Stan faktyczny
OL jest wspólniczką P. spółki z o.o. bułgarskiego prawa, która w styczniu 2021 r. została wpisana do rejestru handlowego w następstwie przedstawienia umowy spółki. Umowa ta, zawierająca nazwisko, imię, numer identyfikacyjny, numer dowodu tożsamości, datę i miejsce wydania tego dowodu, a także adres OL i jej podpis, została podana do publicznej wiadomości przez bułgarską Agencją rejestrową (dalej: Agencja). Następnie OL złożyła do Agencji wniosek o usunięcie jej danych osobowych z umowy spółki. Agencja wykreśliła z urzędu części danych, lecz nie wykreśliła jej nazwiska, imienia i podpisu.
Bułgarski sąd zawarł we wniosku prejudycjalnym szereg pytań dotyczących zasadniczo relacji między przepisami w zakresie jawności dokumentów spółek zawartymi w dyrektywie 2009/101/WE Parlamentu Europejskiego i Rady z 16.9.2009 r. w sprawie koordynacji gwarancji, jakie są wymagane w państwach członkowskich od spółek w rozumieniu art. 48 akapit drugi Traktatu, w celu uzyskania ich równoważności, dla zapewnienia ochrony interesów zarówno wspólników, jak i osób trzecich (wersja ujednolicona) (Dz.Urz. UE L z 2009 r. Nr 258, s. 11), a rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1).
Stanowisko TS
Obowiązek zezwolenia na ujawnienie
Zgodnie z art. 21 ust. 2 ak. 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2017/1132 w sprawie niektórych aspektów prawa spółek (tekst jednolity) (Dz.Urz. UE L 2017 Nr 169, str. 46) oprócz obowiązkowego ujawnienia, o którym mowa w art. 16 dyrektywy 2017/1132, państwa członkowskie dopuszczają dobrowolne ujawnianie tłumaczeń dokumentów i informacji, o których mowa w art. 14 dyrektywy 2017/1132 , w dowolnym języku lub językach urzędowych Unii. Akapit drugi art. 21 ust. 2 dyrektywy 2017/1132 upoważnia państwa członkowskie do wymagania, aby „tłumaczenia takich dokumentów i informacji” były poświadczone. Natomiast art. 21 ust. 2 ak. 3 dyrektywy 2017/1132 dotyczy środków niezbędnych do ułatwienia osobom trzecim dostępu do „tłumaczeń”, które były przedmiotem dobrowolnego ujawnienia.
Trybunał orzekł, że art. 21 ust. 2 dyrektywy 2017/1132 należy interpretować w ten sposób, iż nie nakłada on na państwo członkowskie obowiązku zezwolenia na ujawnienie w rejestrze handlowym umowy spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w tej dyrektywie i zawierającej – inne niż minimalnie wymagane dane osobowe – danych osobowych, których publikacja nie jest wymagana przez prawo tego państwa.
Organ rejestrowy
Trybunał orzekł, że rozporządzenie 2016/679, w szczególności art. 4 pkt 7 2016/679 i art. 4 pkt 9 2016/679, należy interpretować w ten sposób, że organ odpowiedzialny za prowadzenie rejestru handlowego państwa członkowskiego, który publikuje w tym rejestrze dane osobowe zawarte w umowie spółki, podlegającej obowiązkowemu ujawnieniu przewidzianemu w dyrektywie 2017/1132, która została mu przekazana w ramach wniosku o wpis tej spółki do tego rejestru, jest zarówno „odbiorcą” tych danych – w szczególności w zakresie, w jakim udostępnia je publicznie – jak i „administratorem” owych danych w rozumieniu tego przepisu, nawet jeśli ta umowa zawiera dane osobowe niewymagane przez tę dyrektywę lub prawo tego państwa członkowskiego.
Odmowa usunięcia danych
Trybunał stwierdził, że aby przetwarzanie można było uznać za zgodne z prawem, musi ono wchodzić w zakres jednego z przypadków przewidzianych w art. 6 ust. 1 rozporządzenia 2016/679 (ak. 1) (wyrok TS z 22.6.2021 r., Latvijas Republikas Saeima (Punkty karne), C-439/19 , Legalis, pkt 99). W przypadku braku zgody osoby, której dane dotyczą, na przetwarzanie jej danych osobowych na podstawie tego art. 6 ust. 1 rozporządzenia 2016/679 (ak. 1 lit. a)), lub gdy ta zgoda nie została udzielona dobrowolnie, konkretnie, świadomie i jednoznacznie w rozumieniu art. 4 pkt 11 rozporządzenia 2016/679, takie przetwarzanie może jednak być uzasadnione, jeżeli spełnia jeden z wymogów konieczności, o których mowa w art. 6 ust. 1 rozporządzenia 2016/679 (ak. 1 lit. b)–f)).
Trybunał stwierdził, że wymóg zachowania integralności i wiarygodności dokumentów spółek podlegających obowiązkowemu ujawnieniu przewidzianemu w dyrektywie 2017/1132, która wymaga publikacji tych dokumentów w postaci, w jakiej zostały one przekazane organom odpowiedzialnym za prowadzenie rejestru handlowego, nie może systematycznie przeważać nad tym prawem do ochrony danych osobowych, gdyż w przeciwnym razie wynikająca z niego ochrona stałaby się iluzoryczna.
Zdaniem TS w niniejszej sprawie rozpatrywane przetwarzanie danych osobowych wydaje się, wykraczać poza to, co jest konieczne do wykonania zadania realizowanego w interesie publicznym, które zostało powierzone Agencji na mocy bułgarskich przepisów.
