GENERALINĖS ADVOKATĖS
LAILA MEDINA IŠVADA,
pateikta 2023 m. birželio 8 d.(1)
Byla C-231/22
État belge
prieš
Autorité de protection des données,
dalyvaujant:
LM
(Cour d’appel de Bruxelles (Briuselio apeliacinis teismas, Belgija) prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Reglamentas (ES) 2016/679 – 4 straipsnio 7 ir 8 punktai – Asmens duomenų tvarkymas – Sąvokos „duomenų valdytojas“ ir „duomenų tvarkytojas“ – Duomenų tvarkymo tikslo ir priemonių nustatymas – Pareiga paskirti duomenų valdytoją pagal nacionalinę teisę – Oficialusis leidinys – Notaro parengto bendrovės akto paskelbimas – Prašymas pašalinti duomenis – Diskrecija – Nekintamumas – 5 straipsnio 2 dalis – Paeiliui duomenis tvarkantys duomenų valdytojai – Atskirų subjektų atskiros pareigos“
1. Acta Diurna, kasdieniai oficialūs romėnų pranešimai, būdavo iškalami akmenyje arba metale ir pateikiami viešose vietose, pavyzdžiui, Romos forume. Skaitmeniniame amžiuje nacionalinėms institucijoms gali tekti susidurti su klausimu, ar tam tikros šalies oficialiajame leidinyje paskelbti duomenys taip pat yra, vaizdžiai tariant, iškalti akmenyje, ar juos galima ištrinti arba pakeisti.
2. Pagrindinė byla inicijuota dėl Belgijos oficialiajame leidinyje Moniteur belge, kuriame oficialūs dokumentai skelbiami popierine ir elektronine forma, paskelbtų duomenų.
3. Pagrindinės bylos šalys yra État belge (Belgijos valstybė) ir Autorité de protection des données (Duomenų apsaugos institucija, Belgija; toliau – DAI). Pastebėjęs, kad notaro patvirtintame bendrovės sprendimo išraše, be Belgijos teisės aktuose reikalaujamų duomenų, buvo per klaidą paskelbti fizinio asmens duomenys, notaro duomenų apsaugos pareigūnas (toliau – DAP) kreipėsi į Moniteur belge su prašymu pašalinti šiuos duomenis. Tačiau Service Public Fédéral Justice (Federalinė viešoji teisingumo tarnyba; toliau – SPF Justice), kuri yra Moniteur belge valdymo institucija, atsisakė tenkinti šį prašymą.
4. Atsižvelgiant į tai, cour d’appel de Bruxelles (Briuselio apeliacinis teismas, Belgija) prašyme priimti prejudicinį sprendimą pateikti klausimai yra gana siauros apimties. Prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės teiraujasi, ar Moniteur belge arba SPF Justice turi būti laikomi „duomenų valdytojais“, kaip tai suprantama pagal Reglamento (ES) 2016/679 (toliau – BDAR) 4 straipsnio 7 punktą(2). Jei į šį klausimą būtų atsakyta teigiamai, prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat klausia, kokios yra duomenų valdytojo pareigų ribos, kai duomenis vienas po kito tvarko keli subjektai.
I. Teisinis pagrindas
A. Sąjungos teisė
5. BDAR I skyriaus „Bendrosios nuostatos“ 4 straipsnyje visų pirma apibrėžtos šios sąvokos: „asmens duomenys“, „duomenų tvarkymas“, „duomenų valdytojas“ ir „duomenų tvarkytojas“.
6. Šioje byloje taip pat svarbūs BDAR 5, 6, 17 ir 26 straipsniai.
B. Nacionalinė teisė
1. Bendrovių kodeksas
7. Loi du 7 mai 1999 contenant le Code des sociétés(3) (1999 m. gegužės 7 d. Įstatymas dėl Bendrovių kodekso; toliau – Bendrovių kodeksas) 67 straipsnio 1 ir 2 dalyse nustatyta:
„1. Elektroninės ar kitos formos patvirtintos autentiškų dokumentų kopijos, privačių asmenų pasirašytų dokumentų dublikatai arba originalai ir išrašai, kuriuos pateikti arba paskelbti yra būtina pagal toliau išdėstytus straipsnius, pateikiami komercinių bylų teismo kanceliarijai, kurios veiklos teritorijoje yra bendrovės registruota buveinė.
<…>
2. Pateikti dokumentai saugomi toje kanceliarijoje kiekvienai bendrovei skirtoje byloje, o atitinkamos bendrovės įtraukiamos į juridinių asmenų registrą – Banque-Carrefour des Entreprises [centrinį įmonių duomenų] registrą.“
8. Šio kodekso 71 straipsnyje nurodyta:
„Autentiškų bendrovės dokumentų išrašą pasirašo notarai, o privačių asmenų pasirašytų dokumentų išrašą – visi bendrovės dalyviai solidariai arba vienas iš dalyvių, kuriam kiti dalyviai tuo tikslu suteikė specialius įgaliojimus.“
9. Minėto kodekso 73 straipsnyje numatyta:
„Per 15 dienų nuo deponavimo pranešimas paskelbiamas Moniteur belge prieduose; priešingu atveju pareigūnai, dėl kurių kaltės pranešimas nebuvo paskelbtas ar buvo paskelbtas pavėluotai, turi atlyginti žalą.
<…>“
10. To paties kodekso 74 straipsnio 1 punkte nurodyta:
„Pagal ankstesnius straipsnius deponuojami ir skelbiami toliau išvardyti duomenys:
1) aktai, kuriais iš dalies keičiamos nuostatos, kurias pagal šį kodeksą privaloma paskelbti.“
2. 2001 m. sausio 30 d. Karaliaus dekretas
11. Arrêté royal du 30 janvier 2001 portant exécution du code des sociétés (2001 m. sausio 30 d. Karaliaus dekretas, kuriuo įgyvendinamas Bendrovių kodeksas)(4) 1 straipsnyje nustatyta:
„<…> [komercinių bylų] teismų kancleriai priima visus deponuojamus dokumentus, dokumentų išrašus, protokolus ir dokumentus, kuriuos paskelbti numatyta Bendrovių kodekse <…>“
12. Šio Karaliaus dekreto 11 straipsnyje nurodyta:
„1. Dokumentai, dokumentų išrašai ir dokumentai, kuriuos reikalaujama paskelbti Moniteur belge prieduose, kartu su kopija turi būti pateikti kanceliarijai. <…>
2. Visi pateikti popieriniai dokumentai turi atitikti šias sąlygas:
<…>
6) turi būti pasirašyti atitinkamai praktikuojančio notaro arba asmenų, įgaliotų atstovauti juridiniam asmeniui santykiuose su trečiaisiais asmenimis, nurodant pasirašiusiųjų vardus, pavardes ir pareigas;
<…>
3. Moniteur belge skirtos dokumentų kopijos, dokumentų išrašai ir Bendrovių kodekso 67, 68, 74 <…> straipsniuose nurodyti dokumentai <…> pateikiami netaisyti ir neredaguoti. <…>
<…>“
13. Minėto Karaliaus dekreto 14 straipsnyje nustatyta:
„Kancleris ne vėliau kaip antrą darbo dieną po pateikimo siunčia Moniteur belge administracijai gautų dokumentų kopijas, dokumentų išrašus ir dokumentus <…>, kurie turi būti paskelbti Moniteur belge prieduose.
<…>“
14. To paties Karaliaus dekreto 16 straipsnyje nurodyta:
„Jei informaciją būtina paskelbti, ji turi būti paskelbta Moniteur belge prieduose laikantis įstatymuose nustatytų terminų.“
3. 2002 m. gruodžio 24 d. Programinis įstatymas I
15. Loi-programme du 24 décembre 2002 (2002 m. gruodžio 24 d. Programinis įstatymas)(5) 472 straipsnyje nustatyta:
„Moniteur belge yra oficialusis leidinys, kurį publikuoja Moniteur belge administracija; ji surenka visus tekstus, kad būtų galima užsakyti jų paskelbimą leidinyje Moniteur belge.“
16. Šio programinio įstatymo 474 straipsnyje nurodyta:
„Moniteur belge administracija paskelbia tris popierines leidinio Moniteur belge kopijas.
<…>
Viena kopija saugoma elektroniniu būdu. Karalius nustato elektroninių duomenų saugojimo tvarką <…>“
17. To paties programinio įstatymo 475 straipsnis suformuluotas taip:
„Visa kita viešai skelbiama informacija publikuojama Moniteur belge administracijos interneto svetainėje.
Šioje interneto svetainėje skelbiama informacija yra tikslios 474 straipsnyje numatytų popierinių kopijų elektroninės kopijos.“
18. 2002 m. gruodžio 24 d. Programinio įstatymo 475a straipsnyje nurodyta:
„Kiekvienas pilietis gali gauti Moniteur belge paskelbtų dokumentų kopijas ir dokumentus už Moniteur belge savikainą paskambinęs nemokama telefono linija. Ši tarnyba taip pat atsako už tai, kad piliečiams būtų teikiama dokumentų paieškos pagalbos paslauga.“
19. Minėto programinio įstatymo 475b straipsnyje nustatyta:
„Kitos papildomos priemonės nustatomos Karaliaus dekretu, apsvarstytu Ministrų Taryboje, siekiant užtikrinti kuo platesnę Moniteur belge pateikiamos informacijos sklaidą ir galimybę su ja susipažinti.“
II. Faktinės aplinkybės, procesas pagrindinėje byloje ir prejudiciniai klausimai
20. LM yra Belgijos privačios ribotos atsakomybės bendrovės Bureau LM pagrindinis akcininkas.
21. 2019 m. sausio 23 d. ši bendrovė sušaukė visuotinį susirinkimą; buvo nuspręsta sumažinti bendrovės kapitalą, dėl to iš dalies pakeisti jos įstatai.
22. Pagal teisės normas, reglamentuojančias informacijos atskleidimą, notaras parengė išrašą. 2019 m. vasario 12 d. notaras pateikė tekstą tribunal de l’entreprise néerlandophone de Bruxelles (Nyderlandų kalba bylas nagrinėjantis Briuselio komercinių bylų teismas, Belgija) kanceliarijai, kad jis būtų oficialiai paskelbtas Moniteur belge.
23. 2019 m. vasario 22 d. šis išrašas buvo paskelbtas Moniteur belge prieduose. Visų pirma jame buvo nurodytas sprendimas sumažinti bendrovės kapitalą, pradinė kapitalo suma, suma, kuria mažinamas kapitalas, nauja įstatinio kapitalo suma ir pateiktas naujas įstatų tekstas. Be informacijos, paskelbtos pagal teisės aktų reikalavimą, nagrinėjamame išraše buvo nurodyti dviejų aptariamos bendrovės dalyvių vardai ir pavardės, jiems grąžintos sumos ir jų banko sąskaitų numeriai (toliau – nagrinėjama ištrauka), kurių skelbti pagal teisės aktus nereikėjo.
24. Nustatęs, kad notaras suklydo įtraukdamas į skelbiamą išrašą nagrinėjamą ištrauką, notaro DAP, remdamasis BDAR 17 straipsniu, paprašė SPF Justice tą ištrauką pašalinti ir dar kartą paskelbti išrašą, tik šį kartą – be minėtos ištraukos.
25. 2019 m. balandžio 10 d. SPF Justice atsisakė tenkinti šį prašymą(6) ir pasiūlė paskelbti naują išrašą, kuriame nagrinėjamos ištraukos nebūtų, o 2019 m. vasario 22 d. paskelbtą pirminį tekstą palikti nepakeistą.
26. 2020 m. sausio 21 d. LM, vienas iš dviejų atitinkamos bendrovės dalyvių, pateikė DAI skundą dėl Moniteur belge (SPF Justice) padarytų BDAR 5 straipsnio (visų pirma duomenų kiekio mažinimo principas), 6 straipsnio (asmens duomenų tvarkymas) ir 17 straipsnio (teisė reikalauti ištrinti duomenis) pažeidimų.
27. 2021 m. kovo 23 d. sprendimu DAI patenkino skundą ir iš esmės įpareigojo pašalinti nagrinėjamą ištrauką.
28. 2021 m. balandžio 22 d. Belgijos valstybė apeliacine tvarka apskundė šį sprendimą prašymą priimti prejudicinį sprendimą pateikusiam teismui – cour d’appel de Bruxelles (Briuselio apeliacinis teismas) ir paprašė jį panaikinti. Į bylą įstojo LM.
29. Prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad šalys nesutaria, kaip turėtų būti aiškinama BDAR 4 straipsnio 7 punkte apibrėžta sąvoka „duomenų valdytojas“. Jis pažymi, kad, gavęs iš tribunal de l’entreprise néerlandophone de Bruxelles (Nyderlandų kalba bylas nagrinėjantis Briuselio komercinių bylų teismas) išrašą, Moniteur belge, vadovaudamasis jo statusą ir užduotis reglamentuojančiomis teisės aktų nuostatomis, paskelbė tokį tekstą, koks buvo pateiktas, t. y. be teisės jį redaguoti ar keisti. Visų pirma prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar „duomenų valdytoju“, kaip tai suprantama pagal tą straipsnį, turi būti laikomas ir todėl pagal BDAR 5 straipsnio 2 dalį už šio reglamento 5 straipsnio 1 dalyje nustatytų principų laikymąsi yra atsakingas kiekvienas iš galimų paeiliui duomenis tvarkančių subjektų, ar tik vienas iš jų.
30. Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia sužinoti, ar tokia nuoseklios arba paskesnės atsakomybės samprata yra įtvirtinta šiame reglamente. Jeigu būtų nuspręsta, kad Moniteur belge yra duomenų gavėjas, kaip tai suprantama pagal BDAR 4 straipsnio 9 punktą, tam teismui kyla klausimas, ar savo ruožtu šis leidinys veikė kaip „paskesnis“ duomenis tvarkantis duomenų valdytojas. Vis dėlto, atrodo, kad taip nėra, nes pagal galiojančią Belgijos teisę Moniteur belge negali nustatyti savo duomenų tvarkymo priemonių ir tikslų, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą.
31. Atsižvelgdamas į tai, cour d’appel de Bruxelles (Briuselio apeliacinis teismas) pateikė Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar [BDAR] 4 straipsnio 7 punktą reikia aiškinti taip, kad valstybės narės oficialusis leidinys – kuriam pavesta teikti viešąją paslaugą skelbti ir archyvuoti oficialius dokumentus ir kuris pagal taikytinus nacionalinės teisės aktus yra įpareigotas skelbti oficialius aktus ir dokumentus, kuriuos jam nurodo paskelbti trečiosios viešosios valdžios institucijos, taip, kaip jie yra pateikti šių institucijų po jų pačių atlikto šiuose aktuose ir dokumentuose esančių asmens duomenų tvarkymo, kai nacionalinės teisės aktų leidėjas nėra suteikęs šiam leidiniui diskrecijos dėl skelbtinų dokumentų turinio, jų paskelbimo tikslo ir priemonių, – yra duomenų valdytojas?
