FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
YVES BOT
föredraget den 8 september 2016(1)
Mål C‑398/15
Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce
mot
Salvatore Manni
(begäran om förhandsavgörande från Corte suprema di cassazione (Högsta domstolen, Italien))
”Begäran om förhandsavgörande – Personuppgifter – Skydd för fysiska personer med avseende på behandling av personuppgifter – Direktiv 95/46/EG – Artikel 6.1 e och artikel 7 c, e och f – Uppgifter som är offentliga i företagsregister – Första direktivet 68/151/EEG– Artikel 2.1 d och j och artikel 3 – Rätten att bli bortglömd – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7 och 8”
1. Till följd av domstolens dom av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317), ombeds domstolen att precisera grunddragen i fysiska personers rätt till att deras personuppgifter raderas eller görs anonyma. Denna gång uppkommer frågan emellertid i det särskilda sammanhanget med offentliggörande av uppgifter avseende bolag.
2. I förevarande mål måste domstolen tolka bestämmelserna i de två direktiven mot bakgrund av Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), så att bestämmelserna i de två direktiven blir förenliga med varandra.
3. Det rör sig dels om rådets första direktiv 68/151/EEG av den 9 mars 1968 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 58 andra stycket i fördraget avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen,(2) i ändrad lydelse enligt Europaparlamentets och rådets direktiv 2003/58/EG av den 15 juli 2003(3) (nedan kallat direktiv 68/151), dels Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.(4)
4. Förevarande begäran om förhandsavgörande har framställts inom ramen för en tvist mellan Salvatore Manni och Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce (handels-, industri-, hantverks- och jordbrukskammaren i Lecce) (nedan kallad handelskammaren i Lecce) rörande den sistnämndas beslut att inte radera vissa personuppgifter avseende Salvatore Manni ur företagsregistret.(5)
5. I förevarande förslag till avgörande förslår jag att domstolen ska svara Corte suprema di cassazione (Högsta domstolen, Italien) att artikel 2.1 d och j och artikel 3 i direktiv 68/151 och artikel 6.1 e samt artikel 7 c, e och f i direktiv 95/46 mot bakgrund av artiklarna 7 och 8 i stadgan ska tolkas så att de utgör hinder mot att personuppgifter som införts i företagsregister, efter en viss period på begäran av den berörda personen, kan raderas, göras anonyma eller spärras, eller enbart göras tillgängliga för ett begränsat antal tredje män, nämligen de som har ett berättigat intresse av att få tillgång till sådana uppgifter.
I – Tillämpliga bestämmelser
A – Unionsätt
1. Direktiv 68/151
6. Enligt artikel 1 i direktiv 68/151 ska de samordningsåtgärder som direktivet föreskriver vidtas i fråga om bestämmelserna i medlemsstaternas lagar eller andra författningar om följande bolagsformer: i Italien ”società per azioni [aktiebolag], società in accomandita per azioni [kommanditaktiebolag], società a responsabilità limitata [bolag med begränsat ansvar].”
7. Artiklarna 2 och 3 i avsnitt 1 detta direktiv med rubriken ”Offentlighet” har följande lydelse:
”Artikel 2
1. Medlemsstaterna skall se till att minst följande handlingar och uppgifter om ett bolag alltid offentliggörs:
a) Stiftelseurkunden och, om den har tagits in i en särskild handling, bolagsordningen.
…
d) Tillsättande och entledigande av samt personuppgifter om dem som i egenskap av i lagstiftningen föreskrivet bolagsorgan eller som medlemmar i ett sådant organ
i) är behöriga att företräda bolaget mot tredje man och i rättegång;
ii) deltar i ledning, tillsyn eller kontroll av bolaget.
…
h) Upplösning av bolaget.
…
j) Utseende av likvidatorer och personuppgifter om dem samt uppgift om likvidatorernas behörighet, om inte behörigheten uttryckligen och uteslutande framgår av lag eller av bolagsordningen.
k) Avslutandet av likvidationen och, i de medlemsländer där avregistrering av ett bolag medför rättsverkningar, uppgift om avregistreringen.
Artikel 3
1. I medlemsstaterna skall en akt läggas upp för varje bolag i det centrala register, handelsregister eller bolagsregister där bolaget är registrerat.
2. Alla handlingar och uppgifter som är offentliga enligt artikel 2 skall förvaras i akten eller föras in i registret; av akten skall alltid framgå vad som har förts in i registret.
…
3. En fullständig eller partiell kopia av de handlingar och uppgifter som avses i artikel 2 måste finnas att tillgå på begäran. Från och med senast den 1 januari 2007 kan ansökan inlämnas till registret i pappersform och i elektronisk form enligt den sökandes val.
…”
8. Direktiv 68/151 upphävdes och ersattes av Europaparlamentets och rådets direktiv 2009/101/EG av den 16 september 2009 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 48 andra stycket i fördraget avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen.(6)
9. Direktiv 2009/101 ändrades genom Europaparlamentets och rådets direktiv 2012/17/EU av den 13 juni 2012.(7)
10. Av skäl 9 i direktiv 2012/17 framgår att direktivet syftar till att förbättra den gränsöverskridande tillgången till företagsinformation om företag och deras filialer som har öppnats i andra medlemsstater genom att garantera driftskompatibilitet hos registren.
11. Av skäl 25 i ovannämnda direktiv följer att när personuppgifter behandlas av medlemsstaternas register, av kommissionen och, i tillämpliga fall, av tredje part som deltar i den centrala europeiska plattformens drift som upprättats genom nämnda direktiv, bör detta ske i överensstämmelse med direktiv 95/46.
12. I detta avseende har genom direktiv 2012/17 bland annat artikel 7a införts i direktiv 2009/101 som har följande lydelse:
”Den behandling av personuppgifter som utförs inom ramen för detta direktiv ska omfattas av Europaparlamentets och rådets direktiv 95/46 …”
13. Med hänsyn till tidpunkten för omständigheterna i det nationella målet ska detta dock avgöras med tillämpning av direktiv 68/151.
2. Direktiv 95/46
14. Enligt artikel 1 i direktiv 95/46 är syftet med direktivet att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter, samt att avlägsna begränsningar av det fria flödet av personuppgifter. I skälen 2, 8–10, 25, 28 och 29 i direktivet anges följande:
”(2) Systemen för databehandling av uppgifter är till för människornas skull. Oavsett fysiska personers medborgarskap eller hemvist måste systemen respektera dessa personers grundläggande fri- och rättigheter - särskilt rätten till privatlivet - och bidra till ekonomiska och sociala framsteg, handelns utveckling och enskilda personers välfärd.
