Laikina versija
GENERALINĖS ADVOKATĖS
LAILA MEDINA IŠVADA,
pateikta 2024 m. gegužės 30 d.(1)
Byla C‑200/23
Agentsia po vpisvaniyata
prieš
OL,
dalyvaujant
Varhovna administrativna prokuratura
(Varhoven administrativen sad (Vyriausiasis administracinis teismas, Bulgarija) pateiktas prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – Bendrovės steigimo sutarties, kurioje yra asmens duomenų, paskelbimas įmonių registre – Direktyva (ES) 2017/1132 – Duomenų valdytojas – Teisė reikalauti ištrinti asmens duomenis“
I. Įvadas
1. Prašyme priimti prejudicinį sprendimą Varhoven administrativen sad (Vyriausiasis administracinis teismas, Bulgarija) pateikia Teisingumo Teismui kelis klausimus, iš esmės susijusius su Sąjungos lygiu koordinuojamų nuostatų(2) dėl bendrovių dokumentų atskleidimo ir Reglamento (ES) 2016/679(3) tarpusavio ryšiu.
2. Šis prašymas pateiktas nagrinėjant Agentsia po vpisvaniyata (registrų įrašus tvarkanti agentūra, Bulgarija, toliau – agentūra) ir OL ginčą dėl šios agentūros atsisakymo išbraukti tam tikrus OL asmens duomenis, nurodytus įmonių registro viešai paskelbtame dokumente.
II. Teisinis pagrindas
A. Sąjungos teisė
3. Šioje išvadoje atsižvelgiama, be kita ko, į Direktyvos 2017/1132, kuria pakeista Direktyva 2009/101, 14 ir 16 straipsnius ir BDAR 4–6 ir 17 straipsnius. Siekiant didesnio aiškumo, atliekant analizę šioje išvadoje bus pateikiamas šių straipsnių reikšmingų nuostatų tekstas.
B. Bulgarijos teisė
4. Pagrindinėje byloje taikytinos redakcijos Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (Įmonių registro ir pelno nesiekiančių juridinių asmenų registro įstatymas, toliau – Registrų įstatymas(4)) 2 straipsnyje nustatyta:
„(1) Įmonių registras ir pelno nesiekiančių juridinių asmenų registras [toliau – registrai] yra bendra elektroninė duomenų bazė, kurioje nurodomos pagal įstatymą nustatytos aplinkybės ir pagal įstatymą viešai prieinami dokumentai, susiję su užsienio verslo įmonėmis ir verslo įmonių filialais, pelno nesiekiančiais užsienio juridiniais asmenimis ir pelno nesiekiančių užsienio juridinių asmenų filialais.
(2) 1 dalyje nurodytos aplinkybės ir dokumentai padaromi viešai prieinami be informacijos, sudarančios asmens duomenis, kaip jie suprantami pagal [BDAR] 4 straipsnio 1 punktą, išskyrus informaciją, kuri pagal įstatymą turi būti viešai prieinama.“
5. Pagal Registrų įstatymo 6 straipsnio 1 dalį kiekviena verslo įmonė ir kiekvienas ne pelno siekiantis juridinis asmuo turi pateikti prašymą įtraukti juos į registrus, deklaruodami aplinkybes, kurias reikalaujama įregistruoti, ir pateikdami dokumentus, kurie turi būti padaryti viešai prieinami.
6. Šio įstatymo 11 straipsnis suformuluotas taip:
„(1) [Registrai] yra vieši. Bet kuris asmuo turi teisę laisvai ir nemokamai naudotis registrus sudarančia duomenų baze.
(2) [Agentūra] užtikrina registruotą prieigą prie verslo įmonės ar pelno nesiekiančio juridinio asmens bylos.“
7. Minėto įstatymo 13 straipsnio 1, 2, 6 ir 9 dalyse nustatyta:
„(1) Įrašas įtraukiamas, išbraukiamas ir viešai paskelbiamas remiantis prašymo forma.
(2) Prašyme turi būti pateikti šie duomenys:
1) prašymo pateikėjo kontaktiniai duomenys;
<...>
3) aplinkybė, kurią reikia įrašyti, įrašas, kurį prašoma išbraukti, arba dokumentas, kuris turi būti paskelbtas viešai;
<...>
(6) Kartu su prašymu pateikiami dokumentai arba, atsižvelgiant į konkretų atvejį, dokumentas, kuris turi būti paskelbtas viešai pagal įstatymo reikalavimus. Pateikiamas dokumento originalas, prašymo pateikėjo patvirtinta kopija arba notaro patvirtinta kopija. Prašymo pateikėjas taip pat pateikia dokumentų, kurie turi būti viešai prieinami įmonių registre, patvirtintas kopijas, kuriose užmaskuoti kiti nei įstatyme reikalaujami asmens duomenys.
<...>
(9) Jeigu prašyme ar prie jo pridėtuose dokumentuose nurodomi asmens duomenys, kurių nereikalaujama pagal įstatymą, juos pateikę asmenys laikomi davusiais sutikimą, kad [agentūra] juos tvarkytų ir jie būtų viešai paskelbti.“
8. Pagrindinėje byloje taikytinos redakcijos Targovski zakon (Prekybos įstatymas)(5) 101 straipsnio 3 punkte nustatyta, kad bendrovės steigimo sutartyje turi būti nurodyta „akcininkų vardas ir pavardė, komercinis pavadinimas ir unikalusis identifikavimo kodas“.
9. Pagal Prekybos įstatymo 119 straipsnio 1 dalį norint įregistruoti bendrovę įmonių registre reikia, be kita ko, pateikti bendrovės steigimo sutartį, kuri paskelbiama viešai. Pagal šio straipsnio 4 dalį, „siekiant įmonių registre pakeisti ar papildyti bendrovės steigimo sutartį, pateikiama šios sutarties kopija su visais pakeitimais ir papildymais, patvirtinta bendrovei atstovaujančio organo, siekiant ją viešai paskelbti.“
III. Ginčas pagrindinėje byloje ir prejudiciniai klausimai
10. OL yra pagal Bulgarijos teisę įsteigtos ribotos atsakomybės bendrovės OOD, 2021 m. sausio 14 d. įregistruotos įmonių registre, akcininkė. Kartu su prašymu įregistruoti šią bendrovę buvo pateikta 2020 m. gruodžio 30 d. bendrovės steigimo sutartis, pasirašyta akcininkų (toliau – 2020 m. bendrovės steigimo sutartis). Ši sutartis, kurioje buvo nurodytas OL vardas ir pavardė, jos asmens kodas, asmens tapatybės kortelės numeris, kortelės išdavimo data ir vieta bei gyvenamosios vietos adresas, buvo įregistruota registre ir paskelbta viešai tokia, kokia buvo pateikta. 2021 m. liepos 8 d. OL paprašė agentūros išbraukti jos asmens duomenis, nurodytus 2020 m. bendrovės steigimo sutartyje, ir nurodė, kad jeigu jos duomenys tvarkomi remiantis jos sutikimu, ji atšaukia šį sutikimą. Negavusi atsakymo, OL kreipėsi į Administrativen sad Dobrich (Dobričiaus administracinis teismas, Bulgarija), šis panaikino numanomą agentūros atsisakymą patenkinti OL prašymą ir grąžino agentūrai bylą nagrinėti iš naujo. Vykdydama šį teismo sprendimą ir analogišką teismo sprendimą dėl kito akcininko, kuris ėmėsi tokių pat veiksmų, 2022 m. sausio 26 d. rašte agentūra nurodė, jog tam, kad būtų patenkintas prašymas ištrinti duomenis, jai turi būti perduota 2020 m. bendrovės steigimo sutarties patvirtinta kopija, kurioje būtų užmaskuoti akcininkų asmens duomenys, išskyrus tuos, kurių reikalaujama pagal įstatymą (toliau – 2022 m. sausio 26 d. raštas). 2022 m. sausio 31 d. OL vėl kreipėsi į Administrativen sad Dobrich (Dobričiaus administracinis teismas), prašydama panaikinti 2022 m. sausio 26 d. raštą ir įpareigoti agentūrą atlyginti neturtinę žalą, kurią patyrė dėl minėto rašto, taip pažeidžiant jai pagal BDAR suteikiamas teises. 2022 m. vasario 1 d. agentūra, prieš gaudama pranešimą dėl šio skundo, savo iniciatyva išbraukė OL asmens kodą, asmens tapatybės kortelės duomenis ir adresą, bet paliko jos pavardę, vardą ir parašą. 2022 m. gegužės 5 d. sprendimu Administrativen sad Dobrich (Dobričiaus administracinis teismas) panaikino 2022 m. sausio 26 d. raštą ir nurodė agentūrai sumokėti OL 500 Bulgarijos levų (BGN) (apie 255 EUR) kompensaciją kartu su teisės aktuose nustatytomis palūkanomis kaip neturtinės žalos atlyginimą pagal BDAR 82 straipsnį. Pagal tą teismo sprendimą patirtą žalą sudarė dėl minėto rašto (kuris lėmė BDAR 17 straipsnio 1 dalyje įtvirtintos teisės reikalauti ištrinti duomenis pažeidimą ir viešai paskelbtoje sutartyje esančių OL duomenų neteisėtą tvarkymą) patirtos neigiamos emocijos ir neigiama patirtis. Agentūra pateikė kasacinį skundą dėl tokio sprendimo prašymą priimti prejudicinį sprendimą pateikusiam teismui. Ji, be kita ko, tvirtino, kad yra ne tik duomenų valdytoja, bet ir duomenų, perduodamų per registracijos procedūrą, gavėja, ir kad, nors to paprašė prieš įregistruojant bendrovę, kurios akcininkė buvo OL, ji negavo jokios šios bendrovės steigimo sutarties kopijos, kurioje būtų užmaskuoti duomenys, neturėję būti padaryti viešai prieinami. Tačiau negalima atsisakyti įregistruoti komercinę bendrovę vien dėl šios priežasties. Agentūra remiasi 2021 m. nacionalinės priežiūros institucijos Komisia za zashtita na lichnite danni (Asmens duomenų apsaugos komisija, Bulgarija) 2021 m. nuomone, pateikta pagal BDAR 58 straipsnio 3 dalies b punktą (toliau – 2021 m. nuomonė)(6), kurioje teigiama, kad agentūrai neleidžiama keisti jos gaunamų dokumentų, siekiant juos įtraukti į registrą, turinio. OL savo ruožtu teigia, kad agentūra, kaip duomenų valdytoja, negali kitiems asmenims nustatyti jai pačiai tenkančių pareigų ištrinti duomenis. OL remiasi nacionaline jurisprudencija, pagal kurią 2021 m. nuomonė neatitinka BDAR nuostatų.