2. Jeigu į pirmąjį klausimą būtų atsakyta teigiamai, ar [BDAR] 5 straipsnio 2 dalį reikia aiškinti taip, kad už duomenų valdytojui pagal šią nuostatą tenkančių pareigų vykdymą turi būti laikomas atsakingu tik aptariamas oficialusis leidinys, o ne trečiosios viešosios valdžios institucijos, prieš tai tvarkiusios duomenis, esančius oficialiuose dokumentuose, kuriuos jos prašo šio leidinio paskelbti, o gal šios pareigos kartu tenka kiekvienam paeiliui duomenis tvarkančiam duomenų valdytojui?“
32. DAI, Belgijos ir Vengrijos vyriausybės ir Europos Komisija pateikė rašytines pastabas.
33. 2023 m. kovo 23 d. Teisingumo Teismo posėdyje dalyvavo DAI, Belgijos vyriausybė ir Komisija.
III. Vertinimas
A. Dėl pirmojo prejudicinio klausimo
34. Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia sužinoti, ar BDAR 4 straipsnio 7 punktas turi būti aiškinamas taip, kad valstybės narės oficialusis leidinys turi duomenų valdytojo statusą. Iš pradžių norėčiau pateikti dvi pastabas, susijusias su šio klausimo formuluote.
35. Pirma, iš prašymą priimti prejudicinį sprendimą pateikusio teismo sprendimo matyti, kad Bendrovių kodekse numatyta, jog bendrovės turi teisinę pareigą skelbti įvairius dokumentus ir sprendimus Moniteur belge prieduose. Šis teismas taip pat pažymėjo, kad Moniteur belge yra pavaldus SPF Justice, tačiau tai nebuvo išsamiau paaiškinta. Kadangi nacionalinės valdžios institucijų įgaliojimų padalijimą valstybėje narėje reglamentuoja nacionalinės teisės normos, šioje išvadoje darysiu nuorodą tik į Moniteur belge.
36. Antra, turiu pažymėti, kad savo klausime prašymą priimti prejudicinį sprendimą pateikęs teismas tarp dviejų brūkšnelių įterpia ištrauką, kuri, atrodo, yra Belgijos teisės aktų leidėjo leidiniui Moniteur belge suteiktų įgaliojimų paaiškinimas.
37. Taigi šį klausimą iš esmės būtų galima performuluoti taip: ar valstybės narės oficialusis leidinys, kaip antai Moniteur belge, kuriam pagal taikytinus nacionalinės teisės aktus pavesta skelbti ir archyvuoti oficialius dokumentus, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, tokiomis aplinkybėmis, kai šių dokumentų, kokie jie yra pateikti, paskelbimą užsako tretieji subjektai, kurie patys tvarkė šiuose dokumentuose esančius asmens duomenis, o oficialusis leidinys neturi teisės savo nuožiūra spręsti dėl skelbtinų dokumentų turinio ar šio skelbimo tikslo ir priemonių.
38. Norint atsakyti į šį klausimą, iš pradžių reikia priminti, kad sąvoka „duomenų valdytojas“ BDAR 4 straipsnio 7 punkte apibrėžiama kaip „fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise“. Iš šios nuostatos, siejamos su BDAR 5 straipsnio 1 dalimi, kurioje nustatyti su asmens duomenų tvarkymu susiję principai, tampa aišku, kad kiekviename duomenų tvarkymo etape turi būti duomenų valdytojas(7). Taigi tvarkant asmens duomenis visada turėtų būti duomenų valdytojas, kuris yra pagrindinis duomenų apsaugos teisės taikytojas(8), todėl svarbu nustatyti duomenų valdytoją kiekviename duomenų tvarkymo etape(9). Sąvoka „duomenų valdytojas“ apima tiek fizinius, tiek juridinius asmenis, taip pat valdžios institucijas, agentūras ar kitas įstaigas. Vis dėlto akivaizdu, kad dėl subjekto rūšies klasifikavimo šiuo atveju nekyla jokių sunkumų.
39. Prieš pereinant prie klausimo esmės, t. y. sąvokos „duomenų valdytojas“ apibrėžties pagal BDAR 4 straipsnio 7 punktą, man atrodo, svarbu išsiaiškinti, ar šioje byloje nagrinėjamos operacijos yra „asmens duomenų“ „tvarkymas“, kaip tai suprantama atitinkamai pagal BDAR 4 straipsnio 1 ir 2 punktus.
1. „Asmens duomenų“ „tvarkymas“
40. Pirma, reikia priminti, kad „asmens duomenys“, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą, yra „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“, ir kad pagal jurisprudenciją ši sąvoka taikoma, kai dėl savo turinio, tikslo ar poveikio atitinkama informacija yra susijusi su konkrečiu asmeniu(10). Šioje byloje šalys neginčija, kad nagrinėjamoje ištraukoje esantys duomenys, kaip antai dviejų bendrovės dalyvių vardai, pavardės ir jų banko sąskaitų numeriai, yra asmens duomenys. Mano nuomone, sumos, kurios buvo grąžintos šiems dalyviams, nebūtinai savaime yra asmens duomenys. Vis dėlto šios sumos kartu su jas gavusių asmenų vardais ir pavardėmis iš tikrųjų laikytinos asmens duomenimis.
41. Antra, pagal BDAR 4 straipsnio 2 punktą sąvoka „duomenų tvarkymas“ apibrėžiama kaip „bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka“, be kita ko, „susipažinimas“ su asmens duomenimis, jų „naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis“. Šios apibrėžtys atspindi tai, kad Sąjungos teisės aktų leidėjas siekė šioms dviem sąvokoms suteikti plačią taikymo sritį(11).
42. Pavyzdžiui, Sprendime Google Spain Teisingumo Teismas nurodė, kad paieškos sistemos veikimo operacijos, kurias sudaro internete trečiųjų asmenų paskelbtos ar jau esančios informacijos suradimas, automatiniu būdu atliekamas jos indeksavimas, laikinas laikymas ir galiausiai padarymas prieinamos interneto naudotojams tam tikra pasirinkta tvarka, laikytinos „asmens duomenų tvarkymu“, kaip jis suprantamas pagal Direktyvos 95/46/EB(12) 2 straipsnio b punktą – jis iš esmės atitinka BDAR 4 straipsnio 2 punktą, – jei ši informacija apima „asmens duomenis“(13). Be to, Sprendime Fashion ID(14) Teisingumo Teismas nurodė, kad asmens duomenų tvarkymą gali sudaryti viena arba kelios operacijos, kurių kiekviena gali būti susijusi su skirtingais asmens duomenų tvarkymo etapais.
43. Mano nuomone, šiuo atveju asmens duomenys buvo tvarkomi tris kartus iš eilės. Pirmasis duomenų tvarkymo atvejis susijęs su notaru, kuris parengė leidinyje Moniteur belge skelbtiną dokumentą (ir tai darydamas suklydo, kai įtraukė nagrinėjamus asmens duomenis) ir pateikė jį komercinių bylų teismo kanceliarijai. Antrasis duomenų tvarkymo atvejis susijęs su šia kanceliarija, kuri pridėjo tą dokumentą prie bendrovės bylos ir nusiuntė jį paskelbti Moniteur belge. Trečiasis duomenų tvarkymo atvejis susijęs su Moniteur belge, kuris ne tik pavertė popierinį dokumentą elektroniniu dokumentu, bet ir jį rinko, registravo, saugojo, atskleidė ir platino. Mano nuomone, neabejotina, kad visi trys atvejai, ypač Moniteur belge atliktos operacijos, yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą.
44. Vis dėlto tai, kad šiais trimis atvejais buvo tvarkomi duomenys, nebūtinai reiškia, kad Moniteur belge veikė kaip duomenų valdytojas. Taip yra todėl, kad BDAR 4 straipsnio 7 ir 8 punktuose daromas skirtumas tarp duomenų valdytojų ir duomenų tvarkytojų. Duomenų valdytojas nustato duomenų tvarkymo tikslą ir priemones(15), o duomenų tvarkytojas tvarko asmens duomenis duomenų valdytojo vardu(16). Taigi, nors ir akivaizdu, kad šie trys atvejai yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, ši išvada nelemia to, ar Moniteur belge – ar kitas šioje trijų pakopų grandinėje dalyvaujantis subjektas – nagrinėjamu atveju turi duomenų valdytojo statusą.