…
(8) För att hindren mot flöden av personuppgifter skall kunna avskaffas måste skyddsnivån när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av sådana uppgifter vara likvärdig i alla medlemsstater …
(9) Eftersom tillnärmningen av de nationella lagstiftningarna kommer att leda till ett likvärdigt skydd kommer medlemsstaterna inte längre att kunna hindra det fria flödet av personuppgifter mellan dem under hänvisning till enskilda personers fri- och rättigheter, särskilt rätten till privatliv …
(10) Ändamålet med den nationella lagstiftningen om behandling av personuppgifter är att skydda grundläggande fri- och rättigheter, särskilt den rätt till privatlivet som erkänns både i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna [undertecknad i Rom den 4 november 1950,] och i gemenskapsrättens allmänna rättsprinciper. Av denna anledning får tillnärmningen av denna lagstiftning inte medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen.
…
(25) Principerna för skyddet måste avspeglas dels i de förpliktelser som åvilar personer … [som är] registeransvariga särskilt med avseende på uppgifternas kvalitet, den tekniska säkerheten, anmälningar till tillsynsmyndigheten och de omständigheter under vilka behandling får utföras, dels i de rättigheter som tillkommer enskilda personer, vilkas personuppgifter blir föremål för behandling, att bli informerade om att behandling sker, att få tillgång till uppgifterna, att begära rättelse och att under vissa omständigheter invända mot behandlingen.
…
(28) Varje behandling av personuppgifter måste vara laglig och korrekt gentemot berörda personer. Uppgifterna måste särskilt vara adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna, berättigade och bestämda vid tiden för insamling av uppgifterna. Sådana ändamål med behandlingen som läggs fast sedan uppgifterna samlats in får inte vara oförenliga med de ändamål som ursprungligen angavs.
(29) Senare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål kan - förutsatt att medlemsstaterna ger lämpliga garantier - inte allmänt sett anses oförenliga med de ändamål för vilka uppgifterna tidigare samlades in. Dessa garantier skall särskilt hindra att uppgifterna används för att vidta åtgärder mot eller fatta beslut som rör en viss person.”
15. I artikel 2 i direktiv 95/46 stadgas följande:
”I detta direktiv avses med:
a) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet,
b) behandling av personuppgifter (behandling): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,
…
d) registeransvarig: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När ändamålen och medlen för behandlingen bestäms av nationella lagar och andra författningar eller av gemenskapsrätten kan den registeransvarige eller de särskilda kriterierna för att utse honom anges i nationell rätt eller i gemenskapsrätten,
…”
16. I artikel 3.1 i direktivet, vilken har rubriken ”Tillämpningsområde”, anges följande:
”Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.”
17. Artikel 6 i avdelning I, med rubriken ”Principer om uppgifternas kvalitet”, i kapitel II i direktiv 95/46 har följande lydelse:
”1. Medlemsstaterna skall föreskriva att personuppgifter:
a) skall behandlas på ett korrekt och lagligt sätt,
b) skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,
c) skall vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,
d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,
e) förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.
2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.”
18. Artikel 7 i avdelning II, med rubriken ”Principer som gör att uppgiftsbehandling kan tillåtas”, i kapitel II i direktiv 95/46 föreskriver följande:
”Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om
…
c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller
…
e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgifterna har lämnats ut, eller,
f) behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1.”
19. Vidare föreskrivs följande i artikel 12 med rubriken ”Rätt till tillgång” i ovannämnda direktiv:
”Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige:
…
b) i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga,
…”
20. I artikel 14 i direktiv 95/46, med rubriken ”Den registrerades rätt att göra invändningar”, föreskrivs följande:
”Medlemsstaterna skall tillförsäkra den registrerade rätten att
a) åtminstone i de fall som avses i artikel 7 e) och f) när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter,
…”
B – Italiensk rätt
21. I artikel 2188 i civillagen (codice civile) föreskrivs följande:
”Det inrättas ett företagsregister för de registreringar som föreskrivs i lagen.
Företagsregistret förs av motsvarande kontor under tillsyn av en domare som har utnämnts av ordföranden i domstolen i första instans [Tribunale].
Registret ska vara tillgängligt för allmänheten.”
22. I artikel 8.1 och 8.2 i lag nr 580 av den 29 december 1993(8) angående omorganisation av handels-, industri-, hantverks- och lantbrukskamrarna (legge n. 580 – Riordinamento delle camere di commercio, industria, artigianato e agricoltura), föreskrivs att företagsregistret ska föras av handels-, industri-, hantverks- och lantbrukskamrarna.
23. I presidentdekret nr 581 om bestämmelser för tillämpning av artikel 8 i lag nr 580 av den 29 december 1993 avseende inrättande av ett företagsregister som avses i artikel 2188 i civillagen (decreto del Presidente della Repubblica nr 581 – Regolamento di attuazione dell’articolo 8 della legge 29 dicembre 1993, nr 580, in materia di istituzione del registro delle impresa di cui all’articolo 2188 del codice civile) av den 7 december 1995(9) regleras vissa detaljer avseende företagsregistret.
24. Direktiv 95/46 har införlivats med italiensk rätt genom lagstiftningsdekret 196 om införande av en lag om skydd för personuppgifter (decreto legislativo nr 196 – Codice in materia di protezione dei dati personali) av den 30 juni 2003.(10)
II – Målet vid den nationella domstolen och tolkningsfrågorna
25. Salvatore Manni är verkställande direktör i det italienska byggbolaget Italiana Costruzioni Srl som tilldelades ett kontrakt för att bygga en turistanläggning.
26. Den 12 december 2007 väckte Salvatore Manni talan mot handelskammaren i Lecce. Han gjorde gällande att han inte lyckats sälja de byggnadsenheter som hade uppförts, eftersom det framgick av företagsregistret att han var verkställande direktör och likvidator i bolaget Immobiliare e Finanziaria Salentina Srl (nedan kallat Immobiliare Salentina) som försattes i konkurs år 1992 och avfördes ur företagsregistret efter ett likvidationsförfarande den 7 juli 2005.
27. Salvatore Manni har inom ramen för förevarande talan gjort gällande att dessa personuppgifter som införts i företagsregistret har behandlats av specialiserade informationsbolag, såsom Cerved Business Information SpA, och att handelskammaren i Lecce inte raderat dessa, trots den begäran som framställdes i detta avseende den 10 april 2006.
28. Salvatore Manni yrkade därför dels att handelskammaren i Lecce skulle ålägga att radera, göra anonyma eller spärra de uppgifter som kopplar samman hans namn med Immobiliare Salentinas konkurs, dels att handelskammaren i Lecce skulle åläggas att betala skadestånd eftersom hans anseende hade skadats.
29. Genom dom av den 1 augusti 2011 biföll Tribunale di Lecce (domstolen i Lecce, Italien) Salvatore Mannis talan och ålade handelskammaren i Lecce att göra de uppgifter som kopplar samman Salvatore Manni med konkursen av Immobiliare Salentina anonyma och ålade handelskammaren i Lecce att betala ett skadestånd som fastställdes till 2 000,00 euro för den skada som sistnämnda lidit, jämte ränta och kostnader för förfarandet.
30. Tribunale di Lecce (domstolen i Lecce) fann att ”det är svårt att fastställa behovet av eller nyttan med att ange namnet på den verkställande direktören i bolaget vid tidpunkten för konkursen” av den anledningen att ”det rör sig om händelser som inträffade för mer än ett decennium sedan och utan hinder av att bolaget avförts ur företagsregistret … för mer än två år sedan.” Tribunale har anfört att ”historiken” om bolaget och de svårigheter som det genomgått … i stor utsträckning även kan genomföras med användning av anonyma uppgifter.” ”De registreringar som kopplar samman en fysisk persons namn med en kritisk fas i företagets liv (som en konkurs) får inte lagras under obegränsad tid såvida det inte föreligger ett specifikt allmänintresse för deras lagring och spridning.” I avsaknad av en tidsfrist för registrering i civillagen fann tribunalen att när ”en skälig tidsperiod” har löpt ut från det att konkursförfarandet har avslutats och företaget har avförts ur registret bortfaller behovet av och nyttan enligt lagstiftningsdekret nr 196 med att registret innehåller namnet på den vid tidpunkten för konkursen dåvarande verkställande direktören, eftersom allmänintresset kan uppfyllas genom att registret innehåller uppgifter om bolagets svårigheter med anonyma uppgifter om den fysiska person som var dess rättsliga företrädare.
31. Corte suprema di cassazione (Kassationsdomstolen) vid vilken handelskammaren i Lecce väckte talan har beslutat att vilandeförklara målet och ställa följande tolkningsfrågor till domstolen:
”1) Ska principen om att personuppgifter ska förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades, som fastställs i artikel 6[.1] e i … direktiv 95/46 …, vilket har införlivats genom lagstiftningsdekret nr 196 …, ges företräde, så att principen utgör hinder för den ordning för offentliggörande som har tillämpats genom det företagsregister som föreskrivs i … direktiv 68/151 …, vilket i den nationella lagstiftningen har införlivats genom artikel 2188 i civillagen (codice civile) och artikel 8 i lag nr 580 av den 29 december 1993 [angående omorganisation av handels-, industri-, hantverks- och lantbrukskamrarna om]där det bestäms att var och en utan tidsbegränsning kan få tillgång till uppgifterna om enskilda personer i nämnda register?
2) Tillåter då artikel 3 i … direktiv 68/151…, som ett undantag i förhållande till obegränsad varaktighet och obestämda mottagare av uppgifterna i företagsregistret, att nämnda uppgifter inte längre ska ”offentliggöras”, i denna dubbla bemärkelse, utan enbart blir tillgängliga under en begränsad tid eller för en bestämd personkrets på grundval av den registeransvariges bedömning i de specifika fallen?”
III – Min bedömning
32. Den hänskjutande domstolen har ställt dessa frågor, som enligt min mening ska prövas tillsammans, för att få klarhet i huruvida artikel 2.1 d och j och artikel 3 i direktiv 68/151 och artikel 6.1 e och artikel 7 c, e och f i direktiv 95/46 mot bakgrund av artiklarna 7 och 8 i stadgan, ska tolkas så, att det är nödvändigt eller tvärtom uteslutet att personuppgifter som förts in i företagsregistret efter en viss period på begäran av den berörda parten kan raderas, göras anonyma eller spärras eller enbart göras tillgängliga för ett begränsat antal tredje män, nämligen de som har ett berättigat intresse av att få tillgång till sådana uppgifter.
33. Domstolen har ombetts att besvara dessa frågor inom ramen för en begäran som framställts av Salvatore Manni om att de personuppgifter som införts i det företagsregister som förs av handelskammaren i Lecce, som sammankopplas med ett bolag som han tidigare förvaltat och som har försatts i konkurs, ska raderas, göras anonyma eller spärras.
34. Dessutom avser ovannämnda frågor huruvida handelskammaren i Lecce har behandlat personuppgifterna i enlighet med unionsrätten och inte huruvida den senare behandlingen av nämnda uppgifter av ett specialiserat informationsbolag är förenlig med unionsrätten.
35. De frågor som framställts av den hänskjutande domstolen syftar till att förena två principer, nämligen dels principen om att företagsregister ska vara offentliga, dels principen om att personuppgifter ska lagras under en period som inte går utöver vad som är nödvändigt för att genomföra de ändamål för vilka dessa uppgifter behandlas som fastställs i direktiv 95/46.
36. För att kunna förena dessa två principer har den hänskjutande domstolen förutsett möjligheten att begränsa principen om att företagsregister ska vara offentliga genom att enbart ge tillgång till personuppgifter som införts i företagsregister under en begränsad period och/eller till ett begränsat antal personer.
37. Det ska inledningsvis anges att behandlingen av personuppgifter i det nationella målet omfattas av tillämpningsområdet för direktiv 95/46.(11)
38. De uppgifter som enligt artikel 2.1 d och j i direktiv 68/151 ska införas i företagsregister utgör personuppgifter i den mening som avses i artikel 2 a i direktiv 95/46, eftersom det rör sig om ”upplysning[ar] som avser en identifierad eller identifierbar fysisk person”.(12) Det förhållandet att informationen ingår i ett professionellt sammanhang innebär inte att den förlorar sin egenskap av en mängd personuppgifter.(13)
39. Det ska vidare konstateras att i artikel 2 b i direktiv 95/46 ”behandling av personuppgifter” definieras som ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.”
40. Det har inte bestritts att registrering, lagring och tillhandahållande av personuppgifter av den myndighet som för företagsregister har karaktären av ”behandling av personuppgifter” i den mening som avses i artikel 2 b i direktiv 95/46. Dessutom är myndigheten registeransvarig i den mening som avses i artikel 2 d i direktivet.
41. Bestämmelserna om skydd av personuppgifter i direktiv 95/46 ska iakttas vid all behandling av personuppgifter som föreskrivs i artikel 3 i direktivet.(14)
42. I direktiv 68/151 föreskrivs ingen tidsfrist efter utgången av vilken uppgifterna i företagsregistret ska raderas, göras anonyma eller spärras. I direktivet föreskrivs inte heller att endast ett begränsat antal personer ska ges tillgång till uppgifterna efter en viss period. Medlemsstaterna ska iaktta de unionsrättsliga bestämmelserna om skydd av personuppgifter, nämligen direktiv 95/46 och artiklarna 7 och 8 i stadgan när de genomför nämnda direktiv.
43. Vad beträffar bestämmelserna i direktiv 95/46 ska behandlingen av personuppgifter som utförs av de nationella myndigheter som för företagsregister ske i enlighet med principerna om uppgifternas kvalitet som fastställs i artikel 6 i ovannämnda direktiv och i överensstämmelse med en av de principer som gör att uppgiftsbehandling kan tillåtas som anges i artikel 7 i nämnda direktiv.
44. Domstolen har redan slagit fast att eftersom bestämmelserna i direktiv 95/46 reglerar behandling av personuppgifter som kan innebära intrång i de grundläggande friheterna, och då särskilt i rätten till respekt för privatlivet, måste bestämmelserna i fråga med nödvändighet tolkas mot bakgrund av de grundläggande rättigheterna, vilka garanteras i stadgan.(15)
45. I artikel 7 i stadgan föreskrivs rätten till skydd för privatlivet och i artikel 8 i stadgan föreskrivs uttryckligen rätten till skydd för personuppgifter. I artikel 8.2 och 8.3 anges att dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund, att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem samt att en oberoende myndighet ska kontrollera att dessa regler efterlevs. Dessa krav har genomförts bland annat genom artiklarna 6, 7, 12, 14 och 28 i direktiv 95/46.
46. Av såväl artikel 1 som skälen 2 och 10 i direktiv 95/46 framgår att syftet med direktivet inte endast är att säkerställa ett effektivt och fullständigt skydd för fysiska personers grundläggande fri- och rättigheter, särskilt rätten till respekt för privatlivet, i samband med behandling av personuppgifter, utan även att säkerställa en hög skyddsnivå när det gäller dessa grundläggande fri- och rättigheter. Betydelsen av såväl den grundläggande rätten till respekt för privatlivet, vilken garanteras i artikel 7 i stadgan, som den grundläggande rätten till skydd för personuppgifter, vilken garanteras i artikel 8 i stadgan, har också understrukits i domstolens praxis.(16)
47. Det följer likväl av domstolens praxis att rätten till skydd av personuppgifter inte framstår som en absolut rättighet, utan måste förstås utifrån dess funktion i samhället.(17) Dessutom tillåts i artikel 52.1 i stadgan att utövandet av sådana rättigheter som dem som slås fast i artiklarna 7 och 8 i densamma begränsas, under förutsättning att begränsningarna föreskrivs i lag, att de är förenliga med det väsentliga innehållet i dessa rättigheter och friheter och, med beaktande av proportionalitetsprincipen, endast görs om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av Europeiska unionen eller mot behovet av skydd för andra människors rättigheter och friheter.
48. Den hänskjutande domstolens tvivel rör tolkningen av artikel 6.1 e i direktiv 95/46 där det föreskrivs att personuppgifter ska ”förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades”. I denna bestämmelse föreskrivs även att ”[m]edlemsstaterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål”.
49. Principen om uppgifternas kvalitet som anges i artikel 6.1 e i direktiv 95/46 innebär att, i den mån det ändamål för vilket personuppgifterna samlades in och, i förekommande fall, senare behandlades förutsätter detta, är det tillåtet att uppgifterna förvaras på ett sätt som möjliggör en identifiering av den berörda personen.
50. Problemet i förevarande mål är huruvida de nationella myndigheter som för företagsregistret efter att en viss tid förflutit sedan bolagets verksamhet upphörde på begäran av den berörda personen får besluta att antingen radera eller göra anonyma, de personuppgifter som förts in i ett företagsregister eller begränsa tillgången till uppgifterna genom att begränsa antalet mottagare av dessa uppgifter.
51. Jag anser att unionens bestämmelser om skydd av personuppgifter inte inför några sådana begränsningar för den enligt lag tillåtna offentliga tillgången till företagsregister.
52. Jag vill först framhålla att behandlingen av de personuppgifter som är aktuella i det nationella målet är förenlig med flera principer som gör att uppgiftsbehandling kan tillåtas som anges i artikel 7 i direktiv 95/46. För det första är behandlingen enligt artikel 7 c i direktivet ”nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige”. För det andra är behandlingen i enlighet med artikel 7 e i nämnda direktiv ”nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige”. För det tredje är en sådan behandling i enlighet med artikel 7 f i direktiv 95/46 ”nödvändig för ändamål som rör berättigade intressen … hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1.”
53. Den rättsliga förpliktelse som åvilar den registeransvarige följer av artiklarna 2 och 3 i direktiv 68/151, såsom de införlivats i medlemsstaternas nationella lagstiftningar, enligt vilka det åligger sistnämnda att föreskriva att personuppgifter avseende verkställande direktörer och likvidatorer i bolag ska införas i företagsregistret och att tredje man ska ha tillgång till sådana uppgifter.
54. Syftet med införande och offentliggörande i dessa register av viktiga uppgifter avseende bolag är att inrätta en tillförlitlig informationskälla för att säkerställa rättssäkerhet, vilket krävs för att skydda tredje mans intressen, särskilt borgenärernas intressen, främja skäliga affärsmetoder och följaktligen uppnå en välfungerande inre marknad. Tredje man ska således kunna få tillgång till officiell och tillförlitlig information om bolagen för att tillräcklig öppenhet och rättssäkerhet på marknaden ska kunna säkerställas.
55. Kravet på offentlighet avser de bolag som anges i artikel 1 i direktiv 68/151. Dessa bolag har en särskild rättslig ställning som ger dem fördelar som är kopplade till deras ställning som juridisk person. I gengäld är det av allmänt intresse att uppgifter om fysiska personer som är involverade i sådana bolag kan kontrolleras och offentliggöras.
56. I dom av den 12 juli 2012, Compass-Datenbank (C‑138/11, EU:C:2012:449), slog domstolen fast att en verksamhet som består i att samla in företagsuppgifter med stöd av en för företagen lagstadgad anmälningsplikt med därtill knutna offentliga maktbefogenheter, utgör myndighetsutövning. Denna verksamhet ska således inte betraktas som en ekonomisk verksamhet.(18)
57. Domstolen påpekade vidare att en verksamhet som består i att lagra och tillgängliggöra på så sätt insamlade uppgifter till allmänheten, genom antingen en sökning på uppgifter eller genom att papperskopior av uppgifterna lämnas ut enligt gällande nationell rätt, inte heller den ska betraktas som ekonomisk verksamhet i den mån driften av databasen och tillgängliggörandet av dess uppgifter inte kan skiljas från insamlandet av dessa uppgifter. Nyttan med att samla in nämnda uppgifter skulle till stor del gå förlorad utan driften av en databas i vilken uppgifterna kan registreras i syfte att göras tillgängliga för allmänheten.(19)
58. Jag delar den ståndpunkt som generaladvokaten Jääskinen intog i sitt förslag till avgörande i målet Compass-Datenbank (C‑138/11, EU:C:2012:251), där han anförde att ”[d]et … utan tvekan [är] så att lagring i en databas, i förevarande fall företagsregistret, av information som företag lämnat på grund av deras lagstadgade skyldighet att göra så, är på grund av sin art, sitt syfte och de regler som gäller för den nära förbunden med myndighetsutövningen”.(20) Han anförde även att ”[l]agringen av uppgifter i företagsregistret, på grundval av en lagstadgad skyldighet att göra så, utgör en verksamhet som utförs för att tillgodose allmänintresset av rättssäkerhet”(21) och att ”[d]et uttryckliga syftet med sådana offentliga register som företagsregistret är att inrätta en informationskälla som kan åberopas i rättsliga förhållanden och därigenom säkerställa den rättssäkerhet som behövs för handel på marknaden.”(22) Slutligen kan rättsverkan att uppgifter som införts i företagsregister kan åberopas gentemot en tredje man endast uppnås genom särskilda bestämmelser, vilket skiljer dessa uppgifter från dem som insamlats av företag för kommersiella ändamål.(23)
59. Det ska i detta avseende, såsom den hänskjutande domstolen helt riktigt har anfört, göras en åtskillnad mellan behandling av personuppgifter som genomförs av den myndighet som för företagsregistret och den behandling som genomförs av tredje man på grundval av de uppgifter som finns i företagsregistret. Endast den första behandlingen utgör ett uttryck för myndighetsutövning för att reglera marknaden och inte för att delta i den.
60. Såsom framgår av första skälet i direktiv 68/151 syftar direktivet till att främja utvecklingen av den inre marknaden. För att uppnå detta mål föreskrivs i direktivet allmänna minimiregler om offentliggörande av uppgifter avseende bolag och det minimum av uppgifter som registren ska innehålla för att säkerställa den rättssäkerhet som handeln och utvecklingen av den inre marknaden kräver.
61. I andra skälet i direktiv 68/151 anges att syftet med direktivet är att skydda tredje mans intressen. Framför allt anges i fjärde skälet i direktivet att ”[o]ffentligheten skall ge tredje man möjlighet att ta del av viktiga handlingar om ett bolag och att få vissa upplysningar om detta, särskilt personuppgifter om dem som företräder bolaget”. Av fjärde till sjätte skälet i nämnda direktiv framgår även att den omständigheten att tredje man får ta del av viktiga handlingar och får upplysningar om bolaget och särskilt personuppgifter om dem som företräder bolaget har ett nära samband med behovet av att i så stor utsträckning som möjligt begränsa ogiltighetsgrunderna för åtaganden som gjorts i bolagets namn. Syftet med offentliggörande av uppgifter i företagsregister är således att säkerställa rättssäkerhet för affärstransaktioner.
62. Unionslagstiftaren har således betonat vikten av att tredje man kan få tillgång till uppgifter om personer som kan företräda bolaget eller som deltar i ledningen, tillsynen eller kontrollen av bolaget. I dom av den 12 november 1974, Haaga (32/74, EU:C:1974:116), angav domstolen att syftet med direktiv 68/151 är att ”säkerställa att rättssäkerhet skapas i förhållandet mellan ett bolag och tredje man för att öka affärsförbindelserna mellan medlemsstaterna efter inrättandet av den gemensamma marknaden.(24) Mot den bakgrunden fann domstolen att det är viktigt att ”var och en som önskar upprätta och upprätthålla affärsförbindelser med bolag med hemvist i andra medlemsstater lätt kan ta del av viktiga upplysningar om bolagets bildande och den behörighet som de som företräder bolaget har.”(25) Det är därför som det ”i syfte att främja rättshandlingar mellan medborgare i olika medlemsstater är viktigt … att samtliga relevanta uppgifter uttryckligen införs i officiella register eller handlingar”.(26) Varje nationell myndighet som för företagsregister är således ”ett förvaringsorgan för vad som liknar juridiska personers civilstånd”.(27)
63. Vidare har domstolen redan haft tillfälle att fastställa att skyddet för tredje mans intressen, särskilt borgenärernas, och upprätthållandet av lojala handelstransaktioner och rättssäkerhet vid dessa utgör tvingande skäl av allmänintresse.(28)
64. Mot bakgrund av vad som anförts ovan eftersträvade medlemsstaterna, vid genomförandet av artiklarna 2 och 3 i direktiv 68/151 där offentliggörande av uppgifter i företagsregister regleras, således utan tvekan ett mål av allmänt samhällsintresse som erkänns av unionen, såsom krävs enligt artikel 52.1 i stadgan.
65. Det återstår att bedöma huruvida ett sådant offentliggörande under en obestämd tid för en obestämd grupp av personer inte går utöver vad som är nödvändigt för att uppnå ett sådant mål av allmänt samhällsintresse.
66. Härvid ska det noteras att enligt domstolens praxis kräver skyddet av den grundläggande rätten till respekt för privatlivet på unionsnivå att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är absolut nödvändigt”.(29)
67. Domstolen har dock även anfört att de nationella tillsynsmyndigheterna för att garantera skydd av personuppgifter ska säkerställa en riktig avvägning mellan den grundläggande rätten till privatliv, å ena sidan, och de intressen som avser ett fritt flöde av personuppgifter, å andra sidan.(30) Det ska i detta avseende beaktas att målsättningen med direktiv 95/46 är att upprätthålla en jämvikt mellan det fria flödet av personuppgifter och skyddet för privatlivet.(31)
68. Vad beträffar offentliggörandet av uppgifter om bolaget anser jag att de intressen som avser ett fritt flöde av personuppgifter har företräde framför rätten för de personer vars uppgifter förekommer i ett företagsregister att efter en viss tid kräva att de raderas eller görs anonyma eller att begära att tillgång till dessa uppgifter endast ges till tredje man som har ett berättigat intresse av att få tillgång till sådana uppgifter.
69. Det är nämligen nödvändigt att bevara huvudfunktionen med företagsregister som är att skapa en fullständig bild av bolagets liv och historia och att möjliggöra för var och en att få tillgång till de uppgifter som bilden byggs upp av, oavsett var vederbörande befinner sig och utan begränsning i tiden.
70. Säkerställandet av huvudfunktionen med företagsregistret utgör enligt min mening av följande skäl inte ett oproportionerligt ingrepp i rätten till skydd av personuppgifter.
71. För det första avser kravet på offentliggörande i direktiv 68/151 ett begränsat antal uppgifter som, såsom anges i fjärde skälet i direktivet avser ”viktiga handlingar om ett bolag och … upplysningar om detta, särskilt personuppgifter om dem som företräder bolaget”. Framför allt utgör de personuppgifter som anges i artikel 2.1 d och j i nämnda direktiv den minsta mängden uppgifter som krävs för att identifiera de fysiska personer som döljer sig bakom den ställning som juridisk person som alla företag har.
72. För det andra vill jag framhålla att ett offentliggörande av uppgifter i företagsregister är nödvändigt för att skydda tredje mans intressen, även när de avser bolag som upphört att utöva verksamhet för flera år sedan, eller för flera decennier sedan.
73. Det råder i detta avseende inget tvivel om att dessa uppgifter, inbegripet personuppgifter, ska omfattas av principen om att registret ska vara offentligt, inte bara så länge som ett bolag utövar varsamhet på marknaden, utan även efter det att verksamheten upphört. Den omständigheten att ett bolag försvinner och därefter avförs ur registret innebär inte att rättigheter och rättsförhållanden avseende detta bolag upphör att existera. Därför måste de personer som kan göra gällande sådana rättigheter gentemot ett bolag som upphört att utöva verksamhet eller som har sådana rättsliga förbindelser med bolaget kunna få tillgång till uppgifter om bolaget, inbegripet personuppgifter om ledningen i bolaget.
74. Såsom den tyska regeringen anfört är även uppgifter som inte längre är aktuella viktiga för det ekonomiska utbytet. I händelse av tvist är det således ofta nödvändigt att få veta vem som hade behörighet att företräda bolaget vid en viss tidpunkt.(32) På samma sätt anser jag, liksom den tjeckiska och den polska regeringen, att det är nödvändigt att lagra uppgifterna i registret även efter upplösningen av ett bolag, eftersom sådana uppgifter kan visa sig vara relevanta, till exempel för att granska lagligheten av ett handlande flera år tidigare av den verkställande direktören i ett bolag eller för att möjliggöra för tredje man att vidta åtgärder mot bolagsorganen eller mot likvidatorerna i bolaget.
75. Vidare måste tredje man alltid kunna bilda sig en korrekt uppfattning om ett bolag, oavsett om det fortfarande är verksamhet på marknaden eller inte, och om ledningen i bolaget, för att kunna bedöma riskerna med en affärsförbindelse. Målet att skydda tredje man som innebär att det ska vara möjligt att få en rättvisande bild av ett bolags historik talar således för att uppgifter i företagsregistret ska lagras och vara offentliga under en obestämd tid.
76. En av funktionerna med företagsregistret är just att säkerställa att tredje man på ett tillförlitligt och uttömmande sätt underrättas om tidigare faktiska omständigheter. Varje register består således av aktuella och historiska uppgifter.
77. Registret ska således garantera en fullständig, snabb och öppen tillgång till samtliga uppgifter om bolag som är eller har varit verksamma på marknaden, oavsett var den som begär tillgång till dessa uppgifter befinner sig. Var och en måste kunna ta del av den fullständiga profilen av varje bolag, även när bolagets verksamhet upphört för flera år sedan. Om vissa uppgifter om sistnämnda kategori av bolag skulle avlägsnas ur registret, med den följden att bilden av bolaget skulle bli ofullständig, så skulle detta undergräva skyddet för tredje mans intressen.
78. Tvärtemot vad som är fallet med den statistiska funktionen med företagsregistret innebär den historiska funktionen och målet att skydda tredje mans intressen att personuppgifter avseende identifierade personer måste insamlas och lagras. Med andra ord strider syftet att upprätta en fullständig bild av bolag mot behandlingen av anonyma uppgifter.(33) För att tillhandahålla tredje man lämplig information krävs således till exempel att de kan koppla samman ett bolag som försatts i konkurs och den vid tidpunkten för konkursen dåvarande ledningen i bolaget. Jag delar således inte den ståndpunkt som Tribunale di Lecce intog att uppgifter om bolagets historik och de svårigheter som bolaget genomgick i stor utsträckning även kunde tillhandahållas genom anonyma uppgifter.
79. Konkret strider i förevarande fall Salvatore Mannis intresse av att hans tidigare verksamhet som verkställande direktör i ett bolag som tvingats lägga ned sin verksamhet på grund av konkurs inte offentliggörs mot tredje mans intresse av att kunna begära upplysningar, även i efterhand, för att få reda på vem som hade behörighet att agera på företagets vägnar när det fortfarande bedrev verksamhet. Det kan således vara lämpligt för en framtida köpare av en fastighet att få kännedom om hur länge det bolag som ansvarar för byggandet av fastigheten varit närvarande på marknaden, om den verkställande direktören i bolaget redan tidigare haft en ledande position i andra bolag och om bolagens historik. Framför allt kan den omständigheten att ett av bolagen har försatts i konkurs ur köparens synvinkel vara av avgörande betydelse vid köpet.