11. Šiomis aplinkybėmis Varhoven administrativen sad (Vyriausiasis administracinis teismas) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar [Direktyvos 2009/101] 4 straipsnio 2 dalis gali būti aiškinama taip, kad joje valstybei narei nustatyta pareiga leisti atskleisti bendrovės steigimo sutartį, kuri pagal [Prekybos įstatymo] 119 straipsnį turi būti įregistruota, jeigu šioje sutartyje nurodytos ne tik akcininkų pavardės, kurios privalo būti paviešintos remiantis [Registrų įstatymo] 2 straipsnio 2 dalimi, bet ir kiti jų asmens duomenys? Atsakant į šį klausimą reikia atsižvelgti į tai, kad [agentūra] yra viešoji įstaiga, kurios atžvilgiu pagal suformuotą Teisingumo Teismo jurisprudenciją galima remtis tiesioginio veikimo direktyvos nuostatomis (2006 m. rugsėjo 7 d. Sprendimo Vassallo, С‑180/04, EU:C:2006:518, 26 punktas ir jame nurodyta jurisprudencija).
2. Jeigu į pirmesnį klausimą būtų atsakyta teigiamai, ar pagrindinės bylos aplinkybėmis galima manyti, kad [agentūros] atliekamas asmens duomenų tvarkymas yra būtinas siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, kaip tai suprantama pagal [BDAR] 6 straipsnio 1 dalies e punktą?
3. Jeigu į pirmuosius du klausimus būtų atsakyta teigiamai: ar tokią nacionalinės teisės normą, kaip [Registrų įstatymo] 13 straipsnio 9 dalis, kurioje numatyta, kad tuo atveju, kai prašyme arba su šiuo prašymu susijusiuose dokumentuose pateikiami asmens duomenys, kurių pagal įstatymą pateikti neprivaloma, reikia preziumuoti, kad juos pateikę asmenys sutiko, kad [agentūra] tvarkytų šiuos duomenis ir suteiktų viešą prieigą prie jų, nepaisant [BDAR] 32, 40, 42, 43 ir 50 konstatuojamųjų dalių, galima laikyti leistina, kaip paaiškinančią galimybę „savanoriškai atskleisti“, be kita ko, asmens duomenis, kaip tai suprantama pagal [Direktyvos 2009/101] 4 straipsnio 2 dalį?
4. Ar, siekiant įgyvendinti [Direktyvos 2009/101] 3 straipsnio 7 dalyje numatytą valstybių narių pareigą imtis būtinų priemonių, kad būtų išvengta bet kokios neatitikties tarp to, kas atskleista taikant 5 dalį, ir to, kas nurodyta registre ar byloje, ir kad būtų atsižvelgta į trečiųjų asmenų interesus susipažinti su bendrovės pagrindiniais dokumentais ir sužinoti kai kuriuos su bendrove susijusius duomenis, minimus šios direktyvos 3 konstatuojamojoje dalyje, yra leistini nacionalinės teisės aktai, kuriuose numatyta procedūrinė tvarka (prašymo formos, dokumentų, kuriuose asmens duomenys buvo užmaskuoti, kopijų pateikimas), reglamentuojanti, kaip fizinis asmuo gali pasinaudoti [BDAR] 17 straipsnyje numatyta teise reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, kai asmens duomenys, kuriuos prašoma ištrinti, yra dalis viešai atskleistų (paviešintų) dokumentų, kuriuos pagal panašią procedūrinę tvarką duomenų valdytojui pateikė kitas asmuo, kuris šiuo veiksmu taip pat nustatė jo inicijuoto tvarkymo tikslą?
5. Ar, esant tokiai situacijai, kaip nagrinėjama pagrindinėje byloje, [agentūra] veikia tik kaip asmens duomenų valdytoja, ar ji yra ir jų gavėja, kai duomenų tvarkymo tikslus nustatė kitas duomenų valdytojas, pateikdamas dokumentus, kad jie būtų paviešinti?
6. Ar fizinio asmens ranka padėtas parašas yra informacija, susijusi su fiziniu asmeniu, kurio asmens tapatybė yra nustatyta, ir ar tokį parašą apima sąvoka „asmens duomenys“, kaip jie suprantami pagal [BDAR] 4 straipsnio 1 punktą?
7. Ar [BDAR] 82 straipsnio 1 dalyje vartojama sąvoka „nematerialinė žala“ turi būti aiškinama taip, kad neturtinę žalą galima preziumuoti tik esant akivaizdžiai nepalankiai padėčiai ir objektyviai suprantamam asmeninių interesų pažeidimui, ar šiuo tikslu pakanka vien trumpalaikio duomenų subjekto teisės disponuoti savo asmens duomenimis praradimo dėl tų duomenų paskelbimo prekybos registre, kai nėra jokių akivaizdžių ar neigiamų pasekmių duomenų subjektui?
8. Ar nacionalinės priežiūros institucijos [Asmens duomenų apsaugos komisija] 2021 m. nuomonė, pateikta vadovaujantis [BDAR] 58 straipsnio 3 dalies b punktu, pagal kurią [agentūra] neturi teisinės galimybės ar įgaliojimų savo iniciatyva arba duomenų subjekto prašymu apriboti jau atskleistų duomenų tvarkymo, yra priimtina kaip įrodymas, kaip tai suprantama pagal [BDAR] 82 straipsnio 3 dalį, kad [agentūra] niekaip nėra atsakinga už aplinkybę, tariamai sukėlusią žalą fiziniam asmeniui?“
IV. Procesas Teisingumo Teisme
12. Šalys pagrindinėje byloje, Bulgarijos, Vokietijos, Airijos, Italijos, Lenkijos, Suomijos vyriausybės ir Komisija pagal Europos Sąjungos Teisingumo Teismo statuto 23 straipsnį pateikė rašytines pastabas dėl visų ar dalies prejudicinių klausimų. Šalys pagrindinėje byloje, Bulgarijos, Airijos vyriausybės ir Komisija taip pat buvo išklausytos žodžiu 2024 m. kovo 7 d. posėdyje.
A. Analizė
13. Teisingumo Teismo prašymu šioje išvadoje dėmesys bus sutelktas į 4 ir 5 prejudicinius klausimus, kuriuos siūlau nagrinėti kartu. Prieš pradėdama analizę manau, kad būtina pateikti kelias įžangines pastabas dėl viso prašymo priimti prejudicinį sprendimą.
1. Įžanginės pastabos
14. Pirmiausia reikia pažymėti, kaip tai padarė šalys pagrindinėje byloje, Komisija ir dauguma pastabas Teisingumo Teismui pateikusių valstybių narių, kad sprendimo dėl prašymo priimti prejudicinį sprendimą motyvuose ir prejudicinių klausimų formuluotėse, įskaitant, be kita ko, 4-ąjį klausimą, daroma nuoroda į Direktyvos 2009/101 nuostatas. Vis dėlto nuo 2017 m. liepos 20 d. ji buvo panaikinta ir pakeista Direktyva 2017/1132, taikoma pagrindinės bylos faktinėms aplinkybėms ratione temporis. Taigi toliau savo analizėje remsiuosi tik pastarąja direktyva.
15. Toliau reikia priminti, kad Direktyva 2017/1132, visų pirma jos 16 ir 161 straipsniai, kiek tai svarbu nagrinėjant šį prašymą priimti prejudicinį sprendimą, buvo iš dalies pakeista Direktyva (ES) 2019/1151(7), įsigaliojusia 2019 m. liepos 31 d. Nors, kaip pabrėžia Komisija, tiesa, kad 2020 m. bendrovės steigimo sutartis, kurioje yra OL asmens duomenų, buvo įregistruota prekybos registre iki 2021 m. rugpjūčio 1 d., kai baigėsi Direktyvos 2019/1151 perkėlimo į nacionalinę teisę terminas(8), dalis faktinių aplinkybių susiklostė po šios datos, įskaitant tai, kad agentūra išsiuntė 2022 m. sausio 26 d. raštą, savo iniciatyva ištrynė kai kuriuos iš šių duomenų ir iš naujo paviešino juos registre, ir atsakovė pagrindinėje byloje nurodė tai savo rašytinėse pastabose. Taigi negalima atmesti galimybės, kad pagrindinėje byloje ratione temporis taikytina būtent Direktyvos 2017/1132, iš dalies pakeistos Direktyva 2019/1151, redakcija, tačiau tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas. Todėl toliau savo analizėje remsiuosi šia redakcija.
16. Vis dėlto iškart patikslinu, kad Direktyva 2019/1151 padaryti pakeitimai turi tik ribotą poveikį klausimui, kaip už įmonių registro tvarkymą atsakinga valstybės narės institucija, vykdydama savo funkcijas, turi užtikrinti asmens duomenų apsaugą. Apskritai reikia pažymėti, kad šia direktyva siekiama sustiprinti ir konsoliduoti skaitmeninių priemonių ir procesų naudojimą renkant ir tvarkant informacijos apie bendroves srautą, o tai apima didesnę prieigą prie asmens duomenų ir didina tokių duomenų apsaugos pažeidimų riziką bei žalingą tokių pažeidimų pobūdį(9). Tokiam skaitmenizavimo procesui(10), siejamam su intensyvėjančiu tarpvalstybiniu tokios informacijos prieinamumu, kurį taip pat yra nurodęs Sąjungos teisės aktų leidėjas(11), reikalingas ypatingas dėmesys nustatant, pirma, teisinio saugumo ir trečiųjų asmenų teisių apsaugos tikslų, kuriais, kaip bus aišku, grindžiamos su bendrovėmis susijusios atskleidimo taisyklės, ir, antra, pagrindinių teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą(12) pusiausvyrą.
17. Taip pat pirmiausia pažymiu, kad pagrindinė byla susijusi su asmens duomenų, kurių viešinti nereikalaujama nei pagal Direktyvą 2017/1132, nei pagal atitinkamos valstybės narės teisę, išbraukimu iš valstybės narės įmonių registro, taip pat su nacionalinės institucijos, atsakingos už šio registro tvarkymą, atsakomybe už neturtinę žalą, patirtą atsisakius nedelsiant ir besąlygiškai patenkinti prašymą ištrinti tokius duomenis. Vis dėlto ginčas pagrindinėje byloje tiesiogiai nesusijęs su klausimu, kokios pareigos tenka tokiai institucijai asmens duomenų apsaugos srityje, kai į prekybos registrą įtraukiami bendrovės steigimo dokumentai, turintys duomenų, kurių skelbti neprivaloma. Vis dėlto šis klausimas išlieka neaiškus, kaip rodo ta aplinkybė, kad daugelis įstojusių į bylą valstybių narių savo pastabose skyrė daug dėmesio siūlymui radikaliai performuluoti pirmuosius keturis prejudicinius klausimus arba kai kuriuos iš jų. Toliau analizuosiu tam tikrus šio klausimo aspektus, kartu atsižvelgdama į pagrindinės bylos dalyko ir prejudicinių klausimų, į kuriuos šioje išvadoje sutelktas dėmesys, ribas.
2. Dėl 4-ojo ir 5-ojo prejudicinių klausimų
18. 4-uoju prejudiciniu klausimu, kurio priimtinumą ginčija Bulgarijos vyriausybė, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyva 2017/1132 turi būti aiškinama taip, kad pagal ją leidžiama nustatyti specialias procedūrines sąlygas fizinio asmens, šiuo atveju – šioje direktyvoje nurodytos ribotos atsakomybės bendrovės(13) akcininkų teisei reikalauti, kad iš įmonių registro būtų ištrinti jų asmens duomenys, kurie, nors nepriskiriami prie informacijos, kurią privaloma atskleisti pagal nacionalinę teisę, yra pateikti šios bendrovės steigimo akte, kuris buvo padarytas viešai prieinamas įtraukiant jį į minėtą registrą. Vis dėlto 5-uoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas prašo Teisingumo Teismo patikslinti, ar, kiek tai susiję su tokiais duomenimis, už komercinio registro tvarkymą atsakinga institucija veikia kaip „duomenų valdytoja“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, ar ji taip pat yra tvarkomų „duomenų gavėja“, kaip tai suprantama pagal šio reglamento 4 straipsnio 9 punktą, nes jų tvarkymo tikslą iš anksto nustatė trečiasis asmuo.
19. Kaip jau minėjau, manau, kad šiuos du klausimus reikia nagrinėti kartu. Šiuo tikslu įvairias iš jų kylančias problemas išnagrinėsiu toliau nurodyta tvarka. Trumpai apžvelgusi Direktyvos 2017/1132 II priede nurodytų bendrovių pareigų viešo paskelbimo srityje apimtį, pirmiausia nagrinėsiu klausimą, kas yra asmens duomenų, nurodytų privalomai atskleidžiamuose dokumentuose, valdytojas, kai bendrovė įregistruojama valstybės narės įmonių registre, kai, kaip šiuo atveju, atitinkamų duomenų atskleisti nereikalaujama nei pagal suderintą Sąjungos teisę, nei pagal atitinkamos valstybės narės teisę. Antra, nagrinėsiu klausimą, koks šiuo atveju yra tokių duomenų tvarkymo teisinis pagrindas. Trečia, nagrinėsiu klausimą, ar po to, kai minėti duomenys atskleidžiami paviešinus dokumentą, kuriame jie buvo pateikti, suinteresuotieji asmenys turi teisę reikalauti juos ištrinti pagal BDAR 17 straipsnį. Galiausiai, ketvirta, nagrinėsiu klausimą, ar šiai teisei gali būti taikomos tokios procedūrinės taisyklės, kokias nurodė prašymą priimti prejudicinį sprendimą pateikęs teismas.
20. Prieš pradedant šią analizę reikia atsakyti į Bulgarijos vyriausybės prieštaravimus dėl 4-ojo prejudicinio klausimo priimtinumo. Ši vyriausybė mano, kad 4-asis prejudicinis klausimas iš esmės susijęs su nacionalinės teisės aktų, kurie dar nebuvo priimti, atitiktimi Direktyvos 2017/1132 16 straipsnio 7 daliai, galiojusiai iki Direktyva 2019/1151 padarytų pakeitimų. Taigi klausimas yra hipotetinio pobūdžio. Šiuo tikslu pažymiu, kad prašymą priimti prejudicinį sprendimą pateikusio teismo prašoma priimti galutinį sprendimą dėl agentūros atsisakymo ištrinti tam tikrus kitos kasacinio proceso šalies asmens duomenis, esančius dokumente, kuris buvo viešai paskelbtas po jo įtraukimo į įmonių registrą, teisėtumo ir šio atsisakymo pasekmių. Tam prašymą priimti prejudicinį sprendimą pateikęs teismas, be kita ko, turi įvertinti, ar, atsižvelgiant į Direktyvos 2017/1132 ir BDAR nuostatas, toks atsisakymas gali būti pateisinamas, be kita ko, tuo, kad šio dokumento patvirtinta kopija, iš kurios pašalinti nagrinėjami asmens duomenys, nebuvo pridėta prie bylos medžiagos. Taigi prašomas prejudicinis sprendimas yra būtinas tam, kad jį pateikęs teismas galėtų priimti sprendimą savo nagrinėjamoje byloje. Be to, nepaisant dviprasmiškos 4-ojo prejudicinio klausimo formuluotės, iš sprendimo dėl prašymo priimti prejudicinį sprendimą aiškiai matyti, kad šiuo klausimu siekiama ne gauti nuomonę dėl dar nepriimto nacionalinės teisės akto suderinamumo su Sąjungos teise, bet prašyti Teisingumo Teismo pateikti šios teisės išaiškinimą, kuris jam reikalingas ginčui jo nagrinėjamoje byloje išspręsti. Taigi, mano nuomone, 4-asis prejudicinis klausimas yra priimtinas.
3. Trumpa pareigos atskleisti dokumentus ir duomenis, susijusius su Direktyvos 2017/1132 II priede nurodytomis bendrovėmis, apimties apžvalga
21. Direktyvos 2017/1132 14 straipsnyje numatyta, kad valstybės narės privalomai atskleidžia „bent“ jame išvardytus dokumentus ir duomenis, kiek tai susiję su šios direktyvos II priede nurodytų formų bendrovėmis. Tarp dokumentų, kuriuos privaloma atskleisti, minėtos direktyvos 14 straipsnio a–c punktuose minimas bendrovės „steigimo dokument[as] ir įstat[ai], jei tai yra atskiras dokumentas“, ir jų pakeitimai. Pagal tos pačios direktyvos 4 straipsnio i punktą įstatuose, steigimo dokumente ar atskirame dokumente, kuris turi būti atskleistas, pateiktina privaloma informacija apima fizinius ar juridinius asmenis arba bendroves, pasirašiusius įstatus ar steigimo dokumentą (arba kurių vardu jie buvo pasirašyti). Tarp informacijos, kuri turi būti atskleista, 14 straipsnio d punkte minimas „paskyrimas, atleidimas iš pareigų ir duomenys apie asmenis, kurie kaip teisės aktuose numatytas organas ar tokio organo nariai“ „yra įgalinti atstovauti bendrovei jos santykiuose su trečiaisiais asmenimis ir teisminiuose procesuose“ ir (arba) „dalyvauja atliekant bendrovės administravimą, priežiūrą ar kontrolę“. Pagal Direktyvos (ES) 2017/1132, iš dalies pakeistos Direktyva (ES) 2019/1151, 16 straipsnio 2 dalį visi dokumentai ir informacija, kurie turi būti atskleisti pagal 14 straipsnį, saugomi šio straipsnio 1 dalyje nurodytoje byloje, kuri yra atidaryta centriniame prekybos arba įmonių registre, arba įtraukiami tiesiogiai į registrą(14). Pagal šios direktyvos, iš dalies pakeistos Direktyva 2019/1151, 16 straipsnio 3 ir 4 dalis valstybės narės užtikrina, kad 14 straipsnyje nurodyti dokumentai ir informacija būtų atskleidžiami registre padarant juos viešai prieinamus. Be to, valstybės narės taip pat gali reikalauti, kad kai kurie arba visi dokumentai ir informacija būtų skelbiami tam tikslui skirtame nacionaliniame leidinyje arba ne mažiau veiksmingais būdais. Valstybės narės imasi visų būtinų priemonių, kad būtų išvengta bet kokios registre saugomų duomenų ir bylos duomenų neatitikties, taip pat registre ir leidinyje skelbiamų duomenų neatitikties.
22. Atsižvelgiant į minėtus Direktyvos 2017/1132 reikalavimus, galima pateikti toliau išdėstytas pastabas.
23. Pirma, Direktyvoje 2017/1132 numatytas privalomas viso bendrovės steigimo dokumento ir jo pakeitimų paskelbimas ir prieinamumas registre(15).
24. Antra, kalbant apie šios direktyvos II priede nurodytas bendroves, pažymėtina, kad joje numatyta, kad registre turi būti viešai skelbiama ir prieinama tik informacija apie tam tikrų kategorijų asmenis, t. y. be kita ko, tuos, kurie turi įgaliojimus atstovauti bendrovei arba dalyvauja ją administruojant, prižiūrint ar kontroliuojant. Pagal tos pačios direktyvos 4 straipsnio i punktą bendrovės steigimo dokumentą pasirašiusių fizinių asmenų tapatybė taip pat turi būti atskleista.
25. Trečia, ši informacija, susijusi su fiziniais asmenimis, kurių tapatybė yra arba gali būti nustatyta, yra „asmens duomenys“, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą(16).
26. Ketvirta, minėtose Direktyvos 2017/1132 nuostatose nustatyti tik minimalūs reikalavimai dėl su bendrovėmis susijusių dokumentų ir informacijos atskleidimo. Taigi valstybės narės turi, be kita ko, nustatyti, kokių kategorijų informacija apie šios direktyvos 4 straipsnio i punkte ir 14 straipsnio d punkte nurodytų asmenų tapatybę turi būti privalomai skelbiama. Be to, valstybės narės gali reikalauti taip skelbti kitus dokumentus ar kitus duomenis, prireikus susijusius su kitų kategorijų asmenimis. Savaime suprantama, kad tai darydamos jos privalo laikytis visų Sąjungos teisės nuostatų ir, be kita ko, Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnyje ir 52 straipsnio 1 dalyje įtvirtintų principų bei BDAR nuostatų.
4. Dėl duomenų valdytojo
27. BDAR 4 straipsnio 7 punkte sąvoka „duomenų valdytojas“ apibrėžta plačiai – kaip fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri viena ar drauge su kitais „nustato duomenų tvarkymo tikslus ir priemones“. Šios plačios apibrėžties tikslas, atitinkantis šio reglamento tikslą, yra užtikrinti veiksmingą fizinių asmenų pagrindinių laisvių ir teisių apsaugą ir, be kita ko, aukštą kiekvieno asmens teisės į savo asmens duomenų apsaugą apsaugos lygį(17). Sąvoka „duomenų tvarkymas“ taip pat apibrėžta plačiai(18). Pagal BDAR 4 straipsnio 2 punktą duomenų tvarkymas pagal šį reglamentą yra „bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas“.
28. Iš Sprendimo Manni matyti, kad už įmonių registro tvarkymą atsakinga institucija, įtraukdama į šį registrą informaciją apie Direktyvos 2017/1132 14 straipsnio d punkte nurodytų asmenų tapatybę, saugodama ją šiame registre ir perduodama ją, atlieka „asmens duomenų tvarkymą“ ir yra šių duomenų „valdytoja“, kaip tai suprantama pagal BDAR 4 straipsnio 2 ir 7 punktuose pateiktas apibrėžtis. Akivaizdu, kad taip yra ir tuo atveju, kai įtraukimo į šį registrą, saugojimo ir perdavimo objektas yra kiti asmens duomenys nei tie, kurie aiškiai nurodyti šioje direktyvoje, kai šių duomenų atskleidimas yra numatytas valstybės narės teisėje.
29. Vis dėlto šioje byloje kyla klausimas, ar tokia institucija, šiuo atveju agentūra, yra atsakinga už asmens duomenų, kurių viešinti nereikalaujama nei pagal Direktyvą 2017/1132, nei pagal atitinkamos valstybės narės teisę, šiuo atveju – Bulgarijos teisę, bet kurie yra nurodyti dokumente, kurio įregistravimas ir atskleidimas yra privalomi, padarymą viešai prieinamų.
30. Mano nuomone, į šį klausimą reikia atsakyti teigiamai.
31. OL asmens duomenys viešai paskelbti įmonių registre agentūrai, kaip už šio registro tvarkymą atsakingai institucijai, vykdant jai suteiktus įgaliojimus. Kaip minėta, Bulgarijos teisės aktuose numatyta, kad prie prašymo įregistruoti bendrovę šiame registre pridedamas viešai skelbtinų dokumentų, įskaitant bendrovės steigimo sutartį, originalas arba patvirtinta kopija, kuriuos agentūra privalo padaryti viešai prieinamus. Asmens duomenų tvarkymo, kurį agentūra atlieka vykdydama savo užduotis, tikslai ir priemonės taip pat nustatyti Bulgarijos teisėje ir Sąjungos teisėje, kuria, kaip jau minėjau, buvo suderinti valstybių narių teisės aktai dėl bendrovių informacijos atskleidimo. Todėl agentūra, kaip institucija, atsakinga už įmonių registre įrašytų asmens duomenų tvarkymą Bulgarijos ir Sąjungos teisės aktuose nustatytais tikslais ir priemonėmis, turi būti laikoma „duomenų valdytoja“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą. Pažymiu, jog Teisingumo Teismas neseniai padarė analogišką išvadą dėl nacionalinės įstaigos, pagal įstatymą atsakingos už valstybės narės oficialiojo leidinio tvarkymą, 2024 m. sausio 11 d. Sprendime État belge (Oficialiojo leidinio tvarkomi duomenys)(19).
32. Šios išvados nepaneigia aplinkybė, kad nagrinėjamu atveju 2020 m. bendrovės steigimo sutartyje esantys duomenys nėra tie, kurie pagal Bulgarijos teisę turi būti padaryti viešai prieinami. Pirma, tai, kad tokia aplinkybė neturi įtakos duomenų valdytojo nustatymui, Teisingumo Teismas netiesiogiai pripažino Sprendime État belge. Byloje, kurioje buvo priimtas minėtas sprendimas, kaip ir byloje, kurioje pateiktas šis prašymas priimti prejudicinį sprendimą, ginčas buvo susijęs su duomenimis, kurių nebuvo reikalaujama padaryti viešai prieinamų pagal atitinkamos valstybės narės teisę. Antra, Registrų įstatymo 13 straipsnio 9 dalyje aiškiai numatyta, kad jeigu prašymo pateikėjas nepateikia skelbtino dokumento patvirtintos kopijos, iš kurios pašalinti nereikalaujami asmens duomenys, agentūra juos tvarko ir padaro juos viešai prieinamus remdamasi implicitiniu preziumuojamu sutikimu. Taigi net ir tokiomis aplinkybėmis Bulgarijos teisės aktuose aiškiai nurodyta, kad agentūra yra duomenų valdytoja.
33. Šiomis aplinkybėmis negaliu pritarti agentūros rašytinėse pastabose pateiktam teiginiui, kad jeigu prašymo pateikėjas nepašalina pagal įstatymą neprivalomos informacijos, esančios dokumentuose, kuriuos jis prašo įtraukti į registrą, jis pats tampa duomenų valdytoju, kai jie šiame registre paskelbiami internete. Neatsižvelgiant į tai, ar sutikimas dėl šios informacijos paskelbimo gali būti teisėtai duotas taikant Registrų įstatymo 13 straipsnio 9 dalyje numatytą prezumpciją, tokio sutikimo buvimas gali turėti įtakos ne duomenų valdytojo nustatymui, o tik duomenų tvarkymo teisėtumui.
34. Be to, neturi reikšmės ir agentūros nurodyta aplinkybė, kad dokumentai, pateikti kartu su prašymu įregistruoti juos įmonių registre, nėra struktūruoti ar mašininiu būdu nuskaitomi duomenys, priešingai nei šio registro skaitmeniniai laukai, kuriuos užpildo įrašą atliekantis agentūros darbuotojas ir kurie atitinka teisinę „registro“ apibrėžtį Bulgarijos teisėje. Agentūra yra institucija, pagal Bulgarijos teisę įgaliota tvarkyti įmonių registrą, todėl ji atsakinga už bet kokį šiame registre paskelbtų asmens duomenų tvarkymą, neatsižvelgiant į tai, ar šie duomenys pateikti prie prašymo pridėtame dokumente, ar užšifruoti agentūros tarnautojo. Taigi, net jeigu pati nepaverčia gaunamų dokumentų skaitmeniniais, ji vis dėlto yra atsakinga už šių dokumentų ir juose esančių duomenų atskleidimą naudodama registrą. Apskritai vykdydama viešojo intereso užduotį agentūra renka, registruoja, saugo, organizuoja ir tvarko visus gaunamus duomenis, aktus ir dokumentus struktūruotoje duomenų bazėje, kuri laikoma patikimu ir autentišku informacijos šaltiniu.
35. Galiausiai agentūros pripažinimo „duomenų valdytoja“, kaip tai suprantama pagal BDAR 4 straipsnio 7 dalį, nepaneigia nei tai, kad ji netikrina elektroniniuose ar popieriniuose dokumentuose, perduodamuose siekiant juos įtraukti į registrą, esančių asmens duomenų prieš įkeldama juos į internetą, nei tai, kad ji negali tų duomenų pakeisti ar ištaisyti. Šiuo klausimu primenu, kad Teisingumo Teismas jau turėjo galimybę atmesti tokio paties turinio argumentus Sprendime État belge, kiek tai susiję su trečiųjų asmenų parengtų aktų ir dokumentų, kurie vėliau buvo pateikti teisminei institucijai ir perduoti už šį leidinį atsakingai įstaigai, kad jie būtų atskleisti, paskelbimu valstybės narės oficialiajame leidinyje. To sprendimo 38 punkte Teisingumo Teismas, pirma, pažymėjo, kad šių aktų ir dokumentų paskelbimas be galimybės tikrinti ar keisti jų turinį yra glaudžiai susijęs su oficialiojo leidinio vaidmeniu, kuris apsiriboja visuomenės informavimu apie tų aktų ir dokumentų egzistavimą pagal taikytiną nacionalinę teisę, kad jais būtų galima remtis prieš trečiuosius asmenis. Antra, jis patikslino, kad jeigu valstybės narės oficialiajam leidiniui nebūtų taikoma „duomenų valdytojo“ sąvoka, tai prieštarautų BDAR 4 straipsnio 7 punkto tikslui užtikrinti veiksmingą ir visapusį fizinių asmenų apsaugą tvarkant jų asmens duomenis, motyvuojant tuo, kad valstybė narė nevykdo tokių duomenų kontrolės. Analogiški argumentai mutatis mutandis taikomi aktų ir dokumentų paskelbimui valstybių narių įmonių registruose. Nors, kaip ir minėtame sprendime nagrinėtu Moniteur belge atveju, agentūra turi paskelbti atitinkamą dokumentą tokį, koks jis yra, ji vienintelė yra atsakinga už šią užduotį ir paskui užtikrina atitinkamo dokumento sklaidą(20).
