ROZSUDOK SÚDNEHO DVORA (tretia komora)
z 11. januára 2024 (*)
„Návrh na začatie prejudiciálneho konania – Aproximácia právnych predpisov – Ochrana fyzických osôb pri spracúvaní osobných údajov a voľný pohyb takýchto údajov (všeobecné nariadenie o ochrane údajov) – Nariadenie (EÚ) 2016/679 – Článok 4 bod 7 – Pojem ‚prevádzkovateľ‘ – Úradný vestník členského štátu – Povinnosť uverejniť v nezmenenej podobe listiny spoločností, ktoré vyhotovili tieto spoločnosti alebo ich právni zástupcovia – Článok 5 ods. 2 – Postupné spracúvanie osobných údajov uvedených v takýchto listinách viacerými rôznymi osobami alebo subjektmi – Určenie zodpovednosti“
Vo veci C‑231/22,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Cour d’appel de Brusel (Odvolací súd Brusel, Belgicko) z 23. februára 2022 a doručený Súdnemu dvoru 1. apríla 2022, ktorý súvisí s konaním:
État belge
proti
Autorité de protection des données,
za účasti:
LM,
SÚDNY DVOR (tretia komora),
v zložení: predsedníčka tretej komory K. Jürimäe, sudcovia N. Piçarra, M. Safjan (spravodajca), N. Jääskinen a M. Gavalec,
generálna advokátka: L. Medina,
tajomník: C. Strömholm, referentka,
so zreteľom na písomnú časť konania a po pojednávaní z 23. marca 2023,
so zreteľom na pripomienky, ktoré predložili:
– Autorité de protection des données, v zastúpení: F. Biebuyck, P. Van Muylder, avocates, a E. Kairis, advocaat,
– belgická vláda, v zastúpení: P. Cottin, J.‑C. Halleux a C. Pochet, splnomocnení zástupcovia, za právnej pomoci S. Kaisergruber a P. Schaffner, avocats,
– maďarská vláda, v zastúpení: Zs. Biró‑Tóth a M. Z. Fehér, splnomocnení zástupcovia,
– Európska komisia, v zastúpení: A. Bouchagiar, H. Kranenborg a A.‑C. Simon, splnomocnení zástupcovia,
po vypočutí návrhov generálnej advokátky na pojednávaní 8. júna 2023,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu článku 4 bodu 7 a článku 5 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).
2 Tento návrh bol podaný v rámci sporu medzi État belge (Belgický štát) a Autorité de protection des données (Úrad na ochranu osobných údajov, Belgicko) (ďalej len „APD“), ktorý je dozorným orgánom zriadeným v Belgicku na základe článku 51 GDPR, vo veci rozhodnutia, ktorým tento orgán uložil orgánu, ktorý spravuje Moniteur belge, úradný vestník, ktorý v tomto členskom štáte zabezpečuje výrobu a šírenie širokej škály úradných a verejných publikácií v papierovej a elektronickej podobe, aby vyhovel výkonu práva fyzickej osoby na vymazanie viacerých osobných údajov uvedených na listine uverejnenej v tomto úradnom vestníku.
Právny rámec
Právo Únie
3 Článok 4 body 2 a 7 GDPR stanovuje:
„Na účely tohto nariadenia:
…
2. ‚spracúvanie‘ je [každá – neoficiálny preklad] operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;
…
7. ‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;
…“
4 Článok 5 GDPR stanovuje:
„1. Osobné údaje musia byť:
a) spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (‚zákonnosť, spravodlivosť a transparentnosť‘);
b) získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi (‚obmedzenie účelu‘);
c) primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú (‚minimalizácia údajov‘);
d) správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia (‚správnosť‘);
e) uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 89 ods. 1 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb (‚minimalizácia uchovávania‘);
f) spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení (‚integrita a dôvernosť‘).