80. Med beaktande av att skillnaderna mellan preskriptionstider i civilmål och handelsmål i de olika medlemsstaterna, de många olika intressen som tredje man kan ha av att få tillgång till uppgifter i företagsregister och med hänsyn till den omständigheten att rättsförhållandena kan involvera aktörer i flera olika medlemsstater anser jag att det är svårt eller till och med omöjligt för de myndigheter som för registren att med säkerhet avgöra att tredje man vid en viss tidpunkt inte längre har något intresse. Att i ett konkret fall bevilja en begäran om att personuppgifter i ett företagsregister ska raderas eller göras anonyma skulle således kunna påverka andra ansökningar om utlämnande av uppgifter som fortfarande är nödvändiga för att skydda tredje mans intressen.
81. I samma anda har den italienska regeringen, för att illustrera att tredje mans intressen kvarstår även efter det att ett bolag har avförts ur företagsregistret, hävdat att preskriptionstiderna i fråga om bolagsorganens ansvar är mycket långa och att dessa för övrigt kan avbrytas vid rättsliga förfaranden och att det inte föreskrivs någon preskriptionstid i Italien för ogiltighetstalan.
82. Domstolen har redan slagit fast att tillämpningsområdet för direktiv 95/46 är mycket stort och att och de personuppgifter som omfattas av direktivet är av olika slag. Hur länge de nämnda uppgifterna lagras beror enligt ordalydelsen i artikel 6.1 e i direktivet på de ändamål för vilka de har samlats in och senare behandlats, och denna tid kan således variera. Uppgifterna kan i vissa fall lagras mycket länge.(34)
83. För det tredje, ska vid avvägningen mellan målsättningen att skydda tredje man och rätten till skydd av personuppgifter som införts i företagsregistret, den omständigheten beaktas att de uppgifter som möjliggör en identifiering av de fysiska personer som finns i registret, finns där av det skälet att dessa personer beslutat att bedriva verksamhet genom ett bolag som har ställning som juridisk person. Domstolen har emellertid redan påpekat att ”[s]varet på frågan hur allvarligt ett ingrepp i rätten till skydd för personuppgifter är … inte [blir] detsamma för juridiska och fysiska personer”. Juridiska personer har redan en omfattande skyldighet att offentliggöra uppgifter som rör dem.”(35)
84. Jag delar den tyska regeringens uppfattning att den som avser att delta i ekonomiska utbyten genom ett bolag som bedriver handel ska vara beredd att offentliggöra vissa uppgifter. Det rör sig här om en motprestation för utövandet av en verksamhet i form av ett bolag som har ställning som juridisk person. En företagare som går in på marknaden genom att bilda ett bolag är medveten om att uppgifter avseende företagaren kommer att införas i företagsregistret som är offentligt och att de kommer att vara tillgängliga, oavsett de händelser som utmärker företagets utveckling.
85. I artikel 2.1 d och j i direktiv 68/151 föreskrivs att uppgifter om dem som under en viss period har en funktion i ett bolagsorgan eller som har rollen som likvidator i bolaget ska införas i företagsregistret. Även om ett offentliggörande av denna typ av uppgifter kan utgöra en olägenhet för en fysisk person till följd av de svårigheter som det bolag i vilket personen i fråga är involverad har kunnat genomgå, utgör denna olägenhet en normal aspekt av deltagandet i det ekonomiska livet.
86. I likhet med den italienska regeringen anser jag att den omständigheten att ett bolag är föremål för ett kollektivt förfarande i sig inte inverkar negativt på ryktet och anseendet för den verkställande direktör som företräder bolaget. Bolaget kan nämligen ha försatts i konkurs till följd av yttre omständigheter som inte direkt beror på en dålig förvaltning av bolaget, till exempel på grund av en ekonomisk kris eller en minskning av efterfrågan inom den berörda sektorn.
87. För det fjärde anser jag inte att den lösning som kommissionen föreslagit som består i att, efter utgången av en viss period efter det att ett bolag upphört att bedriva verksamhet, begränsa utlämnandet av uppgifter som införts i företagsregistret till att omfatta ett mindre antal tredje män som har ett berättigat intresse av att få tillgång till dessa uppgifter, som har företräde framför den berörda personens grundläggande rättigheter som skyddas genom artiklarna 7 och 8 i stadgan, i det nuvarande skedet av unionsrättens utveckling är av sådan karaktär att den säkerställer en jämvikt mellan målet att skydda tredje man och rätten till skydd av personuppgifter i företagsregister.
88. Det ska i detta avseende påpekas att målet att skydda tredje mans intressen som eftersträvas genom direktiv 68/151 är formulerat på ett tillräckligt vidsträckt sätt som inte enbart omfattar borgenärer till det bolag vars uppgifter det rör sig om, utan även mer allmänt, samtliga personer som önskar erhålla upplysningar avseende bolaget.
89. Domstolen har redan preciserat vem som omfattas av kategorin ”tredje man” vars intressen direktiv 68/151 avser att skydda.
90. I dom av den 4 december 1997, Daihatsu Deutschland (C‑97/96, EU:C:1997:581), gjorde domstolen en vid tolkning av begreppet tredje man. Den påpekade att artikel 54.3 g i EG-fördraget som utgör den rättsliga grunden för direktiv 68/151 ”i sig nämner målsättningen att skydda tredje mans intressen i allmänhet utan att särskilja mellan eller utesluta vissa grupper av dem”.(36) Domstolen slog fast att ”[b]egreppet tredje man som avses i [denna bestämmelse]… således inte [kan] begränsas till att endast omfatta bolagets borgenärer”.(37) Domstolen fann även att ”[b]estämmelserna i artikel 3 i direktivet, där det föreskrivs att ett offentligt register skall föras som innehåller alla handlingar och uppgifter som är offentliga samt att var och en skall ha möjlighet att brevledes erhålla en kopia av årsbokslutet, bekräftar strävan efter att alla intresserade skall ha möjlighet att få information”.(38)
91. I beslut av den 23 september 2004, Springer (C‑435/02 och C‑103/03, EU:C:2004:552), besvarade domstolen frågan huruvida den krets av tredje män som ska ges skydd enligt artikel 54.3 g i fördraget definieras så att den omfattar alla personer, oavsett ställning ännu tydligare. Domstolen grundade sig på sitt resonemang i domen av den 4 december 1997, Daihatsu Deutschland (C‑97/96, EU:C:1997:581), och anförde att ”de skyldigheter i fråga om offentliggörande vilka föreskrivs i artikel 3 i första bolagsdirektivet … innebär att alla personer skall ha möjlighet att ta del av årsbokslut och förvaltningsberättelser för de bolagsformer som avses i … direktiv [90/605/EEG(39)], utan att behöva visa att de har en rätt eller ett intresse som kräver skydd”.(40) Domstolen fastställde även att begreppet ”tredje man” i den mening som avses i artikel 54.3 g i fördraget ”skall anses avse alla utomstående” och att ”uttrycket skall tolkas extensivt”.(41)
92. Den lösning som kommissionen föreslagit har för övrigt den stora nackdelen att den ger den myndighet som ansvarar för företagsregister ett utrymme för skönsmässig bedömning inte enbart när det gäller att avgöra tidpunkten för när de uppgifter som införts i företagsregistret som varit tillgängliga för alla enbart ska göras tillgängliga för vissa, det vill säga för en begränsad krets personer som har ett berättigat intresse av att få tillgång till sådan information, utan även att besluta om det finns ett berättigat intresse därav. En sådan lösning medför en stor risk för att det uppkommer skillnader i bedömningen mellan olika myndigheter som ansvarar för företagsregister.
93. Följaktligen, om de myndigheter som ansvarar för företagsregister skulle tillåtas att som förutsättning för utlämnade av personuppgifter i dess register kräva att det finns ett berättigat intresse, skulle detta oundvikligen få till följd att ekonomiska aktörer inom unionen inte ges tillgång till sådana uppgifter på samma villkor.
94. I direktiv 68/151 föreskrivs visserligen samordningsåtgärder som inte avser att reglera samtliga aspekter avseende medlemsstaternas företagsregister. Till exempel omfattas bestämmandet av sökkriterier som ger tillgång till uppgifter som införts i dessa register av medlemsstaternas utrymme för skönsmässig bedömning.(42) Av artikel 2.1 i direktiv 68/151 framgår emellertid klart att direktivet syftar till att fastställa ett minimum av uppgifter avseende bolag som ska offentliggöras. Det vore meningslöst att föreskriva en sådan enhetlig grund för samtliga medlemsstater om var och en av dem skulle kunna ändra villkoren för tillgång till de uppgifter som införts i deras företagsregister över tid beroende på om det finns ett berättigat intresse. Detta strider även mot syftet med samordning av nationella lagstiftningar avseende direktiv som grundar sig på artikel 54 i fördraget som består i att avlägsna de hinder mot etableringsfriheten som följer av de olikheter i lagstiftningarna som fanns i de olika medlemsstaterna vid upprättandet av unionen. Detta gäller särskilt det syfte som föreskrivs i artikel 54.3 g i fördraget, nämligen införandet av likvärdiga rättsliga minimikrav på omfattningen av den information avseende bolag allmänheten ska få ta del av.(43)
95. Det ska vidare erinras om att direktiv 95/46, såsom följer av bland annat skäl 8, syftar till att göra skyddsnivån när det gäller personers fri- och rättigheter med avseende på behandlingen av personuppgifter likvärdig i alla medlemsstater.
96. Jag delar vidare den tyska regeringens uppfattning att det skulle äventyra den operativa karaktären hos företagsregister om tillgång till företagsregister skulle villkoras av att det visas att det finns ett berättigat intresse, även efter en viss tid, såsom kommissionen föreslagit. Kontrollen av huruvida en sökande har ett sådant berättigat intresse skulle innebära en alltför stor administrativ börda när det gäller tid eller kostnader, vilket slutligen skulle äventyra registrets förmåga att fylla sin funktion.
97. Om för övrigt alla de som av olika skäl deltar i handelsförbindelser skulle löpa risken att inte kunna visa att de har ett intresse av att få tillgång till uppgifter i företagsregistret, så skulle detta leda till att deras förtroende för detta instrument minskar.
98. Jag anser sammanfattningsvis att offentliga register såsom företagsregistret enbart kan fylla sitt främsta syfte, nämligen att åstadkomma rättssäkerhet genom öppen tillgång till rättsligt tillförlitlig information, om de är åtkomliga för alla under obestämd tid.
99. Domstolen har slagit fast att avvägningen mellan de grundläggande rättigheter som tillerkänns i unionsrätten och de mål av allmänintresse som erkänns av unionen kan bero på typen av information och dess känslighet för den berörda personens privatliv samt allmänhetens intresse av informationen, vilket kan variera bland annat beroende på den roll som denna person spelar i det offentliga livet.(44)
100. När fysiska personer väljer att delta i det ekonomiska livet genom ett bolag innebär det ett krav på permanent insyn. Detta är det främsta skälet till, såsom framställts i dess olika aspekter ovan, att jag anser att ingreppet i rätten till skydd av personuppgifter som införts i företagsregister som består i att säkerställa tillgång till dessa uppgifter under en obestämd tid för var och en som begär att få dessa uppgifter utlämnade är berättigat av tredje mans övervägande intresse av att få tillgång till informationen i fråga.(45)
101. Det ska slutligen påpekas att föregående analys är förenlig med artikel 17.3 b och d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46 (allmän dataskyddsförordning).(46) I denna bestämmelse föreskrivs att rätten till radering av personuppgifter eller ”rätten att bli bortglömd” inte ska gälla i den utsträckning som behandlingen är nödvändig för att ”uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige” eller ”för arkivändamål av allmänt intresse”.
IV – Förslag till avgörande
102. Mot bakgrund av vad som anförts ovan föreslår jag att den fråga som Corte suprema di cassazione (Högsta domstolen, Italien) ställt besvaras enligt följande:
Artikel 2.1 d och j och artikel 3 i rådets första direktiv 68/151/EEG av den 9 mars 1968 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 58 andra stycket i fördraget avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen, i ändrad lydelse enligt Europaparlamentets och rådets direktiv 2003/58/EG av den 15 juli 2003, och artikel 6.1 e och artikel 7 c, e och f i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, mot bakgrund av artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna ska tolkas så att de utgör hinder mot att personuppgifter som införts i företagsregister, efter en viss period på begäran av den berörda personen, kan raderas, göras anonyma eller spärras, eller enbart göras tillgängliga för ett begränsat antal tredje män, nämligen de som har ett berättigat intresse av att få tillgång till sådana uppgifter.