36. Šiuo etapu kyla klausimas, ar agentūra turi būti laikoma vienintele duomenų, dėl kurių kilo ginčas, valdytoja, taigi ir BDAR 5 straipsnio 1 dalyje nurodytų principų laikymosi klausimas, ar ji dalijasi šia atsakomybe su prašymo pateikėju, veikiančiu bendrovės vardu, dėl to, kad jis neišsiuntė agentūrai 2020 m. bendrovės steigimo sutarties kopijos su pašalintais asmens duomenimis.
37. Šiuo klausimu pirmiausia primenu, jog BDAR 26 straipsnio 1 dalyje numatyta, kad du ar daugiau asmenų gali kartu prisiimti atsakomybę už duomenų tvarkymą ir kad jų atitinkamos prievolės gali būti nustatytos jų tarpusavio susitarimu, Sąjungos teisėje arba jiems taikomoje atitinkamos valstybės teisėje(21). Šiuo klausimu Teisingumo Teismas patikslino, kad „bendri duomenų valdytojai“ nustatomi remiantis tuo, kad keli subjektai dalyvavo nustatant duomenų tvarkymo tikslus ir priemones(22). Nesant tokio dalyvavimo, bendra atsakomybė už duomenų tvarkymą negalima ir skirtingi dalyviai turi būti laikomi atskirais duomenų valdytojais, paeiliui tvarkančiais duomenis. Kaip nurodė EDAPP, dviejų subjektų keitimasis tais pačiais duomenimis arba duomenų rinkiniu, kai nėra bendrai nustatytų duomenų tvarkymo tikslų ar priemonių, turėtų būti laikomas duomenų perdavimu tarp atskirų duomenų valdytojų(23).
38. Taigi vien tai, kad agentūra tuo pat metu yra „duomenų valdytoja“ pagal BDAR 4 straipsnio 7 punktą ir „duomenų gavėja“, kaip tai suprantama pagal šio straipsnio 9 punktą, nes gauna asmens duomenis, esančius aktuose ir dokumentuose, pridėtuose prie prašymo įregistruoti juos įmonių registre, neleidžia atmesti galimybės, kad ji viena prisiima atsakomybę už šių duomenų padarymą viešai prieinamų. Iš tiesų toks pateiktuose dokumentuose nurodytų duomenų padarymas viešai prieinamų, kaip ir jų skaitmeninimas bei saugojimas, yra atskiras ir paskesnis tvarkymas, palyginti su prašymo pateikėjo atliekamu duomenų perdavimu siekiant įregistruoti bendrovę. Agentūra viena atlieka visas šias duomenų tvarkymo operacijas, vykdydama jai pavestą viešąją užduotį ir laikydamasi Bulgarijos teisės aktuose nustatytų tikslų ir tvarkos(24).
39. Žinoma, pirma, Teisingumo Teismas sprendime État belge(25) yra patikslinęs, jog tam, kad asmuo būtų laikomas bendrai atsakingu už duomenų valdymą, pakanka, kad jis, siekdamas savo tikslų, darytų įtaką asmens duomenų tvarkymui ir dėl to dalyvautų nustatant tokio tvarkymo tikslus ir priemones(26). Vis dėlto nagrinėjamu atveju iš Teisingumo Teismo turimos bylos medžiagos matyti, kad dokumentuose, kurie turi būti padaryti viešai prieinami įmonių registre, esančių duomenų tvarkymo tikslai ir priemonės nustatomi tik įstatymu. Subjektai, kurie visuomenės naudai įkelia dokumentus ir informaciją, kurią pagal įstatymą privaloma atskleisti šio registro duomenų bazėje(27), neturi jokios įtakos šiam nustatymui, todėl jie, kaip ir pati bendrovė, negali būti laikomi atsakingais už duomenų, kuriuos perduoda agentūrai, paskesnį tvarkymą, įskaitant šių duomenų atskleidimą per elektroninę registro duomenų bazę. Be to, perduodami agentūrai viešai skelbtinus dokumentus ir tvarkydami juose esančius duomenis šie subjektai siekia savo tikslų, t. y. įvykdyti bendrovei įregistruoti būtinus formalumus, kurie skiriasi nuo registrui priskirtų ir agentūros siekiamų viešųjų tikslų, kai ji užtikrina, kad tokie dokumentai būtų viešai prieinami(28).
40. Antra, Sprendime État belge Teisingumo Teismas pripažino, kad tuo atveju, kai tuos pačius asmens duomenis tvarko skirtingų asmenų ar subjektų grandinė, nacionalinėje teisėje gali būti numatyti šių skirtingų asmenų ar subjektų paeiliui atliekamų visų tvarkymo operacijų tikslai ir priemonės, kad tie tvarkytojai būtų bendrai laikomi duomenų valdytojais(29). Taigi pagal BDAR 26 straipsnio 1 dalies nuostatas, siejamas su to paties reglamento 4 straipsnio 7 dalies nuostatomis, tų pačių asmens duomenų tvarkymo grandinėje veikiančių kelių subjektų bendra atsakomybė gali būti nustatyta nacionalinėje teisėje, jeigu atskiras tvarkymo operacijas vienija toje teisėje nustatyti tikslai ir priemonės ir jeigu joje atitinkamai nustatyta kiekvieno bendro duomenų valdytojo atsakomybė(30). Vis dėlto manau, kad taip nėra, kalbant apie Registrų įstatymo 13 straipsnio 6 ir 9 dalis, kuriose tik apibrėžiama, kokiomis sąlygomis pagal Bulgarijos teisės aktus duomenų subjektas yra teisėtai davęs sutikimą, kad jo asmens duomenys, kurių nereikalaujama skelbti viešai, būtų paskelbti įmonių registre. Šia nuostata siekiama ne nustatyti bendrą prašymo pateikėjo atsakomybę už tolesnį šių duomenų tvarkymą, o veikiau patikslinti agentūros atliekamo duomenų tvarkymo teisėtumo pagrindą. Be to, kaip jau pažymėjau, visuomenės siekiami privatūs tikslai skiriasi nuo agentūros siekiamų viešųjų tikslų, todėl, mano nuomone, nėra įvykdytos Sprendime État belge nustatytos sąlygos, kad jų, kaip „tuos pačius asmens duomenis tvarkančių grandinės“ dalyvių, bendrą atsakomybę būtų galima laikyti nustatyta Bulgarijos teisėje.
41. Remdamasi visu tuo, kas išdėstyta, laikausi nuomonės, kad BDAR 4 straipsnio 7 punktas ir 26 straipsnio 1 dalis turi būti aiškinami taip: už valstybės narės įmonių registro tvarkymą atsakinga institucija, kuri pagal šios valstybės teisės aktus turi užtikrinti dokumentų, jai perduotų pateikus prašymą įtraukti bendrovę į šį registrą, paskelbimą, yra vienintelė atsakinga už šiuose dokumentuose esančių asmens duomenų padarymą viešai prieinamų, net jei tai yra duomenys, kurių skelbti nereikalaujama ir kurie pagal šiuos teisės aktus turėjo būti pašalinti iš šių dokumentų prieš juos perduodant minėtai institucijai.
5. Dėl duomenų tvarkymo teisėtumo pagrindo
42. Bet koks asmens duomenų tvarkymas turi atitikti BDAR 5 straipsnio 1 dalyje įtvirtintus duomenų tvarkymo principus ir šio reglamento 6 straipsnyje išvardytas sąlygas(31) – jame numatytas išsamus ir baigtinis sąrašas atvejų, kai toks duomenų tvarkymas gali būti laikomas teisėtu(32). Pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos a punktą asmens duomenų tvarkymas yra teisėtas, jeigu ir tiek, kiek duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais. Nesant tokio sutikimo arba kai šis sutikimas nebuvo duotas laisva valia, konkrečiai, tinkamai informuotai ir nedviprasmiškai, išreikštas pareiškimu arba vienareikšmiais veiksmais, kaip tai suprantama pagal BDAR 4 straipsnio 11 punktą, toks duomenų tvarkymas vis dėlto yra pateisinamas, jeigu atitinka vieną iš šio reglamento 6 straipsnio 1 dalies pirmos pastraipos b–f punktuose nurodytų būtinumo reikalavimų, kurie turi būti aiškinami siaurai(33).
43. Nagrinėjamu atveju Registrų įstatymo 13 straipsnio 9 dalyje nustatyta sutikimo prezumpcija akivaizdžiai neatitinka BDAR 6 straipsnio 1 dalies pirmos pastraipos a punkte, siejamame su šio reglamento 4 straipsnio 11 punktu, reikalaujamų sąlygų(34). Taigi reikia patikrinti, ar toks duomenų tvarkymas, koks nagrinėjamas pagrindinėje byloje, atitinka vieną iš kitų minėto reglamento 6 straipsnio 1 dalies pirmoje pastraipoje nurodytų pateisinimų.
44. Iš Sprendimo Manni aišku, kad asmens duomenų tvarkymas, kurį atlieka už registro tvarkymą atsakinga institucija, įgyvendindama Sąjungos aktus, suderinančius nacionalines nuostatas dėl bendrovių dokumentų atskleidimo, atitinka, be kita ko, BDAR 6 straipsnio 1 dalies pirmos pastraipos c ir e punktuose numatytus teisėtumo pagrindus, susijusius, pirma, su duomenų valdytojui taikomos teisinės pareigos vykdymu ir, antra, su viešojo intereso užduoties arba duomenų valdytojui pavestų viešosios valdžios funkcijų vykdymu. Taigi savo analizę atliksiu atsižvelgdama būtent į šiuos du pagrindus.
45. Pirma, kiek tai susiję su BDAR 6 straipsnio 1 dalies pirmos pastraipos c punkte numatytu pagrindu, pirmiausia reikia išnagrinėti, ar pagrindinėje byloje nagrinėjamas asmens duomenų, nepriskiriamų prie informacijos, kuri pagal Direktyvą 2017/1132 arba Bulgarijos teisę turi būti atskleista, padarymas viešai prieinamų įmonių registre buvo pateisinamas reikalavimu užtikrinti šios direktyvos 14 straipsnyje nurodytų dokumentų paskelbimą, todėl buvo būtinas, kad būtų įvykdyta iš Sąjungos teisės kylanti teisinė prievolė.
46. Pagal minėtos direktyvos 16 straipsnio 3 dalį valstybės narės užtikrina, kad šie dokumentai būtų viešai prieinami šio straipsnio 1 dalies pirmoje pastraipoje nurodytame registre. Vokietijos, Airijos ir Lenkijos vyriausybės iš esmės mano, kad pagal šį straipsnį, siejamą su minėtu 14 straipsniu, registrą tvarkančios institucijos turi paskelbti dokumentus tokius, kokie jie yra. Todėl jos privalo tvarkyti visus juose esančius asmens duomenis, įskaitant tuos, kurių nereikalaujama pagal taikytiną Sąjungos ar nacionalinę teisę.
47. Nepritariu šiam aiškinimui. Direktyvoje 2017/1132 numatyta, kad tam tikri esminiai bendrovių dokumentai privalomai atskleidžiami ir kad tai daroma per registrą, tačiau joje nereikalaujama sistemingai tvarkyti visų šiuose dokumentuose esančių asmens duomenų, net jei paaiškėtų, kad toks duomenų tvarkymas prieštarauja BDAR nuostatoms. Priešingai, kaip jau priminiau šioje išvadoje, šios direktyvos, iš dalies pakeistos Direktyva 2019/1151, 161 straipsnyje numatyta, kad šis reglamentas taikomas visų asmens duomenų tvarkymui. Todėl valstybės narės turi rasti tinkamą pusiausvyrą tarp teisinio saugumo ir trečiųjų asmenų interesų apsaugos tikslų, kuriais, kaip jau tapo aišku, grindžiamos bendrovių dokumentų atskleidimo taisyklės ir pagrindinės teisės į asmens duomenų apsaugą.
48. Dabar reikia patikrinti, ar pagrindinėje byloje nagrinėjamų duomenų paskelbimas įmonių registre buvo būtinas, siekiant įvykdyti Bulgarijos teisės aktuose nustatytą teisinę prievolę. Šiuo klausimu primenu, jog Registrų įstatymo 2 straipsnio 2 dalyje numatyta, kad dokumentai, kurie turi būti įtraukti į įmonių registrą, „padaromi viešai prieinami be informacijos, kuri yra asmens duomenys, kaip tai suprantama pagal [BDAR] 4 straipsnio 1 punktą, išskyrus informaciją, kuri pagal įstatymą turi būti viešai prieinama“. Taigi neatrodo, kad pagrindinėje byloje nagrinėjamo duomenų tvarkymo teisėtumas gali būti grindžiamas „teisine prievole“, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos c punktą, kuri agentūrai buvo nustatyta pagal Bulgarijos teisę, o tai, regis, patvirtina ir Registrų įstatymo 13 straipsnio 9 dalyje nustatyta sutikimo prezumpcija. Vis dėlto sprendimą šiuo klausimu turi priimti prašymą priimti prejudicinį sprendimą pateikęs teismas, kuris vienintelis turi jurisdikciją aiškinti nacionalinę teisę. Čia tik patikslinu, kad, mano nuomone, vien aplinkybės, kuria remiasi agentūra, kad, nesant kopijos su užmaskuotais pagal įstatymą nereikalaujamais asmens duomenimis, ji turi paskelbti jai perduotą dokumentą tokį, koks jis yra, nepakanka siekiant apibūdinti „teisinę prievolę“, kaip ji suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos c punktą, nes toks paskelbimas a priori negalimas pagal įstatymą ir agentūra tai daro remdamasi tik preziumuojamu sutikimu(35). Šiuo klausimu svarbu pabrėžti, jog duomenų valdytojas turi įsitikinti, kad jo atliekamas duomenų tvarkymas yra „teisėtas“ atsižvelgiant į šio reglamento 6 straipsnio 1 dalies pirmos pastraipos a–f punktuose nustatytas sąlygas(36).
49. Antra, kiek tai susiję su BDAR 6 straipsnio 1 dalies pirmos pastraipos e punkte nurodytu pagrindu, kurį nurodo ir prašymą priimti prejudicinį sprendimą pateikęs teismas, ir dauguma pastabas šioje byloje pateikusių valstybių narių, primenu, jog Teisingumo Teismas jau turėjo progą nuspręsti, kad viešosios valdžios institucijos vykdoma duomenų, kuriuos įmonės privalo skelbti vykdydamos teisės aktuose nustatytas prievoles, saugojimo duomenų bazėje veikla, kad suinteresuotieji asmenys galėtų susipažinti su šiais duomenimis ir gauti šių duomenų kopijas, priskirtina viešosios valdžios įgaliojimų vykdymui(37) ir yra viešojo intereso labui vykdoma užduotis(38). Kaip generalinis advokatas Y. Bot nurodė savo išvadoje byloje, kurioje buvo priimtas Sprendimas Manni, įtraukiant į šiuos registrus esminę informaciją apie įmones ir viešai ją skelbiant siekiama sukurti patikimą informacijos šaltinį ir taip užtikrinti teisinį saugumą, kuris yra būtinas siekiant apsaugoti trečiųjų asmenų, be kita ko, kreditorių, interesus, komercinių sandorių sąžiningumą, taigi ir tinkamą rinkos veikimą(39). Be to, kaip yra pažymėjęs Teisingumo Teismas, visų reikšmingų duomenų saugojimas šiuose registruose ir trečiųjų asmenų galimybė susipažinti su šiais duomenimis padeda skatinti valstybių narių tarpusavio prekybą, taip pat ir siekiant vystyti vidaus rinką(40).
50. Nagrinėjamu atveju kyla klausimas, ar šiais tikslais ir BDAR 6 straipsnio 1 dalies pirmos pastraipos e punkte numatytu teisėtumo pagrindu galima remtis, kai agentūra padaro viešai prieinamus pagrindinėje byloje nagrinėjamus asmens duomenis, kurių nėra tarp tų, kurie pagal Sąjungos ar Bulgarijos teisę turi būti privalomai atskleidžiami.
51. Šiuo klausimu primenu, kad BDAR 6 straipsnio 3 dalyje, siejamoje su jo 45 konstatuojamąja dalimi, visų pirma kalbant apie šio straipsnio 1 dalies pirmos pastraipos e punkte nurodytą teisėtumo atvejį, patikslinama, kad duomenų tvarkymas turi būti grindžiamas Sąjungos teise arba duomenų valdytojui taikoma valstybės narės teise ir kad šis teisinis pagrindas turi atitikti viešojo intereso tikslą ir būti proporcingas siekiamam teisėtam tikslui(41). Vis dėlto nė vienas iš šių reikalavimų (Teisingumo Teismas yra patikslinęs, kad jais išreiškiami iš Chartijos 52 straipsnio 1 dalies kylantys reikalavimai(42)), neatrodo įvykdytas šioje byloje, susijusioje su asmens duomenų tvarkymu, kuris, nors vykdomas, kai siekiama atlikti užduotį dėl viešojo intereso, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos e punktą, pagal taikytinus nacionalinės teisės aktus nelaikomas a priori būtinu šiai užduočiai vykdyti ar siekti įmonių registrui nustatytų tikslų ir kuris leidžiamas tik remiantis preziumuojamu duomenų subjekto sutikimu.
52. Apskritai reikia pažymėti, kad Sąjungos ar valstybės narės teisėje nereikalaujamų asmens duomenų paskelbimas neatitinka nė vieno iš šios išvados 49 punkte nurodytų tikslų(43), nes tik šie tikslai pateisina Chartijos 7 ir 8 straipsniuose įtvirtintų duomenų subjektų teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą suvaržymą(44). Be to, kaip Teisingumo Teismas pabrėžė Sprendime Manni, būtent todėl, kad iš esmės numatyta skelbti tik tam tikrus asmens duomenis, t. y. duomenis, susijusius su asmenų, kurie yra įgalioti atstovauti bendrovei, tapatybe ir atitinkamomis funkcijomis ir kurie dėl to yra būtini trečiųjų asmenų interesams apsaugoti, toks suvaržymas nelaikomas neproporcingu(45).
53. Bulgarijos vyriausybė ir agentūra iš esmės teigia, kad pagrindinėje byloje nagrinėjamas duomenų tvarkymas pagal Bulgarijos teisę grindžiamas reikalavimu užtikrinti bendrovių esminių dokumentų atskleidimą, išlaikyti jų vientisumą ir patikimumą ir netrukdyti agentūrai vykdyti viešojo intereso užduoties. Darant prielaidą, kad prašymą priimti prejudicinį sprendimą pateikęs teismas prieis prie tokios pačios išvados, jis dar turėtų įsitikinti, kad laikomasi proporcingumo principo. Pagal šį principą pagrindinės teisės į asmens duomenų apsaugą ribojimai turi būti taikomi tik tiek, kiek griežtai būtina(46), o taip nėra tuo atveju, kai siekiamas bendrojo intereso tikslas pagrįstai gali būti taip pat veiksmingai pasiektas kitomis priemonėmis, kuriomis ši teisė mažiau ribojama(47). Taip pat reikia priminti, jog BDAR 5 straipsnio 1 dalies c punkte numatyta, kad asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi, ir valstybių narių reikalaujama laikytis „duomenų kiekio mažinimo principo“, kuriuo išreiškiamas proporcingumo principas(48).
54. Vis dėlto man atrodo, kad tikslą užtikrinti bendrovių esminių dokumentų atskleidimą galima pagrįstai pasiekti nustatant procedūras, leidžiančias prieš atskleidžiant šiuos dokumentus užmaskuoti asmens duomenis, kurių nereikalaujama padaryti viešai prieinamų. Tokios procedūros gali apimti, be kita ko, agentūros pareigą sustabdyti bendrovės registraciją, kad būtų galima pataisyti dokumentus, kuriuose yra tokių duomenų, arba prireikus savo iniciatyva juos ištrinti.
55. Nemanau, kad būtų galima pritarti daugelio pastabas šioje byloje pateikusių valstybių narių argumentams, kad tokių procedūrų nustatymas galėtų pavėlinti prašymų įtraukti duomenis į įmonių registrą nagrinėjimą, taip pirmiausia pakenkiant akcininkų interesams, arba kad dėl tokių procedūrų nacionalinės valdžios institucijoms tektų pernelyg sudėtingos užduotys. Pirma, šios procedūros yra būtinos siekiant suderinti interesus, kurių siekiama bendrovių aktų atskleidimu, su pagrindine teise į asmens duomenų apsaugą, ypač kai aptariami asmens duomenys, kaip pažymėjau šios išvados 16 punkte, skirti padaryti viešai prieinami skaitmeninėje aplinkoje be jokių apribojimų. Antra, jos galėtų būti grindžiamos duomenų paieškos ir identifikavimo priemonėmis, leidžiančiomis palengvinti šių institucijų užduotį, ir būti sukurtos taip, kad užduotis užmaskuoti asmens duomenis, kurie neturi būti atskleisti, pirmiausia tektų prašymo pateikėjams, kaip, beje, numatyta Bulgarijos teisėje.
56. Dėl reikalavimo išlaikyti privalomai skelbtinų bendrovių dokumentų, perduodamų siekiant juos įtraukti į bendrovių registrą, vientisumą ir patikimumą – jį nurodė Bulgarijos vyriausybė ir agentūra, taip pat dauguma pastabas šioje byloje pateikusių valstybių narių – dėl kurio šiuos dokumentus reikėtų skelbti tokius, kokie jie buvo perduoti už registro tvarkymą atsakingoms institucijoms, manau, kad jis negali būti visada viršesnis už pagrindinę teisę į asmens duomenų apsaugą, nes priešingu atveju ši apsauga taptų visiškai iliuzinė.
57. Iš tikrųjų esu linkusi manyti, kad šis reikalavimas galėtų pateisinti nebent tokiuose dokumentuose esančių asmens duomenų, kurių neprivaloma viešai skelbti, saugojimą, bet ne jų paskelbimą atviroje registro duomenų bazėje be jokių apribojimų ar suvaržymų. Konkrečiau kalbant, manau, kad šių dokumentų kopijos pateikimas visuomenei be nereikalingų asmens duomenų ir originalo saugojimas byloje leistų užtikrinti tinkamą šio reikalavimo ir duomenų subjektų duomenų apsaugos pusiausvyrą. Taigi galimybė susipažinti su dokumento originalu ir visais jame esančiais duomenimis būtų leidžiama tik kiekvienu konkrečiu atveju, esant tai pateisinančiam teisėtam interesui, įskaitant dokumento autentiškumo patikrinimą, ir laikantis BDAR nuostatų.
58. Šiuo klausimu, priešingai, nei, be kita ko, teigia Airijos vyriausybė, laikausi nuomonės, jog Direktyvos 2017/1132, iš dalies pakeistos Direktyva 2019/1151, 16a straipsnis, kiek jame numatyta, kad „[v]alstybės narės užtikrina, kad registre būtų galima gauti visų 14 straipsnyje nurodytų dokumentų <...> ar bet kurios jų dalies kopijas“, nereiškia, kad valstybės narės privalo leisti be apribojimų susipažinti su visais šiais dokumentais. Vis dėlto, kaip jau pažymėjau, pagal Direktyvos 2017/1132, iš dalies pakeistos Direktyva 2019/1151, 16a straipsnį valstybės narės įpareigojamos nustatyti procedūras, leidžiančias užtikrinti, kad vykdydamos joms patikėtą viešojo intereso užduotį už bendrovių registro tvarkymą atsakingos institucijos laikytųsi visų BDAR nuostatų.
59. Remdamasi tuo, kas išdėstyta, laikausi nuomonės, kad pagrindinėje byloje nagrinėjamas duomenų tvarkymas negali būti laikomas grindžiamu kitos kasacinio proceso šalies pagrindinėje byloje sutikimu, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos a punktą, siejamą su šio reglamento 4 straipsnio 11 punktu. Atrodo, kad toks duomenų tvarkymas taip pat neatitinka nei BDAR 6 straipsnio 1 dalies pirmos pastraipos c punkte, nei šio straipsnio e punkte, siejamame su minėto reglamento 6 straipsnio 3 dalimi, nustatytų teisėtumo sąlygų, tačiau tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas. Dėl išsamumo pridursiu, kad toks duomenų tvarkymas taip pat negali patekti į BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkto, susijusio su asmens duomenų tvarkymu siekiant teisėtų duomenų valdytojo interesų, taikymo sritį. Kaip yra patikslinęs Teisingumo Teismas, iš BDAR 6 straipsnio 1 dalies antros pastraipos aiškiai matyti, kad asmens duomenų tvarkymas, kurį viešosios valdžios institucija atlieka vykdydama savo užduotis, negali patekti į BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkto taikymo sritį, todėl gali būti taikoma arba ši nuostata, arba šio reglamento 6 straipsnio 1 dalies pirmos pastraipos e punktas(49). Nagrinėjamu atveju pagrindinėje byloje aptariamą asmens duomenų tvarkymą agentūra atlieka vykdydama jai pavestą viešojo intereso užduotį, todėl BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktas negali būti taikomas, nepaisant to, kad atitinka BDAR 6 straipsnio 3 dalyje nustatytas sąlygas.
60. Taigi negalima atmesti galimybės, jog prašymą priimti prejudicinį sprendimą pateikęs teismas padarys išvadą, kad pagrindinėje byloje nagrinėjamas duomenų tvarkymas buvo neteisėtas, nes neatitiko vieno iš BDAR 6 straipsnio 1 dalyje numatytų pagrindų.
6. Teisė reikalauti ištrinti duomenis
61. BDAR 17 straipsnyje įtvirtinta duomenų subjekto teisė reikalauti ištrinti jo asmens duomenis, kai taikoma viena iš šio straipsnio 1 dalyje išvardytų priežasčių ir atitinkamai kyla duomenų valdytojo pareiga kuo greičiau ištrinti asmens duomenis.
62. Vis dėlto BDAR 17 straipsnio 3 dalyje patikslinta, kad šio straipsnio 1 dalis netaikoma, jeigu atitinkamas duomenų tvarkymas būtinas dėl kurios nors iš pirmojoje nuostatoje išvardytų priežasčių. Tarp šių priežasčių, nurodytų minėto reglamento 17 straipsnio 3 dalies b punkte, yra Sąjungos teisėje arba valstybės narės teisėje, kuri taikoma duomenų valdytojui, numatytos teisinės prievolės, įpareigojančios tvarkyti duomenis, laikymasis, užduoties vykdymas viešojo intereso labui arba jos vykdymas atliekant duomenų valdytojui pavestas viešosios valdžios funkcijas.
63. Kadangi šios teisės reikalauti ištrinti duomenis išimtys atspindi BDAR 6 straipsnio 1 dalies pirmos pastraipos c ir e punktuose nurodytus duomenų tvarkymo pateisinimo pagrindus, dėl galimybės remtis šiomis išimtimis pagrindinės bylos aplinkybėmis darau nuorodą į šios išvados 45–58 punktuose atliktą analizę(50).
64. Taigi, jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas nuspręstų, kad pagrindinėje byloje nagrinėjamas asmens duomenų paskelbimas įmonių registre pagal Bulgarijos teisę nepatenka į BDAR 6 straipsnio 1 dalies pirmos pastraipos c arba e punktų, siejamų su šio reglamento 6 straipsnio 3 dalimi, taigi ir į 17 straipsnio 3 dalies b punkto, taikymo sritį, kita kasacinio proceso šalis pagrindinėje byloje turėtų teisę reikalauti ištrinti duomenis, t. y. kad tokie duomenys nebebūtų skelbiami viešai, ir agentūra, kaip duomenų valdytoja, privalėtų jos reikalavimą patenkinti. BDAR 17 straipsnio 1 dalies d punkte numatyta absoliuti duomenų subjekto teisė į tai, kad jo asmens duomenys būtų ištrinti, kai jie tvarkomi neteisėtai(51).
65. Jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas vis dėlto nuspręstų, kad pagrindinėje byloje aptariamas duomenų tvarkymas atitiko BDAR 6 straipsnio 1 dalies pirmos pastraipos c arba e punktus, a priori būtų taikytinas šio reglamento 17 straipsnio 3 dalies b punktas. Vis dėlto reikia pateikti du paaiškinimus.
66. Pirma, jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas prieitų prie išvados, kad pagrindinėje byloje nagrinėjamų asmens duomenų padarymas viešai prieinamų buvo būtinas agentūrai pavestai viešojo intereso užduočiai vykdyti, kad bendrovės įtraukimas į įmonių registrą nebūtų pavėlintas, mano nuomone, vien šia priežastimi nebūtų galima remtis siekiant pateisinti šių duomenų palikimą registre po bendrovės įregistravimo ir dėl to pagal BDAR 17 straipsnio 3 dalies b punktą atmesti kitos kasacinio proceso šalies teisę reikalauti ištrinti duomenis. Taigi ši teisė būtų užtikrinta pagal šio reglamento 17 straipsnio 1 dalies c punktą, taikomą tuo atveju, kai duomenų subjektas pagal to paties reglamento 21 straipsnio 1 dalį dėl priežasčių, susijusių su jo konkrečia padėtimi, prieštarauja, kad jo asmens duomenys būtų tvarkomi, be kita ko, remiantis minėto reglamento 6 straipsnio 1 dalies pirmos pastraipos e punktu, ir kai nėra „viršesnių teisėtų priežasčių tvarkyti duomenis“, o tai turi įrodyti duomenų valdytojas(52). Dėl tų pačių priežasčių, kurios jau buvo nurodytos šios išvados 56 punkte, manau, kad reikalavimas išlaikyti dokumentų, kuriais grindžiamas bendrovės įtraukimas į registrą, vientisumą ir patikimumą negali būti tokia viršesnė teisėta priežastis. Iš tikrųjų, kaip jau pažymėjau, šis reikalavimas gali būti įvykdytas taikant kitas priemones, kurios mažiau ribotų pagrindinę teisę į asmens duomenų apsaugą.
