TEISINGUMO TEISMO (trečioji kolegija) SPRENDIMAS
2024 m. sausio 11 d.(*)
„Prašymas priimti prejudicinį sprendimą – Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis ir laisvas tokių duomenų judėjimas (Bendrasis duomenų apsaugos reglamentas) – Reglamentas (ES) 2016/679 – 4 straipsnio 7 punktas – Sąvoka „duomenų valdytojas“ – Valstybės narės oficialusis leidinys – Pareiga skelbti tokius dokumentus, kokius parengė bendrovės ar jų teisiniai atstovai – 5 straipsnio 2 dalis – Paskesnis kelių asmenų ar skirtingų subjektų atliekamas tokiuose dokumentuose esančių asmens duomenų tvarkymas – Atsakomybės nustatymas“
Byloje C‑231/22
dėl Cour d’appel de Bruxelles (Belgija) 2022 m. vasario 23 d. nutartimi, kurią Teisingumo Teismas gavo 2022 m. balandžio 1 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
État belge
prieš
Autorité de protection des données,
dalyvaujant
LM,
TEISINGUMO TEISMAS (trečioji kolegija),
kurį sudaro kolegijos pirmininkė K. Jürimäe, teisėjai N. Piçarra, M. Safjan (pranešėjas), N. Jääskinen ir M. Gavalec,
generalinė advokatė L. Medina,
posėdžio sekretorė C. Strömholm, administratorė,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2023 m. kovo 23 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– Autorité de protection des données, atstovaujamos avocates F. Biebuyck, P. Van Muylder ir advocaat E. Kairis,
– Belgijos vyriausybės, atstovaujamos P. Cottin, J.-C. Halleux, C. Pochet, padedamų avocats S. Kaisergruber ir P. Schaffner,
– Vengrijos vyriausybės, atstovaujamos Zs. Biró-Tóth ir M. Z. Fehér,
– Europos Komisijos, atstovaujamos A. Bouchagiar, H. Kranenborg ir A.‑C. Simon,
susipažinęs su 2023 m. birželio 8 d. posėdyje pateikta generalinės advokatės išvada,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas; toliau – BDAR) (OL L 119, 2016, p. 1) 4 straipsnio 7 punkto ir 5 straipsnio 2 dalies išaiškinimo.
2 Šis prašymas pateiktas nagrinėjant Belgijos valstybės ir Autorité de protection des données (Belgija) (toliau – APD), kuri yra pagal BDAR 51 straipsnį Belgijoje įsteigta priežiūros institucija, ginčą dėl sprendimo, kuriuo ta institucija Moniteur belge, t. y. oficialųjį leidinį, kuris toje valstybėje narėje yra atsakingas už įvairių oficialių ir viešų dokumentų rengimą, skelbimą ir platinimą popierine ir elektronine forma, valdančiai institucijai, nurodė imtis veiksmų, kad fizinis asmuo galėtų įgyvendinti teisę reikalauti ištrinti įvairius asmens duomenis, pateiktus tame oficialiajame leidinyje paskelbtame akte.
Teisinis pagrindas
Sąjungos teisė
3 BDAR 4 straipsnio 2 ir 7 punktuose nustatyta:
„Šiame reglamente:
<…>
2) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
<…>
7) duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;
<…>“
4 BDAR 5 straipsnyje nurodyta:
„1. Asmens duomenys turi būti:
a) duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
b) renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);
c) adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
d) tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
e) laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
f) tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“
5 BDAR 17 straipsnis suformuluotas taip:
„1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:
a) asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
b) asmens duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;
c) asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 2 dalį;
<…>
3. 1 ir 2 dalys netaikomos, jeigu duomenų tvarkymas yra būtinas:
<…>
b) siekiant laikytis Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
<…>
d) archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis 89 straipsnio 1 dalies, jeigu dėl 1 dalyje nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus; <…>
<…>“
6 BDAR 26 straipsnyje nustatyta:
„1. Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie tarpusavio susitarimu skaidriu būdu nustato savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir jų atitinkamomis pareigomis pateikti 13 ir 14 straipsniuose nurodytą informaciją, vykdymą, išskyrus atvejus, kai atitinkama duomenų valdytojų atsakomybė yra nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas.