2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“
5 Článok 17 GDPR znie takto:
„1. Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:
a) osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;
b) dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), a ak neexistuje iný právny základ pre spracúvanie;
c) dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 2;
…
3. Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:
…
b) na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
…
d) na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1, pokiaľ je pravdepodobné, že právo uvedené v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania,…
…“
6 Podľa článku 26 GDPR:
„1. Ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi. Transparentne určia svoje príslušné zodpovednosti za plnenie povinností podľa tohto nariadenia, najmä pokiaľ ide o vykonávanie práv dotknutej osoby, a svoje povinnosti poskytovať informácie uvedené v článkoch 13 a 14, a to formou vzájomnej dohody, pokiaľ nie sú príslušné zodpovednosti prevádzkovateľov určené právom Únie alebo právom členskému štátu, ktorému prevádzkovatelia podliehajú. V dohode sa môže určiť kontaktné miesto pre dotknuté osoby.
2. V dohode uvedenej v odseku 1 sa náležite zohľadnia príslušné úlohy spoločných prevádzkovateľov a ich vzťahy voči dotknutým osobám. Základné časti dohody sa poskytnú dotknutým osobám.
3. Bez ohľadu na podmienky dohody uvedenej v odseku 1 môže dotknutá osoba uplatniť svoje práva podľa tohto nariadenia u každého prevádzkovateľa a voči každému prevádzkovateľovi.“
7 Článok 51 GDPR okrem iného stanovuje, že členské štáty musia ustanoviť jeden alebo viacero nezávislých orgánov verejnej moci zodpovedných za monitorovanie uplatňovania tohto nariadenia.
Belgické právo
8 Článok 472 programového zákona z 24. decembra 2002 (Moniteur belge z 31. decembra 2002, s. 58686) stanovuje:
„Moniteur belge je úradná publikácia, ktorú vydáva riaditeľstvo Moniteur belge a ktorá zhromažďuje všetky texty, o ktorých sa stanovuje, že majú byť uverejnené.“
9 Článok 474 tohto programového zákona stanovuje:
„Riaditeľstvo Moniteur belge uverejňuje v Moniteur belge štyri vyhotovenia v papierovej podobe.
…
Jedno vyhotovenie sa uchováva v elektronickej podobe. Kráľ určí podmienky pre elektronické uchovávanie…“
10 Článok 475 uvedeného programového zákona znie takto:
„Akékoľvek iné sprístupnenie verejnosti sa uskutočňuje prostredníctvom internetovej stránky riaditeľstva Moniteur belge.
Publikácie sprístupnené na uvedenej internetovej stránke sú presnými reprodukciami papierových vyhotovení uvedených v článku 474 v elektronickej podobe.“
11 Podľa článku 475a toho istého programového zákona:
„Každý občan môže získať kópiu dokumentov a listín uverejnených v Moniteur belge prostredníctvom bezplatnej telefonickej služby za cenu zodpovedajúcu výške nákladov Moniteur belge. Táto služba tiež zodpovedá za poskytovanie pomoci občanom pri vyhľadávaní dokumentov.“
12 Článok 475b zákona z 24. decembra 2002 stanovuje:
„Ďalšie sprievodné opatrenia budú prijaté kráľovským nariadením prerokovaným v Rade ministrov s cieľom zabezpečiť čo najširšie šírenie informácií uvedených v Moniteur belge a prístup k nim.“
Spor vo veci samej a prejudiciálne otázky
13 V Belgicku vlastnila fyzická osoba väčšinu akcií súkromnej spoločnosti s ručením obmedzeným. Keďže spoločníci tejto spoločnosti sa rozhodli znížiť jej základné imanie, stanovy uvedenej spoločnosti boli zmenené rozhodnutím jej mimoriadneho valného zhromaždenia z 23. januára 2019.
14 V súlade so zákonom o obchodných spoločnostiach v znení vyplývajúcom zo zákona zo 7. mája 1999 (Moniteur belge zo 6. augusta 1999, s. 29440) notár tejto fyzickej osoby vypracoval krátke zhrnutie tohto rozhodnutia pred tým, ako ho predložil kancelárii príslušného súdu, teda súdu pre spory medzi podnikmi, v ktorého územnej pôsobnosti má táto spoločnosť svoje sídlo. Na základe relevantných právnych ustanovení posledný uvedený súd zaslal toto krátke zhrnutie na uverejnenie riaditeľstvu Moniteur belge.
15 Dňa 12. februára 2019 bolo uvedené krátke zhrnutie uverejnené v prílohách k Moniteur belge v nezmenenej podobe, teda bez kontroly jeho obsahu, v súlade s uplatniteľnými právnymi predpismi.
16 Toto isté krátke zhrnutie obsahuje rozhodnutie o znížení základného imania uvedenej spoločnosti, pôvodnú výšku tohto základného imania, výšku predmetného zníženia, ako aj novú výšku základného imania a nový text stanov tej istej spoločnosti. Obsahuje tiež pasáž, v ktorej sú uvedené mená dvoch spoločníkov tejto poslednej uvedenej spoločnosti, vrátane mena fyzickej osoby uvedenej v bode 13 tohto rozsudku, sumy, ktoré im boli uhradené, ako aj čísla ich bankových účtov (ďalej len „pasáž, o ktorú ide vo veci samej“).
17 Táto fyzická osoba po tom, čo konštatovala, že jej notár pochybil, keď do krátkeho zhrnutia uvedeného v bode 14 tohto rozsudku zahrnul pasáž, o ktorú ide vo veci samej, aj keď to zákon nevyžadoval, podnikla prostredníctvom tohto notára a jeho zodpovednej osoby kroky s cieľom dosiahnuť odstránenie tejto pasáže v súlade s jej právom na vymazanie stanoveným v článku 17 GDPR.
18 Service public fédéral Justice (Federálne ministerstvo spravodlivosti; ďalej len „SPF Justice“), ku ktorému patrí riaditeľstvo Moniteur belge, rozhodnutím z 10. apríla 2019 odmietlo vyhovieť takejto žiadosti o vymazanie.
19 Dňa 21. januára 2020 uvedená fyzická osoba podala na APD sťažnosť proti SPF Justice s cieľom určiť, že táto žiadosť o vymazanie je dôvodná a že podmienky výkonu práva na vymazanie stanovené v článku 17 ods. 1 GDPR boli splnené.
20 Rozhodnutím z 23. marca 2021 APD zaslal SPF Justice „napomenutie“, pričom SPF Justice nariadil, aby sa uvedenej žiadosti o vymazanie vyhovelo čo najskôr, najneskôr však do 30 dní od oznámenia tohto rozhodnutia.
21 Belgicko sa 22. apríla 2021 obrátilo na Cour d’appel de Bruxelles (Odvolací súd Brusel, Belgicko), ktorý je vnútroštátnym súdom, s cieľom dosiahnuť zrušenie uvedeného rozhodnutia.
22 Tento súd uvádza, že účastníci konania sa nezhodujú v otázke, akým spôsobom treba vo veci samej vykladať pojem „prevádzkovateľ“ uvedený v článku 4 bode 7 GDPR, keďže osobné údaje uvedené v pasáži, o ktorú ide vo veci samej, ktorej uverejnenie nebolo právnymi predpismi požadované, boli predmetom spracúvania viacerými potenciálnymi „po sebe nasledujúcimi“ prevádzkovateľmi. Týmito prevádzkovateľmi sú po prvé notár, ktorý vyhotovil krátke zhrnutie obsahujúce pasáž, o ktorú ide vo veci samej, pričom do nej omylom vložil tieto údaje, po druhé kancelária súdu, do ktorej bolo toto krátke zhrnutie následne podané pred jeho odoslaním do Moniteur belge na uverejnenie, a po tretie Moniteur belge, ktorý v súlade so zákonnými ustanoveniami upravujúcimi jeho štatút a úlohy toto krátke zhrnutie uverejnil v nezmenenej podobe, teda bez právomoci kontroly a vykonávania zmien, po tom, ako ho dostal od tohto súdu.
23 V tomto rámci sa vnútroštátny súd pýta, či Moniteur belge možno považovať za „prevádzkovateľa“ v zmysle článku 4 bodu 7 GDPR. V prípade kladnej odpovede a na základe toho, že účastníci konania vo veci samej sa neodvolávajú na spoločné prevádzkovanie stanovené v článku 26 GDPR, sa tento súd tiež pýta, či Moniteur belge musí byť podľa článku 5 ods. 2 tohto nariadenia jediný zodpovedný za dodržiavanie zásad stanovených v článku 5 ods. 1 uvedeného nariadenia alebo či táto zodpovednosť prináleží kumulatívne aj verejným orgánom, ktoré predtým spracovali údaje uvedené v pasáži, o ktorú ide vo veci samej, teda notárovi, ktorý vyhotovil krátke zhrnutie obsahujúce túto pasáž, a súdu pre spory medzi podnikmi, v ktorého územnej pôsobnosti má dotknutá súkromná spoločnosť s ručením obmedzeným svoje sídlo.
24 Za týchto okolností Cour d’appel de Bruxelles (Odvolací súd Brusel) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Má sa článok 4 [bod] 7 [GDPR] vykladať v tom zmysle, že úradný vestník členského štátu poverený úlohou verejnej služby v oblasti uverejňovania a archivácie úradných dokumentov, ktorý je podľa uplatniteľnej vnútroštátnej právnej úpravy zodpovedný za uverejňovanie úradných listín a dokumentov, ktorých uverejňovanie nariadili tretie verejné orgány, a to v podobe, v akej mu ich tieto orgány poskytli po tom, čo samy spracovali osobné údaje v nich obsiahnuté, má postavenie prevádzkovateľa osobných údajov, hoci mu vnútroštátny zákonodarca nepriznal žiadnu mieru voľnej úvahy, pokiaľ ide o obsah dokumentov, ktoré sa majú uverejňovať, ani pokiaľ ide o účel a prostriedky uverejňovania?
2. V prípade kladnej odpovede na prvú otázku, má sa článok 5 [ods.] 2 [GDPR] vykladať v tom zmysle, že povinnosti, ktoré z tohto ustanovenia vyplývajú pre prevádzkovateľa osobných údajov, je povinný plniť iba úradný vestník, a nie tretie verejné orgány, ktoré vopred spracovali údaje uvedené v úradných listinách a dokumentoch, ktorých uverejnenie od neho požadujú, alebo majú tieto povinnosti kumulatívne plniť všetci po sebe nasledujúci prevádzkovatelia?“
O prejudiciálnych otázkach
O prvej otázke
25 Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 4 bod 7 GDPR vykladať v tom zmysle, že agentúru alebo subjekt poverený vedením úradného vestníka členského štátu, ktorý je podľa právnej úpravy tohto členského štátu najmä povinný uverejňovať úradné listiny a dokumenty v nezmenenej podobe, ktoré na vlastnú zodpovednosť v súlade s uplatniteľnými pravidlami vyhotovili tretie osoby a následne ich predložili súdnemu orgánu, ktorý mu ich zaslal na uverejnenie, možno označiť za „prevádzkovateľa“, pokiaľ ide o osobné údaje uvedené v týchto listinách a týchto dokumentoch v zmysle tohto ustanovenia.
26 Na úvod treba spresniť, že pojem „prevádzkovateľ“ uvedený v článku 4 bode 7 GDPR predpokladá existenciu „spracúvania“ osobných údajov v zmysle článku 4 bodu 2 tohto nariadenia. V prejednávanej veci z rozhodnutia vnútroštátneho súdu vyplýva, že osobné údaje uvedené v pasáži, o ktorú ide vo veci samej, boli predmetom spracúvania zo strany Moniteur belge. Aj keď vnútroštátny súd neuvádza podrobnosti tohto spracúvania, zo zhodujúcich sa písomných pripomienok APD a belgickej vlády vyplýva, že tieto údaje Moniteur belge prinajmenšom získaval, zaznamenával, uchovával, poskytoval prenosom a šíril, pričom takéto operácie predstavujú „spracúvanie“ v zmysle článku 4 bodu 2 uvedeného nariadenia.
27 Na základe tohto úvodného spresnenia treba pripomenúť, že podľa článku 4 bodu 7 GDPR pojem „prevádzkovateľ“ zahŕňa fyzické alebo právnické osoby, orgány verejnej moci, agentúry alebo iné subjekty, ktoré samy alebo spoločne s inými určia účely a prostriedky spracúvania osobných údajov. Toto ustanovenie tiež uvádza, že v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá uplatniteľné na jeho určenie určiť v tomto práve.
28 V tejto súvislosti treba pripomenúť, že podľa judikatúry Súdneho dvora cieľom tohto ustanovenia je prostredníctvom širokej definície pojmu „prevádzkovateľ“ zabezpečiť účinnú a úplnú ochranu dotknutých osôb (pozri v tomto zmysle rozsudky z 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, bod 29, a z 5. decembra 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, bod 40, ako aj citovanú judikatúru).
29 Vzhľadom na znenie článku 4 bodu 7 GDPR v spojení s týmto cieľom sa zdá, že na určenie toho, či sa má osoba alebo subjekt považovať za „prevádzkovateľa“ v zmysle tohto ustanovenia, treba preskúmať, či táto osoba alebo tento subjekt sám alebo v spojení s inými určuje účely a prostriedky spracúvania alebo či sú tieto účely a prostriedky určené vnútroštátnym právom. Ak je takéto určenie vykonané vnútroštátnym právom, treba overiť, či toto právo určuje prevádzkovateľa alebo stanovuje konkrétne kritériá uplatniteľné na jeho určenie.
30 V tejto súvislosti treba spresniť, že vzhľadom na širokú definíciu pojmu „prevádzkovateľ“ v zmysle článku 4 bodu 7 GDPR môže byť určenie účelov a prostriedkov spracúvania a prípadne určenie tohto prevádzkovateľa vnútroštátnym právom nielen explicitné, ale aj implicitné. V poslednom uvedenom prípade sa však vyžaduje, aby toto určenie vyplývalo s dostatočnou istotou z úlohy, poslania a právomocí zverených dotknutej osobe alebo subjektu. Ochrana týchto osôb by totiž bola oslabená, ak by sa článok 4 bod 7 GDPR vykladal reštriktívne tak, aby zahŕňal len prípady, v ktorých sú účely a prostriedky spracúvania údajov vykonávaného osobou, orgánom verejnej moci, agentúrou alebo subjektom výslovne určené vnútroštátnym právom, hoci tieto účely a tieto prostriedky v podstate vyplývajú z právnych ustanovení upravujúcich činnosť dotknutého subjektu.
31 V prejednávanej veci vnútroštátny súd po prvé spresňuje, že vo veci samej Moniteur belge zrejme nemá podľa vnútroštátneho práva právomoc určovať účely a prostriedky spracúvania údajov, ktoré vykonáva, keďže prvá prejudiciálna otázka bola položená na základe tohto predpokladu. Okrem toho zo zhodujúcich sa vysvetlení APD a belgickej vlády na pojednávaní vyplýva, že zrejme ani orgán verejnej moci, ktorý spravuje Moniteur belge, teda SPF Justice, nemá podľa vnútroštátneho práva takúto právomoc.
32 Po druhé zo skutočností uvedených v spise, ktorý má Súdny dvor k dispozícii, vyplýva, že osobné údaje uvedené v listinách a dokumentoch zaslaných Moniteur belge na uverejnenie sa v podstate získavajú, zaznamenávajú, uchovávajú a uverejňujú v nezmenenej podobe s cieľom oficiálne informovať verejnosť o existencii týchto listín a týchto dokumentov a umožniť ich uplatniteľnosť voči tretím osobám.
33 Okrem toho z vysvetlení, ktoré poskytol vnútroštátny súd, vyplýva, že spracúvanie sa vykonáva predovšetkým automatizovanými prostriedkami: dotknuté údaje sa najmä reprodukujú vo vyhotoveniach v papierovej podobe, z ktorých jedno je uložené v elektronickej podobe, papierové vyhotovenia sú dostupné v elektronickej podobe na internetovej stránke Moniteur belge a kópiu možno získať prostredníctvom telefonickej linky, ktorá tiež zodpovedá za poskytovanie pomoci občanom pri vyhľadávaní dokumentov.
34 Zo skutočností uvedených v spise, ktorý má Súdny dvor k dispozícii, teda vyplýva, že belgické právo prinajmenšom implicitne určilo účely a prostriedky spracúvania osobných údajov, ktoré vykonával Moniteur belge.