W konsekwencji, z zastrzeżeniem weryfikacji, których powinien dokonać sąd odsyłający, TS uznał, że takie przetwarzanie nie wydaje się również spełniać warunków zgodności z prawem przewidzianych w art. 6 ust. 1 rozporządzenia 2016/679 (ak. 1 lit. c) i e)) w związku z art. 6 ust. 3 rozporządzenia 2016/679.
Trybunał stwierdził, że w przypadku gdyby sąd odsyłający stwierdził – po przeprowadzeniu oceny zgodności z prawem tego przetwarzania – że to przetwarzanie nie jest zgodne z prawem, do Agencji (jako administratora danych), należy zgodnie z art. 17 ust. 1 lit. d) rozporządzenia 2016/679, usunięcie odnośnych danych w najkrótszym możliwym terminie. Ponadto, zdaniem TS w rozpatrywanej sprawie nie wydaje się, aby istniała nadrzędna prawnie uzasadniona podstawa, która mogłaby stać na przeszkodzie takiemu wnioskowi o usunięcie.
Trybunał orzekł, że dyrektywę 2017/1132, w szczególności jej art. 16, a także art. 17 rozporządzenia 2016/679 należy interpretować w ten sposób, iż stoją one na przeszkodzie uregulowaniu lub praktyce państwa członkowskiego, które prowadzą do odmowy przez organ odpowiedzialny za prowadzenie rejestru handlowego tego państwa członkowskiego uwzględnienia każdego wniosku o usunięcie danych osobowych, których nie wymaga ta dyrektywa lub prawo tego państwa, zawartych w umowie spółki opublikowanej w tym rejestrze, jeżeli odpis tej umowy, utajniający te dane, nie został przekazany temu organowi, wbrew zasadom proceduralnym przewidzianym w tym uregulowaniu.
Szkoda
W niniejszej sprawie, sąd stwierdził istnienie szkody niemajątkowej polegającej na negatywnym doświadczeniu psychicznym i emocjonalnym OL, a mianowicie strachu i niepokoju wobec ewentualnych nadużyć, a także braku możliwości działania i rozczarowaniu co do niemożności ochrony danych osobowych tej osoby. Orzeczono również, że ta szkoda niemajątkowa wynika z pisma Agencji, które spowodowało naruszenie prawa do usunięcia danych ustanowionego w art. 17 ust. 1 rozporządzenia 2016/679, a także niezgodne z prawem przetwarzanie jej danych osobowych zawartych w rozpatrywanej umowie P. podanej do publicznej wiadomości.
Trybunał orzekł, że art. 82 ust. 1 rozporządzenia 2016/679 należy interpretować w ten sposób, iż ograniczona w czasie utrata przez osobę, której dane dotyczą, kontroli nad jej danymi osobowymi z powodu publicznego udostępnienia tych danych online w rejestrze handlowym państwa członkowskiego może wystarczyć do spowodowania „szkody niemajątkowej”, pod warunkiem że osoba ta wykaże, że faktycznie poniosła taką szkodę, nawet jeśli jest ona nieznaczna, przy czym to pojęcie „szkody niemajątkowej” nie wymaga wykazania istnienia dodatkowych wymiernych negatywnych konsekwencji.
Komentarz
W niniejszym wyroku TS wyjaśnił szereg zagadnień dotyczących publikacji danych osobowych wspólników – por. zwłaszcza art. 12 i 38 ustawy z 20.8.1997 r. o Krajowym Rejestrze Sądowym (t.j. Dz.U. z 2024 r. poz. 979) w kontekście rozporządzenia 2016/679.
Analizując ten wyrok należy podkreślić, że TS starał się wyważyć pomiędzy, z jednej strony, celami pewności prawa i ochrony praw osób trzecich, które leżą u podstaw dyrektywy 2017/1132, a z drugiej strony – praw podstawowych do poszanowania życia prywatnego i ochrony danych osobowych przewidzianych w rozporządzeniu 2016/679.
Trybunał przedstawił kryteria według jakich należy zakwalifikować organ prowadzący rejestr spółek w państwie członkowskim jako „administratora” w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679, co powoduje jego odpowiedzialność, na podstawie art. 5 ust. 2 rozporządzenia 2016/679, za przestrzeganie art. 5 ust. 1 rozporządzenia 2016/679.
Trybunał zaprezentował także obszerne uwagi dotyczące wymogów konieczności wskazanych w art. 6 ust. 1 rozporządzenia 2016/679 (ak. 1 lit. b)–f)), uzasadniających przetwarzanie danych osobowych w przypadku braku zgody osoby, której dane dotyczą.
Trybunał podkreślił również, że sąd krajowy powinien każdorazowo ustalić, czy poszczególne elementy przetwarzania danych osobowych wspólnika, w przypadku braku jego zgody, są uzasadnione na gruncie jednej z konieczności, o których mowa w art. 6 ust. 1 rozporządzenia 2016/679 (ak. 1 lit. a)–f)). Dodatkowo TS udzielił w tym zakresie pogłębionych wskazówek dla sądu krajowego.
W niniejszym wyroku TS wyjaśnił ponadto reguły uznania szkody poniesionej przez wspólnika, wobec odmowy usunięcia jego danych osobowych z rejestru, gdy ten wspólnik powołuje się na obawę, że w przyszłości dojdzie do wykorzystania tych danych w sposób stanowiący nadużycie.
Należy zaznaczyć, że specyfika bułgarskiego sporu polegała na tym, że dotyczył on usunięcia zamieszczonych w rejestrze handlowym danych osobowych, których publiczne udostępnienie nie jest wymagane ani przez dyrektywę 2017/1132, ani przez krajowe prawo.
Wyrok TS z 4.10.2024 r., Agentsia po vpisvaniyata, C-200/23, Legalis.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →