, för ett liknande resonemang, dom av den 7 december 2023, SCHUFA Holding (Skuldavskrivning) (C‑26/22 och C‑64/22, EU:C:2023:958, punkterna 111 och 112).

53      Se, för ett liknande resonemang, dom av den 26 oktober 2023, FT (Kopior av patientjournalen) (C‑307/22, EU:C:2023:811, punkterna 53–69). Se även förslaget till avgörande av generaladvokaten Emiliou i detta mål (C‑307/22, EU:C:2023:315, punkt 37).

54      Förfarandet återspeglar visserligen vad som föreskrivs i artikel 13.6 i registerlagen, men den senare bestämmelsen förefaller inte reglera rätten till radering eller rätten att göra invändningar för de berörda personerna.