67. Antra, iš Sprendimo Manni matyti, kad prieigos suteikimas tik tretiesiems asmenims, kurie pateisina konkretų interesą, kiekvienu konkrečiu atveju gali būti pateisinamas dėl viršesnėmis ir teisėtomis priežastimis, susijusiomis su konkrečia duomenų subjektų padėtimi, net jei tai būtų asmens duomenys, kuriuos pagal Direktyvą (ES) 2017/1132 privaloma viešinti, taigi net tuo atveju, kai jie turi būti paviešinti dėl teisinės prievolės, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos c punktą. Toks apribojimas juo labiau turėtų būti pripažintas, kalbant apie asmens duomenis, kurių neprivaloma viešinti nei pagal Sąjungos teisę, nei pagal nacionalinę teisę. Be to, tokiu atveju sąlyga, kurią Teisingumo Teismas Sprendime Manni nustatė galimybės susipažinti su informacija apie bendrovės likvidatoriaus tapatybę apribojimui, t. y. kad turi būti praėjęs pakankamai ilgas laikas po bendrovės likvidavimo, šiuo atveju netaikytina, todėl galimybės susipažinti su tokiais duomenimis apribojimas turėtų būti pritaikytas kuo greičiau.
7. Dėl konkrečių procedūrinių taisyklių nustatymo teisės reikalauti ištrinti duomenis įgyvendinimui
68. Iš sprendimo dėl prašymo priimti prejudicinį sprendimą matyti, kad agentūra nustatė reikalavimą laikytis specialių procedūrinių taisyklių, kai OL pateikė prašymą ištrinti su ja susijusius asmens duomenis, kurių pagal Bulgarijos teisę nereikalaujama atskleisti; ji konkrečiai reikalavo pateikti dokumento su minėtais duomenimis kopiją, kurioje šie duomenys būtų užmaskuoti. Nepateikus tokios kopijos, šis prašymas būtų atmestas arba jo nagrinėjimas atidėtas sine die. Remiantis agentūros pateiktais paaiškinimais, laikytis šių procedūrinių taisyklių būtina, nes ji neturi įgaliojimų iš dalies pakeisti nagrinėjamo dokumento, kadangi toks pakeitimas priklauso tik bendrovės organų kompetencijai.
69. Primenu, kad pagal BDAR 23 straipsnio 1 dalį Sąjungos ar valstybės narės teisėje nustatytomis „teisėkūros priemon[ėmis] gali būti apribotos 12–22 straipsniuose <...> nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti“ vieno iš joje išvardytų tikslų įgyvendinimą. Agentūros taikomos procedūrinės taisyklės gali patekti į BDAR 23 straipsnio 1 dalies taikymo sritį, jeigu jomis apribojamas teisės reikalauti ištrinti duomenis ir BDAR 21 straipsnyje numatytos teisės nesutikti įgyvendinimas arba šios teisės netgi išvis atimamos, kai duomenų subjektui nepavyksta iš bendrovės gauti reikalaujamų atitinkamo dokumento pakeitimų(53). Taigi reikia patikrinti, ar šioje nuostatoje numatytos sąlygos nagrinėjamu atveju yra įvykdytos, net jei prašymą priimti prejudicinį sprendimą pateikęs teismas aiškiai neprašo Teisingumo Teismo priimti sprendimo šiuo klausimu.
70. Pirmiausia pažymiu, jog atrodo, kad šios procedūrinės taisyklės tiesiog priskiriamos agentūros vidaus praktikai(54). Taigi neatrodo, kad jau dėl šios priežasties jos atitiktų BDAR 23 straipsnio 1 dalį, kurioje numatyta, kad šioje nuostatoje išvardyti teisių apribojimai turi būti nustatomi „teisėkūros priemon[ėmis]“, tačiau tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.
71. Dėl šių procedūrinių taisyklių dar kyla klausimų, ar laikomasi proporcingumo principo.
72. Nors man atrodo, kad reikalavimas užtikrinti į įmonių registrą įtrauktų dokumentų patikimumą, autentiškumą ir apskritai skaidrumą bei teisinį saugumą vykdant šiam registrui patikėtą užduotį gali atitikti „Sąjungos ar valstybės narės svarbius tikslus, susijusius su bendrais viešaisiais interesais“, kaip tai suprantama pagal BDAR 23 straipsnio 1 dalies e punktą, manau, jis nepateisina teisės reikalauti ištrinti duomenis ar teisės nesutikti apribojimo ar atėmimo tokiomis aplinkybėmis, kokios susiklostė pagrindinėje byloje, kai galima panaudoti kitas priemones, kurios mažiau ribotų pagrindinę teisę į asmens duomenų apsaugą.
73. Nors Komisija šiomis aplinkybėmis mano, kad pagrįsta tikėtis, jog bendrovė pakeis dokumentą, pašalindama duomenis, kuriuos prašoma ištrinti, ji siūlo, kad agentūra pati užmaskuotų šiuos duomenis praėjus pagrįstam laikotarpiui, jei paaiškėtų, kad duomenų subjektas negali pasiekti, kad bendrovė pati atliktų tokius pakeitimus.
74. Nesu įsitikinusi, ar toks sprendimas užtikrintų teisingą įvairių teisių ir interesų pusiausvyrą, nes taip neapibrėžtą laiką viešai prieinamoje skaitmeninėje aplinkoje būtų saugomi duomenys, kurie neturėjo būti atskleisti. Manau, kad tokia pusiausvyra galėtų būti užtikrinta pripažįstant agentūrai įgaliojimus pačiai kuo greičiau po prašymo pateikimo užmaskuoti aptariamus duomenis viešai prieinamoje dokumento kopijoje, paliekant byloje šio akto originalą ir reikalaujant, kad bendrovė pakeistų šį dokumentą, iš kurio šie duomenys būtų pašalinti, ir kad šis pakeistas dokumentas būtų paskelbtas registre.
75. Žinoma, Direktyvos (ES) 2017/1132 16 straipsnio 4 dalies pirmoje ir antroje pastraipose numatyta, kad valstybės narės imasi būtinų priemonių, siekdamos išvengti bet kokios neatitikties tarp registro duomenų ir bylos duomenų bei tarp registre ir nacionaliniame leidinyje skelbiamos informacijos. Vis dėlto reikalavimas išlaikyti įvairių registro dalių suderinamumą su nacionaliniu biuleteniu ir teisinio saugumo tikslas, kuriuo grindžiamas toks reikalavimas, mano nuomone, negali pateisinti to, kad registre paskelbtuose dokumentuose be jokių apribojimų ir laiko suvaržymų būtų toliau viešai prieinami asmens duomenys, kurių neprivaloma atskleisti, kai duomenų subjektas prašo juos ištrinti. Pirma, šių dokumentų pakeitimus, kurie būtini, kad šie duomenys būtų užmaskuoti, būtų galima nustatyti ir atsekti ir tai būtų daroma skaidriai. Antra, šie pakeitimai būtų susiję su tokių dokumentų dalimis, kurių paviešinimas nebūtų būtinas registrui pavestai viešojo intereso užduočiai įgyvendinti. Trečia, minėtų dokumentų vientisumas ir autentiškumas galėtų būti išlaikyti, byloje išsaugant jų originalą, su kuriuo teisėtą interesą įrodę tretieji asmenys turėtų galimybę susipažinti.
76. Remdamasi tuo, kas išdėstyta, laikausi nuomonės, kad tokios procedūrinės taisyklės, kurias nagrinėjamu atveju taiko agentūra, neatitinka BDAR 23 straipsnio 1 dalies.
V. Išvada
77. Atsižvelgdama į visa tai, kas išdėstyta, siūlau Teisingumo Teismui taip atsakyti į Varhoven administrativen sad (Vyriausiasis administracinis teismas, Bulgarija) 4 ir 5 prejudicinius klausimus:
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 4 straipsnio 7 punktas ir 26 straipsnio 1 dalis
turi būti aiškinami taip:
už įmonių registro tvarkymą atsakinga valstybės narės institucija, kuri pagal šios valstybės teisės aktus turi užtikrinti dokumentų, jai perduotų pateikiant prašymą įregistruoti bendrovę šiame registre, atskleidimą, vienintelė yra atsakinga už šiuose dokumentuose esančių asmens duomenų padarymą viešai prieinamų, net jei tai yra duomenys, kurių nereikalaujama skelbti ir kurie pagal šiuos teisės aktus turėjo būti pašalinti iš šių dokumentų prieš juos perduodant minėtai institucijai.
2. Reglamentas 2016/679, visų pirma jo 17 straipsnis bei 23 straipsnio 1 dalis,
turi būti aiškinami taip:
pagal jį draudžiami nacionalinės teisės aktai ar nacionalinė praktika, pagal kuriuos fizinio asmens teisei reikalauti, kad už valstybės narės įmonių registro tvarkymą atsakinga valdžios institucija ištrintų su juo susijusius asmens duomenis, esančius šiame registre viešai prieinamuose dokumentuose, taikomos procedūrinės taisyklės, pagal kurias reikalaujama pateikti atitinkamo dokumento kopiją su pašalintais tais duomenimis. Ši institucija, kaip duomenų valdytoja, negali būti atleista nuo pareigos kuo greičiau patenkinti tokį prašymą ištrinti duomenis vien dėl to, kad negavo tokios kopijos.
3. 2017 m. birželio 14 d. Europos Parlamento ir Tarybos direktyvos (ES) 2017/1132 dėl tam tikrų bendrovių teisės aspektų, iš dalies pakeistos 2019 m. birželio 20 d. Europos Parlamento ir Tarybos direktyva (ES) 2019/1151, visų pirma jos 16 straipsnio 2–4 dalių, siejamų su šios direktyvos 8 konstatuojamąja dalimi,
negalima aiškinti taip, kad:
pagal ją leidžiama nustatyti tokias procedūrines taisykles. Šia direktyva už valstybės narės įmonių registro tvarkymą atsakingai institucijai nedraudžiama patenkinti prašymo ištrinti asmens duomenis, kurių atskleisti nereikalaujama pagal šios valstybės narės teisės aktus ir kurie įtraukti į šiame registre esantį viešai prieinamą dokumentą, pačiai iš šio dokumento pašalinant minėtus duomenis ir paliekant jo versijos su nepašalintais asmens duomenimis kopiją minėtos direktyvos 16 straipsnio 1 dalyje nurodytoje byloje.