35 Za týchto okolností treba uviesť, že Moniteur belge možno považovať za „prevádzkovateľa“ v zmysle článku 4 bodu 7 GDPR ako agentúru alebo subjekt poverený spracúvaním osobných údajov uvedených v jeho publikáciách v súlade s účelmi a prostriedkami spracúvania stanovenými belgickou právnou úpravou.
36 Tento záver nie je spochybnený okolnosťou, že Moniteur belge ako útvar SPF Justice nemá právnu subjektivitu. Z jasného znenia tohto ustanovenia totiž vyplýva, že prevádzkovateľom môže byť nielen fyzická alebo právnická osoba, ale aj orgán verejnej moci, agentúra alebo subjekt, pričom tieto nemusia mať nevyhnutne právnu subjektivitu podľa vnútroštátneho práva.
37 Rovnako skutočnosť, že podľa vnútroštátneho práva Moniteur belge pred uverejnením v tomto úradnom vestníku nekontroluje osobné údaje obsiahnuté v listinách a dokumentoch, ktoré uvedený úradný vestník dostal, nemôže mať žiadny vplyv na to, či Moniteur belge môže byť kvalifikovaný ako prevádzkovateľ.
38 Je síce pravda, že Moniteur belge musí uverejniť dotknutý dokument v nezmenenej podobe, túto úlohu však plní len on sám a následne šíri dotknutú listinu alebo dokument. Na jednej strane uverejnenie takýchto listín a dokumentov bez možnosti kontroly alebo zmeny ich obsahu je neoddeliteľne spojené s účelmi a prostriedkami spracúvania určenými vnútroštátnym právom, keďže úloha úradného vestníka, akým je Moniteur belge, sa obmedzuje na informovanie verejnosti o existencii týchto listín a dokumentov, tak ako sú zaslané tomuto úradnému vestníku vo forme kópie v súlade s uplatniteľným vnútroštátnym právom spôsobom, aby sa stali uplatniteľnými voči tretím osobám. Na druhej strane by bolo v rozpore s cieľom článku 4 bodom 7 GDPR uvedeným v bode 28 tohto rozsudku, aby bol vylúčený z pojmu „prevádzkovateľ“ úradný vestník členského štátu z dôvodu, že nevykonáva kontrolu nad osobnými údajmi uvedenými vo svojich publikáciách (pozri analogicky rozsudok z 13. mája 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, bod 34).
39 Vzhľadom na predchádzajúce dôvody treba na prvú otázku odpovedať tak, že článok 4 bod 7 GDPR sa má vykladať v tom zmysle, že agentúru alebo subjekt poverený vedením úradného vestníka členského štátu, ktorý je podľa právnej úpravy tohto členského štátu najmä povinný uverejňovať úradné listiny a dokumenty v nezmenenej podobe, ktoré na vlastnú zodpovednosť v súlade s uplatniteľnými pravidlami vyhotovili tretie osoby a následne ich predložili súdnemu orgánu, ktorý mu ich zaslal na uverejnenie, možno, bez ohľadu na to, že nemá právnu subjektivitu, označiť za „prevádzkovateľa“, pokiaľ ide o osobné údaje uvedené v týchto listinách a dokumentoch, ak dotknuté vnútroštátne právo určuje účely a prostriedky spracúvania osobných údajov týmto úradným vestníkom.
O druhej otázke
40 Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 5 ods. 2 GDPR vykladať v tom zmysle, že agentúra alebo subjekt poverený vedením úradného vestníka členského štátu, označený za „prevádzkovateľa“ v zmysle článku 4 bodu 7 GDPR, sa má považovať za jediného zodpovedného za dodržiavanie zásad uvedených v článku 5 ods. 1 GDPR, alebo či toto dodržiavanie kumulatívne prislúcha tejto agentúre alebo tomuto subjektu a tretím verejným subjektom, ktoré predtým spracúvali osobné údaje uvedené listinách a dokumentoch uverejnených týmto úradným vestníkom.
41 V prvom rade treba pripomenúť, že podľa článku 5 ods. 2 GDPR je prevádzkovateľ zodpovedný za dodržiavanie zásad stanovených vo forme povinností v odseku 1 tohto článku a musí byť schopný preukázať, že tieto zásady sa dodržiavané.