2. Asmens duomenų tvarkymo tikslų ir priemonių nustatymas
45. Aiškinantis, ar Moniteur belge veikė kaip „duomenų valdytojas“, mano nuomone, reikia išnagrinėti, ar jis „nustato asmens duomenų tvarkymo tikslus ir priemones“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą.
46. Visų pirma norėčiau pabrėžti, kad pagal atitinkamą Teisingumo Teismo jurisprudenciją sąvoka „duomenų valdytojas“ turi būti apibrėžiama plačiai. Teisingumo Teismas jau yra nusprendęs, kad BDAR 4 straipsnio 7 punkto tikslas – plačiai apibrėžti sąvoką „duomenų valdytojas“, kad būtų užtikrinta veiksminga ir visapusiška duomenų subjektų apsauga(17). Be to, sąvokos „duomenų valdytojas“ ir „duomenų tvarkytojas“ yra funkcinio pobūdžio: jų paskirtis – priskirti atsakomybę pagal tikrąjį šalių vaidmenį(18). Kitaip tariant, „asmens duomenų valdytojas yra tas asmuo, kuris sprendžia, kodėl ir kaip šie duomenys bus tvarkomi“(19). Taigi duomenų valdytojo atsakomybė nustatoma „remiantis ne formalia, o faktais grindžiama analize“(20).
47. Antra, nurodant „vienas arba drauge“ su kitais, BDAR 4 straipsnio 7 punkte pripažįstama, kad duomenų tvarkymo „tikslus ir priemones“ gali nustatyti daugiau nei vienas subjektas. Vis dėlto tai, kokiu mastu du ar daugiau subjektų kartu vykdo kontrolę, gali įgyti skirtingas formas(21), jas aptarsiu analizuodama antrąjį klausimą.
48. Trečia, reikia pažymėti, kad 2020 m. birželio 25 d. priimdama Karaliaus dekretą Belgijos Karalystė paskyrė SPF Justice duomenų valdytoja, kaip apibrėžta BDAR 4 straipsnio 7 punkte(22). Vis dėlto pagrindinėje byloje nagrinėjami įvykiai atsitiko prieš įsigaliojant šiam dekretui. Todėl jis ratione temporis netaikytinas šioje byloje. Taigi iš to išplaukia, kad Teisingumo Teismas turi išnagrinėti, kaip kompetencija ir atsakomybė buvo paskirstytos tarp nacionalinių subjektų iki šio dekreto įsigaliojimo.
49. Pateikusi šias įžangines pastabas, dabar nagrinėsiu BDAR 4 straipsnio 7 punkte nustatytas sąlygas, t. y. kuris iš atitinkamų subjektų „nustato“ nagrinėjamų asmens duomenų „tvarkymo tikslus ir priemones“.
a) Netiesioginis duomenų valdytojo skyrimas pagal nacionalinę teisę
50. Atsakomybė už duomenų valdymą gali būti pagrįsta atitinkamais teisės aktais arba kilti iš faktinių duomenų ar bylos aplinkybių analizės(23). BDAR 4 straipsnio 7 punkte nustatyta, kad jeigu tokio duomenų tvarkymo tikslai ir priemonės visų pirma nustatomi valstybės narės teisėje, duomenų valdytojas gali būti paskirtas arba konkretūs jo paskyrimui taikytini kriterijai gali būti numatyti toje teisėje. Vadinasi, kai subjektas įstatyme konkrečiai nurodytas kaip duomenų valdytojas, toks paskyrimas turi lemiamos reikšmės(24). Vis dėlto nagrinėjamu atveju konkrečios nuostatos, kurioje būtų aiškiai nurodytas duomenų valdytojas, nėra.
51. Taip pat gali būti, kad įstatymu subjektas skiriamas duomenų valdytoju netiesiogiai(25). Pavyzdžiui, kai nacionalinės teisės aktais atitinkamam subjektui nustatoma prievolė saugoti arba pateikti tam tikrus duomenis, toks subjektas būtų laikomas duomenų valdytoju, kiek tai susiję su duomenų tvarkymu, kuris yra būtinas šiai prievolei įvykdyti. Pagal nacionalinės teisės aktus duomenų valdytojas yra netiesiogiai paskiriamas tada, kai iš šiai institucijai suteikto vaidmens, užduočių ir įgaliojimų matyti, kad ji nustato atitinkamo duomenų tvarkymo tikslus ir priemones. Sprendime Manni Teisingumo Teismas rėmėsi faktinių aplinkybių vertinimu, konstatuodamas, kad „įtraukdama minėtą informaciją į registrą, saugodama ją ir prireikus trečiųjų asmenų prašymu pateikdama jiems šią informaciją“ registrą tvarkanti institucija atlieka „asmens duomenų tvarkymą“ ir yra šių duomenų „valdytoja“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio b ir d punktuose pateiktas apibrėžtis“(26).
52. Nors nagrinėjamu atveju duomenų valdytojas nacionalinės teisės aktuose nėra aiškiai nurodytas, juose numatyta, kad bendrovės turi teisinę pareigą skelbti tam tikrus dokumentus leidinyje Moniteur belge(27). Taip atsirado teisinė prievolė tvarkyti duomenis, kuriuos turi tvarkyti duomenų valdytojas. Nacionalinės teisės aktų leidėjas sukūrė sistemą, pagal kurią duomenis tvarko trys subjektai paeiliui; tačiau šalys nesutaria, kuris iš šių trijų subjektų iš tikrųjų yra duomenų valdytojas(28). Taigi reikia išsiaiškinti šiems subjektams priskirtus konkrečius įgaliojimus, kad būtų galima nustatyti, kurį iš jų teisės aktų leidėjas netiesiogiai paskyrė duomenų valdytoju trečiajame duomenų tvarkymo etape, t. y. Moniteur belge atliekamų operacijų etape.
b) Veiksminga ir visapusiška duomenų subjektų apsauga
53. BDAR 4 straipsnio 7 punkte vartojant veiksmažodį „nustatyti“ reikalaujama, kad duomenų valdytojas darytų įtaką duomenų tvarkymui naudodamasis sprendimų priėmimo įgaliojimais(29). Pavyzdžiui, Facebook modulio „Patinka“ byloje(30) buvo sprendžiamas klausimas, ar internetinė drabužių mažmenininkė Fashion ID, savo interneto svetainėje įdiegusi socialinio tinklo Facebook modulį „Patinka“, kartu su Facebook nustatė Fashion ID interneto svetainės lankytojų asmens duomenų rinkimo ir atskleidimo juos perduodant priemones. Toje byloje Teisingumo Teismas aiškiai nurodė, jog tai, kad Fashion ID integravo šį socialinį modulį į savo interneto svetainę, reiškia, kad ji padarė lemiamą įtaką tos svetainės lankytojų asmens duomenų rinkimui ir perdavimui minėto modulio paslaugų teikėjui, šiuo atveju Facebook Ireland, o tai nebūtų įvykę, jei minėtas modulis nebūtų integruotas(31). Vadinasi, lemiamos įtakos asmens duomenų tvarkymui turėjimas reiškia, kad tą įtaką darantis subjektas yra duomenų valdytojas. Vis dėlto vien to, kad subjektas nedaro lemiamos įtakos, nepakanka, kad būtų paneigta, jog jis vis tiek gali turėti duomenų valdytojo statusą.
54. Dėl to, kaip informacija rengiama ir platinama elektroniniu būdu, platinant duomenis internete labai padidėja pagrindinių teisių į privatų gyvenimą ir asmens duomenų apsaugą pažeidimo rizika(32). Gerai suvokdamas šią riziką Teisingumo Teismas priėmė plačią sąvokos „duomenų valdytojas“ apibrėžtį(33), kad taikant BDAR būtų užtikrinta veiksminga ir visapusiška duomenų subjektų apsauga, visų pirma jų teisė į privatumą(34). Šiuo tikslu Sprendime Google Spain Teisingumo Teismas nusprendė, kad ne tik Direktyvos 95/46 2 straipsnio d punkto, kuris iš esmės atitinka BDAR 4 straipsnio 7 punktą, aiškiai formuluotei, bet ir jos tikslui prieštarautų tai, kad paieškos sistemos operatorius nebūtų įtrauktas į šią apibrėžtį dėl to, kad jis nekontroliuoja trečiųjų šalių interneto svetainėse skelbiamų asmens duomenų(35). Priimdamas tokią plačią apibrėžtį Teisingumo Teismas aiškiai pasirinko tikslinį šios nuostatos aiškinimą: sąvokos „duomenų valdytojas“ apibrėžtis turi užtikrinti veiksmingą ir visapusišką duomenų subjektų apsaugą. Be to, turiu pabrėžti, kad tokį aiškinimą gali tik sustiprinti BDAR, kuris buvo priimtas remiantis SESV 16 straipsnio 1 dalimi, suteikiančia Sąjungos teisės aktų leidėjui įgaliojimus užtikrinti pagrindinę teisę į asmens duomenų apsaugą, numatytą Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje(36).
55. Nagrinėjamu atveju akivaizdu, kad nacionalinės teisės aktų leidėjas sukūrė sistemą su trimis skirtingais tvarkymo etapais – grandinę, kuri prasideda nuo to, kad notaras parengia ir pasirašo atitinkamus dokumentus, paskui komercinių bylų teismo kanceliarija įtraukia dokumentus į bendrovės bylą ir juos saugo ir galiausiai Moniteur belge šiuos dokumentus skaitmenina ir paskelbia. Nors tiesa, kad Moniteur belge turi paskelbti tokį nagrinėjamą dokumentą, koks yra pateiktas, iš tikrųjų tam, kad būtų galima paskelbti, nei notaras, nei komercinių bylų teismo kanceliarija nepaverčia jo elektroniniu dokumentu; tai atlieka tik Moniteur belge, kuris vėliau platina atitinkamą dokumentą internete.
56. Visų pirma norėčiau pabrėžti, kad priimdamas 2002 m. gruodžio 24 d. Programinio įstatymo 474–475b straipsnius nacionalinės teisės aktų leidėjas suteikė Moniteur belge tam tikrus įgaliojimus. Iš šių nuostatų matyti, kad Moniteur belge ne tik skelbia atitinkamų dokumentų popierinę versiją, bet ir pateikia juos elektroniniu formatu savo interneto svetainėje, saugo juos elektroniniu formatu, suteikia piliečiams galimybę su jais susipažinti siūlydamas pagalbos liniją ir dokumentų paieškos pagalbos paslaugą ir galiausiai užtikrina kuo platesnę Moniteur belge esančios informacijos sklaidą ir prieigą prie jos. Taigi, mano nuomone, iš šių nuostatų matyti, kad nacionalinės teisės aktų leidėjas, priskirdamas Moniteur belge įgaliojimus, susijusius su nagrinėjamų dokumentų skaitmeninimu, skelbimu, platinimu ir saugojimu, suteikė šiam leidiniui įgaliojimus, patenkančius į sąvoką „duomenų valdytojas“, kaip ji suprantama pagal BDAR 4 straipsnio 7 punktą(37).
57. Moniteur belge, atlikdamas minėtas teisės aktų leidėjo jam pavestas operacijas, t. y. skaitmeninimą, paskelbimą ir platinimą, labai padidina suinteresuotojo asmens pagrindinių teisių pažeidimo riziką (palyginti su paprastu popierinio dokumento paskelbimu). Būtent šio oficialiojo leidinio atliekamas duomenų tvarkymas iš tikrųjų kelia grėsmę veiksmingai ir visapusiškai aptariamo duomenų subjekto apsaugai. Todėl nėra jokios kitos alternatyvos, tik nuspręsti, kad dėl tikslo užtikrinti veiksmingą ir visapusišką duomenų subjektų apsaugą ir dėl galimos žalos, kurią šiems subjektams gali padaryti skaitmeninimas ir sklaida, Moniteur belge negali būti neįtrauktas į „duomenų valdytojo“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, apibrėžtį.
58. Galiausiai, kiek tai susiję su jurisprudencijos dėl privačių paieškos sistemų taikymu viešiesiems subjektams, kaip antai Moniteur belge, reikėtų pažymėti, kad neseniai priimtame sprendime Teisingumo Teismas taikė šią jurisprudenciją, siekdamas patvirtinti, kad prokuratūra turi būti laikoma „duomenų valdytoja“(38). Mano nuomone, toks taikymas grindžiamas plačiu sąvokos „duomenų valdytojas“, kaip ji suprantama pagal BDAR 4 straipsnio 7 punktą, aiškinimu siekiant užtikrinti veiksmingą ir visapusišką pirminėje teisėje įtvirtintų duomenų subjektų pagrindinių teisių ir laisvių apsaugą(39), neatsižvelgiant į tai, ar duomenų valdytojas yra viešasis, ar privatus subjektas(40). Siekiant užtikrinti tokią veiksmingą ir visapusišką apsaugą, privačioms paieškos sistemoms nustatyti duomenų apsaugos principai yra aktualūs privatiems ir viešiesiems subjektams – jiems taikomi tie patys bendrieji su duomenimis susiję principai ir pareigos pagal BDAR, kuriais yra konkrečiai išreikšta pirminė teisė.
c) Dėl to, ar kitas subjektas yra duomenų valdytojas
59. Per teismo posėdį Belgijos vyriausybė teigė, kad notaras turėtų būti laikomas duomenų valdytoju, nes jis nustato duomenų tvarkymo priemones ir tikslus.
60. Mano nuomone, jei notaras būtų laikomas vieninteliu duomenų valdytoju, tai reikštų, kad praktiškai niekas nebūtų trečiojo duomenų tvarkymo etapo, t. y. kai Moniteur belge atlieka operacijas, duomenų valdytojas, nes, kaip matyti iš šios bylos faktinių aplinkybių, teisės aktų leidėjas nesuteikė notarui įgaliojimų daryti lemiamą įtaką šiam trečiajam duomenų tvarkymo etapui. Atsižvelgiant į tai, į asmens duomenų tvarkymą skirtingais atvejais ir skirtingu mastu gali būti įtraukti trys aptariami subjektai, todėl kiekvienas iš jų gali būti laikomas duomenų valdytoju, nors dėl duomenų valdymo kylančios jų atsakomybės apimtis ir lygis gali skirtis(41). Be to, noriu priminti, kad, kaip nurodė Komisija per teismo posėdį, pagal įstatymą Moniteur belge teoriškai galėtų būti paskirtas duomenų tvarkytoju, jeigu pareiga parengti, saugoti ir skaitmeniniu būdu platinti nagrinėjamą dokumentą nacionalinės teisės aktais būtų nustatyta keliems subjektams. Vis dėlto tam, kad Moniteur belge būtų laikomas duomenų tvarkytoju, turėtų būti tenkinamos BDAR 28 straipsnyje nurodytos sąlygos, o Teisingumo Teismui pateiktomis aplinkybėmis to akivaizdžiai nėra, nes kiekvienas aptariamas subjektas yra atsakingas už savo duomenų tvarkymo dalį(42). Taigi Moniteur belge negali būti laikomas „duomenų tvarkytoju“, kaip tai suprantama pagal šią nuostatą.
61. Be to, Belgijos vyriausybė teigė, kad nacionalinės teisės aktų leidėjas pats veikia kaip duomenų valdytojas arba nustato už duomenų valdymą atsakingą subjektą, o Moniteur belge tik vykdė jam suteiktus įgaliojimus. Šios vyriausybės nuomone, su privačiomis paieškos sistemomis susijusi jurisprudencija negali būti taikoma viešiesiems subjektams, nes Moniteur belge, kaip teisės aktų leidėjo įsteigta viešoji institucija, negali pats nustatyti savo misijos ir užduočių.
62. Kaip jau minėjau(43), nagrinėjamu atveju nacionalinės teisės aktų leidėjas netiesiogiai paskyrė Moniteur belge duomenų valdytoju, suteikdamas jam įgaliojimus atlikti tam tikras konkrečias užduotis.
63. Bet kuriuo atveju manau, kad jei Teisingumo Teismas padarytų išvadą, jog nacionalinės teisės aktų leidėjas turi duomenų valdytojo statusą kiekvieną kartą, kai jis naudojasi savo įgaliojimais nustatyti konkrečios duomenų tvarkymo operacijos tikslus ir priemones, dėl tokio požiūrio fiziniams asmenims nebebūtų užtikrinama veiksminga apsauga, taigi sąvoka „duomenų valdytojas“ netektų veiksmingumo. Iš tiesų veiksminga duomenų subjektų apsauga negalėtų būti užtikrinama, jei daugybę duomenų valdytojo pareigų, susijusių su kiekvienu valstybės narės teisės aktuose nustatytu asmens duomenų tvarkymu, vykdytų pats teisės aktų leidėjas. Taigi, mano nuomone, kai valdžios institucijai suteikiami įgaliojimai tvarkyti asmens duomenis, ne teisės aktų leidėjas yra duomenų valdytojas, o viešąsias užduotis vykdanti institucija yra tas subjektas, kuris kontroliuoja tokio tvarkymo tikslus ir priemones(44). Nagrinėjamu atveju iš aplinkybių akivaizdu, kad nagrinėjamas duomenų tvarkymas, kaip paaiškinta šios išvados 43 punkte, vykdomas įgyvendinant nacionalinės teisės aktus, o tai paneigia hipotezę, kad pats teisės aktų leidėjas, priimdamas teisės aktus, yra asmens duomenis tvarkantis duomenų valdytojas.
d) Diskrecijos nebuvimas
64. Šioje byloje iš Teisingumo Teismui nurodytų nacionalinės teisės aktų matyti, kad Moniteur belge neturi įgaliojimų priimti sprendimus dėl tekstų, kuriuos privalo skelbti(45). Iš tiesų, kaip pabrėžė Belgijos vyriausybė savo rašytinėse pastabose ir per teismo posėdį, Moniteur belge turėjo per 15 dienų(46) paskelbti dokumentą, kuris turi būti tiksli notaro parengto dokumento kopija. Jei dokumentas nepaskelbiamas arba paskelbiamas pavėluotai, Moniteur belge valstybės tarnautojui gresia ieškinys dėl žalos atlyginimo(47). Siekdama to išvengti ši institucija netikrina, ar informacija, kurią ji privalo paskelbti, yra išsami, galiojanti ar tiksli. Taigi, kaip teigia Belgijos vyriausybė, atrodo, kad Moniteur belge neturi įgaliojimų redaguoti šių dokumentų turinio, įskaitant juose galinčius būti asmens duomenis.
65. Vis dėlto, kadangi priimdamas įstatymus teisės aktų leidėjas pats neveikia kaip duomenų valdytojas ir joks kitas subjektas neturi jokios įtakos nustatant nagrinėjamo duomenų tvarkymo tikslus ir priemones, t. y. nagrinėjamų dokumentų skaitmeninimą ir skaitmeninį platinimą, siekiant išvengti situacijos, kai nėra paskirta duomenų valdytojo, Moniteur belge turi būti paskirtas duomenų valdytoju. Notaras ir komercinių bylų teismo kanceliarija paprasčiausiai neturi įgaliojimų dalyvauti šiame etape. Atsižvelgiant į tai, Moniteur belge diskrecijos nebuvimas negali būti veiksmingos duomenų subjektų apsaugos išlyga. Vadinasi, reikia pripažinti, kad tvarkant asmens duomenis Moniteur belge, kai jis skelbia dokumentus, kaip reikalaujama pagal nacionalinės teisės aktus, yra duomenų valdytojas, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, nors ir paskirtas netiesiogiai.
e) Asmens duomenų ištrynimas
66. Iš šios bylos faktinių aplinkybių matyti, kad notaro DAP paprašė SPF Justice (veikiančios Moniteur belge vardu) ištrinti (pašalinti iš interneto) nagrinėjamą ištrauką ir paskelbti išrašą be jos. SPF Justice atsisakė tenkinti šį prašymą ir pasiūlė paskelbti naują išrašą. Tokiomis aplinkybėmis atrodo, kad atitinkamas notaras neturi įgaliojimų nurodyti pakeisti ar pašalinti nagrinėjamą ištrauką. Vis dėlto norėčiau pabrėžti, kad, atrodo, tokių įgaliojimų neturi ir joks kitas subjektas.
67. Belgijos vyriausybės teigimu, nacionalinės teisės aktų leidėjas siekė, kad archyvavimo tikslais Moniteur belge skelbiami dokumentai laikui bėgant nekistų ir kad elektroninė publikacijų versija visada išliktų tiksli popierinės versijos kopija, taigi bet kokie pakeitimai atgaline data yra draudžiami. Ši vyriausybė priduria, kad norėdamas ištaisyti Moniteur belge paskelbtą juridinio asmens dokumentą notaras turi pateikti jį pakeičiantį dokumentą komercinių bylų teismo kanceliarijai, o ši turi prašyti Moniteur belge administracijos paskelbti šį pakeitimo aktą. Kita vertus, pagal Belgijos teisę neįmanoma visiškai pašalinti pirminio akto, priešingu atveju būtų pažeistas Moniteur belge nekintamumo principas.
68. Mano nuomone, valdžios institucijos atsisakymas pašalinti ištrauką su aptariamais asmens duomenimis ir paskelbti nagrinėjamą dokumentą be šios ištraukos lemia, kad šie duomenys lieka viešai prieinami. Tai reiškia, kad ši institucija, taikydama nacionalinius įstatymus, veikia kaip „duomenų valdytoja“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, nes nepašalindama nagrinėjamos ištraukos ir palikdama ją viešai prieinamą ji nustato asmens duomenų tvarkymo tikslus ir priemones. Jei Moniteur belge nebūtų pripažintas duomenų valdytoju, atrodytų, kad tokio statuso neturėtų jokia institucija(48).
69. Mano nuomone, „duomenų valdytojo“ statusas negali priklausyti nuo to, kad tokia institucija, kaip Moniteur belge, pagal nacionalinę teisę negali patenkinti prašymo ištrinti duomenis. Todėl, kai nacionalinės teisės aktuose yra spraga, nacionalinės valdžios institucijos (o šiame etape – nacionalinis teismas), taikydamos BDAR, turi paskirti subjektą, kuris turi vykdyti iš šio reglamento kylančias pareigas. Nagrinėjamu atveju, kadangi duomenys tvarkomi, jie lieka viešai prieinami, tačiau nacionalinėje teisėje nėra paskirta atsakinga institucija, kuri būtų šios duomenų tvarkymo dalies duomenų valdytoja.
70. Tokiu atveju, kadangi nacionalinės teisės aktų leidėjas sukūrė situaciją, kai nėra paskirta duomenų valdytojo, Teisingumo Teismas turėtų nurodyti, kad prašymą priimti prejudicinį sprendimą pateikęs teismas, remdamasis Teisingumo Teismui nurodytomis aplinkybėmis, duomenų valdytoju turi paskirti Moniteur belge (arba, tą prašymą pateikusio teismo vertinimu, SPF Justice). Tik toks aiškinimas, mano nuomone, atitiktų BDAR 4 straipsnio 7 punkto tikslą, t. y. plačia sąvokos „duomenų valdytojas“ apibrėžtimi užtikrinti veiksmingą ir visapusišką duomenų subjektų apsaugą(49). Taip būtų išvengta spragų ir užkirstas kelias tam, kad būtų galima apeiti BDAR taisykles.
71. Dėl praktinių argumentų, susijusių su Moniteur belge skleidžiamos informacijos nekintamumo principu, atsižvelgiant į pareigas, kylančias, be kita ko, iš BDAR 5 ir 17 straipsnių, nacionalinės teisės aktų leidėjas turi nustatyti teisinius pagrindus, kuriais būtų atsižvelgta į duomenų subjektų apsaugą ir šį principą. Kadangi paskelbus asmens duomenis labai padidėja žalos duomenų subjektams rizika, reikia, kad nacionalinėje teisėje būtų numatyti naujoviški sprendimai(50).
72. Apibendrindama siūlau Teisingumo Teismui šioje byloje nuspręsti, kad Moniteur belge veikia kaip „duomenų valdytojas“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą, priimdamas sprendimą atsisakyti pašalinti nagrinėjamą ištrauką iš viešosios erdvės, t. y. palikdamas šią ištrauką viešai prieinamą.
3. Tarpinė išvada
73. Nagrinėjamu atveju nacionalinės teisės aktuose nustatyta pareiga paskirti duomenų valdytoją, kad būtų laikomasi iš BDAR kylančių prievolių. Pirma, kalbant apie nagrinėjamų duomenų skaitmeninimą, skelbimą ir platinimą, Moniteur belge, siekiant užtikrinti atitinkamo asmens pagrindines teises, turi būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą. Antra, kalbant apie nagrinėjamų duomenų nepašalinimą, pažymėtina, kad nacionalinės teisės aktuose yra spraga, nes nė vienam iš aptariamų subjektų neleidžiama pašalinti šių duomenų. Tokiu atveju nacionalinis teismas, taikydamas BDAR, kad užtikrintų atitinkamų asmenų pagrindinių teisių apsaugą, turi paskirti duomenų valdytoją, kuris šiuo atveju, atrodo, yra Moniteur belge.
74. Taigi siūlau į pirmąjį klausimą atsakyti: BDAR 4 straipsnio 7 punktą reikia aiškinti taip, kad valstybės narės oficialusis leidinys, kaip antai Moniteur belge, kuriam pagal taikytinus nacionalinės teisės aktus pavesta skelbti ir archyvuoti oficialius dokumentus, siekiant užtikrinti veiksmingą ir visapusišką duomenų subjektų apsaugą, gali būti laikomas duomenų valdytoju, kaip apibrėžta BDAR 4 straipsnio 7 punkte, tokiomis aplinkybėmis, kai šių dokumentų, kokie jie yra pateikti, paskelbimą užsako tretieji subjektai, nes nacionalinės teisės aktų leidėjas suteikė šiam leidiniui įgaliojimus nustatyti atitinkamų dokumentų skaitmeninimo, skelbimo, platinimo ir saugojimo priemones ir numatė plačius skelbimo ir platinimo tikslus. Vis dėlto, kalbant apie tai, kad nėra paskirta duomenų valdytojo, kiek tai susiję su duomenų pašalinimu ar ištrynimu, pažymėtina, kad aptariami duomenys lieka viešai prieinami, todėl nacionalinis teismas turi paskirti subjektą, kuris privalo vykdyti iš BDAR kylančias pareigas.
75. Jeigu Teisingumo Teismas pritars tokiam atsakymui į pirmąjį klausimą, tik tada jis turėtų atsakyti į antrąjį klausimą, t. y. ar Moniteur belge arba jį valdanti institucija turi būti išimtinai atsakinga už BDAR duomenų valdytojui nustatytų pareigų vykdymą.
B. Dėl antrojo prejudicinio klausimo
76. Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia sužinoti, ar BDAR 5 straipsnio 2 dalį reikia aiškinti taip, kad už duomenų valdytojui pagal šią nuostatą tenkančių pareigų vykdymą turi būti laikomas atsakingu tik aptariamas oficialusis leidinys, o ne tretieji subjektai, prieš tai tvarkę duomenis, esančius oficialiuose dokumentuose, kuriuos jie prašo paskelbti, ar šios pareigos kartu tenka kiekvienam paeiliui duomenis tvarkančiam duomenų valdytojui.
77. Pagal BDAR 5 straipsnio 2 dalį duomenų valdytojas yra atsakingas už šio straipsnio 1 dalyje nustatytų principų, kaip antai duomenų kiekio mažinimo ir tikslumo principų(51), laikymąsi ir turi gebėti įrodyti, kad šių principų laikomasi. Kadangi fizinis asmuo siekia, kad būtų pašalinti asmens duomenys, kurių pagal nacionalinės teisės aktus nereikalaujama skelbti, prašymą priimti prejudicinį sprendimą pateikęs teismas paaiškina, kad jis turi nuspręsti, ar Moniteur belge arba ją valdanti institucija turi būti išimtinai atsakinga už duomenų kiekio mažinimo ir tikslumo principų laikymąsi, ar už šių principų laikymąsi atsakingi ir kiti du subjektai.
78. Visų pirma pažymėjęs, kad pagrindinės bylos šalys nesiremia tuo, kad yra bendri duomenų valdytojai, kaip numatyta BDAR 26 straipsnyje, prašymą priimti prejudicinį sprendimą pateikęs teismas klausia, ar kiekvienas iš galimų paskesnių duomenų valdytojų, ar tik vienas iš jų turi būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal šio reglamento 4 straipsnio 7 punktą, taigi pagal šio reglamento 5 straipsnio 2 dalį ir atsakingu už minėtų principų laikymąsi.
1. Paeiliui vykdomos operacijos
79. Kaip jau nurodžiau(52), aptariamus asmens duomenis, išdėstytus Moniteur belge paskelbtoje nagrinėjamoje ištraukoje, paeiliui tvarkė keli subjektai, t. y. išrašą parengęs notaras, į bendrovės bylą šį išrašą įtraukusi tribunal de l’entreprise néerlandophone de Bruxelles (Nyderlandų kalba bylas nagrinėjantis Briuselio komercinių bylų teismas) kanceliarija ir galiausiai jį (koks buvo pateiktas) paskelbęs Moniteur belge.
80. Kalbant apie šią įvykių grandinę, reikia pažymėti, kad nagrinėjami asmens duomenys, kuriuos tvarkyti patikėta Moniteur belge, ne tik buvo tvarkomi po to, kai juos tvarkė notaras ir komercinių bylų teismo kanceliarija, bet ir jų tvarkymas techniškai skyrėsi nuo šių dviejų subjektų atliekamo duomenų tvarkymo ir jį papildė. Svarbu pažymėti: kadangi Moniteur belge atliekamos operacijos visų pirma susijusios su jam pateiktų dokumentų išrašuose esančių duomenų skaitmeninimu, jų skelbimu, plataus masto viešinimu ir saugojimu, Moniteur belge teisiškai patikėtos operacijos, palyginti su anksčiau dviejų kitų subjektų vykdytu duomenų tvarkymu, turi didelį ir papildomą poveikį pagrindinėms teisėms į privatų gyvenimą ir asmens duomenų apsaugą ir kelia joms pavojų(53).
81. Taigi Moniteur belge turi laikytis visų BDAR duomenų valdytojui nustatytų pareigų, susijusių su duomenų tvarkymo operacijomis, kurios jam nustatytos nacionalinėje teisėje.