2. 1 dalyje numatytame susitarime tinkamai apibrėžiamos atitinkamos faktinės bendrų duomenų valdytojų funkcijos bei santykiai duomenų subjektų atžvilgiu. Duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis.
3. Nepaisant 1 dalyje nurodyto susitarimo sąlygų, duomenų subjektas gali naudotis savo teisėmis pagal šį reglamentą kiekvieno iš duomenų valdytojų atžvilgiu.“
7 BDAR 51 straipsnyje, be kita ko, nustatyta, kad valstybės narės užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną.
Belgijos teisė
8 2002 m. gruodžio 24 d. Programinio įstatymo (Moniteur belge, 2002 m. gruodžio 31 d., p. 58686) 472 straipsnyje nustatyta:
„Moniteur belge yra oficialusis leidinys, kurį leidžia Direction du Moniteur belge ir į kurį įtraukiami visi tekstai, kuriuos privaloma skelbti Moniteur belge.“
9 Šio programinio įstatymo 474 straipsnyje nurodyta:
„Direction du Moniteur belge skelbia tekstus Moniteur belge keturiais popieriuje išspausdintais egzemplioriais.
<…>
Viena kopija saugoma elektroniniu būdu. Karalius nustato elektroninių duomenų saugojimo tvarką <…>“
10 Programinio įstatymo 475 straipsnis suformuluotas taip:
„Visa kita viešai skelbiama informacija publikuojama Direction du Moniteur belge interneto svetainėje.
Šioje interneto svetainėje skelbiama informacija yra tikslios 474 straipsnyje numatytų popierinių egzempliorių elektroninės kopijos.“
11 Programinio įstatymo 475a straipsnyje nurodyta:
„Kiekvienas pilietis, paskambinęs nemokama telefono linija, gali už savikainą iš Moniteur belge tarnybų gauti Moniteur belge paskelbtų aktų ir dokumentų kopijas. Ši tarnyba taip pat atsako už tai, kad piliečiams būtų teikiama dokumentų paieškos pagalbos paslauga.“
12 2002 m. gruodžio 24 d. Programinio įstatymo 475b straipsnyje nustatyta:
„Kitos papildomos priemonės nustatomos Karaliaus dekretu, apsvarstytu Ministrų Taryboje, siekiant užtikrinti kuo platesnę Moniteur belge pateikiamos informacijos sklaidą ir galimybę su ja susipažinti.“
Pagrindinė byla ir prejudiciniai klausimai
13 Belgijoje fiziniam asmeniui priklausė privačios uždarosios akcinės bendrovės akcijų dauguma. Kadangi tos bendrovės akcininkai nusprendė sumažinti jos kapitalą, bendrovės įstatai buvo pakeisti 2019 m. sausio 23 d. visuotinio jos akcininkų susirinkimo sprendimu.
14 Remiantis 1999 m. gegužės 7 d. įstatyme (Moniteur belge, 1999 m. rugpjūčio 6 d., p. 29440) įtvirtintos redakcijos Bendrovių kodeksu, to fizinio asmens notaras parengė aptariamo sprendimo išrašą ir jį persiuntė kompetentingo teismo, t. y. Tribunal de l’entreprise (komercinių bylų teismas), kurio veiklos teritorijoje yra bendrovės buveinė, kanceliarijai. Remiantis taikomomis teisės aktų nuostatomis, teismas pateikė šį išrašą Direction du Moniteur belge, kad ši jį oficialiai paskelbtų.
15 Remiantis taikytinomis teisės aktų nuostatomis, 2019 m. vasario 12 d. tas išrašas buvo paskelbtas Moniteur belge prieduose toks, koks pateiktas, t. y. nepatikrinus jo turinio.
16 Tame išraše pateiktas sprendimas sumažinti aptariamos bendrovės kapitalą, pradinis to kapitalo dydis, dydis, kuriuo mažinamas kapitalas, taip pat naujas įstatinio kapitalo dydis ir naujas tos bendrovės įstatų tekstas. Jame taip pat yra ištrauka, kurioje nurodytos abiejų tos bendrovės partnerių pavardės, taip pat šio sprendimo 13 punkte nurodyto fizinio asmens pavardė, jiems grąžintos pinigų sumos, taip pat jų banko sąskaitos numeriai (toliau – pagrindinėje byloje ginčijama ištrauka).
17 Konstatavęs, kad jo notaras padarė klaidą, nes į šio sprendimo 14 punkte minėtą išrašą įtraukė pagrindinėje byloje ginčijamą ištrauką, nors pagal įstatymą to nebuvo reikalaujama, tas fizinis asmuo, tarpininkaujant notarui ir notaro duomenų apsaugos pareigūnui, remdamasis BDAR 17 straipsnyje nustatyta teise reikalauti ištrinti duomenis, ėmėsi veiksmų, kad ta ištrauka būtų pašalinta.
18 2019 m. balandžio 10 d. sprendimu Service Public Fédéral Justice (Federalinė viešoji teisingumo tarnyba) (toliau – SPF Justice), kuriai atskaitinga Direction du Moniteur belge, atsisakė tenkinti prašymą ištrinti duomenis.
19 2020 m. sausio 21 d. aptariamas fizinis asmuo pateikė skundą APD dėl SPF Justice sprendimo su prašymu, kad būtų konstatuota, jog tas prašymas ištrinti duomenis yra pagrįstas ir kad BDAR 17 straipsnio 1 dalyje nustatytos teisės reikalauti ištrinti duomenis įgyvendinimo sąlygos yra tenkinamos.
20 2021 m. kovo 23 d. sprendimu APD pareiškė „papeikimą“ SPF Justice ir nurodė šiai kuo skubiau tenkinti prašymą ištrinti duomenis ne vėliau kaip per 30 dienų nuo pranešimo apie šį sprendimą.
21 2021 m. balandžio 22 d. Belgijos valstybė kreipėsi į Cour d’appel de Bruxelles (Briuselio apeliacinis teismas, Belgija), kuris yra prašymą priimti prejudicinį sprendimą pateikęs teismas, kad tas sprendimas būtų panaikintas.
22 Tas teismas pažymi, kad šalys nesutaria dėl klausimo, kaip pagrindinėje byloje reikia aiškinti BDAR 4 straipsnio 7 punkte esančią sąvoką „duomenų valdytojas“, nes pagrindinėje byloje ginčijamoje ištraukoje esančius asmens duomenis, kurių pagal įstatymą nebuvo reikalaujama skelbti, tvarkė keli galimi „paskesni“ duomenų valdytojai. Pirma, tai notaras, parengęs išrašą, kuriame yra pagrindinėje byloje ginčijama ištrauka, ir į ją per klaidą įtraukęs tuos duomenis, antra, teismo kanceliarija, kuriai vėliau buvo pateiktas tas išrašas prieš jį persiunčiant paskelbti Moniteur belge, ir, trečia, Moniteur belge, kuris, gavęs jį iš to teismo, vadovaudamasis jo statusą ir užduotis reglamentuojančiomis teisės aktų nuostatomis, paskelbė jį tokį, koks buvo pateiktas, t. y. be teisės tikrinti ar keisti.
23 Tokiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas kelia klausimą, ar Moniteur belge gali būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą. Jeigu į šį klausimą būtų atsakyta teigiamai, tas teismas, pažymėdamas, kad pagrindinės bylos šalys nesiremia BDAR 26 straipsnyje numatyta bendra atsakomybe, taip pat siekia išsiaiškinti, ar, remiantis to reglamento 5 straipsnio 2 dalimi, Moniteur belge turi būti laikomas vieninteliu atsakingu už tai, kad būtų laikomasi to reglamento 5 straipsnio 1 dalyje išdėstytų principų, o gal ta atsakomybė taip pat kartu tenka viešosios valdžios institucijoms, anksčiau tvarkiusioms pagrindinėje byloje ginčijamoje ištraukoje pateiktus duomenis, t. y. notaras, rengęs išrašą, kurioje pateikta ta ištrauka, ir verslo bylų teismas, kurio veiklos teritorijoje yra privačios uždarosios akcinės bendrovės buveinė.
24 Šiomis aplinkybėmis Cour d’appel de Bruxelles nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar [BDAR] 4 straipsnio 7 punktą reikia aiškinti taip, kad valstybės narės oficialusis leidinys – kuriam pavesta teikti viešąją paslaugą skelbti ir archyvuoti oficialius dokumentus ir kuris pagal taikytinus nacionalinės teisės aktus yra įpareigotas skelbti oficialius aktus ir dokumentus, kuriuos jam nurodo paskelbti trečiosios viešosios valdžios institucijos, taip, kaip jie yra pateikti šių institucijų po jų pačių atlikto šiuose aktuose ir dokumentuose esančių asmens duomenų tvarkymo, kai nacionalinės teisės aktų leidėjas nėra suteikęs šiam leidiniui diskrecijos dėl skelbtinų dokumentų turinio, [taip pat dėl] jų paskelbimo tikslo ir priemonių, – yra duomenų valdytojas?
2. Jeigu į pirmąjį klausimą būtų atsakyta teigiamai, ar Bendrojo duomenų apsaugos reglamento 5 straipsnio 2 dalį reikia aiškinti taip, kad už duomenų valdytojui pagal šią nuostatą tenkančių pareigų vykdymą turi būti laikomas atsakingu tik aptariamas oficialusis leidinys, o ne trečiosios viešosios valdžios institucijos, prieš tai tvarkiusios duomenis, esančius oficialiuose aktuose ir dokumentuose, kuriuos jos prašo šio leidinio paskelbti, o gal šios pareigos kartu tenka kiekvienam paeiliui dalyvaujančiam duomenų valdytojui?“
Dėl prejudicinių klausimų
Dėl pirmojo klausimo
25 Dėstydamas pirmąjį klausimą, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia sužinoti, ar BDAR 4 straipsnio 7 punktą reikia aiškinti taip, kad už valstybės narės oficialųjį leidinį atsakinga agentūra ar kita įstaiga, kuri pagal tos valstybės narės teisės aktus yra įpareigota skelbti oficialius aktus ir dokumentus tokius, kokius parengė tretieji asmenys savo atsakomybe ir laikydamiesi taikytinų teisės normų, paskui pateikė teismui, kuris savo ruožtu jai juos perdavė skelbti, gali būti laikoma tuose aktuose ir dokumentuose esančių asmens duomenų „duomenų valdytoj[a]“, kaip tai suprantama pagal tą nuostatą.
26 Iš pradžių reikia pažymėti, kad BDAR 4 straipsnio 7 punkte nustatyta sąvoka „duomenų valdytojas“ suponuoja, kad asmens duomenys yra „tvarkomi“, kaip tai suprantama pagal to reglamento 4 straipsnio 2 punktą. Nagrinėjamu atveju remiantis nutartimi dėl prašymo priimti prejudicinį sprendimą galima teigti, kad pagrindinėje byloje ginčijamoje ištraukoje esančius asmens duomenis tvarkė Moniteur belge. Nors prašymą priimti prejudicinį sprendimą pateikęs teismas išsamiai nenurodo, kaip jie buvo tvarkomi, remiantis nuosekliomis APD ir Belgijos vyriausybės rašytinėmis pastabomis darytina išvada, kad tuos duomenis Moniteur belge bent rinko, registravo, saugojo, atskleidė perduodamas ir platino, o tokios operacijos reiškia „tvarkymą“, kaip tai suprantama pagal to reglamento 4 straipsnio 2 punktą.
27 Atsižvelgiant į šią pirminę pastabą, reikia priminti, kad remiantis BDAR 4 straipsnio 7 punktu sąvoka „duomenų valdytojas“ apima fizinius arba juridinius asmenis, valdžios institucijas, agentūras ar kitas įstaigas, kurie vieni ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones. Toje nuostatoje taip pat nustatyta, kad jeigu tokio duomenų tvarkymo tikslai ir priemonės nustatomi būtent valstybės narės teisėje, duomenų valdytojas gali būti paskirtas arba konkretūs jo skyrimo kriterijai gali būti nustatyti pagal tą teisę.
28 Šiuo klausimu reikia priminti, kad, remiantis Teisingumo Teismo jurisprudencija, toje nuostatoje nustačius plačią sąvokos „duomenų valdytojas“ apibrėžtį, siekiama užtikrinti veiksmingą ir visapusišką suinteresuotųjų asmenų apsaugą (šiuo klausimu žr. 2023 m. gruodžio 5 d. Sprendimo Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 29 punktą ir 2023 m. gruodžio 5 d. Sprendimo Deutsche Wohnen, C‑807/21, EU:C:2023:950, 40 punktą ir jame nurodytą jurisprudenciją).
29 Atsižvelgiant į remiantis tuo tikslu aiškinamą BDAR 4 straipsnio 7 punkto formuluotę, tampa aišku, kad siekiant nustatyti, ar asmuo arba subjektas turi būti kvalifikuojamas kaip „duomenų valdytojas“, kaip tai suprantama pagal tą nuostatą, reikia išsiaiškinti, ar tas asmuo arba subjektas vienas ar drauge su kitais nustato tvarkymo tikslus ir priemones, o gal pastarieji nustatyti nacionalinėje teisėje. Jei tie tikslai ir priemonės nustatyti nacionalinėje teisėje, reikia išsiaiškinti, ar remiantis ta teise skiriamas duomenų valdytojas ir ar joje numatyti konkretūs jo paskyrimui taikytini kriterijai.
30 Šiuo klausimu reikia pažymėti, kad, atsižvelgiant į plačią sąvokos „duomenų valdytojas“ apibrėžtį, kaip ji suprantama pagal BDAR 4 straipsnio 7 punktą, tvarkymo tikslų ir priemonių nustatymas ir, jei taikoma, valdytojo skyrimas pagal nacionalinę teisę gali būti ne tik eksplicitinis, bet ir implicitinis. Pastaruoju atveju vis dėlto reikalaujama, kad tas nustatymas pakankamai aiškiai būtų susietas su asmeniui ar atitinkamam subjektui priskirtu vaidmeniu, užduotimis ir pareigomis. Iš tiesų šių asmenų apsauga sumažėtų, jeigu BDAR 4 straipsnio 7 punktas būtų aiškinamas siaurai, kad apimtų tik tuos atvejus, kai asmens, valdžios institucijos, agentūros ar įstaigos tvarkomų duomenų tikslai ir priemonės aiškiai nustatomi nacionalinėje teisėje, net jeigu tie tikslai ir priemonės iš esmės nustatyti teisės nuostatose, reglamentuojančiose atitinkamo subjekto veiklą.
31 Nagrinėjamu atveju, pirma, prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad pagrindinės bylos aplinkybėmis neatrodo, jog Moniteur belge pagal nacionalinę teisę būtų suteikti įgaliojimai nustatyti jo vykdomo duomenų tvarkymo tikslus ir priemones, nes pirmasis prejudicinis klausimas pateiktas remiantis tokia prielaida. Beje, remiantis per teismo posėdį pateiktais nuosekliais APD ir Belgijos vyriausybės paaiškinimais galima teigti, kad Moniteur belge valdančiai valdžios institucijai, t. y. SPF Justice, taip pat nesuteikta tokių įgaliojimų pagal nacionalinę teisę.
32 Antra, remiantis Teisingumo Teismo turima bylos medžiaga darytina išvada, kad Moniteur belge perduotuose skelbti aktuose ir dokumentuose esantys asmens duomenys dažniausiai renkami, registruojami, saugomi ir skelbiami tokie, kokie gaunami, siekiant oficialiai informuoti visuomenę apie tokių aktų ir dokumentų egzistavimą ir kad jie galiotų trečiųjų asmenų atžvilgiu.
33 Be to, remiantis prašymą priimti prejudicinį sprendimą pateikusio teismo paaiškinimais darytina išvada, kad dažniausiai duomenys tvarkomi automatinėmis priemonėmis: t. y. tvarkomi duomenys pateikiami popieriuje atspausdintuose egzemplioriuose, iš kurių vienas saugomas elektronine forma, popieriuje atspausdinti egzemplioriai pateikiami elektronine forma Moniteur belge interneto svetainei, o jų kopiją galima gauti per pagalbos telefonu tarnybą, kuri, be kita ko, įpareigota piliečiams teikti dokumentų paieškos pagalbos paslaugą.
34 Taigi remiantis Teisingumo Teismo turima bylos medžiaga darytina išvada, kad Belgijos teisėje bent implicitiškai nustatyti Moniteur belge vykdomo asmens duomenų tvarkymo tikslai ir priemonės.
35 Tokiomis aplinkybėmis reikia pažymėti, kad Moniteur belge, kaip agentūra ar įstaiga, įpareigota tvarkyti jo skelbiamuose dokumentuose esančius asmens duomenis laikantis Belgijos teisėje nustatytų tvarkymo tikslių ir priemonių, gali būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą.