42 V prejednávanej veci zo spisu, ktorý má Súdny dvor k dispozícii, vyplýva, že spracúvanie osobných údajov, o ktoré ide vo veci samej, ktoré bolo zverené Moniteur belge, nasleduje po spracúvaní vykonanom notárom a zároveň kanceláriou príslušného súdu a tiež sa technicky líši od spracúvania vykonávaného týmito dvoma subjektmi, keďže ho dopĺňa. Operácie, ktoré vykonáva Moniteur belge, sú mu totiž zverené vnútroštátnou právnou úpravou a zahŕňajú najmä digitálnu transformáciu údajov uvedených v listinách alebo vo výpisoch z listín, ktoré mu boli predložené, ich uverejňovanie, sprístupňovanie širokej verejnosti, ako aj ich uchovávanie.
43 Moniteur belge preto treba považovať za subjekt, ktorý je podľa článku 5 ods. 2 nariadenia GDPR zodpovedný za dodržiavanie zásad uvedených v odseku 1 tohto článku, pokiaľ ide o spracúvanie, ktoré je povinný vykonávať podľa vnútroštátneho práva, a teda za dodržiavanie všetkých povinností, ktoré prevádzkovateľovi ukladá GDPR.
44 Vzhľadom na otázky vnútroštátneho súdu, pokiaľ ide o to, či je takýto úradný vestník jediným zodpovedným za takéto spracúvania, treba pripomenúť, že ako vyplýva zo znenia článku 4 bodu 7 GDPR, toto ustanovenie stanovuje nielen to, že účely a prostriedky spracúvania osobných údajov môžu určiť spoločne viaceré osoby ako prevádzkovateľov, ale aj to, že vnútroštátne právo môže samo osebe určiť tieto účely a prostriedky a určiť prevádzkovateľa alebo konkrétne kritériá uplatniteľné na jeho určenie.
45 V rámci reťazca spracúvaní vykonávaných rôznymi osobami alebo subjektmi, ktoré sa týkajú tých istých osobných údajov, tak vnútroštátne právo môže určovať účely a prostriedky všetkých spracovateľských operácií vykonávaných postupne za sebou týmito rôznymi osobami alebo subjektmi tak, aby boli spoločne považované za prevádzkovateľov.
46 Okrem toho treba pripomenúť, že článok 26 ods. 1 GDPR stanovuje spoločnú zodpovednosť, ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania osobných údajov. V tomto ustanovení sa tiež uvádza, že spoloční prevádzkovatelia musia transparentne formou vzájomnej dohody určiť svoje príslušné povinnosti na účely zabezpečenia dodržiavania požiadaviek tohto nariadenia, pokiaľ nie sú ich príslušné povinnosti určené právom Únie alebo právom členskému štátu, ktorému podliehajú.
47 Z uvedeného ustanovenia tak vyplýva, že príslušné povinnosti spoločných prevádzkovateľov pri spracúvaní osobných údajov nezávisia nevyhnutne od existencie dohody medzi rôznymi prevádzkovateľmi (pozri v tomto zmysle rozsudok z 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, body 44 a 45), ale môže vyplývať z vnútroštátneho práva.
48 Okrem toho Súdny dvor na jednej strane rozhodol, že na to, aby bola osoba spoločne zodpovedná za spracovanie osobných údajov, stačí, že táto osoba ovplyvňuje na svoje vlastné účely spracovanie takýchto údajov, a v dôsledku toho sa podieľa na určovaní účelov a prostriedkov tohto spracúvania, a na druhej strane že spoločná zodpovednosť viacerých subjektov za to isté spracúvanie nepredpokladá, aby mal každý z nich prístup k dotknutým osobným údajom (pozri v tomto zmysle rozsudok z 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, body 40 až 43 a citovanú judikatúru).
49 Z bodov 44 až 48 tohto rozsudku vyplýva, že podľa ustanovení článku 26 ods. 1 v spojení s článkom 4 bodom 7 GDPR môže byť spoločná zodpovednosť viacerých subjektov v postupe spracúvania, ktorý sa týka tých istých osobných údajov, stanovená vnútroštátnym právom, pokiaľ sú rôzne spracovateľské operácie spojené účelmi a prostriedkami určenými týmto právom a toto právo vymedzuje príslušné povinnosti každého zo spoločných prevádzkovateľov.
50 Treba spresniť, že takéto určenie účelov a prostriedkov, ktoré spája rôzne spracovateľské operácie vykonávané viacerými subjektmi v reťazci, ako aj ich príslušných povinností, možno vykonať nielen priamo, ale aj nepriamo vnútroštátnym právom pod podmienkou, že v tomto poslednom uvedenom prípade sa toto určenie dá dostatočne explicitne vyvodiť z ustanovení právnych predpisov upravujúcich dotknuté osoby alebo subjekty, ako aj spracúvanie osobných údajov, ktoré tieto dotknuté osoby alebo subjekty vykonávajú v rámci reťazca spracúvaní stanoveného týmto právom.
51 Napokon treba pre každý prípad spresniť, že ak by vnútroštátny súd dospel k záveru, že agentúra alebo subjekt poverený vedením Moniteur belge nie je sám, ale spoločne s inými zodpovedný za dodržiavanie zásad uvedených v článku 5 ods. 1 GDPR, pokiaľ ide o údaje uvedené v pasáži, o ktorú ide vo veci samej, takýto záver by nemal nijaký vplyv na otázku, či, najmä vzhľadom na výnimky uvedené v článku 17 ods. 3 písm. b) a d) GDPR, treba vyhovieť žiadosti o vymazanie, ktorú podala fyzická osoba uvedená v bode 13 tohto rozsudku.
52 Vzhľadom na vyššie uvedené dôvody treba na druhú otázku odpovedať tak, že článok 5 ods. 2 GDPR v spojení s článkom 4 bodom 7 a článkom 26 ods. 1 tohto nariadenia sa má vykladať v tom zmysle, že agentúra alebo subjekt poverený vedením úradného vestníka členského štátu, označený za „prevádzkovateľa“ v zmysle článku 4 bodu 7 tohto nariadenia, je jediný zodpovedný za dodržiavanie zásad uvedených v článku 5 ods. 1 tohto nariadenia, pokiaľ ide o spracovateľské operácie osobných údajov, ktoré je povinný vykonať podľa vnútroštátneho práva, pokiaľ z tohto práva nevyplýva v súvislosti s týmito operáciami spoločná zodpovednosť s inými subjektmi.
O trovách
53 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (tretia komora) rozhodol takto:
1. Článok 4 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
sa má vykladať v tom zmysle, že:
agentúru alebo subjekt poverený vedením úradného vestníka členského štátu, ktorý je podľa právnej úpravy tohto členského štátu najmä povinný uverejňovať úradné listiny a dokumenty v nezmenenej podobe, ktoré na vlastnú zodpovednosť v súlade s uplatniteľnými pravidlami vyhotovili tretie osoby a následne ich predložili súdnemu orgánu, ktorý mu ich zaslal na uverejnenie, možno, bez ohľadu na to, že nemá právnu subjektivitu, označiť za „prevádzkovateľa“, pokiaľ ide o osobné údaje uvedené v týchto listinách a dokumentoch, ak dotknuté vnútroštátne právo určuje účely a prostriedky spracúvania osobných údajov týmto úradným vestníkom.
2. Článok 5 ods. 2 nariadenia č. 2016/679 v spojení s článkom 4 bodom 7 a článkom 26 ods. 1 tohto nariadenia
sa má vykladať v tom zmysle, že:
agentúra alebo subjekt poverený vedením úradného vestníka členského štátu, označený za „prevádzkovateľa“ v zmysle článku 4 bodu 7 tohto nariadenia, je jediný zodpovedný za dodržiavanie zásad uvedených v článku 5 ods. 1 tohto nariadenia, pokiaľ ide o spracovateľské operácie osobných údajov, ktoré je povinný vykonať podľa vnútroštátneho práva, pokiaľ z tohto práva nevyplýva v súvislosti s týmito operáciami spoločná zodpovednosť s inými subjektmi.
Podpisy