2. Bendros atsakomybės netaikymas
82. BDAR 4 straipsnio 7 punkte pripažįstama, kad „duomenų tvarkymo tikslus ir priemones“ gali nustatyti daugiau nei vienas subjektas. Jame nurodyta, kad sąvoka „duomenų valdytojas“ reiškia subjektą, kuris „vienas arba drauge su kitais“ nustato duomenų tvarkymo tikslus ir priemones. Tokia situacija numatyta BDAR 26 straipsnyje, pagal kurį to paties duomenų tvarkymo metu keli skirtingi subjektai gali veikti kaip duomenų valdytojai, kurių kiekvienam atitinkamai galioja duomenų apsaugai taikomos teisės normos(54).
83. Turiu priminti, jog BDAR 26 straipsnio 1 dalyje nustatyta, kad, kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Toje pačioje dalyje priduriama, kad bendri duomenų valdytojai turi skaidriai nustatyti savo atitinkamą atsakomybę, kad užtikrintų visų BDAR reikalavimų laikymąsi, išskyrus atvejus, kai atitinkama jų atsakomybė yra nustatyta, be kita ko, valstybės narės teisėje, kuri yra taikoma duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Taigi kelių duomenų valdytojų bendra atsakomybė nebūtinai priklauso nuo skirtingų duomenų valdytojų susitarimo buvimo ar net nuo jų ketinimų, o gali kilti iš nacionalinės teisės, jeigu iš tos teisės galima daryti išvadą apie kelių duomenų valdytojų paskyrimą ir atitinkamas kiekvieno iš tų duomenų valdytojų pareigas, atsižvelgiant į BDAR reikalavimus.
84. Vis dėlto tai, kad toje pačioje duomenų tvarkymo grandinėje dalyvauja keli subjektai, nereiškia, kad jie būtinai veikia kaip bendri duomenų valdytojai(55). Be to, Teisingumo Teismas yra nusprendęs, kad fizinis ar juridinis asmuo negali būti laikomas atsakingu už ankstesnes ar paskesnes duomenų tvarkymo grandinės operacijas, kurioms jis nenustato nei tikslų, nei priemonių(56). Vadinasi, šiuo atveju neatrodo, kad nacionalinėje teisėje buvo paskirti bendri duomenų valdytojai, nes notaras nekontroliuoja Moniteur belge atliekamų operacijų.
85. Taigi manau, kad nagrinėjamu atveju bendra trijų subjektų atsakomybė nei yra nustatyta nacionalinėje teisėje, nei gali būti nustatyta iš faktinių aplinkybių, kurias nurodė prašymą priimti prejudicinį sprendimą pateikęs teismas. Kalbant apie pagrindinėje byloje nagrinėjamas aplinkybes, visų pirma reikia pažymėti, kad trims grandinės subjektams netaikomos tos pačios duomenų tvarkymo priemonės, nes Moniteur belge atlieka nagrinėjamų dokumentų skaitmeninimą, juos skelbia ir platina. Be to, atsižvelgiant į pagrindinėje byloje nagrinėjamas aplinkybes, suinteresuotas fizinis asmuo, siekiantis pasinaudoti teise reikalauti ištrinti duomenis pagal BDAR 17 straipsnį, turėtų įgyvendinti savo teises pagal BDAR kiekvieno iš bendrų duomenų valdytojų atžvilgiu. Taigi, atsižvelgiant į tai, kiekvienas iš subjektų būtų atskirai atsakingas už BDAR 5 straipsnio 1 dalyje nurodytų principų laikymąsi(57).
86. Iš to, mano nuomone, išplaukia, kad negalima nustatyti „bendros“ įvairių duomenų valdytojų atsakomybės pagal BDAR 5 straipsnio 2 dalį. Iš tiesų kiekvienas duomenų tvarkymo grandinėje dalyvaujantis subjektas gali būti tik individualiai atsakingas už šio reglamento 5 straipsnio 1 dalyje nurodytų principų laikymąsi, kiek tai susiję su duomenų tvarkymo operacijomis, kurias jis atliko pagal duomenų tvarkymo tikslus ir priemones. Kadangi nagrinėjamu atveju duomenis netinkamai paskelbė ne notaras, o Moniteur belge, man atrodo, kad ši institucija, nepaisant to, kad ne ji pati įtraukė šiuos duomenis į nagrinėjamą ištrauką, taip pat turi būti individualiai atsakinga už BDAR 5 straipsnio 1 dalyje nurodytų principų laikymąsi.
87. Galiausiai norėčiau pažymėti, kad prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar nacionalinė teisė, kurioje numatyta galimybė ištaisyti, o ne pašalinti Moniteur belge paskelbtus duomenis, atitinka BDAR. Iš tiesų neatrodo, kad pagal nacionalinės teisės aktus Moniteur belge galėtų atgaline data pašalinti jau paskelbtus (taip pat elektronine forma) duomenis. Šiomis aplinkybėmis atitinkamai BDAR 16 ir 17 straipsniuose numatyta teisė reikalauti ištaisyti duomenis ir teisė reikalauti ištrinti duomenis, kaip nurodyta BDAR 23 straipsnyje, pagal nacionalinę teisę iš tiesų gali būti apribotos. Vis dėlto toks apribojimas pagal Chartijos 52 straipsnio 1 dalį turi būti nustatytas įstatymu, atitikti fizinių asmenų pagrindinių teisių esmę ir proporcingumo principą(58).
3. Tarpinė išvada
88. Taigi siūlau tokį atsakymą į antrąjį klausimą: BDAR 5 straipsnio 2 dalis turi būti aiškinama taip, kad aptariamas oficialusis leidinys privalo laikytis šioje nuostatoje numatytų duomenų valdytojo pareigų, susijusių su jo atliktomis operacijomis. Iš nagrinėjamo duomenų tvarkymo nekyla bendros atsakomybės už duomenų valdymą, o Moniteur belge yra vienintelis atsakingas už nacionalinėje teisėje jam nustatytas duomenų tvarkymo operacijas.
IV. Išvada
89. Atsižvelgdama į tai, kas išdėstyta, siūlau Teisingumo Teismui į cour d’appel de Bruxelles (Briuselio apeliacinis teismas, Belgija) pateiktą prejudicinį klausimą atsakyti taip:
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 4 straipsnio 7 punktas
turi būti aiškinamas taip, kad valstybės narės oficialusis leidinys, kaip antai Moniteur belge, kuriam pagal taikytinus nacionalinės teisės aktus pavesta skelbti ir archyvuoti oficialius dokumentus, siekiant užtikrinti veiksmingą ir visapusišką duomenų subjektų apsaugą, gali būti laikomas duomenų valdytoju pagal Reglamento 2016/679 4 straipsnio 7 punktą tokiomis aplinkybėmis, kai šių dokumentų, kokie jie yra, paskelbimą užsako tretieji subjektai, nes nacionalinės teisės aktų leidėjas suteikė šiam leidiniui įgaliojimus nustatyti atitinkamų dokumentų skaitmeninimo, skelbimo, platinimo ir saugojimo priemones ir numatė plačius skelbimo ir platinimo tikslus. Vis dėlto, kalbant apie tai, kad nėra paskirta duomenų valdytojo, kiek tai susiję su duomenų pašalinimu ar ištrynimu, pažymėtina, kad aptariami duomenys lieka viešai prieinami, todėl nacionalinis teismas turi paskirti subjektą, kuris privalo vykdyti iš Reglamento 2016/679 kylančias pareigas.
Reglamento 2016/679 5 straipsnio 2 dalis turi būti aiškinama taip, kad aptariamas oficialusis leidinys privalo laikytis šioje nuostatoje numatytų duomenų valdytojo pareigų, susijusių su jo atliktomis operacijomis. Iš nagrinėjamo duomenų tvarkymo nekyla bendros atsakomybės už duomenų valdymą, o Moniteur belge yra vienintelis atsakingas už nacionalinėje teisėje jam nustatytas duomenų tvarkymo operacijas.