(Odesłanie prejudycjalne - Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych - Rozporządzenie (UE) 2016/679 - Publikacja w rejestrze handlowym umowy spółki zawierającej dane osobowe - Dyrektywa (UE) 2017/1132 - Nieobowiązkowe dane osobowe - Brak zgody osoby, której dane dotyczą - Prawo do usunięcia danych - Szkoda niemajątkowa)(C/2024/6894)
Język postępowania: bułgarski
(Dz.U.UE C z dnia 25 listopada 2024 r.)
Sąd odsyłający
Varhoven administrativen sad
Strony w postępowaniu głównym
Strona skarżąca: Agentsia po vpisvaniyata
Strona przeciwna: OL
przy udziale: Varhovna administrativna prokuratura
Sentencja
1) Artykuł 21 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2017/1132 z dnia 14 czerwca 2017 r. w sprawie niektórych aspektów prawa spółek
należy interpretować w ten sposób, że:
nie nakłada on na państwo członkowskie obowiązku zezwolenia na ujawnienie w rejestrze handlowym umowy spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w tej dyrektywie i zawierającej - inne niż minimalnie wymagane dane osobowe - dane osobowe, których publikacja nie jest wymagana przez prawo tego państwa członkowskiego.
2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w szczególności jego art. 4 pkt 7 i 9,
należy interpretować w ten sposób, że:
organ odpowiedzialny za prowadzenie rejestru handlowego państwa członkowskiego, który publikuje w tym rejestrze dane osobowe zawarte w umowie spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w dyrektywie 2017/1132, która została mu przekazana w ramach wniosku o wpis tej spółki do wspomnianego rejestru, jest zarówno "odbiorcą" tych danych - w szczególności w zakresie, w jakim udostępnia je publicznie - jak i "administratorem" wspomnianych danych w rozumieniu tego przepisu, nawet jeśli umowa ta zawiera dane osobowe niewymagane przez tę dyrektywę lub prawo tego państwa członkowskiego.
3) Dyrektywę 2017/1132, w szczególności jej art. 16, a także art. 17 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
stoją one na przeszkodzie uregulowaniu lub praktyce państwa członkowskiego, które prowadzą do odmowy przez organ odpowiedzialny za prowadzenie rejestru handlowego tego państwa członkowskiego uwzględnienia każdego wniosku o usunięcie danych osobowych, których nie wymaga ta dyrektywa lub prawo wspomnianego państwa członkowskiego, zawartych w umowie spółki opublikowanej w tym rejestrze, jeżeli odpis tej umowy, utajniający te dane, nie został przekazany temu organowi, wbrew zasadom proceduralnym przewidzianym w tym uregulowaniu.
4) Artykuł 4 pkt 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
odręczny podpis osoby fizycznej wchodzi w zakres pojęcia "danych osobowych" w rozumieniu tego przepisu.
5) Artykuł 82 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
ograniczona w czasie utrata przez osobę, której dane dotyczą, kontroli nad jej danymi osobowymi z powodu publicznego udostępnienia tych danych online w rejestrze handlowym państwa członkowskiego może wystarczyć do spowodowania "szkody niemajątkowej", pod warunkiem że osoba ta wykaże, iż faktycznie poniosła taką szkodę, nawet jeśli jest ona nieznaczna, przy czym to pojęcie "szkody niemajątkowej" nie wymaga wykazania istnienia dodatkowych wymiernych negatywnych konsekwencji.
6) Artykuł 82 ust. 3 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
opinia organu nadzorczego państwa członkowskiego wydana na podstawie art. 58 ust. 3 lit. b) tego rozporządzenia nie wystarcza do zwolnienia z odpowiedzialności, na podstawie art. 82 ust. 2 wspomnianego rozporządzenia, organu odpowiedzialnego za prowadzenie rejestru handlowego tego państwa członkowskiego mającego status "administratora" w rozumieniu art. 4 pkt 7 tego rozporządzenia.