36 Tokios išvados nepaneigia aplinkybė, kad Moniteur belge, kaip SPF Justice padalinys, neturi juridinio asmens statuso. Iš tiesų remiantis aiškia šios nuostatos formuluote galima teigti, kad duomenų valdytojas gali būti ne tik fizinis ar juridinis asmuo, bet ir valdžios institucija, agentūra ar įstaiga, o tokie subjektai nebūtinai privalo turėti juridinio asmens statusą pagal nacionalinę teisę.
37 Taip pat aplinkybė, kad pagal nacionalinę teisę Moniteur belge netikrina to oficialiojo leidinio gautuose aktuose ir dokumentuose esančių asmens duomenų prieš juos paskelbdamas tame leidinyje, negali turėti įtakos klausimui, ar Moniteur belge gali būti kvalifikuojamas kaip duomenų valdytojas.
38 Iš tiesų, nors neginčijama, kad Moniteur belge privalo skelbti atitinkamą dokumentą tokį, kokį gavo, būtent jis vienintelis yra atsakingas už tą užduotį ir paskui užtikrina atitinkamo akto ar dokumento sklaidą. Viena vertus, tokių aktų ir dokumentų skelbimas be galimybės tikrinti ar keisti jų turinį yra glaudžiai susijęs su nacionalinėje teisėje nustatytais tvarkymo tikslais ir priemonėmis, nes tokio oficialiojo leidinio, kaip Moniteur belge, vaidmuo apsiriboja visuomenės informavimu apie tų aktų ir dokumentų, kokie jie pateikti tam leidiniui kopijos forma pagal taikytiną nacionalinę teisę, egzistavimą, kad jie galiotų trečiųjų asmenų atžvilgiu. Kita vertus, jeigu valstybės narės oficialiajam leidiniui nebūtų taikoma „duomenų valdytojo“ sąvoka dėl to, kad jis netikrina jo skelbiamuose dokumentuose pateiktų asmens duomenų, tai prieštarautų šio sprendimo 28 punkte nustatytam BDAR 4 straipsnio 7 punkto tikslui (pagal analogiją žr. 2014 m. gegužės 13 d. Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 34 punktą).
39 Atsižvelgiant į išdėstytus argumentus, į pirmąjį klausimą reikia atsakyti: BDAR 4 straipsnio 7 punktas aiškintinas taip, kad už valstybės narės oficialųjį leidinį atsakinga agentūra ar kita įstaiga, kuri pagal tos valstybės narės teisės aktus yra, be kita ko, įpareigota skelbti tokius oficialius aktus ir dokumentus, kokius parengė tretieji asmenys savo atsakomybe ir laikydamiesi taikytinų teisės normų, paskui pateikė teismui, kuris savo ruožtu juos perdavė jai skelbti, gali būti laikoma tuose aktuose ir dokumentuose esančių asmens duomenų „duomenų valdytoj[a]“ nepaisant to, kad neturi juridinio asmens statuso, jeigu nacionalinėje teisėje nustatyti to oficialiojo leidinio vykdomo asmens duomenų tvarkymo tikslai ir priemonės.
Dėl antrojo klausimo
40 Dėstydamas antrąjį klausimą prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 5 straipsnio 2 dalis turi būti aiškinama taip, kad už valstybės narės oficialųjį leidinį atsakinga agentūra ar kita įstaiga, kuri, remiantis BDAR 4 straipsnio 7 punktu, kvalifikuojama kaip „duomenų valdytoj[a]“, turi būti laikoma vienintele atsakinga už BDAR 5 straipsnio 1 dalyje nustatytų principų laikymąsi, o gal jų laikytis kartu privalo ši agentūra ar įstaiga ir tretieji viešieji subjektai, kurie anksčiau tvarkė to oficialiojo leidinio paskelbtuose aktuose ir dokumentuose esančius asmens duomenis.
41 Iš pradžių reikia priminti, kad, remiantis BDR 5 straipsnio 2 dalimi, duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi to straipsnio 1 dalyje įsipareigojimo forma nustatytų principų, ir turi gebėti įrodyti, kad tų principų laikomasi.
42 Šiuo atveju remiantis Teisingumo Teismo turima bylos medžiaga galima teigti, kad Moniteur belge pavestų pagrindinėje byloje nagrinėjamų asmens duomenų tvarkymas vyko po to, kai juos tvarkė notaras ir kompetentingo teismo kanceliarija, taip pat jis techniškai skirtingas nuo tų dviejų subjektų vykdyto tvarkymo tuo, kad yra papildomas. Iš tiesų Moniteur belge atliktos operacijos jam pavestos remiantis nacionalinės teisės aktais ir apima, be kita ko, jam pateiktuose aktuose ar aktų išrašuose esančių duomenų skaitmeninimą, skelbimą, pateikimą plačiajai visuomenei ir jų saugojimą.
43 Taigi, remiantis BDAR 5 straipsnio 2 dalimi, Moniteur belge turi būti laikomas atsakingu už to straipsnio 1 dalyje nustatytų principų, kiek tai susiję su tvarkymu, kurį jis turi atlikti pagal nacionalinę teisę, o dėl tos priežasties – ir už visų duomenų valdytojui BDAR nustatytų pareigų, laikymąsi.
44 Atsižvelgiant į prašymą priimti prejudicinį sprendimą pateikusiam teismui kilusius klausimus dėl to, ar toks oficialusis leidinys yra vienintelis atsakingas už duomenų tvarkymą, reikia priminti, kad, kaip nustatyta BDAR 4 straipsnio 7 punkte, šioje nuostatoje numatyta ne tik tai, kad asmens duomenų tvarkymo tikslus ir priemones gali kartu nustatyti keli asmenys kaip duomenų valdytojai, bet ir tai, kad pačioje nacionalinėje teisėje gali būti nustatyti tie tikslai ir priemonės ir pagal ją paskirtas duomenų valdytojas arba nurodyti konkretūs jo skyrimo kriterijai.
45 Tuo atveju, kai tuos pačius asmens duomenis tvarko skirtingų asmenų ar subjektų grandinė, nacionalinėje teisėje gali būti numatyti šių skirtingų asmenų ar subjektų paeiliui atliekamų visų tvarkymo operacijų tikslai ir priemonės, kad tie tvarkytojai būtų bendrai laikomi duomenų valdytojais.
46 Beje, reikia priminti, kad BDAR 26 straipsnio 1 dalyje numatyta bendra atsakomybė, kai du ar daugiau duomenų valdytojų kartu nustato asmens duomenų tvarkymo tikslus ir priemones. Toje pačioje nuostatoje taip pat nustatyta, kad bendri duomenų valdytojai turi skaidriai, tarpusavyje susitarę, apibrėžti savo atitinkamą atsakomybę, kad užtikrintų visų to reglamento reikalavimų laikymąsi, išskyrus atvejus, kai ir tiek, kiek atitinkama jų atsakomybė yra nustatyta jiems taikomoje Sąjungos arba valstybės narės teisėje.
47 Taigi remiantis ta nuostata darytina išvada, kad atitinkamos bendrų asmens duomenų valdytojų pareigos nebūtinai priklauso nuo to, ar yra skirtingų valdytojų susitarimas (šiuo klausimu žr. 2023 m. gruodžio 5 d. Sprendimo Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 44 ir 45 punktus); jos gali būti nustatytos nacionalinėje teisėje.
48 Be to, Teisingumo Teismas nusprendė, viena vertus, jog tam, kad asmuo būtų laikomas bendrai atsakingu už duomenų valdymą, pakanka, kad jis, siekdamas savo tikslų, darytų įtaką asmens duomenų tvarkymui ir dėl to dalyvautų nustatant tokio tvarkymo tikslus ir priemones, ir, kita vertus, kad kelių asmenų bendra atsakomybė už tą patį tvarkymą nereiškia, kad kiekvienas jų turi prieigą prie atitinkamų asmens duomenų (šiuo klausimu žr. 2023 m. gruodžio 5 d. Sprendimo Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 40–43 punktus ir juose nurodytą jurisprudenciją).
49 Remiantis šio sprendimo 44–48 punktais darytina išvada, kad pagal BDAR 26 straipsnio 1 dalies nuostatas, siejamas su to reglamento 4 straipsnio 7 dalies nuostatomis, tų pačių asmens duomenų tvarkymo grandinėje veikiančių kelių asmenų bendra atsakomybė gali būti nustatyta nacionalinėje teisėje, jeigu atskiras tvarkymo operacijas vienija toje teisėje nustatyti tikslai ir priemonės ir jeigu joje atitinkamai nustatyta kiekvieno bendro duomenų valdytojo atsakomybė.
50 Reikia pažymėti, kad kelių grandinėje veikiančių asmenų atskirai atliekamą tvarkymą vienijantys tikslai ir priemonės, taip pat atitinkamos jų pareigos gali būti nustatyti ne tik tiesiogiai, bet ir netiesiogiai nacionalinėje teisėje, jeigu – pastaruoju atveju – tas nustatymas pakankamai aiškiai kyla iš atitinkamų asmenų ar subjektų veiklą, taip pat jų atliekamą asmens duomenų tvarkymą toje teisėje nustatytoje tvarkymo operacijų grandinėje reglamentuojančių teisės aktų nuostatų.
51 Galiausiai dėl visa ko reikia pažymėti, kad tuo atveju, jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas prieitų prie išvados, kad už Moniteur belge atsakinga agentūra ar įstaiga ne viena, o kartu su kitais atsako už BDAR 5 straipsnio 1 dalyje nustatytų principų laikymąsi, kiek tai susiję su pagrindinėje byloje ginčijamoje ištraukoje esančiais duomenimis, tokia išvada neturėtų jokios įtakos klausimui, ar, atsižvelgiant būtent į BDAR 17 straipsnio 3 dalies b ir d punktuose numatytas išimtis, reikia tenkinti šio sprendimo 13 punkte minėto fizinio asmens pateiktą prašymą ištrinti.
52 Atsižvelgiant į išdėstytus argumentus, į antrąjį klausimą reikia atsakyti: BDAR 5 straipsnio 2 dalis, siejama su jo 4 straipsnio 7 punktu ir 26 straipsnio 1 dalimi, turi būti aiškinama taip, kad už valstybės narės oficialųjį leidinį atsakinga agentūra ar kita įstaiga, kuri kvalifikuojama kaip „duomenų valdytoj[a]“, kaip tai suprantama pagal šio reglamento 4 straipsnio 7 punktą, yra vienintelė atsakinga už BDAR 5 straipsnio 1 dalyje nustatytų principų laikymąsi, kiek tai susiję su asmens duomenų tvarkymo operacijomis, kurias ji turi atlikti pagal nacionalinę teisę, nebent pagal tą teisę už tas operacijas kyla su kitais subjektais bendra atsakomybė.
Dėl bylinėjimosi išlaidų
53 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (trečioji kolegija) nusprendžia:
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 4 straipsnio 7 punktas
turi būti aiškinamas taip:
už valstybės narės oficialųjį leidinį atsakinga agentūra ar kita įstaiga, kuri pagal tos valstybės narės teisės aktus yra, be kita ko, įpareigota skelbti tokius oficialius aktus ir dokumentus, kokius parengė tretieji asmenys savo atsakomybe ir laikydamiesi taikytinų teisės normų, paskui pateikė teismui, kuris savo ruožtu juos perdavė jai skelbti, gali būti laikoma tuose aktuose ir dokumentuose esančių asmens duomenų „duomenų valdytoj[a]“, nepaisant to, kad neturi juridinio asmens statuso, jeigu nacionalinėje teisėje nustatyti to oficialiojo leidinio vykdomo asmens duomenų tvarkymo tikslai ir priemonės.
2. Reglamento 2016/679 5 straipsnio 2 dalis, siejama su to reglamento 4 straipsnio 7 punktu ir 26 straipsnio 1 dalimi,
turi būti aiškinama taip:
už valstybės narės oficialųjį leidinį atsakinga agentūra ar kita įstaiga, kuri kvalifikuojama kaip „duomenų valdytoj[a]“, kaip tai suprantama pagal šio reglamento 4 straipsnio 7 punktą, yra vienintelė atsakinga už to paties reglamento 5 straipsnio 1 dalyje nustatytų principų laikymąsi, kiek tai susiję su asmens duomenų tvarkymo operacijomis, kurias ji turi atlikti pagal nacionalinę teisę, nebent pagal tą teisę už tas operacijas kyla su kitais subjektais bendra atsakomybė.
Parašai.